20世纪90年代以来，以网络为特征的信息技术将人类带到一个以信息为中心的世界(IT—central world)。信息技术的发展不仅给人们的社会生活带来一次又一次的惊喜，而且给经济领域带来了巨大的冲击，在现代经济活动中扮演着日益重要的角色。随着改革开放和我国信息化建设步伐的加快，我国商业银行的信息化建设从无到有、从小到大、从单项业务到综合业务、从单一网点到全国联网，已经逐步形成了商业银行信息化的基本框架，取得了显著的社会效益和经济效益，对提高商业银行的管理水平，降低交易成本，提高综合竞争能力，都具有非常重要的意义。自动取款机(ATM)，电子基金交易(EFT)，电子货币(Electronic cash)，电子银行(Electronic bank)，电子金融(Electronic finance)，网上银行(internet bank)，电话银行，手机银行，全国联网服务，一卡通，异地通存通兑，银证通等等，从这些不断出现的新词汇中，从日益“多元化”、“多层次”的客户服务中，可见商业银行在信息时代的发展态势和对信息技术和信息环境愈加紧密的依赖关系。信息化被视作现代商业银行的生命线。可以想象，当商业银行失去信息技术的平台时，客户交易每一笔业务都必须亲自到柜台上，排着长队接受人工服务，受到服务时间、地点和有限的服务内容限制时是何种的无奈和哀叹。当然，任何一项先进技术在带来巨大利益的同时也会带来相对应的风险，特别当一个经济活动过度地依赖于一项技术发展时，这项技术本身的弱点可能带来更大破坏力的负面影响。近几年来，恐怖事件的频繁发生，信息技术黑客的发展壮大，各大型公司财务丑闻的屡屡曝光都在持续暗示信息技术所潜藏的风险。随着2002年美国国土安全部门关于“计算机领域的安全计划”和美国赛班斯法案(Sarbanes-Oxley Act)<1>中关于内控和信息系统章节的发布，一场持久的保卫信息安全的战斗拉开了帷幕。 我国商业银行的信息化发展不仅迟于西方发达国家，而且在信息化的进程中还存在着许多不足，例如：操作轨迹不可见、操作流程缺失、数据非法修改、系统操作故障、信息系统人为欺诈等各类风险。这些风险中特别是人为因素造成的风险贯穿于信息技术流程管理、安全管理、项目管理和运行管理的过程中。信息化在推动商业银行发展的同时，也给商业银行带来了巨大的风险，直接影响商业银行的持续经营、盈利能力。商业银行的管理层已经开始重视信息技术风险，设立专门的信息技术风险管理职能部门，授权银行内部的信息技术部门或内部审计部门对银行信息系统的安全性进行鉴定和改善。信息技术人员虽然精通于信息技术，但缺乏审计人员的风险管理和内部控制概念，缺乏独立、客观和公正的操作原则；然而审计人员大多来自于财务领域，生疏于信息技术，不利于审计人员理解信息系统的流程，发现信息系统的缺陷，故不论由哪一方来主导的风险监控活动都不可避免产生偏颇，不是偏于技术层面而不能有效地控制风险，就是过于控制而不可操作。本文试图将两者相结合，从信息系统审计师的角度，通过分析我国商业银行在信息技术风险监控中存在的问题，以风险管理为导向，提出相关的对策建议，以促进商业银行信息技术风险监控体系的建设，并对商业银行信息化建设提供必要的安全控制建议。这些对策主要包括：建立完善的信息技术风险和控制的评估机制；制定健全的信息技术风险管理制度；完善信息技术平台的安全管理；建立信息系统的审计机制，加强信息系统审计：建立企业“风险”文化。