上海浦東發(fā)展銀行IT審計是商業(yè)銀行內(nèi)部稽核中的新內(nèi)容，隨著計算機信息系統(tǒng)已成為銀行經(jīng)營和管理的平臺以及數(shù)據(jù)大集中的實現(xiàn)，商業(yè)銀行對信息系統(tǒng)的依賴性越來越強，也帶來巨大的IT風險。正因如此，IT審計工作已引起上海浦東發(fā)展銀行高度重視，并在“做國際上較好商業(yè)銀行”戰(zhàn)略的指引下，與國際接軌，在規(guī)范中逐步發(fā)展。IT審計工作開展情況上海浦東發(fā)展銀行IT審計工作將國際理念與本行實際相結合，以規(guī)范先行為指引，以學習實踐為手段，在制度、標準、流程和實施方面取得了一定經(jīng)驗。

　　一、整章建制，構建IT審計制度框架體系。設立IT審計專業(yè)崗位后，通過兩年多的努力，已建立起一套40萬字的IT審計《基本準則》、《具體準則》、《IT審計手冊》和《IT審計文檔模板》，并在制度建設中力爭做到三方面結合。一般性與特殊性結合。IT審計作為銀行內(nèi)部審計工作的重要組成部分，既有內(nèi)部審計的一般性，又有其特殊性。一方面，IT審計要遵循內(nèi)部審計的職業(yè)道德、基本準則和具體準則；另一方面，IT審計的專業(yè)性和高風險性又需要特定的制度去約束和規(guī)范。已制定的IT審計制度體系包含四項內(nèi)容：職業(yè)道德、基本準則、具體準則和審計手冊，其中后三項構成面向實務的規(guī)范性文件。專業(yè)性與可操作性結合。IT審計的規(guī)范與流程不僅是專業(yè)人員所必須的，對一般的業(yè)務審計人員也有著積極的指導和借鑒意義。從這個角度出發(fā)，浦發(fā)銀行在制度建設中面向一般審計人員，如在IT審計手冊中提供了二十三項關于問卷調(diào)查、現(xiàn)場檢查、底稿制作和報告撰寫的模板，使審計人員可在短期內(nèi)通過手冊指引迅速投入到具體的業(yè)務實施中。及時性與前瞻性結合。有效提升IT審計的廣度與深度，有效降低風險隱患，是當前制度建設的主要目標。同時，制度建設也應具備一定的前瞻性，通過將國際標準與商業(yè)銀行審計實踐融合，促進工作質(zhì)量的提高；通過基于風險審計理念的貫徹與循序漸進的知識轉移，促進審計人員職業(yè)素養(yǎng)的提高。

　　二、接軌國際，探索IT審計的標準與流程。IT審計必須符合科學、獨立、審慎的精神。浦發(fā)銀行確立了從戰(zhàn)略高度關注信息系統(tǒng)治理機制與體系架構的立足點，從國際視野探索適合中國商業(yè)銀行實際的標準與流程。經(jīng)過反復論證和學習實踐，采用了兩個標準。首先采用BS7799/ISO17799作為劃分信息資產(chǎn)的標準。BS7799/ISO17799包含10大類資產(chǎn)，127個控制點。浦發(fā)銀行結合自身實際，把銀行信息資產(chǎn)劃分為9個方面，81個控制點。其次采用國際信息系統(tǒng)審計與控制協(xié)會（ISACA）標準作為開展具體IT審計業(yè)務的流程參考，在工作中借鑒國際化的標準流程實施審計，使審計人員能夠更加客觀和全面地掌握信息系統(tǒng)的風險狀況。

　　三、不斷實踐，分布實施IT審計具體業(yè)務。浦發(fā)銀行IT審計從一開始就采用基于風險的審計方法和技術，其內(nèi)涵包括識別信息系統(tǒng)風險、確定風險影響、實施風險評估和開展現(xiàn)場檢查等。在人員組織上，通過建立客座審計機制將信息科技專業(yè)人員納入審計組實施現(xiàn)場檢查；在審計手段上，采用資料審閱、人員訪談、日志讀取、現(xiàn)場觀察等方法，注重過程的規(guī)范性；在借助外力上，引入安全評估專家，采用漏洞掃描、日志分析等技術輔助審計，獲得了第一手資料。兩年來，浦發(fā)銀行完成了對總行層面和全國三分之一分行的IT現(xiàn)場檢查，初步掌握了全行信息系統(tǒng)風險狀況。IT審計工作面臨的問題鑒于IT審計在國內(nèi)商業(yè)銀行起步較晚，加上其專業(yè)性較強，技術發(fā)展較快，給具體工作開展帶來一定困難：可供借鑒的成熟經(jīng)驗不多。國外在IT審計方面開展較早，積累經(jīng)驗較多，制定的標準也較規(guī)范；反觀國內(nèi)，由于IT審計處于起步階段，沒有較多現(xiàn)成的案例和資料可供借鑒，只能通過自身摸索與反復實踐。應用系統(tǒng)項目審計難度較大。隨著商業(yè)銀行應用系統(tǒng)的開發(fā)上線不斷增多，IT審計工作很大一部分內(nèi)容是對應用系統(tǒng)開展項目審計。但是項目開發(fā)周期過長，數(shù)量較多，技術較復雜，IT審計人員如何利用有限資源實施審計也是當前面臨的迫切問題。IT審計人員數(shù)量不足。目前雖已初步建立了一支專業(yè)化的IT審計隊伍，但IT審計人員占比僅為6%，而花旗銀行占比已超過20%.

　　IT審計工作的展望為實現(xiàn)“做國際上較好的商業(yè)銀行”的戰(zhàn)略目標，迎接銀行業(yè)對外開放帶來的挑戰(zhàn)，抓住與戰(zhàn)略伙伴花旗銀行合作的機遇，浦發(fā)銀行未來IT審計工作將重點建設以下四個方面：一支高素質(zhì)的IT審計隊伍。充實隊伍，鼓勵IT審計人員根據(jù)崗位需要參加注冊內(nèi)部審計師（CIA）、注冊信息系統(tǒng)審計師（CISA）、注冊會計師（CPA）等資格考試，計劃三年內(nèi)持證比例達到30%，建立內(nèi)部持證上崗制度，強化崗位資格培訓與后續(xù)教育。一套高標準的IT審計規(guī)范。依照監(jiān)管部門要求，以規(guī)范化為基礎，借鑒ISACA指引、COBIT、BS7799、COSO等相關標準，不斷完善IT審計職業(yè)倫理、基本準則、具體準則和審計手冊。一套高度規(guī)范的IT審計工作流程。建立一套標準化、可追朔、不斷更新的工作流程，強化管理，保證質(zhì)量，有效降低風險。一個高起點的審計管理信息系統(tǒng)。

　　建立一套高效的審計輔助管理信息系統(tǒng)，為IT審計及業(yè)務審計提供強有力的數(shù)據(jù)分析挖掘、數(shù)據(jù)展現(xiàn)、預警提示及信息管理職能，為非現(xiàn)場和現(xiàn)場審計提供一體化支持。綜上，浦發(fā)銀行的信息系統(tǒng)審計仍處在起步階段，還需要吸收借鑒國內(nèi)外同行的經(jīng)驗，從制度和軟環(huán)境建設、審計信息系統(tǒng)建設、隊伍建設等方面逐步完善和提高。