以“八个坚持”推动商业银行IT审计发展

李艳东

[摘要]本文以习近平总书记“八个坚持”重要论述为切入点，以某商业银行信息科技（IT）专项审计为例，系统阐述了“八个坚持”推动商业银行内部审计发展的路径，为相关工作的开展提供参考借鉴。

[关键词]商业银行    信息科技    审计

《习近平新时代中国特色社会主义思想三十讲》第二十九讲“努力掌握马克思主义思想方法和工作方法”涵盖了实事求是、战略定力、问题导向、全面协调、底线思维、调查研究、抓铁有痕、历史担当等“八个坚持”，不仅为党政机关开展工作引领了道路，也为商业银行内部审计工作指明了方向。

一、坚持实事求是，寻求审计真相

实事求是，是马克思主义的根本观点，是中国共产党人认识世界、改造世界的根本要求，是党的基本思想方法、工作方法、领导方法。在商业银行内部审计中坚持实事求是，基础是查清楚“实事”，即掌握审计证据、确认审计事实;关键是弄明白“求是”，即分析背后的成因，并寻求解决方案。

审计人员通过分析业务提交日期到系统上线日期的时间差，发现个别系统上线周期太长，难以满足业务快速发展的需要，这是“是什么”，属于实事的范畴。审计组进一步开展成因分析，发现背后存在需求文档质量低、审批流程环节多、特殊技术人员储备不足，这是“为什么”，属于求是的范畴。在此基础上，审计给出优化开发流程、进行敏捷部署、优化人员梯次等建议，这是“怎么办”。在审计过程中，必須牢记“是什么”“为什么”“怎么办”，将实事求是理念践行到审计查证中，才能从本质上推动内控缺陷的修复，从源头上推动问题的解决。

二、坚持战略定力，践行审计监督

在当今机遇和挑战并存的社会中，对于立足成为“百年老店”的商业银行，在战略方面必须拥有强大定力，并进行精准的预判、科学的决策、高效的落实、及时的纠偏。

审计人员通过分析全行的战略规划、任务分解、阶段落实情况，发现多个与信息技术相关的核心战略任务滞后，个别任务无法预测完成时间，存在影响战略收官的风险。信息技术已经成为商业银行数字化转型的发动机，对业务发展由过去的支撑作用转变为现在的驱动甚至引领作用，管理层对信息科技的重视也达到前所未有的高度。审计人员通过指出战略落地存在的问题，逐条分析成因，为管理层掌控全局情况、调整资源分布、规划未来蓝图、调整业务结构、定位精准客群提供了参考和建议。

三、坚持问题导向，挖掘审计价值

内部审计作为商业银行的“谋士”，必须坚持发现问题、剖析问题、解决问题、化解风险、防患未然，善于对表象问题进行下钻，探究问题的真相，才能实现审计价值，获得审计尊严。

业务审计人员发现，某业务系统对部分客户缺乏刚性控制，但并不清楚问题到底出在哪里。IT审计人员带着疑问在信息科技审计中进行了深挖。通过分析历次业务需求和查看信息系统的源代码，最终在数据和代码层面发现了问题的根源。随着数字化、智能化时代的到来，商业银行业务和技术的融合越来越紧密。内部审计过去关注管理是否制度化，现在更多关注流程是否系统化，关注是否可以通过信息系统的硬性控制来规范业务的开展。这需要审计人员既要懂业务又要懂系统，不仅了解系统现在是怎么控制的，还要分析存在哪些改进之处。

四、坚持全面协调，推进审计统筹

全面协调是以习近平同志为核心的党中央治国理政的鲜明特征，反映了唯物辩证法的根本要求。内部审计作为商业银行的卫士，必须具备顶层视野、系统思维、统一两点论与重点论，从全行发展的大局审时度势处理审计事项。

内部审计经常面对内控设计层面的问题，一方面部门职责存在重叠，另一方面管理存在真空。商业银行审计部门必须树立大局观念，从法人层级思考问题，从全局角度把握风险，搜集各方陈列事实，客观描述来龙去脉，中立判断权利责任，深入解读监管要求，鲜活剖析同业案例，合理提出审计建议，触发管理层的反思和总结。只要管理层拍板决策，各部门就会高度重视，修复内控缺陷，重新界定责任，开展协同工作，统筹推动审计发现问题后续整改。

五、坚持底线思维，防范审计风险

内部审计作为商业银行风险管理的“第三道防线”，需要利用专业能力分析判断发现问题的风险是否在容忍范围之内，对于监管红线必须做到零容忍。

为降低因信息系统服务异常导致的重要业务运营中断风险，快速恢复被中断业务，保障客户权益，商业银行会针对重要信息系统在同城主用机房、灾备机房和异地灾备部署冗余设备和线路，实现“两地三中心”高可用的灾备体系架构。并且，商业银行每年都会针对重要场景进行切换演练，验证灾备体系的可用性和完备性。审计人员通过调阅切换演练记录、分析操作日志、访谈关键人员，发现个别系统切换演练不到位，无法真实反映灾备中心的实际接管能力。

六、坚持调查研究，寻求审计线索

习近平总书记指出，没有调查，就没有发言权。商业银行内部审计，同样需要通过调查研究摸清事实真相，把握问题本质，找到解决途径。

为了获取某已下线的系统客户体验较差的审计证据，审计人员进行了多方面尝试，包括查阅系统历史日志记录，访谈系统开发人员，均没有取得突破。但是审计人员没有气馁，仔细分析各种材料，最终在开发部门的一份工作总结中找到新系统与旧系统的参数对比和客户体验差别分析。用彼之矛，攻彼之盾。最终，审计人员确认该系统确实存在客户体验差的问题。审计人员之所以报告已经修复的问题是希望组织能够引以为鉴，避免重蹈覆辙。在充分获得开发人员的理解后，开发人员向审计人员坦诚交流了此前管理中存在的问题，并与审计人员一起探索审计建议。

七、坚持抓铁有痕，做实审计积累

空谈误国，实干兴邦。商业银行内部审计必须发扬钉钉子的精神，锲而不舍，一步一个脚印坚持下去，才能切实做出成效。

为了确认某更新的制度在部分条款上较以往制度有所弱化，审计人员从多方面进行挖掘和探索，包括对事件清单、变更记录、测试记录、业务验收报告等进行关联分析，将该制度与同业制度进行横向对比，将该制度与历史制度进行纵向对比，结合监管的检查案例进行实证分析，最终取得了令被检查对象心服口服的审计证据。作为内部审计人员，必须胆大心细，不轻易放过每个细节，并在平时做好点滴线索的积累，才能在现场沟通和确认时做到有理有据、使人信服。

八、坚持历史担当，提升审计前瞻

历史是最好的教科书。商业银行内部审计同样需要知古鉴今，借鉴银行内外部历史经验教训，为行内决策敲醒警钟，避免管理盲区，防止重蹈覆辙。

根据管理层要求，某行信息技术人员数量将在近年内实现指数式、爆炸性增长。从合规角度看，这并没什么不妥。但是人员急速扩充，对一个组织而言，必须提前考虑布局各项事宜，才能实现1+1>2的战斗合力。审计组有必要对技术部门进行提醒。因此，审计组在审计报告中建议，技术部门充分评估和应对团队扩充后面临的挑战，并制定适应银行现状的培养机制、岗位结构、梯级建设、激励约束、员工职业规划等，稳妥、有序推进银行信息科技人才战略的落地实施。唯有善于面向未来、未雨绸缪，内部审计才能做好企业的“谋士”，为组织提供更有建设性的建议，促进提升组织竞争力和市场影响力。

（作者单位：中国财政科学研究院，邮政编码：100142，电子邮箱：leeyandong@aliyun.com）

主要参考文献

李岩.针对商业银行业务部门的IT审计[J].中国内部审计， 2018（11）：43-45

王远伟，刘永生，任程泽.商业银行内部IT审计的数理逻辑与审计实践分析[J].审计研究， 2019（5）：59-67