城商行內(nèi)部審計(jì)實(shí)施信息系統(tǒng)內(nèi)部控制的實(shí)踐探討

周云松

【摘要】本文從信息系統(tǒng)給銀行業(yè)發(fā)展帶來的機(jī)會和挑戰(zhàn)入手，詳細(xì)分析了樹立合作伙伴關(guān)系的審計(jì)理念，跳出“唯技術(shù)論”和“無技術(shù)論”的審計(jì)誤區(qū)，倡導(dǎo)全員參與的信息系統(tǒng)風(fēng)險防范機(jī)制的信息系統(tǒng)審計(jì)基本思路，從事件推動建立內(nèi)部控制體系，善于借助外力，抓住審計(jì)重點(diǎn)，完善例會制度等審計(jì)步驟總結(jié)了實(shí)際工作中開展信息系統(tǒng)審計(jì)的方法，是對審計(jì)實(shí)踐的理論探討和總結(jié)。文中最后引出了信息系統(tǒng)審計(jì)與信息科技風(fēng)險審計(jì)關(guān)系及下一步研究重點(diǎn)。

【關(guān)鍵詞】內(nèi)部審計(jì) 內(nèi)部控制 信息系統(tǒng)

一、引言

20世紀(jì)80年代后期開始的金融電子化浪潮到今天已經(jīng)有30多年的時間。30多年來，從單一記賬系統(tǒng)發(fā)展為以銀行核心綜合業(yè)務(wù)系統(tǒng)為核心，涵蓋了渠道流程管理、產(chǎn)品管理與交付、客戶價值管理、知識管理、風(fēng)險與審計(jì)控制、全方位的銀行IT體系，跨越了整個銀行業(yè)務(wù)價值鏈；從單純的集中式柜臺交易錄入到實(shí)現(xiàn)所有渠道的整合，集互聯(lián)網(wǎng)、移動平臺、自助服務(wù)為一體的綜合渠道交付體系；從面向銀行內(nèi)部交易系統(tǒng)發(fā)展為面對客戶、可訂制的、結(jié)合各種渠道流程定義的客戶服務(wù)交付平臺。信息科技對銀行業(yè)的發(fā)展功不可沒、成績斐然?？梢哉f，沒有IT，沒有IT的支撐，就沒有現(xiàn)代銀行業(yè)。

但是，近年來，銀行業(yè)信息科技安全事件頻頻發(fā)生，如某行因主機(jī)監(jiān)控軟件存在缺陷，導(dǎo)致業(yè)務(wù)交易阻塞，系統(tǒng)癱瘓近四個小時，所有營業(yè)網(wǎng)點(diǎn)無法正常開展業(yè)務(wù)；某行對計(jì)算機(jī)系統(tǒng)進(jìn)行升級，但由于沒有避開業(yè)務(wù)高峰期，導(dǎo)致個人業(yè)務(wù)系統(tǒng)運(yùn)行不暢，業(yè)務(wù)辦理速度緩慢，部分代理證券業(yè)務(wù)受阻，在持續(xù)五個半小時之后，系統(tǒng)才逐步恢復(fù)正常；某行股民保證金第三方存管系統(tǒng)出現(xiàn)故障，與券商的交易無法正常進(jìn)行，事故持續(xù)了兩個小時，在證券交易收盤后才恢復(fù)正常等等。這些安全事件對實(shí)施信息系統(tǒng)內(nèi)部控制審計(jì)帶來了巨大的挑戰(zhàn)，一是銀行業(yè)金融機(jī)構(gòu)之間的差異性大，用一個標(biāo)準(zhǔn)衡量，既不利于大銀行的信息安全保障，也不利于小機(jī)構(gòu)的發(fā)展；二是我國銀行業(yè)走向開放，越來越多地參與國際合作，面臨越來越多來自資本市場、會計(jì)準(zhǔn)則和信息披露要求等方面的嚴(yán)峻挑戰(zhàn)；三是核心信息技術(shù)過度依賴國外產(chǎn)品；四是信息系統(tǒng)安全測評不到位；五是國內(nèi)審計(jì)力量單薄；六是信息系統(tǒng)開發(fā)主要依靠外包，外包方有變數(shù)；七是銀行業(yè)新資本協(xié)議的實(shí)施對系統(tǒng)產(chǎn)生的新要求。

結(jié)合在實(shí)際審計(jì)工作中，內(nèi)部審計(jì)在實(shí)施信息系統(tǒng)內(nèi)部控制審計(jì)時的一些做法，歸納總結(jié)出來以供與同行共同探討。

二、實(shí)施信息系統(tǒng)內(nèi)部控制審計(jì)的基本思路

（一）要樹立合作伙伴關(guān)系的審計(jì)理念

樹立合作伙伴關(guān)系的理念有助于減少審計(jì)阻力，以便順利開展審計(jì)工作。城商行內(nèi)部審計(jì)部門開展信息系統(tǒng)內(nèi)部控制審計(jì)的目的是為了全面提升信息科技風(fēng)險的管理水平，保障銀行系統(tǒng)安全穩(wěn)定運(yùn)行，這點(diǎn)和信息技術(shù)部門的管理目標(biāo)是一致的。在現(xiàn)場審計(jì)中，應(yīng)善于適時傳導(dǎo)合作伙伴關(guān)系的理念，以合作伙伴的身份與審計(jì)對象展開對話，從審計(jì)的視角去看待風(fēng)險管理，始終圍繞全面提升銀行信息科技風(fēng)險防控能力的目的來開展審計(jì)工作，與信息技術(shù)部門自身防范風(fēng)險、穩(wěn)健運(yùn)行的渴求達(dá)成一致，這樣審計(jì)工作才能開展得比較順暢。在樹立合作伙伴關(guān)系上，一是應(yīng)利用各種場合（進(jìn)場、離場會談，平常訪談和日常交流等）傳導(dǎo)審計(jì)理念，盡可能的獲得支持和理解；二是在審計(jì)中應(yīng)善于適時提出一些能提升銀行管理能力、業(yè)務(wù)水平等相關(guān)的好的建議，這樣更容易引起共鳴，得到認(rèn)同；三是應(yīng)善于發(fā)現(xiàn)科技工作的亮點(diǎn)和好的做法，并適時予以肯定。

（二）跳出“唯技術(shù)論”和“無技術(shù)論”的審計(jì)誤區(qū)

信息系統(tǒng)審計(jì)是一項(xiàng)專業(yè)性很強(qiáng)的工作，它涉及信息科技技術(shù)的多個領(lǐng)域，它要求審計(jì)人員掌握一定的科技知識和操作經(jīng)驗(yàn)。因此，很多監(jiān)管工作者常常陷入“就技術(shù)論技術(shù)”的誤區(qū)，經(jīng)常與被審計(jì)機(jī)構(gòu)糾纏于一些技術(shù)的細(xì)枝末節(jié)，如加密算法的安全性、程序代碼的漏洞等，希望能通過技術(shù)手段找出風(fēng)險點(diǎn)。然而與信息技術(shù)部門的IT人員比拼技術(shù)實(shí)非明智之舉，因?yàn)楝F(xiàn)場檢查工作沒有足夠的時間讓審計(jì)人員去研究算法、查看源代碼；更重要的是，在追逐技術(shù)方面的漏洞時會忽視管理方面存在的風(fēng)險，這是一種舍本逐末的行為。俗話說：三分技術(shù)，七分管理。對于風(fēng)險防控來說，管理是基礎(chǔ)，技術(shù)是輔助，切不能本末倒置。

另一方面，部分審計(jì)人員認(rèn)為信息系統(tǒng)審計(jì)可以完全不需要技術(shù)背景，只要有一套詳細(xì)、完整、全面的檢查手冊就可以“一冊在手，萬事無憂”。這種觀點(diǎn)也是不可取的，因?yàn)樾畔⑾到y(tǒng)涵蓋的范圍太廣，包括需求分析、項(xiàng)目管理、質(zhì)量控制、系統(tǒng)測試等等，單單一本檢查手冊是根本不可能涵蓋所有的檢查細(xì)節(jié)。對于不同信息系統(tǒng)，現(xiàn)場情況千差萬別，在現(xiàn)場檢查中要具體問題具體分析，在檢查方式方法上要不斷求變求新。在面對一些疑點(diǎn)時，不僅要了解技術(shù)層面的基本原理，更要去深究技術(shù)背后對應(yīng)的管理措施，要時刻保持一種高度的敏感性，面對一些類似的或存在關(guān)聯(lián)的事件時，可以嘗試將事件串聯(lián)起來，透過獨(dú)立的事件去看待整體，透過事件本身去關(guān)注管理，積極探尋、掌握證據(jù)，才有可能發(fā)現(xiàn)一些重大的風(fēng)險問題。

（三）倡導(dǎo)全員參與的信息系統(tǒng)的風(fēng)險防范機(jī)制

談到信息系統(tǒng)風(fēng)險，許多人都會覺得信息系統(tǒng)風(fēng)險就是IT部門的事情，業(yè)務(wù)部門無需參與其中，然而事實(shí)卻并非如此。一方面隨著銀行電子化的程度越來越高，業(yè)務(wù)部門對信息科技的依賴也越來越大，信息科技帶來的風(fēng)險也與日俱增。另一方面信息系統(tǒng)風(fēng)險防范體系好比一個木桶，木桶中水位的高低不在于最長那塊木板的高度，而在于最短那塊木板的高度。而在實(shí)際工作中，正所謂“無知者無畏”，業(yè)務(wù)部門工作人員的一個簡單操作就可能導(dǎo)致銀行在整個安全體系建設(shè)方面的努力付之東流。

在防范信息系統(tǒng)風(fēng)險時，眼睛不能只盯IT部門，要有全員參與的意識，把各部門都納入全行整體的風(fēng)險防范體系，找出其中的“短板”。一是要關(guān)注信息系統(tǒng)規(guī)劃與業(yè)務(wù)規(guī)劃的融合程度，業(yè)務(wù)部門對系統(tǒng)規(guī)劃的關(guān)注和參與程度；二是系統(tǒng)建設(shè)過程中業(yè)務(wù)部門的參與程度，業(yè)務(wù)部門提出業(yè)務(wù)需求的合理程度；三是與銀行整體業(yè)務(wù)連續(xù)性結(jié)合起來，關(guān)注銀行整體業(yè)務(wù)連續(xù)性規(guī)劃中業(yè)務(wù)部門的職責(zé)定位是否明確，業(yè)務(wù)部門在業(yè)務(wù)連續(xù)性規(guī)劃的制定、演練以及實(shí)施過程中的是否切實(shí)履行自己的職責(zé)。

三、實(shí)施信息系統(tǒng)內(nèi)部控制審計(jì)的基本步驟

（一）善于從業(yè)務(wù)部門和IT事件推動內(nèi)部控制體系建設(shè)工作

一是業(yè)務(wù)部門推動，IT風(fēng)險防控體系建設(shè)不僅僅是信息技術(shù)部門一個部門的事情，需要所有部門全員參與。一是通過對業(yè)務(wù)部門的訪談和實(shí)地檢查，了解業(yè)務(wù)部門在重要業(yè)務(wù)系統(tǒng)使用和日常安全管理方面的情況，發(fā)現(xiàn)其管理方面存在的疏漏。二是要重點(diǎn)審計(jì)業(yè)務(wù)部門對敏感信息（如重要客戶信息、資料等）的保護(hù)情況，讓業(yè)務(wù)部門有所觸動，增強(qiáng)其全員參與IT風(fēng)險防范的意識。三是在問卷調(diào)查和現(xiàn)場訪談中將業(yè)務(wù)部門納入其中，一方面能適時傳導(dǎo)信息科技風(fēng)險防范需全員參與的理念，另一方面也能將壓力傳導(dǎo)到業(yè)務(wù)部門，促使其積極主動去關(guān)注信息科技風(fēng)險防控工作。三是事件推動，要善于將突發(fā)IT事件作為審計(jì)的突破口。既要關(guān)注在突發(fā)事件發(fā)生后處置過程，處置是否得當(dāng)、及時；更要關(guān)注突發(fā)事件處置完之后，是否及時對事件的影響程度（特別是分支機(jī)構(gòu)）進(jìn)行了評估，是否對事件進(jìn)行了總結(jié)，是否對事件處理流程進(jìn)行了梳理和更新，是否對相關(guān)制度進(jìn)行了完善，是否對相關(guān)信息系統(tǒng)或基礎(chǔ)設(shè)施逐一進(jìn)行排查。

（二）要善于借助外力并形成合力

一是要善于借助外力。借助監(jiān)管部門的機(jī)構(gòu)監(jiān)管之力，檢查之前要及時與監(jiān)管部門溝通，了解其關(guān)注的重點(diǎn)，讓監(jiān)管部門了解審計(jì)的思路并提出改進(jìn)意見；借助外部審計(jì)之力，每年的外部審計(jì)提出的管理建議書是一份非常好的材料，可以增強(qiáng)與外部審計(jì)的溝通，有效借助其在信息系統(tǒng)審計(jì)方面的資源。如某銀行在2011年至2014年期間，外部審計(jì)機(jī)構(gòu)提出了29信息技術(shù)方面的管理建議，從外部視角傳遞了在信息技術(shù)審計(jì)時應(yīng)該關(guān)注的重點(diǎn)或是管理的薄弱環(huán)節(jié)。借助這些信息，內(nèi)部審計(jì)在開展信息系統(tǒng)審計(jì)時，將大大提高針對性，有效配置審計(jì)資源，合理安排審計(jì)計(jì)劃。

二是要善于形成合力。要上下聯(lián)動，在對分支行的檢查中，可組成一個檢查小組與總行的檢查組聯(lián)合進(jìn)場，以發(fā)揮各小組的優(yōu)勢，及時共享信息；加強(qiáng)與信息技術(shù)部門的聯(lián)動，在現(xiàn)場審計(jì)之外，非現(xiàn)場監(jiān)督和日常工作中，應(yīng)注意收集相關(guān)的材料，提前了解與信息系統(tǒng)審計(jì)相關(guān)的事情。

（三）抓住審計(jì)重點(diǎn)，揭示主要風(fēng)險，強(qiáng)化應(yīng)急管理

一是抓住檢查重點(diǎn)，揭示主要風(fēng)險點(diǎn)，通過這些風(fēng)險點(diǎn)揭示銀行在管理層面上的問題和不足，以達(dá)到提升其整體風(fēng)險管控能力的目的。二是強(qiáng)化應(yīng)急管理，做到盡職免責(zé)。從客觀上講，很多IT風(fēng)險點(diǎn)不在信息技術(shù)部主觀能控制的范圍之內(nèi)，如非法施工導(dǎo)致通訊或電力中斷，硬件故障，軟件缺陷等，因此強(qiáng)化突發(fā)事件應(yīng)急體系建設(shè)就顯得尤為重要。在審計(jì)中要高度關(guān)注應(yīng)急機(jī)制建設(shè)情況，一方面是關(guān)注應(yīng)急預(yù)案的制定、應(yīng)急演練的開展和總結(jié)及針對演練出現(xiàn)的問題對預(yù)案的修訂等方面的情況；另一方面要重點(diǎn)關(guān)注在發(fā)生IT突發(fā)事件后，對事件的響應(yīng)和處置是否得當(dāng)、及時有效，是否對事件影響度進(jìn)行評估，并根據(jù)實(shí)戰(zhàn)情況對應(yīng)急機(jī)制進(jìn)行完善。

在具體的審計(jì)過程中，應(yīng)該梳理出與信息系統(tǒng)審計(jì)相關(guān)的工作流程圖，便于制訂審計(jì)計(jì)劃，安排審計(jì)時間和人員，主要從三個方面來考慮：

一是信息系統(tǒng)生命周期中的審計(jì)重點(diǎn)有：

開發(fā)階段：管理架構(gòu)、制度建設(shè)、項(xiàng)目控制、操作風(fēng)險、測試體系。

·測試上線：系統(tǒng)測試、系統(tǒng)驗(yàn)收、投產(chǎn)上線

·系統(tǒng)維護(hù)：制度建設(shè)、管理架構(gòu)

·系統(tǒng)下線：系統(tǒng)下線

·二是信息系統(tǒng)運(yùn)行過程中的審計(jì)重點(diǎn)有：

·管理制度：職責(zé)分離、值班制度、操作管理、人員管理

·訪問控制：物理訪問、邏輯訪問、賬號權(quán)限、終端管理、遠(yuǎn)程接入

·日志檢查：日志保護(hù)、操作日志、錯誤日志

·事件管理：報告流程、臺賬管理、升級管理、問題處置、變更流程、變更評估、變更授權(quán)、變更執(zhí)行、緊急變更

·檔案管理：管理體系、文檔保護(hù)、文檔備份、文檔銷毀

·三是信息系統(tǒng)的連續(xù)性管理的審計(jì)重點(diǎn)有：

·組織建立：組織職責(zé)、應(yīng)急管理團(tuán)隊(duì)、應(yīng)急管理制度

·預(yù)案制訂：預(yù)案內(nèi)容、預(yù)案更新、外包應(yīng)急、預(yù)案培訓(xùn)

·后勤保障：人員保障、物質(zhì)保障、技術(shù)保障、溝通保障

·響應(yīng)流程：全程記錄、事件報告、通報制度、處置總結(jié)

·后續(xù)管理：事件評估、響應(yīng)評估、管理改進(jìn)

（四）完善的例會制度保障了現(xiàn)場審計(jì)的質(zhì)量

在現(xiàn)場審計(jì)過程中，應(yīng)堅(jiān)持每日開例會的制度。每天抽出固定時間，審計(jì)組所有成員聚在一起，首先分別介紹當(dāng)日的工作情況，重點(diǎn)介紹審計(jì)中發(fā)現(xiàn)的問題；然后大家針對這些問題進(jìn)行討論，決定是繼續(xù)追查下去還是到此為止；最后確定明日的工作任務(wù)和重點(diǎn)。每日例會制度不僅保障了檢查的進(jìn)度，而且集思廣益，提高了對發(fā)現(xiàn)問題定性的準(zhǔn)確度。

四、結(jié)束語

信息系統(tǒng)內(nèi)部控制審計(jì)是信息科技風(fēng)險審計(jì)的重要組成部分，在實(shí)際的審計(jì)過程中很難簡單地獨(dú)立出來，只有把信息系統(tǒng)審計(jì)放在信息科技風(fēng)險審計(jì)之中，充分發(fā)揮全局意識才能真正做好風(fēng)險防范。因此，只是防范信息系統(tǒng)風(fēng)險是遠(yuǎn)遠(yuǎn)不夠的，更重要的是在做好防范信息系統(tǒng)風(fēng)險的同時做好信息科技風(fēng)險的防范，發(fā)揮信息科技是生產(chǎn)力的作用，用先進(jìn)的信息技術(shù)來防范銀行業(yè)金融機(jī)構(gòu)的總體風(fēng)險，提高內(nèi)控水平，實(shí)現(xiàn)創(chuàng)新和核心競爭力的提升。除此之外，內(nèi)部審計(jì)人員還要以開放的姿態(tài)不斷地學(xué)習(xí)信息科技風(fēng)險管理的先進(jìn)經(jīng)驗(yàn)，加大創(chuàng)新步伐，形成學(xué)習(xí)、實(shí)踐、創(chuàng)新和超越的不斷循環(huán)發(fā)展。

參考文獻(xiàn)

[1]審計(jì)署計(jì)算機(jī)審計(jì)實(shí)務(wù)公告第34號，關(guān)于印發(fā)《信息系統(tǒng)審計(jì)指南》的通知.

[2]董大勝，審計(jì)技術(shù)方法[M]，北京：中國時代經(jīng)濟(jì)出版社，2004.1.

[3]信息系統(tǒng)審計(jì)編寫組，信息系統(tǒng)審計(jì)[M]，北京：中國時代經(jīng)濟(jì)出版社，2014.2.