淺議中小商業(yè)銀行基于風險控制的IT審計

郭 烈

（江陰農(nóng)商銀行，江蘇 江陰 214400）

一、引言

改革開放推動了中國金融業(yè)的快速發(fā)展，信息技術被廣泛應用于商業(yè)銀行經(jīng)營的各個方面，并成為商業(yè)銀行經(jīng)營戰(zhàn)略必須考慮的重要因素，伴隨而來的是商業(yè)銀行對信息系統(tǒng)依賴性的不斷增強。作為科技應用型人員，發(fā)現(xiàn)信息系統(tǒng)在為商業(yè)銀行提供便利、滿足各種功能和服務需求、帶來效益的同時，相關風險和安全隱患也在不斷增加。

近年來，銀行業(yè)信息科技安全事件頻發(fā)。例如2011年4月12日，某銀行由于網(wǎng)絡癱瘓，導致無法辦理現(xiàn)金業(yè)務；2014年6月24日，某農(nóng)商行機房發(fā)生線路電氣故障，導致火災，機房內部分設備受損；2015年5月8日，某城商行核心數(shù)據(jù)庫宕機，造成該行柜面和渠道業(yè)務長時間中斷。

以上案件充分暴露出我國一些商業(yè)銀行信息科技管理方面存在的諸多問題以及信息系統(tǒng)本身的脆弱性，信息系統(tǒng)的安全穩(wěn)定運行對商業(yè)銀行至關重要。當系統(tǒng)發(fā)生故障、錯誤而喪失其有效功能時，銀行日常的業(yè)務必定會受到重大影響，進而引發(fā)一系列重大問題或風險，如銀行的財產(chǎn)損失、客戶的經(jīng)濟損失以及不良聲譽風險等。

因此，有必要引進發(fā)達國家已經(jīng)比較成熟的理念——IT審計,通過系統(tǒng)訪問控制審計和系統(tǒng)運行控制審計等技術方法,及早發(fā)現(xiàn)商業(yè)銀行內控制度漏洞和管理存在的薄弱環(huán)節(jié),完善控制措施，有效地識別和規(guī)避風險,有效地對所依賴的信息和信息系統(tǒng)進行安全管理,保障信息系統(tǒng)的安全穩(wěn)定運行。同時，通過審計可有目的性地加強對銀行內控制度的監(jiān)管,從而提高信息技術服務支持的質量。本文結合中小商業(yè)銀行目前信息科技審計的現(xiàn)狀，以IT風險控制目標為核心，提出了實施風險控制審計的理念和步驟，構建適用于江陰農(nóng)商銀行（以下簡稱我行）的IT審計框架及控制目標。

二、IT審計風險和重要性

審計風險可定義為：審計過程中未發(fā)現(xiàn)信息可能存在的重大錯誤的風險。如果可行，IT審計師也應當考慮組織相關的其他因素：客戶數(shù)據(jù)、隱私、所提供服務的可用性，企業(yè)和公眾形象。IT審計風險主要包含固有風險、控制風險、檢查風險和整體審計風險[1]。

（一）固有風險

1.固有風險的含義。固有風險是指IT活動在缺乏控制的情況下從而導致重大錯誤的風險。

2.常見的固有風險。

制度建設不足或缺失，未制定與監(jiān)管要求相適應的管理辦法約束信息科技實施中的各種風險，比如：開發(fā)、測試、投產(chǎn)、運維、存檔等，甚至靠員工的自律行為控制風險；

對所有業(yè)務是否通過系統(tǒng)進行剛性控制，比如，操作權限設置、登錄密碼長度及強度限制、秘鑰使用管理、涉密人員管理等等；

監(jiān)督檢查頻次不夠，對員工的違規(guī)行為未能產(chǎn)生震懾作用，甚至處于審計的盲區(qū)；

員工技能與業(yè)務發(fā)展不匹配，后期培訓不足，知識更新不夠；IT管理人員的管理水平或IT人員的技術水平達不到要求，易出現(xiàn)管理和技術方面的錯誤；

計算機硬件故障或軟件程序錯誤，造成信息損壞或丟失，導致數(shù)據(jù)在處理過程中發(fā)生偶發(fā)錯誤；

信息系統(tǒng)的高度集成，導致系統(tǒng)的復雜性、依賴性和脆弱性，并引發(fā)各種風險，如數(shù)據(jù)容易被修改和盜取，用磁介質存儲數(shù)據(jù)，其穩(wěn)定性和安全性較差；

計算機病毒的侵害容易造成數(shù)據(jù)丟失。

（二）控制風險

1.控制風險的含義?？刂骑L險是指與IT活動相關的內部控制體系不能及時預防或檢測出存在的重大錯誤的風險。

2.常見的控制風險。

系統(tǒng)數(shù)據(jù)風險。數(shù)據(jù)在輸入時缺乏嚴格的控制，造成數(shù)據(jù)錯誤；數(shù)據(jù)存儲高度集中，缺乏嚴格的分級瀏覽控制；人工檢查計算機日志風險很高，大量的日志信息導致人工檢查容易出錯。

系統(tǒng)環(huán)境風險。包括軟件環(huán)境風險和硬件環(huán)境風險。一方面是因為計算機信息系統(tǒng)的復雜性以及信息系統(tǒng)的網(wǎng)絡化，另一方面是因為計算機設備的多樣化，從而導致系統(tǒng)環(huán)境風險增大。

系統(tǒng)控制風險。是由于信息系統(tǒng)的內部控制不嚴密造成的風險，如審批設置不合理、不相容崗位權限互通、特權用戶擅用權限等。

（三）檢查風險

1.檢查風險的含義。檢查風險是指通過預定的審計程序未能發(fā)現(xiàn)重大、單個或與其他錯誤相結合的風險。

2.常見的檢查風險。

審計管理風險。由于IT審計管理制度不健全、不完善而導致的風險，主要包括缺乏相關的IT審計操作規(guī)范，導致審計人員各行其是。審計目標、內容和手段各不相同，審計管理風險增大。

審計技術風險。指由于審計軟件本身缺陷造成的風險，主要包括計算機審計技術的開發(fā)和推廣落后于信息技術的發(fā)展，并且技術含量偏低；開發(fā)人員對審計業(yè)務不熟悉；沒有經(jīng)過相關部門鑒定，導致審計軟件運行有風險；審計軟件與信息系統(tǒng)軟件的接口不匹配，導致數(shù)據(jù)不能導出等。

人員操作風險。指審計人員在對信息科技方面進行審計時，由于知識不夠或業(yè)務不熟，不能有效識別其內部程序控制從而引發(fā)高風險。

（四）總體審計風險

總體審計風險是指針對單個控制目標所產(chǎn)生的各類審計風險總和。良好的審計計劃應盡可能評估和控制審計風險，減少或控制所檢查領域的審計風險，例如采取宜適的審計工具，在完成審計時把總體審計風險控制在相對低的水平之內，以達到預期的水平。

“重要性”當與任何上述風險相結合時，是指在問題程度上可被組織視為嚴重的錯誤。在規(guī)劃被審計領域和審計任務中所需執(zhí)行的具體測試時，必須結合對審計風險的了解來考慮重要性。

對IT審計師而言，確定重要性是比較困難的。例如：邏輯訪問安全參數(shù)的設置允許程序員未經(jīng)審批即可訪問所有程序的源代碼，由于它對數(shù)據(jù)完整性和準確性潛在的普遍影響，可以看作是重大錯誤；如果這種訪問權限僅限于少數(shù)不重要的程序，對審計師而言，這種錯誤可以不看作是重大的。也就是說，重要性應考慮對組織的整體潛在影響。

三、中小商業(yè)銀行信息科技內部審計面臨的困難

從“十二五”到現(xiàn)在的“十三五”時期，中小商業(yè)銀行經(jīng)歷著重大而深刻的變化，在發(fā)展機遇的同時，也面臨著新的挑戰(zhàn)。相對于大型國有銀行，中小銀行的信息科技總體實力和建設水平還存在較大差距。隨著信息系統(tǒng)規(guī)模和復雜度日益增加，信息科技審計也面臨著新的挑戰(zhàn)，內審部門應加大審計力度，評估信息系統(tǒng)和內控機制的充分性和有效性，提出整改意見并檢查落實整改情況，但仍存在諸多不利因素，形成一定的困局、急需破解。

（一）IT審計人員不足，獨立性得不到保證

目前，中小商業(yè)銀行三道防線初建，普遍有著IT審計崗位編制不足、IT審計人員專業(yè)技術能力不強等情況。以往多是針對業(yè)務的審計，缺少對信息科技的審計，更缺乏二者相結合的審計。信息科技內部審計力量的薄弱極大地制約了信息科技內部審計的有效性。

部分商業(yè)銀行將IT審計的職責交給科技部門，使得科技部門既是運動員，又是裁判員，審計的獨立性得不到保證。

如果能夠吸納一些業(yè)務型、科技型結合的“復合型”人才加盟內部審計，無疑將推動中小商業(yè)銀行內審體系的建立和完善。同時，各商業(yè)銀行也應關注此方面人才的開發(fā)與培養(yǎng)。

（二）IT審計方法及規(guī)范缺乏

多數(shù)中小商業(yè)銀行在IT審計時只是對標檢查，缺少有效可行的審計方法論，對銀行信息科技風險管理現(xiàn)狀的認識和見解不足，在IT審計過程中不知如何審、不知道審什么，無法把握審計重點，無法觸及風險隱患，從而很難發(fā)現(xiàn)存在的重大問題或缺陷。

（三）IT審計目的不明確

目前大部分中小銀行的IT內部審計都是為了滿足監(jiān)管要求，沒有從行內業(yè)務驅動的角度出發(fā)，缺少為“科技引領”提供保駕護航的認知和力度。

（四）IT審計手段落后

目前大部分審計部門沒有專門的IT審計平臺及工具，對于較為重要的業(yè)務系統(tǒng)，無法進行有關技術環(huán)節(jié)、運行環(huán)境、業(yè)務處理等方面的測試，更有情況會出現(xiàn)過分依賴科技部門，導致IT審計工作的效率大大降低。

（五）審計整改力度不夠

IT審計的對象基本上是科技部門，其他相關部門對于審計發(fā)現(xiàn)的問題往往抱著“事不關己，高高掛起”的態(tài)度。高管層雖然重視，但因為高管層對信息科技理解有限，對專業(yè)性的風險認識不足，信息科技風險通常依賴于科技部門，造成整改未能落到實處。根據(jù)木桶短板效應，一只水桶的容量取決于它最短的那塊木板。在信息科技防范中也是如此，業(yè)務人員如果不重視信息科技風險防范，一個誤操作就可能能讓銀行在整個安全體系建設方面的努力付之東流。

四、實施風險控制的審計理念

（一）擺正位置，明確使命

擺正位置有助于減少阻力，從而可以順利地開展審計工作。IT風險控制審計的目的與科技部門的目標一致，都是為了全面提升信息科技風險管理的水平，保證信息系統(tǒng)安全穩(wěn)定運行。通過揭示內部控制的不足，促進內部控制水平的提升，并制定基于成本效益原則的解決方案，以改善內部控制現(xiàn)狀。僅僅揭示問題沒有什么實質性作用，只會讓被審計部門或個人感到難堪，并且引起對審計人員的反感。解決問題才能產(chǎn)生真正的價值，揭示問題只是實現(xiàn)目標的手段。最終目標是為了改善內部控制的現(xiàn)狀。如果僅告訴管理層某方面存在安全漏洞，這可能因揭示他人的不足而提升了自身的形象，但漏洞依然存在，依舊面臨風險。只有在安全漏洞被堵住的時候，才真正有價值。因此，IT審計的真正使命是幫助改善內部控制的現(xiàn)狀。

（二）“兩級分化”，走出誤區(qū)

“兩級”是指“唯技術論”和“無技術論”。IT審計專業(yè)性很強，覆蓋信息科技的多個領域，這就給審計人員提出了很高的要求，需要擁有一定的技術水平和實操經(jīng)驗。“唯技術論”是指某些商業(yè)銀行管理層將IT審計的職能落到科技部，將IT控制審計做成了安全檢查，在注重技術方面的缺陷時而忽略了管理方面存在的風險，這是一種舍本逐末的行為。俗話說，三分靠技術，七分靠管理。對于風險防控來說，管理是基礎，技術是輔助，切不可本末倒置。

“無技術論”是指審計部門缺乏IT專業(yè)人員，認為IT審計完全不需要技術知識，只要有一套詳細、完整的檢查手冊，對標就可以完成的。這種觀點也不可取，信息科技涵蓋的范圍太廣，就新系統(tǒng)的建設而言包括可行性分析、需求分析、項目管理、質量管控、測試等，單靠套檢查手冊不可能涵蓋所有檢查細節(jié)。這種檢查僅是停留在文檔“有沒有”的表面合規(guī)的狀態(tài)下，真正做到風險控制必須是檢查內容“好不好”、達到一定的深度。

五、我行采取的風險控制審計的基本方法

（一）善于從業(yè)務部門和IT事件推動內部控制體系建設工作

IT風險防控不能僅依靠科技部門，而是要全行所有部門共同參與。審計對象不能局限于科技部門，也要通過對業(yè)務部門的訪談和實地檢查，了解科技部門是否按照業(yè)務部門的需求進行開發(fā)并落到實處。在重要業(yè)務系統(tǒng)使用和日常安全管理方面，發(fā)現(xiàn)其管理存在的漏洞缺陷。例如，在客戶敏感信息的保護方面需要重點審計，應逆向檢查系統(tǒng)對信息安全的管控措施是如何落實的，增強其IT風險防范的意識。針對科技部門，要善于將IT突發(fā)事件作為審計的入口，既要關注突發(fā)事件的處置過程，更要關注突發(fā)事件處置后的總結，對事件處理流程進行梳理和更新。

（二）抓住審計重點，揭示主要風險，強化應急管理

一是抓住審計重點，梳理我行風險點，通過風險點揭示我行在管理層面和技術層面上的問題和不足，以達到提升其整體風險防控能力的目的。二是強化應急管理。在審計過程中要重點關注應急管理，一方面須關注應急預案的制定、修訂及開展的演練情況；另一方面須關注發(fā)生IT突發(fā)事件后的應急響應和處置，以及根據(jù)實際情況對應急機制的完善。

（三）協(xié)同工作，形成合力

審計部門的IT審計崗與科技部門的內控崗協(xié)同合作，根據(jù)我行實際情況創(chuàng)建一套體系化的審計框架和控制目標。在IT控制點與風險庫的建立方面充分發(fā)揮主觀能動性，找準每個控制點以及相應的風險敞口，下表列舉了我行在變更管理方面的部分風險控制矩陣。

?

六、結束語

加強IT風險控制是我行目前面臨的一個重要課題，同時，也是我行在市場競爭中發(fā)展壯大的新機遇，其關鍵因素是理解內部發(fā)展戰(zhàn)略，及時掌握發(fā)展現(xiàn)狀，并以此為基礎，加強IT審計工作，規(guī)范IT相關活動。除此之外，內審人員主動適應新環(huán)境和新風險，同時學習與業(yè)務風險相關的知識，從而有效地對業(yè)務及所支持的應用進行審計。