第7章 如何做好银行业IT审计

朱 磊 合伙人曹经理德勤上海事务所企业风险管理服务

近年来，因银行业务流程对信息系统的依赖程度日益加大，使得信息系统的固有风险随着系统的复杂化而不断增加，高度集中化的银行信息化管理也面临着更加严峻的考验。因此，作为商业银行信息科技风险管理的第三道防线——信息系统审计（简称“IT审计”）在银行内部控制建设过程中扮演了更为重要的角色。

一、银行IT审计的意义

目前，信息系统的正常运行已经成为银行业务正常运营的最基本条件之一。信息科技在有力提升银行核心竞争力的同时，其风险也愈发突出和集中。信息科技风险控制已成为银行业风险管理的重要内容，而IT审计作为银行业风险管理体系的重要组成部分，其重要性和必要性已经日益得到银行业管理层的关注。同时，国家相关部门对信息系统的管控也越来越重视，自2006年8月发布《银行业金融机构信息系统风险管理指引》开始，银监会正式对银行科技风险进行监管，近年来推出一系列制度和措施，监管工作逐步走向规范化。通过IT审计来保证和监控全行的信息科技管控对各级监管政策法规的合规性，也成为银行业实施IT审计的重要目的之一。

因此，银行业加强和规范IT审计，既是自身发展和获取竞争优势的内在需要，也是监管当局的外部要求。

二、银行IT审计的标准

准确地运用标准和参照，是顺利开展IT审计工作的重要前提之一。

(一) COBIT

COBIT (Control Objectives for Information and related Technology) 是由信息系统审计与控制基金会最早在1996年制定的IT治理模型。这是一个国际上公认的、权威的安全与信息技术管理和控制的标准，也是目前国际上通用的信息系统审计的标准之一。COBIT是一个基于控制的IT治理模型，其制定的宗旨是跨越业务控制和IT控制之间的鸿沟，从而建立一个面向业务目标的IT控制框架。

COBIT本身并非针对IT审计的专门论述，其面向的使用者可以是企业中想通过改善IT过程实现经营目标的管理者，也可以是业务过程的所有者，即用户，也可以为IT审计师。它在商业风险、控制需要和技术问题之间架起了一座桥梁，以满足管理的多方面需要。在最新的COBIT5.0版本中，COBIT已经被称作“一个治理和管理企业IT的业务框架”。

COBIT4.1版本中经典的体系框架一直为众多使用者参考使用，它包括了实施简介、实施工具集、高层控制目标框架、管理指南、具体控制目标、审计指南等一系列文档。管理指南为每个过程提供了关键成功因素、关键目标指标和关键绩效指标等，并根据这些指标对每个过程进行了成熟度模型的划分；而审计指南，则就审计的控制目标、调查对象、需要掌握的证据及如何进行测试和评估做出了详细的说明。

COBIT4.1版本中的流程参考模型将所有与信息系统相关的活动进行了划分，主要包括34个流程，分属4个域。而COBIT5.0的参考模型涵盖了治理和管理流程的完整集合，共分为37个流程。COBIT5.0流程参考模型是COBIT4.1流程参考模型的继承者，同时也融合了风险IT、价值IT流程模型。COBIT的广泛通用性也造就了它在应用上的弱点和难点，即COBIT中对相关流程和控制目标的描述过于笼统普适，需要使用者结合企业的实际情况和专业经验进行较大的定制化方可实施。

因此，COBIT模型的最大作用是将IT过程、IT资源与企业的策略和目标联系了起来，保障了企业的IT战略目标和其业务发展目标的一致性，也在IT管理层、IT技术人员/用户和IT审计师之间搭建了桥梁。

(二) 《商业银行信息科技风险管理指引》

近年来，银监会信用风险、商业风险和操作风险管理指引的发布，以及《巴塞尔协议II》在银行业内的逐步实施，推动了银行内部风险管理机制的建立和健全。但是，在全面风险管理的框架下，目前银行的信息科技风险管理机制滞后于业务风险管理体系的发展，并未建立体系化的风险管控机制，成为了银行风险管理体系中的短板。这主要体现在，信息科技风险治理组织不健全、风险管理制度不完善、风险处理过程规划依据不充分以及风险监控指标不明确等方面。

2009年发布的《商业银行信息科技风险管理指引》(以下简称《指引》)，定义了商业银行信息科技风险的总体框架，即在当前商业银行普遍的信息科技现状下，可能存在的重大信息科技风险的范围，使商业银行的风险管理过程，能够集中精力在相关领域中。

《指引》确定了九大管理领域，即信息科技治理；信息科技风险管理；信息安全；信息系统开发、测试和维护；信息科技运行；业务连续性管理；外包；内部审计；外部审计。这些领域覆盖了信息科技管理的大多数重要活动，这些活动中存在的风险可能会对业务产生重大影响，因此对这些领域的风险识别和管理，应当在信息科技风险管理中优先对待。

在这九大领域中，IT审计占两个，分别是内部审计和外部审计。而《指引》本身，就是一个针对银行的框架完整的IT审计标准，银行可以参考这个标准，开展IT审计工作。

(三) IT审计标准的选择

实践中使用的标准远不止上述两个，而且，这两个标准的建立本身就参照了很多IT相关的较为成熟的标准。如，COBIT制定时参照的标准就有ISO系列的相关IT技术标准、审计行为准则等；《指引》中信息安全管理领域的内容建立参照了信息安全管理体系的国际标准ISO27001。

另外，由于信息科技的细分领域众多，在进行某些细分领域的专项审计或单领域审计时，可以考虑单独使用某些国际或国内标准作为审计标准，从而达到更深入和专业的目的。比如，在进行信息安全方面的审计时，可参考ISO27001等国际标准或国内标准SSE-CMM；在审计IT运维、IT服务的交付和支持相关领域时，可以考虑采用ITIL作为审计标准；在审计IT内部控制建设相关领域时，还可以采用COSO模型中的描述来比照评估。

银行应当依据自身特点，结合本行信息科技工作的特点以及每次IT审计的目的和范围，有选择地采用审计标准。同时，根据本行信息科技工作的水平分阶段地来实施标准中的要求。

三、银行IT审计方法

为了提升IT审计工作的效率和效能，实现有效的风险管理，笔者认为商业银行应当切实开展基于风险的IT审计工作。下面，笔者将介绍一个基于风险的银行IT审计的典型工作方法。

基于风险的银行IT审计工作可以分为6个步骤进行，包括制定审计目标、确定风险领域、制定审计计划、设计审计程序、执行审计计划以及出具审计结果和管理建议（见图8）。其中，“确定风险领域”和“设计审计程序”是最为关键的环节。

(1) 制定审计目标。银行IT审计委员会确定项目所采用的方法论、框架体系和审计目标，并对审计范围和资源配置进行说明，同时拟定最终的报告内容范围。

(2) 确定风险领域。IT审计人员根据银行的信息系统现状，结合银行的战略和业务目标，制定出适合的风险框架，包括风险等级的划分标准以及风险评估模型等。审计人员从信息系统本身的脆弱性和其对业务目标实现的影响两个维度出发，分析评估银行各信息系统的风险现状，从而筛选高风险的信息系统。筛选参考的分析因素和方法可参考图9进行。

(3) 制定审计计划。基于前一阶段的风险评估结果和IT审计的关注领域，拟定以风险为导向的内部审计计划；内部审计计划在得到银行管理层最终批准之后，确定各项审计任务所需的资源和具体执行时间。

(4) 设计审计程序。对计划进行IT审计的信息系统和其支持的业务流程进行详细了解和记录，编制风险和控制矩阵，并针对选定的信息系统和其支持的业务流程分别制定不同层面的审计程序。

目前银行业IT审计比较典型的层面划分：从上至下分为银行管理层面IT控制、应用控制和面向计算机环境整体控制三层。具体各层面的审计内容为：

银行管理层面IT控制审计（ELC）：关注银行的IT治理、合规、IT战略和规划。

应用控制审计（AC）：关注业务流程中内嵌的信息系统相关控制，以保证信息处理的完整性、准确性、有效性和访问控制。应用系统控制包括数据控制、业务流程控制、接口控制、系统外控制。

计算机环境整体控制（ITGC）：关注与IT相关的管理控制，包括IT运营、基础设施和流程、信息安全、业务持续性管理和灾难恢复、IT基础设施等方面。

这三个层次的划分将有助于审计人员从多个角度审视银行的信息科技风险管理工作。

(5) 执行审计计划。IT审计人员将根据拟定的审计程序执行现场审计工作，记录测试结果，对测试结果进行复核和评估，并与相关人员沟通测试发现。在执行过程中，审计人员可以通过佐证性询问、现场观察、文件检查、重新执行和计算机辅助审计技术等五种测试方法中的一种或几种对某项控制活动的运行有效性进行测试。

(6) 出具审计结果和管理建议。向银行管理层汇报各项审计发现和风险分析结果，出具最终的内部审计报告，并根据各项审计发现，提出合理的管理建议。

四、银行业IT审计展望

(一) 以风险为导向的IT审计

在《指引》中，多次提到应基于风险评估结果指导IT审计活动。这反映了银行业IT审计的发展导向：从原本以合规审计为主，逐步转变为以风险导向的审计方法；银行IT审计的职能和角色也在过去这些年发生了不少变化，从以合规审计为主的工作，逐渐变成了活跃的内部或外部业务顾问。如前文所述，基于风险的银行IT审计工作将成为银行IT审计的主流工作方法。

(二) 计算机辅助审计技术（CAATs）的广泛应用

计算机辅助审计技术是指审计人员在审计过程和审计管理活动中，以计算机为工具，来执行和完成某些审计程序和任务。它本身并非IT审计师的专利，但笔者认为，它的深层次运用，对于IT审计，尤其是对于海量数据集中管控的银行业的IT审计，有着更大的作用和待挖掘的潜力。

计算机辅助审计包含两个层次的内容：第一个层次是指在审计业务中利用电子表格、数据库、文字处理常规软件中的一些功能，或审计人员自编的一些小程序，帮助审计人员计算、复算、复核、分析审计数据，主要目的是节约审计时间、提高效率、增加准确性、减轻劳动量。这一层次，当前的银行业审计工作基本都已经实现。

第二个层次是指利用专门的辅助审计软件进行项目审计。这个层次也有两种类型：一是主要用于审计情况汇总。在开展行业审计时，根据审计工作方案，编制专门的审计汇总软件，自下而上，从审计底稿开始，对审计情况进行逐级汇总。好处在于能全面、准确汇总并反映审计情况，防止错漏和人为调整上报情况，便于统一定性、统一处理。二是主要用于协助审计人员对专门项目，用专门的审计方法进行比较全面、系统的审计。这主要需要通过编制审计程序或软件来进行，并通过程序或软件使一个持续的审计证据收集和审计活动成为可能。对于银行业来说，实施成熟、适用的审计辅助软件，也成为IT审计的一个发展方向。

(三) 数据分析（DA）将支持银行的持续监控与审计

数据分析指的是一整套技术、流程与应用工具，被运用于持续探索与深入了解以往的业务表现，以获取信息并推进业务发展。其目的是通过广泛地使用数据、统计与定量分析、解释与预测模型，并通过基于事实的管理，推动整体决策。目前在制造业、通信业和零售业等行业中此方法被广泛运用于分析和决策支持。

数据分析在IT审计中的应用，可以理解为计算机辅助审计的一个深层次应用，同时，它也为银行业IT审计工作带来了新的发展空间。

可以想象，基于数据分析，银行针对如下风险实施持续监控将成为可能：

存贷款利率设置不合理的情况。

正常情况下计息结息计算错误的情况。

利率或者利息税调整时计息结息错误的情况。

异常计结息，比如手工计结息的情况

长期不动户违规处理。

贷款未按规定进行组合拨备和个别拨备。

存贷款分户账与总账不平的情况。

金融资产估值错误。

摊余成本计算错误。

票据贴现转贴现会计核算错误。

涉嫌洗钱的大额交易。

投资交易违规。

因此，在IT审计工作中广泛纳入数据分析有助于银行建立完善的信息化监管体系，并可以帮助银行准确定位那些在传统IT审计工作中无法深入剖析的风险区域。

笔者对银行业IT审计框架未来发展的展望。一方面，从内控角度，一个基于风险的IT审计方法将覆盖银行管理层面IT控制、应用控制和计算机整体控制；另一方面，从数据角度，数据分析（DA）将成为未来支持银行的持续监控与审计的有力工具。

注：本文已发表在2012年8月份的《银行家》杂志。