銀行業(yè)信息系統(tǒng)風(fēng)險(xiǎn)控制及其審計(jì)方法

張?jiān)浦尽垺≌?/p>

隨著銀行業(yè)信息化建設(shè)的快速發(fā)展，信息系統(tǒng)不僅為各項(xiàng)業(yè)務(wù)的運(yùn)營提供后臺支持保障，而且隨著新產(chǎn)品、新業(yè)務(wù)和新流程的不斷推出，信息系統(tǒng)日益成為業(yè)務(wù)發(fā)展的直接驅(qū)動(dòng)力和核心競爭力，因此信息系統(tǒng)在業(yè)務(wù)應(yīng)用中的風(fēng)險(xiǎn)范圍和程度也急劇加大，大量數(shù)據(jù)存儲(chǔ)于計(jì)算機(jī)中，與手工相比，它會(huì)受到更多的威脅。因此，有效控制信息系統(tǒng)在業(yè)務(wù)應(yīng)用中的風(fēng)險(xiǎn)成為擺在我們面前的一大課題。

1信息技術(shù)的廣泛應(yīng)用給銀行帶來的風(fēng)險(xiǎn)

銀行的IT風(fēng)險(xiǎn)不僅涵蓋了傳統(tǒng)的操作風(fēng)險(xiǎn)、信譽(yù)風(fēng)險(xiǎn)，還包含了在銀行的經(jīng)營管理過程中，所表現(xiàn)出的許多與信息化相關(guān)聯(lián)的其他類型風(fēng)險(xiǎn)。商業(yè)銀行的內(nèi)控應(yīng)該以風(fēng)險(xiǎn)管理為中心，尤其離不開IT風(fēng)險(xiǎn)管理的支持。IT風(fēng)險(xiǎn)主要表現(xiàn)在：

(1)業(yè)務(wù)風(fēng)險(xiǎn)發(fā)生后一般可以通過業(yè)務(wù)流程、法律手段等加以彌補(bǔ)，而IT風(fēng)險(xiǎn)發(fā)生后往往難以彌補(bǔ)；

(2)IT風(fēng)險(xiǎn)的對象要考慮各類技術(shù)設(shè)施，相對來講比較復(fù)雜；

(3)業(yè)務(wù)風(fēng)險(xiǎn)通過制度、流程、審批等環(huán)節(jié)能夠基本加以控制，而IT風(fēng)險(xiǎn)中的IT設(shè)施自身存在這樣那樣的缺陷，要控制就相對復(fù)雜；

(4)IT風(fēng)險(xiǎn)發(fā)生后波及范圍大、影響大，例如目前大多數(shù)銀行采取的IT系統(tǒng)大集中模式，一旦IT風(fēng)險(xiǎn)發(fā)生，將會(huì)影響到上百萬的用戶。

2銀行信息技術(shù)審計(jì)的重點(diǎn)

銀行信息技術(shù)審計(jì)是一個(gè)采集資料數(shù)據(jù)及對其進(jìn)行評估，以確定電腦系統(tǒng)是否能達(dá)到“保護(hù)銀行資產(chǎn)、維護(hù)數(shù)據(jù)的完整性、有效地協(xié)助銀行實(shí)現(xiàn)其經(jīng)營管理目標(biāo)、高效率地利用資源”的效果。依據(jù)這一審計(jì)理念，信息技術(shù)審計(jì)的重點(diǎn)應(yīng)包括應(yīng)用控制，以及與應(yīng)用控制對應(yīng)的是信息系統(tǒng)的一般性控制，主要是嵌入到IT流程和服務(wù)中的控制。

2１1一般性控制方面

IT一般控制的基本范圍是IT內(nèi)部普遍存在的風(fēng)險(xiǎn)及高層次的風(fēng)險(xiǎn)，而不是具體的應(yīng)用程序所涉及的風(fēng)險(xiǎn)。IT一般控制包括但不限于以下類型：

(1)授權(quán)審批：授權(quán)包括根據(jù)政策及程序執(zhí)行審批操作。

(2)職責(zé)分離：將不相容崗位的職責(zé)分離，防止個(gè)別人員利用職權(quán)作出并隱瞞錯(cuò)誤或違規(guī)的行為。

(3)管理層審閱：獨(dú)立于編制人的人員對編制人進(jìn)行的活動(dòng)進(jìn)行分析并實(shí)施監(jiān)控。

(4)特殊事項(xiàng)報(bào)告：用于監(jiān)控發(fā)現(xiàn)的特殊事項(xiàng)以及對這些事項(xiàng)的跟進(jìn)解決措施的報(bào)告。

(5)IT績效指標(biāo)：包括定期和不定期生成、審閱和分析IT績效指標(biāo)。

(6)系統(tǒng)訪問權(quán)限：在信息系統(tǒng)操作環(huán)境中，通過系統(tǒng)設(shè)置以決定和定義系統(tǒng)用戶的訪問權(quán)限，系統(tǒng)訪問權(quán)限應(yīng)與授權(quán)的權(quán)限相一致。

2１2應(yīng)用控制方面

IT應(yīng)用控制存在于每一個(gè)基于應(yīng)用系統(tǒng)的事務(wù)及數(shù)據(jù)處理中，是針對輸入、處理和輸出功能的控制，信息系統(tǒng)的應(yīng)用控制審計(jì)是利用標(biāo)準(zhǔn)、規(guī)范和審計(jì)技術(shù)，對信息系統(tǒng)進(jìn)行測試、檢查和評價(jià)，檢查應(yīng)用系統(tǒng)是否存在漏洞和功能缺陷，評價(jià)信息系統(tǒng)的安全性、穩(wěn)定性和有效性，并提出相應(yīng)的改造建議。IT應(yīng)用控制包括但不限于以下類型：

(1)輸入控制

①輸入／數(shù)據(jù)源控制：輸入控制程序必須確保每一筆需要被處理的數(shù)據(jù)能夠正確完整地接受、處理和記錄。

②輸入授權(quán)：輸入授權(quán)驗(yàn)證所有由管理層授權(quán)和批準(zhǔn)的事務(wù)，輸入授權(quán)有助于確保只有經(jīng)授權(quán)的數(shù)據(jù)才能進(jìn)入計(jì)算機(jī)系統(tǒng)進(jìn)行處理。

③批處理控制：批處理控制對輸入事務(wù)進(jìn)行分組以提供總計(jì)控制，批處理控制包括基于總金額、總項(xiàng)目數(shù)、總文件數(shù)等控制手段。

④錯(cuò)誤報(bào)告和錯(cuò)誤處理方法：輸入處理要求系統(tǒng)內(nèi)部控制能夠驗(yàn)證輸入數(shù)據(jù)被系統(tǒng)正確地接受，輸入錯(cuò)誤會(huì)被識別和糾正。

⑤數(shù)據(jù)確認(rèn)和編輯檢查：建立程序以保證輸入數(shù)據(jù)被確認(rèn)，通過在程序中設(shè)定輸入格式，確保數(shù)據(jù)以正確的格式被輸入到正確的區(qū)域。

(2)處理控制

處理控制保證計(jì)算數(shù)據(jù)的完整性和準(zhǔn)確性。這類控制保證數(shù)據(jù)在文件或數(shù)據(jù)庫中的完整和準(zhǔn)確，只有授權(quán)的處理或修改程序才能對數(shù)據(jù)進(jìn)行更改。

(3)輸出控制

輸出控制主要是保證交付給用戶的數(shù)據(jù)是符合格式要求的、可交付的，并以一致和安全的方式遞交給用戶或不同的系統(tǒng)。

3銀行信息技術(shù)審計(jì)的方法

信息技術(shù)審計(jì)是一個(gè)通過收集和評價(jià)審計(jì)證據(jù)，對信息系統(tǒng)是否能夠保護(hù)資產(chǎn)的安全、維護(hù)數(shù)據(jù)的完整、使被審計(jì)單位的企業(yè)目標(biāo)得以有效地實(shí)現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。下面結(jié)合筆者開展審計(jì)項(xiàng)目的實(shí)踐，就相關(guān)審計(jì)方法歸納如下：

(1)調(diào)查問卷法

調(diào)查問卷法是審計(jì)人員針對取證對象設(shè)計(jì)問卷，對于問卷不能解釋清楚的部分在附注中用文字加以說明，要求被調(diào)查人員根據(jù)實(shí)際情況做出真實(shí)回答的取證方法。

(2)詢問法

詢問法是指審計(jì)人員在審計(jì)現(xiàn)場向取證對象了解信息系統(tǒng)開發(fā)、運(yùn)行管理等方面情況的審計(jì)方法，訪談對象必須是執(zhí)行該項(xiàng)控制的崗位人員。

(3)觀察法

觀察法是審計(jì)人員采用檢查操作用戶權(quán)限與被審單位內(nèi)控制度、現(xiàn)場觀察測試操作、分析系統(tǒng)的操作日志和分析系統(tǒng)業(yè)務(wù)數(shù)據(jù)等審計(jì)方法，對于正在執(zhí)行的控制步驟是主要測試方法。

(4)書面文檔檢查法

該方法是指審計(jì)人員查閱被審計(jì)對象的信息技術(shù)政策、規(guī)章制度、項(xiàng)目的業(yè)務(wù)需求、設(shè)計(jì)文檔、技術(shù)手冊和操作手冊、差錯(cuò)調(diào)整等相關(guān)文檔的審計(jì)過程，用以了解系統(tǒng)業(yè)務(wù)處理流程，檢查信息系統(tǒng)控制功能是否有效、完整。

(5)開發(fā)環(huán)境測試法

該方法是指審計(jì)人員設(shè)計(jì)一些測試案例，提交系統(tǒng)進(jìn)行處理，以測試系統(tǒng)應(yīng)用控制是否恰當(dāng)、有效。

(6)穿行測試法

該方法主要是由審計(jì)人員通過重新執(zhí)行某項(xiàng)控制，檢查該項(xiàng)控制實(shí)際執(zhí)行結(jié)果是否準(zhǔn)確的方法。

(7)源代碼走查法

根據(jù)抽樣數(shù)據(jù)確定的疑點(diǎn)，通過走查相應(yīng)的部分系統(tǒng)源代碼，檢查信息系統(tǒng)處理控制功能是否合理有效。