摘要:IT审计可以实现对业务系统控制的再控制, 主动识别风险并分析产生的原因, 从而有效地控制商业银行业务运行以及经营过程中的各类风险。本文拟通过对IT审计和审计风险的探讨, 对中小商业银行的IT审计现状进行分析, 阐述江阴农商银行基于风险控制的IT审计的理念及方法, 并在此基础上, 以变更管理为例, 列举部分风险控制矩阵。
关键词:IT审计,信息科技,风险控制,变更管理
一、引言
改革开放推动了中国金融业的快速发展, 信息技术被广泛应用于商业银行经营的各个方面, 并成为商业银行经营战略必须考虑的重要因素, 伴随而来的是商业银行对信息系统依赖性的不断增强。作为科技应用型人员, 发现信息系统在为商业银行提供便利、满足各种功能和服务需求、带来效益的同时, 相关风险和安全隐患也在不断增加。
近年来, 银行业信息科技安全事件频发。例如2011年4月12日, 某银行由于网络瘫痪, 导致无法办理现金业务;2014年6月24日, 某农商行机房发生线路电气故障, 导致火灾, 机房内部分设备受损;2015年5月8日, 某城商行核心数据库宕机, 造成该行柜面和渠道业务长时间中断。
以上案件充分暴露出我国一些商业银行信息科技管理方面存在的诸多问题以及信息系统本身的脆弱性, 信息系统的安全稳定运行对商业银行至关重要。当系统发生故障、错误而丧失其有效功能时, 银行日常的业务必定会受到重大影响, 进而引发一系列重大问题或风险, 如银行的财产损失、客户的经济损失以及不良声誉风险等。
因此, 有必要引进发达国家已经比较成熟的理念———IT审计, 通过系统访问控制审计和系统运行控制审计等技术方法, 及早发现商业银行内控制度漏洞和管理存在的薄弱环节, 完善控制措施, 有效地识别和规避风险, 有效地对所依赖的信息和信息系统进行安全管理, 保障信息系统的安全稳定运行。同时, 通过审计可有目的性地加强对银行内控制度的监管, 从而提高信息技术服务支持的质量。本文结合中小商业银行目前信息科技审计的现状, 以IT风险控制目标为核心, 提出了实施风险控制审计的理念和步骤, 构建适用于江阴农商银行 (以下简称我行) 的IT审计框架及控制目标。
二、IT审计风险和重要性
审计风险可定义为:审计过程中未发现信息可能存在的重大错误的风险。如果可行, IT审计师也应当考虑组织相关的其他因素:客户数据、隐私、所提供服务的可用性, 企业和公众形象。IT审计风险主要包含固有风险、控制风险、检查风险和整体审计风险[1]。
(一) 固有风险
1. 固有风险的含义。
固有风险是指IT活动在缺乏控制的情况下从而导致重大错误的风险。
2. 常见的固有风险。
制度建设不足或缺失, 未制定与监管要求相适应的管理办法约束信息科技实施中的各种风险, 比如:开发、测试、投产、运维、存档等, 甚至靠员工的自律行为控制风险;
对所有业务是否通过系统进行刚性控制, 比如, 操作权限设置、登录密码长度及强度限制、秘钥使用管理、涉密人员管理等等;
监督检查频次不够, 对员工的违规行为未能产生震慑作用, 甚至处于审计的盲区;
员工技能与业务发展不匹配, 后期培训不足, 知识更新不够;
IT管理人员的管理水平或IT人员的技术水平达不到要求, 易出现管理和技术方面的错误;
计算机硬件故障或软件程序错误, 造成信息损坏或丢失, 导致数据在处理过程中发生偶发错误;
信息系统的高度集成, 导致系统的复杂性、依赖性和脆弱性, 并引发各种风险, 如数据容易被修改和盗取, 用磁介质存储数据, 其稳定性和安全性较差;
计算机病毒的侵害容易造成数据丢失。
(二) 控制风险
1. 控制风险的含义。
控制风险是指与IT活动相关的内部控制体系不能及时预防或检测出存在的重大错误的风险。
2. 常见的控制风险。
系统数据风险。数据在输入时缺乏严格的控制, 造成数据错误;数据存储高度集中, 缺乏严格的分级浏览控制;人工检查计算机日志风险很高, 大量的日志信息导致人工检查容易出错。
系统环境风险。包括软件环境风险和硬件环境风险。一方面是因为计算机信息系统的复杂性以及信息系统的网络化, 另一方面是因为计算机设备的多样化, 从而导致系统环境风险增大。
系统控制风险。是由于信息系统的内部控制不严密造成的风险, 如审批设置不合理、不相容岗位权限互通、特权用户擅用权限等。
(三) 检查风险
1. 检查风险的含义。
检查风险是指通过预定的审计程序未能发现重大、单个或与其他错误相结合的风险。
2. 常见的检查风险。
审计管理风险。由于IT审计管理制度不健全、不完善而导致的风险, 主要包括缺乏相关的IT审计操作规范, 导致审计人员各行其是。审计目标、内容和手段各不相同, 审计管理风险增大。
审计技术风险。指由于审计软件本身缺陷造成的风险, 主要包括计算机审计技术的开发和推广落后于信息技术的发展, 并且技术含量偏低;开发人员对审计业务不熟悉;没有经过相关部门鉴定, 导致审计软件运行有风险;审计软件与信息系统软件的接口不匹配, 导致数据不能导出等。
人员操作风险。指审计人员在对信息科技方面进行审计时, 由于知识不够或业务不熟, 不能有效识别其内部程序控制从而引发高风险。
(四) 总体审计风险
总体审计风险是指针对单个控制目标所产生的各类审计风险总和。良好的审计计划应尽可能评估和控制审计风险, 减少或控制所检查领域的审计风险, 例如采取宜适的审计工具, 在完成审计时把总体审计风险控制在相对低的水平之内, 以达到预期的水平。
“重要性”当与任何上述风险相结合时, 是指在问题程度上可被组织视为严重的错误。在规划被审计领域和审计任务中所需执行的具体测试时, 必须结合对审计风险的了解来考虑重要性。
对IT审计师而言, 确定重要性是比较困难的。例如:逻辑访问安全参数的设置允许程序员未经审批即可访问所有程序的源代码, 由于它对数据完整性和准确性潜在的普遍影响, 可以看作是重大错误;如果这种访问权限仅限于少数不重要的程序, 对审计师而言, 这种错误可以不看作是重大的。也就是说, 重要性应考虑对组织的整体潜在影响。
三、中小商业银行信息科技内部审计面临的困难
从“十二五”到现在的“十三五”时期, 中小商业银行经历着重大而深刻的变化, 在发展机遇的同时, 也面临着新的挑战。相对于大型国有银行, 中小银行的信息科技总体实力和建设水平还存在较大差距。随着信息系统规模和复杂度日益增加, 信息科技审计也面临着新的挑战, 内审部门应加大审计力度, 评估信息系统和内控机制的充分性和有效性, 提出整改意见并检查落实整改情况, 但仍存在诸多不利因素, 形成一定的困局、急需破解。
(一) IT审计人员不足, 独立性得不到保证
目前, 中小商业银行三道防线初建, 普遍有着IT审计岗位编制不足、IT审计人员专业技术能力不强等情况。以往多是针对业务的审计, 缺少对信息科技的审计, 更缺乏二者相结合的审计。信息科技内部审计力量的薄弱极大地制约了信息科技内部审计的有效性。
部分商业银行将IT审计的职责交给科技部门, 使得科技部门既是运动员, 又是裁判员, 审计的独立性得不到保证。
如果能够吸纳一些业务型、科技型结合的“复合型”人才加盟内部审计, 无疑将推动中小商业银行内审体系的建立和完善。同时, 各商业银行也应关注此方面人才的开发与培养。
(二) IT审计方法及规范缺乏
多数中小商业银行在IT审计时只是对标检查, 缺少有效可行的审计方法论, 对银行信息科技风险管理现状的认识和见解不足, 在IT审计过程中不知如何审、不知道审什么, 无法把握审计重点, 无法触及风险隐患, 从而很难发现存在的重大问题或缺陷。
(三) IT审计目的不明确
目前大部分中小银行的IT内部审计都是为了满足监管要求, 没有从行内业务驱动的角度出发, 缺少为“科技引领”提供保驾护航的认知和力度。
(四) IT审计手段落后
目前大部分审计部门没有专门的IT审计平台及工具, 对于较为重要的业务系统, 无法进行有关技术环节、运行环境、业务处理等方面的测试, 更有情况会出现过分依赖科技部门, 导致IT审计工作的效率大大降低。
(五) 审计整改力度不够
IT审计的对象基本上是科技部门, 其他相关部门对于审计发现的问题往往抱着“事不关己, 高高挂起”的态度。高管层虽然重视, 但因为高管层对信息科技理解有限, 对专业性的风险认识不足, 信息科技风险通常依赖于科技部门, 造成整改未能落到实处。根据木桶短板效应, 一只水桶的容量取决于它最短的那块木板。在信息科技防范中也是如此, 业务人员如果不重视信息科技风险防范, 一个误操作就可能能让银行在整个安全体系建设方面的努力付之东流。
四、实施风险控制的审计理念
(一) 摆正位置, 明确使命
摆正位置有助于减少阻力, 从而可以顺利地开展审计工作。IT风险控制审计的目的与科技部门的目标一致, 都是为了全面提升信息科技风险管理的水平, 保证信息系统安全稳定运行。通过揭示内部控制的不足, 促进内部控制水平的提升, 并制定基于成本效益原则的解决方案, 以改善内部控制现状。仅仅揭示问题没有什么实质性作用, 只会让被审计部门或个人感到难堪, 并且引起对审计人员的反感。解决问题才能产生真正的价值, 揭示问题只是实现目标的手段。最终目标是为了改善内部控制的现状。如果仅告诉管理层某方面存在安全漏洞, 这可能因揭示他人的不足而提升了自身的形象, 但漏洞依然存在, 依旧面临风险。只有在安全漏洞被堵住的时候, 才真正有价值。因此, IT审计的真正使命是帮助改善内部控制的现状。
(二) “两级分化”, 走出误区
“两级”是指“唯技术论”和“无技术论”。IT审计专业性很强, 覆理层将IT审计的职能落到科技部, 将IT控制审计做成了安全检查, 在注重技术方面的缺陷时而忽略了管理方面存在的风险, 这是一种舍本逐末的行为。俗话说, 三分靠技术, 七分靠管理。对于风险防控来说, 管理是基础, 技术是辅助, 切不可本末倒置。
“无技术论”是指审计部门缺乏IT专业人员, 认为IT审计完全不需要技术知识, 只要有一套详细、完整的检查手册, 对标就可以完成的。这种观点也不可取, 信息科技涵盖的范围太广, 就新系统的建设而言包括可行性分析、需求分析、项目管理、质量管控、测试等, 单靠套检查手册不可能涵盖所有检查细节。这种检查仅是停留在文档“有没有”的表面合规的状态下, 真正做到风险控制必须是检查内容“好不好”、达到一定的深度。
五、我行采取的风险控制审计的基本方法
(一) 善于从业务部门和IT事件推动内部控制体系建设工作
IT风险防控不能仅依靠科技部门, 而是要全行所有部门共同参与。审计对象不能局限于科技部门, 也要通过对业务部门的访谈和实地检查, 了解科技部门是否按照业务部门的需求进行开发并落到实处。在重要业务系统使用和日常安全管理方面, 发现其管理存在的漏洞缺陷。例如, 在客户敏感信息的保护方面需要重点审计, 应逆向检查系统对信息安全的管控措施是如何落实的, 增强其IT风险防范的意识。针对科技部门, 要善于将IT突发事件作为审计的入口, 既要关注突发事件的处置过程, 更要关注突发事件处置后的总结, 对事件处理流程进行梳理和更新。
(二) 抓住审计重点, 揭示主要风险, 强化应急管理
一是抓住审计重点, 梳理我行风险点, 通过风险点揭示我行在管理层面和技术层面上的问题和不足, 以达到提升其整体风险防控能力的目的。二是强化应急管理。在审计过程中要重点关注应急管理, 一方面须关注应急预案的制定、修订及开展的演练情况;另一方面须关注发生IT突发事件后的应急响应和处置, 以及根据实际情况对应急机制的完善。
(三) 协同工作, 形成合力
审计部门的IT审计岗与科技部门的内控岗协同合作, 根据我行实际情况创建一套体系化的审计框架和控制目标。在IT控制点与风险库的建立方面充分发挥主观能动性, 找准每个控制点以及相应的风险敞口, 下表列举了我行在变更管理方面的部分风险控制矩阵。
结束语
加强IT风险控制是我行目前面临的一个重要课题, 同时, 也是我行在市场竞争中发展壮大的新机遇, 其关键因素是理解内部发展战略, 及时掌握发展现状, 并以此为基础, 加强IT审计工作, 规范IT相关活动。除此之外, 内审人员主动适应新环境和新风险, 同时学习与业务风险相关的知识, 从而有效地对业务及所支持的应用进行审计。
参考文献
[1]高林.IT审计之道[M].北京:清华大学出版社, 2016.5 11-12.
