试论工商银行的ＩＴ审计

作者： 工商银行内部审计局 孟军强 荆东

来源：《中国金融电脑》

当前，工商银行完成了数据集中工程，综合业务处理系统也实现了全面整合，综合竞争力得到了进一步提升。但集中和整合带来的ＩＴ风险也逐渐显现。一方面，信息系统的固有风险随着系统的复杂而有所增加；另一方面，高度集中的运行管理使数据中心的内部控制面临着更加严峻的考验。这些风险不仅会影响信息系统运行的稳定和安全，还会给工商银行带来严重的经营、法律和信誉等方面的风险。在这种形势下，全面深入地学习ＩＴ审计的基本理论，分析信息系统的风险控制，特别是运行风险的内部控制，进一步加强风险管理，完善内部控制，就变得更加重要，这也是新形势下ＩＴ审计的重要任务。

一、ＩＴ审计的基本概念

ＩＴ审计最早被称为计算机审计，早期只是传统财务审计业务的一种辅助工具，为财务报表审计人员提供服务。随着审计由最初的账项基础审计向制度基础审计直至现代的风险基础审计的发展，计算机审计所关注的内容也从单纯的对电子数据的处理延伸到对计算机信息系统的可用性、保密性、完整性、有效性进行了解和评价，随之也就出现了信息系统审计的概念。

对于ＩＴ审计的定义，业界有着多种描述，但都大同小异。国际信息系统审计领域的权威专家Ｒｏｎ Ｗｅｂｅｒ将它定义为：收集并评估证据以判断一个计算机系统（信息系统）是否有效做到保护资产、维护数据完整、完成组织目标，同时最经济地使用资源。德勤华永会计师事务所有限公司合伙人Ｐｅｔｅｒ Ｋｏｏ将它描述为："所谓信息系统审计是指，审计人员接受委托或授权，收集并评估证据以判断计算机系统（信息系统）是否有效做到保护资产、维护数据完整并最有效率地完成组织目标的活动过程。"

综合上述各种观点，对于工商银行的ＩＴ审计工作而言，可以简要地概括为："由行内的信息科技审计部门，对全行范围内信息系统生命周期中的资产保护、数据完整、资源经济有效利用以及完成组织目标的情况，通过一般控制和应用控制等审计方式，进行综合的检查、评价，并向工商银行最高管理层和信息科技部门提出咨询建议"。

二、ＩＴ审计与信息系统生命周期的关系

ＩＴ审计贯穿于信息系统生命周期的全过程，在其生命周期的各个阶段，ＩＴ审计都要对系统本身及其管理进行风险识别和评价，提出改进和完善的建议。信息系统生命周期的阶段包括系统规划和开发、系统交付、系统运行和维护、系统报废等。工商银行的ＩＴ审计工作同样要遵循这一原则，贯穿于信息系统生命周期的全过程。从软件开发中心的信息系统规划与开发到数据中心及分行的系统运行与维护，在各个阶段都需要通过ＩＴ审计来识别错误，评价和控制风险，督促改进，以实现信息系统安全运营的预定目标。

１．信息系统规划和开发阶段的ＩＴ审计
信息系统规划和开发阶段的审计是指对系统规划、分析、设计、编码、测试和试运行等几个阶段的跟踪审计，如信息战略与经营战略一致性审计、信息战略有效性审计等。通过审计可以及时发现错误并及时修正，降低错误的累积放大效应，降低开发成本，提高信息系统质量。还可以通过审查项目的可行性分析是否充分，避免项目的盲目性，通过审查需求分析的论证是否充分、测试方案是否存在疏漏，避免产品质量缺陷等。该过程的审计主要集中在总行信息科技部和软件开发中心（含研发分部）的项目立项、需求分析、系统设计、编码、测试等环节。审计主要包括信息战略审计、开发计划审计、系统分析审计、需求分析审计、系统设计审计、程序设计审计、编码审计、系统测试审计、系统试运行审计等。

２．信息系统运行和维护阶段中的ＩＴ审计
在系统运行阶段，ＩＴ审计主要针对信息系统是否正确操作和有效运行，从而真正实现信息系统的开发目标、满足用户需求。审计可以从信息系统运行和系统运行管理两个方面进行，评价系统的缺陷和不足，以及用户操作管理的疏漏，并提出相关改进建议。审计包括系统输入审计、网络通信系统审计、处理过程审计、数据库审计、系统输出审计和运行管理审计等。在系统维护阶段，审计主要包括对维护组织、维护顺序及流程、维护计划、维护实施、改良系统的试运行和旧系统的废除等活动的审计。系统运行和维护阶段的审计主要集中在数据中心的测试管理、运行操作管理、变更管理、问题管理、数据管理、应急管理、环境管理、网络管理、日常运营管理、性能管理等各个环节的控制上，审查和评价其控制的充分性和有效性，同时还关注软件开发中心在此阶段的配合支持是否到位。

另外，在信息系统生命周期中，还有许多共同业务审计要做，如文档管理审计、进度管理审计、人员管理审计、第三方及外部委托管理审计、业务持续性审计等。

三、信息系统内部控制与ＩＴ审计

信息系统必须通过完善的内部控制措施来管理和控制风险，保证信息系统资产的安全性、可靠性和有效性。工商银行信息系统的内部控制及其治理应该成为ＩＴ审计关注的重要核心部分，ＩＴ审计要监控和审查全行信息系统的内部控制，积极参与内部治理，督促信息科技部门逐步完善风险控制和有效管理。

１．理想的ＩＴ控制模式
信息系统的内部控制可分为预防性控制、检查性控制、纠正性控制。在这三种控制中，预防性控制是一种积极的控制，它试图在不利事件发生前加以防范，减少出现不利事件的可能性，如用户权限的控制。检查性控制是一种中性的控制，它试图在不利事件发生的同时就能够尽早发现，如网络病毒检测控制。而纠正性控制是消极的、被动的，它是假设不利事件已经发生，设置一些可以减少不利影响的手段，如应急管理控制。显然，从系统安全的角度看，增加预防性控制措施的比重是最理想的。

从内控管理的角度来看，ＩＴ审计一般将信息系统的控制分为一般控制和应用控制。它们都是预防和发现信息系统错误、舞弊、故障的特殊控制，可以有预防性、检查性、纠正性控制的不同组合。通常，一般控制是对信息系统的构成要素（人、机器、文件）所进行的控制，是系统安全运营的基本保证。它涵盖了组织控制、操作控制、硬件与软件控制、系统安全控制等。应用控制是针对信息系统具体数据处理活动所进行的控制，一般包括输入控制、处理控制和输出控制。在一般控制和应用控制之间，前者是后者的基础，后者是前者的深化。在同一个时间和背景下，它们是一致和协调的，共同来完成对信息系统的控制。