我國銀行業(yè)的IT審計尚處于摸索階段，尚缺乏成熟的經(jīng)驗和案例可供參考，尤其是沒有針對大型數(shù)據(jù)處理和大型軟件開發(fā)的IT審計經(jīng)驗可以借鑒。有鑒于此，本期我們特別邀請工行及人行IT審計方面的專業(yè)人士，對國內(nèi)外銀行IT審計的具體案例進行剖析研究，就二者的差別及內(nèi)在成因作深入分析，以此促進IT審計在我國銀行業(yè)更健康有序的開展。

　　隨著信息技術(shù)在銀行普遍、深入的應用，銀行信息系統(tǒng)的正常運行已經(jīng)成為銀行業(yè)務正常運營的最基本的條件之一，IT運營與公司運營緊密相關(guān)，IT治理也與公司治理緊密相連，因此IT審計越來越得到銀行管理層的高度重視。目前，IT審計在國際上是一個相當成熟的領(lǐng)域，發(fā)達國家的銀行均建立了完善的信息系統(tǒng)審計體系，而我國才剛剛開始起步。因此，很有必要研究發(fā)達國家銀行業(yè)的IT審計組織結(jié)構(gòu)和技術(shù)架構(gòu)，解析國內(nèi)銀行IT審計的現(xiàn)狀及存在的問題，并根據(jù)國際經(jīng)驗與我國實際情況進行差異性分析，最后，找到我國銀行業(yè)IT審計的準確定位，由此，實現(xiàn)IT審計在國內(nèi)銀行業(yè)質(zhì)的飛躍。

　　國外銀行IT審計的特點

　　IT審計部門的獨立性

　　在國際上IT審計部門分為內(nèi)審與第三方獨立審計兩種。內(nèi)審由企業(yè)內(nèi)部專設(shè)的IT審計機構(gòu)實施審計，第三方審計則提供獨立的外部審計。國外發(fā)達銀行大都設(shè)有內(nèi)部的IT審計部門，IT審計部門獨立于IT部門，由公司控股層直接管理。例如荷蘭銀行和瑞士銀行都在控股公司層面設(shè)立了一個審計委員會，審計委員會下設(shè)企業(yè)中心，集團審計是在控股公司層面的企業(yè)中心內(nèi)，直接由審計委員會管理，IT審計則隸屬于集團審計，獨立于IT部門。

　　國外銀行IT審計的技術(shù)和組織框架國外銀行界在IT審計部門基本都根據(jù)銀行自身的特點，確定了相應的技術(shù)框架。各銀行的IT審計普遍有以下特點：

　　各銀行均根據(jù)自己的IT形勢，明確了不同的IT審計的技術(shù)領(lǐng)域、范圍。IT審計的范圍基本覆蓋了信息系統(tǒng)建設(shè)生命周期中的所有IT活動，包含了各種技術(shù)平臺和軟件開發(fā)，項目投產(chǎn)，系統(tǒng)遷移、切換、運行維護等全過程。IT審計重點審計IT活動過程中的各個方面，力圖將風險控制在過程中。由于IT已經(jīng)滲透到銀行業(yè)務的各個領(lǐng)域，因此IT審計與業(yè)務審計緊密結(jié)合，利用IT技術(shù)輔助進行業(yè)務審計以及將IT與業(yè)務緊密結(jié)合在一起進行綜合審計，都是IT審計的重要內(nèi)容。

　　新加坡發(fā)展銀行設(shè)有專門的IT審計機構(gòu)，其IT審計包括綜合、技術(shù)框架和軟件系統(tǒng)生命周期三個方面。美國大通銀行同樣設(shè)有專職的IT審計機構(gòu)，其IT審計包括系統(tǒng)開發(fā)審計、系統(tǒng)切換審計和技術(shù)框架審計。花期銀行對新系統(tǒng)的起用、遷移、轉(zhuǎn)換、合并均由內(nèi)審部門進行風險審計。花旗集團還根據(jù)特殊事件或法規(guī)要求的需要，開展專項審計，對項目風險進行評估，如采用新的計算機技術(shù)、IT系統(tǒng)轉(zhuǎn)換及系統(tǒng)發(fā)生停運等問題，都要進行審計評價。

　　IT審計人員的比例

　　目前美國商業(yè)銀行內(nèi)部審計人員當中約有30%-50%是IT審計人員。匯豐銀行僅香港分行就配備了30多名IT審計人員。在花旗銀行，由于信息科技已滲透于銀行的各個領(lǐng)域，信息技術(shù)已與業(yè)務緊密結(jié)合在一起，無論作為內(nèi)部審計的對象，還是內(nèi)部審計的手段，內(nèi)部審計人員的工作已難以離開計算機技術(shù)支持。即使在這種情況下，花旗銀行專職從事信息科技和計算機輔助審計的人員占全部審計人員的比例也超過20%。

　　IT治理中審計人員的角色

　　IT審計員在IT治理的過程中，他們的活動貫穿在計劃和組織、獲得和實施、交付和支持、監(jiān)控這幾個領(lǐng)域中，在此過程中始終承擔著評估與評價的職責。計劃和組織域中，內(nèi)部審計師的關(guān)鍵處理是質(zhì)量管理。它包括對戰(zhàn)略性IT計劃和信息架構(gòu)的評估，技術(shù)方向、IT組織和關(guān)系、項目管理和IT投資管理的評價、通知、支持，保證服從外部要求，風險和管理質(zhì)量的評估等。

　　在獲得和實施域中，內(nèi)部審計師的角色仍然是評估過程。如對自動化解決辦法的鑒定和評價，獲得和維護應用軟件的評價和支持，獲得和維護技術(shù)架構(gòu)，開發(fā)和維護過程、安裝和認證系統(tǒng)的評價，管理變化的評價和支持等。

　　在交付和支持領(lǐng)域，審計要對以下方面進行評估和支持。如定義和管理服務級別、管理第三方服務、管理性能和能力、保證連續(xù)性服務、鑒定和分配費用，教育、培訓和支持用戶，管理配置、管理問題和事件、管理數(shù)據(jù)、管理設(shè)備、管理行動等的檢查和評估，保證系統(tǒng)安全的檢查、評估和支持。

　　在監(jiān)控領(lǐng)域，審計師的角色是監(jiān)控過程，評價內(nèi)部控制，獲得獨立保證，提供獨立審計的檢查、評估和支持。

　　國內(nèi)外銀行IT審計的差異

　　面對我國銀行數(shù)據(jù)大集中的形勢，銀行已將IT風險作為內(nèi)部的重要風險之一進行控制。但由于IT審計在我國還剛剛起步，與國外發(fā)達銀行比較還存在很大的差異性，主要體現(xiàn)在以下幾個方面：

　　審計覆蓋面上的差異

　　目前我國各大商業(yè)銀行在總行內(nèi)審部門基本上都設(shè)立了信息技術(shù)審計處，股改后直接向董事會負責，這與國際慣例基本是一致的，體現(xiàn)了銀行最高領(lǐng)導層充分重視IT在銀行中的地位，并將IT風險防范和控制納入到銀行風險控制的戰(zhàn)略高度。目前國際上比較先進的商業(yè)銀行無一例外全部開展了GCR(一般控制)和ACR(應用控制)的全方位IT審計。但我國由于信息技術(shù)審計工作開展不長，并且人員有限，還未能全面開展一般控制和應用控制的IT審計工作，基本處于一般控制的摸索階段，距國際先進水平還有較大的差距。

　　組織結(jié)構(gòu)和人員上的差異

　　從新加坡發(fā)展銀行和美國大通銀行的IT審計組織框架和人員配備上看，IT審計由于涵蓋了軟件開發(fā)和項目投產(chǎn)、運行維護的全過程，包含了各種技術(shù)平臺、系統(tǒng)生命周期的所有階段，因此IT審計機構(gòu)設(shè)置基本采用在總審計師領(lǐng)導下，與業(yè)務審計兩條線并列的模式，人員專業(yè)化分工明確，技術(shù)水平要求也較高，懂IT技術(shù)人員的比例一般占內(nèi)部審計人員的30%-50%左右。而我國銀行從事信息技術(shù)審計工作的員工較少，在人員數(shù)量和質(zhì)量上無論與國際先進水平還是銀行的IT架構(gòu)相比，均有不小的差距。同時，由于目前內(nèi)審部門的信息技術(shù)審計組織結(jié)構(gòu)不盡完善且人員不足，無法進一步細分審計職能、明確專業(yè)審計方向。另外，在審計手段、輔助工具以及系統(tǒng)接口、技術(shù)支持等方面的差距更大，需要加強力量研究解決。

　　國外IT審計先進經(jīng)驗的啟示

　　重視信息科技審計是國際普遍趨勢。隨著商業(yè)銀行經(jīng)營管理活動對信息技術(shù)的高度依存，信息科技風險控制已成為商業(yè)銀行風險管理的重要內(nèi)容，并從戰(zhàn)略的角度將IT審計與實現(xiàn)公司治理的總體目標緊密聯(lián)系在一起。

　　加強IT審計是國內(nèi)銀行建設(shè)國際一流商業(yè)銀行的內(nèi)在需要。近年，工商銀行信息科技優(yōu)勢在提升銀行核心競爭力的同時，其系統(tǒng)風險也更加集中，更加突出，任何一點管理上的疏漏或控制上的缺陷，都可能引發(fā)巨大的系統(tǒng)災難，給全行帶來無法估量的經(jīng)濟損失和聲譽損失。因此，進一步加強IT審計就更具有重大的現(xiàn)實意義。

　　加強IT審計是監(jiān)管當局的外部要求。隨著國內(nèi)經(jīng)濟的快速發(fā)展和對外開放的逐步擴大，國家相關(guān)部門對信息系統(tǒng)的安全問題越來越重視，銀監(jiān)會、人民銀行、審計署、公安部等國家行政管理部門和外部監(jiān)管部門對企業(yè)內(nèi)部的信息系統(tǒng)風險控制都提出了一系列要求。因此，工行必須通過加強IT審計來保證全行的信息技術(shù)應用對各級監(jiān)管政策、法規(guī)的遵從性。

　　我國銀行要盡快建立健全IT審計架構(gòu)和規(guī)范，從IT治理與公司治理相結(jié)合的角度，對銀行的信息系統(tǒng)建設(shè)的重大決策，提供評估與評價并進行相關(guān)的風險分析，力圖將IT風險控制在過程中，并推進和促進科技管理，預防IT風險。要達到這一目標，可按照國際通用的IT審計標準CO鄄BIT，結(jié)合我國銀行的具體實際情況，建立適合我國銀行的IT審計標準和框架。

　　對我國銀行的IT審計應緊緊圍繞銀行的IT技術(shù)架構(gòu)進行，使銀行的IT審計能涵蓋主要的IT活動范圍，因此應建立審計的技術(shù)領(lǐng)域框架。該領(lǐng)域至少應包含以下內(nèi)容：系統(tǒng)運行、操作管理及風險防范，軟件開發(fā)生命周期的過程管理和風險評估，新系統(tǒng)投產(chǎn)、切換、遷移、合并的過程管理和風險評估，各種技術(shù)平臺的審計，電子銀行等與IT緊密結(jié)合的新業(yè)務的審計，為業(yè)務審計提供IT技術(shù)手段和輔助功能，業(yè)務與IT緊密結(jié)合的綜合審計，各種專項審計及事故評估。

　　我國銀行IT審計的關(guān)注點

　　鑒于目前我國銀行信息技術(shù)審計組織結(jié)構(gòu)不盡完善和人員數(shù)量、質(zhì)量嚴重不足，遠不能達到對IT進行全面審計的要求，因此，當前我國銀行IT審計工作的重點可定位在以下幾個方面：防范對操作運行風險，具體應針對數(shù)據(jù)中心整合工程后的生產(chǎn)運行和操作情況，進行專項審計；盡快按照國際標準開展我國銀行IT審計工作標準的制定；加強組織機構(gòu)建設(shè)，充實技術(shù)人員并加強培訓；加強IT審計的隊伍建設(shè)，IT審計人員的技術(shù)背景應覆蓋系統(tǒng)、硬件、網(wǎng)絡、應用等多個方面，同時又具備審計知識和經(jīng)驗，能將IT技術(shù)與審計手段結(jié)合運用，這樣才能審計出IT風險。