【对银行业ＩＴ审计项目组织实施方式的几点思考】银行业金融机构应组织对本机构

　　2007年10月，某商业银行股民保证金第三方存管系统出现故障，与券商的交易无法正常进行，此事故持续了两个小时，在证券交易收盘后才恢复正常。事实上，交通银行、工商银行、建设银行和招商银行去年都曾发生因IT风险导致的系统故障问题，充分暴露出我国银行业信息系统的脆弱性，如上现象的出现令人担忧。
　　按照国际惯例，核心业务系统主机容量使用率超过60％就需要扩大系统容量，国内很多银行都已超过了这个指标。5家大型银行核心业务系统主机容量平均使用率为67％。个别银行核心业务系统主机容量峰值使用率甚至达到了90％。在这种负载饱和的情况下。哪怕是再增加很少的业务量，也可能成为压跨骆驼的最后一根稻草。
　　分析现在银行业的信息系统建设和信息技术发展，从最初的柜面单机到联机实时处理，再到今天的全国数据集中，信息技术逐步集中管理是一个必然的发展趋势。银行业均已拥有各自的IT系统，IT系统的建设和稳定运行逐渐成为保障业务持续运行的关键，此时内部审计的重点也应随之倾向于对信息系统的审计(以下简称“IT审计”)。由于IT审计在当今国内仍属新兴的审计领域，其专业性较强。没有一套完整的标准或准则可循，加之与国际银行业存在一定的管理理念差距，无法直接引人国际化的IT审计准则。基于日常的工作实践，笔者结合软件工程和项目管理的一些观点及方法，提出几点建议和设想供参考。
　　
　　1　IT审计项目的组织形式
　　
　　现在信息系统的项目多采用项目经理制，笔者参考信息技术项目的管理模型，将项目组织形式分为：
　　(1)职能型的项目组织形式
　　在职能型项目组织中，项目经理只是项目管理团队中的一员，没有正式的管理授权，他仅仅起告知团队其他成员要完成工作的作用：项目实施组织界限不是十分明确，其成员完成项目中需本职能完成的任务，同时没有脱离原来的职能部门，而项目实施的工作多属于兼职的性质。
　　(2)单列式的项目组织形式
　　在单列式的项目组织中，项目经理有正式的授权负责该项目。项目团队通常有专门的工作场地与其正常的办公场地相分离，项目组之间保持相对独立。人员相对固定。
　　(3)矩阵式项目组织形式
　　在矩阵项目组织中，项目经理和部门领导都有管理职权。项目经理在项目内容和时间方面对职能部门行使权力，而各职能部门决定如何支持。项目经理要直接向最高管理层负责。并由最高管理层授权。职能部门对各种资源做出合理的分配和有效的控制调度。职能部门的负责人既要向他们的直接上司负责，也要对项目经理负责。
　　笔者认为单列式的项目组织和矩阵式项目组织方式比较适合现阶段的银行业IT审计。IT审计需要成立并且人员相对固定的审计项目组。实施项目经理各级负责制。在项目组内部根据审计目标和审计内容划分各专业审计小组，制定规范详细的具体实施方案，明确相关人员的任务和职责，共同完成审计任务。
　　
　　2　IT审计项目目标确立和IT审计体系建设
　　
　　与其他类型的审计一样，IT审计项目目标制定的前提是得到管理层的认可和批准，其最终目标也是最大限度地实现企业价值最大化。
　　IT审计的审计目标非常灵活，控制目标范围较大，不易划分和确定，因此必须建立成熟的IT审计规范体系，将要控制的内容或目标区域化，每个区域制定具体的查证方法和测试步骤。在IT审计目标制定时，必须得到高级管理层的支持，必须能够及时反馈管理层关心的问题，密切结合信息技术发展趋势和银行业实际应用情况，保证风险较大的区域或环节予以关注。
　　同时审计目标的确立，可以借鉴和参考信息科学的项目管理观点，目标必须是确定的、可度量的、可完成的、中肯的和符合既定时限的(即SMART原则)。
　　IT审计规范体系建设可以参考国际一些成熟的IT审计体系。笔者建议以COBIT(信息和相关技术的控制目标)作为基础框架。COBIT是建立于全球范围内IT专家的专业实践经验上，在国际上被广泛接受的一个基于风险的IT控制标准，基本上对IT方面所有的流程实现了覆盖并进行了区域化。
　　对信息技术项目管理审计，笔者适合采用的是CMMI(综合能力成熟度模型)框架。CMMI是一套为业界公认的流程改进模型，其关注软件开发流程的绩效、生产率、成本和相关方满意度等方面的问题，其所关注的效益问题是银行业关心的重点之一。
　　
　　3　IT审计发展的几点建议和设想
　　
　　今后的IT审计发展，笔者认为首先要建立层次分明的IT审计组织架构，分工和职责明确，协同配合；其次建立基于风险为导向的审计体系和审计流程，关注IT流程的一般性控制和应用控制，力争覆盖IT管理的各个环节，全面防范IT风险，并对存在风险较大的环节予以关注，合理地分配审计资源；三是在IT审计方面采用了大量先进IT审计工具，建立了详细的测试知识库和问题库，密切结合了以往审计发现，兼顾信息系统和IT管理流程的审计覆盖程度(采用矩阵管理方式)，与负责的IT条线管理部门进行积极沟通，统筹安排IT审计项目；四是通过合理调配人员解决了IT审计人员的技术水平差距问题，提高全体人员整体的IT审计水平。向咨询性和建设性高级审计阶段发展，保证内部审计为银行业发展保驾护航的积极作用。