有关商业银行IT审计体系构建思考.docVIP

有关商业银行IT审计体系构建思考 　　中图分类号：F239.6 文献标识：A 文章编号：1009-4202（2011）03-207-02 　　摘 要 本文在分析商业银行实施信息技术审计的必要性的基础上，给出了信息技术审计的内涵，并结合笔者多年的银行信息技术审计工作的经验，提出了当前中国商业银行信息技术审计体系的框架，并对信息技术的一般控制审计及应用控制审计做了详尽阐述。 　　关键词 信息技术审计（ITA） 商业银行 审计体系 　　 　　在现代金融系统中，商业银行扮演着极其重要的角色，而中国的商业银行在中国的金融体系乃至国民建设中都发挥着举足轻重的作用。在信息技术高速发展的今天，几乎每一个银行业务的处理都离不开信息系统，因此对信息系统的高可用性、高安全性有着非常高的要求。同时信息技术的发展与应用已经决定着商业银行的业务发展方向、模式以及创新能力，直接形成银行的核心竞争力。银行IT建设已经成为银行在市场竞争中的一项关键资源，因此对银行IT的风险控制与管理已经非常的重要，对商业银行的信息技术审计（ITA）提出新的要求。 　　一、商业银行IT审计的必要性 　　（一）IT审计是商业银行信息技术应用的必然结果 　　商业银行从最开始手工账务处理，到今天的信息技术覆盖到银行的方方面面。针对国内商业银行，据相关的数据统计，硬件网络平台已经实现了100%的应用，软件应用已经覆盖了80%以上的商业银行业务。从传统的手工处理，到今天的网上银行、手机银行等，商业银行对信息系统依赖性的日益增强，犯罪分子利用网络对银行信息系统攻击和破坏是益增多，必须要求对商业银行的信息基础建设及信息系统进行审计。 　　（二）IT审计是商业银行IT风险控制的必然要求 　　当前银行信息系统所采用IT技术与信息系统软硬件本身存在着大量的脆弱性，如硬件故障、系统漏洞、意外灾祸都会造成银行系统不能正常工作。国外相关统计数据表明，一些银行系统失效的风险损失占到总风险损失的10%-20%。如2009年1月下旬，某银行综合业务系统发生故障，造成综合业务系统故障时间约11个小时，导致整个银行不能对外营业，客户服务中断达4个小时，这种系统带来风险不仅给银行带来经济上的损失，而且直接关系到银行的声誉风险。 　　（三）IT审计既是银行信息化建设的必然保障，也有利于商业银行业务运营风险的防范 　　由于我国商业银行IT建设的起步较晚基础薄弱，同时在IT建设之初又缺乏系统、统一的规划，致使我国商业银行信息系统的建设缺乏标准性、前瞻性、规划性，重复建设严重，数据不完整或难以统一，甚至系统建好后发现不能满足要求而闲置等垢病。IT审计可以从IT建设规划，IT组织架构等方面加以评价或监督，推动银行信息化建设环境的治理。另一方面，由于银行业务经营风险很大程度上已经转移到信息系统的风险控制上，因此需要对信息系统的有效性进行评价，包括信息资产的必威体育官网网址性、完整性和可用性。 　　（四）IT审计也是商业银行审计发展的必然要求 　　随着信息技术在银行的应用，银行不实行IT审计，审计的内容不全面，审计风险也无法控制。而我国绝大多数银行现在IT审计都处于摸索试验的阶段，IT审计的基础相当薄弱，有些银行对IT风险监管缺乏独立性、系统性、全面性，这些都要求银行加快IT审计的步伐。 　　二、商业银行IT审计的内涵 　　到目前为止，国际上对IT审计定义也未形成统一标准的概念。一般来说国外的IT审计始于20世纪60年代的美国，从其发展历程来看，大概经历了三个阶段。最初是电子数据处理（EDP）审计，满足对财务电算化系统进行审计的需要，然后经历了以信息系统审计（ISA）为中心审计阶段，到今天逐渐形成独立的信息技术审计（ITA）。 　　而国内IT审计起步比较晚，还处于探索阶段，大家的认识也不统一，观念上仍存在若干模糊概念。纵观我国商业银行IT审计发展历程及做的IT审计项目，有以下几个方面特点：其一，认为IT审计就是对信息系统的审计（ISA），即对“计算机化的系统进行审计”，其审计对象、审计范围都有其局限性。其二，认为IT审计是审计人员利用计算机对财务数据进行审计，或者是等同于审计信息化，即运用IT手段或审计工具辅助传统审计或对传统审计进行深化。其三，将IT审计定义为IT运营环境的风险控制，包括IT基础环境安全、网络安全、信息安全等内容。在当前形势下，必须对IT审计形成一个统一、规范的认识，这才有利于IT审计工作的开展和IT风险的防范，也将为 IT审计形成行业规范和建立准则奠定基础。 　　综合众多观点以及IT审计在我国的实施情况，笔者结合多年在商业银行IT审计经验，认为IT审计（Information Technology Audit，简称ITA）是根据公认的标准和指导规范，对企业的信息技术应用和全体信息资产