周云松

【摘要】本文从信息系统给银行业发展带来的机会和挑战入手，详细分析了树立合作伙伴关系的审计理念，跳出“唯技术论”和“无技术论”的审计误区，倡导全员参与的信息系统风险防范机制的信息系统审计基本思路，从事件推动建立内部控制体系，善于借助外力，抓住审计重点，完善例会制度等审计步骤总结了实际工作中开展信息系统审计的方法，是对审计实践的理论探讨和总结。文中最后引出了信息系统审计与信息科技风险审计关系及下一步研究重点。

【关键词】内部审计 内部控制 信息系统

一、引言

20世纪80年代后期开始的金融电子化浪潮到今天已经有30多年的时间。30多年来，从单一记账系统发展为以银行核心综合业务系统为核心，涵盖了渠道流程管理、产品管理与交付、客户价值管理、知识管理、风险与审计控制、全方位的银行IT体系，跨越了整个银行业务价值链；从单纯的集中式柜台交易录入到实现所有渠道的整合，集互联网、移动平台、自助服务为一体的综合渠道交付体系；从面向银行内部交易系统发展为面对客户、可订制的、结合各种渠道流程定义的客户服务交付平台。信息科技对银行业的发展功不可没、成绩斐然。可以说，没有IT，没有IT的支撑，就没有现代银行业。

但是，近年来，银行业信息科技安全事件频频发生，如某行因主机监控软件存在缺陷，导致业务交易阻塞，系统瘫痪近四个小时，所有营业网点无法正常开展业务；某行对计算机系统进行升级，但由于没有避开业务高峰期，导致个人业务系统运行不畅，业务办理速度缓慢，部分代理证券业务受阻，在持续五个半小时之后，系统才逐步恢复正常；某行股民保证金第三方存管系统出现故障，与券商的交易无法正常进行，事故持续了两个小时，在证券交易收盘后才恢复正常等等。这些安全事件对实施信息系统内部控制审计带来了巨大的挑战，一是银行业金融机构之间的差异性大，用一个标准衡量，既不利于大银行的信息安全保障，也不利于小机构的发展；二是我国银行业走向开放，越来越多地参与国际合作，面临越来越多来自资本市场、会计准则和信息披露要求等方面的严峻挑战；三是核心信息技术过度依赖国外产品；四是信息系统安全测评不到位；五是国内审计力量单薄；六是信息系统开发主要依靠外包，外包方有变数；七是银行业新资本协议的实施对系统产生的新要求。

结合在实际审计工作中，内部审计在实施信息系统内部控制审计时的一些做法，归纳总结出来以供与同行共同探讨。

二、实施信息系统内部控制审计的基本思路

（一）要树立合作伙伴关系的审计理念

树立合作伙伴关系的理念有助于减少审计阻力，以便顺利开展审计工作。城商行内部审计部门开展信息系统内部控制审计的目的是为了全面提升信息科技风险的管理水平，保障银行系统安全稳定运行，这点和信息技术部门的管理目标是一致的。在现场审计中，应善于适时传导合作伙伴关系的理念，以合作伙伴的身份与审计对象展开对话，从审计的视角去看待风险管理，始终围绕全面提升银行信息科技风险防控能力的目的来开展审计工作，与信息技术部门自身防范风险、稳健运行的渴求达成一致，这样审计工作才能开展得比较顺畅。在树立合作伙伴关系上，一是应利用各种场合（进场、离场会谈，平常访谈和日常交流等）传导审计理念，尽可能的获得支持和理解；二是在审计中应善于适时提出一些能提升银行管理能力、业务水平等相关的好的建议，这样更容易引起共鸣，得到认同；三是应善于发现科技工作的亮点和好的做法，并适时予以肯定。

（二）跳出“唯技术论”和“无技术论”的审计误区

信息系统审计是一项专业性很强的工作，它涉及信息科技技术的多个领域，它要求审计人员掌握一定的科技知识和操作经验。因此，很多监管工作者常常陷入“就技术论技术”的误区，经常与被审计机构纠缠于一些技术的细枝末节，如加密算法的安全性、程序代码的漏洞等，希望能通过技术手段找出风险点。然而与信息技术部门的IT人员比拼技术实非明智之举，因为现场检查工作没有足够的时间让审计人员去研究算法、查看源代码；更重要的是，在追逐技术方面的漏洞时会忽视管理方面存在的风险，这是一种舍本逐末的行为。俗话说：三分技术，七分管理。对于风险防控来说，管理是基础，技术是辅助，切不能本末倒置。

另一方面，部分審计人员认为信息系统审计可以完全不需要技术背景，只要有一套详细、完整、全面的检查手册就可以“一册在手，万事无忧”。这种观点也是不可取的，因为信息系统涵盖的范围太广，包括需求分析、项目管理、质量控制、系统测试等等，单单一本检查手册是根本不可能涵盖所有的检查细节。对于不同信息系统，现场情况千差万别，在现场检查中要具体问题具体分析，在检查方式方法上要不断求变求新。在面对一些疑点时，不仅要了解技术层面的基本原理，更要去深究技术背后对应的管理措施，要时刻保持一种高度的敏感性，面对一些类似的或存在关联的事件时，可以尝试将事件串联起来，透过独立的事件去看待整体，透过事件本身去关注管理，积极探寻、掌握证据，才有可能发现一些重大的风险问题。

（三）倡导全员参与的信息系统的风险防范机制

谈到信息系统风险，许多人都会觉得信息系统风险就是IT部门的事情，业务部门无需参与其中，然而事实却并非如此。一方面随着银行电子化的程度越来越高，业务部门对信息科技的依赖也越来越大，信息科技带来的风险也与日俱增。另一方面信息系统风险防范体系好比一个木桶，木桶中水位的高低不在于最长那块木板的高度，而在于最短那块木板的高度。而在实际工作中，正所谓“无知者无畏”，业务部门工作人员的一个简单操作就可能导致银行在整个安全体系建设方面的努力付之东流。

在防范信息系统风险时，眼睛不能只盯IT部门，要有全员参与的意识，把各部门都纳入全行整体的风险防范体系，找出其中的“短板”。一是要关注信息系统规划与业务规划的融合程度，业务部门对系统规划的关注和参与程度；二是系统建设过程中业务部门的参与程度，业务部门提出业务需求的合理程度；三是与银行整体业务连续性结合起来，关注银行整体业务连续性规划中业务部门的职责定位是否明确，业务部门在业务连续性规划的制定、演练以及实施过程中的是否切实履行自己的职责。

三、实施信息系统内部控制审计的基本步骤

（一）善于从业务部门和IT事件推动内部控制体系建设工作

一是业务部门推动，IT风险防控体系建设不仅仅是信息技术部门一个部门的事情，需要所有部门全员参与。一是通过对业务部门的访谈和实地检查，了解业务部门在重要业务系统使用和日常安全管理方面的情况，发现其管理方面存在的疏漏。二是要重点审计业务部门对敏感信息（如重要客户信息、资料等）的保护情况，让业务部门有所触动，增强其全员参与IT风险防范的意识。三是在问卷调查和现场访谈中将业务部门纳入其中，一方面能适时传导信息科技风险防范需全员参与的理念，另一方面也能将压力传导到业务部门，促使其积极主动去关注信息科技风险防控工作。三是事件推动，要善于将突发IT事件作为审计的突破口。既要关注在突发事件发生后处置过程，处置是否得当、及时；更要关注突发事件处置完之后，是否及时对事件的影响程度（特别是分支机构）进行了评估，是否对事件进行了总结，是否对事件处理流程进行了梳理和更新，是否对相关制度进行了完善，是否对相关信息系统或基础设施逐一进行排查。

（二）要善于借助外力并形成合力

一是要善于借助外力。借助监管部门的机构监管之力，检查之前要及时与监管部门沟通，了解其关注的重点，让监管部门了解审计的思路并提出改进意见；借助外部审计之力，每年的外部审计提出的管理建议书是一份非常好的材料，可以增强与外部审计的沟通，有效借助其在信息系统审计方面的资源。如某银行在2011年至2014年期间，外部审计机构提出了29信息技术方面的管理建议，从外部视角传递了在信息技术审计时应该关注的重点或是管理的薄弱环节。借助这些信息，内部审计在开展信息系统审计时，将大大提高针对性，有效配置审计资源，合理安排审计计划。

二是要善于形成合力。要上下联动，在对分支行的检查中，可组成一个检查小组与总行的检查组联合进场，以发挥各小组的优势，及时共享信息；加强与信息技术部门的联动，在现场审计之外，非现场监督和日常工作中，应注意收集相关的材料，提前了解与信息系统审计相关的事情。

（三）抓住审计重点，揭示主要风险，强化应急管理

一是抓住检查重点，揭示主要风险点，通过这些风险点揭示银行在管理层面上的问题和不足，以达到提升其整体风险管控能力的目的。二是强化应急管理，做到尽职免责。从客观上讲，很多IT风险点不在信息技术部主观能控制的范围之内，如非法施工导致通讯或电力中断，硬件故障，软件缺陷等，因此强化突发事件应急体系建设就显得尤为重要。在审计中要高度关注应急机制建设情况，一方面是关注应急预案的制定、应急演练的开展和总结及针对演练出现的问题对预案的修订等方面的情况；另一方面要重点关注在发生IT突发事件后，对事件的响应和处置是否得当、及时有效，是否对事件影响度进行评估，并根据实战情况对应急机制进行完善。

在具体的审计过程中，应该梳理出与信息系统审计相关的工作流程图，便于制订审计计划，安排审计时间和人员，主要从三个方面来考虑：

一是信息系统生命周期中的审计重点有：

开发阶段：管理架构、制度建设、项目控制、操作风险、测试体系。

·测试上线：系统测试、系统验收、投产上线

·系统维护：制度建设、管理架构

·系统下线：系统下线

·二是信息系统运行过程中的审计重点有：

·管理制度：职责分离、值班制度、操作管理、人员管理

·访问控制：物理访问、逻辑访问、账号权限、终端管理、远程接入

·日志检查：日志保护、操作日志、错误日志

·事件管理：报告流程、台账管理、升级管理、问题处置、变更流程、变更评估、变更授权、变更执行、紧急变更

·档案管理：管理体系、文档保护、文档备份、文档销毁

·三是信息系统的连续性管理的审计重点有：

·组织建立：組织职责、应急管理团队、应急管理制度

·预案制订：预案内容、预案更新、外包应急、预案培训

·后勤保障：人员保障、物质保障、技术保障、沟通保障

·响应流程：全程记录、事件报告、通报制度、处置总结

·后续管理：事件评估、响应评估、管理改进

（四）完善的例会制度保障了现场审计的质量

在现场审计过程中，应坚持每日开例会的制度。每天抽出固定时间，审计组所有成员聚在一起，首先分别介绍当日的工作情况，重点介绍审计中发现的问题；然后大家针对这些问题进行讨论，决定是继续追查下去还是到此为止；最后确定明日的工作任务和重点。每日例会制度不仅保障了检查的进度，而且集思广益，提高了对发现问题定性的准确度。

四、结束语

信息系统内部控制审计是信息科技风险审计的重要组成部分，在实际的审计过程中很难简单地独立出来，只有把信息系统审计放在信息科技风险审计之中，充分发挥全局意识才能真正做好风险防范。因此，只是防范信息系统风险是远远不够的，更重要的是在做好防范信息系统风险的同时做好信息科技风险的防范，发挥信息科技是生产力的作用，用先进的信息技术来防范银行业金融机构的总体风险，提高内控水平，实现创新和核心竞争力的提升。除此之外，内部审计人员还要以开放的姿态不断地学习信息科技风险管理的先进经验，加大创新步伐，形成学习、实践、创新和超越的不断循环发展。

参考文献

[1]审计署计算机审计实务公告第34号，关于印发《信息系统审计指南》的通知.

[2]董大胜，审计技术方法[M]，北京：中国时代经济出版社，2004.1.

[3]信息系统审计编写组，信息系统审计[M]，北京：中国时代经济出版社，2014.2.