【IT168 技术文章】
国内商业银行IT审计势在必行90年代末期至今,国内商业银行一直在持续的进行信息系统建设,90%以上的商业银行都已经应用信息系统来实现对客户的服务。根据相关统计数据,针对国内商业银行,硬件网络平台已经实现了100%的应用;软件应用已经覆盖了80%以上的商业银行业务;部分商业银行在管理信息化方面也陆续的完成信贷管理、财务管理等管理信息系统的建设。随着商业银行信息化建设的进一步完善,商业银行对IT系统的依赖也越来越强。
但是,在商业银行IT建设的背后,也应该看到一个事实,商业银行的经营业务的本身蕴藏着巨大的风险。在实现由手工操作到电子化过程中,降低了人为的风险,但同时也带来了巨大的IT风险。根据《巴塞尔协议》的相关规定,系统失效是银行风险重要组成部分。国外相关统计数据表明,一些银行系统失效风险损失占到总风险损失的10%-20%.国内商业银行必须看到面临的IT系统相关风险在逐渐增大。因此,通过IT审计,及时识别IT风险,完善控制措施就势在必行。
国内商业银行IT审计目标与内容商业银行的IT审计的目标是通过对商业银行所有IT规划、建设、应用、服务、安全等全方位的审计,充分识别与评估IT风险,完善控制措施,实现IT系统的可用性、安全性、完整性、有效性,最终达到强化商业银行内部控制的目的。
对商业银行的IT审计至少包括以下方面:1) 硬件与环境:包括商业银行的硬件网络、电源、机房环境控制等;2) 应用软件:针对综合业务系统、国际结算系统等业务系统,对系统的访问控制、授权、确认、错误与特例处理,以及系统相关流程,包括对系统的开发生命周期的审计;3) IT管理与服务:包括商业银行IT管理与服务的工具、制度、以及方法等有效性的审计;4) 信息安全:对商业银行信息安全措施的完整性与有效性进行审计;5) 商业连续性:为了保护银行业务持续运做,对银行在容错、备份、存储、灾难恢复等方面的完整性与合规性方面进行审计;6) 信息完整性:审计在确保信息正确、可信、及时等方面的的控制情况;7) IT策划与项目管理:对IT整体规划、系统策划、项目管理等方面进行审计。
商业银行IT审计进程与策略国内商业银行IT建设起步晚,对IT审计了解比较少,因此如何有效的控制一个IT审计项目缺乏相关的经验。根据对国内商业银行的IT应用现状的研究,提出如下商业银行IT审计工作进程方案与相关策略:1) 确定IT审计单位根据国际通用的信息系统审计准则,要求IT审计工作必须独立性。因此商业银行在确定内外部IT审计单位,除了要求符合相关的资质要求,必须保证IT审计工作的独立性。建议国内商业银行IT审计工作的开展尽可能的考虑外部IT审计单位,保证IT审计的效果。如果确定内部单位进行IT审计,必须保证审计单位组织的独立性。
2) 确定独立IT审计组对商业银行的IT审计,即包括了软硬件系统,也包括对商业银行的业务符合性的审计,以及IT项目组织、策划、服务管理等方面。因此,构成IT审计组的成员应由IT系统专家、银行业务专家、咨询专家等多方面人员构成,主要的审计师必须具有IT审计的资格。
3) IT审计方案与计划制订恰当的IT审计方案与计划是IT审计工作的核心基础,是保证审计目标实现,以及达到相关审计效果的关键。商业银行IT审计方案与计划应包括:商业银行的信息系统现状分析;商业银行的内部控制现状初步评价;IT审计的性质与范围;审计工作的组织安排;审计风险评估;审计费用与成本;实施时间计划;IT审计方法;审计协调与沟通机制等。
4) IT审计实施IT审计实施的过程要求对审计计划确定的范围、要点、步骤、方法等内容,进行取证、测试与评价,最终形成IT审计报告。工作的方法主要包括对商业银行IT系统内部控制的建立与遵守情况进行符合性与实质性测试,分析IT审计差异,逐步IT审计报告的相关依据。商业银行IT审计内容应包括软硬件系统、信息安全、项目策划与管理、IT服务与管理等内容。针对国内商业银行信息系统建设现状,多个系统运行,信息存储分散的实际情况,要重点审计系统的接口,以及数据的完整性和一致性。
5) IT审计报告商业银行的IT审计报告应包括:审计证据汇总、审计原始底稿、与审计准则之间的审计差异、调整与建议内容、审计总体意见等方面的内容。各块内容的汇总可以按照硬件系统、软件系统、信息安全管理、IT管理与服务、IT项目策划与管理的结构进行组织。
6) 持续改进与信息系统建设的持续改进相对应,商业银行的IT审计工作也是长期,持续改进的工作。商业银行需要从实际情况出发,制订长期的IT审计计划与方案,不断促进商业银行IT应用的成熟与完善。
商业银行IT审计方法的综合应用商业银行IT审计实施过程中应用的关键方法主要包括以下几个方面:1) IT风险识别对于商业银行,充分识别IT风险,是IT审计过程中的关键。商业银行的IT风险主要包括:软件体系风险、软件过程风险、项目管理风险、应用风险、用户使用风险、硬件平台风险等。识别IT系统风险的方法主要包括:故障树法、专家意见法、流程图法等。在风险识别的过程中要形成风险识别底稿,对风险发生的部位、影响范围、发生原因等方面进行标识。
2) IT风险评估对IT风险后果的评估符合一个简单的数学模型:风险=后果X可能性。评估的方法包括:定性评价法(风险等级矩阵)、定量分析法(失效模型计算)。
3) IT风险控制IT风险控制是指在IT风险充分识别与评估后,考虑应用现有的控制措施或设计新的控制方法降低风险到可接受水平的一套方法。IT控制策略主要针对以下三种情况:如果评估最终导致的风险损失非常小,商业银行可以接受,可以不考虑新增控制方案;其次,评估最终损失较小,需要考虑一般性控制措施,将风险降低到可接受程度;第三,评估最终风险损失比较大,影响到系统正常运行,需要计算风险额与控制成本,比较选择经济可行的控制方案,将风险降低。
4) IT审计测试审计测试的方法主要包括符合性测试方法与实质性测试方法。符合性测试就是通过商业银行IT系统内部控制的有效性、存在性、合规性进行核实并形成审计结论的方法。实质性测试指对商业银行IT系统处理的业务信息、管理信息进行合法性、合理性、真实性进行直接检查和分析性复核,最终形成审计结论的方法。
总结与建议国内商业银行需要重视IT审计工作,通过IT审计的开展,完善内部控制,降低商业银行经营风险。
IT审计必须符合科学、独立、审慎的精神。商业银行要进行认真细致的工作安排,从审计的实际目标出发,选择实用的方法,依据相关的国际IT审计准则开展相关工作,通过长期的、持续的改进,强化IT风险控制能力,最终降低经营风险。
