摘 要：銀行信息技術(shù)審計是由其相對獨立的內(nèi)審部門，通過對信息系統(tǒng)及信息科技內(nèi)部控制和流程的審查，揭示信息科技管理和操作中存在的問題，并評價信息科技管理目標實現(xiàn)情況，從而判斷信息系統(tǒng)能否保證組織的資產(chǎn)安全、數(shù)據(jù)完整、支撐業(yè)務(wù)發(fā)展且風(fēng)險可控，進而采取措施促進信息科技符合組織戰(zhàn)略目標。從目前已開展的信息技術(shù)審計項目實施情況看，其中存在一系列制約信息技術(shù)審計有效實施的難點和問題，因此，需要在實踐中不斷提升應(yīng)對策略以對其進行改進和完善。本文在分析銀行信息技術(shù)審計實踐的現(xiàn)狀和難點的基礎(chǔ)上，對有助于提升審計質(zhì)量的信息技術(shù)審計策略做了較為深入細致的探討。

關(guān)鍵詞：信息技術(shù)風(fēng)險管理；信息技術(shù)審計；審計策略

中圖分類號：F239.1 文獻標識碼：A 文章編號：2096-4706（2019）02-0194-03

Abstract：Information technology audit of banks is a relatively independent internal audit department. Through reviewing the internal control and process of information system and information technology，it reveals the problems existing in the management and operation of information technology，and evaluates the achievement of information technology management objectives，so as to judge whether information system can guarantee the safety and number of assets of an organization. According to the integrity，support business development and risk control，and then take measures to promote information technology in line with organizational strategic objectives. From the current implementation of information technology audit projects，there are a series of difficulties and problems that restrict the effective implementation of information technology audit. Therefore，we need to constantly improve the response strategies in practice to improve and perfect them. Based on the analysis of the current situation and difficulties of bank information technology audit practice，this paper makes a thorough and detailed discussion on the information technology audit strategy which can help to improve the audit quality.

Keywords：information technology risk management；information technology audit；audit strategy

1 審計現(xiàn)狀

隨著互聯(lián)網(wǎng)金融時代的到來，近年來，銀行重要業(yè)務(wù)運行及管理均納入信息系統(tǒng)的管控之下。為保證這種管控符合組織目標，各銀行內(nèi)部都組織開展了信息技術(shù)審計，其主要圍繞領(lǐng)域、機構(gòu)、系統(tǒng)三個維度，穩(wěn)步開展信息技術(shù)一般控制審計、信息技術(shù)應(yīng)用控制審計以及信息安全審計等項目，其審計對象和范圍主要涉及以下幾個方面。

1.1 從管理維度看

信息技術(shù)審計主要關(guān)注信息科技治理、風(fēng)險管理、信息安全、信息系統(tǒng)開發(fā)測試、信息系統(tǒng)運行維護、業(yè)務(wù)連續(xù)性、信息技術(shù)外包等七個領(lǐng)域，并基本履蓋系統(tǒng)整個生命周期。

1.2 從機構(gòu)維度看

信息技術(shù)審計主要關(guān)注信息科技風(fēng)險管理的第一道防線和第二道防線，包括總行級科技管理部門、軟件開發(fā)中心、數(shù)據(jù)中心、風(fēng)險管理部、內(nèi)控與法律合規(guī)部以及各一級分行等。

1.3 從系統(tǒng)維度看

信息技術(shù)審計主要關(guān)注會計核算系統(tǒng)、信貸管理系統(tǒng)、報表系統(tǒng)等基礎(chǔ)系統(tǒng)。近年來，各銀行根據(jù)業(yè)務(wù)發(fā)展和國家政策導(dǎo)向，對大數(shù)據(jù)平臺、互聯(lián)網(wǎng)金融、信用卡等業(yè)務(wù)系統(tǒng)也逐步開展了專項審計。

在上述審計中，銀行內(nèi)審部門以風(fēng)險為導(dǎo)向，圍繞“審什么”和“怎么審”，制定了審計操作模板，覆蓋審計控制域與控制點兩個層面，明確審計內(nèi)容、審計方法和審計依據(jù)，可以實現(xiàn)審計過程的標準化和規(guī)范化；在審計實踐中，銀行能夠根據(jù)業(yè)務(wù)反饋的風(fēng)險點，初步判斷應(yīng)用系統(tǒng)控制效果，并通過訪問測試和系統(tǒng)輸入輸出驗證權(quán)限控制的合理性、數(shù)據(jù)處理的準確性。與此同時，銀行信息技術(shù)審計在專業(yè)能力、審計視角、日常監(jiān)測及整改落實等方面仍存在嚴重不足，這在一定程度上限制了信息技術(shù)審計工作質(zhì)量的提升和審計成果的價值實現(xiàn)。銀行信息技術(shù)審計的不足主要體現(xiàn)在以下方面：一是專業(yè)能力不足導(dǎo)致重點審計域?qū)ｍ棇徲嬋笔?。近年來開展的信息科技審計工作尚未觸及互聯(lián)網(wǎng)金融、零售及中間業(yè)務(wù)等新型業(yè)務(wù)領(lǐng)域的管理盲區(qū)，同時，由于審計能力不足，信息科技審計對上述業(yè)務(wù)領(lǐng)域的信息系統(tǒng)的代碼質(zhì)量、壓力測試、投產(chǎn)變更、開源軟件、影子信息技術(shù)等控制點也未涉足。二是信息科技審計僅局限于技術(shù)細節(jié)而缺乏管理視角。其對重要信息系統(tǒng)，管理體系層面，第一、二道防線的履職關(guān)注不夠，溝通不足，缺乏管理視角和全行視角，僅局限于技術(shù)細節(jié)，“就事論事”，未能將具體風(fēng)險事項與信息技術(shù)管理活動結(jié)合來揭示戰(zhàn)略規(guī)劃落實、體制機制、制度流程等背后的深層次問題和風(fēng)險。三是日常風(fēng)險監(jiān)測及后續(xù)整改措施落實不到位。信息系統(tǒng)風(fēng)險監(jiān)測團隊配備不足，系統(tǒng)風(fēng)險日常監(jiān)測缺位。受知識水平限制，銀行內(nèi)審團隊與審計對象信息科技部門和風(fēng)險管理部門缺乏溝通，對信息科技自評估報告和風(fēng)險監(jiān)測報告利用不足，無法及時獲取被查行系統(tǒng)風(fēng)險及相應(yīng)的風(fēng)險應(yīng)對措施。對信息科技審計項目后續(xù)整改跟蹤機制落實不足，未有效開展后續(xù)整改與跟蹤工作。

2 審計難點

2.1 項目規(guī)劃方面

系統(tǒng)失效是銀行風(fēng)險的重要組成部分。相關(guān)統(tǒng)計數(shù)據(jù)表明，銀行信息系統(tǒng)失效風(fēng)險占銀行總風(fēng)險的10%-20%，并且這個數(shù)字還會隨著銀行信息化的深入而逐步增大。但目前，銀行內(nèi)部審計人員普遍沒有掌握信息系統(tǒng)風(fēng)險評估技術(shù)，風(fēng)險有多大、影響有多深、預(yù)估損失有多大，都無法從客觀上估量，其評估存在主觀取舍的成份。在制定審計規(guī)劃、計劃及方案時缺乏科學(xué)依據(jù)，對重點審計域、風(fēng)險控制點無法準確界定。

2.2 數(shù)據(jù)獲取方面

除信息技術(shù)服務(wù)臺外，現(xiàn)有信息技術(shù)管理系統(tǒng)較少，且服務(wù)臺數(shù)據(jù)結(jié)構(gòu)化不強，無法導(dǎo)入內(nèi)部審計系統(tǒng)，致使審前分析無數(shù)據(jù)可用。在現(xiàn)場審計中，審計人員往往只能根據(jù)被審計單位提供的統(tǒng)計數(shù)據(jù)、書面文件或會計核算資料等進行查證。這種審前及審中數(shù)據(jù)分析的缺失，一方面無法保證審計數(shù)據(jù)的真實性和準確性，致使審計人員陷入了反復(fù)核實數(shù)據(jù)正確性的困境，另一方面又使得內(nèi)審人員始終無法跳出會計核算的局限，無法在信息技術(shù)審計更高的層次和更深的領(lǐng)域發(fā)揮作用。

2.3 技術(shù)手段方面

信息技術(shù)自動化監(jiān)控工具、系統(tǒng)測試工具、源代碼掃描工具等專業(yè)性較強，現(xiàn)有審計人員相關(guān)知識水平尚不能達到熟練應(yīng)用的程度，更無法從中獲取信息進行分析查證。信息系統(tǒng)知識的儲備嚴重不足，技術(shù)手段的掌握嚴重滯后，使得審計人員對信息技術(shù)風(fēng)險的存在及影響范圍界定不夠準確，因而不能從整體和全局層面揭示風(fēng)險。

2.4 問題整改方面

開展信息系統(tǒng)審計的基本目標是揭示信息科技管理和操作中存在的問題，評價信息科技管理目標實現(xiàn)情況，督促被審方采取強有力的審計整改措施和手段來提升信息科技管理水平。但相對于財務(wù)、信貸等大型業(yè)務(wù)審計項目，被審計單位對信息技術(shù)審計的整改不夠重視，往往將審計查出的問題歸咎于技術(shù)處理不當，沒有真正理解“現(xiàn)象在下面，根子在上面”的信息技術(shù)特點，沒有將技術(shù)問題與背后的管理活動相結(jié)合，導(dǎo)致問題整改治標不治本，屢查屢犯，信息科技管理始終停留在低水平層面，從根本上違背了開展信息系統(tǒng)審計的初衷和目的。

3 應(yīng)對策略

3.1 緊抓信息技術(shù)審計數(shù)據(jù)建設(shè)，逐漸形成完備的審計方法體系

針對目前銀行內(nèi)部信息技術(shù)審計缺乏相關(guān)數(shù)據(jù)的問題，筆者建議將科技本身的管理系統(tǒng)信息如信息技術(shù)服務(wù)臺的監(jiān)測數(shù)據(jù)進行結(jié)構(gòu)化處理后完整納入到內(nèi)部審計系統(tǒng)，通過全量數(shù)據(jù)分析發(fā)現(xiàn)審計線索。同時，突出問題導(dǎo)向，持續(xù)開發(fā)信息技術(shù)審計方法查勘型，成熟一個推廣一個，螺旋上升，逐漸形成信息技術(shù)審計方法體系。在信貸、財務(wù)等業(yè)務(wù)非現(xiàn)場審計中發(fā)現(xiàn)的數(shù)據(jù)異常問題，可以作為線索移交給信息技術(shù)審計部門，以進一步確定是系統(tǒng)架構(gòu)、業(yè)務(wù)邏輯問題，還是運維操作問題。

3.2 追溯應(yīng)用系統(tǒng)規(guī)劃、實現(xiàn)，從源頭防范和化解風(fēng)險

在“就事論事”的基礎(chǔ)上，追溯上游規(guī)劃和開發(fā)，不僅可以促進信息技術(shù)風(fēng)險的標本兼治，還可以使信息科技資源得到充分利用，實現(xiàn)風(fēng)險與績效同行。信息技術(shù)活動的主體是信息系統(tǒng)，除系統(tǒng)、網(wǎng)絡(luò)等固有風(fēng)險外，下游運維階段的數(shù)據(jù)安全、人工干預(yù)、控制薄弱等問題也源于上游的系統(tǒng)架構(gòu)。因此，追溯應(yīng)用系統(tǒng)規(guī)劃、實現(xiàn)，從源頭防范和化解風(fēng)險，十分必要。而普遍存在的科技人員不足問題可以通過信息系統(tǒng)的整合、優(yōu)化得以有效緩解。

3.3 完善信息技術(shù)審計技術(shù)手段

完善信息技術(shù)審計技術(shù)手段主要是完善系統(tǒng)穿透測試工具、源代碼掃描工具、信息技術(shù)審計鉤等專用審計工具的操作使用模板。信息技術(shù)審計技術(shù)手段是信息技術(shù)審計中獨有的技術(shù)手段，包括源代碼審計、日志審查、滲透測試及測試數(shù)據(jù)等，而大多數(shù)審計人員的相關(guān)知識儲備都遠遠不足，迫切需要完備的、專業(yè)的、簡明易懂的操作手冊來指導(dǎo)信息技術(shù)審計實踐。通過依托上述專業(yè)化工具，對系統(tǒng)日志、安全性日志、應(yīng)用程序日志、數(shù)據(jù)庫日志等進行專業(yè)分析，可以發(fā)現(xiàn)審計線索，追溯信息技術(shù)風(fēng)險事件及事故產(chǎn)生原因，最終查實系統(tǒng)控制缺陷，從而占領(lǐng)信息系統(tǒng)風(fēng)險控制的制高點。

3.4 做實與科技部門、風(fēng)險部門第一道和二道防線的溝通

銀行可采取定時或不定時方式，例如會議、材料以及科技管理監(jiān)控系統(tǒng)交流等，與科技部門、風(fēng)險部門第一道和二道防線進行溝通，從而了解情況，監(jiān)測風(fēng)險。從業(yè)務(wù)驅(qū)動到系統(tǒng)開發(fā)、運行維護、災(zāi)備管理等整個系統(tǒng)生命周期來理解信息系統(tǒng)，科學(xué)制定審計計劃和方案，防范管理盲區(qū)，著力提高審計質(zhì)量；同時與被審計對象一道，落實整改督導(dǎo)和跟蹤措施，完善整改后的評估機制，促成審計成果的價值實現(xiàn)。

4 結(jié) 論

信息技術(shù)審計作為風(fēng)險管理體系的第三道防線，在銀行全面風(fēng)險管控中發(fā)揮著越來越重要的作用。對信息技術(shù)審計現(xiàn)狀、問題以及策略進行分析，進一步規(guī)范和加強信息技術(shù)審計，既是銀行自身為保障全行信息科技水平符合業(yè)務(wù)發(fā)展目標的需要，也是內(nèi)外部監(jiān)管當局對銀行各項信息科技活動合規(guī)性的要求。

參考文獻：

[1] 吳晶.等級保護“安全審計”應(yīng)用實現(xiàn) [J].信息網(wǎng)絡(luò)安全，2013（8）：6.

[2] 林樂宇，劉磊，王石，等.MUIS：一種新型的多領(lǐng)域信息共享聯(lián)盟系統(tǒng)及其應(yīng)用 [J].計算機研究與發(fā)展，2008（4）：684-694.

[3] 陶星，李衛(wèi)華，汪中飛.基于知網(wǎng)的可拓領(lǐng)域信息元庫的構(gòu)建方法 [J].智能系統(tǒng)學(xué)報，2015，10（5）：790-796.

[4] 李勇.跨領(lǐng)域信息共享實施過程管理分析 [J].電子技術(shù)與軟件工程，2015（4）：13.

[5] 師新宇.開展信息系統(tǒng)審計的思路及應(yīng)用 [J].現(xiàn)代工業(yè)經(jīng)濟和信息化，2015，5（12）：82-84.

作者簡介：王翎艷（1970.09-），女，重慶人，高級會計師，研究生，研究方向：IT。