• 快捷搜索
  • 全站搜索

农村金融机构信息科技审计的问题及对策

2016-08-18 17:21:16作者:福建省农村信用社联合社 苏宝华编辑:金融咨询网
近年来,信息科技审计成为银行业的热点话题,农村金融机构逐步建立、健全信息科技风险管理体系,但与国内大型商业银行相比信息科技风险管理工作任重道远,农村金融机构特别是农商银行是监管部门关注的重点。本文针对农村金融机构信息科技审计工作中的难点提出了相关建议。

 近年来,银监会陆续出台了《银行业金融机构信息系统风险管理指引》、《商业银行信息科技风险管理指引》、《银行业金融机构信息科技外包风险监管指引》等相关制度,逐步引导金融机构,特别是中小金融机构加强对信息科技风险的管理。提出由内部、外部审计部门介入信息科技审计的理念和要求,信息科技审计成为银行业的热点话题。在此背景下,农村金融机构在摸索中逐步建立、健全信息科技风险管理体系,但与国内大型商业银行相比,由于人力、物力、财力等主观、客观因素的影响,信息科技风险管理工作任重道远,农村金融机构特别是农商银行是监管部门关注的重点。开展农村金融机构信息科技审计工作研究是审计部门当前的重要课题。

一、农村金融机构信息科技审计工作的难点

        专业人才资源匮乏。外部信息科技审计事务所委托审计师也多数是财务审计出身转行信息科技审计的人员,具备真正信息系统审计的信息科技审计师在国内品牌的事务所人才还不多,大多集结于国际知名事务所。因此,培养专业审计人才是农村金融机构信息科技审计关键点。与我国各金融部门一样,农村金融机构现有审计队伍中的内审人员绝大多数都是财会、经济专业出身,缺乏既掌握现代审计理论、技术又精通计算机知识与技能的新型复合型人才。虽然近年来,为了信息科技审计的需要,引进了信息科技专业人员到审计队伍中,但信息科技专业人员要具备审计理念、审计专业知识学习还需要一个过程。即使引进了相关人员,现有信息科技审计人员配比仍与实际上需要承担的信息科技审计工作量和工作难度不相匹配,数量和专业能力缺口较大,成为制约金融信息科技审计的“瓶颈”。

        经验不足,培训不够。农村金融机构信息科技审计工作刚刚起步,且信息科技技术不像财会、信贷等传统业务相对成熟稳定,信息科技技术日新月异,新产品层出不穷,应用系统更迭频繁,信息科技审计人员即便有审计经验也容易过时。且信息科技审计人员无法专职于信息科技审计工作,更多从事于非现场审计数据分析、与计算机有关的审计手段的运行维护工作,信息科技审计成为兼职的“专业”工作,其信息科技审计实践相对局限。而国内信息科技审计专业培训可借鉴性不多,机构的培训更局限于常规的理论学习,实用性有限,行业内的交流机会也不多。

        工作负荷和工作难度大。农村金融机构随业务的拓展,往往不断加载系统,现有系统平台未有效整合,平台多样,造成应用系统规模庞大、技术架构复杂。而网络、硬件、不同软件工具又促使信息科技专业分工越来越精细,审计人员要对其实施全面、深入、定期的审计困难极大,单纯依靠数量来解决信息科技审计并不现实。

        审计规范不足。农村金融机构信息科技审计规程、信息科技审计方案、信息科技审计的依据、信息科技审计的内容都没有统一的标准,只是由各行根据实际自行制订或仅以银监会《商业银行信息科技风险管理指引》和相关审计法规为依据,即使自行制订也相对比较粗略。

        信息科技审计的整改力度不够。由于信息科技风险审计的对象基本上针对科技部门,其他相关部门对于信息科技审计成果往往是“事不关已,高高挂起”的态度。高管层虽然重视,但因为高管层对信息科技理解有限,对专业性的风险认识不足,信息科技安全通常依赖于科技部门,造成整改未能落到实处。

二、信息科技审计的建议

        引进人才和加大内审人员培养同步并进,组成一批企业内部审计的中坚力量。引进信息科技专业人才与培养现有审计人员介入信息科技审计必须同步进行,才能有效解决信息科技审计专业人力资源匮乏的供需矛盾。实践中,保证人才的引进和培养需要建立一个完善的信息科技审计制度,需要高管理念上的认同。要在内部审计部门设立信息科技审计岗位,明确其岗位职责,让其成为专业、专职从事信息科技审计人员,不再赋予过多的非信息科技审计专项任务。让其有更多的时间将信息科技审计关口前移,时时关注信息科技动态,观察和思考信息科技系统全生命周期的风险环节,将跨信息技术和审计技术的复合型人才培养成为企业内部审计的中坚力量。

        建立信息科技审计交流平台,创造更多的培训和交流机会。信息科技审计专业人员的培养必须培训与锻炼同步进行,不能依赖于外部审计而忽视内审人员的锻炼,必须让内审人员逐步介入信息科技生命周期。监管部门应该建立跨省份的信息科技审计交流平台,让以省为单位建立信息系统平台的农村金融机构审计人员有更多的机会共同交流,从实践中吸取经验和教训。同时各农村金融机构的高管、监管部门、全国性农村金融联合机构也应该创造机会,增加与信息科技审计实务相关的培训机会,让更多信息科技审计人员能够有机会学习到更实用的知识。

        督促科技部门加大标准化管理,前移信息科技审计关口。信息科技审计应以业务为中心,以流程为组件、以控制为基础,促进科技部门加大信息科技ITI L、CMMI建设。通过标准化管理,减轻信息科技审计负荷和难度。同时,信息科技审计人员要尽量做到关口前移,逐步渗入信息科技审计的生命周期,通过参与项目咨询、项目后评价等机会,利用审计人员的特有敏感性,感受信息系统的稳定性、安全性,鉴别信息系统的有效性。

        制定切合实际的信息科技审计规范,有计划地确定信息科技审计重点。结合农村金融机构的实际情况,遵循国家相关信息科技审计的法规,制订规范的审计标准是开展信息科技审计的基础。农村金融机构信息科技审计制度不是一成不变的,应当根据企业的具体营运情况在每个审计年度终结后、新的审计年度开始前做相应的修改和增删,才能确保信息科技审计履盖信息科技全业务、全生命周期。信息科技审计实施中还应该制定相应的计划,比如制定长远规划和分阶段计划。长远规划应与信息科技治理目标、信息科技规划相适应;分阶段计划根据项目的实施期间是否跨年度来定,一般情况以年度计划为主。

        信息科技审计整改责任应落实到董事会、高管层,以确保信息科技审计成果发挥最大功效。信息科技风险审计发现的问题不仅仅是技术部门操作方面的问题,很多是机制问题、高管重视问题、职能部门协调问题等。整改自然不是科技部门能单独完成的,需要各职能部门、信息科技部门、各行的共同努力,甚至需要高管层从治理结构、人事体制方面加以改进。因此,要确保信息科技成果有效落实,应当将其纳入中小金融机构公司治理结构进行系统规划,并由高管层来负责主抓,分解落实到各职能部门乃至高管层加以落实,需要各部门通力协作,合力整改。整改过程中,审计部门应当加以监督,不能只停留于信息科技表层上的整改。

        因此,培养一批信息科技内部审计人员,加大行业间的交流,促进科技部门流程化、标准化的发展,实现以风险为导向的重点审计,加大信息科技审计成果的落实,是当前农村金融机构提升信息科技审计的关键。

(文章来源:《金融电子化》杂志)

扫码即可手机
阅读转发此文

本文评论

相关文章