中小銀行信息科技內部審計困境與風險審計方法,審計論文內容摘要：IT審計能夠實現對業務系統控制的再控制,主動辨別風險并分析產生的原因,進而有效地控制商業銀行業務運行以及經營經過中的各類風險。本文擬通過對IT審計和審計風險的討論,對中小商業銀行的IT審計現在狀況進行分析,闡述江陰農商銀行基于風險控制的IT審計的理念及方式方法,并在這里基礎上,以變更管理為例,列舉部分風險控制矩陣。本文關鍵詞語：IT審計;信息科技;風險控制;變更管理;一、引言改革開放推動了中國金融業的快速發展,信息技術被廣泛應用于商業銀行經營的各個方面,并成為商業銀行經營戰略必須考慮的重要因素,伴隨而來的是商業銀行對信息系統依靠性的不斷加強。作為科技應用型人員,發現信息系統在為商業銀行提供便利、知足各種功能和服務需求、帶來效益的同時,相關風險和安全隱患也在不斷增加。近年來,銀行業信息科技安全事件頻發。例如2018年4月12日,某銀行由于網絡癱瘓,導致無法辦理現金業務;2020年6月24日,某農商行機房發生線路電氣故障,導致火災,機房內部分設備受損;2021年5月8日,某城商行核心數據庫宕機,造成該行柜面和渠道業務長時間中斷。以上案件充分暴露出我們國家一些商業銀行信息科技管理方面存在的眾多問題以及信息系統本身的脆弱性,信息系統的安全穩定運行對商業銀行至關重要。當系統發生故障、錯誤而喪失其有效功能時,銀行日常的業務必定會遭到重大影響,進而引發一系列重大問題或風險,如銀行的財產損失、客戶的經濟損失以及不良聲譽風險等。因而,有必要引進發達國家已經比擬成熟的理念IT審計,通過系統訪問控制審計和系統運行控制審計等技術方式方法,及早發現商業銀行內控制度漏洞和管理存在的薄弱環節,完善控制措施,有效地辨別和躲避風險,有效地對所依靠的信息和信息系統進行安全管理,保障信息系統的安全穩定運行。同時,通過審計可有目的性地加強對銀行內控制度的監管,進而提高信息技術服務支持的質量。本文結合中小商業銀行當前信息科技審計的現在狀況,以IT風險控制目的為核心,提出了施行風險控制審計的理念和步驟,構建適用于江陰農商銀行(下面簡稱我行)的IT審計框架及控制目的。二、IT審計風險和重要性審計風險可定義為:審計經過中未發現信息可能存在的重大錯誤的風險。假如可行,IT審計師也應當考慮組織相關的其他因素:客戶數據、隱私、所提供服務的可用性,企業和公眾形象。IT審計風險主要包含固有風險、控制風險、檢查風險和整體審計風險[1]。(一)固有風險1.固有風險的含義。固有風險是指IT活動在缺乏控制的情況下進而導致重大錯誤的風險。2.常見的固有風險。制度建設缺乏或缺失,未制定與監管要求相適應的管理辦法約束信息科技施行中的各種風險,比方:開發、測試、投產、運維、存檔等,甚至靠員工的自律行為控制風險;對所有業務能否通過系統進行剛性控制,比方,操作權限設置、登錄密碼長度及強度限制、秘鑰使用管理、涉密人員管理等等;監督檢查頻次不夠,對員工的違規行為沒有能產生震懾作用,甚至處于審計的盲區;員工技能與業務發展不匹配,后期培訓缺乏,知識更新不夠;IT管理人員的管理水平或IT人員的技術水平達不到要求,易出現管理和技術方面的錯誤;計算機硬件故障或軟件程序錯誤,造成信息損壞或丟失,導致數據在處理經過中發生偶發錯誤;信息系統的高度集成,導致系統的復雜性、依靠性和脆弱性,并引發各種風險,如數據容易被修改和盜取,用磁介質存儲數據,其穩定性和安全性較差;計算機病毒的損害容易造成數據丟失。(二)控制風險1.控制風險的含義。控制風險是指與IT活動相關的內部控制體系不能及時預防或檢測出存在的重大錯誤的風險。2.常見的控制風險。系統數據風險。數據在輸入時缺乏嚴格的控制,造成數據錯誤;數據存儲高度集中,缺乏嚴格的分級閱讀控制;人工檢查計算機日志風險很高,大量的日志信息導致人工檢查容易出錯。系統環境風險。包括軟件環境風險和硬件環境風險。一方面是由于計算機信息系統的復雜性以及信息系統的網絡化,另一方面是由于計算機設備的多樣化,進而導致系統環境風險增大。系統控制風險。是由于信息系統的內部控制不嚴密造成的風險,如審批設置不合理、不相容崗位權限互通、特權用戶擅用權限等。(三)檢查風險1.檢查風險的含義。檢查風險是指通過預定的審計程序沒有能發現重大、單個或與其他錯誤相結合的風險。2.常見的檢查風險。審計管理風險。由于IT審計管理制度不健全、不完善而導致的風險,主要包括缺乏相關的IT審計操作規范,導致審計人員各行其是。審計目的、內容和手段各不一樣,審計管理風險增大。審計技術風險。指由于審計軟件本身缺陷造成的風險,主要包括計算機審計技術的開發和推廣落后于信息技術的發展,并且技術含量偏低;開發人員對審計業務不熟悉;沒有經過相關部門鑒定,導致審計軟件運行有風險;審計軟件與信息系統軟件的接口不匹配,導致數據不能導出等。人員操作風險。指審計人員在對信息科技方面進行審計時,由于知識不夠或業務不熟,不能有效辨別其內部程序控制進而引發高風險。(四)總體審計風險總體審計風險是指針對單個控制目的所產生的各類審計風險總和。良好的審計計劃應盡可能評估和控制審計風險,減少或控制所檢查領域的審計風險,例如采取宜適的審計工具,在完成審計時把總體審計風險控制在相對低的水平之內,以到達預期的水平。重要性當與任何上述風險相結合時,是指在問題程度上可被組織視為嚴重的錯誤。在規劃被審計領域和審計任務中所需執行的詳細測試時,必須結合對審計風險的了解來考慮重要性。對IT審計師而言,確定重要性是比擬困難的。例如:邏輯訪問安全參數的設置允許程序員未經審批即可訪問所有程序的源代碼,由于它對數據完好性和準確性潛在的普遍影響,能夠看作是重大錯誤;假如這種訪問權限僅限于少數不重要的程序,對審計師而言,這種錯誤能夠不看作是重大的。也就是講,重要性應考慮對組織的整體潛在影響。三、中小商業銀行信息科技內部審計面臨的困難從十二五到如今的十三五時期,中小商業銀行經歷著重大而深入的變化,在發展機遇的同時,也面臨著新的挑戰。相對于大型國有銀行,中小銀行的信息科技總體實力和建設水平還存在較大差距。隨著信息系統規模和復雜度日益增加,信息科技審計也面臨著新的挑戰,內審部門應加大審計力度,評估信息系統和內控機制的充分性和有效性,提出整改意見并檢查落實整改情況,但仍存在眾多不利因素,構成一定的困局、急需破解。(一)IT審計人員缺乏,獨立性得不到保證當前,中小商業銀行三道防線初建,普遍有著IT審計崗位編制缺乏、IT審計人員專業技術能力不強等情況。以往多是針對業務的審計,缺少對信息科技的審計,更缺乏二者相結合的審計。信息科技內部審計氣力的薄弱極大地制約了信息科技內部審計的有效性。部分商業銀行將IT審計的職責交給科技部門,使得科技部門既是運發動,又是裁判員,審計的獨立性得不到保證。假如能夠吸納一些業務型、科技型結合的復合型人才加盟內部審計,無疑將推動中小商業銀行內審體系的建立和完善。同時,各商業銀行也應關注此方面人才的開發與培養。(二)IT審計方式方法及規范缺乏多數中小商業銀行在IT審計時只是對標檢查,缺少有效可行的審計方式方法論,對銀行信息科技風險管理現在狀況的認識和見解缺乏,在IT審計經過中不知怎樣審、不知道審什么,無法把握審計重點,無法觸及風險隱患,進而很難發現存在的重大問題或缺陷。(三)IT審計目的不明確當前大部分中小銀行的IT內部審計都是為了知足監管要求,沒有從行內業務驅動的角度出發,缺少為科技引領提供保駕護航的認知和力度。(四)IT審計手段落后當前大部分審計部門沒有專門的IT審計平臺及工具,對于較為重要的業務系統,無法進行有關技術環節、運行環境、業務處理等方面的測試,更有情況會出現過分依靠科技部門,導致IT審計工作的效率大大降低。(五)審計整改力度不夠IT審計的對象基本上是科技部門,其他相關部門對于審計發現的問題往往抱著事不關己,高高掛起的態度。高管層固然重視,但由于高管層對信息科技理解有限,對專業性的風險認識缺乏,信息科技風險通常依靠于科技部門,造成整改沒有能落到實處。根據木桶短板效應,一只水桶的容量取決于它最短的那塊木板。在信息科技防備中也是如此,業務人員假如不重視信息科技風險防備,一個誤操作就可能能讓銀行在整個安全體系建設方面的努力付之東流。四、施行風險控制的審計理念(一)擺正位置,明確責任擺正位置有助于減少阻力,進而能夠順利地開展審計工作。IT風險控制審計的目的與科技部門的目的一致,都是為了全面提升信息科技風險管理的水平,保證信息系統安全穩定運行。通過揭示內部控制的缺乏,促進內部控制水平的提升,并制定基于成本效益原則的解決方案,以改善內部控制現在狀況。僅僅揭示問題沒有什么本質性作用,只會讓被審計部門或個人感到難堪,并且引起對審計人員的反感。解決問題才能產生真正的價值,揭示問題只是實現目的的手段。最終目的是為了改善內部控制的現在狀況。假如僅告訴管理層某方面存在安全漏洞,這可能因揭示別人的缺乏而提升了本身的形象,但漏洞仍然存在,還是那樣面臨風險。只要在安全漏洞被堵住的時候,才真正有價值。因而,IT審計的真正責任是幫助改善內部控制的現在狀況。(二)兩級分化,走出誤區兩級是指唯技術論和無技術論。IT審計專業性很強,覆理層將IT審計的職能落到科技部,將IT控制審計做成了安全檢查,在注重技術方面的缺陷時而忽略了管理方面存在的風險,這是一種舍本逐末的行為。俗話講,三分靠技術,七分靠管理。對于風險防控來講,管理是基礎,技術是輔助,切不可本末倒置。無技術論是指審計部門缺乏IT專業人員,以為IT審計完全不需要技術知識,只要有一套具體、完好的檢查手冊,對標就能夠完成的。這種觀點也不可取,信息科技涵蓋的范圍太廣,就新系統的建設而言包括可行性分析、需求分析、項目管理、質量管控、測試等,單靠套檢查手冊不可能涵蓋所有檢查細節。這種檢查僅僅是停留在文檔有沒有的外表合規的狀態下,真正做到風險控制必須是檢查內容好不好、到達一定的深度。五、我行采取的風險控制審計的基本方式方法(一)擅長從業務部門和IT事件推動內部控制體系建設工作IT風險防控不能僅依靠科技部門,而是要全行所有部門共同介入。審計對象不能局限于科技部門,也要通過對業務部門的訪談和實地檢查,了解科技部門能否根據業務部門的需求進行開發并落到實處。在重要業務系統使用和日常安全管理方面,發現其管理存在的漏洞缺陷。例如,在客戶敏感信息的保衛方面需要重點審計,應逆向檢查系統對信息安全的管控措施是怎樣落實的,加強其IT風險防備的意識。針對科技部門,要擅長將IT突發事件作為審計的入口,既要關注突發事件的處置經過,更要關注突發事件處置后的總結,對事件處理流程進行梳理和更新。(二)捉住審計重點,揭示主要風險,強化應急管理一是捉住審計重點,梳理我行風險點,通過風險點揭示我行在管理層面和技術層面上的問題和缺乏,以到達提升其整體風險防控能力的目的。二是強化應急管理。在審計經過中要重點關注應急管理,一方面須關注應急預案的制定、修訂及開展的演練情況;另一方面須關注發生IT突發事件后的應急響應和處置,以及根據實際情況對應急機制的完善。(三)協同工作,構成合力審計部門的IT審計崗與科技部門的內控崗協同合作,根據我行實際情況開創建立一套體系化的審計框架和控制目的。在IT控制點與風險庫的建立方面充分發揮主觀能動性,找