工商银行：IT审计探索实践

当前，工商银行完成了数据集中工程，综合业务处理系统也实现了全面整合，综合竞争力得到了进一步提升。但集中和整合带来的IT风险也逐渐显现。一方面，系统的固有风险随着系统的复杂而有所增加；另一方面，高度集中的运行管理使数据中心的内部控制面临着更加严峻的考验。这些风险不仅会影响系统运行的稳定和安全，还会给工商银行带来严重的经营、法律和信誉等方面的风险。在这种形势下，全面深入地学习IT审计的基本理论，分析系统的风险控制，特别是运行风险的内部控制，进一步加强风险管理，完善内部控制，就变得更加重要，这也是新形势下IT审计的重要任务。

IT审计最早被称为计算机审计，早期只是传统财务审计业务的一种辅助工具，为财务报表审计人员提供服务。随着审计由最初的账项基础审计向制度基础审计直至现代的风险基础审计的发展，计算机审计所关注的内容也从单纯的对电子数据的处理延伸到对计算机系统的可用性、保密性、完整性、有效性进行了解和评价，随之也就出现了系统审计的概念。 对于IT审计的定义，业界有着多种描述，但都大同小异。国际系统审计领域的权威专家Ｒｏｎ Ｗｅｂｅｒ将它定义为：收集并评估证据以判断一个计算机系统是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。" 综合上述各种观点，对于工商银行的IT审计工作而言，可以简要地概括为："由行内的科技审计部门，对全行范围内系统生命周期中的资产保护、数据完整、资源经济有效利用以及完成组织目标的情况，通过一般控制和应用控制等审计方式，进行综合的检查、评价，并向工商银行最高管理层和科技部门提出咨询建议"。

IT审计贯穿于系统生命周期的全过程在其生命周期的各个阶段，IT审计都要对系统本身及其管理进行风险识别和评价，提出改进和完善的建议。系统生命周期的阶段包括系统规划和开发、系统交付、系统运行和维护、系统报废等。工商银行的IT审计工作同样要遵循这一原则，贯穿于系统生命周期的全过程。从软件开发中心的系统规划与开发到数据中心及分行的系统运行与维护在各个阶段都需要通过IT审计来识别错误，评价和控制风险，督促改进，以实现系统安全运营的预定目标。 １．系统规划和开发阶段的IT审计

系统规划和开发阶段的审计是指对系统规划、分析、设计、编码、测试和试运行等几个阶段的跟踪审计，如战略与经营战略一致性审计、战略有效性审计等。通过审计可以及时发现错误并及时修正，降低错误的累积放大效应，降低开发成本，提高系统质量。还可以通过审查项目的可行性分析是否充分，避免项目的盲目性，通过审查需求分析的论证是否充分、测试方案是否存在疏漏，避免产品质量缺陷等。该过程的审计主要集中在总行科技部和软件开发中心所进行的控制，是系统安全运营的基本保证。它涵盖了组织控制、操作控制、硬件与软件控制、系统安全控制等。应用控制是针对系统具体数据处理活动所进行的控制，一般包括输入控制、处理控制和输出控制。在一般控制和应用控制之间，前者是后者的基础，后者是前者的深化。在同一个时间和背景下，它们是一致和协调的，共同来完成对系统的控制。 一般地讲，理想的IT控制是在系统的生命周期中的各个阶段，全面实施有效的内部控制。不同阶段根据其不同性质和特点，实施或加强不同侧重的控制措施，如系统开发阶段控制的重点是应用控制，兼顾一般控制，系统运行维护阶段则更多以一般控制为重点，兼顾应用控制。另外在控制措施中，要提高预防性控制的比重，增强控制和管理的主动性和积极性。这样的控制模式可能会使系统生命发展周期全过程中的控制更趋合理和有效，风险管理更有效。 ２．内部控制的IT审计

由于系统的内部控制在其生命周期中的不同阶段有着不同的特点，相关的各科技部门由于承担任务的不同，控制情况也各异。因此，IT审计也必须具有针对性。软件开发中心由于主要承担产品开发，其内部控制在一般控制的基础上，更要关注和倾向于应用控制。对于数据中心及分行，其安全运营目标的实现要依赖于其内部控制，因而其工作特点决定了它们必须首先关注一般控制。因此，对其内部控制评价和审计要侧重一般控制，如人员的管理、制度规范的建设、操作管理、变更管理、问题管理等。另外，我们也看到在产品开发的上游和产品应用运行的下游在控制的连续性和衔接上还有进一步完善的必要，IT审计需要从系统生命周期的全局视角，整体识别和评价各阶段控制的连续性、一致性和协调性，促进工商银行系统控制的整体提高。 总的说来，工商银行系统的内部控制在系统生命周期中的每个阶段不但要有所侧重，还要有连续性、一致性和均衡性，上游产品开发要给予下游运行以充分的控制建议或方案，供下游运行实施，而上游产品开发控制要在项目规划和系统设计阶段就考虑到充分性和有效性。

继成功完成数据集中工程后，工商银行的第三代业务系统NOVA全功能银行系统也顺利投产，其技术含量和应用功能在国内金融业处于领先水平。然而，伴随着科技整合工程的不断推进，全行的业务数据及处理几乎全部集中到一个物理中心，版本测试在一个物理中心，核心系统的开发也全部由开发中心及所属研发分部承担。在实现专业化运作的同时，系统的技术以及管理也变得更加复杂，系统生命周期中各个阶段的风险进一步加大。生产运行和操作的风险将成为事关工商银行系统能否安全运行的重要因素，对其实行有效控制和防范也变得日益重要。在这种形势下，工商银行IT审计需要从商业银行公司治理和IT治理的高度，结合工商银行综合改革和加强内部控制的具体要求，发挥战略决策参与作用，全面识别、评价全行的IT控制和风险水平，明确风险的分布、影响以及危害性，并根据评价结果，向工行高管层或科技部门提出合理、可行的建议和方案，督促相关部门采取措施，控制、化解风险，确保系统的安全、稳定运行，从而确保全行业务正常而快速地开展。

1．紧密围绕全行经营需求，推动IT治理及公司治理

在2004年11月9日召开的工商银行内部审计分局局长会议上，姜建清行长强调指出，目前工商银行综合改革即将跨入新的阶段，需要对全行风险管理、内部控制和内部治理进行彻底性的变革。IT审计在这场变革中，要把握住方向，与时俱进，加快体系建设，提高审计层次，促进IT治理，推动公司治理。

2．遵循国际通行准则，建立国际标准框架下的标准和规范体系

从国际同业的实践看，国际大型商业银行大多都在自己的IT审计体系下，遵循着一套行之有效的国际标准或规范，如COB IT、BS7799、COSO、ITIL等。工商银行也要按照国际通行的做法，结合工商银行的实际，确立自己的IT审计标准和规范。 3

3．明确IT审计的技术角色，突出IT审计的技术特色

根据工商银行系统的技术体系，定义不同的IT审计技术角色，需要分析工商银行系统的技术架构和特点，结合审计资源条件，确立IT审计对应的技术角色架构。建议将IT审计的技术角色划分为应用、系统、网络及硬件三个大类。不同的技术角色分别负责系统生命周期中不同阶段的不同技术领域的控制、分析和评价，确立控制风险分布和控制重点，建立相应的风险评估指标，制定有效的控制检查表和检查点，提高工商银行IT审计的专业化水平。

4．借助先进技术，大力开展非现场IT审计

通过考察国际银行业界的IT审计技术和手段，结合工商银行系统的实际，可以断定，借助先进技术实施非现场审计已是大势所趋。IT审计可以通过采用ACL、SAS等灵活的、可配置的审计模型及数据分析探测工具，构筑起科学、有效的风险分析、监测、评价体系，大大加强工商银行IT审计的非现场审计，推动工商银行的审计化建设。

5．加强风险管理，规避IT审计风险

在复杂的系统技术和管理环境下，实施IT审计无疑具有一定的审计风险，因此在实施IT审计时，必须注意规避审计风险在关注重要性的同时，要力求效益性。 综上所述，目前工商银行的IT审计要面对复杂的形势，根据重要性和风险导向原则，明确IT审计重点，针对生产运行管理制度的调整，加强对数据中心相关控制的审查，为工商银行生产运行的安全和稳定保驾护航。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。