2011年信息科技非现场监管年报显示,全国各类银行中,IT内审人员总数接近800人,占所有内审人员的比例不到5%。IT审计范围比较有限。国外先进银行几乎全部开展了一般控制(GCR)和应用控制(ACR)的全方位IT审计,还重视IT审计与业务审计结合起来的综合审计、对IT外包服务提供商的审计。
国内银行大多只开展了一般控制审计,仅涵盖银监会《商业银行信息科技风险管理指引》中的有关领域,只有少数银行开展了IT与业务结合的综合审计。IT审计方法比较简单。国外先进银行一般采用以风险为基础的审计方法,同时注重非现场审计,强调利用计算机手段与专业安全审计软件。而国内大多数银行只采取一些传统的审计方法。
IT外审开展不充分。国外先进银行开展IT外部审计比较常见,在新系统投产、IT事故的相关调査、银行内审部门尚无专业人员和资源、对外包服务提供商进行审计等情况下,会开展专项IT外审。相比而言,国内银行IT外审开展较少,一般将IT外审作为财务报表审计的一部分,于年度审计时进行,每年开展一次。缺乏对IT外审的风险管控手段。国外先进银行的IT外审风险管控体系较为完善,分为事前预防、事中控制和事后监督三个方面。而国内银行大多缺乏IT外审风险管控手段。
强化银行业IT审计的政策建议出台银行业金融机构IT审计指弓丨。对IT审计规范体系、组织架构、审计队伍、审计范围、审计方法和手段、外部审计及其风险控制机制等方面做出具体规定。通过IT审计指引,督促银行建立和完善IT审计机制,推动银行重视并切实推进IT审计工作,同时为银行开展IT审计工作提供指导和依据。在监管工作中加大对IT审计的关注。
一是将IT审计与业务准入相结合。如银行在申请开展网上银行、手机银行等与IT风险密切相关的新业务时,要求银行提前开展内部专项审计敦促银行加强应用控制审计,逐步开展IT绩效审计,重视IT审计与业务审计结合起来的综合审计,特别是加强对重要外包服务提供商的审计。
二是在银行IT监管评级中,加大IT审计的权重,增强对银行IT审计的硬约束。建立常态化的监审联动工作机制。建立与银行IT内外审部门的定期沟通机制,及时了解银行IT风险情况,并结合银行内外部I丁审计结果,合理安排有限的监管资源。搭建银行业IT审计沟通交流平台。建立银行业IT审计的沟通机制,加强对IT审计标准和规范、审计方法和手段的学习研究,促进银行取长补短,提升银行业整体IT审计水平。
作者:朱峰 庄嵩 单位:福建银监局信息科技监管处
