IT审计:与国际接轨在规范中发展
上海浦东发展银行IT审计是商业银行内部稽核中的新内容,随着计算机信息系统已成为银行经营和管理的平台以及数据大集中的实现,商业银行对信息系统的依赖性越来越强,也带来巨大的IT风险。正因如此,IT审计工作已引起上海浦东发展银行高度重视,并在“做国际上较好商业银行”战略的指引下,与国际接轨,在规范中逐步发展。IT审计工作开展情况上海浦东发展银行IT审计工作将国际理念与本行实际相结合,以规范先行为指引,以学习实践为手段,在制度、标准、流程和实施方面取得了一定经验。
一、整章建制,构建IT审计制度框架体系。设立IT审计专业岗位后,通过两年多的努力,已建立起一套40万字的IT审计《基本准则》、《具体准则》、《IT审计手册》和《IT审计文档模板》,并在制度建设中力争做到三方面结合。一般性与特殊性结合。IT审计作为银行内部审计工作的重要组成部分,既有内部审计的一般性,又有其特殊性。一方面,IT审计要遵循内部审计的职业道德、基本准则和具体准则;另一方面,IT审计的专业性和高风险性又需要特定的制度去约束和规范。已制定的IT审计制度体系包含四项内容:职业道德、基本准则、具体准则和审计手册,其中后三项构成面向实务的规范性文件。专业性与可操作性结合。IT审计的规范与流程不仅是专业人员所必须的,对一般的业务审计人员也有着积极的指导和借鉴意义。从这个角度出发,浦发银行在制度建设中面向一般审计人员,如在IT审计手册中提供了二十三项关于问卷调查、现场检查、底稿制作和报告撰写的模板,使审计人员可在短期内通过手册指引迅速投入到具体的业务实施中。及时性与前瞻性结合。有效提升IT审计的广度与深度,有效降低风险隐患,是当前制度建设的主要目标。同时,制度建设也应具备一定的前瞻性,通过将国际标准与商业银行审计实践融合,促进工作质量的提高;通过基于风险审计理念的贯彻与循序渐进的知识转移,促进审计人员职业素养的提高。
二、接轨国际,探索IT审计的标准与流程。IT审计必须符合科学、独立、审慎的精神。浦发银行确立了从战略高度关注信息系统治理机制与体系架构的立足点,从国际视野探索适合中国商业银行实际的标准与流程。经过反复论证和学习实践,采用了两个标准。首先采用BS7799/ISO17799作为划分信息资产的标准。BS7799/ISO17799包含10大类资产,127个控制点。浦发银行结合自身实际,把银行信息资产划分为9个方面,81个控制点。其次采用国际信息系统审计与控制协会(ISACA)标准作为开展具体IT审计业务的流程参考,在工作中借鉴国际化的标准流程实施审计,使审计人员能够更加客观和全面地掌握信息系统的风险状况。
三、不断实践,分布实施IT审计具体业务。浦发银行IT审计从一开始就采用基于风险的审计方法和技术,其内涵包括识别信息系统风险、确定风险影响、实施风险评估和开展现场检查等。在人员组织上,通过建立客座审计机制将信息科技专业人员纳入审计组实施现场检查;在审计手段上,采用资料审阅、人员访谈、日志读取、现场观察等方法,注重过程的规范性;在借助外力上,引入安全评估专家,采用漏洞扫描、日志分析等技术辅助审计,获得了第一手资料。两年来,浦发银行完成了对总行层面和全国三分之一分行的IT现场检查,初步掌握了全行信息系统风险状况。IT审计工作面临的问题鉴于IT审计在国内商业银行起步较晚,加上其专业性较强,技术发展较快,给具体工作开展带来一定困难:可供借鉴的成熟经验不多。国外在IT审计方面开展较早,积累经验较多,制定的标准也较规范;反观国内,由于IT审计处于起步阶段,没有较多现成的案例和资料可供借鉴,只能通过自身摸索与反复实践。应用系统项目审计难度较大。随着商业银行应用系统的开发上线不断增多,IT审计工作很大一部分内容是对应用系统开展项目审计。但是项目开发周期过长,数量较多,技术较复杂,IT审计人员如何利用有限资源实施审计也是当前面临的迫切问题。IT审计人员数量不足。目前虽已初步建立了一支专业化的IT审计队伍,但IT审计人员占比仅为6%,而花旗银行占比已超过20%.
IT审计工作的展望为实现“做国际上较好的商业银行”的战略目标,迎接银行业对外开放带来的挑战,抓住与战略伙伴花旗银行合作的机遇,浦发银行未来IT审计工作将重点建设以下四个方面:一支高素质的IT审计队伍。充实队伍,鼓励IT审计人员根据岗位需要参加注册内部审计师(CIA)、注册信息系统审计师(CISA)、注册会计师(CPA)等资格考试,计划三年内持证比例达到30%,建立内部持证上岗制度,强化岗位资格培训与后续教育。一套高标准的IT审计规范。依照监管部门要求,以规范化为基础,借鉴ISACA指引、COBIT、BS7799、COSO等相关标准,不断完善IT审计职业伦理、基本准则、具体准则和审计手册。一套高度规范的IT审计工作流程。建立一套标准化、可追朔、不断更新的工作流程,强化管理,保证质量,有效降低风险。一个高起点的审计管理信息系统。
建立一套高效的审计辅助管理信息系统,为IT审计及业务审计提供强有力的数据分析挖掘、数据展现、预警提示及信息管理职能,为非现场和现场审计提供一体化支持。综上,浦发银行的信息系统审计仍处在起步阶段,还需要吸收借鉴国内外同行的经验,从制度和软环境建设、审计信息系统建设、队伍建设等方面逐步完善和提高。
