本站原创近年来,银行业信息科技风险日益增大.通过有效的IT审计,强化信息科技风险管控,具有重要的现实意义.在监管部门的推动下,目前国内银行的IT审计取得了一定进展,但与国外先进银行相比,其规范体系、组织架构和方法论仍存在不小的差距,审计在信息科技内部控制中的作用亟待进一步发挥.
中外银行IT审计的差距
IT审计规范体系尚待建立健全.国外先进银行一般都建立了较为成熟的IT审计规范体系,而国内大多数银行尚处于学习和模仿阶段,其中部分大型银行初步建立了IT审计专业领域的制度和标准,如下表所示:
但是,绝大部分的中小银行和少部分大型银行仍未建立IT审计领域的规范体系,缺乏具体的IT审计指南.
IT审计组织架构尚不完善.国外先进银行大多拥有独立、集中、权威的内部监督体系,非常重视IT审计工作.据调查,IT审计的工作量往往能占全部内审工作的1/3.国内大型银行大多在总行内审部门下设置IT审计职能处室,一些中小银行在总行内审部门下设置IT审计岗位,大多数中小银行的IT审计意识较为薄弱,未成立IT审计部门,有的机构甚至完全未开展IT审计工作.
IT审计队伍不够充足.国外先进银行IT审计的人才比较充足,不少银行内部审计人员中IT审计人员占比达到20%以上.与国外相比,我国银行业IT审计人才仍较为缺乏,且人员素质有待提升.2011年信息科技非现场监管年报显示,全国各类银行中,IT内审人员总数接近800人,占所有内审人员的比例不到5%.
IT审计范围比较有限.国外先进银行几乎全部开展了一般控制(GCR)和应用控制(ACR)的全方位IT审计,还重视IT审计与业务审计结合起来的综合审计、对IT外包服务提供商的审计.国内银行大多只开展了一般控制审计,仅涵盖银监会《商业银行信息科技风险管理指引》中的有关领域,只有少数银行开展了IT与业务结合的综合审计.
IT审计方法比较简单.国外先进银行一般采用以风险为基础的审计方法,同时注重非现场审计,强调利用计算机手段与专业安全审计软件.而国内大多数银行只采取一些传统的审计方法.
IT外审开展不充分.国外先进银行开展IT外部审计比较常见,在新系统投产、IT事故的相关调查、银行内审部门尚无专业人员和资源、对外包服务提供商进行审计等情况下,会开展专项IT外审.相比而言,国内银行IT外审开展较少,一般将IT外审作为财务报表审计的一部分,于年度审计时进行,每年开展一次.
缺乏对IT外审的风险管控手段.国外先进银行的IT外审风险管控体系较为完善,分为事前预防、事中控制和事后监督三个方面.而国内银行大多缺乏IT外审风险管控手段.
强化银行业IT审计的政策建议
出台银行业金融机构IT审计指引.对IT审计规范体系、组织架构、审计队伍、审计范围、审计方法和手段、外部审计及其风险控制机制等方面做出具体规定.通过IT审计指引,督促银行建立和完善IT审计机制,推动银行重视并切实推进IT审计工作,同时为银行开展IT审计工作提供指导和依据.
在监管工作中加大对IT审计的关注.一是将IT审计与业务准入相结合.如银行在申请开展网上银行、手机银行等与IT风险密切相关的新业务时,要求银行提前开展内部专项审计或提请第三方开展IT外部审计.二是敦促银行加强应用控制审计,逐步开展IT绩效审计,重视IT审计与业务审计结合起来的综合审计,特别是加强对重要外包服务提供商的审计.三是在银行IT监管评级中,加大IT审计的权重,增强对银行IT审计的硬约束.建立常态化的监审联动工作机制.建立与银行IT内外审部门的定期沟通机制,及时了解银行IT风险情况,并结合银行内外部IT审计结果,合理安排有限的监管资源.
搭建银行业IT审计沟通交流平台.建立银行业IT审计的沟通机制,加强对IT审计标准和规范、审计方法和手段的学习研究,促进银行取长补短,提升银行业整体IT审计水平.