城商行信息科技審計(jì)方法探討與實(shí)踐

劉慶鍇

（中廣核資本控股有限公司）

當(dāng)前城商行的發(fā)展越來越離不開信息科技的支持，營業(yè)部的部分柜員被自助終端所替代，大堂客戶經(jīng)理換成了智能機(jī)器人，人們用一部手機(jī)足不出戶幾乎就可以享受到銀行的全部服務(wù)，沒有信息科技支撐的銀行很難在當(dāng)前激烈的市場競爭中生存下去。而隨著科技手段的廣泛運(yùn)用，信息科技風(fēng)險也隨之上升，自然因素、技術(shù)漏洞、操作失誤和管理缺陷等都會對眾多銀行尤其是科技能力相對薄弱的城商行造成難以預(yù)計(jì)的損失，同時還可能連帶產(chǎn)生聲譽(yù)風(fēng)險和法律風(fēng)險，因此，開展信息科技審計(jì)項(xiàng)目成為城商行管理層及其內(nèi)部審計(jì)部門應(yīng)對相關(guān)風(fēng)險的必然選擇。

一、信息科技審計(jì)的概念

信息科技審計(jì)還被稱之為信息系統(tǒng)審計(jì)，美國信息系統(tǒng)審計(jì)專家韋伯對于信息科技審計(jì)的看法是:“收集并評估證據(jù)，以判斷一個信息系統(tǒng)是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目的，同時最經(jīng)濟(jì)的使用資源”。據(jù)此，城商行信息科技審計(jì)應(yīng)是指通過對城商行信息系統(tǒng)的組成部分及其規(guī)劃、運(yùn)行、開發(fā)、應(yīng)用和管理等過程進(jìn)行審計(jì)，以信息系統(tǒng)的安全性、可靠性、有效性等方面問題為基礎(chǔ)目標(biāo)開展審計(jì)業(yè)務(wù)，最后針對上述問題為城商行提出整改意見和優(yōu)化建議的行為。

二、城商行信息科技審計(jì)的主要內(nèi)容

從總體層面上來說，信息科技審計(jì)內(nèi)容可分為管理層控制、一般控制、應(yīng)用控制、重要系統(tǒng)、網(wǎng)絡(luò)安全體系結(jié)構(gòu)、數(shù)據(jù)分析。從應(yīng)用方面來說，信息科技審計(jì)則主要包括以下幾個方面：

（一）硬件與環(huán)境：對硬件設(shè)備、網(wǎng)絡(luò)、電源、機(jī)房環(huán)境等事項(xiàng)的審計(jì)。

（二）應(yīng)用軟件：對軟件的開發(fā)生命周期以及系統(tǒng)策劃、項(xiàng)目管理等方面的審計(jì)，對軟件系統(tǒng)的訪問控制、授權(quán)、確認(rèn)、錯誤與特例處理以及系統(tǒng)相關(guān)流程的審計(jì)。

（三）信息系統(tǒng)管理與服務(wù)：包括信息系統(tǒng)管理與服務(wù)的相關(guān)工具、制度以及方法等有效性的審計(jì)。

（四）信息安全性和完整性：對確保信息準(zhǔn)確、可靠、完整等方面的控制情況，以及信息安全措施的完整性與有效性進(jìn)行的審計(jì)。

三、城商行信息科技審計(jì)主要技術(shù)方法

信息科技審計(jì)技術(shù)方法是城商行開展信息科技審計(jì)的重要組成部分，發(fā)揮著連接審計(jì)主體和客體的中介作用，對于完成審計(jì)工作任務(wù)、實(shí)現(xiàn)審計(jì)目標(biāo)起著非常重要的作用，經(jīng)過大量實(shí)踐，可總結(jié)為以下幾種主要審計(jì)技術(shù)方法：

（一）約談法

審計(jì)人員與被審計(jì)單位的相關(guān)人員進(jìn)行面對面的交談，以了解有關(guān)情況、收集審計(jì)證據(jù)的一種方法。約談法適用于信息系統(tǒng)審計(jì)的各個階段，但在不同的階段其所運(yùn)用的目的不同。約談所涉及的人員一般應(yīng)該是對信息系統(tǒng)的情況比較了解的人員。約談前要對所要談話的內(nèi)容做充分的準(zhǔn)備，約談中進(jìn)行書面記錄，如需要可請被談話人簽字。

（二）文檔調(diào)閱法

審計(jì)人員對相關(guān)文檔進(jìn)行審查，以收集信息和證據(jù)，為作出審計(jì)結(jié)論提供支持。在審計(jì)準(zhǔn)備階段，審計(jì)人員通過對信息系統(tǒng)有關(guān)文檔的審閱，了解信息系統(tǒng)的有關(guān)方面情況，為制定審計(jì)方案尋找依據(jù)；在實(shí)施階段，對于系統(tǒng)文檔中所規(guī)定的一些控制措施，審計(jì)人員應(yīng)該對照檢查在實(shí)際操作過程中是否得到有效的執(zhí)行。系統(tǒng)文檔主要包括：系統(tǒng)的技術(shù)手冊、操作手冊、系統(tǒng)的流程圖、組織結(jié)構(gòu)圖、系統(tǒng)源程序等。

（三）測試數(shù)據(jù)法

審計(jì)人員需要預(yù)先設(shè)計(jì)好一批用來進(jìn)行檢測的數(shù)據(jù)，在設(shè)計(jì)好數(shù)據(jù)之后利用被審程序來對這批數(shù)據(jù)進(jìn)行處理，并將實(shí)際處理結(jié)果和預(yù)期結(jié)果展開對比，通過對比來對被審程序的控制和處理功能是否恰當(dāng)進(jìn)行判斷。這種方法相對簡單直觀，但是其不足之處也較為明顯，即需要花費(fèi)較多的時間來對測試數(shù)據(jù)和案例進(jìn)行準(zhǔn)備。

（四）程序編碼比較法

這種方法是利用兩個被獨(dú)立保管的被審程序版本開展對比，通過對比確定被審程序是否出現(xiàn)了變化。同使用對比的程序是由審計(jì)部門或者是其他獨(dú)立第三方保管的，經(jīng)以前審查其處理和控制功能恰當(dāng)?shù)谋粚彸绦蚋北九c被審單位現(xiàn)在使用的應(yīng)用程序進(jìn)行比較。

（五）受控處理法

這種方法是由審計(jì)人員來監(jiān)控被審程序的業(yè)務(wù)處理情況。通過監(jiān)控來確定被審程序在護(hù)理功能以及控制功能上是否滿足要求。如果使用這種方法，那么就需要先檢查輸入的數(shù)據(jù)，并建立起完善的審計(jì)控制，然后審計(jì)人員親自對這些數(shù)據(jù)進(jìn)行處理或者是監(jiān)督處理這些數(shù)據(jù)，處理完之后進(jìn)行比較，以此來判斷被審程序的處理與控制功能能否按設(shè)計(jì)要求起作用。

（六）穿行測試法

在處于正常運(yùn)行條件的情況下，將初始數(shù)據(jù)輸入到內(nèi)控流程之中，讓數(shù)據(jù)穿越全流程與所有的關(guān)鍵環(huán)節(jié)，最后將運(yùn)行結(jié)果和設(shè)計(jì)要求進(jìn)行對比，通過對比來發(fā)現(xiàn)內(nèi)控流程的缺陷。這種方法通常使用于對業(yè)務(wù)流程或具體業(yè)務(wù)的測試與評價。

（七）模型審計(jì)法

以構(gòu)建審計(jì)分析模型為出發(fā)點(diǎn)，通過采集審計(jì)分析模型需要的數(shù)據(jù)和對數(shù)據(jù)進(jìn)行處理、分析，來判斷和評價系統(tǒng)數(shù)據(jù)的真實(shí)性、合法性、完整性等方面，并且通過數(shù)據(jù)審計(jì)發(fā)現(xiàn)的問題，反推信息系統(tǒng)缺陷，其核心技術(shù)為構(gòu)建審計(jì)分析模型。

四、某城商行信息安全審計(jì)項(xiàng)目實(shí)踐

保證信息系統(tǒng)的安全是所有城商行的一項(xiàng)重要任務(wù)，城商行應(yīng)成立信息系統(tǒng)安全的內(nèi)部組織保障部門，重視對信息系統(tǒng)安全的管理，用管理和制度手段，保證客戶資料和交易信息的安全，防止重要信息被竊取、非法復(fù)制、泄露和丟失，采取足夠的措施，保護(hù)信息系統(tǒng)安全。

（一）審計(jì)案例背景

根據(jù)銀監(jiān)會指引，某城商行成立審計(jì)小組，對其信息安全開展專項(xiàng)審計(jì)工作。該城商行已經(jīng)制定了第三方人員安全管理辦法、中心機(jī)房密碼口令管理辦法、互聯(lián)網(wǎng)接入及使用管理辦法、軟件崗位職責(zé)分離管理辦法等規(guī)章制度，涉及系統(tǒng)軟件維護(hù)、應(yīng)用系統(tǒng)維護(hù)、計(jì)算機(jī)運(yùn)行安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、物理安全等方面，已構(gòu)建信息安全基本體系。

（二）主要審計(jì)內(nèi)容及使用方法

1.信息安全管理機(jī)制。對信息安全標(biāo)準(zhǔn)、策略、實(shí)施計(jì)劃和持續(xù)維護(hù)計(jì)劃等進(jìn)行審查。重點(diǎn)關(guān)注安全制度管理和人員安全管理。

主要審計(jì)方法：使用訪談法和文檔調(diào)閱法了解信息安全規(guī)章制度的制定和執(zhí)行情況、對外來人員的管理等。

2.系統(tǒng)用戶認(rèn)證和訪問控制。對管理用戶認(rèn)證和訪問控制的流程、策略進(jìn)行審查。重點(diǎn)關(guān)注系統(tǒng)訪問權(quán)限分配、口令管理、職責(zé)分離控制以及用戶變更。

主要審計(jì)方法：使用訪談法和文檔調(diào)閱法了解信息安全規(guī)章制度、管理流程；通過現(xiàn)場查看法了解系統(tǒng)權(quán)限的分配、口令管理等；使用抽樣數(shù)據(jù)法對系統(tǒng)用戶的身份識別和驗(yàn)證及是否記錄成功和失敗進(jìn)行了解等。

3.設(shè)備和網(wǎng)絡(luò)安全。對網(wǎng)絡(luò)管理和網(wǎng)絡(luò)服務(wù)的安全策略制定情況、網(wǎng)絡(luò)通信及信息系統(tǒng)設(shè)備的管理及操作流程、安全配置策略、定期監(jiān)控措施、實(shí)施網(wǎng)絡(luò)控制的安全手段、網(wǎng)絡(luò)的劃分和路由控制、診斷端口的保護(hù)進(jìn)行審計(jì)。重點(diǎn)關(guān)注網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的安全策略、網(wǎng)絡(luò)控制的安全途徑，對診斷端口進(jìn)行保護(hù)的安全機(jī)制。

主要審計(jì)方法：使用訪談法和文檔調(diào)閱法了解端口保護(hù)機(jī)制、安全配置策略、網(wǎng)絡(luò)通信及信息系統(tǒng)設(shè)備的管理及操作流程，并確定相關(guān)策略是否與業(yè)務(wù)訪問控制策略相一致。

4.系統(tǒng)軟件安全。對操作系統(tǒng)的漏洞檢測和補(bǔ)丁安裝、源代碼的訪問控制和審查情況進(jìn)行審查。重點(diǎn)關(guān)注系統(tǒng)補(bǔ)丁與更新程序的安裝，不必要的服務(wù)和端口是否關(guān)閉，源代碼的版本管理。

主要審計(jì)方法：使用訪談法和文檔調(diào)閱法了解系統(tǒng)的漏洞檢測和補(bǔ)丁安裝、源代碼的訪問控制和審查情況；使用工具檢測法，對操作系統(tǒng)進(jìn)行檢測。

5.數(shù)據(jù)安全。對系統(tǒng)信息和客戶信息管理的安全性進(jìn)行審查。重點(diǎn)關(guān)注客戶重要信息的存儲是否加密，傳輸過程的管理，測試數(shù)據(jù)是否進(jìn)行脫敏。

主要審計(jì)方法：使用文檔調(diào)閱法和抽樣數(shù)據(jù)法檢查核心業(yè)務(wù)系統(tǒng)中重要客戶信息的采集、存貯、傳輸、備份、恢復(fù)和銷毀，測試數(shù)據(jù)的安全措施實(shí)施情況。

6.安全事件管理。對信息科技安全事故處理流程、報告制度、安全事件響應(yīng)流程的演練等進(jìn)行審查。重點(diǎn)關(guān)注信息系統(tǒng)安全事件處理流程和報告路線是否清晰、明確和完善。

主要審計(jì)方法：使用訪談法和文檔調(diào)閱法了解信息系統(tǒng)安全事件報告制度、處理流程規(guī)定和演練情況。

（三）審計(jì)發(fā)現(xiàn)及審計(jì)建議

經(jīng)過審計(jì)，發(fā)現(xiàn)該行信息科技安全管理存在以下缺陷和不足：未對從生產(chǎn)環(huán)境拷貝數(shù)據(jù)的移動介質(zhì)進(jìn)行限制，員工可以使用個人的移動介質(zhì)從生產(chǎn)環(huán)境拷貝數(shù)據(jù)；生產(chǎn)數(shù)據(jù)傳輸及使用安全措施存在不足；網(wǎng)絡(luò)防病毒及備份機(jī)制有待完善；部分規(guī)章制度內(nèi)容及執(zhí)行不夠嚴(yán)格，執(zhí)行力度有待加強(qiáng)改善。針對這些審計(jì)發(fā)現(xiàn)，審計(jì)師提出相關(guān)審計(jì)建議：

1.盡快完善信息安全相關(guān)規(guī)章制度，并提高對制度的執(zhí)行力度；

2.明確辦公用的計(jì)算機(jī)設(shè)備的安全管理職能，完善計(jì)算機(jī)設(shè)備的安全保護(hù)措施，防范使用U盤或移動硬盤等外接設(shè)備拷貝而導(dǎo)致的信息泄露隱患；

3.規(guī)范生產(chǎn)環(huán)境數(shù)據(jù)的保護(hù)機(jī)制，防范信息泄露等安全隱患；

4.加強(qiáng)網(wǎng)絡(luò)病毒控制措施，防范由于病毒帶來的數(shù)據(jù)信息損壞、丟失、泄露等風(fēng)險。

五、結(jié)束語

城商行的信息科技系統(tǒng)大都具有以客戶為中心、結(jié)構(gòu)復(fù)雜、海量數(shù)據(jù)、軟硬件系統(tǒng)性能高、衍生金融新產(chǎn)品多等特點(diǎn)，因此發(fā)生信息科技風(fēng)險的可能性大。通過對城商行信息科技進(jìn)行審計(jì)，能夠促進(jìn)其改善信息系統(tǒng)的內(nèi)部控制，提升信息科技管理水平，更好地保護(hù)信息資產(chǎn)的安全，使其經(jīng)營目標(biāo)得以有效地實(shí)現(xiàn)，進(jìn)而促進(jìn)我國地方商業(yè)銀行的發(fā)展，更好地服務(wù)于實(shí)體經(jīng)濟(jì)。

主要參考文獻(xiàn)：

[1]（美）霍爾.信息系統(tǒng)審計(jì)與鑒證.中信出版社，2003.

[2]鄧春梅.信息系統(tǒng)審計(jì)的理論架構(gòu)——論其學(xué)科歸屬與基于風(fēng)險審計(jì)理論的操作流程[D].重慶大學(xué),2004.

[3]中國銀行業(yè)監(jiān)督管理委員會.商業(yè)銀行信息科技風(fēng)險管理指引.[2009]19號文.

[4]李強(qiáng).商業(yè)銀行信息科技內(nèi)部審計(jì)初步探討.時代金融,2013（10）.

[5]行宇.商業(yè)銀行信息科技風(fēng)險類別及審計(jì)方法研究.金融電子化,2015（5）.