试论工商银行的IT审计 作者: 工商银行内部审计局 孟军强 荆东
来源:《中国金融电脑》 当前,工商银行完成了数据集中工程,综合业务处理系统也实现了全面整合,综合竞争力得到了进一步提升。但集中和整合带来的IT风险也逐渐显现。一方面,信 息系统的固有风险随着系统的复杂而有所增加;另一方面,高度集中的运行管理使数据中心的内部控制面临着更加严峻的考验。这些风险不仅会影响信息系统运行的 稳定和安全,还会给工商银行带来严重的经营、法律和信誉等方面的风险。在这种形势下,全面深入地学习IT审计的基本理论,分析信息系统的风险控制,特别是 运行风险的内部控制,进一步加强风险管理,完善内部控制,就变得更加重要,这也是新形势下IT审计的重要任务。
IT审计最早被称为计算机审计,早期只是传统财务审计业务的一种辅助工具,为财务报表审计人员提供服务。随着审计由最初的账项基础审计向制度基础审计直至 现代的风险基础审计的发展,计算机审计所关注的内容也从单纯的对电子数据的处理延伸到对计算机信息系统的可用性、保密性、完整性、有效性进行了解和评价, 随之也就出现了信息系统审计的概念。 对于IT审计的定义,业界有着多种描述,但都大同小异。国际信息系统审计领域的权威专家Ron Weber将它定义为:收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。德勤 华永会计师事务所有限公司合伙人Peter Koo将它描述为:"所谓信息系统审计是指,审计人员接受委托或授权,收集并评估证据以判断计算机系统(信息系统)是否有效做到保护资产、维护数据完整并 最有效率地完成组织目标的活动过程。" 综合上述各种观点,对于工商银行的IT审计工作而言,可以简要地概括为:"由行内的信息科技审计部门,对全行范围内信息系统生命周期中的资产保护、数据完 整、资源经济有效利用以及完成组织目标的情况,通过一般控制和应用控制等审计方式,进行综合的检查、评价,并向工商银行最高管理层和信息科技部门提出咨询 建议"。
IT审计贯穿于信息系统生命周期的全过程,在其生命周期的各个阶段,IT审计都要对系统本身及其管理进行风险识别和评价,提出改进和完善的建议。信息系统 生命周期的阶段包括系统规划和开发、系统交付、系统运行和维护、系统报废等。工商银行的IT审计工作同样要遵循这一原则,贯穿于信息系统生命周期的全过 程。从软件开发中心的信息系统规划与开发到数据中心及分行的系统运行与维护,在各个阶段都需要通过IT审计来识别错误,评价和控制风险,督促改进,以实现 信息系统安全运营的预定目标。 1.信息系统规划和开发阶段的IT审计 2.信息系统运行和维护阶段中的IT审计 另外,在信息系统生命周期中,还有许多共同业务审计要做,如文档管理审计、进度管理审计、人员管理审计、第三方及外部委托管理审计、业务持续性审计等。
信息系统必须通过完善的内部控制措施来管理和控制风险,保证信息系统资产的安全性、可靠性和有效性。工商银行信息系统的内部控制及其治理应该成为IT审计 关注的重要核心部分,IT审计要监控和审查全行信息系统的内部控制,积极参与内部治理,督促信息科技部门逐步完善风险控制和有效管理。 1.理想的IT控制模式 从内控管理的角度来看,IT审计一般将信息系统的控制分为一般控制和应用控制。它们都是预防和发现信息系统错误、舞弊、故障的特殊控制,可以有预防性、检 查性、纠正性控制的不同组合。通常,一般控制是对信息系统的构成要素(人、机器、文件)所进行的控制,是系统安全运营的基本保证。它涵盖了组织控制、操作 控制、硬件与软件控制、系统安全控制等。应用控制是针对信息系统具体数据处理活动所进行的控制,一般包括输入控制、处理控制和输出控制。在一般控制和应用 控制之间,前者是后者的基础,后者是前者的深化。在同一个时间和背景下,它们是一致和协调的,共同来完成对信息系统的控制。 一般地讲,理想的IT控制是在信息系统的生命周期中的各个阶段,全面实施有效的内部控制。不同阶段根据其不同性质和特点,实施或加强不同侧重的控制措施, 如系统开发阶段控制的重点是应用控制,兼顾一般控制,系统运行维护阶段则更多以一般控制为重点,兼顾应用控制。另外,在控制措施中,要提高预防性控制的比 重,增强控制和管理的主动性和积极性。这样的控制模式可能会使系统生命发展周期全过程中的控制更趋合理和有效,风险管理更有效。 2.内部控制的IT审计 总的说来,工商银行信息系统的内部控制在系统生命周期中的每个阶段不但要有所侧重,还要有连续性、一致性和均衡性,上游产品开发要给予下游运行以充分的控 制建议或方案,供下游运行实施,而上游产品开发控制要在项目规划和系统设计阶段就考虑到充分性和有效性。
继成功完成数据集中工程后,工商银行的第三代业务系统NOVA全功能银行系统也顺利投产,其技术含量和应用功能在国内金融业处于领先水平。然而,伴随着科 技整合工程的不断推进,全行的业务数据及处理几乎全部集中到一个物理中心,版本测试在一个物理中心,核心系统的开发也全部由开发中心及所属研发分部承担。 在实现专业化运作的同时,信息系统的技术以及管理也变得更加复杂,系统生命周期中各个阶段的风险进一步加大。生产运行和操作的风险将成为事关工商银行信息 系统能否安全运行的重要因素,对其实行有效控制和防范也变得日益重要。在这种形势下,工商银行IT审计需要从商业银行公司治理和IT治理的高度,结合工商 银行综合改革和加强内部控制的具体要求,发挥战略决策参与作用,全面识别、评价全行的IT控制和风险水平,明确风险的分布、影响以及危害性,并根据评价结 果,向工行高管层或科技部门提出合理、可行的建议和方案,督促相关部门采取措施,控制、化解风险,确保信息系统的安全、稳定运行,从而确保全行业务正常而 快速地开展。 1.紧密围绕全行经营需求,推动IT治理及公司治理 2.遵循国际通行准则,建立国际标准框架下的标准和规范体系 3.明确IT审计的技术角色,突出IT审计的技术特色 4.借助先进技术,大力开展非现场IT审计 5.加强风险管理,规避IT审计风险 综上所述,目前工商银行的IT审计要面对复杂的形势,根据重要性和风险导向原则,明确IT审计重点,针对生产运行管理制度的调整,加强对数据中心相关控制的审查,为工商银行生产运行的安全和稳定保驾护航。 |
|