從商業(yè)銀行信息科技風險角度研析其審計模式

王明方

摘要：在當前的銀行操作過程中普遍存在信息科技風險，這樣就會影響商業(yè)銀行的長遠發(fā)展，銀行的內(nèi)部審計部門是防范商業(yè)銀行信息科技風險的主要部門，可以通過分析信息科技風險種類提出相應的審計方式，從而推動我國商業(yè)銀行信息科技審計工作的長遠發(fā)展。

關鍵詞：商業(yè)銀行；信息科技風險；審計

一、分析信息科技風險種類

按照風險種類來看，信息科技風險主要分為以下幾種：第一種是信息科技業(yè)務中斷風險，這種風險容易導致軟硬件運行問題、系統(tǒng)超負荷運行、主干網(wǎng)絡斷開、病毒或人為非法操作造成系統(tǒng)不穩(wěn)定等因素，極易造成銀行業(yè)務的中斷。二是數(shù)據(jù)安全風險，包括因物理環(huán)境、硬件設施配備不到位導致數(shù)據(jù)無法備份、無法恢復，造成系統(tǒng)業(yè)務連續(xù)性保障能力不足；因在內(nèi)控管理中未嚴格實行“最小授權原則”，導致核心數(shù)據(jù)被非法竊取篡改，或高權限操作復核機制不健全，導致數(shù)據(jù)不可用。三是系統(tǒng)漏洞風險，應用系統(tǒng)設計之初對業(yè)務需求提得不充分、對風險控制考慮不全面，在測試階段又未及時發(fā)現(xiàn)安全漏洞，那么在系統(tǒng)上線運行后將會導致系統(tǒng)缺陷被非法利用，造成主干網(wǎng)絡中斷，產(chǎn)生不可彌補的風險。四是外包集中風險，形成對外部公司的過度依賴，潛在外包公司變更、核心機密外泄、應急不充分、維保時效性不強等長期風險。

二、信息科技風險的主要體現(xiàn)

信息科技業(yè)務風險主要體現(xiàn)在以下幾個方面：運行維護、相關設備的配置以及機房的環(huán)境等；數(shù)據(jù)安全的風險主要體現(xiàn)在系統(tǒng)備份、生產(chǎn)數(shù)據(jù)脫敏、系統(tǒng)變更等方面；系統(tǒng)漏洞的風險主要體現(xiàn)在系統(tǒng)開發(fā)、測試、后評價等方面；外包集中的風險主要表現(xiàn)在外包人員授權管理等方面。從商業(yè)銀行全行角度來看，運維能力不足以應對全局性的系統(tǒng)性風險排在第一位。表現(xiàn)形式集中在運行維護、系統(tǒng)監(jiān)控預警及應急響應處理、需求測試不嚴格導致的系統(tǒng)缺陷、信息安全等方面。常見的問題集中于系統(tǒng)災備機制不健全、應急機制不完善、基礎設施物理環(huán)境建設薄弱、風險預警監(jiān)測體系筮待完善、系統(tǒng)開發(fā)管理過程控制不足、過度依賴外包、信息系統(tǒng)安全防范措施執(zhí)行不到位等問題。

三、提升銀行信息科技審計水平的方法

通過相關調(diào)查研究不難看出，傳統(tǒng)的商業(yè)銀行業(yè)務審計方式與現(xiàn)有的信息系統(tǒng)審計方式之間存在很多關聯(lián)，如在審核、觀察、抽樣、訪談、函證、現(xiàn)場查驗，其在檢查規(guī)范性、標準性、合規(guī)性等方面適用上述方法；在檢查機房環(huán)境建設、網(wǎng)絡設備及服務器部署時主要采用觀察法和詢問法，利用機房建設規(guī)范、網(wǎng)絡拓撲圖、出入機房記錄等進行實地觀察，并通過詢問管理人員了解實際情況與記錄的一致性等；在檢查備份機制方面時，主要采用抽樣、審核、查驗等方法進行檢查，首先通過審核運維手冊確定重要生產(chǎn)系統(tǒng)有無制定備份策略，備份策略是否涵蓋備份的具體時間、保存期限、備份方式、備份介質(zhì)、備份臺賬記錄等，審核是否根據(jù)備份策略完善相應的備份操作流程，其次通過抽樣確定檢查的重要生產(chǎn)系統(tǒng)，查驗備份記錄，檢查定期備份操作時間、備份內(nèi)容、備份介質(zhì)保管是否符合要求，最后通過查閱備份數(shù)據(jù)恢復測試相關文檔，檢查備份有無定期進行恢復測試，以及恢復頻率、流程與制度要求的一致性。

由于商業(yè)銀行信息科技風險不易于發(fā)現(xiàn)，加之信息科技審計模式與傳統(tǒng)銀行業(yè)務審計模式之間的差異，如在檢查信息系統(tǒng)全周期管理時，主要采用風險評估、符合性測試及穿行測試：風險評估用于系統(tǒng)抽樣，根據(jù)系統(tǒng)暴露出的缺陷或風險事件對信息系統(tǒng)清單進行抽樣，符合性測試檢查某個環(huán)節(jié)的控制是否存在，穿行測試根據(jù)抽樣檢查流程控制是否有效；在檢查系統(tǒng)變更或數(shù)據(jù)庫操作時，因系統(tǒng)操作專業(yè)性很強，為避免對生產(chǎn)系統(tǒng)產(chǎn)生影響，主要采用由審計人員提出指令、系統(tǒng)管理人員操作、審計人員觀察的方式進行現(xiàn)場測試；在檢查生產(chǎn)系統(tǒng)登錄流程的控制時，可采用實際測試和走查相結合的方式進行，即在現(xiàn)場操作過程中，一經(jīng)發(fā)現(xiàn)問題即停止檢查。

要想更好的落實商業(yè)銀行信息科技工作，不斷提升信息科技風險的管理水平，我們應該以風險為中心開展信息科技審計工作，具體如下所示。

第一，結合實際需求制定相應的信息科技審計制度。我們應該正視信息科技審計與其他審計工作之間的差異，設置信息科技審計相應的職能機構、配備專職人員，是推動信息科技審計走向更高水平的前提和保障。此外，審計制度規(guī)定的出臺，往往可以既規(guī)范審計人員行為、確保審計質(zhì)量，同時也可以在全行范圍內(nèi)引起對此項工作的更多重視，減少工作阻力。

第二，結合實際需求提升審計工作水平。在信息科技審計工作的落實過程中，我們應該結合實際需求制定相應的審計方案：以審計計算機業(yè)務應用系統(tǒng)的操作、運維情況為突破口，不斷探索信息科技審計方法和內(nèi)容，逐步擴大審計范圍，通過審計實踐，培養(yǎng)人才，鍛煉隊伍。在審計過程中，商業(yè)銀行可通過“以查代訓”方式，鍛煉、培養(yǎng)審計隊伍。

第三，不斷加強審計人員的培訓力度。信息科技審計工作人員通過培訓能夠有效提升其綜合素質(zhì)，掌握更多更扎實的審計技巧，可分批分次選派審計人員參加理論、實務、案例相結合的審計培訓，使其盡快了解信息科技審計國內(nèi)外發(fā)展趨勢、后SOX法案時代內(nèi)部控制與信息科技審計、數(shù)據(jù)庫審計、Windows審計、Unix審計、數(shù)據(jù)中心審計、審計管理系統(tǒng)等相關內(nèi)容，拓展其審計視野，強化信息科技審計中理論與實踐的結合，全面提升信息科技審計人員的綜合素質(zhì)。

第四，通過對比分析找出更符合實踐要求的審計模式。要想不斷提升商業(yè)銀行信息科技審計水平，我們可嘗試性開展對國際通用的IT審計標準“信息與相關技術控制目標”（CO-BIT）的研究與分析。此項研究工作，對形成信息科技審計評價與判斷標準，完善審計操作規(guī)程，提高信息科技審計技術水平有重要意義。

參考文獻：

[1].以風險為導向以內(nèi)控為主線全面開展中小商業(yè)銀行信息科技審計[J].中國內(nèi)部審計，2017（07）：40-43.