上海浦東發(fā)展銀行IT審計是商業(yè)銀行內(nèi)部稽核中的新內(nèi)容，隨著計算機信息系統(tǒng)已成為銀行經(jīng)營和管理的平臺以及數(shù)據(jù)大集中的實現(xiàn)，商業(yè)銀行對信息系統(tǒng)的依賴性越來越強，也帶來巨大的IT風(fēng)險。正因如此，IT審計工作已引起上海浦東發(fā)展銀行高度重視，并在“做國際上較好商業(yè)銀行”戰(zhàn)略的指引下，與國際接軌，在規(guī)范中逐步發(fā)展。IT審計工作開展情況上海浦東發(fā)展銀行IT審計工作將國際理念與本行實際相結(jié)合，以規(guī)范先行為指引，以學(xué)習(xí)實踐為手段，在制度、標準、流程和實施方面取得了一定經(jīng)驗。

　　一、整章建制，構(gòu)建IT審計制度框架體系。設(shè)立IT審計專業(yè)崗位后，通過兩年多的努力，已建立起一套40萬字的IT審計《基本準則》、《具體準則》、《IT審計手冊》和《IT審計文檔模板》，并在制度建設(shè)中力爭做到三方面結(jié)合。一般性與特殊性結(jié)合。IT審計作為銀行內(nèi)部審計工作的重要組成部分，既有內(nèi)部審計的一般性，又有其特殊性。一方面，IT審計要遵循內(nèi)部審計的職業(yè)道德、基本準則和具體準則；另一方面，IT審計的專業(yè)性和高風(fēng)險性又需要特定的制度去約束和規(guī)范。已制定的IT審計制度體系包含四項內(nèi)容：職業(yè)道德、基本準則、具體準則和審計手冊，其中后三項構(gòu)成面向?qū)崉?wù)的規(guī)范性文件。專業(yè)性與可操作性結(jié)合。IT審計的規(guī)范與流程不僅是專業(yè)人員所必須的，對一般的業(yè)務(wù)審計人員也有著積極的指導(dǎo)和借鑒意義。從這個角度出發(fā)，浦發(fā)銀行在制度建設(shè)中面向一般審計人員，如在IT審計手冊中提供了二十三項關(guān)于問卷調(diào)查、現(xiàn)場檢查、底稿制作和報告撰寫的模板，使審計人員可在短期內(nèi)通過手冊指引迅速投入到具體的業(yè)務(wù)實施中。及時性與前瞻性結(jié)合。有效提升IT審計的廣度與深度，有效降低風(fēng)險隱患，是當(dāng)前制度建設(shè)的主要目標。同時，制度建設(shè)也應(yīng)具備一定的前瞻性，通過將國際標準與商業(yè)銀行審計實踐融合，促進工作質(zhì)量的提高；通過基于風(fēng)險審計理念的貫徹與循序漸進的知識轉(zhuǎn)移，促進審計人員職業(yè)素養(yǎng)的提高。

　　二、接軌國際，探索IT審計的標準與流程。IT審計必須符合科學(xué)、獨立、審慎的精神。浦發(fā)銀行確立了從戰(zhàn)略高度關(guān)注信息系統(tǒng)治理機制與體系架構(gòu)的立足點，從國際視野探索適合中國商業(yè)銀行實際的標準與流程。經(jīng)過反復(fù)論證和學(xué)習(xí)實踐，采用了兩個標準。首先采用BS7799/ISO17799作為劃分信息資產(chǎn)的標準。BS7799/ISO17799包含10大類資產(chǎn)，127個控制點。浦發(fā)銀行結(jié)合自身實際，把銀行信息資產(chǎn)劃分為9個方面，81個控制點。其次采用國際信息系統(tǒng)審計與控制協(xié)會（ISACA）標準作為開展具體IT審計業(yè)務(wù)的流程參考，在工作中借鑒國際化的標準流程實施審計，使審計人員能夠更加客觀和全面地掌握信息系統(tǒng)的風(fēng)險狀況。

　　三、不斷實踐，分布實施IT審計具體業(yè)務(wù)。浦發(fā)銀行IT審計從一開始就采用基于風(fēng)險的審計方法和技術(shù)，其內(nèi)涵包括識別信息系統(tǒng)風(fēng)險、確定風(fēng)險影響、實施風(fēng)險評估和開展現(xiàn)場檢查等。在人員組織上，通過建立客座審計機制將信息科技專業(yè)人員納入審計組實施現(xiàn)場檢查；在審計手段上，采用資料審閱、人員訪談、日志讀取、現(xiàn)場觀察等方法，注重過程的規(guī)范性；在借助外力上，引入安全評估專家，采用漏洞掃描、日志分析等技術(shù)輔助審計，獲得了第一手資料。兩年來，浦發(fā)銀行完成了對總行層面和全國三分之一分行的IT現(xiàn)場檢查，初步掌握了全行信息系統(tǒng)風(fēng)險狀況。IT審計工作面臨的問題鑒于IT審計在國內(nèi)商業(yè)銀行起步較晚，加上其專業(yè)性較強，技術(shù)發(fā)展較快，給具體工作開展帶來一定困難：可供借鑒的成熟經(jīng)驗不多。國外在IT審計方面開展較早，積累經(jīng)驗較多，制定的標準也較規(guī)范；反觀國內(nèi)，由于IT審計處于起步階段，沒有較多現(xiàn)成的案例和資料可供借鑒，只能通過自身摸索與反復(fù)實踐。應(yīng)用系統(tǒng)項目審計難度較大。隨著商業(yè)銀行應(yīng)用系統(tǒng)的開發(fā)上線不斷增多，IT審計工作很大一部分內(nèi)容是對應(yīng)用系統(tǒng)開展項目審計。但是項目開發(fā)周期過長，數(shù)量較多，技術(shù)較復(fù)雜，IT審計人員如何利用有限資源實施審計也是當(dāng)前面臨的迫切問題。IT審計人員數(shù)量不足。目前雖已初步建立了一支專業(yè)化的IT審計隊伍，但IT審計人員占比僅為6%，而花旗銀行占比已超過20%.

　　IT審計工作的展望為實現(xiàn)“做國際上較好的商業(yè)銀行”的戰(zhàn)略目標，迎接銀行業(yè)對外開放帶來的挑戰(zhàn)，抓住與戰(zhàn)略伙伴花旗銀行合作的機遇，浦發(fā)銀行未來IT審計工作將重點建設(shè)以下四個方面：一支高素質(zhì)的IT審計隊伍。充實隊伍，鼓勵I(lǐng)T審計人員根據(jù)崗位需要參加注冊內(nèi)部審計師（CIA）、注冊信息系統(tǒng)審計師（CISA）、注冊會計師（CPA）等資格考試，計劃三年內(nèi)持證比例達到30%，建立內(nèi)部持證上崗制度，強化崗位資格培訓(xùn)與后續(xù)教育。一套高標準的IT審計規(guī)范。依照監(jiān)管部門要求，以規(guī)范化為基礎(chǔ)，借鑒ISACA指引、COBIT、BS7799、COSO等相關(guān)標準，不斷完善IT審計職業(yè)倫理、基本準則、具體準則和審計手冊。一套高度規(guī)范的IT審計工作流程。建立一套標準化、可追朔、不斷更新的工作流程，強化管理，保證質(zhì)量，有效降低風(fēng)險。一個高起點的審計管理信息系統(tǒng)。

　　建立一套高效的審計輔助管理信息系統(tǒng)，為IT審計及業(yè)務(wù)審計提供強有力的數(shù)據(jù)分析挖掘、數(shù)據(jù)展現(xiàn)、預(yù)警提示及信息管理職能，為非現(xiàn)場和現(xiàn)場審計提供一體化支持。綜上，浦發(fā)銀行的信息系統(tǒng)審計仍處在起步階段，還需要吸收借鑒國內(nèi)外同行的經(jīng)驗，從制度和軟環(huán)境建設(shè)、審計信息系統(tǒng)建設(shè)、隊伍建設(shè)等方面逐步完善和提高。