郭夏蒲

提要我国银行业信息化建设已取得初步成果，但在提高经营效率的同时也带来了一系列的挑战。为了保障银行信息系统的可靠、安全及有效，引入IT审计体制是十分迫切和必要的。

关键词：IT审计；信息化；COBIT

中图分类号：F239文献标识码：A

随着社会信息化程度的不断提高，信息将是维持社会的重要基础性资源，信息系统广泛深入地渗透到社会的各个领域，成为政治、经济、文化、军事，乃至社会一切领域的基础，其结果导致了整个社会对信息系统的极大依赖性。当系统发生故障，停止运行或系统发生错误而丧失其有效功能时，该领域的各种活动就失去了支撑和保障，甚至还影响到社会、生活等多个方面。因此，实施IT审计，确保信息系统的可靠、安全及有效是信息化的基础。

各大银行一直在持续进行信息系统建设，以工商银行完成数据大集中建设工程，深圳发展企业业务外包等为标志，银行业数据大集中取得了初步建设成果。数据集中化实现了银行账务数据与营业机构的分离，实现了数据共享和异地远程交易便捷化，帮助银行从以账务和产品为中心转变为以客户为中心，为银行管理集中和科学运营奠定基础。与此同时，银行数据大集中也加大了银行风险。由于信息技术在物理上、操作上和管理上存在的漏洞，构成了IT系统安全的脆弱性，给银行带来了一系列不安全的因素，计算机犯罪和舞弊、会计信息的失真，都将给银行的资金、信誉造成重大的损失。（图1）

一、银行信息系统风险防范——IT审计

2001年中国银行广东开平分行前后三任行长在长达10年的时间里，把大量银行资金转移到海外，总金额将近40亿元，竟然一直没有人发现，案发后3名主要嫌疑人先后逃往美国和加拿大；2005年中国银行哈尔滨分行河松街支行原行长高某勾结他人，通过地下钱庄将3亿元银行存款挪用，涉案的总金额超过10亿元，成为建国以来黑龙江最大的金融舞弊案……信息化建设加大了银行的经营风险，在提高工作效率的同时，也使得舞弊犯罪活动具有更强的隐蔽性和技术的复杂性。

1、信息系统审计师及其职责。1996年日本通产省情报处理开发协会IT审计委员会对IT审计进行定义：为了信息系统的安全、可靠及有效，由独立审计对象的IT审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合检查与评价，向IT审计对象的最高领导，提出问题与建议的一连串活动。

信息系统审计师可以通过检测银行信息系统的可用性、安全性和过程的完整性来确定信息是否可靠，能够以在线、实时的信息为基础提供鉴证，加大银行信息披露的力度，有利于防范、规避、控制和化解银行的运行风险，促进银行规范、有序、高效运作，提高银行的资产营运质量和运作效率。而独立的信息审计体系制度，也使得信息系统审计师可以审计控制信息系统风险，用制度保证比用人和技术来保证安全更可靠。

那么，信息系统审计师就必须在对系统固有的风险和系统内部控制机制进行评估和分析的基础上，对信息系统从开发环节到运行环节进行重点检查和检测。

信息系统开发实施检查：主要包括对系统需求分析定义、系统设计、系统开发、系统测试、系统试运行、系统安装，目的是对开发过程进行审计，保证开发过程按内控要求执行。

信息系统运行管理检查：主要包括系统主机性能、系统网络性能、系统安全性、系统数据安全性、系统灾难备份、系统运行管理的监督和检查，目的是保证系统的正常运转。

信息系统业务处理及控制功能检查：主要包括系统业务处理功能、系统访问权限控制管理、系统权限职责、系统数据输入/输出/处理控制，目的是保证系统操作的正确性。

信息系统内部控制管理检查：主要包括内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正，目的是保证系统风险得到重视，并有效地控制。

信息系统基础设施管理检查：主要包括场地环境配置、硬件环境配置、场地安全性、设备安全性、设备管理制度的修订和执行，目的是信息系统在安全、有保障的环境中运行。

信息系统数据与相关文档检查：指数据的完整性、准确性、真实性、合规性。包括文档种类管理、文档归档管理、文档密级管理、文档调阅管理。目的是对数据进行符合性测试，检查文档管理的科学性。

2、银行信息系统及其风险控制。银行是一个高风险的行业，又是一个关乎经济增长和整个社会稳定的重要行业，它还具有自身的一些特点。在对银行信息系统进行IT审计，进行风险控制时，应当注意：

首先，在IT环境下，除了考虑银行组织内外部经济、社会环境变化以及业务经营性质、管理当局特征等因素外，一个不容忽视的因素便是信息系统本身。银行越依赖于信息系统，信息系统越庞杂，其固有风险也就越大。固有风险包括来自于外部的，诸如战争、自然灾害等造成的计算机本身的物理损坏或者通信线路的中断；也有来自于内部的，诸如系统运行不稳定或者应用软件本身的设计漏洞，导致数据处理过程中出现的必然错误等。

其次，控制的范围延伸到了系统的外部，特别是在商业银行普遍采取电子商务交易模式，计算机系统容易受到来自银行外部对系统安全造成影响的威胁，包括网络攻击，商业间谍破坏、黑客入侵以及病毒肆虐等，银行作为资金密集型企业，一旦遭到商业间谍的破坏或网络黑客的攻击，后果将难以想像。

另外，由于银行大量采用无纸化、联网作业，使得许多原始凭证异地存放、甚至根本就不存在，采用电子审计证据的可信性较之以前有很大幅度降低；同时，由于计算机系统本身的可靠性、正确性决定了电子数据（信息）的准确性，因此，如果计算机信息系统本身不可靠或者不正确，审计人员单纯分析电子数据也是毫无意义的。

二、基于COBIT的IT审计

COBIT信息及相关技术的控制目标，是美国信息系统审计与控制协会ISACA的IT治理学会制定的一个开放性标准，目前已成为国际上公认的最先进、最权威的信息技术管理和控制标准。（图2）

COBIT将IT过程、IT资源与企业的策略与目标（准则）联系起来，形成一个三维的体系结构。IT准则维集中反映了企业的战略目标，主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性；IT资源主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT治理过程的主要对象；IT过程维则是在IT准则的指导下，对信息及相关资源进行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程，每个处理过程还包括更加详细的控制目标和审计方针对IT处理过程进行评估。

当进行IT审计时，可以首先参考COBIT控制目标，选择基本的评价指标体系并根据银行的实际需要选取扩展其他评价指标；然后将银行选取的指标与COBIT控制目标形成映射关系。这样，既能够满足评价在基本的标准体系中进行，保证评价指标的科学合理性，同时又能够满足信息化评价的个性化需求，保证了评价的灵活性。

三、结论及展望

随着高科技的发展，各家银行加大了IT建设的投资，数字化、网络化等信息技术得到了迅速地推广应用。网上银行、移动银行、电子商务等，已经成为各家银行追逐利润的增长点。然而，与此同时带来的巨大风险，也对银行高级管理人员提出了巨大的挑战。如何利用好信息技术，加强IT审计工作，势必会成为今后银行审计工作中的重点和难点。

（作者单位：同济大学经济与管理学院）

参考文献：

［1］胡克瑾.IT审计［M］.北京：电子工业出版社，2004.

［2］黄溶冰，王跃堂.商业银行信息化进程中的审计风险与控制［J］.经济问题探索，2008.2.

［3］吴越，俞文萍.通过IT审计加强金融企业风险管控［J］.上海国资，2008.8.

［4］刘红.利用IT审计防范银行信息化风险——数据大集中后的思考［J］.价值工程，2006.6.