商业银行信息科技内部审计初步探讨.docVIP

商业银行信息科技内部审计初步探讨 　　【摘要】中国银监会不断细化深入信息科技风险监管工作，信息科技内部审计作为商业银行重要的信息科技风险审计手段，应当在信息科技专项审计、全面审计、重要项目审计中发挥重要作用。本文分析了当前商业银行在信息科技内部审计方面存在的困难，并提出了相应的应对措施与建议。 　　【关键词】信息科技 内部审计 信息化 　　2000年以来，继四大行成功完成数据大集中后，各股份制商业银行纷纷加入数据大集中的行列，“科技兴行”、“科技引领”等理念不断冲击人们对商业银行信息系统的固有认识，电子银行渠道持续拓展，商业银行的业务流转也越来越依赖于信息系统的支撑。这些变化一方面使得信息科技在商业银行中的作用不断凸显，另一方面也使得商业银行的信息科技风险进一步放大。 　　继2006年中国银监会发布《银行业金融机构信息系统风险管理指引》将信息科技风险纳入商业银行风险管理范畴后，2009年银监会又正式发布《商业银行信息科技风险管理指引》（下文简称《指引》），进一步加强商业银行信息科技风险管理。2012年银监会宣布设立信息科技监管部，负责银行业信息科技监管督导和风险防范，信息科技风险监管工作不断细化、深入。监管部门对信息科技风险管理的日趋重视，客观上提高了商业银行信息科技风险管理工作的重视程度。 　　一、信息科技内部审计范围 　　《指引》提出了商业银行IT风险管理的“三道防线”，即IT管理、IT风险管理和IT风险审计。IT风险审计作为第三道防线分为内部审计、外部审计两方面。按照《指引》要求，银行内部审计部门应当设立足够资源与具有专业能力的IT内部审计人员，并独立于银行的日常活动。商业银行IT内部审计应该包括以下三方面： 　　（一）专项审计 　　专项审计是指对IT安全事件进行的调查、分析和评估。涉及重要业务系统、信息安全或审计部门认为必要的特殊事件都有必要展开IT专项审计。 　　（二）全面审计 　　应定期实施全行范围内的IT内部审计，应充分考虑业务性质、规模及复杂度，区分总行信息部门（数据中心）、分行、支行等各个层级，制定全覆盖的IT内部审计计划。 　　（三）重要项目审计 　　在进行大规模系统开发时，内部审计部应对系统开发的整个生命周期进行控制。包括项目前期的可行性研究、需求分析，项目开发，项目正式上线后的业务及运维。实际操作中，可以根据项目情况，对各项目里程碑展开相应的审计工作。 　　可以看出，IT内部审计既有全面审计，也有专项审计，还包括重大项目审计，涵盖了银行IT的方方面面。 　　二、信息科技内部审计面临的困难 　　内部审计部门应当从上述三个方面入手，检查评估商业银行信息科技系统和内控机制的充分性和有效性，提出整改意见并检查整改意见的落实情况。近年来，商业银行根据《指引》做了大量工作，但是在信息科技内部审计方面仍然存在诸多困难。 　　（一）缺乏IT审计人才 　　银行普遍存在着IT审计岗位编制不足、IT审计人员招聘培养困难、IT审计人员专业技术能力不强等情况。IT审计力量的薄弱，极大地影响了IT内部审计的成效，甚至会出现IT内部审计过分依赖信息科技部门的尴尬局面。 　　（二）缺乏IT审计方法及规范 　　缺少规范的IT审计方法论，缺乏对整个银行信息系统的全局认识，在IT内部审计中会存在不知道审什么、不知道怎么审，不容易把握IT内部审计的重点，无法触及部分风险隐患。 　　（三）缺乏IT审计方向 　　现阶段银行的IT内部审计都是为了满足监管要求，没有站在业务驱动的角度，缺少为“科技引领”提供保驾护航的力度。 　　三、商业银行如何加强IT内部审计 　　面对上述困难与挑战，银行应当充分认识IT内部审计对银行的重要作用，内部审计部门主动加强与信息科技部门的共同协作，加强IT审计专业队伍的建设。 　　1.管理层及信息科技部应当认识到，IT内部审计作为IT风险审计的重要一环，是IT风险管理的重要组成部分，应当重视内部IT审计部门及岗位的建立，充分发挥其积极作用。对IT内部审计的有效管理，可及时评价IT整体风险管理的水平，可对开发项目进行事中控制，分析IT事件原因、提出整改意见并监督落实。信息科技部应该认识到，IT内部审计不是故意“挑错找茬”，它可以积极发现IT潜在的管理疏漏，有效降低IT风险发生概率，提高IT全员的风险意识和认知。 　　2.内部审计部门应当加强与信息科技部的沟通与协助，可以进行各种形式的、有益的探索与尝试。比如，在IT风险源的制定与风险库的建立方面充分发挥信息科技的能动性，甚至以信息科技部的意见为主。在此基础上，内部审计部通过各类IT事件的分析、IT专项审计等手段不断来丰富完善风险源。比如，加强与信息科技部的沟通，由其讲解IT最新技术发展、整体架构、变更管理与运行维护等，