商業銀行信息科技內部審計初步探討

財經縱橫

作者：李強

【摘要】中國銀監會不斷細化深入信息科技風險監管工作，信息科技內部審計作為商業銀行重要的信息科技風險審計手段，應當在信息科技專項審計、全麵審計、重要項目審計中發揮重要作用。本文分析了當前商業銀行在信息科技內部審計方麵存在的困難，並提出了相應的應對措施與建議。

【關鍵詞】信息科技內部審計信息化

2000年以來，繼四大行成功完成數據大集中後，各股份製商業銀行紛紛加入數據大集中的行列，“科技興行”、“科技引領”等理念不斷衝擊人們對商業銀行信息係統的固有認識，電子銀行渠道持續拓展，商業銀行的業務流轉也越來越依賴於信息係統的支撐。這些變化一方麵使得信息科技在商業銀行中的作用不斷凸顯，另一方麵也使得商業銀行的信息科技風險進一步放大。

繼2006年中國銀監會發布《銀行業金融機構信息係統風險管理指引》將信息科技風險納入商業銀行風險管理範疇後，2009年銀監會又正式發布《商業銀行信息科技風險管理指引》（下文簡稱《指引》），進一步加強商業銀行信息科技風險管理。2012年銀監會宣布設立信息科技監管部，負責銀行業信息科技監管督導和風險防範，信息科技風險監管工作不斷細化、深入。監管部門對信息科技風險管理的日趨重視，客觀上提高了商業銀行信息科技風險管理工作的重視程度。

一、信息科技內部審計範圍

《指引》提出了商業銀行IT風險管理的“三道防線”，即IT管理、IT風險管理和IT風險審計。IT風險審計作為第三道防線分為內部審計、外部審計兩方麵。按照《指引》要求，銀行內部審計部門應當設立足夠資源與具有專業能力的IT內部審計人員，並獨立於銀行的日常活動。商業銀行IT內部審計應該包括以下三方麵：

（一）專項審計

專項審計是指對IT安全事件進行的調查、分析和評估。涉及重要業務係統、信息安全或審計部門認為必要的特殊事件都有必要展開IT專項審計。

（二）全麵審計

應定期實施全行範圍內的IT內部審計，應充分考慮業務性質、規模及複雜度，區分總行信息部門（數據中心）、分行、支行等各個層級，製定全覆蓋的IT內部審計計劃。

（三）重要項目審計

在進行大規模係統開發時，內部審計部應對係統開發的整個生命周期進行控製。包括項目前期的可行性研究、需求分析，項目開發，項目正式上線後的業務及運維。實際操作中，可以根據項目情況，對各項目裏程碑展開相應的審計工作。

可以看出，IT內部審計既有全麵審計，也有專項審計，還包括重大項目審計，涵蓋了銀行IT的方方麵麵。

二、信息科技內部審計麵臨的困難

內部審計部門應當從上述三個方麵入手，檢查評估商業銀行信息科技係統和內控機製的充分性和有效性，提出整改意見並檢查整改意見的落實情況。近年來，商業銀行根據《指引》做了大量工作，但是在信息科技內部審計方麵仍然存在諸多困難。

（一）缺乏IT審計人才

銀行普遍存在著IT審計崗位編製不足、IT審計人員招聘培養困難、IT審計人員專業技術能力不強等情況。IT審計力量的薄弱，極大地影響了IT內部審計的成效，甚至會出現IT內部審計過分依賴信息科技部門的尷尬局麵。