IT内部审计发展难点和对策

来源：职称阁分类：经济论文时间：2020-09-16 10:44热度：

　　随着省级联社改革和信息科技新技术的应用，信息科技风险相应增加，但IT内部审计的发展现状与风险管控的需求不相匹配，本文描述了省级联社IT内部审计发展的现状，总结了IT内部审计发展面临的难点，并对此提出一些对策。

IT内部审计发展难点和对策

　　关键词：省级联社；IT内部审计；发展

　　一、概述

　　从2003年起，全国陆续进行了省级联社的改革，通常是采用省级联社和农商行、农合行或农信社两级法人的管理模式。省级联社承担管理、指导、协调和服务的职能。多数省级联社进行了数据大集中，大型的信息系统由省级联社进行统一的开发和运维，市县级法人机构的信息科技建设职能集中转移至省级联社，仅保留部分协调和维护职能。随着电子化、信息化的发展，信息科技风险也同步聚集和显现。但是相应的信息科技风险管控能力并没有随着信息化的推进而同步推进，尤其是第三道防线IT内部审计的建设滞后于信息科技的发展。在省级联社改革和职能部门化的过程中，省级联社相继设立了稽核部、内控部或内部审计部，承担内部审计的职能。在初始成立阶段，有些未考虑IT内部审计的需求。2009年，原银监会发布了《商业银行信息科技风险管理指引》，对商业银行构建信息科技风险管理的“三道防线”提出要求，并将IT内部审计作为信息科技风险管理的一项考核内容。在其后的十年间，各省级联社也逐渐认识到IT内部审计的必要性，有的成立了专门的IT内部审计部门，有的成立了IT内部审计中心，但仍有较大部分仅仅是在内部审计部门中增设了IT审计专岗以满足监管指引的最低要求。在实际履职中，IT内部审计专岗人员往往需要兼顾其他业务审计任务，IT审计计划往往是根据监管要求临时安排的，没有专门的审计团队，大型和专业化程度较高的审计任务采用外包的方式实施，同时由于外包费用较高，这种外包专业服务的采购也较少，很难满足信息科技风险管控的实际需要。

　　二、部分省级联社信息系统审计面临的难点

　　（一）对IT审计认识不足

　　目前，随着商业银行信息科技风险暴露引起的各种事件曝光的增多，省级联社和各市县级法人机构的高级管理层逐渐认识到，信息科技风险管控的责任重大，对于维持机构正常稳定运营具有重要意义，也逐年加大了对于信息科技风险管控的投入，但大多都投入到了第一道和第二道防线中，对于第三道防线IT内部审计的投入相对较少，甚至忽略了IT内部审计的发展需求。这通常是由于高级管理层对IT审计认识不足，通常预算和人力物力都向第一道防线进行倾斜，近年由于监管部门对于业务连续性管理的关注逐步提升，第二道防线也逐步得到重视，但是第三道防线，IT内部审计仍常常被认为是摆设，多数内部审计项目也都是应监管部门的要求被动开展，被用来应付监管部门。

　　（二）IT内部审计体系存在缺陷

　　现阶段，IT内部审计在部分省级联社和各市县级法人机构中仅为内部审计部门职责之一，没有职能部门化，甚至没有可以单独执行审计任务的团队，这就有以下弊端：一是由于管理层对IT审计认识不足，没有配备充足的人力物力，造成IT内部审计在内部审计部门和各职能部门间地位较低，没有独立性和话语权，与其他职能部门的沟通不尽理想，信息科技部门、风险管理部门和其他业务部门不愿意协助配合IT审计工作，导致IT审计工作的效率低下或者效果不佳。二是省级联社和各市县级法人机构在开展较大规模IT审计时一般都采取委托外部审计或咨询服务机构实施，内部审计部门的IT审计职责主要体现在日常小规模IT审计项目和与外部审计或咨询服务机构的沟通协调上，IT内部审计职责不清晰，缺少IT审计的方法与规范。三是IT内部审计力量薄弱，缺少人员团队培养机制和IT审计工具，尤其是IT内部审计人员培养、储备不足。省级联社和各市县级法人机构大部分未建立对审计和IT规划、设计、建设、管理均熟悉的复合型IT审计人才培养机制，又由于薪酬待遇等原因无法通过外部引进来补充，造成IT内部审计人员不足，无法正常持续开展IT审计。

　　三、对策的思考

　　（一）提高对IT内部审计的重视

　　自2009年，原银监会颁布《商业银行信息科技风险管理指引》后，原银监会陆续发布了《商业银行业务连续性监管指引》《银行业金融机构信息科技外包风险监管指引》等制度，逐步提升对信息科技风险管控的关注，其中都对IT内部审计提出了要求，反映了IT内部审计在信息科技风险管理中的重要地位。近年来，随着信息技术的快速发展，尤其是大数据、云技术、移动互联等新技术在金融机构的应用，与信息科技风险暴露相关各类安全事故、金融案件的发生也随之增多。在此背景下，省级联社和各市县级法人机构应更加重视IT内部审计工作，提高IT审计工作的重要性，比如增加预算、补充人员。重视其审计发现，支持其进行整改跟踪和问责。以上措施可以帮助IT内部审计团队切实履行信息科技风险管控的“第三道防线”职责，主动应对挑战，提高自身胜任能力，有效开展IT审计项目，发挥自身价值，促进信息科技内部控制水平提升。

　　（二）IT审计职能的部门化或外包

　　随着省级联社和各商业银行对新技术的应用，信息科技风险更加多样化、复杂化和难以管控，其风险暴露可能造成的损失和影响也更加巨大。对IT内部审计要求也相应提高。在这里提出以下几项对策以解决信息科技风险和IT内部审计发展不匹配的现状：一是目前IT审计岗或IT审计团队的形式已经较难满足日益突显的信息科技风险管控要求，IT审计职能的部门化或可以提上董事会或理事会的研究议程，提高IT内部审计在职能部门间的地位、与各部门构建协作关系。二是依托省级联社层面的资金和科技人才等优势，引进IT审计工具，构建支持IT审计的信息化平台，使IT审计工作更加规范，提高大数据的应用，加大非现场IT审计工作，促进和提升IT审计工作效率和效果。三是多途径解决人才培养、储备问题。IT审计要求具有一定的专业背景，有一定门槛限制，增加了在人才培养、储备上的难度，同时仅具有信息科技专业背景是不够的，还需要具有审计专业能力，了解会计、信贷等业务。这就要求建立吸纳专业人才和提升自有人才能力的长效机制，建立合理的奖励激励机制留住专业人才，按照职责配备专业人员，确保IT内部审计工作有效开展。可以通过外部引入同业专业人才，也可以通过有效的激励机制鼓励其他部门员工通过学习达到IT内部审计人员标准，同时鼓励内部审计员工主动学习信息科技知识，考取专业资格证书，转岗至IT内部审计专岗除鼓励员工主动学习外，也应加强员工培训，通过岗位技能培训和轮岗，培养具有胜任能力的专业人才。

　　参考文献：

　　[1]吴青，翟建设，张佳琦.信息系统审计人才知识结构的研究[J].中国管理信息化，2010（13）.

　　[2]梁敏雯，李明，钟攀.审计信息化系统建设——人才队伍角度[J].商，2016（01）.

　　[3]杨青.关于信息系统审计人才培养的思考[C].江苏省审计厅、江苏省审计学会.江苏省审计机关第三届青年审计论坛论文集.江苏省审计厅、江苏省审计学会:江苏省审计学会，2009.

　　[4]韩华溢.省级联社管理模式下农商行IT审计：现状与发展[J].中国管理信息化，2019（22）.

　　作者：霍琤

文章名称：IT内部审计发展难点和对策

文章地址：http://www.zhichengg.com/jjlw/17067.html

上一篇：主体尽职调查在个人外汇业务的建议
下一篇：保险责任时间限制条款效力