商业银行在现代和未来的金融体系以及社会发展和进步中扮演演着越来越重要的角色,同时,信息技术已经渗透到商业银行经营的各个层面,在信息技术高速发展的今天,几乎每一个银行业务的处理都高度依赖信息系统的支持,商业银行的信息科技能力逐渐成为商业银行参与市场竞争的银行核心竞争力之一。信息科技也逐渐从银行业务的支持者的定位向银行业务的引领者演变。商业银行信息科技既已经成为银行在市场竞争中的一项关键资源,对信息科技的效率和效能、可用和安全就有着非常高的要求,随着越来越多的同IT相关的业务中断、金融舞弊与犯罪案件的发生,也使得信息科技的风险管理已经成为商业银行必须要面对的一门课程,信息科技审计作为信息科技风险管理体系中的重要环节,也面临着新的挑战,如何应对新形势下的挑战也对商业银行信息科技审计提出更多要求。
本文是在银行业”十二五”规划的背景下,从当前商业银行信息科技审计面临的主要挑战出发,针对商业银行信息科技审计的定位、商业银行信息科技审计治理以及商业银行信息科技审计管理三个层面对信息科技审计的发展思路进行探讨。
商业银行信息科技审计面临的主要挑战
随着银行业监管机构对于信息科技风险管理的监管要求不断加强,以及商业银行信息科技风险管理自身的需求越来越迫切,商业银行信息科技审计正面临着诸多的挑战,主要包括:
一、商业银行管理层对于信息科技审计重要性缺乏高度认识,具体表现在没有建立信息科技审计治理体系、信息科技审计队伍建设缓慢、信息科技审计流程不规范等方面;
二、信息科技审计的独立性得不到保障,很多商业银行的信息科技审计工作目前由信息科技部门或者信息系统的提供商去实际执行;
三、目前大多数商业银行缺乏信息科技审计专业人员,无法在银行审计部门设置信息科技审计专业岗位,只能依赖信息科技部门或外部审计公司提供审计服务;
四、缺乏规范的信息科技审计方法和规范,解决不了应该审什么和怎么审的问题,在实际工作中存在审计死角以及不能发现潜在的风险隐患;
五、面对不断强化的信息科技监管要求,商业银行信息科技审计职能更多的是应对监管要求,而不是站在本行真正业务需求的角度来帮助商业银行信息科技健康有序发展服务。
要解决好现在面临的问题和挑战,商业银行必须重新认识信息科技审计在商业银行发展中的定位,并从信息科技审计治理和管理手段方面找到解决问题的答案。
商业银行信息科技审计的定位
当前,信息科技风险管理的三道防线已经被监管机构以及大多数商业银行所接纳和认可,即信息科技部门是信息科技风险管理的第一道防线,信息科技风险管理部门是第二道防线,而信息科技审计部门是第三道防线,信息科技审计在商业银行IT风险管理体系中扮演着重要的角色。
根据国际和国内最佳实践,信息科技审计是信息科技风险管理的重要一环。在国际信息科技风险管理最佳实践中,信息科技风险管理通常包括确定风险治理体系,建立风险控制框架和风险库,进行信息科技风险评估以及风险应对和监控,最后一个环节就是信息科技审计,而信息科技审计是确保信息科技风险管理满足业务和监管要求的最后一道防线,通过对信息科技审计的有效管理,可以及时的评价商业银行信息科技整体风险管理的水平,发现潜在的管理疏漏和违规事件,从而为信息科技管理部门和管理层提供信息科技管理的决策依据,保护商业银行因为信息系统问题导致的声誉损失。
商业银行信息科技审计既然是信息科技风险管理中不可分割的一部分,管理层就需要认识到只有把信息科技审计的治理和管理融入到信息科技风险管理的治理和管理体系中,确保各个环节有机融合,才能发挥风险管理体系各个环节的合力作用,确保商业银行业务目标的实现。
商业银行信息科技审计的治理
中国银行业监督管理委员会在《商业银行信息科技风险管理指引》中明确规定,“商业银行应在内部审计部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计”。基于监管部门的监管要求和商业银行风险管理的实际业务需要,商业银行管理层要采取适当举措,完善信息科技审计治理结构,明确信息科技审计的责任主体及工作职责,规范全行信息科技审计管理工作,以提升信息科技审计管理水平达到防范信息科技风险的目的。
由于信息科技审计是信息科技风险管理体系的一个组成环节,所以信息科技审计的治理结构不能独立于信息科技风险管理治理结构,需要在商业银行风险管理治理结构中得以体现和完善,既要明确信息科技审计管理同信息科技风险管理以及信息科技管理的职责分工,又要建立同他们的关联关系,确保在治理层面信息科技风险管理的三道防线能够在统一的风险管理策略下的协同工作。
信息科技审计的治理结构涉及商业银行各个相关业务部门,从总体上分为纵向和横向两个方向:纵向包括总行、分行、支行,横向包括各个业务、科技、风险、稽核等各个专业条线和部门。商业银行应当建立信息科技审计的治理模型,来界定各个层级和部门的职责、分工和汇报关系,保证相关层级和部门能够在该治理模型下协调开展工作。
商业银行正逐渐设立独立的信息科技审计部门或者岗位,但是由于信息科技特有的技术性,需要加强信息科技审计人才的培养和储备,保证信息科技审计人员不仅对商业银行内部的信息科技管理了如指掌,还能够跟踪学习国内、国际信息科技管理和审计的最佳实践和方法,从而为商业银行信息科技建设和风险管理提出管理建议和要求。
商业银行信息科技审计的管理
商业银行信息科技审计部门应当明确信息科技审计的范围和对象,建立全行统一的信息科技风险库,根据信息科技审计周期和信息科技审计触发条件开展审计工作。全行统一的信息科技风险库要由信息科技风险管理部门、信息科技审计部门以及信息科技部门共同工作,制定出的风险库要具备全面性和统一性的特点,保证信息科技审计不留死角,覆盖信息科技全生命周期的各个环节,从而实现对信息科技风险审计的全面性。信息科技风险库的制定除了要依据监管机构的监管要求、本商业银行内部的实际流程,还要参照国内和国际领先的实践经验。
商业银行信息科技审计部门要制定全行的信息科技审计标准和规范,建立明确的信息科技审计流程和方法;并根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,制定年度信息科技审计计划,包括信息科技内部审计范围和频率等内容,在信息科技风险评估的基础上确定重点审计领域。在必要且适当的情况下,审计部门可委托具备相应资质的外部审计机构进行信息科技外部审计,对商业银行的信息科技风险管理情况进行审计与评估,内外部审计结合,保证信息科技审计结论的准确和客观。
后记
信息科技审计的建设和发展要立足于商业银行战略和业务目标,建立完善的信息科技审计管理体系,并纳入到商业银行风险管理体系之中,使其成为商业银行风险管理的重要环节。商业银行管理层要真正认识到信息科技审计在实现银行业务目标所体现出的价值,重视和支持信息科技审计体系的建设和发展,完善信息科技审计的治理结构,加强信息科技审计专业队伍的建设,规范信息科技审计管理的业务流程,通过落实领先的信息科技审计理论和实践,确保信息科技审计真正实现其业务价值,为商业银行的发展保驾护航。
注释:作者王会明现为德勤信息科技前沿研究中心经理。
标签: 信息科技审计, 商业银行, 银行安全