摘 要:银行信息技术审计是由其相对独立的内审部门,通过对信息系统及信息科技内部控制和流程的审查,揭示信息科技管理和操作中存在的问题,并评价信息科技管理目标实现情况,从而判断信息系统能否保证组织的资产安全、数据完整、支撑业务发展且风险可控,进而采取措施促进信息科技符合组织战略目标。从目前已开展的信息技术审计项目实施情况看,其中存在一系列制约信息技术审计有效实施的难点和问题,因此,需要在实践中不断提升应对策略以对其进行改进和完善。本文在分析银行信息技术审计实践的现状和难点的基础上,对有助于提升审计质量的信息技术审计策略做了较为深入细致的探讨。
关键词:信息技术风险管理;信息技术审计;审计策略
中图分类号:F239.1 文献标识码:A 文章编号:2096-4706(2019)02-0194-03
Abstract:Information technology audit of banks is a relatively independent internal audit department. Through reviewing the internal control and process of information system and information technology,it reveals the problems existing in the management and operation of information technology,and evaluates the achievement of information technology management objectives,so as to judge whether information system can guarantee the safety and number of assets of an organization. According to the integrity,support business development and risk control,and then take measures to promote information technology in line with organizational strategic objectives. From the current implementation of information technology audit projects,there are a series of difficulties and problems that restrict the effective implementation of information technology audit. Therefore,we need to constantly improve the response strategies in practice to improve and perfect them. Based on the analysis of the current situation and difficulties of bank information technology audit practice,this paper makes a thorough and detailed discussion on the information technology audit strategy which can help to improve the audit quality.
Keywords:information technology risk management;information technology audit;audit strategy
1 审计现状
随着互联网金融时代的到来,近年来,银行重要业务运行及管理均纳入信息系统的管控之下。为保证这种管控符合组织目标,各银行内部都组织开展了信息技术审计,其主要围绕领域、机构、系统三个维度,稳步开展信息技术一般控制审计、信息技术应用控制审计以及信息安全审计等项目,其审计对象和范围主要涉及以下几个方面。
1.1 从管理维度看
信息技术审计主要关注信息科技治理、风险管理、信息安全、信息系统开发测试、信息系统运行维护、业务连续性、信息技术外包等七个领域,并基本履盖系统整个生命周期。
1.2 从机构维度看
信息技术审计主要关注信息科技风险管理的第一道防线和第二道防线,包括总行级科技管理部门、软件开发中心、数据中心、风险管理部、内控与法律合规部以及各一级分行等。
1.3 从系统维度看
信息技术审计主要关注会计核算系统、信贷管理系统、报表系统等基础系统。近年来,各银行根据业务发展和国家政策导向,对大数据平台、互联网金融、信用卡等业务系统也逐步开展了专项审计。
在上述审计中,银行内审部门以风险为导向,围绕“审什么”和“怎么审”,制定了审计操作模板,覆盖审计控制域与控制点两个层面,明确审计内容、审计方法和审计依据,可以实现审计过程的标准化和规范化;在审计实践中,银行能够根据业务反馈的风险点,初步判断应用系统控制效果,并通过访问测试和系统输入输出验证权限控制的合理性、数据处理的准确性。与此同时,银行信息技术审计在专业能力、审计视角、日常监测及整改落实等方面仍存在严重不足,这在一定程度上限制了信息技术审计工作质量的提升和审计成果的价值实现。银行信息技术审计的不足主要体现在以下方面:一是专业能力不足导致重点审计域专项审计缺失。近年来开展的信息科技审计工作尚未触及互联网金融、零售及中间业务等新型业务领域的管理盲区,同时,由于审计能力不足,信息科技审计对上述业务领域的信息系统的代码质量、压力测试、投产变更、开源软件、影子信息技术等控制点也未涉足。二是信息科技审计仅局限于技术细节而缺乏管理视角。其对重要信息系统,管理体系层面,第一、二道防线的履职关注不够,沟通不足,缺乏管理视角和全行视角,仅局限于技术细节,“就事论事”,未能将具体风险事项与信息技术管理活动结合来揭示战略规划落实、体制机制、制度流程等背后的深层次问题和风险。三是日常风险监测及后续整改措施落实不到位。信息系统风险监测团队配备不足,系统风险日常监测缺位。受知识水平限制,银行内审团队与审计对象信息科技部门和风险管理部门缺乏沟通,对信息科技自评估报告和风险监测报告利用不足,无法及时获取被查行系统风险及相应的风险应对措施。对信息科技审计项目后续整改跟踪机制落实不足,未有效开展后续整改与跟踪工作。
2 审计难点
2.1 项目规划方面
系统失效是银行风险的重要组成部分。相关统计数据表明,银行信息系统失效风险占银行总风险的10%-20%,并且这个数字还会随着银行信息化的深入而逐步增大。但目前,银行内部审计人员普遍没有掌握信息系统风险评估技术,风险有多大、影响有多深、预估损失有多大,都无法从客观上估量,其评估存在主观取舍的成份。在制定审计规划、计划及方案时缺乏科学依据,对重点审计域、风险控制点无法准确界定。
2.2 数据获取方面
除信息技术服务台外,现有信息技术管理系统较少,且服务台数据结构化不强,无法导入内部审计系统,致使审前分析无数据可用。在现场审计中,审计人员往往只能根据被审计单位提供的统计数据、书面文件或会计核算资料等进行查证。这种审前及审中数据分析的缺失,一方面无法保证审计数据的真实性和准确性,致使审计人员陷入了反复核实数据正确性的困境,另一方面又使得内审人员始终无法跳出会计核算的局限,无法在信息技术审计更高的层次和更深的领域发挥作用。
2.3 技术手段方面
信息技术自动化监控工具、系统测试工具、源代码扫描工具等专业性较强,现有审计人员相关知识水平尚不能达到熟练应用的程度,更无法从中获取信息进行分析查证。信息系统知识的储备严重不足,技术手段的掌握严重滞后,使得审计人员对信息技术风险的存在及影响范围界定不够准确,因而不能从整体和全局层面揭示风险。
2.4 问题整改方面
开展信息系统审计的基本目标是揭示信息科技管理和操作中存在的问题,评价信息科技管理目标实现情况,督促被审方采取强有力的审计整改措施和手段来提升信息科技管理水平。但相对于财务、信贷等大型业务审计项目,被审计单位对信息技术审计的整改不够重视,往往将审计查出的问题归咎于技术处理不当,没有真正理解“现象在下面,根子在上面”的信息技术特点,没有将技术问题与背后的管理活动相结合,导致问题整改治标不治本,屡查屡犯,信息科技管理始终停留在低水平层面,从根本上违背了开展信息系统审计的初衷和目的。
3 应对策略
3.1 紧抓信息技术审计数据建设,逐渐形成完备的审计方法体系
针对目前银行内部信息技术审计缺乏相关数据的问题,笔者建议将科技本身的管理系统信息如信息技术服务台的监测数据进行结构化处理后完整纳入到内部审计系统,通过全量数据分析发现审计线索。同时,突出问题导向,持续开发信息技术审计方法查勘型,成熟一个推广一个,螺旋上升,逐渐形成信息技术审计方法体系。在信贷、财务等业务非现场审计中发现的数据异常问题,可以作为线索移交给信息技术审计部门,以进一步确定是系统架构、业务逻辑问题,还是运维操作问题。
3.2 追溯应用系统规划、实现,从源头防范和化解风险
在“就事论事”的基础上,追溯上游规划和开发,不仅可以促进信息技术风险的标本兼治,还可以使信息科技资源得到充分利用,实现风险与绩效同行。信息技术活动的主体是信息系统,除系统、网络等固有风险外,下游运维阶段的数据安全、人工干预、控制薄弱等问题也源于上游的系统架构。因此,追溯应用系统规划、实现,从源头防范和化解风险,十分必要。而普遍存在的科技人员不足问题可以通过信息系统的整合、优化得以有效缓解。
3.3 完善信息技术审计技术手段
完善信息技术审计技术手段主要是完善系统穿透测试工具、源代码扫描工具、信息技术审计钩等专用审计工具的操作使用模板。信息技术审计技术手段是信息技术审计中独有的技术手段,包括源代码审计、日志审查、渗透测试及测试数据等,而大多数审计人员的相关知识储备都远远不足,迫切需要完备的、专业的、简明易懂的操作手册来指导信息技术审计实践。通过依托上述专业化工具,对系统日志、安全性日志、应用程序日志、数据库日志等进行专业分析,可以发现审计线索,追溯信息技术风险事件及事故产生原因,最终查实系统控制缺陷,从而占领信息系统风险控制的制高点。
3.4 做实与科技部门、风险部门第一道和二道防线的沟通
银行可采取定时或不定时方式,例如会议、材料以及科技管理监控系统交流等,与科技部门、风险部门第一道和二道防线进行沟通,从而了解情况,监测风险。从业务驱动到系统开发、运行维护、灾备管理等整个系统生命周期来理解信息系统,科学制定审计计划和方案,防范管理盲区,着力提高审计质量;同时与被审计对象一道,落实整改督导和跟踪措施,完善整改后的评估机制,促成审计成果的价值实现。
4 结 论
信息技术审计作为风险管理体系的第三道防线,在银行全面风险管控中发挥着越来越重要的作用。对信息技术审计现状、问题以及策略进行分析,进一步规范和加强信息技术审计,既是银行自身为保障全行信息科技水平符合业务发展目标的需要,也是内外部监管当局对银行各项信息科技活动合规性的要求。
参考文献:
[1] 吴晶.等级保护“安全审计”应用实现 [J].信息网络安全,2013(8):6.
[2] 林乐宇,刘磊,王石,等.MUIS:一种新型的多领域信息共享联盟系统及其应用 [J].计算机研究与发展,2008(4):684-694.
[3] 陶星,李卫华,汪中飞.基于知网的可拓领域信息元库的构建方法 [J].智能系统学报,2015,10(5):790-796.
[4] 李勇.跨领域信息共享实施过程管理分析 [J].电子技术与软件工程,2015(4):13.
[5] 师新宇.开展信息系统审计的思路及应用 [J].现代工业经济和信息化,2015,5(12):82-84.
作者简介:王翎艳(1970.09-),女,重庆人,高级会计师,研究生,研究方向:IT。