何連峰　楊疊疊　蘇麗杰　袁美芬

【摘? 要】近年來(lái)，商業(yè)銀行的業(yè)務(wù)和規(guī)模迅速擴(kuò)大，信息系統(tǒng)應(yīng)用不斷深化，而對(duì)信息科技的持續(xù)投入，又引發(fā)對(duì)信息科技風(fēng)險(xiǎn)的關(guān)注。為進(jìn)一步推動(dòng)商業(yè)銀行信息科技高質(zhì)量發(fā)展，提升信息科技風(fēng)險(xiǎn)的管理和控制能力，深入有效防范信息科技領(lǐng)域風(fēng)險(xiǎn)，實(shí)現(xiàn)商業(yè)銀行信息科技的穩(wěn)定、可靠、可持續(xù)發(fā)展，依據(jù)國(guó)內(nèi)外信息科技風(fēng)險(xiǎn)管理最佳實(shí)踐和行業(yè)標(biāo)準(zhǔn)，《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》和《銀行業(yè)金融機(jī)構(gòu)外部審計(jì)監(jiān)管指引》等現(xiàn)有的規(guī)范、指引，論文提出必須積極開(kāi)展商業(yè)銀行信息科技風(fēng)險(xiǎn)全面審計(jì)，并就發(fā)現(xiàn)的問(wèn)題提示被審計(jì)銀行管理層加以整改，以提高我國(guó)商業(yè)銀行應(yīng)對(duì)信息科技風(fēng)險(xiǎn)的能力。

【關(guān)鍵詞】商業(yè)銀行；信息科技風(fēng)險(xiǎn)；全面審計(jì)

【中圖分類號(hào)】F239.4；F832.33? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻(xiàn)標(biāo)志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號(hào)】1673-1069（2023）06-0082-03

1 商業(yè)銀行信息科技審計(jì)的研究與應(yīng)用現(xiàn)狀

信息科技審計(jì)，是以信息科技風(fēng)險(xiǎn)為導(dǎo)向，通過(guò)綜合運(yùn)用系統(tǒng)化、規(guī)范化的方法，檢查評(píng)價(jià)并改善信息科技風(fēng)險(xiǎn)管理、內(nèi)部控制和數(shù)據(jù)治理的效果，促進(jìn)組織穩(wěn)健發(fā)展和戰(zhàn)略目標(biāo)的順利實(shí)現(xiàn)。

早在1992年美國(guó)COSO委員會(huì)發(fā)布《COSO內(nèi)部控制整合框架》，該框架已在全球獲得廣泛的認(rèn)可和應(yīng)用，其中就通過(guò)“信息與溝通”的維度，來(lái)保證企業(yè)和組織內(nèi)部控制的有效性。我國(guó)對(duì)信息系統(tǒng)審計(jì)也非常重視，1999年2月，中注協(xié)發(fā)布了《中國(guó)注冊(cè)會(huì)計(jì)師獨(dú)立審計(jì)具體準(zhǔn)則第20號(hào)——計(jì)算機(jī)信息系統(tǒng)環(huán)境下的審計(jì)》，該準(zhǔn)則指出：對(duì)于像銀行等信息化程度高、對(duì)信息系統(tǒng)依賴大的行業(yè)，信息系統(tǒng)審計(jì)尤為重要。2009年6月1日，銀監(jiān)會(huì)發(fā)布《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》提出了商業(yè)銀行信息科技風(fēng)險(xiǎn)管理的“三道防線”——信息科技管理、信息科技風(fēng)險(xiǎn)管理、信息科技風(fēng)險(xiǎn)審計(jì)。2017年4月，銀監(jiān)會(huì)發(fā)布的《關(guān)于銀行業(yè)風(fēng)險(xiǎn)防控工作的指導(dǎo)意見(jiàn)》（銀監(jiān)發(fā)〔2017〕6號(hào)）指出：“加強(qiáng)信息科技風(fēng)險(xiǎn)防控?！本C上所述，在以金融科技為引領(lǐng)的大背景下，商業(yè)銀行信息科技風(fēng)險(xiǎn)全面審計(jì)重要性變得日益突出。如何高效合理地進(jìn)行審計(jì)，也成為當(dāng)下商業(yè)銀行審計(jì)人員的工作重點(diǎn)。

2 商業(yè)銀行信息科技風(fēng)險(xiǎn)全面審計(jì)的依據(jù)

近年來(lái)商業(yè)銀行外包資源的持續(xù)投入，引發(fā)了對(duì)信息科技外包風(fēng)險(xiǎn)的關(guān)注。同時(shí)，在以金融科技為引領(lǐng)的大背景下，業(yè)務(wù)連續(xù)性、突發(fā)事件風(fēng)險(xiǎn)防范、銀行卡支付敏感信息安全、客戶信息保護(hù)仍是銀行業(yè)持續(xù)關(guān)注的重點(diǎn)。此外，隨著數(shù)據(jù)質(zhì)量對(duì)商業(yè)銀行管理價(jià)值的不斷提升，數(shù)據(jù)治理工作在金融科技領(lǐng)域的重要性也不斷提高。中國(guó)銀行及銀監(jiān)會(huì)對(duì)商業(yè)銀行的要求不斷提高，信息科技風(fēng)險(xiǎn)管理相關(guān)文件如表1所示。

3 商業(yè)銀行信息科技風(fēng)險(xiǎn)全面審計(jì)的流程

信息科技審計(jì)程序應(yīng)包括：審計(jì)準(zhǔn)備、審計(jì)實(shí)施、審計(jì)報(bào)告、后續(xù)審計(jì)等4個(gè)階段。

3.1 審計(jì)準(zhǔn)備

審計(jì)準(zhǔn)備階段的主要目標(biāo)是理解農(nóng)商行信息科技環(huán)境和風(fēng)險(xiǎn)偏好，獲取充分的信息以便為其他階段的審計(jì)工作做好準(zhǔn)備。首先，要了解基本信息，組織結(jié)構(gòu)、業(yè)務(wù)規(guī)劃、信息科技戰(zhàn)略、匯報(bào)路徑、信息科技主管部門(mén)及職責(zé)、信息技術(shù)風(fēng)險(xiǎn)管理架構(gòu)等。其次，明確審計(jì)目標(biāo)與范圍，基于了解基本情況下，進(jìn)一步優(yōu)化審計(jì)目標(biāo)和審計(jì)范圍。再次，確定審計(jì)重點(diǎn)。在確定項(xiàng)目的范圍和目標(biāo)后，基于基本信息的了解，確定審計(jì)重點(diǎn)。最后，編制項(xiàng)目方案，根據(jù)工作范圍、審計(jì)重點(diǎn)，制定項(xiàng)目實(shí)施方案。

3.2 審計(jì)實(shí)施

審閱審計(jì)抽樣樣本，依據(jù)恰當(dāng)?shù)膶徲?jì)標(biāo)準(zhǔn)，通過(guò)合理的審計(jì)方式，全面識(shí)別信息科技管控過(guò)程中存在的風(fēng)險(xiǎn)隱患，并提出恰當(dāng)?shù)母倪M(jìn)意見(jiàn)。信息科技風(fēng)險(xiǎn)全面審計(jì)工作流程如圖1所示。

審計(jì)過(guò)程中往往會(huì)采用不同的方法應(yīng)對(duì)問(wèn)題，審計(jì)方法主要有人員訪談、資料審查、系統(tǒng)檢查、工具檢測(cè)等。

3.2.1 工作內(nèi)容

①識(shí)別控制活動(dòng)：通過(guò)訪談及制度分析，識(shí)別各領(lǐng)域中各模塊的控制目標(biāo)、控制活動(dòng)，如變更管理包括變更申請(qǐng)、風(fēng)險(xiǎn)評(píng)估、變更執(zhí)行、變更回顧等。②測(cè)試控制活動(dòng)：選擇恰當(dāng)?shù)某闃訕颖?，審閱審?jì)抽樣樣本，依據(jù)恰當(dāng)?shù)膶徲?jì)標(biāo)準(zhǔn)，通過(guò)詢問(wèn)、觀察、查看文檔記錄以及進(jìn)行穿行測(cè)試方法評(píng)估控制的有效性，將測(cè)試結(jié)果記錄在審計(jì)底稿中。③問(wèn)題發(fā)現(xiàn)確認(rèn)：根據(jù)審計(jì)底稿，分領(lǐng)域按事實(shí)、標(biāo)準(zhǔn)、依據(jù)、影響、原因、建議等編寫(xiě)確認(rèn)書(shū)，并進(jìn)行排序。④溝通審計(jì)發(fā)現(xiàn)：與被審計(jì)人員就審計(jì)確認(rèn)書(shū)中事實(shí)的真實(shí)性、建議的有效性與當(dāng)事人進(jìn)行溝通確認(rèn)，并形成審計(jì)報(bào)告管理層建議書(shū)提交給被審單位管理層。

3.2.2 工作方法

信息科技審計(jì)實(shí)施過(guò)程中，審計(jì)人員將在了解和熟悉現(xiàn)有信息科技情況的基礎(chǔ)上，通過(guò)與信息科技部門(mén)、業(yè)務(wù)部門(mén)的充分溝通并進(jìn)行綜合分析，找到每個(gè)領(lǐng)域的切入點(diǎn)和實(shí)施路線圖，通過(guò)文檔分析、人工訪談等審計(jì)程序發(fā)現(xiàn)審計(jì)線索，通過(guò)場(chǎng)景式測(cè)試、流程圖法、案例法等方法進(jìn)行控制測(cè)試，確認(rèn)證據(jù)，提出審計(jì)發(fā)現(xiàn)和管理建議。

①編制底稿。通過(guò)基礎(chǔ)情況的了解，結(jié)合監(jiān)管要求，明確具體審計(jì)內(nèi)容，編寫(xiě)審計(jì)底稿，并與客戶進(jìn)行確認(rèn)。

②線索獲取。對(duì)所收集的材料進(jìn)行統(tǒng)計(jì)分析，獲取關(guān)鍵信息或?qū)徲?jì)線索。線索獲取及審計(jì)要點(diǎn)如表2所示。

③識(shí)別控制。從控制角度看，信息科技審計(jì)的對(duì)象為該行所設(shè)計(jì)的IT控制，IT控制一般分管理控制、技術(shù)控制、物理控制3種，具體如下：管理控制：與監(jiān)督、報(bào)告、程序和流程操作相關(guān)的控制，包括政策、程序、人員管理等。技術(shù)控制：通過(guò)使用技術(shù)、設(shè)備或裝置來(lái)提供的邏輯控制，如防火墻、防病毒、密碼等。物理控制：物理控制包括門(mén)鎖、圍墻、閉路電視以及為了以物理方式限制某個(gè)設(shè)施或硬件而安裝的裝置。通過(guò)對(duì)制度的分析和關(guān)鍵崗位人員的訪談，確定信息科技各個(gè)領(lǐng)域的控制措施，具體控制措施如表3所示。

④審計(jì)抽樣。審計(jì)抽樣是實(shí)施控制測(cè)試的重要環(huán)節(jié)，一般分為以下4步進(jìn)行：首先，確定抽樣測(cè)試的目標(biāo)，即確定要測(cè)試哪個(gè)控制，測(cè)試的目的是什么。其次，確定樣本總體和樣本單位，在確定樣本總體和樣本單位時(shí)，要保證樣本總體的相關(guān)性和完整性。再次，確定樣本量，依據(jù)商業(yè)銀行內(nèi)部情況，對(duì)商業(yè)銀行信息技術(shù)控制環(huán)境的初步分析，判斷目前信息科技風(fēng)險(xiǎn)存在較高風(fēng)險(xiǎn)的領(lǐng)域，以確定選取較高風(fēng)險(xiǎn)程度對(duì)應(yīng)的最小樣本量作為抽樣原則。最后，確定抽樣方法，常用的抽樣方法包括隨機(jī)選樣、系統(tǒng)選樣和隨意選樣3種。

⑤執(zhí)行測(cè)試。測(cè)試過(guò)程中，我們將采用場(chǎng)景式審計(jì)、數(shù)據(jù)式審計(jì)、案例式審計(jì)、流程圖審計(jì)、技術(shù)檢查等不同審計(jì)方法，對(duì)控制點(diǎn)的設(shè)計(jì)及執(zhí)行有效性進(jìn)行具體測(cè)試，將測(cè)試結(jié)果記錄在審計(jì)底稿中。

⑥獲取證據(jù)。通過(guò)分析性復(fù)核，獲得各類證據(jù)。除一般性審計(jì)證據(jù)外，以電子信息形式存在的審計(jì)證據(jù)還包括：系統(tǒng)配置，指在信息系統(tǒng)中實(shí)現(xiàn)信息系統(tǒng)功能或性能的邏輯或參數(shù)配置，如自動(dòng)計(jì)算邏輯和參數(shù)表等；系統(tǒng)日志，指信息系統(tǒng)在執(zhí)行由自動(dòng)程序或手工觸發(fā)的指令或任務(wù)時(shí)在系統(tǒng)中自動(dòng)生成的操作記錄；業(yè)務(wù)數(shù)據(jù)，指通過(guò)信息系統(tǒng)進(jìn)行業(yè)務(wù)流程操作時(shí)在信息系統(tǒng)中產(chǎn)生的業(yè)務(wù)交易數(shù)據(jù)；測(cè)試結(jié)果，指測(cè)試案例選擇及測(cè)試收斂情況等。審計(jì)證據(jù)應(yīng)當(dāng)支持審計(jì)發(fā)現(xiàn)與審計(jì)結(jié)論。審計(jì)證據(jù)的時(shí)效性在支持審計(jì)發(fā)現(xiàn)與審計(jì)結(jié)論時(shí)是非常關(guān)鍵的因素，審計(jì)人員應(yīng)保證所收集證據(jù)的正確性、相關(guān)性、時(shí)效性及可接受性。

3.3 審計(jì)報(bào)告

信息科技審計(jì)實(shí)施后，審計(jì)人員針對(duì)審計(jì)中發(fā)現(xiàn)的問(wèn)題，以充分、可靠的審計(jì)證據(jù)為依據(jù)形成審計(jì)意見(jiàn)與建議，通過(guò)與當(dāng)事人及相關(guān)負(fù)責(zé)人就信息科技審計(jì)的概況、發(fā)現(xiàn)、結(jié)論和改進(jìn)意見(jiàn)進(jìn)行溝通和交流，最終確定后，正式出具審計(jì)報(bào)告。

3.4 后續(xù)審計(jì)

審計(jì)人員出具審計(jì)報(bào)告后，向被審計(jì)單位發(fā)出管理層建議書(shū)，被審計(jì)單位要對(duì)審計(jì)報(bào)告提出的問(wèn)題，認(rèn)真分析原因，制定整改計(jì)劃，落實(shí)整改責(zé)任，確保在規(guī)定的時(shí)間內(nèi)完成整改，并報(bào)送整改情況報(bào)告。審計(jì)人員要根據(jù)被審計(jì)單位的整改報(bào)告情況，適當(dāng)調(diào)整審計(jì)重點(diǎn)，進(jìn)行整改后續(xù)審計(jì)，跟蹤整改落實(shí)情況，確保審計(jì)成果充分運(yùn)用。

4 商業(yè)銀行信息科技風(fēng)險(xiǎn)全面審計(jì)有效運(yùn)行的保障措施

4.1 正確認(rèn)識(shí)信息科技風(fēng)險(xiǎn)全面審計(jì)

隨著移動(dòng)互聯(lián)網(wǎng)的興起和云計(jì)算、大數(shù)據(jù)等新技術(shù)的應(yīng)用，信息科技已成為推動(dòng)銀行轉(zhuǎn)型發(fā)展的重要手段。理事會(huì)、高級(jí)管理層應(yīng)充分認(rèn)識(shí)新形勢(shì)下信息科技所創(chuàng)造的價(jià)值和帶來(lái)的風(fēng)險(xiǎn)，從戰(zhàn)略高度統(tǒng)一對(duì)信息科技的思想認(rèn)識(shí)。增強(qiáng)科技創(chuàng)新意識(shí)，逐步改變“信息科技是純技術(shù)支撐工具”“信息科技部門(mén)的定位即是確保應(yīng)用系統(tǒng)不間斷運(yùn)行”的認(rèn)識(shí)，讓科技充分參與決策，真正將其提高到支撐與引領(lǐng)業(yè)務(wù)戰(zhàn)略、提升核心競(jìng)爭(zhēng)力的高度。增強(qiáng)科技風(fēng)險(xiǎn)管理意識(shí)，把信息科技風(fēng)險(xiǎn)管理工作提高到戰(zhàn)略高度、全局高度，將信息科技風(fēng)險(xiǎn)控制前移，將之前的單純技術(shù)防范轉(zhuǎn)變?yōu)橹鲃?dòng)的信息科技風(fēng)險(xiǎn)管控，從而變被動(dòng)防范為主動(dòng)預(yù)防。

4.2 推進(jìn)業(yè)務(wù)與信息科技的融合

從長(zhǎng)遠(yuǎn)角度加強(qiáng)頂層設(shè)計(jì)，明確發(fā)展方向、制定發(fā)展戰(zhàn)略，適應(yīng)業(yè)務(wù)發(fā)展對(duì)規(guī)劃調(diào)整速度的需求。構(gòu)建靈活、穩(wěn)健、可擴(kuò)展的企業(yè)級(jí)應(yīng)用架構(gòu)體系，加強(qiáng)應(yīng)用架構(gòu)集中管控和設(shè)計(jì)，以快速適應(yīng)市場(chǎng)需求和業(yè)務(wù)需求的變化。推動(dòng)業(yè)務(wù)部門(mén)與信息科技部門(mén)建立良性互動(dòng)、密切協(xié)同的成熟的合作伙伴關(guān)系，建立定期、高效的信息科技與業(yè)務(wù)協(xié)同機(jī)制，集思廣益、達(dá)成共識(shí)，提升業(yè)務(wù)部門(mén)滿意度。制定大數(shù)據(jù)戰(zhàn)略規(guī)劃，明確數(shù)據(jù)管理職責(zé)，突破部門(mén)壁壘，促進(jìn)跨部門(mén)信息規(guī)范共享，提升數(shù)據(jù)應(yīng)用能力。

4.3 加大信息科技投入

加強(qiáng)信息科技隊(duì)伍建設(shè)，持續(xù)加大科技人員的配備力度，確保人員數(shù)量、技術(shù)能力與其建設(shè)、維護(hù)管理的信息系統(tǒng)規(guī)模相適應(yīng)，健全科技人員的激勵(lì)與約束機(jī)制，提高科技人員積極性和執(zhí)行力。重視信息科技自身能力建設(shè)，一方面切實(shí)加大信息科技培訓(xùn)力度，提升信息科技人員能力；另一方面可適當(dāng)引入外部專業(yè)機(jī)構(gòu)，協(xié)助“練好內(nèi)功”。加大信息科技基礎(chǔ)設(shè)施投資力度，開(kāi)展IT多活架構(gòu)轉(zhuǎn)型升級(jí)，實(shí)現(xiàn)數(shù)據(jù)中心多活、應(yīng)用多活、數(shù)據(jù)多活，提高重要業(yè)務(wù)系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施的冗余能力。加大對(duì)前瞻性、創(chuàng)新性研究和應(yīng)用探索的投入，全方位開(kāi)展科技創(chuàng)新。

4.4 健全信息科技風(fēng)險(xiǎn)管理體系

將風(fēng)險(xiǎn)管理貫穿到信息科技活動(dòng)全生命周期的各環(huán)節(jié)，營(yíng)造全員參與、主動(dòng)參與的風(fēng)險(xiǎn)文化，全面提升信息科技風(fēng)險(xiǎn)管理合規(guī)意識(shí)。提高軟件質(zhì)量，加強(qiáng)開(kāi)發(fā)過(guò)程管理，完善測(cè)試管理，強(qiáng)化版本管理，從源頭上控制生產(chǎn)風(fēng)險(xiǎn)。針對(duì)物理環(huán)境、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、終端及數(shù)據(jù)等安全保護(hù)對(duì)象，層層布防，以應(yīng)對(duì)各種安全威脅。構(gòu)建網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)，動(dòng)態(tài)監(jiān)測(cè)分析網(wǎng)絡(luò)流量和網(wǎng)絡(luò)實(shí)體行為，準(zhǔn)確把握網(wǎng)絡(luò)威脅的規(guī)律和趨勢(shì)，提升應(yīng)對(duì)重大網(wǎng)絡(luò)威脅和突發(fā)事件的能力。加強(qiáng)客戶信息保護(hù)，將客戶信息保護(hù)工作提升到金融消費(fèi)者保護(hù)層面進(jìn)行統(tǒng)籌考慮，構(gòu)建覆蓋客戶信息全生命周期的保護(hù)體系，保護(hù)客戶信息全生命周期的安全。全面管控外包服務(wù)風(fēng)險(xiǎn)，以“信息科技管理責(zé)任不外包”為原則，通過(guò)強(qiáng)化準(zhǔn)入管理、外包商選擇、合同管理、人員管理、服務(wù)監(jiān)控等環(huán)節(jié)加強(qiáng)信息科技外包管理，逐步降低對(duì)外包的依賴程度，同時(shí)應(yīng)避免出現(xiàn)長(zhǎng)期依賴單一外包商的被動(dòng)局面。

【參考文獻(xiàn)】

【1】Anagnostopoulos， I. Fintech and regtech： Impact on regulators and banks[J].Journal of Economics and Business，2018（100）：7-25.

【2】Earley C. E. Data analytics in auditing： Opportunities and challenges[J].Business Horizons，2015，58（5）：493-500.

【3】德陽(yáng)銀行股份有限公司.以風(fēng)險(xiǎn)為導(dǎo)向 以內(nèi)控為主線全面開(kāi)展中小商業(yè)銀行信息科技審計(jì)[J].中國(guó)內(nèi)部審計(jì)，2017（07）：40-43.

【4】劉雷，徐如雙.大數(shù)據(jù)環(huán)境下商業(yè)銀行內(nèi)部審計(jì)增值功能發(fā)揮路徑思考[J].中國(guó)內(nèi)部審計(jì)，2022（10）：26-31.

【5】解培.大數(shù)據(jù)背景下銀行業(yè)信息化建設(shè)與信息科技風(fēng)險(xiǎn)管理研究——評(píng)《銀行大數(shù)據(jù)應(yīng)用》[J].中國(guó)科技論文，2022，17（08）：949.

【6】陳偉.金融科技風(fēng)險(xiǎn)審計(jì)：現(xiàn)狀與展望[J].中國(guó)注冊(cè)會(huì)計(jì)師，2020（09）：72-74.

【7】陳偉，李曉鵬，居江寧.基于大數(shù)據(jù)技術(shù)的信息系統(tǒng)用戶及權(quán)限管理審計(jì)研究[J].中國(guó)注冊(cè)會(huì)計(jì)師，2019（02）：74-79.

【8】劉慶鍇.城商行信息科技審計(jì)方法探討與實(shí)踐[J].國(guó)際商務(wù)財(cái)會(huì)，2018（03）：75-76+96.

【9】佚名.健全機(jī)制 加強(qiáng)管理 提升銀行信息科技風(fēng)險(xiǎn)防控水平[EB/OL].https：//ishare.iask.sina.com.cn/f/34LHY6GN3zZ.html，2017-09-28/2023-01-18.

【10】卓育強(qiáng).政務(wù)信息系統(tǒng)審計(jì)研究[D].廣州：廣東財(cái)經(jīng)大學(xué)，2020.

【11】高云祥.信息化建設(shè)績(jī)效審計(jì)初探[J].全國(guó)商情（理論研究），2013（06）：39-40.

【基金項(xiàng)目】中國(guó)智能財(cái)務(wù)研究院重點(diǎn)科研課題“智能財(cái)務(wù)發(fā)展的數(shù)字化基礎(chǔ)環(huán)境研究”（項(xiàng)目編號(hào)：2021IFRI05）。

【作者簡(jiǎn)介】何連峰（1979-），男，黑龍江雞西人，高級(jí)會(huì)計(jì)師，研究方向：智能財(cái)務(wù)、財(cái)務(wù)舞弊。