摘要:随着信息科技的蓬勃发展以及交易数据大集中的实现,农商行对信息系统的依赖性越来越强,面临的IT风险也越来越大,而农商行IT审计发展则相对滞后。本文总结了省级联社管理模式下农商行IT审计的现状,全面分析了当前农商行IT审计面临的困难与瓶颈,在此基础上从理念、体系、队伍、平台以及模式等方面提出了未来发展路径,以期推动农商行IT审计更加有序开展。
关键词:IT审计,农商行,内部审计
1 引言
近年来,随着信息技术的快速发展,尤其是大数据、云技术、移动互联等新技术在农商行的广泛应用,极大地拓展了业务空间和服务手段,为农商行的经营发展提供了强大动力,带来了巨大经济效益。但与此同时,伴随新技术应用而来的IT风险却更加多样化、复杂化和难以管控,其可能造成的损失和影响也更加巨大。
早在2009年,原银监会就颁布了《商业银行信息科技风险管理指引》,提出要构建信息科技风险管理的“三道防线”,并要求审计贯穿信息科技的整个生命周期和重大事件,反映了IT审计在信息科技风险管理中的重要地位。2018年6月中国银保监会通报多起利用银行系统漏洞或安全机制缺陷盗取资金的案件,情节令人震惊。在此背景下,农商行内部审计工作必须切实履行信息科技风险管控的“第三道防线”职责,主动应对挑战,有效开展IT审计项目,发挥自身价值,服务农商行高质量发展。
2 农商行IT审计在实践当中的做法
当前,绝大多数省份在对农商行(包含农合行)的管理上,采取了省级联社和农商行两级法人的管理模式。省级联社承担了管理、指导、协调和服务的职能。与其他银行相比,省级联社管理模式下的农商行在科技建设方面有着更为独特的模式,一般都采用了“大平台、小法人”的科技管理模式,省级联社层面均设置科技相关部门,大部分市县农商行由于受到资金、人员等条件限制,科技研发基本依托于省级联社统一的、集约化的系统建设,自身只负责简单的软硬件管理和维护,也有部分省份赋予农商行自主研发非核心软件系统的权限。
对信息科技风险开展独立有效的评价是农商行内部审计的主要职责之一。科技建设的“二元管理模式”决定了农商行的IT审计具有其不同于其他银行的独特性。笔者通过查阅大量资料并实地走访,总结出当前省级联社管理模式下农商行IT审计实践可概况为以下几点:
(1)从治理结构上看,按照监管部门要求,目前各农商行内审部门基本都直接向董事会报告。部分农商行能够在部门内设立专职IT审计岗,专门负责全行IT审计,少数有条件的农商行还单独成立了IT审计中心,独立于IT部门,体现了管理层对IT风险控制的高度重视。
(2)从团队建设上看,农商行一方面通过内部选拔机制从科技部门调入具有IT从业背景、熟知银行相关业务的专业人才,组建IT审计团队;另一方面加强专业培训,聘请外部专家开展商业银行IT审计入门培训、在专项审计时采取跟班培训、以老带新等方式提高IT审计团队整体素质,达到IT审计资源储备的目的,以应对越来越高的IT审计需求。
(3)从项目实施上看,农村商业银行IT审计起步较晚,总体水平并不是很高。能开展监管部门要求的所有信息科技相关类别审计项目的农商行占比极低,仅有少部分农商行开展过针对信息科技风险的全面审计,一些在省联社层面独立开展了部分信息科技的专项审计项目。
(4)从系统建设上看,农商行能够在实践中积极推进内部审计的信息化建设,绝大部分省级联社统一开发上线了审计系统,实现了对全部交易数据的存储、查询、分析和管理,通过创建开发一系列审计模型,及时发现审计线索,锁定审计重点,为提高现场审计效率和质量提供了有力支撑,促进了审计模式的转变。
3 农商行IT审计面临的瓶颈与困境
当前,大多数农商行管理层能够认识到,IT审计对于促进信息科技风险防范责任重大,必须在多方面有所突破、有所创新、有所提升,但要进一步推进,却面临着诸多的困难,如对IT治理没有明晰的认识,缺少IT审计方法与规范,审计力量薄弱,上下联动不够等等,这些问题严重阻碍了IT审计工作的进一步推进,也导致出现了“第三道防线”的履职瓶颈。
3.1 对IT审计的定位认识模糊
业内对IT审计的认识,经过了技术导向、控制导向、风险导向三个阶段,先后产生了BS7799、SP800、ISO27005、COBIT等代表性框架。目前普遍认为信息科技风险应融入企业全面风险管理中,成为整个企业治理框架的重要组成部分,其代表性框架为ISACA(国际信息系统审计协会)发布的Risk IT。
但是目前农商行对IT审计的认识不足,大部分仅限于应付监管部门要求,有的认为IT审计必须完全依赖于专业技术人员,有的认为IT风险的第三道防线根本就是空谈,有的仅关注科技管理或业务连续性,只有少数单位意识到系统控制应与业务风险防范相结合。认识上的不足,导致大多数农商行目前投入的人力物力,与快速发展的业务相比存在不小的差距,制约了IT审计的工作质量。
3.2 审计的广度和频率不够
按照人民银行及银保监会相关要求,农商行审计部门必须开展的信息科技审计至少包括信息科技全面审计、业务连续性专项审计等9项,并规定了开展审计的最低频率。
与监管要求相比,绝大部分农商行不能满足监管要求,距离监管要求有很大差距。从信息科技监管评级方面看,大多数农商行都存在信息科技审计未开展、审计覆盖面不足等问题,影响了农商行信息科技评价总体评分。
3.3 缺乏足够的IT审计专业人才
IT审计专业性强、技术门槛高,充分履行“第三道防线”职责需要既懂得信息技术、了解银行业务又具备一定审计经验的专门人才。一方面,内审部门具有IT背景的审计人员少之又少,相当一部分农商行尚未配备具备信息科技背景的审计人员,缺少独立开展IT审计的必要条件。同时,独立开展农商行IT审计,特别是全面审计对IT审计人员配备的要求很高,而单家农商行由于审计队伍总人数限制、IT审计人员专业较为单一、培养成本高等因素,造成不具备招募维持大量IT审计人员的条件,导致专业人才紧缺成为制约审计部门履行IT审计相关职责的瓶颈。另一方面,大部分农商行开展IT审计的时间较短,IT审计人员多来自科技部门,虽然有较丰富的信息系统开发或运维经验,但审计技能还有待提高,也影响了内部审计的成效。
3.4 缺少规范的IT审计技术方法
当前,农商行IT审计工作缺乏基本的系统性和规范性,各农商行对于信息科技的审计缺少规范有效的方法、措施和数据模型,大多尚停留在制度的完整性遵循性检查层面,发现的也通常是表面合规问题,不知道审什么、怎么审,难以把握IT内部审计的重点,很少触及深层次业务风险和IT技术问题,无法揭示信息系统开发、运行中存在的重大风险或缺陷,审计工作的效果大打折扣。
与之相应的是日益庞大的银行信息系统、日趋复杂的运行环境及互联网金融等新的应用大规模上线,银行系统架构发生深刻变化,新的信息安全风险不断产生。例如,一些农商行自主开发的软件系统,越来越多地采用迭代式敏捷开发模型,以快速响应满足业务部门需求,导致传统基于瀑布开发模型的安全控制机制难以奏效,系统漏洞难以被及时发现,形成隐患。
3.5 整体性和联动性还不强
当前,省级联社与农商行信息科技系统是一个整体,但在实际工作中,省级联社与各农商行对信息科技的审计存在相互割裂,各自为战的现象,比如业务连续性等一些审计过程尚不能涵盖系统的所有环节,难以全面反映信息科技存在的重要风险,省级联社行业审计与内部审计的联动效应发挥不够。
4 加强农商行IT审计的几点建议
展望未来,农商行在实施IT审计项目时,需要立足实际情况,紧密联系信息科技与业务发展的新形式、新特点,遵循先进的审计标准,突出技术优势和风险导向,找准IT审计在农商行的准确定位,促进IT审计更健康有序地开展。
4.1 明确方向,坚持一种理念
理念决定思路,思路决定出路。做好IT审计工作,首先要解决审计方向的问题。农商行审计部门从原本以合规审计、制度遵循性检查为主,逐步转为“以风险为导向”组织开展IT审计项目。在此前提下,需要明确“以业务为核心,业务与技术相结合”的IT审计思路,即从系统到业务审计、从业务再到系统审计、再从系统到系统审计。同时结合当前农商行的实际情况,在以业务为核心的指导思想下,将有限的审计资源重点投入到应用控制审计中。
4.2 制度先行,建设一套体系
一是建立规范的IT审计工作规范。建议在省级联社层面根据监管法规和实际情况,制定IT审计规范、指引等制度办法,并指导各农商行制定实施细则,明确IT审计的职能定位、审计内容、工作流程、运作模式以及相关的管理要求,逐步形成一套贯穿审计全周期的质量控制体系。二是建立实用的IT审计技术方法。遵循标准化、专业化的原则,适时启动研究编写农商行IT审计操作指南,制定穿行测试、代码审查等专门工具方法,逐步构建IT审计实务标准。此外,还要定期总结IT审计项目经验,收集先进银行相关审计案例,建立IT审计知识库。
4.3 人才为本,打造一支队伍
拥有一支高素质、专业化的人才队伍,是IT审计工作顺利开展的重要前提。一是多渠道、多层次、多结构地引进、选拔人才,逐步充实、壮大IT审计力量,抓紧组建一支以核心人才为引领、骨干人才为支撑、应用人员为基础的人才队伍体系。二是强化持续教育,通过每年组织集中专题培训、鼓励参加CISA认证学习等,促进及时更新理论与知识,掌握先进技术和方法,持续提升综合素质和专业能力。三是注重审计项目中的实战锻炼,省级联社可以通过IT审计人才的一体化管理,轮流抽调全行业IT审计人员参与省联社统一组织的IT审计项目,以老带新、以干代培、共享经验,不断升级IT审计能力。
4.4 科技支撑,搭建一个平台
在大数据时代,充分依托省级联社层面的科技优势,构建支持IT审计活动信息化、自动化、综合化的审计信息系统平台,能够极大地促进提升IT审计工作效率和效果。一方面,利用现有的审计系统,实现对全行业IT审计计划、项目实施、资源配置以及质量控制的科学管理,也可以消除地域割裂的制约,使IT审计工作更加规范、高效。另一方面,要大力开展“数据式”审计,获取信息系统开发、运行相关数据,包括重要操作系统、数据库和核心网络设备的日志、安全参数文件等等,自主研发关键指标和审计模型,对全量数据开展深度挖掘,监测系统的运行管理、信息安全和生产事件,及时提示、预防IT风险。
4.5 统筹规划,创新一套模式
当前,针对农商行IT审计人才储备不足、审计经验缺乏以及系统架构特点,有必要因地制宜创新变革审计模式,建立一套“分级实施、上下联动”的IT审计组织管理模式。根据监管要求和业务需要,在省级联社层面可每年确定1至2个专题,按照全系统集中组织、统一方案、同步实施、汇总报告的组织方式,由省级联社审计部门统一组织审计省级联社“大平台”建设、管理、维护等情况,各相关农商行负责审计前端应用、本行自建系统和相关业务领域。通过上下联动,分工协作,实现省级联社行业审计与农商行内部审计的弹性互动,促进提升IT审计项目质量,有利于充分发挥整体合力,同时对解决农商行自行审计“无从下手”、重要问题“无法追溯”的难题具有现实意义。
参考文献
[1]审计署审计科研所.信息系统审计内容与方法[M].北京:中国时代经济出版社,2009.
[2]吴桂英.信息系统审计理论与实务[M].北京:清华大学出版社,2012.
[3]俞文平,周平.IT审计之道[M].北京:清华大学出版社,2016.
[4]高卓,吴婷.建设银行IT审计发展策略[J].金融电子化,2011 (10) .