证券基金行业进入信息技术审计2.0阶段

扫描分享

本文共字，预计阅读时间。

金融科技应用加速，业务、技术边界模糊，技术赋能证券基金经营机构的同时，也将经营机构推向了高风险领域，如何结合自身禀赋打造金融科技应用“防护罩“对经营机构甚至行业来说至关重要，一方面，需要经营机构信息技术、合规、风控、稽核审计等各相关条线协同，补齐信息技术管控三道防线短板；另一方面，对外部服务机构的专业性也提出了更高要求。

当前，如何构建或完善信息技术风险防控第三道防线，对多数经营机构来讲，充满挑战。作者认为当前最重要的是应重新审视信息技术审计，包括认识、定位，面临的挑战以及如何开展等。

一、行业信息技术审计定义

信息技术审计最早起源于20世纪60年代初的美国，之后在日本、英国、澳大利亚等国流行起来，目前没有权威、统一定义。INTOSAI（国际审计组织）将信息技术审计定义为：通过获取、评估证据，以判断信息系统是否有效保护了组织资产、有效利用了组织的资源，保障数据的安全性和一致性，以及是否有效达到组织目标的过程。哈佛大学将信息技术审计定义为：根据公认的标准或既定的政策，对组织的信息技术基础设施、应用、数据使用和管理、流程、制度和操作过程进行的检查和评估；评估信息技术资产的保护控制是否完整并与组织目标相一致。

结合行业实际，作者将行业信息技术审计定义为：在规定审计范围内，依据有关法规政策，结合经营机构目标，检查和评估经营机构信息技术资产及管控措施的活动。这里的“在规定审计范围内”有两层含义：一是全面审计还是专项审计，二是审计有其特定时间范围，也有其天然的局限性；“依据”除了法规政策外还要结合公司的愿景、发展目标、战略等；审计对象除了各类信息技术资产还包括相关制度、流程、操作过程等；对目标开展检查和评估，经营机构内部相关岗位、外部主体都应具有较高的专业能力和行业认知度。此外，因新技术、新需求、新监管要求不断涌现，信息技术审计对于经营机构来讲，是一项持续性的工作。

二、行业信息技术审计2.0阶段

作者将《办法》发布之前视为信息技术审计1.0阶段，之后为2.0阶段，具体分析如下：

（一）行业信息技术审计1.0阶段

2008年《证券期货经营机构信息技术治理工作指引》第五十二条要求经营机构“应建立内部IT审计制度，至少每两年进行1次审计，建议对重要IT项目的建设和运行进行专项审计，鼓励公司聘请外部机构对公司进行IT审计和IT风险评估”；该法规鼓励外部审计，要求专项审计。2012年的82号令第三十五条要求经营机构“应当建立信息安全内部审计制度，定期开展内部审计，对发现的问题进行整改“，该法规层级高于前者，要求内部审计，未就外部审计表态，且侧重信息安全方向。

上述期间，对于绝大多数经营机构来讲，首先，由于信息技术发展水平和对公司带来价值的认可度有限，行业对信息技术重视程度普遍不高，信息技术审计目标基本上停留在被动式满足监管条文最基本的要求（注意*这里用“监管条文”），审计也基本局限在传统财务审计为主的范畴，外部信息技术审计活动往往内嵌或服务于财务审计；其次，信息技术审计专业性较强且内容广，公司也极少为稽核审计部门特意配备信息技术审计人才，没有构建信息技术审计体系，第三道防线往往较为脆弱；最后，公司对信息技术审计价值的认识高度不够，将信息技术审计工作视为“找茬”“挑毛病”的看法不在少数，信息技术审计并没有在公司层面成为技术条线的“队友”而成了“对手”。此外，对于当时的信息技术审计服务机构来讲，既懂审计、懂技术、懂行业、又懂监管导向的专业信息技术审计服务机构极少，所以也无法协助经营机构构建或完善整个信息技术审计体系。随着金融科技的快速发展，这种劣性循环，加剧了经营机构甚至行业面临的风险隐患。

（二）行业信息技术审计2.0阶段

1. 从监管角度看

除了以往法规对信息技术治理、安全的要求外，152号令对信息技术风控、合规、审计等都做了明确要求，要求经营机构在合规、控制风险的前提下科技赋能是全文重要导向，呼应了行业金融科技快速发展的现状。第16条则明确要求经营机构：

“证券基金经营机构应当定期开展信息技术管理工作专项审计，频率不低于每年一次，确保三年内完成信息技术管理全部事项的审计工作，包括但不限于信息技术治理、信息技术合规与风险管理、信息技术安全管理、应急管理。

证券基金经营机构应当委托外部专业机构开展信息技术管理工作的全面审计，频率不低于每三年一次;未能有效实施信息技术管理被采取行政处罚措施、监管措施或者自律管理措施的，应当在三个月内完成对有关事项的专项审计。

证券基金经营机构应当跟踪审计发现问题的整改情况，相关问题未能及时整改的，应当说明理由，并将审计报告提交信息技术治理委员会审议。证券基金经营机构应当妥善保存审计报告，保存期限不得少于二十年。”

通过该条可以看出，内审方面，经营机构每年应至少一次专项审计，三年至少覆盖4大领域；外审方面，至少三年一次全面审计，特殊情况需要专项审计。

《办法》的适时颁布，促进行业加速进入IT审计2.0阶段，优化监管资源配置，更好打造行业信息技术风险管控闭环。

2. 从经营机构自身发展角度看

近两年，经营机构信息技术发展水平变化显著，科技赋能已被越来越多经营机构写入公司发展战略，对信息技术的重视程度也越来越高、信息技术资产规模也越来越大，这时，传统信息技术审计导向和做法已无法满足行业发展需要，也耗费了过多经营机构合规、甚至监管资源。行业信息技术审计进入主动提升自我、风险防控、价值实现为导向的新阶段。从近期交流的众多经营机构看，个别经营机构已在该领域走在了前列。

3. 从外部审计服务机构角度来看

深耕、聚焦行业的新型外部审计服务机构的出现，能更好、更接地气的帮助经营机构提升信息技术风险防控水平，构建或完善三道防线，助力实现公司发展目标，稳步进入信息技术审计2.0阶段，从以往被动的“条文导向型”快速过渡到“风险导向型”“价值导向型”信息技术审计。从银行业10年来信息技术审计发展趋势看，信息技术审计与财务审计分开是必然，能提供专业且接地气评估建议的咨询类公司已成为信息技术审计的中间力量。

三、行业信息技术审计挑战

当前信息技术审计行业面临较大挑战，包括但不限于以下几点：

1. 对信息技术审计认识高度不够

从整个行业角度看，一方面，容易忽视信息技术审计给企业所带来的价值；另一方面，往往对信息技术审计存在误解，阻碍了相关审计工作的开展。各条线没能在提升公司风险管控水平，助力公司目标实现的共同目标下开展相关工作，是很多内部矛盾的重要原因。

2. 信息技术审计人才缺乏

要做好IT审计，审计人员除了具备基本的审计知识，还需要深入了解内控、各类技术等，此外，还需要跟进公司发展目标，了解行业最佳实践以及监管导向等，但是目前这种复合型人才稀缺。

3. 相关政策法规多且分散，更新频率越来越高

等保2.0、网络安全法、82号令、152号令……各类业务规范更新频率不断提高,单靠经营机构本就稀缺的人力资源难以应付，华锐分布式（北京）技术有限公司历时几个月，梳理了几十项相关法规政策，目前相关的审计点就已达到2000余项。

4. 审计标准缺乏或待完善

虽然行业曾发布过供参考的信息技术审计指南，但信息技术审计内容是不断更新的，随着信息技术发展，该指南存在一定的不足，如何借助国际标准、国内标准、行业标准、行业最佳实践等构建并不断完善符合自身实际情况且满足监管要求的信息技术审计标准体系对经营机构很重要。

四、开展信息技术审计建议

为做好信息技术内外部审计，建议如下：

1. 正确认识信息技术审计目标

我们常常将信息技术全面审计比作对信息技术的大检查、体检，但信息技术审计不能粗暴的以发现问题多少为导向，容易走偏；外部的专业审计机构也不应死板的按照所谓的“检查底稿”去走过场，经过一个项目，客户的三道防线更融合、协同、互相理解了，也是项目的重要成果之一。在具体实操过程中，面对如此庞大的工作量，结合行业实际、经营机构自身，将审计目标分解，分清轻重缓急、给出侧重点及优先级很重要，也体现了审计服务机构的专业能力。

2. 加强正确的IT审计理念宣传

加强内部审计准则和风险导向审计理念的宣传。信息技术审计不是拆台而是搭台，也是协助信息技术条线把控信息技术风险，应积极获得信息技术条线的理解、配合。毕竟，提升经营机构信息技术风险防控能力符合三道防线各相关主体的诉求。

3. 构建审计标准体系，完善信息技术风险管控三道防线

建立明确的IT控制标准作为审计依据，提高审计质量和效果。通过专项工作，构建公司审计标准体系，与外部互补且根据最新监管政策法规动态，不断动态完善。当前，行业信息技术风险管控第二道、三道防线普遍较弱，需要及时补齐短板，这也是《办法》的主要导向之一。

4. 灵活解决“人才短板”问题

当前，在稽核审计部门配置充足信息技术审计专职人员不太现实，对于大中型机构建议开始少量配备专业复合型人才，对于中小机构在资源有限的情况下，可以借助外脑协助开展相关工作。此外，除专业知识培训外，也需要定期信息技术相关政策法规培训，公司发展战略培训等。

5. 选择落地性强、能解决实际问题的专业服务机构

信息技术审计作为最后一道防线，经营机构开展外部审计，在不违反相关保密规章制度的前提下，不管是从更好满足监管要求，还是实现自身目标，亦或是提高三道防线协同等角度，都应审慎选择服务机构。

根据之前调研，信息技术审计服务机构有三个层级：初级，依据公开的国内外资料和框架，粗放式的走过场；中级，除了专业团队，懂行业、有行业的碎片化沉淀；高级，除了专业团队、懂行业、懂技术也懂监管法规条文背后的立法精神或导向、以及关键场景的行业最佳实践。信息技术审计做起来简单，但做好难，做精发挥价值则更难。信息技术审计2.0阶段，技术业务融合，IT审计也应该融合业务、监管精神、公司发展愿景。如果审计项目只停留在应付监管条文层面，就大幅度降低了信息技术审计应有的效能。

此外，需要指出的是，新系统建设、重要变更等，应该兼顾未来审计需求和要求，要符合《办法》第二十八条“具备可审计功能”以及第二十五条相关要求。