曹金明

(中国邮政储蓄银行审计局天津分局 天津 300000)

近几年以来，商业银行的信息化进程速度明显加快，随着科学技术的进步，社会化大生产的发展，计算机应用的逐渐普及，信息系统对商业银行越来越重要。然而，信息技术也是一把双刃剑，既给商业银行带来了运营效率的提升，同时也带来了一些负面影响，对于商业银行而言，信息系统不安全有着巨大的风险，可能会造成客户流失、名誉受损等问题，更严重的话可能会面临法律的诉讼。所以尽早针对商业银行IT审计进行风险评估，及时找到解决方法，合理保证商业银行信息系统安全有效的运行已然成为重中之重。

一、商业银行IT审计的基本概念和主要内容

(一)商业银行IT审计的基本概念

IT审计，也称信息系统审计，简而言之是指对计算机为核心的信息系统的审计，到目前为止，对于IT审计没有一个统一的定义。国际信息系统审计与控制协会定义为“信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效利用组织的资源并有效果的实现组织目标的过程”。邓少灵在《企业IT审计的框架》中定义：“IT审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动，以审查企业信息系统是否安全、可靠、有效，保证信息系统得出准确可靠的数据”。但是无论哪一种定义，IT审计都涉及整个信息系统的生命周期，不止是技术问题更是管理问题。IT审计的对象是被审计单位的信息系统，IT审计主体是信息系统独立组织机构或人员。

(二)商业银行IT审计主要内容

商业银行IT审计主要包括对硬件与环境、应用软件、IT管理与服务、信息安全、商业连续性、信息完整性、IT策划与项目管理等方面的审计，以下是对这几方面的简要说明：

1.硬件与环境：包括商业银行的机器设备使用控制、硬件网络设施、网络环境和机房环境管理等；

2.应用软件：包括对业务系统的相关流程以及对系统的开发生命周期进行审计；

3.IT管理与服务：审计商业银行IT管理与服务的制度和方法的有效性；

4.信息安全：审计商业银行信息安全措施的有效性和完整性；

5.商业连续性：为保证商业银行业务持续运营，重点审计银行在完整性与合规性方面做的如何，比如在存储、备份、容错、灾难恢复等方面；

6.信息完整性：审计商业银行在信息的完整性、可靠性、有效性上的控制；

7.IT策划与项目管理：审计IT整体的系统的策划以及项目管理。

二、商业银行IT审计现状

电子数据处理系统是现代审计的最新发展，比传统的手工处理相比更大程度的提高了经济和管理的效率、效果和收益，保证了计划、统计、会计和管理信息的正确性、真实性、科学性，促进了生产和经营管理的发展。目前,国内各大金融机构领导层高度重视银行业的审计,例如上海浦东发展银行在实际工作中运用COBIT作为开展具体审计业务的流程参考,从而使审计人员对信息系统的风险状况可以进行更加客观和全面的掌控。银监会2009年发布的《银行业金融机构信息系统风险管理指引》提出要求各大银行不只是单纯的目标管理，更要对风险的过程进行重点管理，进行风险控制在高层的决策上，对信息系统开发生命周期进行审计,为我国银行业持续高效运行提供了合理保证。

目前很多金融机构都开始注重通过实施IT审计有效的实现企业治理的目标，商业银行审计也是如此。由于最近几年商业银行对信息技术的依赖程度越来越高,数据大集中也不同程度、不同范围的在商业银行中实现，提高了商业银行整体的核心竞争力，但是也产生了许多风险，在管理或者控制上的有任何一点点的不妥都会导致整个信息系统瘫痪，带来很严重的损失。目前商业银行风险管理的重点就是把信息系统的风险调节在可控范围之内。由此可见对商业银行进行IT审计具有现实意义。

三、商业银行IT审计面临挑战

电子计算机在企业管理中的应用日益广泛，而在我国企业管理中的电子计算机有近70%是用于会计信息处理，银行业是最早利用电子计算机的行业之一。随着商业银行经营环境的变化和计算机信息技术的发展，商业银行通过信息管理电子化、网络化、数据大集中等方式，已经逐步形成了较为科学完整的信息管理系统。现在，我国商业银行几乎所有的业务都通过计算机信息系统来完成。电子信息系统相比手工传统方式有许多不同的特点，这些特点对以审查会计资料为主要内容的审计活动产生了极大的影响，归纳起来主要有几下几个方面：

(一)传统审计线索的消失

在原有的财务、业务档案体系中，审计人员发现的审计线索每一步都会有相应的文字记录和相关人员的签字，审计人员可根据具体情况采用审阅、核对、分析、比较、调查和证实等审计方法进行工作，并主要由人工进行顺查、逆查或者抽查活动。但在信息系统中，从经济业务数据进入计算机后到各类财务、业务报表输出，各项处理基本都由计算机按事先设定的程序自动执行，代替记账凭证、账簿、报表、业务数据出现的是存有会计信息的磁性数据文件，不能被审计人员直接读出，并且有些文件还是暂时性的，如果审计时间安排不合理，很有可能在审计人员实施IT审计时这些文件已经消失了，这直接导致无法获取原始审计资料。虽然商业银行为了方便管理，还是会保留一部分的审计线索，但是这些审计线索的数量有限，而且无论是在内容还是形式上都与在手工系统情况下大不相同。有时，IT审计人员为了测试的需要，必须通过商业银行提供所需的资料，这样虽然可以增加审计线索，便于审计工作的开展，但是会让商业银行事先知道IT审计人员抽查的领域，容易发生舞弊。

(二)计算机信息系统的数据安全受到严重威胁

以前，审计人员都是手工进行信息处理，现在，随着小型机和微型机的迅速发展，在商业银行得到了广泛的应用，但也随之带来了新的问题：计算机数据文件和程序容易被擅自更改；在磁盘或磁带中存储的资料容易被销毁；保密资料可能被轻易地泄露；业务过程可能因计算机硬件、数据文件或程序方面的问题而被迫中断。这些都是以前手工处理账目没有遇到过的问题，但是这也是IT审计的一个关键点，所以无论是在操作系统的运作还是制度的建立等多个方面，商业银行的IT审计工作实施都面临着巨大的挑战。

(三)IT审计专业人才匮乏

现代信息系统的环境比以前传统手工系统环境更加复杂，所以对审计人员的要求也应随之增加，不止要对自己的专业知识非常了解还应掌握一定的信息技术，只有把业务知识、审计知识、信息技术都结合起来，才能更好的对商业银行进行IT审计。由于商业银行的实质是经营风险的金融机构，所以风险管理在商业银行经营中具有很重要的地位，因此在对商业银行进行审计时还要对风险管理进行了解，这对IT审计人员也提出了新的挑战。所以必须加大对IT审计专业人才培养的力度，目前在我国取得IT审计师职称的人少之又少，距离达到IT审计目的还有较长的过程。

四、商业银行IT审计改进措施

(一)审计线索的重建

审计线索对审计工作来说是极为重要的。由于信息系统的应用，传统审计线索已经完全被电子信息所取代，传统的查账、翻阅纸质档案的方法对信息系统已经完全不适用了。为了能有效地对商业银行进行IT审计，使系统在处理时能留下新的审计线索，在系统设计开发的时候就要考虑这些审计需求。例如:在处理每一笔经济业务时，要留下详细的记录，而不是只显示余额。有些系统中的文件，在短暂存储的一段时间后就会被删除，操作员应及时拷贝备份或者提供数据接口共享给内部审计系统，以便在审计需要这些数据或者文件时可以满足需求。

(二)确保信息系统的信息安全

验证信息系统中有关安全、保密措施是否健全是系统程序设计中不可缺少的一种安全措施，在程序设计时，对数据文件的加密，防止无关人员进行篡改、舞弊行为。对信息系统的数据结构，要有可改动数据区和不可改动数据区之分，即数据的原始凭证一旦验证输入后，就不能有任何可以随意改动的条件，这样才可以保证数据文件的安全和可靠。另外，对信息系统程序应该设有口令或者保密字，只供专人知道使用，防止无关人员打开系统程序和操作机器。IT审计工作人员要时常审查企业的信息系统，为了预防黑客攻击计算机系统要建立防火墙，检查计算机是否有病毒，是否配置了可以自动检测关键数据库的软件以及业务系统是否严禁使用游戏软件，便于及时发现异常，还要审查计算机是否按照国家的法律法规安全有效的运行。

(三)建立一支完备的IT审计专业人才队伍

IT审计要求审计人员具有复合型的知识结构的专业人才，不止要有丰富的财务会计、审计等专业知识，必须还要掌握计算机知识和应用技能。为了满足这个要求，商业银行可以采取下列措施：一是为了使审计人员更好的完成IT审计工作，需要对审计人员进行组织培训，让他们系统的学习计算机知识以及IT审计技术方法。二是聘请专业的计算机技术人员，对他们进行会计和审计基础知识的培训，使他们能符合IT审计的要求。三是IT审计小组由专业的审计人员和计算机技术人员共同组成，发挥各自的专长，取长补短地协作完成IT审计的工作。当然，他们之间的交流往往也会有一些困难，这也是一个需要长期磨合的过程。四是为了加快培养我国自己合格的IT审计人才的步伐，在高校内增设IT审计学科，重视这门学科的人才培养，努力建立一支完备的IT审计专业人才队伍。