上海浦東發(fā)展銀行IT審計(jì)是商業(yè)銀行內(nèi)部稽核中的新內(nèi)容，隨著計(jì)算機(jī)信息系統(tǒng)已成為銀行經(jīng)營和管理的平臺(tái)以及數(shù)據(jù)大集中的實(shí)現(xiàn)，商業(yè)銀行對(duì)信息系統(tǒng)的依賴性越來越強(qiáng)，也帶來巨大的IT風(fēng)險(xiǎn)。正因如此，IT審計(jì)工作已引起上海浦東發(fā)展銀行高度重視，并在“做國際上較好商業(yè)銀行”戰(zhàn)略的指引下，與國際接軌，在規(guī)范中逐步發(fā)展。IT審計(jì)工作開展情況上海浦東發(fā)展銀行IT審計(jì)工作將國際理念與本行實(shí)際相結(jié)合，以規(guī)范先行為指引，以學(xué)習(xí)實(shí)踐為手段，在制度、標(biāo)準(zhǔn)、流程和實(shí)施方面取得了一定經(jīng)驗(yàn)。

　　一、整章建制，構(gòu)建IT審計(jì)制度框架體系。設(shè)立IT審計(jì)專業(yè)崗位后，通過兩年多的努力，已建立起一套40萬字的IT審計(jì)《基本準(zhǔn)則》、《具體準(zhǔn)則》、《IT審計(jì)手冊(cè)》和《IT審計(jì)文檔模板》，并在制度建設(shè)中力爭做到三方面結(jié)合。一般性與特殊性結(jié)合。IT審計(jì)作為銀行內(nèi)部審計(jì)工作的重要組成部分，既有內(nèi)部審計(jì)的一般性，又有其特殊性。一方面，IT審計(jì)要遵循內(nèi)部審計(jì)的職業(yè)道德、基本準(zhǔn)則和具體準(zhǔn)則；另一方面，IT審計(jì)的專業(yè)性和高風(fēng)險(xiǎn)性又需要特定的制度去約束和規(guī)范。已制定的IT審計(jì)制度體系包含四項(xiàng)內(nèi)容：職業(yè)道德、基本準(zhǔn)則、具體準(zhǔn)則和審計(jì)手冊(cè)，其中后三項(xiàng)構(gòu)成面向?qū)崉?wù)的規(guī)范性文件。專業(yè)性與可操作性結(jié)合。IT審計(jì)的規(guī)范與流程不僅是專業(yè)人員所必須的，對(duì)一般的業(yè)務(wù)審計(jì)人員也有著積極的指導(dǎo)和借鑒意義。從這個(gè)角度出發(fā)，浦發(fā)銀行在制度建設(shè)中面向一般審計(jì)人員，如在IT審計(jì)手冊(cè)中提供了二十三項(xiàng)關(guān)于問卷調(diào)查、現(xiàn)場檢查、底稿制作和報(bào)告撰寫的模板，使審計(jì)人員可在短期內(nèi)通過手冊(cè)指引迅速投入到具體的業(yè)務(wù)實(shí)施中。及時(shí)性與前瞻性結(jié)合。有效提升IT審計(jì)的廣度與深度，有效降低風(fēng)險(xiǎn)隱患，是當(dāng)前制度建設(shè)的主要目標(biāo)。同時(shí)，制度建設(shè)也應(yīng)具備一定的前瞻性，通過將國際標(biāo)準(zhǔn)與商業(yè)銀行審計(jì)實(shí)踐融合，促進(jìn)工作質(zhì)量的提高；通過基于風(fēng)險(xiǎn)審計(jì)理念的貫徹與循序漸進(jìn)的知識(shí)轉(zhuǎn)移，促進(jìn)審計(jì)人員職業(yè)素養(yǎng)的提高。

　　二、接軌國際，探索IT審計(jì)的標(biāo)準(zhǔn)與流程。IT審計(jì)必須符合科學(xué)、獨(dú)立、審慎的精神。浦發(fā)銀行確立了從戰(zhàn)略高度關(guān)注信息系統(tǒng)治理機(jī)制與體系架構(gòu)的立足點(diǎn)，從國際視野探索適合中國商業(yè)銀行實(shí)際的標(biāo)準(zhǔn)與流程。經(jīng)過反復(fù)論證和學(xué)習(xí)實(shí)踐，采用了兩個(gè)標(biāo)準(zhǔn)。首先采用BS7799/ISO17799作為劃分信息資產(chǎn)的標(biāo)準(zhǔn)。BS7799/ISO17799包含10大類資產(chǎn)，127個(gè)控制點(diǎn)。浦發(fā)銀行結(jié)合自身實(shí)際，把銀行信息資產(chǎn)劃分為9個(gè)方面，81個(gè)控制點(diǎn)。其次采用國際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）標(biāo)準(zhǔn)作為開展具體IT審計(jì)業(yè)務(wù)的流程參考，在工作中借鑒國際化的標(biāo)準(zhǔn)流程實(shí)施審計(jì)，使審計(jì)人員能夠更加客觀和全面地掌握信息系統(tǒng)的風(fēng)險(xiǎn)狀況。

　　三、不斷實(shí)踐，分布實(shí)施IT審計(jì)具體業(yè)務(wù)。浦發(fā)銀行IT審計(jì)從一開始就采用基于風(fēng)險(xiǎn)的審計(jì)方法和技術(shù)，其內(nèi)涵包括識(shí)別信息系統(tǒng)風(fēng)險(xiǎn)、確定風(fēng)險(xiǎn)影響、實(shí)施風(fēng)險(xiǎn)評(píng)估和開展現(xiàn)場檢查等。在人員組織上，通過建立客座審計(jì)機(jī)制將信息科技專業(yè)人員納入審計(jì)組實(shí)施現(xiàn)場檢查；在審計(jì)手段上，采用資料審閱、人員訪談、日志讀取、現(xiàn)場觀察等方法，注重過程的規(guī)范性；在借助外力上，引入安全評(píng)估專家，采用漏洞掃描、日志分析等技術(shù)輔助審計(jì)，獲得了第一手資料。兩年來，浦發(fā)銀行完成了對(duì)總行層面和全國三分之一分行的IT現(xiàn)場檢查，初步掌握了全行信息系統(tǒng)風(fēng)險(xiǎn)狀況。IT審計(jì)工作面臨的問題鑒于IT審計(jì)在國內(nèi)商業(yè)銀行起步較晚，加上其專業(yè)性較強(qiáng)，技術(shù)發(fā)展較快，給具體工作開展帶來一定困難：可供借鑒的成熟經(jīng)驗(yàn)不多。國外在IT審計(jì)方面開展較早，積累經(jīng)驗(yàn)較多，制定的標(biāo)準(zhǔn)也較規(guī)范；反觀國內(nèi)，由于IT審計(jì)處于起步階段，沒有較多現(xiàn)成的案例和資料可供借鑒，只能通過自身摸索與反復(fù)實(shí)踐。應(yīng)用系統(tǒng)項(xiàng)目審計(jì)難度較大。隨著商業(yè)銀行應(yīng)用系統(tǒng)的開發(fā)上線不斷增多，IT審計(jì)工作很大一部分內(nèi)容是對(duì)應(yīng)用系統(tǒng)開展項(xiàng)目審計(jì)。但是項(xiàng)目開發(fā)周期過長，數(shù)量較多，技術(shù)較復(fù)雜，IT審計(jì)人員如何利用有限資源實(shí)施審計(jì)也是當(dāng)前面臨的迫切問題。IT審計(jì)人員數(shù)量不足。目前雖已初步建立了一支專業(yè)化的IT審計(jì)隊(duì)伍，但I(xiàn)T審計(jì)人員占比僅為6%，而花旗銀行占比已超過20%.

　　IT審計(jì)工作的展望為實(shí)現(xiàn)“做國際上較好的商業(yè)銀行”的戰(zhàn)略目標(biāo)，迎接銀行業(yè)對(duì)外開放帶來的挑戰(zhàn)，抓住與戰(zhàn)略伙伴花旗銀行合作的機(jī)遇，浦發(fā)銀行未來IT審計(jì)工作將重點(diǎn)建設(shè)以下四個(gè)方面：一支高素質(zhì)的IT審計(jì)隊(duì)伍。充實(shí)隊(duì)伍，鼓勵(lì)I(lǐng)T審計(jì)人員根據(jù)崗位需要參加注冊(cè)內(nèi)部審計(jì)師（CIA）、注冊(cè)信息系統(tǒng)審計(jì)師（CISA）、注冊(cè)會(huì)計(jì)師（CPA）等資格考試，計(jì)劃三年內(nèi)持證比例達(dá)到30%，建立內(nèi)部持證上崗制度，強(qiáng)化崗位資格培訓(xùn)與后續(xù)教育。一套高標(biāo)準(zhǔn)的IT審計(jì)規(guī)范。依照監(jiān)管部門要求，以規(guī)范化為基礎(chǔ)，借鑒ISACA指引、COBIT、BS7799、COSO等相關(guān)標(biāo)準(zhǔn)，不斷完善IT審計(jì)職業(yè)倫理、基本準(zhǔn)則、具體準(zhǔn)則和審計(jì)手冊(cè)。一套高度規(guī)范的IT審計(jì)工作流程。建立一套標(biāo)準(zhǔn)化、可追朔、不斷更新的工作流程，強(qiáng)化管理，保證質(zhì)量，有效降低風(fēng)險(xiǎn)。一個(gè)高起點(diǎn)的審計(jì)管理信息系統(tǒng)。

　　建立一套高效的審計(jì)輔助管理信息系統(tǒng)，為IT審計(jì)及業(yè)務(wù)審計(jì)提供強(qiáng)有力的數(shù)據(jù)分析挖掘、數(shù)據(jù)展現(xiàn)、預(yù)警提示及信息管理職能，為非現(xiàn)場和現(xiàn)場審計(jì)提供一體化支持。綜上，浦發(fā)銀行的信息系統(tǒng)審計(jì)仍處在起步階段，還需要吸收借鑒國內(nèi)外同行的經(jīng)驗(yàn)，從制度和軟環(huán)境建設(shè)、審計(jì)信息系統(tǒng)建設(shè)、隊(duì)伍建設(shè)等方面逐步完善和提高。