韓華溢

[摘? ? 要] 隨著信息科技的蓬勃發(fā)展以及交易數(shù)據(jù)大集中的實(shí)現(xiàn)，農(nóng)商行對信息系統(tǒng)的依賴性越來越強(qiáng)，面臨的IT風(fēng)險(xiǎn)也越來越大，而農(nóng)商行IT審計(jì)發(fā)展則相對滯后。本文總結(jié)了省級聯(lián)社管理模式下農(nóng)商行IT審計(jì)的現(xiàn)狀，全面分析了當(dāng)前農(nóng)商行IT審計(jì)面臨的困難與瓶頸，在此基礎(chǔ)上從理念、體系、隊(duì)伍、平臺(tái)以及模式等方面提出了未來發(fā)展路徑，以期推動(dòng)農(nóng)商行IT審計(jì)更加有序開展。

[關(guān)鍵詞] IT審計(jì);農(nóng)商行;內(nèi)部審計(jì)

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2019. 17. 013

[中圖分類號(hào)] F239.45? ? [文獻(xiàn)標(biāo)識(shí)碼]? A? ? ? [文章編號(hào)]? 1673 - 0194（2019）17- 0030- 03

1? ? ? 引? ? 言

近年來，隨著信息技術(shù)的快速發(fā)展，尤其是大數(shù)據(jù)、云技術(shù)、移動(dòng)互聯(lián)等新技術(shù)在農(nóng)商行的廣泛應(yīng)用，極大地拓展了業(yè)務(wù)空間和服務(wù)手段，為農(nóng)商行的經(jīng)營發(fā)展提供了強(qiáng)大動(dòng)力，帶來了巨大經(jīng)濟(jì)效益。但與此同時(shí)，伴隨新技術(shù)應(yīng)用而來的IT風(fēng)險(xiǎn)卻更加多樣化、復(fù)雜化和難以管控，其可能造成的損失和影響也更加巨大。

早在2009年，原銀監(jiān)會(huì)就頒布了《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》，提出要構(gòu)建信息科技風(fēng)險(xiǎn)管理的“三道防線”，并要求審計(jì)貫穿信息科技的整個(gè)生命周期和重大事件，反映了IT審計(jì)在信息科技風(fēng)險(xiǎn)管理中的重要地位。2018年6月中國銀保監(jiān)會(huì)通報(bào)多起利用銀行系統(tǒng)漏洞或安全機(jī)制缺陷盜取資金的案件，情節(jié)令人震驚。在此背景下，農(nóng)商行內(nèi)部審計(jì)工作必須切實(shí)履行信息科技風(fēng)險(xiǎn)管控的“第三道防線”職責(zé)，主動(dòng)應(yīng)對挑戰(zhàn)，有效開展IT審計(jì)項(xiàng)目，發(fā)揮自身價(jià)值，服務(wù)農(nóng)商行高質(zhì)量發(fā)展。

2? ? ? 農(nóng)商行IT審計(jì)在實(shí)踐當(dāng)中的做法

當(dāng)前，絕大多數(shù)省份在對農(nóng)商行（包含農(nóng)合行）的管理上，采取了省級聯(lián)社和農(nóng)商行兩級法人的管理模式。省級聯(lián)社承擔(dān)了管理、指導(dǎo)、協(xié)調(diào)和服務(wù)的職能。與其他銀行相比，省級聯(lián)社管理模式下的農(nóng)商行在科技建設(shè)方面有著更為獨(dú)特的模式，一般都采用了“大平臺(tái)、小法人”的科技管理模式，省級聯(lián)社層面均設(shè)置科技相關(guān)部門，大部分市縣農(nóng)商行由于受到資金、人員等條件限制，科技研發(fā)基本依托于省級聯(lián)社統(tǒng)一的、集約化的系統(tǒng)建設(shè)，自身只負(fù)責(zé)簡單的軟硬件管理和維護(hù)，也有部分省份賦予農(nóng)商行自主研發(fā)非核心軟件系統(tǒng)的權(quán)限。

對信息科技風(fēng)險(xiǎn)開展獨(dú)立有效的評價(jià)是農(nóng)商行內(nèi)部審計(jì)的主要職責(zé)之一。科技建設(shè)的“二元管理模式”決定了農(nóng)商行的IT審計(jì)具有其不同于其他銀行的獨(dú)特性。筆者通過查閱大量資料并實(shí)地走訪，總結(jié)出當(dāng)前省級聯(lián)社管理模式下農(nóng)商行IT審計(jì)實(shí)踐可概況為以下幾點(diǎn)：

（1）從治理結(jié)構(gòu)上看，按照監(jiān)管部門要求，目前各農(nóng)商行內(nèi)審部門基本都直接向董事會(huì)報(bào)告。部分農(nóng)商行能夠在部門內(nèi)設(shè)立專職IT審計(jì)崗，專門負(fù)責(zé)全行IT審計(jì)，少數(shù)有條件的農(nóng)商行還單獨(dú)成立了IT審計(jì)中心，獨(dú)立于IT部門，體現(xiàn)了管理層對IT風(fēng)險(xiǎn)控制的高度重視。

（2）從團(tuán)隊(duì)建設(shè)上看，農(nóng)商行一方面通過內(nèi)部選拔機(jī)制從科技部門調(diào)入具有IT從業(yè)背景、熟知銀行相關(guān)業(yè)務(wù)的專業(yè)人才，組建IT審計(jì)團(tuán)隊(duì);另一方面加強(qiáng)專業(yè)培訓(xùn)，聘請外部專家開展商業(yè)銀行IT審計(jì)入門培訓(xùn)、在專項(xiàng)審計(jì)時(shí)采取跟班培訓(xùn)、以老帶新等方式提高IT審計(jì)團(tuán)隊(duì)整體素質(zhì)，達(dá)到IT審計(jì)資源儲(chǔ)備的目的，以應(yīng)對越來越高的IT審計(jì)需求。

（3）從項(xiàng)目實(shí)施上看，農(nóng)村商業(yè)銀行IT審計(jì)起步較晚，總體水平并不是很高。能開展監(jiān)管部門要求的所有信息科技相關(guān)類別審計(jì)項(xiàng)目的農(nóng)商行占比極低，僅有少部分農(nóng)商行開展過針對信息科技風(fēng)險(xiǎn)的全面審計(jì)，一些在省聯(lián)社層面獨(dú)立開展了部分信息科技的專項(xiàng)審計(jì)項(xiàng)目。

（4）從系統(tǒng)建設(shè)上看，農(nóng)商行能夠在實(shí)踐中積極推進(jìn)內(nèi)部審計(jì)的信息化建設(shè)，絕大部分省級聯(lián)社統(tǒng)一開發(fā)上線了審計(jì)系統(tǒng)，實(shí)現(xiàn)了對全部交易數(shù)據(jù)的存儲(chǔ)、查詢、分析和管理，通過創(chuàng)建開發(fā)一系列審計(jì)模型，及時(shí)發(fā)現(xiàn)審計(jì)線索，鎖定審計(jì)重點(diǎn)，為提高現(xiàn)場審計(jì)效率和質(zhì)量提供了有力支撐，促進(jìn)了審計(jì)模式的轉(zhuǎn)變。

3? ? ? 農(nóng)商行IT審計(jì)面臨的瓶頸與困境

當(dāng)前，大多數(shù)農(nóng)商行管理層能夠認(rèn)識(shí)到，IT審計(jì)對于促進(jìn)信息科技風(fēng)險(xiǎn)防范責(zé)任重大，必須在多方面有所突破、有所創(chuàng)新、有所提升，但要進(jìn)一步推進(jìn)，卻面臨著諸多的困難，如對IT治理沒有明晰的認(rèn)識(shí)，缺少IT審計(jì)方法與規(guī)范，審計(jì)力量薄弱，上下聯(lián)動(dòng)不夠等等，這些問題嚴(yán)重阻礙了IT審計(jì)工作的進(jìn)一步推進(jìn)，也導(dǎo)致出現(xiàn)了“第三道防線”的履職瓶頸。

3.1? ?對IT審計(jì)的定位認(rèn)識(shí)模糊

業(yè)內(nèi)對IT審計(jì)的認(rèn)識(shí)，經(jīng)過了技術(shù)導(dǎo)向、控制導(dǎo)向、風(fēng)險(xiǎn)導(dǎo)向三個(gè)階段，先后產(chǎn)生了BS7799、SP800、ISO27005、COBIT等代表性框架。目前普遍認(rèn)為信息科技風(fēng)險(xiǎn)應(yīng)融入企業(yè)全面風(fēng)險(xiǎn)管理中，成為整個(gè)企業(yè)治理框架的重要組成部分，其代表性框架為ISACA（國際信息系統(tǒng)審計(jì)協(xié)會(huì)）發(fā)布的Risk IT。

但是目前農(nóng)商行對IT審計(jì)的認(rèn)識(shí)不足，大部分僅限于應(yīng)付監(jiān)管部門要求，有的認(rèn)為IT審計(jì)必須完全依賴于專業(yè)技術(shù)人員，有的認(rèn)為IT風(fēng)險(xiǎn)的第三道防線根本就是空談，有的僅關(guān)注科技管理或業(yè)務(wù)連續(xù)性，只有少數(shù)單位意識(shí)到系統(tǒng)控制應(yīng)與業(yè)務(wù)風(fēng)險(xiǎn)防范相結(jié)合。認(rèn)識(shí)上的不足，導(dǎo)致大多數(shù)農(nóng)商行目前投入的人力物力，與快速發(fā)展的業(yè)務(wù)相比存在不小的差距，制約了IT審計(jì)的工作質(zhì)量。

3.2? ?審計(jì)的廣度和頻率不夠

按照人民銀行及銀保監(jiān)會(huì)相關(guān)要求，農(nóng)商行審計(jì)部門必須開展的信息科技審計(jì)至少包括信息科技全面審計(jì)、業(yè)務(wù)連續(xù)性專項(xiàng)審計(jì)等9項(xiàng)，并規(guī)定了開展審計(jì)的最低頻率，見表1。

與監(jiān)管要求相比，絕大部分農(nóng)商行不能滿足監(jiān)管要求，距離監(jiān)管要求有很大差距。從信息科技監(jiān)管評級方面看，大多數(shù)農(nóng)商行都存在信息科技審計(jì)未開展、審計(jì)覆蓋面不足等問題，影響了農(nóng)商行信息科技評價(jià)總體評分。

3.3? ?缺乏足夠的IT審計(jì)專業(yè)人才

IT審計(jì)專業(yè)性強(qiáng)、技術(shù)門檻高，充分履行“第三道防線”職責(zé)需要既懂得信息技術(shù)、了解銀行業(yè)務(wù)又具備一定審計(jì)經(jīng)驗(yàn)的專門人才。一方面，內(nèi)審部門具有IT背景的審計(jì)人員少之又少，相當(dāng)一部分農(nóng)商行尚未配備具備信息科技背景的審計(jì)人員，缺少獨(dú)立開展IT審計(jì)的必要條件。同時(shí)，獨(dú)立開展農(nóng)商行IT審計(jì)，特別是全面審計(jì)對IT審計(jì)人員配備的要求很高，而單家農(nóng)商行由于審計(jì)隊(duì)伍總?cè)藬?shù)限制、IT審計(jì)人員專業(yè)較為單一、培養(yǎng)成本高等因素，造成不具備招募維持大量IT審計(jì)人員的條件，導(dǎo)致專業(yè)人才緊缺成為制約審計(jì)部門履行IT審計(jì)相關(guān)職責(zé)的瓶頸。另一方面，大部分農(nóng)商行開展IT審計(jì)的時(shí)間較短，IT審計(jì)人員多來自科技部門，雖然有較豐富的信息系統(tǒng)開發(fā)或運(yùn)維經(jīng)驗(yàn)，但審計(jì)技能還有待提高，也影響了內(nèi)部審計(jì)的成效。

3.4? ?缺少規(guī)范的IT審計(jì)技術(shù)方法

當(dāng)前，農(nóng)商行IT審計(jì)工作缺乏基本的系統(tǒng)性和規(guī)范性，各農(nóng)商行對于信息科技的審計(jì)缺少規(guī)范有效的方法、措施和數(shù)據(jù)模型，大多尚停留在制度的完整性遵循性檢查層面，發(fā)現(xiàn)的也通常是表面合規(guī)問題，不知道審什么、怎么審，難以把握IT內(nèi)部審計(jì)的重點(diǎn)，很少觸及深層次業(yè)務(wù)風(fēng)險(xiǎn)和IT技術(shù)問題，無法揭示信息系統(tǒng)開發(fā)、運(yùn)行中存在的重大風(fēng)險(xiǎn)或缺陷，審計(jì)工作的效果大打折扣。

與之相應(yīng)的是日益龐大的銀行信息系統(tǒng)、日趨復(fù)雜的運(yùn)行環(huán)境及互聯(lián)網(wǎng)金融等新的應(yīng)用大規(guī)模上線，銀行系統(tǒng)架構(gòu)發(fā)生深刻變化，新的信息安全風(fēng)險(xiǎn)不斷產(chǎn)生。例如，一些農(nóng)商行自主開發(fā)的軟件系統(tǒng)，越來越多地采用迭代式敏捷開發(fā)模型，以快速響應(yīng)滿足業(yè)務(wù)部門需求，導(dǎo)致傳統(tǒng)基于瀑布開發(fā)模型的安全控制機(jī)制難以奏效，系統(tǒng)漏洞難以被及時(shí)發(fā)現(xiàn)，形成隱患。

3.5? ?整體性和聯(lián)動(dòng)性還不強(qiáng)

當(dāng)前，省級聯(lián)社與農(nóng)商行信息科技系統(tǒng)是一個(gè)整體，但在實(shí)際工作中，省級聯(lián)社與各農(nóng)商行對信息科技的審計(jì)存在相互割裂，各自為戰(zhàn)的現(xiàn)象，比如業(yè)務(wù)連續(xù)性等一些審計(jì)過程尚不能涵蓋系統(tǒng)的所有環(huán)節(jié)，難以全面反映信息科技存在的重要風(fēng)險(xiǎn)，省級聯(lián)社行業(yè)審計(jì)與內(nèi)部審計(jì)的聯(lián)動(dòng)效應(yīng)發(fā)揮不夠。

4? ? ? 加強(qiáng)農(nóng)商行IT審計(jì)的幾點(diǎn)建議

展望未來，農(nóng)商行在實(shí)施IT審計(jì)項(xiàng)目時(shí)，需要立足實(shí)際情況，緊密聯(lián)系信息科技與業(yè)務(wù)發(fā)展的新形式、新特點(diǎn)，遵循先進(jìn)的審計(jì)標(biāo)準(zhǔn)，突出技術(shù)優(yōu)勢和風(fēng)險(xiǎn)導(dǎo)向，找準(zhǔn)IT審計(jì)在農(nóng)商行的準(zhǔn)確定位，促進(jìn)IT審計(jì)更健康有序地開展。

4.1? ?明確方向，堅(jiān)持一種理念

理念決定思路，思路決定出路。做好IT審計(jì)工作，首先要解決審計(jì)方向的問題。農(nóng)商行審計(jì)部門從原本以合規(guī)審計(jì)、制度遵循性檢查為主，逐步轉(zhuǎn)為“以風(fēng)險(xiǎn)為導(dǎo)向”組織開展IT審計(jì)項(xiàng)目。在此前提下，需要明確“以業(yè)務(wù)為核心，業(yè)務(wù)與技術(shù)相結(jié)合”的IT審計(jì)思路，即從系統(tǒng)到業(yè)務(wù)審計(jì)、從業(yè)務(wù)再到系統(tǒng)審計(jì)、再從系統(tǒng)到系統(tǒng)審計(jì)。同時(shí)結(jié)合當(dāng)前農(nóng)商行的實(shí)際情況，在以業(yè)務(wù)為核心的指導(dǎo)思想下，將有限的審計(jì)資源重點(diǎn)投入到應(yīng)用控制審計(jì)中。

4.2? ?制度先行，建設(shè)一套體系

一是建立規(guī)范的IT審計(jì)工作規(guī)范。建議在省級聯(lián)社層面根據(jù)監(jiān)管法規(guī)和實(shí)際情況，制定IT審計(jì)規(guī)范、指引等制度辦法，并指導(dǎo)各農(nóng)商行制定實(shí)施細(xì)則，明確IT審計(jì)的職能定位、審計(jì)內(nèi)容、工作流程、運(yùn)作模式以及相關(guān)的管理要求，逐步形成一套貫穿審計(jì)全周期的質(zhì)量控制體系。二是建立實(shí)用的IT審計(jì)技術(shù)方法。遵循標(biāo)準(zhǔn)化、專業(yè)化的原則，適時(shí)啟動(dòng)研究編寫農(nóng)商行IT審計(jì)操作指南，制定穿行測試、代碼審查等專門工具方法，逐步構(gòu)建IT審計(jì)實(shí)務(wù)標(biāo)準(zhǔn)。此外，還要定期總結(jié)IT審計(jì)項(xiàng)目經(jīng)驗(yàn)，收集先進(jìn)銀行相關(guān)審計(jì)案例，建立IT審計(jì)知識(shí)庫。

4.3? ?人才為本，打造一支隊(duì)伍

擁有一支高素質(zhì)、專業(yè)化的人才隊(duì)伍，是IT審計(jì)工作順利開展的重要前提。一是多渠道、多層次、多結(jié)構(gòu)地引進(jìn)、選拔人才，逐步充實(shí)、壯大IT審計(jì)力量，抓緊組建一支以核心人才為引領(lǐng)、骨干人才為支撐、應(yīng)用人員為基礎(chǔ)的人才隊(duì)伍體系。二是強(qiáng)化持續(xù)教育，通過每年組織集中專題培訓(xùn)、鼓勵(lì)參加CISA認(rèn)證學(xué)習(xí)等，促進(jìn)及時(shí)更新理論與知識(shí)，掌握先進(jìn)技術(shù)和方法，持續(xù)提升綜合素質(zhì)和專業(yè)能力。三是注重審計(jì)項(xiàng)目中的實(shí)戰(zhàn)鍛煉，省級聯(lián)社可以通過IT審計(jì)人才的一體化管理，輪流抽調(diào)全行業(yè)IT審計(jì)人員參與省聯(lián)社統(tǒng)一組織的IT審計(jì)項(xiàng)目，以老帶新、以干代培、共享經(jīng)驗(yàn)，不斷升級IT審計(jì)能力。

4.4? ?科技支撐，搭建一個(gè)平臺(tái)

在大數(shù)據(jù)時(shí)代，充分依托省級聯(lián)社層面的科技優(yōu)勢，構(gòu)建支持IT審計(jì)活動(dòng)信息化、自動(dòng)化、綜合化的審計(jì)信息系統(tǒng)平臺(tái)，能夠極大地促進(jìn)提升IT審計(jì)工作效率和效果。一方面，利用現(xiàn)有的審計(jì)系統(tǒng)，實(shí)現(xiàn)對全行業(yè)IT審計(jì)計(jì)劃、項(xiàng)目實(shí)施、資源配置以及質(zhì)量控制的科學(xué)管理，也可以消除地域割裂的制約，使IT審計(jì)工作更加規(guī)范、高效。另一方面，要大力開展“數(shù)據(jù)式”審計(jì)，獲取信息系統(tǒng)開發(fā)、運(yùn)行相關(guān)數(shù)據(jù)，包括重要操作系統(tǒng)、數(shù)據(jù)庫和核心網(wǎng)絡(luò)設(shè)備的日志、安全參數(shù)文件等等，自主研發(fā)關(guān)鍵指標(biāo)和審計(jì)模型，對全量數(shù)據(jù)開展深度挖掘，監(jiān)測系統(tǒng)的運(yùn)行管理、信息安全和生產(chǎn)事件，及時(shí)提示、預(yù)防IT風(fēng)險(xiǎn)。

4.5? ?統(tǒng)籌規(guī)劃，創(chuàng)新一套模式

當(dāng)前，針對農(nóng)商行IT審計(jì)人才儲(chǔ)備不足、審計(jì)經(jīng)驗(yàn)缺乏以及系統(tǒng)架構(gòu)特點(diǎn)，有必要因地制宜創(chuàng)新變革審計(jì)模式，建立一套“分級實(shí)施、上下聯(lián)動(dòng)”的IT審計(jì)組織管理模式。根據(jù)監(jiān)管要求和業(yè)務(wù)需要，在省級聯(lián)社層面可每年確定1至2個(gè)專題，按照全系統(tǒng)集中組織、統(tǒng)一方案、同步實(shí)施、匯總報(bào)告的組織方式，由省級聯(lián)社審計(jì)部門統(tǒng)一組織審計(jì)省級聯(lián)社“大平臺(tái)”建設(shè)、管理、維護(hù)等情況，各相關(guān)農(nóng)商行負(fù)責(zé)審計(jì)前端應(yīng)用、本行自建系統(tǒng)和相關(guān)業(yè)務(wù)領(lǐng)域。通過上下聯(lián)動(dòng)，分工協(xié)作，實(shí)現(xiàn)省級聯(lián)社行業(yè)審計(jì)與農(nóng)商行內(nèi)部審計(jì)的彈性互動(dòng)，促進(jìn)提升IT審計(jì)項(xiàng)目質(zhì)量，有利于充分發(fā)揮整體合力，同時(shí)對解決農(nóng)商行自行審計(jì)“無從下手”、重要問題“無法追溯”的難題具有現(xiàn)實(shí)意義。

主要參考文獻(xiàn)

[1]審計(jì)署審計(jì)科研所.信息系統(tǒng)審計(jì)內(nèi)容與方法[M].北京：中國時(shí)代經(jīng)濟(jì)出版社，2009.

[2]吳桂英.信息系統(tǒng)審計(jì)理論與實(shí)務(wù)[M].北京：清華大學(xué)出版社，2012.

[3]俞文平，周平.IT審計(jì)之道 [M].北京：清華大學(xué)出版社，2016.

[4]高卓，吳婷.建設(shè)銀行IT審計(jì)發(fā)展策略[J].金融電子化，2011（10）.

[5]陳偉，SMIELIAUSKAS，Wally.大數(shù)據(jù)環(huán)境下的電子數(shù)據(jù)審計(jì)：機(jī)遇、挑戰(zhàn)與方法[J].計(jì)算機(jī)科學(xué)，2016，43（1）：8-13.

[6]王小山.基于COBIT 5.0的商業(yè)銀行信息系統(tǒng)審計(jì)研究——以A銀行為例[D].杭州：浙江工商大學(xué)，2017.