试论工商银行的ＩＴ审计

发布时间：2005年10月26日点击数： 作者：孟军强 来源：中国金融电脑

【字体：小 大】 【收藏】 【打印文章】 【查看评论( 0 )】

摘要:

当前，工商银行完成了数据集中工程，综合业务处理系统也实现了全面整合，综合竞争力得到了进一步提升。但集中和整合带来的ＩＴ风险也逐渐显现。一方面，信息系统的固有风险随着系统的复杂而有所增加；另一方面，高度集中的运行管理使数据中心的内部控制面临着更加严峻的考验。这些风险不仅会影响信息系统运行的稳定和安全，还会给工商银行带来严重的经营、法律和信誉等方面的风险。在这种形势下，全面深入地学习ＩＴ审计的基本理论，分析信息系统的风险控制，特别是运行风险的内部控制，进一步加强风险管理，完善内部控制，就变得更加重要，这也是新形势下ＩＴ审计的重要任务。

一、ＩＴ审计的基本概念

 ＩＴ审计最早被称为计算机审计，早期只是传统财务审计业务的一种辅助工具，为财务报表审计人员提供服务。随着审计由最初的账项基础审计向制度基础审计直至现代的风险基础审计的发展，计算机审计所关注的内容也从单纯的对电子数据的处理延伸到对计算机信息系统的可用性、保密性、完整性、有效性进行了解和评价，随之也就出现了信息系统审计的概念。

 对于ＩＴ审计的定义，业界有着多种描述，但都大同小异。国际信息系统审计领域的权威专家Ｒｏｎ Ｗｅｂｅｒ将它定义为：收集并评估证据以判断一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济地使用资源。德勤华永会计师事务所有限公司合伙人Ｐｅｔｅｒ Ｋｏｏ将它描述为："所谓信息系统审计是指，审计人员接受委托或授权，收集并评估证据以判断计算机系统（信息系统）是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。"

 综合上述各种观点，对于工商银行的ＩＴ审计工作而言，可以简要地概括为："由行内的信息科技审计部门，对全行范围内信息系统生命周期中的资产保护、数据完整、资源经济有效利用以及完成组织目标的情况，通过一般控制和应用控制等审计方式，进行综合的检查、评价，并向工商银行最高管理层和信息科技部门提出咨询建议"。

二、ＩＴ审计与信息系统生命周期的关系

 ＩＴ审计贯穿于信息系统生命周期的全过程，在其生命周期的各个阶段，ＩＴ审计都要对系统本身及其管理进行风险识别和评价，提出改进和完善的建议。信息系统生命周期的阶段包括系统规划和开发、系统交付、系统运行和维护、系统报废等。工商银行的ＩＴ审计工作同样要遵循这一原则，贯穿于信息系统生命周期的全过程。从软件开发中心的信息系统规划与开发到数据中心及分行的系统运行与维护，在各个阶段都需要通过ＩＴ审计来识别错误，评价和控制风险，督促改进，以实现信息系统安全运营的预定目标。

 １．信息系统规划和开发阶段的ＩＴ审计
 信息系统规划和开发阶段的审计是指对系统规划、分析、设计、编码、测试和试运行等几个阶段的跟踪审计，如信息战略与经营战略一致性审计、信息战略有效性审计等。通过审计可以及时发现错误并及时修正，降低错误的累积放大效应，降低开发成本，提高信息系统质量。还可以通过审查项目的可行性分析是否充分，避免项目的盲目性，通过审查需求分析的论证是否充分、测试方案是否存在疏漏，避免产品质量缺陷等。该过程的审计主要集中在总行信息科技部和软件开发中心（含研发分部）的项目立项、需求分析、系统设计、编码、测试等环节。审计主要包括信息战略审计、开发计划审计、系统分析审计、需求分析审计、系统设计审计、程序设计审计、编码审计、系统测试审计、系统试运行审计等。

 ２．信息系统运行和维护阶段中的ＩＴ审计
 在系统运行阶段，ＩＴ审计主要针对信息系统是否正确操作和有效运行，从而真正实现信息系统的开发目标、满足用户需求。审计可以从信息系统运行和系统运行管理两个方面进行，评价系统的缺陷和不足，以及用户操作管理的疏漏，并提出相关改进建议。审计包括系统输入审计、网络通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计等。在系统维护阶段，审计主要包括对维护组织、维护顺序及流程、维护计划、维护实施、改良系统的试运行和旧系统的废除等活动的审计。系统运行和维护阶段的审计主要集中在数据中心的测试管理、运行操作管理、变更管理、问题管理、数据管理、应急管理、环境管理、网络管理、日常运营管理、性能管理等各个环节的控制上，审查和评价其控制的充分性和有效性，同时还关注软件开发中心在此阶段的配合支持是否到位。

 另外，在信息系统生命周期中，还有许多共同业务审计要做，如文档管理审计、进度管理审计、人员管理审计、第三方及外部委托管理审计、业务持续性审计等。

三、信息系统内部控制与ＩＴ审计

 信息系统必须通过完善的内部控制措施来管理和控制风险，保证信息系统资产的安全性、可靠性和有效性。工商银行信息系统的内部控制及其治理应该成为ＩＴ审计关注的重要核心部分，ＩＴ审计要监控和审查全行信息系统的内部控制，积极参与内部治理，督促信息科技部门逐步完善风险控制和有效管理。

 １．理想的ＩＴ控制模式
 信息系统的内部控制可分为预防性控制、检查性控制、纠正性控制。在这三种控制中，预防性控制是一种积极的控制，它试图在不利事件发生前加以防范，减少出现不利事件的可能性，如用户权限的控制。检查性控制是一种中性的控制，它试图在不利事件发生的同时就能够尽早发现，如网络病毒检测控制。而纠正性控制是消极的、被动的，它是假设不利事件已经发生，设置一些可以减少不利影响的手段，如应急管理控制。显然，从系统安全的角度看，增加预防性控制措施的比重是最理想的。

 从内控管理的角度来看，ＩＴ审计一般将信息系统的控制分为一般控制和应用控制。它们都是预防和发现信息系统错误、舞弊、故障的特殊控制，可以有预防性、检查性、纠正性控制的不同组合。通常，一般控制是对信息系统的构成要素（人、机器、文件）所进行的控制，是系统安全运营的基本保证。它涵盖了组织控制、操作控制、硬件与软件控制、系统安全控制等。应用控制是针对信息系统具体数据处理活动所进行的控制，一般包括输入控制、处理控制和输出控制。在一般控制和应用控制之间，前者是后者的基础，后者是前者的深化。在同一个时间和背景下，它们是一致和协调的，共同来完成对信息系统的控制。

 一般地讲，理想的ＩＴ控制是在信息系统的生命周期中的各个阶段，全面实施有效的内部控制。不同阶段根据其不同性质和特点，实施或加强不同侧重的控制措施，如系统开发阶段控制的重点是应用控制，兼顾一般控制，系统运行维护阶段则更多以一般控制为重点，兼顾应用控制。另外，在控制措施中，要提高预防性控制的比重，增强控制和管理的主动性和积极性。这样的控制模式可能会使系统生命发展周期全过程中的控制更趋合理和有效，风险管理更有效。

 ２．内部控制的ＩＴ审计
 由于信息系统的内部控制在其生命周期中的不同阶段有着不同的特点，相关的各科技部门由于承担任务的不同，控制情况也各异。因此，ＩＴ审计也必须具有针对性。软件开发中心由于主要承担产品开发，其内部控制在一般控制的基础上，更要关注和倾向于应用控制。对于数据中心及分行，其安全运营目标的实现要依赖于其内部控制，因而其工作特点决定了它们必须首先关注一般控制。因此，对其内部控制评价和审计要侧重一般控制，如人员的管理、制度规范的建设、操作管理、变更管理、问题管理等。另外，我们也看到，在产品开发的上游和产品应用运行的下游，在控制的连续性和衔接上还有进一步完善的必要，ＩＴ审计需要从信息系统生命周期的全局视角，整体识别和评价各阶段控制的连续性、一致性和协调性，促进工商银行信息系统控制的整体提高。

 总的说来，工商银行信息系统的内部控制在系统生命周期中的每个阶段不但要有所侧重，还要有连续性、一致性和均衡性，上游产品开发要给予下游运行以充分的控制建议或方案，供下游运行实施，而上游产品开发控制要在项目规划和系统设计阶段就考虑到充分性和有效性。

四、工商银行ＩＴ审计的工作重点

 继成功完成数据集中工程后，工商银行的第三代业务系统ＮＯＶＡ全功能银行系统也顺利投产，其技术含量和应用功能在国内金融业处于领先水平。然而，伴随着科技整合工程的不断推进，全行的业务数据及处理几乎全部集中到一个物理中心，版本测试在一个物理中心，核心系统的开发也全部由开发中心及所属研发分部承担。在实现专业化运作的同时，信息系统的技术以及管理也变得更加复杂，系统生命周期中各个阶段的风险进一步加大。生产运行和操作的风险将成为事关工商银行信息系统能否安全运行的重要因素，对其实行有效控制和防范也变得日益重要。在这种形势下，工商银行ＩＴ审计需要从商业银行公司治理和ＩＴ治理的高度，结合工商银行综合改革和加强内部控制的具体要求，发挥战略决策参与作用，全面识别、评价全行的ＩＴ控制和风险水平，明确风险的分布、影响以及危害性，并根据评价结果，向工行高管层或科技部门提出合理、可行的建议和方案，督促相关部门采取措施，控制、化解风险，确保信息系统的安全、稳定运行，从而确保全行业务正常而快速地开展。

 １．紧密围绕全行经营需求，推动ＩＴ治理及公司治理
 在２００４年１１月９日召开的工商银行内部审计分局局长会议上，姜建清行长强调指出，目前工商银行综合改革即将跨入新的阶段，需要对全行风险管理、内部控制和内部治理进行彻底性的变革。ＩＴ审计在这场变革中，要把握住方向，与时俱进，加快体系建设，提高审计层次，促进ＩＴ治理，推动公司治理。

２．遵循国际通行准则，建立国际标准框架下的标准和规范体系
 从国际同业的实践看，国际大型商业银行大多都在自己的ＩＴ审计体系下，遵循着一套行之有效的国际标准或规范，如ＣＯＢＩＴ、ＢＳ７７９９、ＣＯＳＯ、ＩＴＩＬ等。工商银行也要按照国际通行的做法，结合工商银行的实际，确立自己的ＩＴ审计标准和规范。

 ３．明确ＩＴ审计的技术角色，突出ＩＴ审计的技术特色
 根据工商银行信息系统的技术体系，定义不同的ＩＴ审计技术角色，需要分析工商银行信息系统的技术架构和特点，结合审计资源条件，确立ＩＴ审计对应的技术角色架构。建议将ＩＴ审计的技术角色划分为应用、系统、网络及硬件三个大类。不同的技术角色分别负责信息系统生命周期中不同阶段的不同技术领域的控制、分析和评价，确立控制风险分布和控制重点，建立相应的风险评估指标，制定有效的控制检查表和检查点，提高工商银行ＩＴ审计的专业化水平。

 ４．借助先进技术，大力开展非现场ＩＴ审计
 通过考察国际银行业界的ＩＴ审计技术和手段，结合工商银行信息系统的实际，可以断定，借助先进技术实施非现场审计已是大势所趋。ＩＴ审计可以通过采用ＡＣＬ、ＳＡＳ等灵活的、可配置的审计模型及数据分析探测工具，构筑起科学、有效的风险分析、监测、评价体系，大大加强工商银行ＩＴ审计的非现场审计，推动工商银行的审计信息化建设。

 ５．加强风险管理，规避ＩＴ审计风险
 在复杂的信息系统技术和管理环境下，实施ＩＴ审计无疑具有一定的审计风险，因此在实施ＩＴ审计时，必须注意规避审计风险，在关注重要性的同时，要力求效益性。

 综上所述，目前工商银行的ＩＴ审计要面对复杂的形势，根据重要性和风险导向原则，明确ＩＴ审计重点，针对生产运行管理制度的调整，加强对数据中心相关控制的审查，为工商银行生产运行的安全和稳定保驾护航。