淺談商業(yè)銀行ＩＴ審計發(fā)展對策

[摘要] 本文從商業(yè)銀行業(yè)務(wù)高風(fēng)險性的特點以及信息系統(tǒng)自身的特點出發(fā)，指出商業(yè)銀行實施IT審計的必要性。并通過分析商業(yè)銀行IT審計的現(xiàn)狀及存在的一些問題，從IT審計制度、IT審計人才培養(yǎng)等方面提出了商業(yè)銀行IT審計的發(fā)展對策。

[關(guān)鍵詞] 商業(yè)銀行IT審計

隨著計算機網(wǎng)絡(luò)的發(fā)展，商業(yè)銀行在處理業(yè)務(wù)時對計算機信息系統(tǒng)的應(yīng)用程度越來越高。信息系統(tǒng)就像一把雙刃劍，它在帶來經(jīng)濟效益的同時，也使商業(yè)銀行面臨巨大的風(fēng)險，因此對信息系統(tǒng)進行嚴(yán)格規(guī)范的控制尤為重要。為了保證信息系統(tǒng)的安全、可靠與有效，實施有效的IT審計成為商業(yè)銀行一項迫在眉睫的任務(wù)。

一、商業(yè)銀行實施IT審計的必要性

1.這是由商業(yè)銀行業(yè)務(wù)高風(fēng)險性的特點決定的

商業(yè)銀行本身是一個高風(fēng)險行業(yè)，在銀行業(yè)務(wù)中的主要風(fēng)險包括：戰(zhàn)略性的，名譽性的，操作的，信用，貨幣兌換，利率，流動性。隨著銀行業(yè)務(wù)信息化程度的提高，特別是近年來網(wǎng)絡(luò)銀行和信用卡的興起，銀行的業(yè)務(wù)和信息系統(tǒng)之間的聯(lián)系不斷加強，信息系統(tǒng)需要不斷的修改和完善以適應(yīng)業(yè)務(wù)發(fā)展的要求。當(dāng)信息系統(tǒng)跟不上業(yè)務(wù)發(fā)展的需要時，就會造成系統(tǒng)故障，系統(tǒng)錯誤等情況，導(dǎo)致一些業(yè)務(wù)不能正常開展，這使得商業(yè)銀行面臨的戰(zhàn)略性，名譽性，操作性的風(fēng)險越來越大。為減少這些風(fēng)險，這就需要IT審計對系統(tǒng)進行嚴(yán)格的規(guī)范控制，對信息系統(tǒng)進行綜合的檢查和評價以保證信息系統(tǒng)適應(yīng)銀行業(yè)務(wù)發(fā)展的需要。

2.這由信息系統(tǒng)本身的特點所決定的

信息系統(tǒng)的開發(fā)是一項長期而且龐大的工程，需要耗費大量的人力、物力以及財力，它具有投資大，風(fēng)險高的特點，若開發(fā)不當(dāng)，則可能會使信息系統(tǒng)無法投入使用，或即使能勉強投入使用，但在使用過程中也會錯誤不斷，需要極高的成本來維護系統(tǒng)，因此需要IT審計對信息系統(tǒng)的開發(fā)過程進行跟蹤審計，及時發(fā)現(xiàn)并改正錯誤，保證信息系統(tǒng)的質(zhì)量，降低系統(tǒng)后期的維護成本。同時，由于并不存在十全十美的信息系統(tǒng)，也不可能在系統(tǒng)開發(fā)過程中發(fā)現(xiàn)全部潛在的錯誤，這使得在系統(tǒng)運行過程中可能會出現(xiàn)系統(tǒng)故障，系統(tǒng)錯誤，黑客攻擊漏洞等情況，這可能會使數(shù)據(jù)被破壞，客戶隱私被泄露，經(jīng)濟效益遭受損失，對商業(yè)銀行的聲譽、經(jīng)營造成影響。這就需要在信息系統(tǒng)運行維護階段進行IT審計找出系統(tǒng)的缺陷和不足，并提出改進和完善的意見，以保障系統(tǒng)安全、可靠以及有效的運行。

二、商業(yè)銀行IT審計的現(xiàn)狀及改進措施

1.建立完善的商業(yè)銀行IT審計制度

在我國制度創(chuàng)新還跟不上IT的發(fā)展，相關(guān)的IT審計法規(guī)、準(zhǔn)則存在著一定的滯后現(xiàn)象，目前存在相關(guān)法規(guī)、準(zhǔn)則僅有審計署于1996年頒布的《審計機關(guān)計算機輔助審計辦法》，1999年頒布的《獨立審計具體準(zhǔn)則第20號——計算機信息系統(tǒng)環(huán)境下的審計》等幾個。而近年來IT發(fā)展迅速，這些法規(guī)、準(zhǔn)則不一定能適應(yīng)新的系統(tǒng)環(huán)境，這將會給商業(yè)銀行的IT審計的實際操作帶來一些困難和影響。為了促進商業(yè)銀行的IT審計的發(fā)展，應(yīng)該完善相關(guān)的法規(guī)、準(zhǔn)則，使之跟得上IT的發(fā)展。同時，根據(jù)國際趨同的要求，我國也應(yīng)根據(jù)國際IT審計的國際標(biāo)準(zhǔn)——COBIT（信息系統(tǒng)和技術(shù)控制標(biāo)準(zhǔn)）建立符合中國實際、順應(yīng)國際準(zhǔn)則趨同化要求的內(nèi)控、風(fēng)險管理體系、IT監(jiān)審機制和制度。

2.加強IT審計的連續(xù)性

由于商業(yè)銀行信息系統(tǒng)的開發(fā)多采用外包方式，這使得在實施IT審計時容易忽視信息系統(tǒng)開發(fā)階段的IT審計，使得IT審計缺乏連續(xù)性。而系統(tǒng)開發(fā)階段存在的一些潛在的問題可能會系統(tǒng)在運行維護階段逐漸暴露出來，這個時候就需要去系統(tǒng)本身進行修正，與在系統(tǒng)開發(fā)階段進行的修正相比，此時的花費的成本將更高。因此，需要加強在系統(tǒng)開發(fā)階段的IT審計，加強IT審計的連續(xù)性，這將有助于保障高質(zhì)量的信息系統(tǒng)的開發(fā)，減少系統(tǒng)存在的潛在問題，降低運行維護階段的維護成本。

3.提高商業(yè)銀行內(nèi)部IT審計的質(zhì)量

商業(yè)銀行一般都擁有自己的IT部門，由于部分內(nèi)審人員計算機知識與技能有限，這使得在進行內(nèi)部審計時會在一定程度上依賴IT部門的人員的幫助，誠然這些IT部門的人員對于計算機知識以及相關(guān)的業(yè)務(wù)十分熟悉，有利于內(nèi)部審計的實施，但是這卻讓他們擁有運動員和裁判員的雙重身份，使得內(nèi)部審計的獨立性遭到質(zhì)疑，內(nèi)部審計的質(zhì)量得不到保證。而高質(zhì)量的內(nèi)部審計能使信息系統(tǒng)安全、可靠以及有效的運行，同時也使信息系統(tǒng)容易通過外部審計。因此，需要在商業(yè)銀行內(nèi)部設(shè)立獨立于IT部門的IT審計部門，實施有效的內(nèi)部審計。

4.培養(yǎng)IT審計專業(yè)人員

我國商業(yè)銀行IT審計起步較晚，IT審計專業(yè)人員在數(shù)量上嚴(yán)重不足，同時在專業(yè)技能方面與國外相比也存在一定的差距，而這些因素也在一定程度上影響了商業(yè)銀行IT審計質(zhì)量的提高，因此需要大力培養(yǎng)IT審計專業(yè)人員。對此，我們可采取專家講課、委托培訓(xùn)、公派交流學(xué)習(xí)等措施來培養(yǎng)IT審計人員，提高IT內(nèi)審人員的素質(zhì)。

5.借鑒國外的一些先進經(jīng)驗

我國IT審計起步較晚，雖然在近年來取得了較快的進步，但相對于一些起步較早的國家而言，總體水平并不是很高。我們可以根據(jù)自身的實際情況，借鑒一些適合我國國情的先進經(jīng)驗，比如：挪威的數(shù)據(jù)獲取自動化（TOMAS）系統(tǒng)，它能在提高效率保證質(zhì)量的同時，使審計人員可以采集存儲在財務(wù)管理會計系統(tǒng)中的基本數(shù)據(jù)而不增加被審計單位的安全風(fēng)險；美國利用互聯(lián)網(wǎng)實施聯(lián)網(wǎng)審計，審計人員可以通過網(wǎng)絡(luò)獲取被審計單位的有關(guān)資料開展審計工作等。

參考文獻：

[1]胡克瑾:IT審計[M].北京:電子工業(yè)出版社，2004

[2]中國工商銀行內(nèi)部審計局課題組.關(guān)于商業(yè)銀行IT審計問題的研究[J].金融論壇，2005，11

[3]王娜:IT審計對傳統(tǒng)審計的撞擊[J].中國審計，2001，10