商业银行IT审计思路和方法

it审计论文第六篇：商业银行IT审计思路和方法

　　摘要：商业银行信息技术发展与应用已经成为银行的核心竞争力, 如何开展商业银行IT的风险控制与管理已经成为IT审计重要工作。因此需要探索和探讨IT审计思路和方法。

　　关键词：商业银行;IT审计;探讨;

　　随着IT快速发展, 银行业务处理都离不开信息系统, 因此对信息系统的高可用性、高安全性有着非常高的要求。同时信息技术的发展与应用已经决定着商业银行的业务发展方向、模式以及创新能力, 直接形成银行的核心竞争力。因此商业银行更加注重IT应用发展过程中的风险控制和风险管理, 该项工作只有独立的IT审计, 来揭示IT管理控制的薄弱环节, 进一步加强内部管理和控制, 将IT风险降到最低。

　　一、商业银行IT审计工作的必然性

　　1. 商业银行是从事资金性经营业务, 其业务本身存在高风险性特点, 导致商业银行本身是一个风险较高行业。

　　从银行业务风险点来看, 主要有:资金流通风险、资金信息管控风险、业务操作风险、业务授权风险、信用风险、货币兑换风险、贷款风险、担保风险等。随着银行业务和信息系统之间相互支持、紧密结合, 银行业务从传统业务发展到一系列金融产品业务, 信息系统也要不断扩充、升级和完善, 以便适应银行新业务发展需求。每当信息系统发展不适应业务管理的要求, 则严重影响新业务管理, 甚至原有的系统不能正常使用, 在用的系统出现严重错误等问题, 随之带来的资金信息管控风险、业务操作风险、业务授权风险、信用风险、贷款风险等即将展现, 对企业的业务发展也许带来致命影响。为降低这类风险, 开展独立的IT审计成为了银行IT发展的必然。因此审计人员通过审查信息系统完整性, 检查风险控制情况, 评估信息系统的安全性、完整性、健壮性成为银行的重要工作。

　　2. 商业银行IT审计是由信息系统本身的特点决定的。

　　银行信息系统已经经历了很长时间的发展和壮大, 从单一的软件管理到数据大集中式的网络化综合管理平台, 平台中各类信息系统的开发过程都是一项长期而且庞大的系统工程, 这些系统开发成本涉及大量人力、物力、财力, 特别是投资大, 风险高。若开发和管理不恰当, 将导致信息系统无法交付使用, 开发项目失败, 或者信息系统上线使用后, 无法满足业务管理要求, 故障不断。因此对信息系统的开发过程开展IT审计, 能够避免上述问题, 同时也能够督促信息系统开发质量有效管理, 降低因系统开发问题带来的一系列高额的资金维护成本, 另外系统在开发过程中还存在潜在的错误和漏洞。综合这些特性, IT审计在商业银行非常重要是必然的。

　　3. 行业监管部门严格的监管要求决定商业银行需要开展IT审计, 需要重视信息系统风险管控。

　　银监会发布《银行业金融机构信息系统风险管理指引》、《商业银行IT风险管理指引》等信息系统风险管理文件, 监管部门对风险管理和IT审计的监管力度日趋严格。

　　4. 商业银行IT审计是商业银行业务快速发展的必然要求。

　　信息技术在银行深入、广泛应用, 从目前银行信息系统发展来看, IT环境下的业务风险控制越来越严峻, 若银行没有IT审计, 则银行IT风险存在不可控情况。目前国内主要银行IT审计还处于摸索阶段, IT审计经验欠缺, IT审计标准不健全, 甚至一些商业银行对IT审计的管理缺乏独立性, 这些方面都要求商业银行加快IT审计的步伐。

　　二、商业银行IT审计发展情况

　　目前, 全世界对IT审计都没有统一标准, 从IT审计发展过程来看, 经历了三个阶段, 一是基于电子数据处理 (EDP) 审计阶段, 主要是为了满足对财务电子化管理系统进行审计需要;二是以信息系统审计为中心审计阶段, 主要基于业务与信息相结合审计;三是独立的信息技术审计, 以信息系统生命周期为线条, 关注系统安全、可靠和效益的审计。国内IT审计相对来说, 起步较晚, 还处于探索、实践阶段, 而商业银行IT审计相对于其他行业起步较早, 有专门的IT审计部门和人员, 开展了IT治理, IT风险管理, IT安全、业务连续性管理等审计, 具备了一定IT审计经验。但是没有一套规范的IT审计标准来指导IT审计工作, 目前, 商业银行IT审计主要从COBIT的IT治理模型、商业银行信息科技风险管理指引、ISO27001标准等方面作为审计评判标准和操作规程, 从IT审计发展来看, 缺乏评判事实依据和法规, 没有遵循IT审计基本标准准则和指南, 因此对商业银行IT审计, 还是一个探索和发展的过程。

　　三、商业银行IT审计思路和方法

　　商业银行要实现健康、快速发展, 并保障资金、信息安全, 离不开以IT为核心的信息科技强力支撑和服务。要保障银行信息系统安全、稳定、高效的运行, 就要对银行信息系统风险和关键环节有很好的内部控制, 则需要独立的IT审计工作发挥作用, 监督这些制度、技术和手段落实到位。要做好商业银行IT审计, 主要从三个方面考虑, 一是明确本次IT审计目标是什么?审计思路是什么?二是确定具体的审计实施方案, 审计重点、范围和内容是什么?三是针对审计内容涉及的业务流程有没有新的审计手段, 怎么开展审计?

　　1. 以业务为核心, 以业务与技术相结合的审计思路。

　　一是IT审计必须以业务为核心。针对商业银行发展情况来看, 商业银行的信息系统是基于银行各项业务管理需求而存在的, 若信息系统离开了生产经营的业务需求, 则信息系统本身而言也就没有存在的价值。IT审计的目的就是为企业战略目标而服务的, 企业的发展需要信息化环境下的业务来实现。因此IT审计的关注点是看信息系统能否满足业务需求, 业务流程能否通过信息系统实现有效管理和控制, IT审计必须以银行的业务为重心, IT审计与银行业务过程必须紧密结合。二是业务审计与IT审计相结合的审计思路。围绕以银行业务为核心的审计, 在审计思路、方法上重点是要把握信息技术与银行业务的结合, IT审计与常规业务审计的结合。具体思路是:从信息系统到业务过程的审计, 可以通过发现的信息系统功能、模块、参数和控制的缺陷与漏洞, 查找在银行业务开展过程中的问题和风险;从银行业务到信息系统的审计, 可以通过查找银行业务流程的异常, 故障报警, 系统日志等情况, 追溯应用系统的问题;从信息系统到信息系统的审计, 可以通过信息系统之间的数据交互、接口测试与验证, 查找系统之间数据交换和整合问题。

　　2. 以风险为基线, 以应用控制为审计重点。

　　一是以风险为基线。从审计角度看, 审计的主要职责是发现风险点, 进行评估, 并向管理层提出合理的审计建议, 从而保障企业目标的实现。IT审计也应该以风险为基线, 发现信息系统中风险最大、控制最薄弱的环节, 进行评估并给出合理建议。二是以应用控制作为重点的审计。从审计角度看, IT审计可分IT治理审计、IT一般控制审计和IT应用控制审计三方面。在公司IT治理审计关注点有:IT规划、IT制度体系、IT风险管理、IT组织等;IT一般控制审计关注点有:系统需求、系统开发、变更管理、访问控制、日常操作、物理安全、业务连续性等等;IT应用控制审计关注点有:应用系统的输入输出控制、验证控制、接口控制、权限控制等。在三个方面中, 其中应用控制审计与业务关系最紧密, 应用控制的风险状况直接关系到业务的安全和实现。在以业务为基准的审计思路下, 有限的审计资源、审计时间必然重点投放到应用控制审计中。

　　3. 创新IT审计方法, 探索IT审计手段。

　　常规IT审计方法有:问卷调查、人员访谈、资料核查和现场观察等。IT审计手段指仅在信息系统审计中独有的技术手段, 如测试数据、日志审查、登录验证、渗透测试等。由于受技术能力不足、缺少专业审计工具等多种因素限制, 银行IT审计方法和手段较少, 需要进行深入探索。

　　(1) 开展大数据审计。银行信息系统有各类存取款、信贷、担保和财务数据, 可以运用大数据技术, 通过业务思维, 发现控制薄弱和高风险点问题。一是通过业务数据统计分析, 查找异常交易数据, 反推技术控制问题。如通过对业务数据进行全量大数据分析, 发现大额存取款时间规律曲线, 担保贷款分布异常情况等, 由此反推信息系统控制及业务流程审批管理问题。二是通过信息系统事件、日志, 跟踪信息系统问题。通过对系统日志、安全性日志、应用程序日志、数据库日志等专业工具分析, 追溯事件产生的原因, 追查问题线索和控制缺陷。

　　(2) 采用专业审计工具, 核查问题, 提高审计效率。通过专用的穿透测试工具、源代码扫描工具、信息系统审计钩等专业审计工具, 审查业务管理中的问题, 同时也提高了审计效率。

　　四、IT审计展望

　　商业银行IT审计是银行信息技术应用与审计发展到一定阶段的共同产物, 同时也是银行控制自身风险的必然要求。银行IT审计任重而道远, 这既要有国家法规、行业基本标准准则建设和完善, 也要有IT审计人员懂IT技术, 又懂银行业务, 其他从业人员具备现代企业风险控制的意识。

　　参考文献

　　[1]Ron Weber.Information Systems Control and Audit.Prentice Hall Inc.1999.
　　[2]张金城.信息系统审计[M].北京:清华大学出版社, 2009.