商業(yè)銀行信息系統(tǒng)審計(jì)問(wèn)題研究

曹金明

(中國(guó)郵政儲(chǔ)蓄銀行審計(jì)局天津分局 天津 300000)

近幾年以來(lái)，商業(yè)銀行的信息化進(jìn)程速度明顯加快，隨著科學(xué)技術(shù)的進(jìn)步，社會(huì)化大生產(chǎn)的發(fā)展，計(jì)算機(jī)應(yīng)用的逐漸普及，信息系統(tǒng)對(duì)商業(yè)銀行越來(lái)越重要。然而，信息技術(shù)也是一把雙刃劍，既給商業(yè)銀行帶來(lái)了運(yùn)營(yíng)效率的提升，同時(shí)也帶來(lái)了一些負(fù)面影響，對(duì)于商業(yè)銀行而言，信息系統(tǒng)不安全有著巨大的風(fēng)險(xiǎn)，可能會(huì)造成客戶(hù)流失、名譽(yù)受損等問(wèn)題，更嚴(yán)重的話(huà)可能會(huì)面臨法律的訴訟。所以盡早針對(duì)商業(yè)銀行IT審計(jì)進(jìn)行風(fēng)險(xiǎn)評(píng)估，及時(shí)找到解決方法，合理保證商業(yè)銀行信息系統(tǒng)安全有效的運(yùn)行已然成為重中之重。

一、商業(yè)銀行IT審計(jì)的基本概念和主要內(nèi)容

(一)商業(yè)銀行IT審計(jì)的基本概念

IT審計(jì)，也稱(chēng)信息系統(tǒng)審計(jì)，簡(jiǎn)而言之是指對(duì)計(jì)算機(jī)為核心的信息系統(tǒng)的審計(jì)，到目前為止，對(duì)于IT審計(jì)沒(méi)有一個(gè)統(tǒng)一的定義。國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)定義為“信息系統(tǒng)審計(jì)是一個(gè)獲取并評(píng)價(jià)證據(jù)，以判斷計(jì)算機(jī)系統(tǒng)是否能夠保證資產(chǎn)的安全、數(shù)據(jù)的完整以及有效利用組織的資源并有效果的實(shí)現(xiàn)組織目標(biāo)的過(guò)程”。鄧少靈在《企業(yè)IT審計(jì)的框架》中定義：“IT審計(jì)是指對(duì)信息系統(tǒng)從計(jì)劃、研發(fā)、實(shí)施到運(yùn)行維護(hù)各個(gè)過(guò)程進(jìn)行審查與評(píng)價(jià)的活動(dòng)，以審查企業(yè)信息系統(tǒng)是否安全、可靠、有效，保證信息系統(tǒng)得出準(zhǔn)確可靠的數(shù)據(jù)”。但是無(wú)論哪一種定義，IT審計(jì)都涉及整個(gè)信息系統(tǒng)的生命周期，不止是技術(shù)問(wèn)題更是管理問(wèn)題。IT審計(jì)的對(duì)象是被審計(jì)單位的信息系統(tǒng)，IT審計(jì)主體是信息系統(tǒng)獨(dú)立組織機(jī)構(gòu)或人員。

(二)商業(yè)銀行IT審計(jì)主要內(nèi)容

商業(yè)銀行IT審計(jì)主要包括對(duì)硬件與環(huán)境、應(yīng)用軟件、IT管理與服務(wù)、信息安全、商業(yè)連續(xù)性、信息完整性、IT策劃與項(xiàng)目管理等方面的審計(jì)，以下是對(duì)這幾方面的簡(jiǎn)要說(shuō)明：

1.硬件與環(huán)境：包括商業(yè)銀行的機(jī)器設(shè)備使用控制、硬件網(wǎng)絡(luò)設(shè)施、網(wǎng)絡(luò)環(huán)境和機(jī)房環(huán)境管理等；

2.應(yīng)用軟件：包括對(duì)業(yè)務(wù)系統(tǒng)的相關(guān)流程以及對(duì)系統(tǒng)的開(kāi)發(fā)生命周期進(jìn)行審計(jì)；

3.IT管理與服務(wù)：審計(jì)商業(yè)銀行IT管理與服務(wù)的制度和方法的有效性；

4.信息安全：審計(jì)商業(yè)銀行信息安全措施的有效性和完整性；

5.商業(yè)連續(xù)性：為保證商業(yè)銀行業(yè)務(wù)持續(xù)運(yùn)營(yíng)，重點(diǎn)審計(jì)銀行在完整性與合規(guī)性方面做的如何，比如在存儲(chǔ)、備份、容錯(cuò)、災(zāi)難恢復(fù)等方面；

6.信息完整性：審計(jì)商業(yè)銀行在信息的完整性、可靠性、有效性上的控制；

7.IT策劃與項(xiàng)目管理：審計(jì)IT整體的系統(tǒng)的策劃以及項(xiàng)目管理。

二、商業(yè)銀行IT審計(jì)現(xiàn)狀

電子數(shù)據(jù)處理系統(tǒng)是現(xiàn)代審計(jì)的最新發(fā)展，比傳統(tǒng)的手工處理相比更大程度的提高了經(jīng)濟(jì)和管理的效率、效果和收益，保證了計(jì)劃、統(tǒng)計(jì)、會(huì)計(jì)和管理信息的正確性、真實(shí)性、科學(xué)性，促進(jìn)了生產(chǎn)和經(jīng)營(yíng)管理的發(fā)展。目前,國(guó)內(nèi)各大金融機(jī)構(gòu)領(lǐng)導(dǎo)層高度重視銀行業(yè)的審計(jì),例如上海浦東發(fā)展銀行在實(shí)際工作中運(yùn)用COBIT作為開(kāi)展具體審計(jì)業(yè)務(wù)的流程參考,從而使審計(jì)人員對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)狀況可以進(jìn)行更加客觀和全面的掌控。銀監(jiān)會(huì)2009年發(fā)布的《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》提出要求各大銀行不只是單純的目標(biāo)管理，更要對(duì)風(fēng)險(xiǎn)的過(guò)程進(jìn)行重點(diǎn)管理，進(jìn)行風(fēng)險(xiǎn)控制在高層的決策上，對(duì)信息系統(tǒng)開(kāi)發(fā)生命周期進(jìn)行審計(jì),為我國(guó)銀行業(yè)持續(xù)高效運(yùn)行提供了合理保證。

目前很多金融機(jī)構(gòu)都開(kāi)始注重通過(guò)實(shí)施IT審計(jì)有效的實(shí)現(xiàn)企業(yè)治理的目標(biāo)，商業(yè)銀行審計(jì)也是如此。由于最近幾年商業(yè)銀行對(duì)信息技術(shù)的依賴(lài)程度越來(lái)越高,數(shù)據(jù)大集中也不同程度、不同范圍的在商業(yè)銀行中實(shí)現(xiàn)，提高了商業(yè)銀行整體的核心競(jìng)爭(zhēng)力，但是也產(chǎn)生了許多風(fēng)險(xiǎn)，在管理或者控制上的有任何一點(diǎn)點(diǎn)的不妥都會(huì)導(dǎo)致整個(gè)信息系統(tǒng)癱瘓，帶來(lái)很?chē)?yán)重的損失。目前商業(yè)銀行風(fēng)險(xiǎn)管理的重點(diǎn)就是把信息系統(tǒng)的風(fēng)險(xiǎn)調(diào)節(jié)在可控范圍之內(nèi)。由此可見(jiàn)對(duì)商業(yè)銀行進(jìn)行IT審計(jì)具有現(xiàn)實(shí)意義。

三、商業(yè)銀行IT審計(jì)面臨挑戰(zhàn)

電子計(jì)算機(jī)在企業(yè)管理中的應(yīng)用日益廣泛，而在我國(guó)企業(yè)管理中的電子計(jì)算機(jī)有近70%是用于會(huì)計(jì)信息處理，銀行業(yè)是最早利用電子計(jì)算機(jī)的行業(yè)之一。隨著商業(yè)銀行經(jīng)營(yíng)環(huán)境的變化和計(jì)算機(jī)信息技術(shù)的發(fā)展，商業(yè)銀行通過(guò)信息管理電子化、網(wǎng)絡(luò)化、數(shù)據(jù)大集中等方式，已經(jīng)逐步形成了較為科學(xué)完整的信息管理系統(tǒng)?，F(xiàn)在，我國(guó)商業(yè)銀行幾乎所有的業(yè)務(wù)都通過(guò)計(jì)算機(jī)信息系統(tǒng)來(lái)完成。電子信息系統(tǒng)相比手工傳統(tǒng)方式有許多不同的特點(diǎn)，這些特點(diǎn)對(duì)以審查會(huì)計(jì)資料為主要內(nèi)容的審計(jì)活動(dòng)產(chǎn)生了極大的影響，歸納起來(lái)主要有幾下幾個(gè)方面：

(一)傳統(tǒng)審計(jì)線索的消失

在原有的財(cái)務(wù)、業(yè)務(wù)檔案體系中，審計(jì)人員發(fā)現(xiàn)的審計(jì)線索每一步都會(huì)有相應(yīng)的文字記錄和相關(guān)人員的簽字，審計(jì)人員可根據(jù)具體情況采用審閱、核對(duì)、分析、比較、調(diào)查和證實(shí)等審計(jì)方法進(jìn)行工作，并主要由人工進(jìn)行順查、逆查或者抽查活動(dòng)。但在信息系統(tǒng)中，從經(jīng)濟(jì)業(yè)務(wù)數(shù)據(jù)進(jìn)入計(jì)算機(jī)后到各類(lèi)財(cái)務(wù)、業(yè)務(wù)報(bào)表輸出，各項(xiàng)處理基本都由計(jì)算機(jī)按事先設(shè)定的程序自動(dòng)執(zhí)行，代替記賬憑證、賬簿、報(bào)表、業(yè)務(wù)數(shù)據(jù)出現(xiàn)的是存有會(huì)計(jì)信息的磁性數(shù)據(jù)文件，不能被審計(jì)人員直接讀出，并且有些文件還是暫時(shí)性的，如果審計(jì)時(shí)間安排不合理，很有可能在審計(jì)人員實(shí)施IT審計(jì)時(shí)這些文件已經(jīng)消失了，這直接導(dǎo)致無(wú)法獲取原始審計(jì)資料。雖然商業(yè)銀行為了方便管理，還是會(huì)保留一部分的審計(jì)線索，但是這些審計(jì)線索的數(shù)量有限，而且無(wú)論是在內(nèi)容還是形式上都與在手工系統(tǒng)情況下大不相同。有時(shí)，IT審計(jì)人員為了測(cè)試的需要，必須通過(guò)商業(yè)銀行提供所需的資料，這樣雖然可以增加審計(jì)線索，便于審計(jì)工作的開(kāi)展，但是會(huì)讓商業(yè)銀行事先知道IT審計(jì)人員抽查的領(lǐng)域，容易發(fā)生舞弊。

(二)計(jì)算機(jī)信息系統(tǒng)的數(shù)據(jù)安全受到嚴(yán)重威脅

以前，審計(jì)人員都是手工進(jìn)行信息處理，現(xiàn)在，隨著小型機(jī)和微型機(jī)的迅速發(fā)展，在商業(yè)銀行得到了廣泛的應(yīng)用，但也隨之帶來(lái)了新的問(wèn)題：計(jì)算機(jī)數(shù)據(jù)文件和程序容易被擅自更改；在磁盤(pán)或磁帶中存儲(chǔ)的資料容易被銷(xiāo)毀；保密資料可能被輕易地泄露；業(yè)務(wù)過(guò)程可能因計(jì)算機(jī)硬件、數(shù)據(jù)文件或程序方面的問(wèn)題而被迫中斷。這些都是以前手工處理賬目沒(méi)有遇到過(guò)的問(wèn)題，但是這也是IT審計(jì)的一個(gè)關(guān)鍵點(diǎn)，所以無(wú)論是在操作系統(tǒng)的運(yùn)作還是制度的建立等多個(gè)方面，商業(yè)銀行的IT審計(jì)工作實(shí)施都面臨著巨大的挑戰(zhàn)。

(三)IT審計(jì)專(zhuān)業(yè)人才匱乏

現(xiàn)代信息系統(tǒng)的環(huán)境比以前傳統(tǒng)手工系統(tǒng)環(huán)境更加復(fù)雜，所以對(duì)審計(jì)人員的要求也應(yīng)隨之增加，不止要對(duì)自己的專(zhuān)業(yè)知識(shí)非常了解還應(yīng)掌握一定的信息技術(shù)，只有把業(yè)務(wù)知識(shí)、審計(jì)知識(shí)、信息技術(shù)都結(jié)合起來(lái)，才能更好的對(duì)商業(yè)銀行進(jìn)行IT審計(jì)。由于商業(yè)銀行的實(shí)質(zhì)是經(jīng)營(yíng)風(fēng)險(xiǎn)的金融機(jī)構(gòu)，所以風(fēng)險(xiǎn)管理在商業(yè)銀行經(jīng)營(yíng)中具有很重要的地位，因此在對(duì)商業(yè)銀行進(jìn)行審計(jì)時(shí)還要對(duì)風(fēng)險(xiǎn)管理進(jìn)行了解，這對(duì)IT審計(jì)人員也提出了新的挑戰(zhàn)。所以必須加大對(duì)IT審計(jì)專(zhuān)業(yè)人才培養(yǎng)的力度，目前在我國(guó)取得IT審計(jì)師職稱(chēng)的人少之又少，距離達(dá)到IT審計(jì)目的還有較長(zhǎng)的過(guò)程。

四、商業(yè)銀行IT審計(jì)改進(jìn)措施

(一)審計(jì)線索的重建

審計(jì)線索對(duì)審計(jì)工作來(lái)說(shuō)是極為重要的。由于信息系統(tǒng)的應(yīng)用，傳統(tǒng)審計(jì)線索已經(jīng)完全被電子信息所取代，傳統(tǒng)的查賬、翻閱紙質(zhì)檔案的方法對(duì)信息系統(tǒng)已經(jīng)完全不適用了。為了能有效地對(duì)商業(yè)銀行進(jìn)行IT審計(jì)，使系統(tǒng)在處理時(shí)能留下新的審計(jì)線索，在系統(tǒng)設(shè)計(jì)開(kāi)發(fā)的時(shí)候就要考慮這些審計(jì)需求。例如:在處理每一筆經(jīng)濟(jì)業(yè)務(wù)時(shí)，要留下詳細(xì)的記錄，而不是只顯示余額。有些系統(tǒng)中的文件，在短暫存儲(chǔ)的一段時(shí)間后就會(huì)被刪除，操作員應(yīng)及時(shí)拷貝備份或者提供數(shù)據(jù)接口共享給內(nèi)部審計(jì)系統(tǒng)，以便在審計(jì)需要這些數(shù)據(jù)或者文件時(shí)可以滿(mǎn)足需求。

(二)確保信息系統(tǒng)的信息安全

驗(yàn)證信息系統(tǒng)中有關(guān)安全、保密措施是否健全是系統(tǒng)程序設(shè)計(jì)中不可缺少的一種安全措施，在程序設(shè)計(jì)時(shí)，對(duì)數(shù)據(jù)文件的加密，防止無(wú)關(guān)人員進(jìn)行篡改、舞弊行為。對(duì)信息系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)，要有可改動(dòng)數(shù)據(jù)區(qū)和不可改動(dòng)數(shù)據(jù)區(qū)之分，即數(shù)據(jù)的原始憑證一旦驗(yàn)證輸入后，就不能有任何可以隨意改動(dòng)的條件，這樣才可以保證數(shù)據(jù)文件的安全和可靠。另外，對(duì)信息系統(tǒng)程序應(yīng)該設(shè)有口令或者保密字，只供專(zhuān)人知道使用，防止無(wú)關(guān)人員打開(kāi)系統(tǒng)程序和操作機(jī)器。IT審計(jì)工作人員要時(shí)常審查企業(yè)的信息系統(tǒng)，為了預(yù)防黑客攻擊計(jì)算機(jī)系統(tǒng)要建立防火墻，檢查計(jì)算機(jī)是否有病毒，是否配置了可以自動(dòng)檢測(cè)關(guān)鍵數(shù)據(jù)庫(kù)的軟件以及業(yè)務(wù)系統(tǒng)是否嚴(yán)禁使用游戲軟件，便于及時(shí)發(fā)現(xiàn)異常，還要審查計(jì)算機(jī)是否按照國(guó)家的法律法規(guī)安全有效的運(yùn)行。

(三)建立一支完備的IT審計(jì)專(zhuān)業(yè)人才隊(duì)伍

IT審計(jì)要求審計(jì)人員具有復(fù)合型的知識(shí)結(jié)構(gòu)的專(zhuān)業(yè)人才，不止要有豐富的財(cái)務(wù)會(huì)計(jì)、審計(jì)等專(zhuān)業(yè)知識(shí)，必須還要掌握計(jì)算機(jī)知識(shí)和應(yīng)用技能。為了滿(mǎn)足這個(gè)要求，商業(yè)銀行可以采取下列措施：一是為了使審計(jì)人員更好的完成IT審計(jì)工作，需要對(duì)審計(jì)人員進(jìn)行組織培訓(xùn)，讓他們系統(tǒng)的學(xué)習(xí)計(jì)算機(jī)知識(shí)以及IT審計(jì)技術(shù)方法。二是聘請(qǐng)專(zhuān)業(yè)的計(jì)算機(jī)技術(shù)人員，對(duì)他們進(jìn)行會(huì)計(jì)和審計(jì)基礎(chǔ)知識(shí)的培訓(xùn)，使他們能符合IT審計(jì)的要求。三是IT審計(jì)小組由專(zhuān)業(yè)的審計(jì)人員和計(jì)算機(jī)技術(shù)人員共同組成，發(fā)揮各自的專(zhuān)長(zhǎng)，取長(zhǎng)補(bǔ)短地協(xié)作完成IT審計(jì)的工作。當(dāng)然，他們之間的交流往往也會(huì)有一些困難，這也是一個(gè)需要長(zhǎng)期磨合的過(guò)程。四是為了加快培養(yǎng)我國(guó)自己合格的IT審計(jì)人才的步伐，在高校內(nèi)增設(shè)IT審計(jì)學(xué)科，重視這門(mén)學(xué)科的人才培養(yǎng)，努力建立一支完備的IT審計(jì)專(zhuān)業(yè)人才隊(duì)伍。