如何做好銀行業(yè)IT審計(jì)

　　近年來(lái)，因銀行業(yè)務(wù)流程中對(duì)信息系統(tǒng)的依賴程度日益加大，這使得信息系統(tǒng)的固有風(fēng)險(xiǎn)隨著系統(tǒng)的復(fù)雜而增加，高度集中化的銀行信息化管理也面臨著更加嚴(yán)峻的考驗(yàn)。因此，作為商業(yè)銀行信息科技風(fēng)險(xiǎn)管理的第三道防線——信息系統(tǒng)審計(jì)（簡(jiǎn)稱“IT審計(jì)”）在銀行內(nèi)部控制建設(shè)過(guò)程中扮演了更為重要的角色。
　　銀行IT審計(jì)意義
　　目前，信息系統(tǒng)的正常運(yùn)行已經(jīng)成為銀行業(yè)務(wù)正常運(yùn)營(yíng)的最基本條件之一，信息科技在有力提升銀行核心競(jìng)爭(zhēng)力的同時(shí)，信息科技風(fēng)險(xiǎn)也愈發(fā)突出和集中，信息科技風(fēng)險(xiǎn)控制已成為銀行業(yè)風(fēng)險(xiǎn)管理的重要內(nèi)容，而IT審計(jì)作為銀行業(yè)風(fēng)險(xiǎn)管理體系的重要組成部分，其重要性和必要性已經(jīng)日益得到銀行業(yè)管理層的關(guān)注。同時(shí)，國(guó)家相關(guān)部門對(duì)信息系統(tǒng)的管控也越來(lái)越重視，自2006年8月發(fā)布《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》開始，銀監(jiān)會(huì)正式對(duì)銀行科技風(fēng)險(xiǎn)進(jìn)行監(jiān)管，近年來(lái)推出一系列制度和措施（見表1），監(jiān)管工作逐步走向規(guī)范化。通過(guò)IT審計(jì)來(lái)保證和監(jiān)控全行的信息科技管控對(duì)各級(jí)監(jiān)管政策法規(guī)的合規(guī)性，也成為銀行業(yè)實(shí)施IT審計(jì)的重要目的之一。
　　因此，銀行業(yè)加強(qiáng)和規(guī)范IT審計(jì)，既是自身發(fā)展和獲取競(jìng)爭(zhēng)優(yōu)勢(shì)的內(nèi)在需要，也是監(jiān)管當(dāng)局的外部要求。
　　銀行IT審計(jì)標(biāo)準(zhǔn)
　　準(zhǔn)確地運(yùn)用標(biāo)準(zhǔn)和參照，成為順利開展IT審計(jì)工作的重要前提之一。
　　COBIT
　　COBIT(Control Objectives for Information and related Technology) 是由信息系統(tǒng)審計(jì)與控制基金會(huì)最早在1996年制定的IT治理模型。這是一個(gè)在國(guó)際上公認(rèn)的、權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)，也是目前國(guó)際上通用的信息系統(tǒng)審計(jì)的標(biāo)準(zhǔn)之一。COBIT是一個(gè)基于控制的IT治理模型，其制定的宗旨是跨越業(yè)務(wù)控制和IT控制之間的鴻溝，從而建立一個(gè)面向業(yè)務(wù)目標(biāo)的IT控制框架。
　　COBIT本身并非針對(duì)IT審計(jì)的專門論述，其面向的使用者可以是企業(yè)中想通過(guò)改善IT過(guò)程實(shí)現(xiàn)經(jīng)營(yíng)目標(biāo)的管理者，也可以是業(yè)務(wù)過(guò)程的所有者，即用戶，也可以為IT審計(jì)師。它在商業(yè)風(fēng)險(xiǎn)、控制需要和技術(shù)問(wèn)題之間架起了一座橋梁，以滿足管理的多方面需要。在最新的COBIT5.0版本中，COBIT已經(jīng)被稱作“一個(gè)治理和管理企業(yè)IT的業(yè)務(wù)框架”。
　　COBIT4.1版本中經(jīng)典的體系框架一直為眾多使用者參考使用，它包括了實(shí)施簡(jiǎn)介、實(shí)施工具集、高層控制目標(biāo)框架、管理指南、具體控制目標(biāo)、審計(jì)指南等一系列文檔（見圖1）。管理指南為每個(gè)過(guò)程提供了關(guān)鍵成功因素、關(guān)鍵目標(biāo)指標(biāo)和關(guān)鍵績(jī)效指標(biāo)等，并根據(jù)這些指標(biāo)對(duì)每個(gè)過(guò)程進(jìn)行了成熟度模型的劃分；而審計(jì)指南，則就審計(jì)的控制目標(biāo)、調(diào)查對(duì)象、需要掌握的證據(jù)及如何進(jìn)行測(cè)試和評(píng)估做出了詳細(xì)的說(shuō)明。
　　COBIT4.1版本中的流程參考模型將所有與信息系統(tǒng)相關(guān)的活動(dòng)進(jìn)行了劃分，主要包括34個(gè)流程，分屬4個(gè)域。而COBIT 5.0的參考模型涵蓋了治理和管理流程的完整集合，共分為37個(gè)流程。COBIT5.0流程參考模型是COBIT4.1流程參考模型的繼承者，同時(shí)也融合了風(fēng)險(xiǎn)IT、價(jià)值IT流程模型。COBIT的廣泛通用性也造就了它在應(yīng)用上的弱點(diǎn)和難點(diǎn)，即COBIT中對(duì)相關(guān)流程和控制目標(biāo)的描述過(guò)于籠統(tǒng)普適，需要使用者結(jié)合企業(yè)的實(shí)際情況和專業(yè)經(jīng)驗(yàn)進(jìn)行較大的定制化方可實(shí)施。
　　因此，COBIT模型的最大作用是將IT過(guò)程、IT資源與企業(yè)的策略和目標(biāo)聯(lián)系了起來(lái)，保障了企業(yè)的IT戰(zhàn)略目標(biāo)和其業(yè)務(wù)發(fā)展目標(biāo)的一致性，也在IT管理層、IT技術(shù)人員/用戶和IT審計(jì)師之間搭建了橋梁。
　　《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》
　　近年來(lái)，隨著銀監(jiān)會(huì)信用風(fēng)險(xiǎn)、商業(yè)風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)管理指引的發(fā)布，以及“巴塞爾協(xié)議II”在銀行業(yè)內(nèi)的逐步實(shí)施，推動(dòng)了銀行內(nèi)部風(fēng)險(xiǎn)管理機(jī)制的建立和健全。但是，在全面風(fēng)險(xiǎn)管理的框架下，目前銀行的信息科技風(fēng)險(xiǎn)管理機(jī)制滯后于業(yè)務(wù)風(fēng)險(xiǎn)管理體系的發(fā)展，并未建立體系化的風(fēng)險(xiǎn)管控機(jī)制，成為了銀行風(fēng)險(xiǎn)管理體系中的短板。這主要體現(xiàn)在，信息科技風(fēng)險(xiǎn)治理組織不健全、風(fēng)險(xiǎn)管理制度不完善、風(fēng)險(xiǎn)處理過(guò)程規(guī)劃依據(jù)不充分以及風(fēng)險(xiǎn)監(jiān)控指標(biāo)不明確等方面。
　　2009年發(fā)布的《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》(以下簡(jiǎn)稱《指引》)，定義了商業(yè)銀行信息科技風(fēng)險(xiǎn)的總體框架，即在當(dāng)前商業(yè)銀行普遍的信息科技現(xiàn)狀下，可能存在的重大信息科技風(fēng)險(xiǎn)的范圍，使商業(yè)銀行的風(fēng)險(xiǎn)管理過(guò)程，能夠集中精力在相關(guān)領(lǐng)域中。
　　《指引》確定了九大管理領(lǐng)域，即：信息科技治理；信息科技風(fēng)險(xiǎn)管理；信息安全；信息系統(tǒng)開發(fā)、測(cè)試和維護(hù)；信息科技運(yùn)行；業(yè)務(wù)連續(xù)性管理；外包；內(nèi)部審計(jì)；外部審計(jì)。這些領(lǐng)域覆蓋了信息科技管理的大多數(shù)重要活動(dòng)，這些活動(dòng)中存在的風(fēng)險(xiǎn)，可能會(huì)對(duì)業(yè)務(wù)產(chǎn)生重大影響，因此對(duì)這些領(lǐng)域的風(fēng)險(xiǎn)識(shí)別和管理，應(yīng)當(dāng)在信息科技風(fēng)險(xiǎn)管理中優(yōu)先對(duì)待。
　　在這九大領(lǐng)域中，IT審計(jì)占兩個(gè)，分別是內(nèi)部審計(jì)和外部審計(jì)。而《指引》本身，就是一個(gè)針對(duì)銀行的框架完整的IT審計(jì)標(biāo)準(zhǔn)，銀行可以參考這個(gè)標(biāo)準(zhǔn)，開展IT審計(jì)工作。
　　IT審計(jì)標(biāo)準(zhǔn)選擇
　　實(shí)踐中使用的標(biāo)準(zhǔn)遠(yuǎn)不止上述兩個(gè)，而且，這兩個(gè)標(biāo)準(zhǔn)建立本身就參照了很多IT相關(guān)的較為成熟的標(biāo)準(zhǔn)。如，COBIT制定時(shí)參照的標(biāo)準(zhǔn)就有ISO系列的相關(guān)IT技術(shù)標(biāo)準(zhǔn)、審計(jì)行為準(zhǔn)則等等；《指引》其中“信息安全”管理領(lǐng)域的內(nèi)容建立就是參照信息安全管理體系的國(guó)際標(biāo)準(zhǔn)ISO27001。
　　另外，由于信息科技的細(xì)分領(lǐng)域眾多，在進(jìn)行某些細(xì)分領(lǐng)域的專項(xiàng)審計(jì)或單領(lǐng)域?qū)徲?jì)時(shí)，可以考慮單獨(dú)使用某些國(guó)際或國(guó)內(nèi)標(biāo)準(zhǔn)作為審計(jì)標(biāo)準(zhǔn)，從而達(dá)到更深入和專業(yè)的目的。比如，在進(jìn)行信息安全方面的審計(jì)時(shí)，可參考ISO27001等國(guó)際標(biāo)準(zhǔn)或國(guó)內(nèi)標(biāo)準(zhǔn)SSE-CMM；在審計(jì)IT運(yùn)維、IT服務(wù)的交付和支持相關(guān)領(lǐng)域時(shí)，可以考慮采用ITIL作為審計(jì)標(biāo)準(zhǔn)；在審計(jì)IT內(nèi)部控制建設(shè)相關(guān)領(lǐng)域時(shí)，還可以采用COSO模型中的描述來(lái)比照評(píng)估。
　　銀行應(yīng)當(dāng)依據(jù)自身特點(diǎn)，結(jié)合本行信息科技工作的特點(diǎn)以及每次IT審計(jì)的目的和范圍，有選擇地采用審計(jì)標(biāo)準(zhǔn)，同時(shí)，根據(jù)本行信息科技工作的水平分階段地來(lái)實(shí)施標(biāo)準(zhǔn)中的要求。
　　銀行IT審計(jì)方法
　　為了提升IT審計(jì)工作的效率和效能，實(shí)現(xiàn)有效的風(fēng)險(xiǎn)管理，筆者認(rèn)為商業(yè)銀行應(yīng)當(dāng)切實(shí)開展基于風(fēng)險(xiǎn)的IT審計(jì)工作。下面，筆者將介紹一個(gè)基于風(fēng)險(xiǎn)的銀行IT審計(jì)的典型工作方法。
　　一個(gè)基于風(fēng)險(xiǎn)的銀行IT審計(jì)工作可以分為六個(gè)步驟進(jìn)行，包括制定審計(jì)目標(biāo)、確定風(fēng)險(xiǎn)領(lǐng)域、制定審計(jì)計(jì)劃、設(shè)計(jì)審計(jì)程序、執(zhí)行審計(jì)計(jì)劃以及出具審計(jì)結(jié)果和管理建議（見圖2）。其中，“確定風(fēng)險(xiǎn)領(lǐng)域”和“設(shè)計(jì)審計(jì)程序”是最為關(guān)鍵的環(huán)節(jié)。
　　制定審計(jì)目標(biāo)。銀行IT審計(jì)委員會(huì)確定項(xiàng)目所采用的方法論、框架體系和審計(jì)目標(biāo)，并對(duì)審計(jì)范圍和資源配置進(jìn)行說(shuō)明，同時(shí)擬定最終的報(bào)告內(nèi)容范圍。
　　確定風(fēng)險(xiǎn)領(lǐng)域。IT審計(jì)人員根據(jù)銀行的信息系統(tǒng)現(xiàn)狀，結(jié)合銀行的戰(zhàn)略和業(yè)務(wù)目標(biāo)，制定出適合的風(fēng)險(xiǎn)框架，包括風(fēng)險(xiǎn)等級(jí)的劃分標(biāo)準(zhǔn)以及風(fēng)險(xiǎn)評(píng)估模型等。審計(jì)人員從信息系統(tǒng)本身的脆弱性和其對(duì)業(yè)務(wù)目標(biāo)實(shí)現(xiàn)的影響兩個(gè)維度出發(fā)，分析評(píng)估銀行各信息系統(tǒng)的風(fēng)險(xiǎn)現(xiàn)狀，從而篩選高風(fēng)險(xiǎn)的信息系統(tǒng)。篩選參考的分析因素和方法可參考圖3進(jìn)行。
　　制定審計(jì)計(jì)劃。基于前一階段的風(fēng)險(xiǎn)評(píng)估結(jié)果和IT審計(jì)的關(guān)注領(lǐng)域，擬定以風(fēng)險(xiǎn)為導(dǎo)向的內(nèi)部審計(jì)計(jì)劃；內(nèi)部審計(jì)計(jì)劃在得到銀行管理層最終批準(zhǔn)之后，確定各項(xiàng)審計(jì)任務(wù)所需的資源和具體執(zhí)行時(shí)間。
　　設(shè)計(jì)審計(jì)程序。對(duì)計(jì)劃進(jìn)行IT審計(jì)的信息系統(tǒng)和其支持的業(yè)務(wù)流程進(jìn)行詳細(xì)了解和記錄，編制風(fēng)險(xiǎn)和控制矩陣，并針對(duì)選定的信息系統(tǒng)和其支持的業(yè)務(wù)流程分別制定不同層面的審計(jì)程序。
　　目前銀行業(yè)IT審計(jì)比較典型的層面劃分如圖4所示：從上至下分為銀行管理層面IT控制、應(yīng)用控制和面向計(jì)算機(jī)環(huán)境整體控制三層。具體各層面的審計(jì)內(nèi)容為：
　　銀行管理層面IT控制審計(jì)（ELC）：關(guān)注銀行的IT治理，合規(guī)、IT戰(zhàn)略和規(guī)劃。
　　應(yīng)用控制審計(jì)（AC）：關(guān)注業(yè)務(wù)流程中內(nèi)嵌的信息系統(tǒng)相關(guān)控制，以保證信息處理的完整性、準(zhǔn)確性、有效性和訪問(wèn)控制。應(yīng)用系統(tǒng)控制包括數(shù)據(jù)控制、業(yè)務(wù)流程控制、接口控制、系統(tǒng)外控制。
　　計(jì)算機(jī)環(huán)境整體控制（ITGC）：關(guān)注與IT相關(guān)的管理控制，包括IT運(yùn)營(yíng)、基礎(chǔ)設(shè)施和流程、信息安全、業(yè)務(wù)持續(xù)性管理和災(zāi)難恢復(fù)、IT基礎(chǔ)設(shè)施等方面。
　　這三個(gè)層次的劃分將有助于審計(jì)人員從多個(gè)角度審視銀行的信息科技風(fēng)險(xiǎn)管理工作。
　　執(zhí)行審計(jì)計(jì)劃。IT審計(jì)人員將根據(jù)擬定的審計(jì)程序執(zhí)行現(xiàn)場(chǎng)審計(jì)工作，記錄測(cè)試結(jié)果，對(duì)測(cè)試結(jié)果進(jìn)行復(fù)核和評(píng)估，并與相關(guān)人員溝通測(cè)試發(fā)現(xiàn)。在執(zhí)行過(guò)程中，審計(jì)人員可以通過(guò)佐證性詢問(wèn)、現(xiàn)場(chǎng)觀察、文件檢查、重新執(zhí)行和計(jì)算機(jī)輔助審計(jì)技術(shù)等五種測(cè)試方法的一種或幾種對(duì)某項(xiàng)控制活動(dòng)的運(yùn)行有效性進(jìn)行測(cè)試。
　　出具審計(jì)結(jié)果和管理建議。向銀行管理層匯報(bào)各項(xiàng)審計(jì)發(fā)現(xiàn)和風(fēng)險(xiǎn)分析結(jié)果，出具最終的內(nèi)部審計(jì)報(bào)告，并根據(jù)各項(xiàng)審計(jì)發(fā)現(xiàn)，提出合理的管理建議。
　　銀行業(yè)IT審計(jì)展望
　　以風(fēng)險(xiǎn)為導(dǎo)向的IT審計(jì)
　　在《指引》中，多次提到應(yīng)基于風(fēng)險(xiǎn)評(píng)估結(jié)果指導(dǎo)IT審計(jì)活動(dòng)。這反映了銀行業(yè)IT審計(jì)的發(fā)展導(dǎo)向：從原本以合規(guī)審計(jì)為主，逐步轉(zhuǎn)變?yōu)橐燥L(fēng)險(xiǎn)導(dǎo)向的審計(jì)方法；銀行IT審計(jì)職能和角色也在過(guò)去這些年發(fā)生了不少變化，從以合規(guī)審計(jì)為主的工作，逐漸變成了活躍的內(nèi)部或外部業(yè)務(wù)顧問(wèn)。如前文所述，基于風(fēng)險(xiǎn)的銀行IT審計(jì)工作將成為銀行IT審計(jì)的主流工作方法。
　　計(jì)算機(jī)輔助審計(jì)技術(shù)（CAATs）的廣泛應(yīng)用
　　計(jì)算機(jī)輔助審計(jì)技術(shù)是指審計(jì)人員在審計(jì)過(guò)程和審計(jì)管理活動(dòng)中，以計(jì)算機(jī)為工具，來(lái)執(zhí)行和完成某些審計(jì)程序和任務(wù)。它本身并非IT審計(jì)師的專利，但筆者認(rèn)為，它的深層次運(yùn)用，對(duì)于IT審計(jì)，尤其是對(duì)于海量數(shù)據(jù)集中管控的銀行業(yè)的IT審計(jì)，有著更大的作用和待挖掘的潛力。
　　計(jì)算機(jī)輔助審計(jì)包含兩個(gè)層次的內(nèi)容：第一個(gè)層次是指在審計(jì)業(yè)務(wù)中利用電子表格、數(shù)據(jù)庫(kù)、字處理常規(guī)軟件中的一些功能，或?qū)徲?jì)人員自編的一些小程序，幫助審計(jì)人員計(jì)算、復(fù)算、復(fù)核、分析審計(jì)數(shù)據(jù)，主要目的是節(jié)約審計(jì)時(shí)間、提高效率、增加準(zhǔn)確性、減輕勞動(dòng)量。這一層次，當(dāng)前的銀行業(yè)審計(jì)工作基本都已經(jīng)實(shí)現(xiàn)。
　　第二個(gè)層次是指利用專門的輔助審計(jì)軟件進(jìn)行項(xiàng)目審計(jì)。這個(gè)層次也有兩種類型：一是主要用于審計(jì)情況匯總。在開展行業(yè)審計(jì)時(shí)，根據(jù)審計(jì)工作方案，編制專門的審計(jì)匯總軟件，自下而上，從審計(jì)底稿開始，對(duì)審計(jì)情況進(jìn)行逐級(jí)匯總。好處在于能全面、準(zhǔn)確匯總反映審計(jì)情況，防止錯(cuò)漏和人為調(diào)整上報(bào)情況，便于統(tǒng)一定性、統(tǒng)一處理。二是主要用于協(xié)助審計(jì)人員對(duì)專門項(xiàng)目，用專門的審計(jì)方法進(jìn)行比較全面、系統(tǒng)的審計(jì)。這主要需要通過(guò)編制審計(jì)程序或軟件來(lái)進(jìn)行，并通過(guò)程序或軟件使一個(gè)持續(xù)的審計(jì)證據(jù)收集和審計(jì)活動(dòng)成為可能。對(duì)于銀行業(yè)來(lái)說(shuō)，實(shí)施成熟、適用的審計(jì)輔助軟件，也成為IT審計(jì)的一個(gè)發(fā)展方向。
　　數(shù)據(jù)分析（DA）將支持銀行的持續(xù)監(jiān)控與審計(jì)
　　數(shù)據(jù)分析指的是一整套技術(shù)、流程與應(yīng)用工具，運(yùn)用于持續(xù)探索與深入了解以往業(yè)務(wù)表現(xiàn)，以獲取信息并推進(jìn)業(yè)務(wù)發(fā)展。其目的是通過(guò)廣泛地使用數(shù)據(jù)、統(tǒng)計(jì)與定量分析、解釋與預(yù)測(cè)模型，并通過(guò)基于事實(shí)的管理，推動(dòng)整體決策。目前在制造業(yè)、通訊業(yè)和零售業(yè)等行業(yè)中被廣泛運(yùn)用于分析和決策支持。
　　數(shù)據(jù)分析在IT審計(jì)中的應(yīng)用，可以理解為計(jì)算機(jī)輔助審計(jì)的一個(gè)深層次應(yīng)用，同時(shí)，它也為銀行業(yè)IT審計(jì)工作帶來(lái)了新的發(fā)展空間。
　　可以想象，基于數(shù)據(jù)分析，銀行針對(duì)如下風(fēng)險(xiǎn)實(shí)施持續(xù)監(jiān)控將成為可能：
　　存貸款利率設(shè)置不合理的情況
　　正常情況下計(jì)息結(jié)息計(jì)算錯(cuò)誤的情況
　　利率或者利息稅調(diào)整時(shí)計(jì)息結(jié)息錯(cuò)誤的情況
　　異常計(jì)結(jié)息，比如手工計(jì)結(jié)息的情況
　　長(zhǎng)期不動(dòng)戶違規(guī)處理
　　貸款未按規(guī)定進(jìn)行組合撥備和個(gè)別撥備
　　存貸款分戶賬與總賬不平的情況
　　金融資產(chǎn)估值錯(cuò)誤
　　攤余成本計(jì)算錯(cuò)誤
　　票據(jù)貼現(xiàn)轉(zhuǎn)貼現(xiàn)會(huì)計(jì)核算錯(cuò)誤
　　涉嫌洗錢的大額交易
　　投資交易違規(guī)
　　
　　因此，在IT審計(jì)工作中廣泛納入數(shù)據(jù)分析有助于銀行建立完善的信息化監(jiān)管體系，并可以幫助銀行準(zhǔn)確定位那些在傳統(tǒng)IT審計(jì)工作中無(wú)法深入剖析的風(fēng)險(xiǎn)區(qū)域。
　　筆者對(duì)銀行業(yè)IT審計(jì)框架未來(lái)發(fā)展的展望如圖5。一方面，從內(nèi)控角度，一個(gè)基于風(fēng)險(xiǎn)的IT審計(jì)方法將覆蓋銀行管理層面IT控制、應(yīng)用控制和計(jì)算機(jī)整體控制；另一方面，從數(shù)據(jù)角度，數(shù)據(jù)分析（DA）將成為未來(lái)支持銀行的持續(xù)監(jiān)控與審計(jì)的有力工具。
　　（作者系德勤華永會(huì)計(jì)師事務(wù)所合伙