我国银行业的IT审计尚处于摸索阶段,尚缺乏成熟的经验和案例可供参考,尤其是没有针对大型数据处理和大型软件开发的IT审计经验可以借鉴。有鉴于此,本期我们特别邀请工行及人行IT审计方面的专业人士,对国内外银行IT审计的具体案例进行剖析研究,就二者的差别及内在成因作深入分析,以此促进IT审计在我国银行业更健康有序的开展。
随着信息技术在银行普遍、深入的应用,银行信息系统的正常运行已经成为银行业务正常运营的最基本的条件之一,IT运营与公司运营紧密相关,IT治理也与公司治理紧密相连,因此IT审计越来越得到银行管理层的高度重视。目前,IT审计在国际上是一个相当成熟的领域,发达国家的银行均建立了完善的信息系统审计体系,而我国才刚刚开始起步。因此,很有必要研究发达国家银行业的IT审计组织结构和技术架构,解析国内银行IT审计的现状及存在的问题,并根据国际经验与我国实际情况进行差异性分析,最后,找到我国银行业IT审计的准确定位,由此,实现IT审计在国内银行业质的飞跃。
国外银行IT审计的特点
IT审计部门的独立性
在国际上IT审计部门分为内审与第三方独立审计两种。内审由企业内部专设的IT审计机构实施审计,第三方审计则提供独立的外部审计。国外发达银行大都设有内部的IT审计部门,IT审计部门独立于IT部门,由公司控股层直接管理。例如荷兰银行和瑞士银行都在控股公司层面设立了一个审计委员会,审计委员会下设企业中心,集团审计是在控股公司层面的企业中心内,直接由审计委员会管理,IT审计则隶属于集团审计,独立于IT部门。
国外银行IT审计的技术和组织框架
国外银行界在IT审计部门基本都根据银行自身的特点,确定了相应的技术框架。各银行的IT审计普遍有以下特点:
各银行均根据自己的IT形势,明确了不同的IT审计的技术领域、范围。IT审计的范围基本覆盖了信息系统建设生命周期中的所有IT活动,包含了各种技术平台和软件开发,项目投产,系统迁移、切换、运行维护等全过程。IT审计重点审计IT活动过程中的各个方面,力图将风险控制在过程中。由于IT已经渗透到银行业务的各个领域,因此IT审计与业务审计紧密结合,利用IT技术辅助进行业务审计以及将IT与业务紧密结合在一起进行综合审计,都是IT审计的重要内容。
新加坡发展银行设有专门的IT审计机构,其IT审计包括综合、技术框架和软件系统生命周期三个方面。美国大通银行同样设有专职的IT审计机构,其IT审计包括系统开发审计、系统切换审计和技术框架审计。花期银行对新系统的起用、迁移、转换、合并均由内审部门进行风险审计。花旗集团还根据特殊事件或法规要求的需要,开展专项审计,对项目风险进行评估,如采用新的计算机技术、IT系统转换及系统发生停运等问题,都要进行审计评价。
IT审计人员的比例
目前美国商业银行内部审计人员当中约有30%-50%是IT审计人员。汇丰银行仅香港分行就配备了30多名IT审计人员。在花旗银行,由于信息科技已渗透于银行的各个领域,信息技术已与业务紧密结合在一起,无论作为内部审计的对象,还是内部审计的手段,内部审计人员的工作已难以离开计算机技术支持。即使在这种情况下,花旗银行专职从事信息科技和计算机辅助审计的人员占全部审计人员的比例也超过20%。
IT治理中审计人员的角色
IT审计员在IT治理的过程中,他们的活动贯穿在计划和组织、获得和实施、交付和支持、监控这几个领域中,在此过程中始终承担着评估与评价的职责。计划和组织域中,内部审计师的关键处理是质量管理。它包括对战略性IT计划和信息架构的评估,技术方向、IT组织和关系、项目管理和IT投资管理的评价、通知、支持,保证服从外部要求,风险和管理质量的评估等。
在获得和实施域中,内部审计师的角色仍然是评估过程。如对自动化解决办法的鉴定和评价,获得和维护应用软件的评价和支持,获得和维护技术架构,开发和维护过程、安装和认证系统的评价,管理变化的评价和支持等。
在交付和支持领域,审计要对以下方面进行评估和支持。如定义和管理服务级别、管理第三方服务、管理性能和能力、保证连续性服务、鉴定和分配费用,教育、培训和支持用户,管理配置、管理问题和事件、管理数据、管理设备、管理行动等的检查和评估,保证系统安全的检查、评估和支持。
在监控领域,审计师的角色是监控过程,评价内部控制,获得独立保证,提供独立审计的检查、评估和支持。
国内外银行IT审计的差异
面对我国银行数据大集中的形势,银行已将IT风险作为内部的重要风险之一进行控制。但由于IT审计在我国还刚刚起步,与国外发达银行比较还存在很大的差异性,主要体现在以下几个方面:
审计覆盖面上的差异
目前我国各大商业银行在总行内审部门基本上都设立了信息技术审计处,股改后直接向董事会负责,这与国际惯例基本是一致的,体现了银行最高领导层充分重视IT在银行中的地位,并将IT风险防范和控制纳入到银行风险控制的战略高度。目前国际上比较先进的商业银行无一例外全部开展了GCR(一般控制)和ACR(应用控制)的全方位IT审计。但我国由于信息技术审计工作开展不长,并且人员有限,还未能全面开展一般控制和应用控制的IT审计工作,基本处于一般控制的摸索阶段,距国际先进水平还有较大的差距。
组织结构和人员上的差异
从新加坡发展银行和美国大通银行的IT审计组织框架和人员配备上看,IT审计由于涵盖了软件开发和项目投产、运行维护的全过程,包含了各种技术平台、系统生命周期的所有阶段,因此IT审计机构设置基本采用在总审计师领导下,与业务审计两条线并列的模式,人员专业化分工明确,技术水平要求也较高,懂IT技术人员的比例一般占内部审计人员的30%-50%左右。而我国银行从事信息技术审计工作的员工较少,在人员数量和质量上无论与国际先进水平还是银行的IT架构相比,均有不小的差距。同时,由于目前内审部门的信息技术审计组织结构不尽完善且人员不足,无法进一步细分审计职能、明确专业审计方向。另外,在审计手段、辅助工具以及系统接口、技术支持等方面的差距更大,需要加强力量研究解决。
国外IT审计先进经验的启示
重视信息科技审计是国际普遍趋势。随着商业银行经营管理活动对信息技术的高度依存,信息科技风险控制已成为商业银行风险管理的重要内容,并从战略的角度将IT审计与实现公司治理的总体目标紧密联系在一起。
加强IT审计是国内银行建设国际一流商业银行的内在需要。近年,工商银行信息科技优势在提升银行核心竞争力的同时,其系统风险也更加集中,更加突出,任何一点管理上的疏漏或控制上的缺陷,都可能引发巨大的系统灾难,给全行带来无法估量的经济损失和声誉损失。因此,进一步加强IT审计就更具有重大的现实意义。
加强IT审计是监管当局的外部要求。随着国内经济的快速发展和对外开放的逐步扩大,国家相关部门对信息系统的安全问题越来越重视,银监会、人民银行、审计署、公安部等国家行政管理部门和外部监管部门对企业内部的信息系统风险控制都提出了一系列要求。因此,工行必须通过加强IT审计来保证全行的信息技术应用对各级监管政策、法规的遵从性。
我国银行要尽快建立健全IT审计架构和规范,从IT治理与公司治理相结合的角度,对银行的信息系统建设的重大决策,提供评估与评价并进行相关的风险分析,力图将IT风险控制在过程中,并推进和促进科技管理,预防IT风险。要达到这一目标,可按照国际通用的IT审计标准CO鄄BIT,结合我国银行的具体实际情况,建立适合我国银行的IT审计标准和框架。
对我国银行的IT审计应紧紧围绕银行的IT技术架构进行,使银行的IT审计能涵盖主要的IT活动范围,因此应建立审计的技术领域框架。该领域至少应包含以下内容:系统运行、操作管理及风险防范,软件开发生命周期的过程管理和风险评估,新系统投产、切换、迁移、合并的过程管理和风险评估,各种技术平台的审计,电子银行等与IT紧密结合的新业务的审计,为业务审计提供IT技术手段和辅助功能,业务与IT紧密结合的综合审计,各种专项审计及事故评估。
我国银行IT审计的关注点
鉴于目前我国银行信息技术审计组织结构不尽完善和人员数量、质量严重不足,远不能达到对IT进行全面审计的要求,因此,当前我国银行IT审计工作的重点可定位在以下几个方面:防范对操作运行风险,具体应针对数据中心整合工程后的生产运行和操作情况,进行专项审计;尽快按照国际标准开展我国银行IT审计工作标准的制定;加强组织机构建设,充实技术人员并加强培训;加强IT审计的队伍建设,IT审计人员的技术背景应覆盖系统、硬件、网络、应用等多个方面,同时又具备审计知识和经验,能将IT技术与审计手段结合运用,这样才能审计出IT风险。(作者为中国工商银行内部审计局课题组成员)
相关链接 国内外银行业IT审计的相关依据
人民银行IT审计的相关规章制度
《中国人民银行计算机信息系统内审监督检查工作暂行规定》奠定了人行内审部门开展信息系统审计工作的基础,对信息系统审计工作的目的、范围、内容、方式、方法、要求进行了明确规定。
《中国人民银行关于加强计算机信息系统内部审计工作的指导意见》为人行各分支机构重视、加强和保障信息系统审计的开展提出了要求,同时对如何开展信息系统审计和开展信息系统审计需要关注的问题作了重点说明。
《中国人民银行计算机信息系统内部审计规程》明确了人行信息系统审计的具体内容和方法。
国外银行信息系统审计的依据
COBIT:这是信息系统审计与控制协会于1996年公布的,是国际上通用的信息系统审计的标准,目前已经更新至第三版。COBIT将IT过程、IT资源及信息与企业的策略与目标联系起来,形成一个三维的体系结构。其中,IT准则反映了企业的战略目标,从质量、成本、时间、资源利用率、系统效率、保密性、可用性等方面来保证信息的安全性、有效性;IT资源包括以人、应用系统、技术、设施及数据在内的信息相关的资源;IT过程从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面,确定了34个信息技术处理过程。
ISO17799:按照英国国家标准局制定的BS7799-1《信息安全管理实践规范》和BS7799-2《信息安全管理体系规范》,可以帮助在组织中建立一个初步的、易于实施和维护的管理框架,在框架内通过安全管理标准,提供组织在信息安全管理的各环节上一个最佳的实践指导。BS7799-1已于2000年12月被国际标准化组织采纳,成为ISO17799。它包含100多个安全控制措施,来帮助组织识别在运做过程中对信息安全有影响的元素。这些控制措施被分成方针、安全组织、信息分类与控制、人事安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、商务可持续运营、法律符合等10个方面,成为组织实施信息安全管理的实用指南。
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]