如何做好銀行業(yè)IT審計(jì)

1、如何做好銀行業(yè)IT審計(jì)如何做好銀行業(yè)IT審計(jì)近年來(lái)，因銀行業(yè)務(wù)流程中對(duì)信息系統(tǒng)的依賴程度日益加大，這使得信息系統(tǒng)的固有風(fēng)險(xiǎn)隨著系統(tǒng)的復(fù)雜而增加，高度集中化的銀行信息化管理也面臨著更加嚴(yán)峻的考驗(yàn)。因此，作為商業(yè)銀行信息科技風(fēng)險(xiǎn)管理的第三道防線信息系統(tǒng)審計(jì)簡(jiǎn)稱(chēng)IT審計(jì)在銀行內(nèi)部控制建立過(guò)程中扮演了更為重要的角色。銀行IT審計(jì)意義目前，信息系統(tǒng)的正常運(yùn)行已經(jīng)成為銀行業(yè)務(wù)正常運(yùn)營(yíng)的最根本條件之一，信息科技在有力提升銀行核心競(jìng)爭(zhēng)力的同時(shí)，信息科技風(fēng)險(xiǎn)也愈發(fā)突出和集中，信息科技風(fēng)險(xiǎn)控制已成為銀行業(yè)風(fēng)險(xiǎn)管理的重要內(nèi)容，而IT審計(jì)作為銀行業(yè)風(fēng)險(xiǎn)管理體系的重要組成局部，其重要性和必要性已經(jīng)日益得到銀行業(yè)管理層的

2、關(guān)注。同時(shí)，國(guó)家相關(guān)部門(mén)對(duì)信息系統(tǒng)的管控也越來(lái)越重視，自2022年8月發(fā)布?銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引?開(kāi)場(chǎng)，銀監(jiān)會(huì)正式對(duì)銀行科技風(fēng)險(xiǎn)進(jìn)展監(jiān)管，近年來(lái)推出一系列制度和措施見(jiàn)表1，監(jiān)管工作逐步走向標(biāo)準(zhǔn)化。通過(guò)IT審計(jì)來(lái)保證和監(jiān)控全行的信息科技論文聯(lián)盟.Ll.管控對(duì)各級(jí)監(jiān)管政策法規(guī)的合規(guī)性，也成為銀行業(yè)施行IT審計(jì)的重要目的之一。因此，銀行業(yè)加強(qiáng)和標(biāo)準(zhǔn)IT審計(jì)，既是自身開(kāi)展和獲取競(jìng)爭(zhēng)優(yōu)勢(shì)的內(nèi)在需要，也是監(jiān)管當(dāng)局的外部要求。銀行IT審計(jì)標(biāo)準(zhǔn)準(zhǔn)確地運(yùn)用標(biāo)準(zhǔn)和參照，成為順利開(kāi)展IT審計(jì)工作的重要前提之一。BITBIT(ntrlbjetivesfrInfratinandrelatedTehnlgy

3、)是由信息系統(tǒng)審計(jì)與控制基金會(huì)最早在1996年制定的IT治理模型。這是一個(gè)在國(guó)際上公認(rèn)的、權(quán)威的平安與信息技術(shù)管理和控制的標(biāo)準(zhǔn)，也是目前國(guó)際上通用的信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)之一。BIT是一個(gè)基于控制的IT治理模型，其制定的宗旨是跨越業(yè)務(wù)控制和IT控制之間的鴻溝，從而建立一個(gè)面向業(yè)務(wù)目的的IT控制框架。BIT本身并非針對(duì)IT審計(jì)的專(zhuān)門(mén)闡述，其面向的使用者可以是企業(yè)中想通過(guò)改善IT過(guò)程實(shí)現(xiàn)經(jīng)營(yíng)目的的管理者，也可以是業(yè)務(wù)過(guò)程的所有者，即用戶，也可以為IT審計(jì)師。它在商業(yè)風(fēng)險(xiǎn)、控制需要和技術(shù)問(wèn)題之間架起了一座橋梁，以滿足管理的多方面需要。在最新的BIT5.0版本中，BIT已經(jīng)被稱(chēng)作一個(gè)治理和管理企業(yè)IT的業(yè)

4、務(wù)框架。BIT4.1版本中經(jīng)典的體系框架一直為眾多使用者參考使用，它包括了施行簡(jiǎn)介、施行工具集、高層控制目的框架、管理指南、詳細(xì)控制目的、審計(jì)指南等一系列文檔見(jiàn)圖1。管理指南為每個(gè)過(guò)程提供了關(guān)鍵成功因素、關(guān)鍵目的指標(biāo)和關(guān)鍵績(jī)效指標(biāo)等，并根據(jù)這些指標(biāo)對(duì)每個(gè)過(guò)程進(jìn)展了成熟度模型的劃分；而審計(jì)指南，那么就審計(jì)的控制目的、調(diào)查對(duì)象、需要掌握的證據(jù)及如何進(jìn)展測(cè)試和評(píng)估做出了詳細(xì)的說(shuō)明。BIT4.1版本中的流程參考模型將所有與信息系統(tǒng)相關(guān)的活動(dòng)進(jìn)展了劃分，主要包括34個(gè)流程，分屬4個(gè)域。而B(niǎo)IT5.0的參考模型涵蓋了治理和管理流程的完好集合，共分為37個(gè)流程。BIT5.0流程參考模型是BIT4.1流程參考

5、模型的繼承者，同時(shí)也交融了風(fēng)險(xiǎn)IT、價(jià)值IT流程模型。BIT的廣泛通用性也造就了它在應(yīng)用上的弱點(diǎn)和難點(diǎn)，即BIT中對(duì)相關(guān)流程和控制目的的描繪過(guò)于籠統(tǒng)普適，需要使用者結(jié)合企業(yè)的實(shí)際情況和專(zhuān)業(yè)經(jīng)歷進(jìn)展較大的定制化方可施行。因此，BIT模型的最大作用是將IT過(guò)程、IT資源與企業(yè)的策略和目的聯(lián)絡(luò)了起來(lái)，保障了企業(yè)的IT戰(zhàn)略目的和其業(yè)務(wù)開(kāi)展目的的一致性，也在IT管理層、IT技術(shù)人員/用戶和IT審計(jì)師之間搭建了橋梁。?商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引?近年來(lái)，隨著銀監(jiān)會(huì)信譽(yù)風(fēng)險(xiǎn)、商業(yè)風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)管理指引的發(fā)布，以及巴塞爾協(xié)議II在銀行業(yè)內(nèi)的逐步施行，推動(dòng)了銀行內(nèi)部風(fēng)險(xiǎn)管理機(jī)制的建立和健全。但是，在全面風(fēng)險(xiǎn)管

6、理的框架下，目前銀行的信息科技風(fēng)險(xiǎn)管理機(jī)制滯后于業(yè)務(wù)風(fēng)險(xiǎn)管理體系的開(kāi)展，并未建立體系化的風(fēng)險(xiǎn)管控機(jī)制，成為了銀行風(fēng)險(xiǎn)管理體系中的短板。這主要表達(dá)在，信息科技風(fēng)險(xiǎn)治理組織不健全、風(fēng)險(xiǎn)管理制度不完善、風(fēng)險(xiǎn)處理過(guò)程規(guī)劃根據(jù)不充分以及風(fēng)險(xiǎn)監(jiān)控指標(biāo)不明確等方面。2022年發(fā)布的?商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引?(以下簡(jiǎn)稱(chēng)?指引?)，定義了商業(yè)銀行信息科技風(fēng)險(xiǎn)的總體框架，即在當(dāng)前商業(yè)銀行普遍的信息科技現(xiàn)狀下，可能存在的重大信息科技風(fēng)險(xiǎn)的范圍，使商業(yè)銀行的風(fēng)險(xiǎn)管理過(guò)程，可以集中精力在相關(guān)領(lǐng)域中。?指引?確定了九大管理領(lǐng)域，即：信息科技治理；信息科技風(fēng)險(xiǎn)管理；信息平安；信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)；信息科技運(yùn)行；業(yè)

7、務(wù)連續(xù)性管理；外包；內(nèi)部審計(jì)；外部審計(jì)。這些領(lǐng)域覆蓋了信息科技管理的大多數(shù)重要活動(dòng)，這些活動(dòng)中存在的風(fēng)險(xiǎn)，可能會(huì)對(duì)業(yè)務(wù)產(chǎn)生重大影響，因此對(duì)這些領(lǐng)域的風(fēng)險(xiǎn)識(shí)別和管理，應(yīng)當(dāng)在信息科技風(fēng)險(xiǎn)管理中優(yōu)先對(duì)待。在這九大領(lǐng)域中，IT審計(jì)占兩個(gè)，分別是內(nèi)部審計(jì)和外部審計(jì)。而?指引?本身，就是一個(gè)針對(duì)銀行的框架完好的IT審計(jì)標(biāo)準(zhǔn)，銀行可以參考這個(gè)標(biāo)準(zhǔn)，開(kāi)展IT審計(jì)工作。IT審計(jì)標(biāo)準(zhǔn)選擇理論中使用的標(biāo)準(zhǔn)遠(yuǎn)不止上述兩個(gè)，而且，這兩個(gè)標(biāo)準(zhǔn)建立本身就參照了很多IT相關(guān)的較為成熟的標(biāo)準(zhǔn)。如，BIT制定時(shí)參照的標(biāo)準(zhǔn)就有IS系列的相關(guān)IT技術(shù)標(biāo)準(zhǔn)、審計(jì)行為準(zhǔn)那么等等；?指引?其中信息平安管理領(lǐng)域的內(nèi)容建立就是參照信息平安管理

8、體系的國(guó)際標(biāo)準(zhǔn)IS27001。另外，由于信息科技的細(xì)分領(lǐng)域眾多，在進(jìn)展某些細(xì)分領(lǐng)域的專(zhuān)項(xiàng)審計(jì)或單領(lǐng)域?qū)徲?jì)時(shí)，可以考慮單獨(dú)使用某些國(guó)際或國(guó)內(nèi)標(biāo)準(zhǔn)作為審計(jì)標(biāo)準(zhǔn)，從而到達(dá)更深化和專(zhuān)業(yè)的目的。比方，在進(jìn)展信息平安方面的審計(jì)時(shí)，可參考IS論文聯(lián)盟.Ll.27001等國(guó)際標(biāo)準(zhǔn)或國(guó)內(nèi)標(biāo)準(zhǔn)SSE-；在審計(jì)IT運(yùn)維、IT效勞的交付和支持相關(guān)領(lǐng)域時(shí)，可以考慮采用ITIL作為審計(jì)標(biāo)準(zhǔn)；在審計(jì)IT內(nèi)部控制建立相關(guān)領(lǐng)域時(shí)，還可以采用S模型中的描繪來(lái)比照評(píng)估。銀行應(yīng)當(dāng)根據(jù)自身特點(diǎn)，結(jié)合本行信息科技工作的特點(diǎn)以及每次IT審計(jì)的目的和范圍，有選擇地采用審計(jì)標(biāo)準(zhǔn)，同時(shí)，根據(jù)本行信息科技工作的程度分階段地來(lái)施行標(biāo)準(zhǔn)中的要求。銀行

9、IT審計(jì)方法為了提升IT審計(jì)工作的效率和效能，實(shí)現(xiàn)有效的風(fēng)險(xiǎn)管理，筆者認(rèn)為商業(yè)銀行應(yīng)當(dāng)實(shí)在開(kāi)展基于風(fēng)險(xiǎn)的IT審計(jì)工作。下面，筆者將介紹一個(gè)基于風(fēng)險(xiǎn)的銀行IT審計(jì)的典型工作方法。一個(gè)基于風(fēng)險(xiǎn)的銀行IT審計(jì)工作可以分為六個(gè)步驟進(jìn)展，包括制定審計(jì)目的、確定風(fēng)險(xiǎn)領(lǐng)域、制定審計(jì)方案、設(shè)計(jì)審計(jì)程序、執(zhí)行審計(jì)方案以及出具審計(jì)結(jié)果和管理建議見(jiàn)圖2。其中，確定風(fēng)險(xiǎn)領(lǐng)域和設(shè)計(jì)審計(jì)程序是最為關(guān)鍵的環(huán)節(jié)。制定審計(jì)目的。銀行IT審計(jì)委員會(huì)確定工程所采用的方法論、框架體系和審計(jì)目的，并對(duì)審計(jì)范圍和資源配置進(jìn)展說(shuō)明，同時(shí)擬定最終的報(bào)告內(nèi)容范圍。確定風(fēng)險(xiǎn)領(lǐng)域。IT審計(jì)人員根據(jù)銀行的信息系統(tǒng)現(xiàn)狀，結(jié)合銀行的戰(zhàn)略和業(yè)務(wù)目的，制定

10、出合適的風(fēng)險(xiǎn)框架，包括風(fēng)險(xiǎn)等級(jí)的劃分標(biāo)準(zhǔn)以及風(fēng)險(xiǎn)評(píng)估模型等。審計(jì)人員從信息系統(tǒng)本身的脆弱性和其對(duì)業(yè)務(wù)目的實(shí)現(xiàn)的影響兩個(gè)維度出發(fā)，分析評(píng)估銀行各信息系統(tǒng)的風(fēng)險(xiǎn)現(xiàn)狀，從而挑選高風(fēng)險(xiǎn)的信息系統(tǒng)。挑選參考的分析因素和方法可參考圖3進(jìn)展。制定審計(jì)方案?；谇耙浑A段的風(fēng)險(xiǎn)評(píng)估結(jié)果和IT審計(jì)的關(guān)注領(lǐng)域，擬定以風(fēng)險(xiǎn)為導(dǎo)向的內(nèi)部審計(jì)方案；內(nèi)部審計(jì)方案在得到銀行管理層最終批準(zhǔn)之后，確定各項(xiàng)審計(jì)任務(wù)所需的資源和詳細(xì)執(zhí)行時(shí)間。設(shè)計(jì)審計(jì)程序。對(duì)方案進(jìn)展IT審計(jì)的信息系統(tǒng)和其支持的業(yè)務(wù)流程進(jìn)展詳細(xì)理解和記錄，編制風(fēng)險(xiǎn)和控制矩陣，并針對(duì)選定的信息系統(tǒng)和其支持的業(yè)務(wù)流程分別制定不同層面的審計(jì)程序。目前銀行業(yè)IT審計(jì)比擬典型的

11、層面劃分如圖4所示：從上至下分為銀行管理層面IT控制、應(yīng)用控制和面向計(jì)算機(jī)環(huán)境整體控制三層。詳細(xì)各層面的審計(jì)內(nèi)容為：銀行管理層面IT控制審計(jì)EL：關(guān)注銀行的IT治理，合規(guī)、IT戰(zhàn)略和規(guī)劃。應(yīng)用控制審計(jì)A：關(guān)注業(yè)務(wù)流程中內(nèi)嵌的信息系統(tǒng)相關(guān)控制，以保證信息處理的完好性、準(zhǔn)確性、有效性和訪問(wèn)控制。應(yīng)用系統(tǒng)控制包括數(shù)據(jù)控制、業(yè)務(wù)流程控制、接口控制、系統(tǒng)外控制。計(jì)算機(jī)環(huán)境整體控制ITG：關(guān)注與IT相關(guān)的管理控制，包括IT運(yùn)營(yíng)、根底設(shè)施和流程、信息平安、業(yè)務(wù)持續(xù)性管理和災(zāi)難恢復(fù)、IT根底設(shè)施等方面。這三個(gè)層次的劃分將有助于審計(jì)人員從多個(gè)角度審視銀行的信息科技風(fēng)險(xiǎn)管理工作。執(zhí)行審計(jì)方案。IT審計(jì)人員將根據(jù)擬

12、定的審計(jì)程序執(zhí)行現(xiàn)場(chǎng)審計(jì)工作，記錄測(cè)試結(jié)果，對(duì)測(cè)試結(jié)果進(jìn)展復(fù)核和評(píng)估，并與相關(guān)人員溝通測(cè)試發(fā)現(xiàn)。在執(zhí)行過(guò)程中，審計(jì)人員可以通過(guò)佐證性詢問(wèn)、現(xiàn)場(chǎng)觀察、文件檢查、重新執(zhí)行和計(jì)算機(jī)輔助審計(jì)技術(shù)等五種測(cè)試方法的一種或幾種對(duì)某項(xiàng)控制活動(dòng)的運(yùn)行有效性進(jìn)展測(cè)試。出具審計(jì)結(jié)果和管理建議。向銀行管理層匯報(bào)各項(xiàng)審計(jì)發(fā)現(xiàn)和風(fēng)險(xiǎn)分析結(jié)果，出具最終的內(nèi)部審計(jì)報(bào)告，并根據(jù)各項(xiàng)審計(jì)發(fā)現(xiàn)，提出合理的管理建議。銀行業(yè)IT審計(jì)展望以風(fēng)險(xiǎn)為導(dǎo)向的IT審計(jì)在?指引?中，屢次提到應(yīng)基于風(fēng)險(xiǎn)評(píng)估結(jié)果指導(dǎo)IT審計(jì)活動(dòng)。這反映了銀行業(yè)IT審計(jì)的開(kāi)展導(dǎo)向：從本來(lái)以合規(guī)審計(jì)為主，逐步轉(zhuǎn)變?yōu)橐燥L(fēng)險(xiǎn)導(dǎo)向的審計(jì)方法；銀行IT審計(jì)職能和角色也在過(guò)去這些

13、年發(fā)生了不少變化，從以合規(guī)審計(jì)為主的工作，逐漸變成了活潑的內(nèi)部或外部業(yè)務(wù)參謀。如前文所述，基于風(fēng)險(xiǎn)的銀行IT審計(jì)工作將成為銀行IT審計(jì)的主流工作方法。計(jì)算機(jī)輔助審計(jì)技術(shù)AATs的廣泛應(yīng)用計(jì)算機(jī)輔助審計(jì)技術(shù)是指審計(jì)人員在審計(jì)過(guò)程和審計(jì)管理活動(dòng)中，以計(jì)算機(jī)為工具，來(lái)執(zhí)行和完成某些審計(jì)程序和任務(wù)。它本身并非IT審計(jì)師的專(zhuān)利，但筆者認(rèn)為，它的深層次運(yùn)用，對(duì)于IT審計(jì)，尤其是對(duì)于海量數(shù)據(jù)集中管控的銀行業(yè)的IT審計(jì)，有著更大的作用和待挖掘的潛力。計(jì)算機(jī)輔助審計(jì)包含兩個(gè)層次的內(nèi)容：第一個(gè)層次是指在審計(jì)業(yè)務(wù)中利用電子表格、數(shù)據(jù)庫(kù)、字處理常規(guī)軟件中的一些功能，或?qū)徲?jì)人員自編的一些小程序，幫助審計(jì)人員計(jì)算、復(fù)算、

14、復(fù)核、分析審計(jì)數(shù)據(jù)，主要目的是節(jié)約審計(jì)時(shí)間、進(jìn)步效率、增加準(zhǔn)確性、減輕勞動(dòng)量。這一層次，當(dāng)前的銀行業(yè)審計(jì)工作根本都已經(jīng)實(shí)現(xiàn)。第二個(gè)層次是指利用專(zhuān)門(mén)的輔助審計(jì)軟件進(jìn)展工程審計(jì)。這個(gè)層次也有兩種類(lèi)型：一是主要用于審計(jì)情況匯總。在開(kāi)展行業(yè)審計(jì)時(shí)，根據(jù)審計(jì)工作方案，編制專(zhuān)門(mén)的審計(jì)匯總軟件，自下而上，從審計(jì)底稿開(kāi)場(chǎng)，對(duì)審計(jì)情況進(jìn)展逐級(jí)匯總。好處在于能全面、準(zhǔn)確匯總反映審計(jì)情況，防止錯(cuò)漏和人為調(diào)整上報(bào)情況，便于統(tǒng)一定性、統(tǒng)一處理。二是主要用于協(xié)助審計(jì)人員對(duì)專(zhuān)門(mén)工程，用專(zhuān)門(mén)的審計(jì)方法進(jìn)展比擬全面、系統(tǒng)的審計(jì)。這主要需要通過(guò)編制審計(jì)程序或軟件來(lái)進(jìn)展，并通過(guò)程序或軟件使一個(gè)持續(xù)的審計(jì)證據(jù)搜集和審計(jì)活動(dòng)成為可能。對(duì)于銀行業(yè)來(lái)說(shuō)，施行成熟、適用的審計(jì)輔助軟件，也成為IT審計(jì)的一個(gè)開(kāi)展方向。數(shù)據(jù)分析DA將支持銀行的持續(xù)監(jiān)控與審計(jì)數(shù)據(jù)分析指的是一整套技術(shù)、流程與應(yīng)用工具，運(yùn)用于持續(xù)探究與深化理解以往業(yè)務(wù)表現(xiàn)，以獲取信息并推進(jìn)業(yè)務(wù)開(kāi)展。其目的是通過(guò)廣泛地使用數(shù)據(jù)、統(tǒng)計(jì)與定量分析、解釋與預(yù)測(cè)模型，并通過(guò)基于事實(shí)的管理，推動(dòng)整體決策。目前在制造業(yè)、通訊業(yè)和零售業(yè)等行業(yè)中被廣泛運(yùn)用于分析和決策支持。數(shù)據(jù)分析在IT審計(jì)