近年來，因銀行業(yè)務流程中對信息系統(tǒng)的依賴程度日益加大，這使得信息系統(tǒng)的固有風險隨著系統(tǒng)的復雜而增加，高度集中化的銀行信息化管理也面臨著更加嚴峻的考驗。因此，作為商業(yè)銀行信息科技風險管理的第三道防線——信息系統(tǒng)審計（簡稱“IT審計”）在銀行內(nèi)部控制建設過程中扮演了更為重要的角色。
　　銀行IT審計意義
　　目前，信息系統(tǒng)的正常運行已經(jīng)成為銀行業(yè)務正常運營的最基本條件之一，信息科技在有力提升銀行核心競爭力的同時，信息科技風險也愈發(fā)突出和集中，信息科技風險控制已成為銀行業(yè)風險管理的重要內(nèi)容，而IT審計作為銀行業(yè)風險管理體系的重要組成部分，其重要性和必要性已經(jīng)日益得到銀行業(yè)管理層的關(guān)注。同時，國家相關(guān)部門對信息系統(tǒng)的管控也越來越重視，自2006年8月發(fā)布《銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引》開始，銀監(jiān)會正式對銀行科技風險進行監(jiān)管，近年來推出一系列制度和措施（見表1），監(jiān)管工作逐步走向規(guī)范化。通過IT審計來保證和監(jiān)控全行的信息科技管控對各級監(jiān)管政策法規(guī)的合規(guī)性，也成為銀行業(yè)實施IT審計的重要目的之一。
　　因此，銀行業(yè)加強和規(guī)范IT審計，既是自身發(fā)展和獲取競爭優(yōu)勢的內(nèi)在需要，也是監(jiān)管當局的外部要求。
　　銀行IT審計標準
　　準確地運用標準和參照，成為順利開展IT審計工作的重要前提之一。
　　COBIT
　　COBIT(Control Objectives for Information and related Technology) 是由信息系統(tǒng)審計與控制基金會最早在1996年制定的IT治理模型。這是一個在國際上公認的、權(quán)威的安全與信息技術(shù)管理和控制的標準，也是目前國際上通用的信息系統(tǒng)審計的標準之一。COBIT是一個基于控制的IT治理模型，其制定的宗旨是跨越業(yè)務控制和IT控制之間的鴻溝，從而建立一個面向業(yè)務目標的IT控制框架。
　　COBIT本身并非針對IT審計的專門論述，其面向的使用者可以是企業(yè)中想通過改善IT過程實現(xiàn)經(jīng)營目標的管理者，也可以是業(yè)務過程的所有者，即用戶，也可以為IT審計師。它在商業(yè)風險、控制需要和技術(shù)問題之間架起了一座橋梁，以滿足管理的多方面需要。在最新的COBIT5.0版本中，COBIT已經(jīng)被稱作“一個治理和管理企業(yè)IT的業(yè)務框架”。
　　COBIT4.1版本中經(jīng)典的體系框架一直為眾多使用者參考使用，它包括了實施簡介、實施工具集、高層控制目標框架、管理指南、具體控制目標、審計指南等一系列文檔（見圖1）。管理指南為每個過程提供了關(guān)鍵成功因素、關(guān)鍵目標指標和關(guān)鍵績效指標等，并根據(jù)這些指標對每個過程進行了成熟度模型的劃分；而審計指南，則就審計的控制目標、調(diào)查對象、需要掌握的證據(jù)及如何進行測試和評估做出了詳細的說明。
　　COBIT4.1版本中的流程參考模型將所有與信息系統(tǒng)相關(guān)的活動進行了劃分，主要包括34個流程，分屬4個域。而COBIT 5.0的參考模型涵蓋了治理和管理流程的完整集合，共分為37個流程。COBIT5.0流程參考模型是COBIT4.1流程參考模型的繼承者，同時也融合了風險IT、價值IT流程模型。COBIT的廣泛通用性也造就了它在應用上的弱點和難點，即COBIT中對相關(guān)流程和控制目標的描述過于籠統(tǒng)普適，需要使用者結(jié)合企業(yè)的實際情況和專業(yè)經(jīng)驗進行較大的定制化方可實施。
　　因此，COBIT模型的最大作用是將IT過程、IT資源與企業(yè)的策略和目標聯(lián)系了起來，保障了企業(yè)的IT戰(zhàn)略目標和其業(yè)務發(fā)展目標的一致性，也在IT管理層、IT技術(shù)人員/用戶和IT審計師之間搭建了橋梁。
　　《商業(yè)銀行信息科技風險管理指引》
　　近年來，隨著銀監(jiān)會信用風險、商業(yè)風險和操作風險管理指引的發(fā)布，以及“巴塞爾協(xié)議II”在銀行業(yè)內(nèi)的逐步實施，推動了銀行內(nèi)部風險管理機制的建立和健全。但是，在全面風險管理的框架下，目前銀行的信息科技風險管理機制滯后于業(yè)務風險管理體系的發(fā)展，并未建立體系化的風險管控機制，成為了銀行風險管理體系中的短板。這主要體現(xiàn)在，信息科技風險治理組織不健全、風險管理制度不完善、風險處理過程規(guī)劃依據(jù)不充分以及風險監(jiān)控指標不明確等方面。
　　2009年發(fā)布的《商業(yè)銀行信息科技風險管理指引》(以下簡稱《指引》)，定義了商業(yè)銀行信息科技風險的總體框架，即在當前商業(yè)銀行普遍的信息科技現(xiàn)狀下，可能存在的重大信息科技風險的范圍，使商業(yè)銀行的風險管理過程，能夠集中精力在相關(guān)領域中。
　　《指引》確定了九大管理領域，即：信息科技治理；信息科技風險管理；信息安全；信息系統(tǒng)開發(fā)、測試和維護；信息科技運行；業(yè)務連續(xù)性管理；外包；內(nèi)部審計；外部審計。這些領域覆蓋了信息科技管理的大多數(shù)重要活動，這些活動中存在的風險，可能會對業(yè)務產(chǎn)生重大影響，因此對這些領域的風險識別和管理，應當在信息科技風險管理中優(yōu)先對待。
　　在這九大領域中，IT審計占兩個，分別是內(nèi)部審計和外部審計。而《指引》本身，就是一個針對銀行的框架完整的IT審計標準，銀行可以參考這個標準，開展IT審計工作。
　　IT審計標準選擇
　　實踐中使用的標準遠不止上述兩個，而且，這兩個標準建立本身就參照了很多IT相關(guān)的較為成熟的標準。如，COBIT制定時參照的標準就有ISO系列的相關(guān)IT技術(shù)標準、審計行為準則等等；《指引》其中“信息安全”管理領域的內(nèi)容建立就是參照信息安全管理體系的國際標準ISO27001。
　　另外，由于信息科技的細分領域眾多，在進行某些細分領域的專項審計或單領域?qū)徲嫊r，可以考慮單獨使用某些國際或國內(nèi)標準作為審計標準，從而達到更深入和專業(yè)的目的。比如，在進行信息安全方面的審計時，可參考ISO27001等國際標準或國內(nèi)標準SSE-CMM；在審計IT運維、IT服務的交付和支持相關(guān)領域時，可以考慮采用ITIL作為審計標準；在審計IT內(nèi)部控制建設相關(guān)領域時，還可以采用COSO模型中的描述來比照評估。
　　銀行應當依據(jù)自身特點，結(jié)合本行信息科技工作的特點以及每次IT審計的目的和范圍，有選擇地采用審計標準，同時，根據(jù)本行信息科技工作的水平分階段地來實施標準中的要求。
　　銀行IT審計方法
　　為了提升IT審計工作的效率和效能，實現(xiàn)有效的風險管理，筆者認為商業(yè)銀行應當切實開展基于風險的IT審計工作。下面，筆者將介紹一個基于風險的銀行IT審計的典型工作方法。
　　一個基于風險的銀行IT審計工作可以分為六個步驟進行，包括制定審計目標、確定風險領域、制定審計計劃、設計審計程序、執(zhí)行審計計劃以及出具審計結(jié)果和管理建議（見圖2）。其中，“確定風險領域”和“設計審計程序”是最為關(guān)鍵的環(huán)節(jié)。
　　制定審計目標。銀行IT審計委員會確定項目所采用的方法論、框架體系和審計目標，并對審計范圍和資源配置進行說明，同時擬定最終的報告內(nèi)容范圍。
　　確定風險領域。IT審計人員根據(jù)銀行的信息系統(tǒng)現(xiàn)狀，結(jié)合銀行的戰(zhàn)略和業(yè)務目標，制定出適合的風險框架，包括風險等級的劃分標準以及風險評估模型等。審計人員從信息系統(tǒng)本身的脆弱性和其對業(yè)務目標實現(xiàn)的影響兩個維度出發(fā)，分析評估銀行各信息系統(tǒng)的風險現(xiàn)狀，從而篩選高風險的信息系統(tǒng)。篩選參考的分析因素和方法可參考圖3進行。
　　制定審計計劃。基于前一階段的風險評估結(jié)果和IT審計的關(guān)注領域，擬定以風險為導向的內(nèi)部審計計劃；內(nèi)部審計計劃在得到銀行管理層最終批準之后，確定各項審計任務所需的資源和具體執(zhí)行時間。
　　設計審計程序。對計劃進行IT審計的信息系統(tǒng)和其支持的業(yè)務流程進行詳細了解和記錄，編制風險和控制矩陣，并針對選定的信息系統(tǒng)和其支持的業(yè)務流程分別制定不同層面的審計程序。
　　目前銀行業(yè)IT審計比較典型的層面劃分如圖4所示：從上至下分為銀行管理層面IT控制、應用控制和面向計算機環(huán)境整體控制三層。具體各層面的審計內(nèi)容為：
　　銀行管理層面IT控制審計（ELC）：關(guān)注銀行的IT治理，合規(guī)、IT戰(zhàn)略和規(guī)劃。
　　應用控制審計（AC）：關(guān)注業(yè)務流程中內(nèi)嵌的信息系統(tǒng)相關(guān)控制，以保證信息處理的完整性、準確性、有效性和訪問控制。應用系統(tǒng)控制包括數(shù)據(jù)控制、業(yè)務流程控制、接口控制、系統(tǒng)外控制。
　　計算機環(huán)境整體控制（ITGC）：關(guān)注與IT相關(guān)的管理控制，包括IT運營、基礎設施和流程、信息安全、業(yè)務持續(xù)性管理和災難恢復、IT基礎設施等方面。
　　這三個層次的劃分將有助于審計人員從多個角度審視銀行的信息科技風險管理工作。
　　執(zhí)行審計計劃。IT審計人員將根據(jù)擬定的審計程序執(zhí)行現(xiàn)場審計工作，記錄測試結(jié)果，對測試結(jié)果進行復核和評估，并與相關(guān)人員溝通測試發(fā)現(xiàn)。在執(zhí)行過程中，審計人員可以通過佐證性詢問、現(xiàn)場觀察、文件檢查、重新執(zhí)行和計算機輔助審計技術(shù)等五種測試方法的一種或幾種對某項控制活動的運行有效性進行測試。
　　出具審計結(jié)果和管理建議。向銀行管理層匯報各項審計發(fā)現(xiàn)和風險分析結(jié)果，出具最終的內(nèi)部審計報告，并根據(jù)各項審計發(fā)現(xiàn)，提出合理的管理建議。
　　銀行業(yè)IT審計展望
　　以風險為導向的IT審計
　　在《指引》中，多次提到應基于風險評估結(jié)果指導IT審計活動。這反映了銀行業(yè)IT審計的發(fā)展導向：從原本以合規(guī)審計為主，逐步轉(zhuǎn)變?yōu)橐燥L險導向的審計方法；銀行IT審計職能和角色也在過去這些年發(fā)生了不少變化，從以合規(guī)審計為主的工作，逐漸變成了活躍的內(nèi)部或外部業(yè)務顧問。如前文所述，基于風險的銀行IT審計工作將成為銀行IT審計的主流工作方法。
　　計算機輔助審計技術(shù)（CAATs）的廣泛應用
　　計算機輔助審計技術(shù)是指審計人員在審計過程和審計管理活動中，以計算機為工具，來執(zhí)行和完成某些審計程序和任務。它本身并非IT審計師的專利，但筆者認為，它的深層次運用，對于IT審計，尤其是對于海量數(shù)據(jù)集中管控的銀行業(yè)的IT審計，有著更大的作用和待挖掘的潛力。
　　計算機輔助審計包含兩個層次的內(nèi)容：第一個層次是指在審計業(yè)務中利用電子表格、數(shù)據(jù)庫、字處理常規(guī)軟件中的一些功能，或?qū)徲嬋藛T自編的一些小程序，幫助審計人員計算、復算、復核、分析審計數(shù)據(jù)，主要目的是節(jié)約審計時間、提高效率、增加準確性、減輕勞動量。這一層次，當前的銀行業(yè)審計工作基本都已經(jīng)實現(xiàn)。
　　第二個層次是指利用專門的輔助審計軟件進行項目審計。這個層次也有兩種類型：一是主要用于審計情況匯總。在開展行業(yè)審計時，根據(jù)審計工作方案，編制專門的審計匯總軟件，自下而上，從審計底稿開始，對審計情況進行逐級匯總。好處在于能全面、準確匯總反映審計情況，防止錯漏和人為調(diào)整上報情況，便于統(tǒng)一定性、統(tǒng)一處理。二是主要用于協(xié)助審計人員對專門項目，用專門的審計方法進行比較全面、系統(tǒng)的審計。這主要需要通過編制審計程序或軟件來進行，并通過程序或軟件使一個持續(xù)的審計證據(jù)收集和審計活動成為可能。對于銀行業(yè)來說，實施成熟、適用的審計輔助軟件，也成為IT審計的一個發(fā)展方向。
　　數(shù)據(jù)分析（DA）將支持銀行的持續(xù)監(jiān)控與審計
　　數(shù)據(jù)分析指的是一整套技術(shù)、流程與應用工具，運用于持續(xù)探索與深入了解以往業(yè)務表現(xiàn)，以獲取信息并推進業(yè)務發(fā)展。其目的是通過廣泛地使用數(shù)據(jù)、統(tǒng)計與定量分析、解釋與預測模型，并通過基于事實的管理，推動整體決策。目前在制造業(yè)、通訊業(yè)和零售業(yè)等行業(yè)中被廣泛運用于分析和決策支持。
　　數(shù)據(jù)分析在IT審計中的應用，可以理解為計算機輔助審計的一個深層次應用，同時，它也為銀行業(yè)IT審計工作帶來了新的發(fā)展空間。
　　可以想象，基于數(shù)據(jù)分析，銀行針對如下風險實施持續(xù)監(jiān)控將成為可能：
　　存貸款利率設置不合理的情況
　　正常情況下計息結(jié)息計算錯誤的情況
　　利率或者利息稅調(diào)整時計息結(jié)息錯誤的情況
　　異常計結(jié)息，比如手工計結(jié)息的情況
　　長期不動戶違規(guī)處理
　　貸款未按規(guī)定進行組合撥備和個別撥備
　　存貸款分戶賬與總賬不平的情況
　　金融資產(chǎn)估值錯誤
　　攤余成本計算錯誤
　　票據(jù)貼現(xiàn)轉(zhuǎn)貼現(xiàn)會計核算錯誤
　　涉嫌洗錢的大額交易
　　投資交易違規(guī)
　　
　　因此，在IT審計工作中廣泛納入數(shù)據(jù)分析有助于銀行建立完善的信息化監(jiān)管體系，并可以幫助銀行準確定位那些在傳統(tǒng)IT審計工作中無法深入剖析的風險區(qū)域。
　　筆者對銀行業(yè)IT審計框架未來發(fā)展的展望如圖5。一方面，從內(nèi)控角度，一個基于風險的IT審計方法將覆蓋銀行管理層面IT控制、應用控制和計算機整體控制；另一方面，從數(shù)據(jù)角度，數(shù)據(jù)分析（DA）將成為未來支持銀行的持續(xù)監(jiān)控與審計的有力工具。
　　（作者系德勤華永會計師事務所合伙