以“八個堅持”推動商業(yè)銀行IT審計發(fā)展

李艷東

[摘要]本文以習近平總書記“八個堅持”重要論述為切入點，以某商業(yè)銀行信息科技（IT）專項審計為例，系統(tǒng)闡述了“八個堅持”推動商業(yè)銀行內部審計發(fā)展的路徑，為相關工作的開展提供參考借鑒。

[關鍵詞]商業(yè)銀行 ? ?信息科技 ? ?審計

《習近平新時代中國特色社會主義思想三十講》第二十九講“努力掌握馬克思主義思想方法和工作方法”涵蓋了實事求是、戰(zhàn)略定力、問題導向、全面協(xié)調、底線思維、調查研究、抓鐵有痕、歷史擔當?shù)取鞍藗€堅持”，不僅為黨政機關開展工作引領了道路，也為商業(yè)銀行內部審計工作指明了方向。

一、堅持實事求是，尋求審計真相

實事求是，是馬克思主義的根本觀點，是中國共產黨人認識世界、改造世界的根本要求，是黨的基本思想方法、工作方法、領導方法。在商業(yè)銀行內部審計中堅持實事求是，基礎是查清楚“實事”，即掌握審計證據、確認審計事實;關鍵是弄明白“求是”，即分析背后的成因，并尋求解決方案。

審計人員通過分析業(yè)務提交日期到系統(tǒng)上線日期的時間差，發(fā)現(xiàn)個別系統(tǒng)上線周期太長，難以滿足業(yè)務快速發(fā)展的需要，這是“是什么”，屬于實事的范疇。審計組進一步開展成因分析，發(fā)現(xiàn)背后存在需求文檔質量低、審批流程環(huán)節(jié)多、特殊技術人員儲備不足，這是“為什么”，屬于求是的范疇。在此基礎上，審計給出優(yōu)化開發(fā)流程、進行敏捷部署、優(yōu)化人員梯次等建議，這是“怎么辦”。在審計過程中，必須牢記“是什么”“為什么”“怎么辦”，將實事求是理念踐行到審計查證中，才能從本質上推動內控缺陷的修復，從源頭上推動問題的解決。

二、堅持戰(zhàn)略定力，踐行審計監(jiān)督

在當今機遇和挑戰(zhàn)并存的社會中，對于立足成為“百年老店”的商業(yè)銀行，在戰(zhàn)略方面必須擁有強大定力，并進行精準的預判、科學的決策、高效的落實、及時的糾偏。

審計人員通過分析全行的戰(zhàn)略規(guī)劃、任務分解、階段落實情況，發(fā)現(xiàn)多個與信息技術相關的核心戰(zhàn)略任務滯后，個別任務無法預測完成時間，存在影響戰(zhàn)略收官的風險。信息技術已經成為商業(yè)銀行數(shù)字化轉型的發(fā)動機，對業(yè)務發(fā)展由過去的支撐作用轉變?yōu)楝F(xiàn)在的驅動甚至引領作用，管理層對信息科技的重視也達到前所未有的高度。審計人員通過指出戰(zhàn)略落地存在的問題，逐條分析成因，為管理層掌控全局情況、調整資源分布、規(guī)劃未來藍圖、調整業(yè)務結構、定位精準客群提供了參考和建議。

三、堅持問題導向，挖掘審計價值

內部審計作為商業(yè)銀行的“謀士”，必須堅持發(fā)現(xiàn)問題、剖析問題、解決問題、化解風險、防患未然，善于對表象問題進行下鉆，探究問題的真相，才能實現(xiàn)審計價值，獲得審計尊嚴。

業(yè)務審計人員發(fā)現(xiàn)，某業(yè)務系統(tǒng)對部分客戶缺乏剛性控制，但并不清楚問題到底出在哪里。IT審計人員帶著疑問在信息科技審計中進行了深挖。通過分析歷次業(yè)務需求和查看信息系統(tǒng)的源代碼，最終在數(shù)據和代碼層面發(fā)現(xiàn)了問題的根源。隨著數(shù)字化、智能化時代的到來，商業(yè)銀行業(yè)務和技術的融合越來越緊密。內部審計過去關注管理是否制度化，現(xiàn)在更多關注流程是否系統(tǒng)化，關注是否可以通過信息系統(tǒng)的硬性控制來規(guī)范業(yè)務的開展。這需要審計人員既要懂業(yè)務又要懂系統(tǒng)，不僅了解系統(tǒng)現(xiàn)在是怎么控制的，還要分析存在哪些改進之處。

四、堅持全面協(xié)調，推進審計統(tǒng)籌

全面協(xié)調是以習近平同志為核心的黨中央治國理政的鮮明特征，反映了唯物辯證法的根本要求。內部審計作為商業(yè)銀行的衛(wèi)士，必須具備頂層視野、系統(tǒng)思維、統(tǒng)一兩點論與重點論，從全行發(fā)展的大局審時度勢處理審計事項。

內部審計經常面對內控設計層面的問題，一方面部門職責存在重疊，另一方面管理存在真空。商業(yè)銀行審計部門必須樹立大局觀念，從法人層級思考問題，從全局角度把握風險，搜集各方陳列事實，客觀描述來龍去脈，中立判斷權利責任，深入解讀監(jiān)管要求，鮮活剖析同業(yè)案例，合理提出審計建議，觸發(fā)管理層的反思和總結。只要管理層拍板決策，各部門就會高度重視，修復內控缺陷，重新界定責任，開展協(xié)同工作，統(tǒng)籌推動審計發(fā)現(xiàn)問題后續(xù)整改。

五、堅持底線思維，防范審計風險

內部審計作為商業(yè)銀行風險管理的“第三道防線”，需要利用專業(yè)能力分析判斷發(fā)現(xiàn)問題的風險是否在容忍范圍之內，對于監(jiān)管紅線必須做到零容忍。

為降低因信息系統(tǒng)服務異常導致的重要業(yè)務運營中斷風險，快速恢復被中斷業(yè)務，保障客戶權益，商業(yè)銀行會針對重要信息系統(tǒng)在同城主用機房、災備機房和異地災備部署冗余設備和線路，實現(xiàn)“兩地三中心”高可用的災備體系架構。并且，商業(yè)銀行每年都會針對重要場景進行切換演練，驗證災備體系的可用性和完備性。審計人員通過調閱切換演練記錄、分析操作日志、訪談關鍵人員，發(fā)現(xiàn)個別系統(tǒng)切換演練不到位，無法真實反映災備中心的實際接管能力。

六、堅持調查研究，尋求審計線索

習近平總書記指出，沒有調查，就沒有發(fā)言權。商業(yè)銀行內部審計，同樣需要通過調查研究摸清事實真相，把握問題本質，找到解決途徑。

為了獲取某已下線的系統(tǒng)客戶體驗較差的審計證據，審計人員進行了多方面嘗試，包括查閱系統(tǒng)歷史日志記錄，訪談系統(tǒng)開發(fā)人員，均沒有取得突破。但是審計人員沒有氣餒，仔細分析各種材料，最終在開發(fā)部門的一份工作總結中找到新系統(tǒng)與舊系統(tǒng)的參數(shù)對比和客戶體驗差別分析。用彼之矛，攻彼之盾。最終，審計人員確認該系統(tǒng)確實存在客戶體驗差的問題。審計人員之所以報告已經修復的問題是希望組織能夠引以為鑒，避免重蹈覆轍。在充分獲得開發(fā)人員的理解后，開發(fā)人員向審計人員坦誠交流了此前管理中存在的問題，并與審計人員一起探索審計建議。

七、堅持抓鐵有痕，做實審計積累

空談誤國，實干興邦。商業(yè)銀行內部審計必須發(fā)揚釘釘子的精神，鍥而不舍，一步一個腳印堅持下去，才能切實做出成效。

為了確認某更新的制度在部分條款上較以往制度有所弱化，審計人員從多方面進行挖掘和探索，包括對事件清單、變更記錄、測試記錄、業(yè)務驗收報告等進行關聯(lián)分析，將該制度與同業(yè)制度進行橫向對比，將該制度與歷史制度進行縱向對比，結合監(jiān)管的檢查案例進行實證分析，最終取得了令被檢查對象心服口服的審計證據。作為內部審計人員，必須膽大心細，不輕易放過每個細節(jié)，并在平時做好點滴線索的積累，才能在現(xiàn)場溝通和確認時做到有理有據、使人信服。

八、堅持歷史擔當，提升審計前瞻

歷史是最好的教科書。商業(yè)銀行內部審計同樣需要知古鑒今，借鑒銀行內外部歷史經驗教訓，為行內決策敲醒警鐘，避免管理盲區(qū)，防止重蹈覆轍。

根據管理層要求，某行信息技術人員數(shù)量將在近年內實現(xiàn)指數(shù)式、爆炸性增長。從合規(guī)角度看，這并沒什么不妥。但是人員急速擴充，對一個組織而言，必須提前考慮布局各項事宜，才能實現(xiàn)1+1>2的戰(zhàn)斗合力。審計組有必要對技術部門進行提醒。因此，審計組在審計報告中建議，技術部門充分評估和應對團隊擴充后面臨的挑戰(zhàn)，并制定適應銀行現(xiàn)狀的培養(yǎng)機制、崗位結構、梯級建設、激勵約束、員工職業(yè)規(guī)劃等，穩(wěn)妥、有序推進銀行信息科技人才戰(zhàn)略的落地實施。唯有善于面向未來、未雨綢繆，內部審計才能做好企業(yè)的“謀士”，為組織提供更有建設性的建議，促進提升組織競爭力和市場影響力。

（作者單位：中國財政科學研究院，郵政編碼：100142，電子郵箱：leeyandong@aliyun.com）

主要參考文獻

李巖.針對商業(yè)銀行業(yè)務部門的IT審計[J].中國內部審計， 2018（11）：43-45

王遠偉，劉永生，任程澤.商業(yè)銀行內部IT審計的數(shù)理邏輯與審計實踐分析[J].審計研究， 2019（5）：59-67