浅议中小商业银行基于风险控制的IT审计

申亚君 华夏银行股份有限公司

前言

改革开放以来，我国社会主义现代化市场经济发展越来越好，各行各业都取得了较为丰硕的成果，改革开放不仅推动了我国现代化建设的发展，更是直接促进了我国金融业的提升，信息技术的出现以及提升为当前的商业银行经营和发展带来了一定的改革和创新，同时也成为商业银行未来长远发展必须考虑的重要因素。信息科学技术在为中小商业银行发展带来机遇的同时也带来了一定的困难，越来越多的商业银行对于现代化信息系统依赖性越来越强，现代化的科技信息技术既能够为商业银行的发展带来一定的便利和满足，同时也存在着各种各样的风险和隐患。

一、当前我国中小商业银行风险控制发展现状

近些年来我国社会主义现代化市场经济发展越来越好，各个商业银行也取得了快为较为迅速的成果，然而近年来不少商业银行信息科技安全事故却此起彼发，比如2014年6月24日某农商银行机房内发生了电路故障，导致了严重的火灾，机房内的大部分设备都受到了损坏，2015年5月8日某城市的商业核心数据库发生了故障，造成该银行柜面以及渠道业务长时间中断。

以上的几起案件都充分暴露出当前我国社会主义现代化发展过程中部分商业银行信息科技管理存在的诸多隐患以及风险，对于现代化商业银行来说，信息系统的安全性和科学性具有非常重要的影响，一旦系统发生故障错误或者丧失功能的时候，将会对银行的日常业务进行造成一定的损失和后果，继而引发一系列的重大问题。

基于种种事件的发生，因此我国开始借鉴发达国家先进的IT审计理念，通过系统访问控制审计和系统运行控制神器等各种现代化技术方法，及早发现银行内控制度漏洞以及管理过程中存在的薄弱环节。在发现问题的同时，现代化IT审计能够及时的提出合理的解决措施，有效地识别和规避风险，对所依赖的信息以及信息系统进行安全科学的合理，这样保证中小型商业银行的系统运行安全稳定。同时通过现代化IT审计，可以有目的的加强对银行内部的控制和监管，不断提高银行企业自身的信息服务质量。

二、It审计风险以及重要性

It审计风险的定义我们可以理解为在审计过程中并没有发现信息错漏以及可能存在的重大错误所产生的风险。It审计风险主要包括检查风险，整体审计风险，控制风险固有风险等等。

1.固有风险

顾名思义，固有风险就是指it活动在缺乏固执的情况下产生错误的操作，从而引发出一系列重大错误的风险。

固有风险的范围非常广泛，具体可以分为制度建设不合理带来的风险、缺乏现代化奖惩措施带来的风险、没有制定与监管要求相适应的管理方法和规章制度所带来的风险、不重视信息科学技术带来的风险信息科学技术理念不充足带来的风险。同时在开发测试运营存档以及员工自律行为方面，也有可能产生不同程度的控制风险。

此外在日常运营过程中，如果缺乏监察力度也会造成不同程度的风险，在发现员工存在违规行为时，如果并没有及时采取有效的惩罚产生政策作用，也会产生一定的审计风险，此外，员工的技能必须要与商业银行的义务发展相匹配，否则也会带来不必要的风险。

2.控制风险

控制风险是指IT活动相关的内部控制系统并不能及时有效地预测出存在的故障以及错误从而所产生的风险。

常见的控制风险包括系统数据带来的风险以及网络环境带来的风险和系统控制风险。在进行数据输入的时候一定要进行严格的控制，否则会造成相关的数据错误。系统环境风险包括硬件环境风险以及软件环境风险两种，一方面是因为计算机系统本身的复杂性以及信息系统的网络化所带来的风险，另一方面是由于计算机设备的多样化带来的风险。

3.检查风险

检查风险的含义是指通过预定的审计系统未能发现其中存在的错误所带来的风险。常见的检查风险主要分为审计管理、风险审计技术风险以及人员操作过程中出现的风险。

三、中小商业银行信息科技内部审计面临的问题

1.审计人员不足

当前在中小型商业银行审计工作进行过程中，普遍存在着IT审计岗位编制不足、审计人员专业能力不够、专业技术理念不强的现象。在以往的工作进行过程中，大多是针对业务的审计，并没有对信息科技方面进行重视，也缺乏两者之间的相互结合，而信息科技内部审计力量的薄弱极大地制约了信息科技内部审计的有效性和科学性。

2.缺乏规范的IT审计办法

大多数中小型商业银行在进行it审查时只是对目标检查，并没有制定出科学合理的现代化审计方法，对银行信息科技风险管理姓郑的认识和经验不足，在进行IT审计过程中并不知道从哪里开展工作，也无法把握到IT审计工作的重点，从而很难发现其中存在的问题和缺陷。

3.It审计手段落后

当前大部分审计部门并没有专门的审计平台以及专业工具，因此对于某些重要的业务系统没有办法进行及时准确的审计，某些情况下也会过分的依赖科技部门，导致审计工作的效率降低。

三、如何采取行之有效的风险控制审计技能办法

1.善于从业务部门以及it事件推动内部控制体系建设工作

It风险防控不能仅仅依靠科技部门，而是要银行内部所有部门的共同参与和密切配合，审计对象也不仅仅只局限于科技部门，必须要通过对业务部门的访谈和了解，共同分析科技部门是否按照业务部门的需求进行相关的开发，开发工作是否落到实处。在重要业务系统使用以及日常安全管理方面，我们要善于发现工作过程中的漏洞以及缺陷，比如在客户敏感信息的保护方面需要进行重点的关注和审计，不断增强银行内部的IT风险防范意识。对于科技部门，我们要善于将it突发事件作为实际工作开展的入口，既要关注事件的处理过程以及结果，更要对事件进行总结，获取相关的经验。

2.抓住审计重点，强化应急管理

对于中小型商业银行来说，进行IT审计必须要果断抓住审计重点，梳理银行过程中的风险关键点，通过风险点揭示，以此来找出技术和管理层面上的问题和不足。此外必须要加强应急管理，强化在审计过程中制定出应急的预案，关注It突发事件之后的应急响应和处理。

3.协同工作形成合力

审计部门的It审计岗位与科技部门的内控岗必须要相互交流和协作，根据银行实际发展现状，创建出一套科学合理的现代化审计框架以及控制目标。在IT控制点与风险库的建立方面，应该不断发挥主观能动性，找准每个控制点以及相应的风险敞口。

四、结束语

中小型商业银行要想不断控制IT审计的风险、取得更好的发展，必须要不断重视其审计方法、审计理念以及审计制度的创新和整理，不断降低风险，促进行业发展。