1、 IT 審計是什麼。,
IT 審計相當於董事長和科技之間的緩衝帶,將極端的技術和極端的管理,融合翻譯成董事長更容易理解的、更容易操作的問題和建議。在這個過程中, IT 審計既不能拋棄 IT 專業性,也不能缺失服務行領導意識,難點也在於此,行領導更懂管理,但又聽過技術,怎樣在鞏固服務意識的基礎上,把握專業性的度,是這項工作的核心難點。要解決這個問題,就需要比行領導更懂科技,可能的話,可以調閱科技的各項彙報材料,且增加調研頻率,瞭解行領導看到的內容和沒看到的內容,看董事長的用詞,看科技彙報的用詞,只有充分了解,才能從管理角度提出建議。同時,加強專業性學習,長期專注於服務意識,專業性也會逐漸流失,直至失去專業性,這也是行領導不願意看到的。」
2、 IT 審計的未來。。
我認為 IT 審計是緊跟 IT 發展的,可以以數字化的水平為依據,分為三個發展階段,我們可能會一直留在第二階段,理想的話可以升到第三個階段。
第一階段是在數字化轉型之前,當時我行 IT 是傳統 IT , IT 審計也隨之是傳統 IT 審計,傳統的 IT 對於農行來說是可插拔式的外掛,對於經營來說, IT 除了基礎的網路執行,其他作用不大,像外掛一樣可隨時與主營業務脫鉤, IT 審計也隨之就科技言科技,沒有動力和資源支援去觸及業務;.
第二階段是數字化轉型開始到形成數字化經營模式期間,也就是現在, IT 逐漸模糊了與主營業務之間的界限,二者從涇渭分明逐漸走向融合,業務部門中逐漸有了科技力量,但是當前其他審計條線不像 IT 審計"春江水暖鴨先知", IT 審計乘著數字化轉型這一最新戰略的東風,領先於其他審計,可以從全行數字化轉型的這一全域性角度去看待問題,不像業務目前還侷限在一個條線內,那麼 IT 審計在審 IT 的同時,目前也強調過多次,一是緊跟數字化腳步,主動觸及業務,在 CISA 理論中也要求 IT 審計應突出對業務的影響,同時在當前局面下, IT 雖然沒有以前那麼像外掛,但也並未完全融入業務,在審計中也可以看到即便是精準應用,也仍有很多專家規則在發揮作用,並未充分利用資料要素,這就導致 IT 審計也無法過於深入業務,當然這已經是很大的進步,二是處在轉型期這個階段,應牢牢把握數字化也是 IT 範疇這個認識, IT 審計要自然而然從協同轉型這個大目標下,發現 IT 融入業務過程中存在的問題,包括管理問題、機制問題等。查什麼管理問題?我對現在的審計成果比較迷惑,有些審計成果是管理問題,有些是浮於問題,且這些問題明明可以深挖管理原因。我覺得 IT 審計就應該是對各種風險點控制措施的審計,而不是像一二道防線那樣直接審問題表象;
第三階段是數字化經營階段,這個階段 IT 與主營業務完全融合,但並不是說像互金一樣由科技主導,人行新任行長公開表明,金融科技仍是金融,科技只是實現金融目標的手段。在業技完全融合的時候,那時 IT 審計還能做什麼呢?從這一兩年其他審計條線的專案或多或少都涉及 IT 就能看出來,其他條線可以業務為主,科技為輔,更容易讓各級領導理解, IT 審計科技為主,業務為輔的模式,在全行業技數融合更深入的時候, IT 審計如何開展。可能還得走專業化路線,查 IT ,甚至不能查部門間協同問題,因為那會這已經被解決或者是老生常談的問題了,當然那時與現在以及以前都是不同的,就科技而言科技可能是一個更大的概念,假設到時沒有 IT 條線,只有業技融合後的條線, IT 方面除了運維就是敏捷開發,做業務的人員可以在 IT 和業務間隨時切換, IT 審計將在網安、連續性、新技術等專業性、基礎性領域發揮作用,其他如服務發展質量、最佳化工作機制、基層減負等方面,其他審計條線也會查,甚至因領域不同而查的更好,但並不是說迴歸了第一階段,相較於第一階段,此時 IT 的底座作用變得舉足輕重,牽一髮動全身,網安、連續性等審計領域也全然不同, IT 審計還是能發現更深層次的 IT 方面的問題及原因。。
面對上述的發展路徑, IT 審計以後怎麼辦呢?一是和其他審計條線聯動,及時互通所發現的問題,業務審計發現的科技問題要在 IT 審計中有深層體現, IT 審計影響的業務問題也要在業務審計中有深層體現,這樣對於 IT 審計來說,至少不丟分。二是抓分行,總行科技管理相對來說比較完善嚴格且更專業,審計只會吃力不討好,查分行簡單,大家都知道分行問題更多,數字化轉型上冷下熱的現象有很多原因在分行,轉型的實施也要靠分行,但每次只能以偏概全說樣本分行存在的問題,行領導應該也很想知道分行整體存在的問題,我們當前還在做三年全覆蓋,這其實還是傳統的抽樣審計思路,覺得一年審不完,現在分局的技術水平問題不大,疊加非現場監測、風險排查評估,大資料審計重點更明確,效率更高,底稿轉化率也會提升,還會把分局拽住,審計品牌,信科管理審計也可以,數字化轉型進行到一定程度時,二者甚至可以融合開展。三是數字化相當成熟時, IT 審計除了專業化的審計專案,也可以像研發的風險部一樣,搞 IT 風險排查和評估,與非現場監測一道,形成與資訊科技管理審計同等的專案,拓寬加分面,有些工作大家都會做,但是在 IT 方面專業化的內容只能 IT 審計做,深挖 IT 方面可做的事半功倍的工作。
3、需不需要和被審單位搞開門審計。
需要搞,現在的大資料審計和傳統的抽查日誌不同,可以全量查詢問題,也能避免重複發現同類問題,倒逼 IT 審計進步,但是也容易把 IT 審計逼上絕路,被審單位會充分了解審計的思路,並內化為自身的手段, IT 審計可能會失去查問題的功能,只剩獨立性了。即便如此,還要開展的原因是,需要和數字化一樣,保持開放態度,大家共同進步才是進步,當然,分局水平有高有低,全面開放不太現實,可以定期評選打造一兩個標杆分局實施開門審計,當作向其他分局、被審單位和行領導宣傳審計思路的"對外視窗",提升各相干人對審計服務發展的認識。