中国邮政储蓄银行开展信息系统审计面临的问题和对策

[摘要] 中国邮政储蓄银行信息化程度越来越高，面临着严峻的信息科技风险，全面开展信息系统审计势在必行。本文全面分析了邮储银行开展信息系统审计工作面临的困难，有针对性地提出推进信息系统审计的对策和建议。

[关键词] 邮政储蓄银行；信息系统审计；对策；建议

[中图分类号] F239.1 [文献标识码] A [文章编号] 1673 - 0194（2012）21- 0030- 02

1 中国邮政储蓄银行信息系统审计现状

自2007年3月中国邮政储蓄银行（以下简称邮储银行）成立以来，企业的信息化程度不断提高。信息科技已经成为邮储银行稳健运营和发展的重要支柱。但是，邮储银行对信息系统的依赖性也越来越强。信息系统在带来效益、效率的同时，也带来了巨大的风险，局部的故障极易引发银行业务交易失败甚至整个系统的瘫痪。目前邮储银行业务运营的特色就是数据大集中、业务大集中、信息科技风险大集中。因此，积极开展信息系统审计，有效防范信息科技风险已成为邮储内审工作的现实需要。

尽管邮储银行内审部门积极配合信息科技部门在科技管理和安全控制方面做了大量工作，各项控制措施不断得以完善和加强。但是，邮储银行的信息系统建设还存在一些薄弱环节，如重硬件投资建设，轻软件设计应用；重网络安全，轻信息安全；重被动防御，轻主动防御等，安全与应用结合薄弱，难以满足发展需求。邮储银行的信息系统审计工作起步较晚，信息系统审计在具体的实施过程中存在诸多问题。

2 中国邮政储蓄银行信息系统审计实践中面临的困难

2.1 信息系统审计的制度尚不完善

从国家层面来看，信息化条件下的审计方法、审计对象和审计技术都发生了很大变化，现行审计制度已不能满足金融机构信息技术发展的需求。从邮储银行自身来看，信息系统审计尚处在探索起步阶段，没有建立统一的行业标准和实务操作指南。这一切都影响了邮储银行信息系统审计工作的开展以及信息系统审计的效果。邮储银行审计人员也缺乏对信息系统审计方面的理论研究和实践探索。

2.2 信息系统审计控制措施有待提高

一方面，邮储银行信息系统审计的控制措施落实程度不够，信息技术人员的主动性和积极性有待进一步加强，预防性控制措施所占的比重较小，纠正性控制和检查性控制所占的比重较大；另一方面，邮储银行现行的信息系统控制措施在连续性和一致性方面存在缺陷，业务运行部门的良好控制措施可能会因为信息系统开发部门的控制措施不完善而不能起到预期的控制效果，反之亦然。

2.3 信息系统审计技术比较落后

信息技术的高速发展和广泛应用，使得企业的交易事项大部分由计算机系统自动完成，人工操作痕迹比较少，传统的审计线索荡然无存，充分适当的审计证据很难搜集。这就要求邮储银行的信息系统审计必须参与和融入信息系统建设整个生命周期的所有活动中去，包括信息系统的开发、设计、运行和维护等。但是在实际工作中，由于现有审计技术的局限性，审计人员完全处于被动地位。虽然邮储银行的审计人员也在逐步使用一些计算机辅助审计技术，但只停留在对被审计部门的电子数据进行处理阶段。从性质上来讲，仍然属于对事后工作成果检查性的控制和审查，没有充分发挥信息系统审计的真正作用。

2.4 信息系统审计专业人才匮乏

信息系统审计对审计人员素质要求比较高。从新加坡发展银行和美国大通银行的信息系统审计组织框架和人员配备上看，信息系统审计由于涵盖了软件开发、项目投产、运行维护的全过程，包含了信息系统生命周期的所有阶段，因此信息系统审计机构设置基本采用在总审计师领导下，与业务审计两条线并列的模式，人员专业化分工明确，技术水平要求也较高，懂信息技术人员的比例一般占审计人员的30%～50%。而邮储银行内审人员大多从原来的业务稽查岗位划转而来，在信息化技术的使用上还存在着欠缺；新招聘的人员，虽然具备财会和计算机等专业知识，但对银行业务却不甚了解，造成目前审计人员欠缺计算机专业知识，计算机人才欠缺审计知识的“两难”局面。邮储银行内审人员在数量和质量上与国内外同业相比，均有不小的差距，成为制约邮储银行推进信息系统审计的瓶颈问题。

3 邮储银行推进信息系统审计工作的对策建议

3.1 建立国际标准框架下的信息系统审计标准与规范体系

从国际同行的经验来看，大多数国际商业银行都在自己的信息系统审计体系下，遵循着一套行之有效的国际标准或规范。如COBIT、BS7799、COSO、ITIL等。邮储银行也要按照国际通常做法，结合本行实际，确立自己的信息系统审计标准与规范；同时，进一步明确信息系统审计的技术角色，强化信息系统审计的技术特色，结合本行的审计资源，把信息系统审计技术角色分为应用、系统、网络与硬件、管理4个大类。不同的技术角色分别负责信息系统生命周期中不同阶段的不同领域的控制、分析和评价，确立风险控制的重点，建立相应的风险评估指标，切实提高邮储银行信息系统审计的专业化水准。

3.2 建立全方位的信息系统审计管理体系

目前，邮储银行在对信息系统进行安全评价时，主要侧重反病毒、防火墙、系统备份等技术方面，而对信息系统审计在信息系统控制、风险管理以及公司治理中的作用没有给予足够的重视。因此，邮储银行要努力落实银监会颁布的《商业银行信息科技风险管理指引》具体要求，一方面，做好基础设施建设，科学设计和切实落实安全防护措施；另一方面，要重视信息系统内部审计的作用，抓紧完善公司治理机制，建立信息系统风险控制委员会，定期对信息系统风险管理情况进行研究，推进信息系统审计工作中故障发现、风险评估和风险防范措施的落实，督促指导信息系统审计人员的工作。从信息系统审计的对象来看，信息系统审计既包括软硬件系统，也包括对银行的业务持续性审计，以及信息系统项目的组织、策划、服务管理等诸多方面，因此邮储银行应借鉴其他商业银行开展信息系统审计的经验，其信息系统审计团队要由信息系统专家、银行业务专家、咨询专家等多方面的人员组成，主要的审计人员应具备信息系统审计师资格，以保证邮储银行信息系统审计工作高效运行。

3.3 推广先进的审计技术，建立科学的信息系统审计模式

从国际银行业界开展信息系统审计的模式来看，借助先进技术进行非现场审计已是大势所趋。邮储银行现阶段开展信息系统审计，应根据本行信息系统发展现状，将现场审计和非现场审计有效结合，合理配备审计资源，采用灵活的、可配置的审计模型及数据分析探测工具，构建科学、有效的风险识别、监测和评估体系；具体实施时，应从接近传统审计模式的制度审计、内部控制审计入手，逐步向系统内部深入；同时也要注意加强风险管理，规避信息系统审计风险；在关注重要性的同时，力求效益性，防止因审计不当，导致新的风险产生。

3.4 培养信息系统审计专业人才

信息系统审计专业人才培养是信息系统审计发展的前提和基础，也是一项长期的、系统性的工作。在具体实施时，可以考虑以下4个方面的内容。

一是专业人才的引进。从信息系统审计实践看，具有信息科技背景的人员和业务精通的人员是现实工作最需要的。因此，在人才引进方面应该兼顾两个方面的需求。

二是信息系统审计职业认证培训。职业认证培训相对成熟，可使审计人员获得全面、系统的知识，在组织内形成基础的知识共同体，以达成共同的认知和充分的沟通。邮储银行可以分批组织审计人员参与CISA（信息系统审计师）认证培训，提高专业素质。

三是信息科技专业培训。在认证培训的基础上，还应利用内部资源，在信息科技专业方面进行培训，如网络、操作系统、信息安全、应用系统等方面，以确保审计人员对本行信息科技充分了解。

四是专业化分工。由于银行信息科技的日趋复杂，信息系统审计内部的专业化分工是必然的选择。专业化分工可使邮储银行内审人员专注于某个领域，提高专业深度，有效地提高其信息系统审计的履职能力。

3.5 构建信息系统审计知识共享平台

鉴于信息科技自身发展迅速，邮储银行内审部门需要构建信息系统审计知识共享平台。该平台应该包括信息系统审计的审计标准、流程、测试点、审计案例等内容，并由专门人员进行维护，在全行审计条线内进行共享。这样做可以帮助审计人员更好掌握审计理念、技术和方法，为审计人员提供良好的沟通协作平台，保证了流程的规范性；同时也为审计人员提供了方便安全的证据查阅机制，为审计报告提供了量化参考，方便了内部审计和管理。

主要参考文献

[1]田佳林.信息系统审计简述[J].中国乡镇企业会计，2012（5）.

[2]罗锋，时文绮.城商行IT审计发展研究[J].金融电子化，2011（10）.

[3]熊晏锋.关于信息系统审计的思考[J].电脑知识与技术，2011（26）.