中小銀行信息科技審計體系探討

馮一娜

摘要：長期以來，由于專業(yè)人才匱乏、資源投入不足等諸多原因，中小銀行在信息科技審計體系建設(shè)上效果并不理想，存在實質(zhì)性審查和控制措施落地的不少短板。本文結(jié)合某區(qū)域性中小銀行信息科技風險“三道防線”中的信息科技審計實務(wù)，探討信息科技審計體系建設(shè)，為致力于加強該項工作的中小銀行提供參考。

關(guān)鍵詞：信息科技審計;信息科技風險;“三道防線”

一、IT治理架構(gòu)中的信息科技審計

按照中國銀監(jiān)會《銀行業(yè)金融機構(gòu)內(nèi)部審計指引》（簡稱《審計指引》）、《風險管理指引》要求，商業(yè)銀行IT治理架構(gòu)應(yīng)在董事會下設(shè)審計委員會，建立單獨的內(nèi)部審計部門并在該部門行下設(shè)信息科技風險審計崗位“負責信息科技審計制度和流程的實施，制訂和執(zhí)行信息科技審計計劃，對信息科技整個生命周期和重大事件等進行審計”。

對于區(qū)域性中小銀行，除建立審計委員會以外，通常在內(nèi)部審計部門設(shè)置信息科技審計科室。信息科技審計科室工作不應(yīng)受到阻礙，內(nèi)部審計部門各業(yè)務(wù)科室和銀行業(yè)務(wù)部門、分支機構(gòu)應(yīng)為信息科技審計管理工作提供支持，必要時該科室可通過內(nèi)部審計部門向?qū)徲嬑瘑T會申請，在銀行領(lǐng)導的授權(quán)下調(diào)動全行人力、物力、財力資源，對全行分配相關(guān)工作任務(wù)并跟蹤、匯報工作進展。

二、信息科技審計管理機制

（一）縱向機制。主要包括合規(guī)管理、信息安全保障和連續(xù)性管理三大機制：合規(guī)管理機制對信息科技工作符合相關(guān)法律、法規(guī)和監(jiān)管指引、規(guī)范要求等進行審計;信息安全保障機制對信息系統(tǒng)的整個生命周期的各個關(guān)鍵環(huán)節(jié)進行審計;業(yè)務(wù)連續(xù)性管理機制：對業(yè)務(wù)連續(xù)性關(guān)鍵指標分析、業(yè)務(wù)連續(xù)性計劃和實施指導等進行審計。

（二）橫向機制。橫向方面，信息科技審計科室與監(jiān)管單位、行內(nèi)相關(guān)部門、部門內(nèi)各業(yè)務(wù)科室有密切的聯(lián)系，主要機制包括對監(jiān)管單位的報告機制;與行內(nèi)相關(guān)部門的定期溝通機制、協(xié)同機制;對內(nèi)部審計部門各業(yè)務(wù)科室的風險監(jiān)控、咨詢、協(xié)同機制和對部門領(lǐng)導的報告機制;與合作單位的溝通機制。

（三）對外機制。對外方面，信息科技審計管理機制包括對監(jiān)管單位、政府部門的溝通、報告機制;與合作單位的溝通機制。

（四）對內(nèi)機制。對內(nèi)方面，信息科技審計管理機制包括科室內(nèi)部報告考核機制、考核和激勵機制;對內(nèi)部審計部門領(lǐng)導的報告機制;與科技信息部門、風險管理部門、合規(guī)管理部門的定期溝通機制、協(xié)同機制;對內(nèi)部審計部門各業(yè)務(wù)科室的內(nèi)部控制、風險監(jiān)控、咨詢、協(xié)同機制等。

以某區(qū)域性中小銀行為例，該行信息科技審計科室重點審計信息科技合規(guī)、業(yè)務(wù)連續(xù)性、信息安全保障，直接向內(nèi)部審計部門負責人匯報工作，通過內(nèi)部審計部門向行內(nèi)董事會下設(shè)的審計委員會報告工作;對外通過內(nèi)部審計部門與屬地銀監(jiān)部門的審計處室、信息科技監(jiān)管處室、人民銀行屬地分行信息科技處室建立了報告機制;對行內(nèi)信息科技部門信息安全科室、風險管理部門信息科技風險管理科室建立了直接溝通機制，定期參加信息科技風險“三道防線”工作會議;對行內(nèi)運營管理部門、會計結(jié)算部門、電子銀行部門、互金業(yè)務(wù)部門、個金業(yè)務(wù)部門、公司業(yè)務(wù)部門、投資銀行部門、金融市場部門等主要業(yè)務(wù)部門通過內(nèi)部審計部門建立了橫向溝通機制。

三、信息科技審計的主要領(lǐng)域

（一）IT治理。包括對IT與業(yè)務(wù)融合（IT滿足業(yè)務(wù)需求、引領(lǐng)業(yè)務(wù)發(fā)展的實際情況開展）的審計，對IT投資管理（IT投資符合企業(yè)的投資回報預(yù)期）的審計，對IT決策機制（IT決策流程、參與決策的各角色、決策執(zhí)行過程）的審計，對IT規(guī)劃與架構(gòu)（IT規(guī)劃與架構(gòu)的設(shè)計能否滿足業(yè)務(wù)發(fā)展需要和IT治理需要）的審計，對IT組織架構(gòu)與職責分離的審計;

（二）信息科技風險管理。審計要點包括信息科技風險識別與評估范圍、風險量化模型、風險偏好、風險處置策略、風險監(jiān)測體系、風險信息溝通機制;

（三）IT基礎(chǔ)架構(gòu)。包括對機房、主機、網(wǎng)絡(luò)設(shè)備、終端設(shè)備、數(shù)據(jù)庫、中間件、云計算環(huán)境等基礎(chǔ)設(shè)施及架構(gòu)的審計。機房審計要點包括供電、供水、防水、防火、防雷、制冷、承重等方面是否符合機房相關(guān)規(guī)范要求，網(wǎng)絡(luò)設(shè)備審計要點包括網(wǎng)路拓撲、地址分配規(guī)則、網(wǎng)絡(luò)分級分層、網(wǎng)絡(luò)分區(qū)、防火墻和物理隔離策略是否符合全行業(yè)務(wù)和安全策略，主機、終端、數(shù)據(jù)庫審計要點包括密碼策略、日志保護、開放的端口和服務(wù)、安全漏洞等，云計算環(huán)境審計要點包括用戶隔離措施、賬戶與權(quán)限管理、數(shù)據(jù)丟失與泄露、發(fā)布管理流程、公有云的跨境法律要求、退出流程等;

（四）信息安全。審計要點包括組織架構(gòu)、制度、流程、體系，邏輯訪問審計要點包括系統(tǒng)安全配置、網(wǎng)絡(luò)安全設(shè)置、特權(quán)用戶權(quán)限、訪問控制等，網(wǎng)絡(luò)安全審計要點包括內(nèi)網(wǎng)安全、外網(wǎng)接入、網(wǎng)絡(luò)隔離等方面，數(shù)據(jù)泄露審計要點包括靜態(tài)數(shù)據(jù)、移動中的數(shù)據(jù)、使用中的數(shù)據(jù)、工作流管理、備份與還原等;

（五）應(yīng)用系統(tǒng)開發(fā)投產(chǎn)。審計要點包括對應(yīng)用系統(tǒng)開發(fā)方法、開發(fā)流程、開發(fā)過程、項目管理的審計，對應(yīng)用系統(tǒng)開發(fā)項目的開發(fā)、測試、項目管理文檔的齊備性、規(guī)范性進行審計，對應(yīng)用系統(tǒng)開發(fā)項目的設(shè)計安全、編碼安全、數(shù)據(jù)安全、應(yīng)用安全進行審計等;

四、結(jié)語

銀行業(yè)數(shù)字化轉(zhuǎn)型帶來的挑戰(zhàn)與機遇并存，隨著以云計算、大數(shù)據(jù)、人工智能為代表的新興信息技術(shù)在金融行業(yè)的普及應(yīng)用，中小銀行面臨的風險日益復雜。在信息科技審計資源配置上中小銀行與大型金融機構(gòu)相比存在天然短板，既要在體系構(gòu)建上全面覆蓋，又要在重點風險領(lǐng)域多方突破、有所創(chuàng)新，同時降低審計工作本身引入的風險，有效整合內(nèi)外部審計資源，以全新的思維理念、靈活的機制、先進的方法提升工作能效，快速識別和有效應(yīng)對的各種新型信息科技風險，才能充分體現(xiàn)出審計在中小銀行信息科技風險防控中的價值和作用。

參考文獻：

[1]孫曉，馬鵬飛.人民銀行信息技術(shù)應(yīng)用的風險管理研究——基于審計視角的分析[J].金融會計，2011（12）：30-32.

[2]闞京華.信息技術(shù)環(huán)境下連續(xù)審計技術(shù)實現(xiàn)模型分析比較[J].科技管理研究，2009（10）：285-287.