商业银行IT审计国际经验及借鉴.docVIP

商业银行IT审计国际经验及借鉴当前,信息技术已经渗透到商业银行经营的各个层面,其在为业务提供技术支撑和保障的同时,相关风险也在急剧加大。近年来,随着越来越多的金融舞弊与犯罪案件发生在IT相关领域,国内各商业银行逐步认识到IT审计的重要性,并开始加强IT审计力度;但相对于传统审计和国外情况,目前我国商业银行的IT审计仍处于初级阶段,本文通过介绍国外IT审计的先进经验,对国内商业银行的IT审计提出改进的初步建议。 国际IT审计已有公认标准 商业银行是IT应用最广泛和深入的行业,鉴于信息系统对业务及运营管理的支撑作用,发达国家的商业银行非常重视IT审计,多数在内审部门设立专门的IT审计机构,其工作量约占内审工作的1/3。在审计内容安排上,其范围基本覆盖了信息系统生命周期中的所有IT活动,包括基础设施和应用软件的开发、上线、运行、维护等过程;将IT审计与业务审计结合起来开展综合审计;一些大型银行还针对系统特殊事件开展专项审计,评价IT项目风险。 目前,国际上最为IT审计界广为接受的标准是“信息及相关技术控制目标”(COBIT),它是美国信息系统审计与控制协会(ISACA)发布的IT治理及审计标准。COBIT从体系化、标准化的高度,构建了关于信息系统投资、建设、控制、评价、审计的知识体系和方法论,在业务风险、控制需求和技术问题之间架起了一座桥梁,以满足管理的多方面需要。COBIT是当前国际上公认最先进、最成熟的IT控制和审计高层框架,已在100多个国家的重要组织与企业中得到应用。 COBIT的主要目标是面向业务,其框架设计基于以下原理:提供实现业务目标所需的企业信息,企业需要采用一系列结构化的IT流程来投资、管理和控制IT资源,提供服务以交付所需的企业信息。管理并控制信息是COBIT框架的核心,这有助于确保IT与业务需求保持一致。COBIT将IT流程、IT资源和业务需求(信息标准)联系起来,构成一个三维体系结构。其中,“信息标准”维集中反映了企业的战略目标,包括信息及信息系统的质量、安全性和可用(信)性;“IT资源”维主要包括人、应用系统、技术、设施及数据在内的信息相关资源,这是IT治理过程的主要对象;“IT流程”维则是对信息及相关资源进行运作的一系列IT活动,涵盖了信息技术规划与组织、获取与实施、交付与支持、监控4个领域、34个过程、318个活动及其控制目标。该标准之所以广受认可是基于如下四个特点: ―COBIT为美国信息系统控制与审计协会(ISACA协会,下同)所推出,而ISACA本身就是一个审计师和控制师的组织,其主要目的和动机就是评估IT控制和实施IT审计。依托COBIT实施审计,有其先天的合理性。 ―COBIT实现了组织的总体战略与IT战略之间的互动,依据COBIT实施审计,有利于IT审计工作保持与组织战略目标的高度一致而不至于发生审计目标的偏离。 ―COBIT可以帮助审计部门与管理层、IT部门达成共识,并提供了彼此之间有效沟通的共同语言。 ―COBIT将IT工作分解为一系列细化的过程和目标,使得IT管理工作简易并量化,减轻对信息系统管理工作的复杂性,同时,也为IT审计的实施提供了一个细化的系统化框架,使得IT审计易于操作实施。另外,还可以利用COBIT提供的责任矩阵分解框架,做到基于角色的IT审计。 我国商业银行IT审计任重道远 相较于以上公认的IT审计国际标准,当前国内多数商业银行的IT审计尚有较大差距,尤其是在以下几个方面还存在明显不足。 专业人力资源匮乏。各银行虽然近年来引入了一些IT人员。但受多年以来惯性和存量的影响,内审人员绝大多数都是财会、经济专业出身,IT技术专业出身的审计人员数量很少,一般占比在4%以下,与需要承担的IT审计工作量和工作难度相比,数量和专业能力缺口很大。 经验不足。多年来我们对财会、信贷等传统业务审计已积累了丰富经验,基本有成例可循,而IT审计刚刚起步,处处都需要研究、探索。而且,作为被审计对象的财会、信贷等传统业务本身已经相对成熟稳定,而IT技术进步日新月异,新产品层出不穷,银行应用系统更迭频繁,即便是已有的审计经验也往往不过两年就会过时。 工作负荷和工作难度大。大型商业银行在用系统往往达近百个,且新系统上线不断,加之银行应用系统规模庞大、技术架构复杂,IT专业分工又日趋细致,要对其实施全面、深入、定期的审计困难极大。 审计规范体系有待建立。虽然个别银行制定了IT审计规程、IT审计方案,但是或者比较粗略,或者尚不够全面,完备、细致的IT审计规范体系有待建立。 审计内容有待深化和扩充。目前国内银行内审部门所实施的IT审计一般都局限于系统开发、系统运行的操作控制和流程控制层面,而缺少从IT治理高度针对银行I