商业银行信息科技风险全面审计研究

何连峰　杨叠叠　苏丽杰　袁美芬

【摘  要】近年来，商业银行的业务和规模迅速扩大，信息系统应用不断深化，而对信息科技的持续投入，又引发对信息科技风险的关注。为进一步推动商业银行信息科技高质量发展，提升信息科技风险的管理和控制能力，深入有效防范信息科技领域风险，实现商业银行信息科技的稳定、可靠、可持续发展，依据国内外信息科技风险管理最佳实践和行业标准，《商业银行信息科技风险管理指引》和《银行业金融机构外部审计监管指引》等现有的规范、指引，论文提出必须积极开展商业银行信息科技风险全面审计，并就发现的问题提示被审计银行管理层加以整改，以提高我国商业银行应对信息科技风险的能力。

【关键词】商业银行；信息科技风险；全面审计

【中图分类号】F239.4；F832.33                                             【文献标志码】A                                                 【文章编号】1673-1069（2023）06-0082-03

1 商业银行信息科技审计的研究与应用现状

信息科技审计，是以信息科技风险为导向，通过综合运用系统化、规范化的方法，检查评价并改善信息科技风险管理、内部控制和数据治理的效果，促进组织稳健发展和战略目标的顺利实现。

早在1992年美国COSO委员会发布《COSO内部控制整合框架》，该框架已在全球获得广泛的认可和应用，其中就通过“信息与沟通”的维度，来保证企业和组织内部控制的有效性。我国对信息系统审计也非常重视，1999年2月，中注协发布了《中国注册会计师独立审计具体准则第20号——计算机信息系统环境下的审计》，该准则指出：对于像银行等信息化程度高、对信息系统依赖大的行业，信息系统审计尤为重要。2009年6月1日，银监会发布《商业银行信息科技风险管理指引》提出了商业银行信息科技风险管理的“三道防线”——信息科技管理、信息科技风险管理、信息科技风险审计。2017年4月，银监会发布的《关于银行业风险防控工作的指导意见》（银监发〔2017〕6号）指出：“加强信息科技风险防控。”综上所述，在以金融科技为引领的大背景下，商业银行信息科技风险全面审计重要性变得日益突出。如何高效合理地进行审计，也成为当下商业银行审计人员的工作重点。

2 商业银行信息科技风险全面审计的依据

近年来商业银行外包资源的持续投入，引发了对信息科技外包风险的关注。同时，在以金融科技为引领的大背景下，业务连续性、突发事件风险防范、银行卡支付敏感信息安全、客户信息保护仍是银行业持续关注的重点。此外，随着数据质量对商业银行管理价值的不断提升，数据治理工作在金融科技领域的重要性也不断提高。中国银行及银监会对商业银行的要求不断提高，信息科技风险管理相关文件如表1所示。

3 商业银行信息科技风险全面审计的流程

信息科技审计程序应包括：审计准备、审计实施、审计报告、后续审计等4个阶段。

3.1 审计准备

审计准备阶段的主要目标是理解农商行信息科技环境和风险偏好，获取充分的信息以便为其他阶段的审计工作做好准备。首先，要了解基本信息，组织结构、业务规划、信息科技战略、汇报路径、信息科技主管部门及职责、信息技术风险管理架构等。其次，明确审计目标与范围，基于了解基本情况下，进一步优化审计目标和审计范围。再次，确定审计重点。在确定项目的范围和目标后，基于基本信息的了解，确定审计重点。最后，编制项目方案，根据工作范围、审计重点，制定项目实施方案。

3.2 审计实施

审阅审计抽样样本，依据恰当的审计标准，通过合理的审计方式，全面识别信息科技管控过程中存在的风险隐患，并提出恰当的改进意见。信息科技风险全面审计工作流程如图1所示。

审计过程中往往会采用不同的方法应对问题，审计方法主要有人员访谈、资料审查、系统检查、工具检测等。

3.2.1 工作内容

①识别控制活动：通过访谈及制度分析，识别各领域中各模块的控制目标、控制活动，如变更管理包括变更申请、风险评估、变更执行、变更回顾等。②测试控制活动：选择恰当的抽样样本，审阅审计抽样样本，依据恰当的审计标准，通过询问、观察、查看文档记录以及进行穿行测试方法评估控制的有效性，将测试结果记录在审计底稿中。③问题发现确认：根据审计底稿，分领域按事实、标准、依据、影响、原因、建议等编写确认书，并进行排序。④沟通审计发现：与被审计人员就审计确认书中事实的真实性、建议的有效性与当事人进行沟通确认，并形成审计报告管理层建议书提交给被审单位管理层。

3.2.2 工作方法

信息科技审计实施过程中，审计人员将在了解和熟悉现有信息科技情况的基础上，通过与信息科技部门、业务部门的充分溝通并进行综合分析，找到每个领域的切入点和实施路线图，通过文档分析、人工访谈等审计程序发现审计线索，通过场景式测试、流程图法、案例法等方法进行控制测试，确认证据，提出审计发现和管理建议。

①编制底稿。通过基础情况的了解，结合监管要求，明确具体审计内容，编写审计底稿，并与客户进行确认。

②线索获取。对所收集的材料进行统计分析，获取关键信息或审计线索。线索获取及审计要点如表2所示。

③识别控制。从控制角度看，信息科技审计的对象为该行所设计的IT控制，IT控制一般分管理控制、技术控制、物理控制3种，具体如下：管理控制：与监督、报告、程序和流程操作相关的控制，包括政策、程序、人员管理等。技术控制：通过使用技术、设备或装置来提供的逻辑控制，如防火墙、防病毒、密码等。物理控制：物理控制包括门锁、围墙、闭路电视以及为了以物理方式限制某个设施或硬件而安装的装置。通过对制度的分析和关键岗位人员的访谈，确定信息科技各个领域的控制措施，具体控制措施如表3所示。

④审计抽样。审计抽样是实施控制测试的重要环节，一般分为以下4步进行：首先，確定抽样测试的目标，即确定要测试哪个控制，测试的目的是什么。其次，确定样本总体和样本单位，在确定样本总体和样本单位时，要保证样本总体的相关性和完整性。再次，确定样本量，依据商业银行内部情况，对商业银行信息技术控制环境的初步分析，判断目前信息科技风险存在较高风险的领域，以确定选取较高风险程度对应的最小样本量作为抽样原则。最后，确定抽样方法，常用的抽样方法包括随机选样、系统选样和随意选样3种。

⑤执行测试。测试过程中，我们将采用场景式审计、数据式审计、案例式审计、流程图审计、技术检查等不同审计方法，对控制点的设计及执行有效性进行具体测试，将测试结果记录在审计底稿中。

⑥获取证据。通过分析性复核，获得各类证据。除一般性审计证据外，以电子信息形式存在的审计证据还包括：系统配置，指在信息系统中实现信息系统功能或性能的逻辑或参数配置，如自动计算逻辑和参数表等；系统日志，指信息系统在执行由自动程序或手工触发的指令或任务时在系统中自动生成的操作记录；业务数据，指通过信息系统进行业务流程操作时在信息系统中产生的业务交易数据；测试结果，指测试案例选择及测试收敛情况等。审计证据应当支持审计发现与审计结论。审计证据的时效性在支持审计发现与审计结论时是非常关键的因素，审计人员应保证所收集证据的正确性、相关性、时效性及可接受性。

3.3 审计报告

信息科技审计实施后，审计人员针对审计中发现的问题，以充分、可靠的审计证据为依据形成审计意见与建议，通过与当事人及相关负责人就信息科技审计的概况、发现、结论和改进意见进行沟通和交流，最终确定后，正式出具审计报告。

3.4 后续审计

审计人员出具审计报告后，向被审计单位发出管理层建议书，被审计单位要对审计报告提出的问题，认真分析原因，制定整改计划，落实整改责任，确保在规定的时间内完成整改，并报送整改情况报告。审计人员要根据被审计单位的整改报告情况，适当调整审计重点，进行整改后续审计，跟踪整改落实情况，确保审计成果充分运用。

4 商业银行信息科技风险全面审计有效运行的保障措施

4.1 正确认识信息科技风险全面审计

随着移动互联网的兴起和云计算、大数据等新技术的应用，信息科技已成为推动银行转型发展的重要手段。理事会、高级管理层应充分认识新形势下信息科技所创造的价值和带来的风险，从战略高度统一对信息科技的思想认识。增强科技创新意识，逐步改变“信息科技是纯技术支撑工具”“信息科技部门的定位即是确保应用系统不间断运行”的认识，让科技充分参与决策，真正将其提高到支撑与引领业务战略、提升核心竞争力的高度。增强科技风险管理意识，把信息科技风险管理工作提高到战略高度、全局高度，将信息科技风险控制前移，将之前的单纯技术防范转变为主动的信息科技风险管控，从而变被动防范为主动预防。

4.2 推进业务与信息科技的融合

从长远角度加强顶层设计，明确发展方向、制定发展战略，适应业务发展对规划调整速度的需求。构建灵活、稳健、可扩展的企业级应用架构体系，加强应用架构集中管控和设计，以快速适应市场需求和业务需求的变化。推动业务部门与信息科技部门建立良性互动、密切协同的成熟的合作伙伴关系，建立定期、高效的信息科技与业务协同机制，集思广益、达成共识，提升业务部门满意度。制定大数据战略规划，明确数据管理职责，突破部门壁垒，促进跨部门信息规范共享，提升数据应用能力。

4.3 加大信息科技投入

加强信息科技队伍建设，持续加大科技人员的配备力度，确保人员数量、技术能力与其建设、维护管理的信息系统规模相适应，健全科技人员的激励与约束机制，提高科技人员积极性和执行力。重视信息科技自身能力建设，一方面切实加大信息科技培训力度，提升信息科技人员能力；另一方面可适当引入外部专业机构，协助“练好内功”。加大信息科技基础设施投资力度，开展IT多活架构转型升级，实现数据中心多活、应用多活、数据多活，提高重要业务系统和关键基础设施的冗余能力。加大对前瞻性、创新性研究和应用探索的投入，全方位开展科技创新。

4.4 健全信息科技风险管理体系

将风险管理贯穿到信息科技活动全生命周期的各环节，营造全员参与、主动参与的风险文化，全面提升信息科技风险管理合规意识。提高软件质量，加强开发过程管理，完善测试管理，强化版本管理，从源头上控制生产风险。针对物理环境、网络、系统、应用、终端及数据等安全保护对象，层层布防，以应对各种安全威胁。构建网络安全态势感知平台，动态监测分析网络流量和网络实体行为，准确把握网络威胁的规律和趋势，提升应对重大网络威胁和突发事件的能力。加强客户信息保护，将客户信息保护工作提升到金融消费者保护层面进行统筹考虑，构建覆盖客户信息全生命周期的保护体系，保护客户信息全生命周期的安全。全面管控外包服务风险，以“信息科技管理责任不外包”为原则，通过强化准入管理、外包商选择、合同管理、人员管理、服务监控等环节加强信息科技外包管理，逐步降低对外包的依赖程度，同时应避免出现长期依赖单一外包商的被动局面。

【参考文献】

【1】Anagnostopoulos， I. Fintech and regtech： Impact on regulators and banks[J].Journal of Economics and Business，2018（100）：7-25.

【2】Earley C. E. Data analytics in auditing： Opportunities and challenges[J].Business Horizons，2015，58（5）：493-500.

【3】德阳银行股份有限公司.以风险为导向 以内控为主线全面开展中小商业银行信息科技审计[J].中国内部审计，2017（07）：40-43.

【4】刘雷，徐如双.大数据环境下商业银行内部审计增值功能发挥路径思考[J].中国内部审计，2022（10）：26-31.

【5】解培.大数据背景下银行业信息化建设与信息科技风险管理研究——评《银行大数据应用》[J].中国科技论文，2022，17（08）：949.

【6】陈伟.金融科技风险审计：现状与展望[J].中国注册会计师，2020（09）：72-74.

【7】陈伟，李晓鹏，居江宁.基于大数据技术的信息系统用户及权限管理审计研究[J].中国注册会计师，2019（02）：74-79.

【8】刘庆锴.城商行信息科技审计方法探讨与实践[J].国际商务财会，2018（03）：75-76+96.

【9】佚名.健全机制 加强管理 提升银行信息科技风险防控水平[EB/OL].https：//ishare.iask.sina.com.cn/f/34LHY6GN3zZ.html，2017-09-28/2023-01-18.

【10】卓育强.政务信息系统审计研究[D].广州：广东财经大学，2020.

【11】高云祥.信息化建设绩效审计初探[J].全国商情（理论研究），2013（06）：39-40.

【基金项目】中国智能财务研究院重点科研课题“智能财务发展的数字化基础环境研究”（项目编号：2021IFRI05）。

【作者简介】何连峰（1979-），男，黑龙江鸡西人，高级会计师，研究方向：智能财务、财务舞弊。