论商业银行的IT审计

论商业银行的IT审计
作者：朱华娜李梦
来源：《现代经济信息》2013年第24期
摘要：目前，主要金融IT审计模式是对商业银行静态数据进行分析和测试，是一种数据式审计。

从审计实践来看，这种审计方式由于缺乏对系统的控制而不能保障电子数据的唯一性、完整性和准确性，无法从根本上有效控制被审计单位的电子数据质量；从发展趋势来看，数据式审计方式由于过分关注数据本身而缺乏对系统整体的分析，难以控制总体审计风险，其局限性正逐渐显露出来。

本文将以此为出发点，浅论尽快开展商业银行信息系统IT审计的必要性。

关键词：商业银行；IT审计；数据；必要性；方法；展望
中图分类号：F239 文献标识码：A 文章编号：1001-828X（2013）12-0-01
一、商业银行进行信息系统审计的意义
（一）商业银行日益依赖信息系统。

商业银行信息系统一般可分为信息管理类系统、渠道类系统和外部清算结算类系统。

1.信息管理类系统与决策、管理和业务相关，以提高效率和规避风险为目的，主要有贷款系统、征信系统、客户管理系统、资产负债管理系统、办公自动化系统、档案系统（票据影像缩微系统和光学字符识别OCR）、数字终端录像系统、数字视频监控系统等。

2.渠道类系统是商业银行面向市场和客户的窗口，也是对外服务使用的载体，包括人工渠道、电子渠道和第三方渠道。

人工渠道有柜面服务和职能部门的业务终端（例如会计账查询系统等）；电子渠道分为自助服务系统（电话银行、手机银行和网上银行）和自助服务终端（ATM和P0S）；第三方渠道包括银联交易、区域性通存通兑和同城跨行通存通兑等。

外部清算类系统是指有外部接口的系统，包括行间资金转账系统SHFT，主要有大额清算系统、同城交换系统、同业往来清算系统和第三方存管清算系统。

（二）大数据时代将到来。

随着信息系统的大力发展，商业银行信息系统出现了爆发式的增长，银行业务越来越依赖信息系统，商业银行的竟争很大一部分是靠信息战。

目前，各大银行都实现了数据的总行大集中，信息数据己经成为银行的核心竟争力之一，大数据时代即将到来。

（三）监管当局的外部要求。

随着金融业对信息系统的依赖度越来越高，国家相关部门对信息系统的管控也越来越重视，自2006年8月发布《银行业金融机构信息系统风险管理指引》开始，银监会正式对银行科技风险进行监管，近年来推出一系列制度和措施，监管工作逐
步走向规范化。

通过IT审计来保证和监控全行的信息科技管控对各级监管政策法规的合规性，也成为银行业实施IT审计的重要目的之一。

二、商业银行IT审计标准
商业银行IT审计，以国际最佳实践及相应的规则做为审计依据。

主要有：
1.COBIT最佳实践模型
COBIT（Control Objectives for Information and related Technology）是由信息系统审计与控制基金会最早在1996年制定的IT治理模型。

这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准，其最大的作用是将IT过程、IT资源与企业的策略和目标联系起来，保障企业的IT战略目标和其业务发展目标的一致性。

COBIT4.1版本中经典的体系框架包括了实施简介、实施工具集、高层控制目标框架、管理指南、具体控制目标、审计指南等一系列文档。

2.监管部门颁发的《商业银行信息科技风险管理指引》
2009年发布的《商业银行信息科技风险管理指引》（以下简称《指引》），定义了商业银行信息科技风险的总体框架，即在当前商业银行普遍的信息科技现状下，可能存在的重大信息科技风险的范围，使商业银行的风险管理过程，能够集中精力在相关领域。

《指引》确定了九大管理领域，即：信息科技治理；信息科技风险管理；信息安全；信息系统开发、测试和维护；信息科技运行；业务连续性管理；外包；内部审计；外部审计。

这些领域覆盖了信息科技管理的大多数重要活动，这些活动中存在的风险，可能会对业务产生重大影响，因此对这些领域的风险识别和管理，应当在信息科技风险管理中优先对待。

在这九大领域中，IT审计占两个，分别是内部审计和外部审计。

而《指引》本身，就是一个针对银行的框架完整的IT审计标准，银行可以参考这个标准，开展IT审计工作。

3.其他IT审计标准
除了以上两个标准，实践中还可使用其他标准，如，由于信息科技的细分领域众多，在进行某些细分领域的专项审计或单领域审计时，可以考虑单独使用某些国际或国内标准作为审计标准，从而达到更深入和专业的目的。

比如，在进行信息安全方面的审计时，可参考
ISO27001等国际标准或国内标准SSE-CMM；在审计IT运维、IT服务的交付和支持相关领域时，可以考虑采用ITIL作为审计标准；银行应当依据自身特点，结合本行信息科技工作的特点以及每次IT审计的目的和范围，有选择地采用审计标准。

三、银行业IT审计展望
（一）加强以风险为导向的IT审计
银行IT审计职能和角色也在过去这些年发生了不少变化，从以合规审计为主的工作，逐渐变成了活跃的内部或外部业务顾问。

如前文所述，基于风险的银行IT审计工作将成为银行IT审计的主流工作方法。

（二）计算机辅助审计技术（CAATs）会在IT审计中得以广泛应用
计算机辅助审计技术是指审计人员在审计过程和审计管理活动中，以计算机为工具，来执行和完成某些审计程序和任务。

计算机辅助审计包含两个层次的内容：第一个层次是指在审计业务中利用电子表格、数据库、字处理常规软件中的一些功能，或审计人员自编的一些小程序，帮助审计人员计算、复核、分析审计数据。

第二个层次是指利用专门的辅助审计软件进行项目审计。

在开展行业审计时，根据审计工作方案，编制专门的审计汇总软件，自下而上，从审计底稿开始，对审计情况进行逐级汇总。

对于银行业来说，实施成熟、适用的审计辅助软件，也成为IT审计的一个发展方向。

（三）数据分析（DA）将支持银行的持续监控与审计
数据分析指的是一整套技术、流程与应用工具，运用于持续探索与深入了解以往业务表现，以获取信息并推进业务发展。

其目的是通过广泛地使用数据、统计与定量分析、解释与预测模型，并通过基于事实的管理，推动整体决策。

目前在制造业、通讯业和零售业等行业中被广泛运用于分析和决策支持。