利用ＩＴ審計(jì)規(guī)避銀行信息化風(fēng)險(xiǎn)

郭夏蒲

提要我國(guó)銀行業(yè)信息化建設(shè)已取得初步成果，但在提高經(jīng)營(yíng)效率的同時(shí)也帶來了一系列的挑戰(zhàn)。為了保障銀行信息系統(tǒng)的可靠、安全及有效，引入IT審計(jì)體制是十分迫切和必要的。

關(guān)鍵詞：IT審計(jì)；信息化；COBIT

中圖分類號(hào)：F239文獻(xiàn)標(biāo)識(shí)碼：A

隨著社會(huì)信息化程度的不斷提高，信息將是維持社會(huì)的重要基礎(chǔ)性資源，信息系統(tǒng)廣泛深入地滲透到社會(huì)的各個(gè)領(lǐng)域，成為政治、經(jīng)濟(jì)、文化、軍事，乃至社會(huì)一切領(lǐng)域的基礎(chǔ)，其結(jié)果導(dǎo)致了整個(gè)社會(huì)對(duì)信息系統(tǒng)的極大依賴性。當(dāng)系統(tǒng)發(fā)生故障，停止運(yùn)行或系統(tǒng)發(fā)生錯(cuò)誤而喪失其有效功能時(shí)，該領(lǐng)域的各種活動(dòng)就失去了支撐和保障，甚至還影響到社會(huì)、生活等多個(gè)方面。因此，實(shí)施IT審計(jì)，確保信息系統(tǒng)的可靠、安全及有效是信息化的基礎(chǔ)。

各大銀行一直在持續(xù)進(jìn)行信息系統(tǒng)建設(shè)，以工商銀行完成數(shù)據(jù)大集中建設(shè)工程，深圳發(fā)展企業(yè)業(yè)務(wù)外包等為標(biāo)志，銀行業(yè)數(shù)據(jù)大集中取得了初步建設(shè)成果。數(shù)據(jù)集中化實(shí)現(xiàn)了銀行賬務(wù)數(shù)據(jù)與營(yíng)業(yè)機(jī)構(gòu)的分離，實(shí)現(xiàn)了數(shù)據(jù)共享和異地遠(yuǎn)程交易便捷化，幫助銀行從以賬務(wù)和產(chǎn)品為中心轉(zhuǎn)變?yōu)橐钥蛻魹橹行?，為銀行管理集中和科學(xué)運(yùn)營(yíng)奠定基礎(chǔ)。與此同時(shí)，銀行數(shù)據(jù)大集中也加大了銀行風(fēng)險(xiǎn)。由于信息技術(shù)在物理上、操作上和管理上存在的漏洞，構(gòu)成了IT系統(tǒng)安全的脆弱性，給銀行帶來了一系列不安全的因素，計(jì)算機(jī)犯罪和舞弊、會(huì)計(jì)信息的失真，都將給銀行的資金、信譽(yù)造成重大的損失。（圖1）

一、銀行信息系統(tǒng)風(fēng)險(xiǎn)防范——IT審計(jì)

2001年中國(guó)銀行廣東開平分行前后三任行長(zhǎng)在長(zhǎng)達(dá)10年的時(shí)間里，把大量銀行資金轉(zhuǎn)移到海外，總金額將近40億元，竟然一直沒有人發(fā)現(xiàn)，案發(fā)后3名主要嫌疑人先后逃往美國(guó)和加拿大；2005年中國(guó)銀行哈爾濱分行河松街支行原行長(zhǎng)高某勾結(jié)他人，通過地下錢莊將3億元銀行存款挪用，涉案的總金額超過10億元，成為建國(guó)以來黑龍江最大的金融舞弊案……信息化建設(shè)加大了銀行的經(jīng)營(yíng)風(fēng)險(xiǎn)，在提高工作效率的同時(shí)，也使得舞弊犯罪活動(dòng)具有更強(qiáng)的隱蔽性和技術(shù)的復(fù)雜性。

1、信息系統(tǒng)審計(jì)師及其職責(zé)。1996年日本通產(chǎn)省情報(bào)處理開發(fā)協(xié)會(huì)IT審計(jì)委員會(huì)對(duì)IT審計(jì)進(jìn)行定義：為了信息系統(tǒng)的安全、可靠及有效，由獨(dú)立審計(jì)對(duì)象的IT審計(jì)師，以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合檢查與評(píng)價(jià)，向IT審計(jì)對(duì)象的最高領(lǐng)導(dǎo)，提出問題與建議的一連串活動(dòng)。

信息系統(tǒng)審計(jì)師可以通過檢測(cè)銀行信息系統(tǒng)的可用性、安全性和過程的完整性來確定信息是否可靠，能夠以在線、實(shí)時(shí)的信息為基礎(chǔ)提供鑒證，加大銀行信息披露的力度，有利于防范、規(guī)避、控制和化解銀行的運(yùn)行風(fēng)險(xiǎn)，促進(jìn)銀行規(guī)范、有序、高效運(yùn)作，提高銀行的資產(chǎn)營(yíng)運(yùn)質(zhì)量和運(yùn)作效率。而獨(dú)立的信息審計(jì)體系制度，也使得信息系統(tǒng)審計(jì)師可以審計(jì)控制信息系統(tǒng)風(fēng)險(xiǎn)，用制度保證比用人和技術(shù)來保證安全更可靠。

那么，信息系統(tǒng)審計(jì)師就必須在對(duì)系統(tǒng)固有的風(fēng)險(xiǎn)和系統(tǒng)內(nèi)部控制機(jī)制進(jìn)行評(píng)估和分析的基礎(chǔ)上，對(duì)信息系統(tǒng)從開發(fā)環(huán)節(jié)到運(yùn)行環(huán)節(jié)進(jìn)行重點(diǎn)檢查和檢測(cè)。

信息系統(tǒng)開發(fā)實(shí)施檢查：主要包括對(duì)系統(tǒng)需求分析定義、系統(tǒng)設(shè)計(jì)、系統(tǒng)開發(fā)、系統(tǒng)測(cè)試、系統(tǒng)試運(yùn)行、系統(tǒng)安裝，目的是對(duì)開發(fā)過程進(jìn)行審計(jì)，保證開發(fā)過程按內(nèi)控要求執(zhí)行。

信息系統(tǒng)運(yùn)行管理檢查：主要包括系統(tǒng)主機(jī)性能、系統(tǒng)網(wǎng)絡(luò)性能、系統(tǒng)安全性、系統(tǒng)數(shù)據(jù)安全性、系統(tǒng)災(zāi)難備份、系統(tǒng)運(yùn)行管理的監(jiān)督和檢查，目的是保證系統(tǒng)的正常運(yùn)轉(zhuǎn)。

信息系統(tǒng)業(yè)務(wù)處理及控制功能檢查：主要包括系統(tǒng)業(yè)務(wù)處理功能、系統(tǒng)訪問權(quán)限控制管理、系統(tǒng)權(quán)限職責(zé)、系統(tǒng)數(shù)據(jù)輸入/輸出/處理控制，目的是保證系統(tǒng)操作的正確性。

信息系統(tǒng)內(nèi)部控制管理檢查：主要包括內(nèi)部控制環(huán)境、風(fēng)險(xiǎn)識(shí)別與評(píng)估、內(nèi)部控制措施、信息交流與反饋、監(jiān)督評(píng)價(jià)與糾正，目的是保證系統(tǒng)風(fēng)險(xiǎn)得到重視，并有效地控制。

信息系統(tǒng)基礎(chǔ)設(shè)施管理檢查：主要包括場(chǎng)地環(huán)境配置、硬件環(huán)境配置、場(chǎng)地安全性、設(shè)備安全性、設(shè)備管理制度的修訂和執(zhí)行，目的是信息系統(tǒng)在安全、有保障的環(huán)境中運(yùn)行。

信息系統(tǒng)數(shù)據(jù)與相關(guān)文檔檢查：指數(shù)據(jù)的完整性、準(zhǔn)確性、真實(shí)性、合規(guī)性。包括文檔種類管理、文檔歸檔管理、文檔密級(jí)管理、文檔調(diào)閱管理。目的是對(duì)數(shù)據(jù)進(jìn)行符合性測(cè)試，檢查文檔管理的科學(xué)性。

2、銀行信息系統(tǒng)及其風(fēng)險(xiǎn)控制。銀行是一個(gè)高風(fēng)險(xiǎn)的行業(yè)，又是一個(gè)關(guān)乎經(jīng)濟(jì)增長(zhǎng)和整個(gè)社會(huì)穩(wěn)定的重要行業(yè)，它還具有自身的一些特點(diǎn)。在對(duì)銀行信息系統(tǒng)進(jìn)行IT審計(jì)，進(jìn)行風(fēng)險(xiǎn)控制時(shí)，應(yīng)當(dāng)注意：

首先，在IT環(huán)境下，除了考慮銀行組織內(nèi)外部經(jīng)濟(jì)、社會(huì)環(huán)境變化以及業(yè)務(wù)經(jīng)營(yíng)性質(zhì)、管理當(dāng)局特征等因素外，一個(gè)不容忽視的因素便是信息系統(tǒng)本身。銀行越依賴于信息系統(tǒng)，信息系統(tǒng)越龐雜，其固有風(fēng)險(xiǎn)也就越大。固有風(fēng)險(xiǎn)包括來自于外部的，諸如戰(zhàn)爭(zhēng)、自然災(zāi)害等造成的計(jì)算機(jī)本身的物理?yè)p壞或者通信線路的中斷；也有來自于內(nèi)部的，諸如系統(tǒng)運(yùn)行不穩(wěn)定或者應(yīng)用軟件本身的設(shè)計(jì)漏洞，導(dǎo)致數(shù)據(jù)處理過程中出現(xiàn)的必然錯(cuò)誤等。

其次，控制的范圍延伸到了系統(tǒng)的外部，特別是在商業(yè)銀行普遍采取電子商務(wù)交易模式，計(jì)算機(jī)系統(tǒng)容易受到來自銀行外部對(duì)系統(tǒng)安全造成影響的威脅，包括網(wǎng)絡(luò)攻擊，商業(yè)間諜破壞、黑客入侵以及病毒肆虐等，銀行作為資金密集型企業(yè)，一旦遭到商業(yè)間諜的破壞或網(wǎng)絡(luò)黑客的攻擊，后果將難以想像。

另外，由于銀行大量采用無紙化、聯(lián)網(wǎng)作業(yè)，使得許多原始憑證異地存放、甚至根本就不存在，采用電子審計(jì)證據(jù)的可信性較之以前有很大幅度降低；同時(shí)，由于計(jì)算機(jī)系統(tǒng)本身的可靠性、正確性決定了電子數(shù)據(jù)（信息）的準(zhǔn)確性，因此，如果計(jì)算機(jī)信息系統(tǒng)本身不可靠或者不正確，審計(jì)人員單純分析電子數(shù)據(jù)也是毫無意義的。

二、基于COBIT的IT審計(jì)

COBIT信息及相關(guān)技術(shù)的控制目標(biāo)，是美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)ISACA的IT治理學(xué)會(huì)制定的一個(gè)開放性標(biāo)準(zhǔn)，目前已成為國(guó)際上公認(rèn)的最先進(jìn)、最權(quán)威的信息技術(shù)管理和控制標(biāo)準(zhǔn)。（圖2）

COBIT將IT過程、IT資源與企業(yè)的策略與目標(biāo)（準(zhǔn)則）聯(lián)系起來，形成一個(gè)三維的體系結(jié)構(gòu)。IT準(zhǔn)則維集中反映了企業(yè)的戰(zhàn)略目標(biāo)，主要從質(zhì)量、成本、時(shí)間、資源利用率、系統(tǒng)效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性；IT資源主要包括以人、應(yīng)用系統(tǒng)、技術(shù)、設(shè)施及數(shù)據(jù)在內(nèi)的信息相關(guān)的資源，這是IT治理過程的主要對(duì)象；IT過程維則是在IT準(zhǔn)則的指導(dǎo)下，對(duì)信息及相關(guān)資源進(jìn)行規(guī)劃與處理，從信息技術(shù)的規(guī)劃與組織、采集與實(shí)施、交付與支持、監(jiān)控等四個(gè)方面確定了34個(gè)信息技術(shù)處理過程，每個(gè)處理過程還包括更加詳細(xì)的控制目標(biāo)和審計(jì)方針對(duì)IT處理過程進(jìn)行評(píng)估。

當(dāng)進(jìn)行IT審計(jì)時(shí)，可以首先參考COBIT控制目標(biāo)，選擇基本的評(píng)價(jià)指標(biāo)體系并根據(jù)銀行的實(shí)際需要選取擴(kuò)展其他評(píng)價(jià)指標(biāo)；然后將銀行選取的指標(biāo)與COBIT控制目標(biāo)形成映射關(guān)系。這樣，既能夠滿足評(píng)價(jià)在基本的標(biāo)準(zhǔn)體系中進(jìn)行，保證評(píng)價(jià)指標(biāo)的科學(xué)合理性，同時(shí)又能夠滿足信息化評(píng)價(jià)的個(gè)性化需求，保證了評(píng)價(jià)的靈活性。

三、結(jié)論及展望

隨著高科技的發(fā)展，各家銀行加大了IT建設(shè)的投資，數(shù)字化、網(wǎng)絡(luò)化等信息技術(shù)得到了迅速地推廣應(yīng)用。網(wǎng)上銀行、移動(dòng)銀行、電子商務(wù)等，已經(jīng)成為各家銀行追逐利潤(rùn)的增長(zhǎng)點(diǎn)。然而，與此同時(shí)帶來的巨大風(fēng)險(xiǎn)，也對(duì)銀行高級(jí)管理人員提出了巨大的挑戰(zhàn)。如何利用好信息技術(shù)，加強(qiáng)IT審計(jì)工作，勢(shì)必會(huì)成為今后銀行審計(jì)工作中的重點(diǎn)和難點(diǎn)。

（作者單位：同濟(jì)大學(xué)經(jīng)濟(jì)與管理學(xué)院）

參考文獻(xiàn)：

［1］胡克瑾.IT審計(jì)［M］.北京：電子工業(yè)出版社，2004.

［2］黃溶冰，王躍堂.商業(yè)銀行信息化進(jìn)程中的審計(jì)風(fēng)險(xiǎn)與控制［J］.經(jīng)濟(jì)問題探索，2008.2.

［3］吳越，俞文萍.通過IT審計(jì)加強(qiáng)金融企業(yè)風(fēng)險(xiǎn)管控［J］.上海國(guó)資，2008.8.

［4］劉紅.利用IT審計(jì)防范銀行信息化風(fēng)險(xiǎn)——數(shù)據(jù)大集中后的思考［J］.價(jià)值工程，2006.6.