《省级联社管理模式下农商行IT审计_现状与发展_韩华溢.docx》由会员分享,可在线阅读,更多相关《省级联社管理模式下农商行IT审计_现状与发展_韩华溢.docx(3页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2019年9月第22卷第17期中国管理信息化China Management InformationizationSep.,2019Vol.22,No.l7省级联社管理模式下农商行IT审计:现状与发展韩华溢(江苏省农村信用社联合社,南京210019)摘要随着信息科技的蓬勃发展以及交易数据大集中的实现,农商行对信息系统的依赖性越来越强,面临的IT风险也越 来越大,而农商行IT审计发展则相对滞后。本文总结了省级联社管理模式下农商行IT审计的现状,全面分析了当前农商行 IT审计面临的困难与瓶颈,在此基础上从理念、体系、队伍、平台以及模式等方面提出了未来发展路径,以期推动农商行IT 审计更加有序开展。
2、关键词IT审计;农商行;内部审计doi: 10. 3969/j. issn. 1673 - 0194. 2019. 17. 013中图分类号F239.45 文献标识码A文章编号1673-0194(2019)17-0030-031 引言近年来,随着信息技术的快速发展,尤其是大数据、云技术、 移动互联等新技术在农商行的广泛应用,极大地拓展了业务空 间和服务手段,为农商行的经营发展提供了强大动力,带来了巨 大经济效益。但与此同时,伴随新技术应用而来的IT风险却更 加多样化、复杂化和难以管控,其可能造成的损失和影响也更加 巨大。早在2009年,原银监会就颁布了商业银行信息科技风险 管理指引,提出要构建
3、信息科技风险管理的“三道防线”,并要收稿日期2019-03-09作者简介韩华溢(1981-),男,江苏东台人,江苏省农村信用社 联合社审计部副总经理,硕士,主要研究方向:内部审计。求审计贯穿信息科技的整个生命周期和重大事件,反映了 IT审 计在信息科技风险管理中的重要地位。2018年6月中国银保监 会通报多起利用银行系统漏洞或安全机制缺陷盗取资金的案 件,情节令人震惊。在此背景下,农商行内部审计工作必须切实 履行信息科技风险管控的“第三道防线”职责,主动应对挑战,有 效开展IT审计项目,发挥自身价值,服务农商行高质量发展。2 农商行IT审计在实践当中的做法当前,绝大多数省份在对农商行(包含农合
4、行)的管理上,采 取了省级联社和农商行两级法人的管理模式。省级联社承担了 管理、指导、协调和服务的职能。与其他银行相比,省级联社管理 模式下的农商行在科技建设方面有着更为独特的模式,一般都 采用了“大平台、小法人”的科技管理模式,省级联社层面均设置 科技相关部门,大部分市县农商行由于受到资金、人员等条件限分公司的财务资金,通过建立资金结算中心来统筹和管理好企 业资金。部分大型上市的企业也可以通过建立专门的财务管理 公司来开展企业资金的集中管理,加强对企业资金的控制和管 理。不管是资金结算中心还是专门的财务管理公司,都要对企业 的资金开展综合性的管理,要做好企业资金的筹措工作,做好资 金的管理,
5、提高资金的使用效率,加强对流动资金的监督等工 作,从而更好地发挥企业财务集中管理的作用。3.5加强企业内部的审计工作为了进一步完善对企业财务工作的监督,完善企业内部的 审计工作至关重要,为此企业要做好内部的审计工作,特别是做 好财务的审计工作。在开展企业财务审计工作过程中,审计人员 需要对企业的财务情况、经济活动开展的真实性、企业的经营成 果等进行控制审核,针对企业财务管理中存在的问题,做出相关 的解决建议,保证企业资金的安全性,提高企业资金的使用效率。 4 结语总而言之,企业在经营过程中,如果缺乏对财务集中管理的重视,将无法对财务风险实现有效的控制,也无法保证企业的正 常发展,为此企业要加强
6、对财务集中管理工作的开展,完善集中 管理的策略,加强对企业财务工作的控制,从而更好地提高企业 的核心竞争力,促进企业的可持续发展。主要参考文献1J王雯霞.集团企业财务管理中存在的问题及完善对策J.管理观察, 2018(25):167-169.2 张红梅.信息化时代下的财务集中化管理J.现代盐化工,2018,45 (4):113-114.3 邓雪梅.探究我国集团企业财务管理的现状与发展J.经贸实践, 2018(8):160,162.4 王海峰.论企业财务集中管理模式的应用策略J.财会学习,2017 (10:65.30 / CHINA MANAGEMENT INFORMATIONIZATION会计
7、信息化制,科技研发基本依托于省级联社统一的、集约化的系统建设, 自身只负责简单的软硬件管理和维护,也有部分省份赋予农商 行自主研发非核心软件系统的权限。对信息科技风险开展独立有效的评价是农商行内部审计的 主要职责之一。科技建设的“二元管理模式”决定了农商行的IT 审计具有其不同于其他银行的独特性。笔者通过查阅大量资料 并实地走访,总结出当前省级联社管理模式下农商行IT审计实 践可概况为以下几点:(1) 从治理结构上看,按照监管部门要求,目前各农商行内 审部门基本都直接向董事会报告。部分农商行能够在部门内设 立专职IT审计岗,专门负责全行IT审计,少数有条件的农商行 还单独成立了 IT审计中心,
8、独立于IT部门,体现了管理层对IT 风险控制的高度重视。(2) 从团队建设上看,农商行一方面通过内部选拔机制从科 技部门调人具有IT从业背景、熟知银行相关业务的专业人才, 组建IT审计团队;另一方面加强专业培训,聘请外部专家开展 商业银行IT审计人门培训、在专项审计时采取跟班培训、以老 带新等方式提高IT审计团队整体素质,达到IT审计资源储备的 目的,以应对越来越高的IT审计需求。(3) 从项目实施上看,农村商业银行IT审计起步较晚,总体 水平并不是很高。能开展监管部门要求的所有信息科技相关类 别审计项目的农商行占比极低,仅有少部分农商行开展过针对 信息科技风险的全面审计,一些在省联社层面独立
9、开展了部分 信息科技的专项审计项目。(4) 从系统建设上看,农商行能够在实践中积极推进内部审 计的信息化建设,绝大部分省级联社统一开发上线了审计系统,发一系列审计模型,及时发现审计线索,锁定审计重点,为提高 现场审计效率和质量提供了有力支撑,促进了审计模式的转变。 3 农商行IT审计面临的瓶颈与困境当前,大多数农商行管理层能够认识到,IT审计对于促进信 息科技风险防范责任重大,必须在多方面有所突破、有所创新、 有所提升,但要进一步推进,却面临着诸多的困难,如对IT治理 没有明晰的认识,缺少IT审计方法与规范,审计力量薄弱,上下 联动不够等等,这些问题严重阻碍了 IT审计工作的进一步推 进,也导
10、致出现了“第三道防线”的履职瓶颈。3.1对IT审计的定位认识模糊业内对IT审计的认识,经过了技术导向、控制导向、风险导 向三个阶段,先后产生了 BS7799、SP800、IS027005、COBIT等代 表性框架。目前普遍认为信息科技风险应融人企业全面风险管 理中,成为整个企业治理框架的重要组成部分,其代表性框架为 ISACA(国际信息系统审计协会)发布的Risk IT。但是目前农商行对IT审计的认识不足,大部分仅限于应付 监管部门要求,有的认为IT审计必须完全依赖于专业技术人 员,有的认为IT风险的第三道防线根本就是空谈,有的仅关注 科技管理或业务连续性,只有少数单位意识到系统控制应与业 务
11、风险防范相结合。认识上的不足,导致大多数农商行目前投人 的人力物力,与快速发展的业务相比存在不小的差距,制约了 IT 审计的工作质量。3.2审计的广度和频率不够按照人民银行及银保监会相关要求,农商行审计部门必须 开展的信息科技审计至少包括信息科技全面审计、业务连续性 专项审计等9项,并规定了开展审计的最低频率,见表1。实现了对全部交易数据的存储、查询、分析和管理,通过创建开表1监管部门对信息科技审计要求序号内容审计频率要求文件依据1信息科技全面审计每三年商业银行信息科技风险管理指引2业务连续性审计每年商业银行业务连续性监管指引3数据中心审计每三年商业银行数据中心监管指引4外包风险审计每三年银行
12、业金融机构信息科技外包风险监管指引5突发事件风险防范评估及审计(可与业务连续性合并)每年银行业重要信息系统突发事件应急管理规范6网上银行审计每两年网上银行系统信息安全通用规范7支付敏感信息审计每年两次中国人民银行关于进一步加强银行卡风险管理的通知8信息科技重大事件、安全事故审计不定期商业银行信息科技风险管理指引9重要信息系统变更审计不定期银行业重要信息系统投产及变更管理办法与监管要求相比,绝大部分农商行不能满足监管要求,距离 监管要求有很大差距。从信息科技监管评级方面看,大多数农商 行都存在信息科技审计未开展、审计覆盖面不足等问题,影响了 农商行信息科技评价总体评分。3.3缺乏足够的IT审计专
13、业人才IT审计专业性强、技术门槛高,充分履行“第三道防线”职责 需要既懂得信息技术、了解银行业务又具备一定审计经验的专门人才。一方面,内审部门具有IT背景的审计人员少之又少,相 当一部分农商行尚未配备具备信息科技背景的审计人员,缺少 独立开展IT审计的必要条件。同时,独立开展农商行IT审计,特 别是全面审计对IT审计人员配备的要求很高,而单家农商行由 于审计队伍总人数限制、IT审计人员专业较为单一、培养成本高 等因素,造成不具备招募维持大量IT审计人员的条件,导致专 业人才紧缺成为制约审计部门履行IT审计相关职责的瓶颈。另CHINA MANAGEMENT INFORMATIONIZATION
14、/ 31会计信息化一方面,大部分农商行开展IT审计的时间较短,IT审计人员多 来自科技部门,虽然有较丰富的信息系统开发或运维经验,但审 计技能还有待提高,也影响了内部审计的成效。3.4缺少规范的IT审计技术方法当前,农商行IT审计工作缺乏基本的系统性和规范性,各 农商行对于信息科技的审计缺少规范有效的方法、措施和数据 模型,大多尚停留在制度的完整性遵循性检查层面,发现的也通 常是表面合规问题,不知道审什么、怎么审,难以把握IT内部审 计的重点,很少触及深层次业务风险和IT技术问题,无法揭示 信息系统开发、运行中存在的重大风险或缺陷,审计工作的效果 大打折扣。与之相应的是日益庞大的银行信息系统、
15、日趋复杂的运行 环境及互联网金融等新的应用大规模上线,银行系统架构发生 深刻变化,新的信息安全风险不断产生。例如,一些农商行自主 开发的软件系统,越来越多地采用迭代式敏捷开发模型,以快速 响应满足业务部门需求,导致传统基于瀑布开发模型的安全控 制机制难以奏效,系统漏洞难以被及时发现,形成隐患。3.5整体性和联动性还不强当前,省级联社与农商行信息科技系统是一个整体,但在实 际工作中,省级联社与各农商行对信息科技的审计存在相互割 裂,各自为战的现象,比如业务连续性等一些审计过程尚不能涵 盖系统的所有环节,难以全面反映信息科技存在的重要风险,省 级联社行业审计与内部审计的联动效应发挥不够。4 加强农
16、商行IT审计的几点建议展望未来,农商行在实施IT审计项目时,需要立足实际情 况,紧密联系信息科技与业务发展的新形式、新特点,遵循先进 的审计标准,突出技术优势和风险导向,找准IT审计在农商行 的准确定位,促进IT审计更健康有序地开展。4.1明确方向,坚持一种理念理念决定思路,思路决定出路。做好IT审计工作,首先要解 决审计方向的问题。农商行审计部门从原本以合规审计、制度遵 循性检查为主,逐步转为“以风险为导向”组织开展IT审计项 目。在此前提下,需要明确“以业务为核心,业务与技术相结合” 的IT审计思路,即从系统到业务审计、从业务再到系统审计、再 从系统到系统审计。同时结合当前农商行的实际情况
17、,在以业务 为核心的指导思想下,将有限的审计资源重点投人到应用控制 审计中。4.2制度先行,建设一套体系一是建立规范的IT审计工作规范。建议在省级联社层面根 据监管法规和实际情况,制定IT审计规范、指引等制度办法,并 指导各农商行制定实施细则,明确IT审计的职能定位、审计内 容、工作流程、运作模式以及相关的管理要求,逐步形成一套贯 穿审计全周期的质量控制体系。二是建立实用的IT审计技术方 法。遵循标准化、专业化的原则,适时启动研究编写农商行IT审 计操作指南,制定穿行测试、代码审查等专门工具方法,逐步构 建IT审计实务标准。此外,还要定期总结IT审计项目经验,收集先进银行相关审计案例,建立IT
18、审计知识库。4.3人才为本,打造一支队伍拥有一支高素质、专业化的人才队伍,是IT审计工作顺利 开展的重要前提。一是多渠道、多层次、多结构地引进、选拔人 才,逐步充实、壮大IT审计力量,抓紧组建一支以核心人才为引 领、骨干人才为支撑、应用人员为基础的人才队伍体系。二是强 化持续教育,通过每年组织集中专题培训、鼓励参加CISA认证 学习等,促进及时更新理论与知识,掌握先进技术和方法,持续 提升综合素质和专业能力。三是注重审计项目中的实战锻炼,省 级联社可以通过IT审计人才的一体化管理,轮流抽调全行业IT 审计人员参与省联社统一组织的IT审计项目,以老带新、以干 代培、共享经验,不断升级IT审计能力
19、。4.4科技支撑,搭建一个平台在大数据时代,充分依托省级联社层面的科技优势,构建支 持IT审计活动信息化、自动化、综合化的审计信息系统平台,能 够极大地促进提升IT审计工作效率和效果。一方面,利用现有 的审计系统,实现对全行业IT审计计划、项目实施、资源配置以 及质量控制的科学管理,也可以消除地域割裂的制约,使IT审 计工作更加规范、高效。另一方面,要大力开展“数据式”审计,获 取信息系统开发、运行相关数据,包括重要操作系统、数据库和 核心网络设备的日志、安全参数文件等等,自主研发关键指标和 审计模型,对全量数据开展深度挖掘,监测系统的运行管理、信 息安全和生产事件,及时提示、预防IT风险。4
20、.5统筹规划,创新一套模式当前,针对农商行IT审计人才储备不足、审计经验缺乏以 及系统架构特点,有必要因地制宜创新变革审计模式,建立一套 “分级实施、上下联动”的IT审计组织管理模式。根据监管要求 和业务需要,在省级联社层面可每年确定1至2个专题,按照全 系统集中组织、统一方案、同步实施、汇总报告的组织方式,由省 级联社审计部门统一组织审计省级联社“大平台”建设、管理、维 护等情况,各相关农商行负责审计前端应用、本行自建系统和相 关业务领域。通过上下联动,分工协作,实现省级联社行业审计 与农商行内部审计的弹性互动,促进提升IT审计项目质量,有 利于充分发挥整体合力,同时对解决农商行自行审计“无
21、从下 手”、重要问题“无法追溯”的难题具有现实意义。主要参考文献1 审计署审计科研所.信息系统审计内容与方法M.北京:中国时代经 济出版社,2009.2 吴桂英.信息系统审计理论与实务M.北京:清华大学出版社,2012.3 俞文平,周平.IT审计之道M.北京:清华大学出版社,2016.4J高卓,吴婷.建设银行IT审计发展策略J.金融电子化,2011(10).5 陈伟,SMIELIAUSKAS,Wally.大数据环境下的电子数据审计:机遇、 挑战与方法J.计算机科学,2016,43(1) :8-13.6 王小山.基于COBIT5.0的商业银行信息系统审计研究以A银行 为例D.杭州:浙江工商大学,2017.32 / CHINA MANAGEMENT INFORMATIONIZATION