下载文档原格式
论商业银行的IT审计作者:朱华娜李梦来源:《现代经济信息》2013年第24期摘要:目前,主要金融IT审计模式是对商业银行静态数据进行分析和测试,是一种数据式审计。
从审计实践来看,这种审计方式由于缺乏对系统的控制而不能保障电子数据的唯一性、完整性和准确性,无法从根本上有效控制被审计单位的电子数据质量;从发展趋势来看,数据式审计方式由于过分关注数据本身而缺乏对系统整体的分析,难以控制总体审计风险,其局限性正逐渐显露出来。
本文将以此为出发点,浅论尽快开展商业银行信息系统IT审计的必要性。
关键词:商业银行;IT审计;数据;必要性;方法;展望中图分类号:F239 文献标识码:A 文章编号:1001-828X(2013)12-0-01一、商业银行进行信息系统审计的意义(一)商业银行日益依赖信息系统。
商业银行信息系统一般可分为信息管理类系统、渠道类系统和外部清算结算类系统。
1.信息管理类系统与决策、管理和业务相关,以提高效率和规避风险为目的,主要有贷款系统、征信系统、客户管理系统、资产负债管理系统、办公自动化系统、档案系统(票据影像缩微系统和光学字符识别OCR)、数字终端录像系统、数字视频监控系统等。
2.渠道类系统是商业银行面向市场和客户的窗口,也是对外服务使用的载体,包括人工渠道、电子渠道和第三方渠道。
人工渠道有柜面服务和职能部门的业务终端(例如会计账查询系统等);电子渠道分为自助服务系统(电话银行、手机银行和网上银行)和自助服务终端(ATM和P0S);第三方渠道包括银联交易、区域性通存通兑和同城跨行通存通兑等。
外部清算类系统是指有外部接口的系统,包括行间资金转账系统SHFT,主要有大额清算系统、同城交换系统、同业往来清算系统和第三方存管清算系统。
(二)大数据时代将到来。
随着信息系统的大力发展,商业银行信息系统出现了爆发式的增长,银行业务越来越依赖信息系统,商业银行的竟争很大一部分是靠信息战。
目前,各大银行都实现了数据的总行大集中,信息数据己经成为银行的核心竟争力之一,大数据时代即将到来。
COBIT与商业银行的IT审计来源:CIO时代网伴随着我国商业银行信息化建设的不断深入和飞速发展,信息已经成为商业银行可持续发展的重要基础性资源。
信息技术已不再是单纯的业务实现手段和支持方式,而逐渐成为商业银行战略规划、投资决策所必须考虑的重要因素之一。
信息技术在为商业银行提供了大量便利的同时,也带来了巨大的操作、法律和信誉风险。
因此,如何管理好信息与信息资源,如何充分利用信息技术保证银行在竞争日趋激烈的金融市场中占据优势,是摆在银行高级管理人员面前的一个课题。
商业银行的IT审计是加强商业银行内部控制的有力手段,它不仅能有效促进商业银行核心业务系统的安全平稳运行,而且通过对IT战略目标与商业银行总体发展目标的一致性评估,可以最大限度地规避战略风险、投资风险和运行风险,保证商业银行的可持续发展。
一、IT审计的内涵目前,国内外商业银行的数据集中已成为必然的发展趋势。
数据的集中给商业银行的决策层提供了及时、准确、全面的信息资源和有效的基础平台,实现了银行业务数据与营业机构的分离,为银行的管理集中和科学运营奠定了坚实的基础。
同时,数据的集中也带来了IT决策风险、信息系统建设投资风险、信息系统运行维护风险的相对集中。
如何有效地规避上述风险,并对其内控措施的有效性进行评估,是商业银行每位高级管理人员都非常关心的问题。
商业银行IT审计不仅能够满足上述需要,而且还能对信息科技队伍的建设情况、运行效率等诸多内容做出相应的评价,以确保信息发展与银行发展战略目标的一致性。
商业银行IT审计的范围覆盖了全行所有系统的应用领域,以及信息系统整个生命周期中的所有活动和所有资源。
与信息系统的建设不同,IT审计更关注风险的规避、管理和控制。
其主要内容包括银行IT战略规划审计、银行信息系统需求获取和开发过程审计、系统交付后技术支持和运行维护审计、对整个系统生命周期中相关管理活动的审计、对相关过程中文档管理的审计、对相关人员的审计、对外部委托业务的审计、对灾难恢复和业务持续性计划的审计等内容。
试析制约商业银行计算机审计发展的瓶颈与解决思路自上世纪九十年代开始实施商业银行计算机审计,至今已十年有余。
从实践情况看,计算机审计在提高工作效率、发现大案要案线索、节约人力等方面都卓有成效,但这些与最初设想的计算机审计目标还有较大的距离,尚未实现计算机审计的模式化、程序化、系统化。
主要表现在审计过程中,数据导入、结构分析、计算机模块编写依旧繁琐复杂,且需要大量时间。
这已成为制约商业银行计算机审计发展的突出瓶颈,本文试就造成这一局面的根源作以剖析,并结合计算机审计实践提出解决思路。
一、商业银行计算机审计发展瓶颈所在后台数据库的不统一造成数据导入工作的繁重。
目前,各商业银行计算机系统主要采用DB2、Oracal和SQL Server作为后台数据库,而审计署计算机培训的主要是SQL Server数据库,且OA及通审这两种主要审计软件更多支持SQL Server数据库。
因此,在计算机审计过程中,审计人员通常要将DB2和Oracal数据库中的数据导入到SQL Server数据库中,才能利用审计软件进行分析和检索。
这就需要先从银行数据库中导出文本格式的原始数据和建表脚本,再将这些建表脚本在SQL Server 数据库中运行,尔后才能将这些文本格式的原始数据导入。
在不同的数据库中,由于同一数据类型的名称各不相同,往往需要审计人员对导出的建表脚本一一进行修改。
更为繁琐的是,由于数据库之间固有差异,在数据导入过程中,还经常遇到诸如少列分隔符、数据格式不正确之类的问题。
以上问题使得这看似简单的一进一出,操作起来却需要耗费大量的时间和精力,导致审计人员难以有充足的时间和精力去研究计算机审计更深层次的问题。
数据结构的不一致导致结构分析工作的繁琐。
为了保证各自商业数据的安全,商业银行均在严格保密的前提下设计自己的数据结构。
这些数据结构各不相同,并且,随着银行自身计算机系统的更新升级,数据结构也在产生巨大的变化。
因此,在对每个商业银行实施计算机审计时,都需要重新分析该行数据结构,寻找系统中主要的表和字段等。
商业银行 IT 审计体系构建的研究商业银行在现代金融系统中扮演着极其重要的角色,在中国也是如此。
银行 it 建设已经成为银行在市场竞争中的一项关键资源,因此对银行 it 的风险控制与管理已经非常的重要,对商业银行的信息技术审计(ita)提出新的要求。
一、商业银行 it 审计的必要性(一)it 审计是商业银行信息技术应用的必然结果商业银行从最开始手工账务处理,到今天的信息技术覆盖到银行的方方面面。
针对国内商业银行,据相关的数据统计,硬件网络平台已经实现了 100%的应用,软件应用已经覆盖了 80%以上的商业银行业务。
从传统的手工处理,到今天的网上银行、手机银行等,商业银行对信息系统依赖性的日益增强,犯罪分子利用网络对银行信息系统攻击和破坏是益增多,必须要求对商业银行的信息基础建设及信息系统进行审计。
(二)it 审计是商业银行 it 风险控制的必然要求当前银行信息系统所采用 it 技术与信息系统软硬件本身存在着大量的脆弱性,如硬件故障、系统漏洞、意外灾祸都会造成银行系统不能正常工作。
国外相关统计数据表明,一些银行系统失效的风险损失占到总风险损失的 10%-20%。
如 2009 年 1 月下旬,某银行综合业务系统发生故障,造成综合业务系统故障时间约 11 个小时,导致整个银行不能对外营业,客户服务中断达 4 个小时,这种系统带来风险不仅给银行带来经济上的损失,而且直接关系到银行的声誉风险。
(三)it 审计既是银行信息化建设的必然保障,也有利于商业银行业务运营风险的防范由于我国商业银行 it 建设的起步较晚基础薄弱,同时在 it 建设之初又缺乏系统、统一的规划,致使我国商业银行信息系统的建设缺乏标准性、前瞻性、规划性,重复建设严重,数据不完整或难以统一,甚至系统建好后发现不能满足要求而闲置等垢病。
it 审计可以从 it 建设规划,it 组织架构等方面加以评价或监督,推动银行信息化建设环境的治理。
另一方面,由于银行业务经营风险很大程度上已经转移到信息系统的风险控制上,因此需要对信息系统的有效性进行评价,包括信息资产的保密性、完整性和可用性。
国内商业银行IT审计目标与内容商业银行的IT审计的目标是通过对商业银行所有IT规划、建设、应用、服务、安全等全方位的审计,充分识别与评估IT风险,完善控制措施,实现IT系统的可用性、安全性、完整性、有效性,最终达到强化商业银行内部控制的目的。
对商业银行的IT审计至少包括以下方面:1)硬件与环境:包括商业银行的硬件网络、电源、机房环境控制等;2)应用软件:针对综合业务系统、国际结算系统等业务系统,对系统的访问控制、授权、确认、错误与特例处理,以及系统相关流程,包括对系统的开发生命周期的审计;3) IT管理与服务:包括商业银行IT管理与服务的工具、制度、以及方法等有效性的审计;4)信息安全:对商业银行信息安全措施的完整性与有效性进行审计;5)商业连续性:为了保护银行业务持续运做,对银行在容错、备份、存储、灾难恢复等方面的完整性与合规性方面进行审计6)信息完整性:审计在确保信息正确、可信、及时等方面的的控制情况;7) IT策划与项目管理:对IT整体规划、系统策划、项目管理等方面进行审计。
商业银行IT审计进程与策略国内商业银行IT建设起步晚,对IT审计了解比较少,因此如何有效的控制一个IT审计项目缺乏相关的经验。
根据对国内商业银行的IT应用现状的研究,提出如下商业银行IT审计工作进程方案与相关策略:1)确定IT审计单位根据国际通用的信息系统审计准则,要求IT审计工作必须独立性。
因此商业银行在确定内外部IT审计单位,除了要求符合相关的资质要求,必须保证IT审计工作的独立性。
建议国内商业银行IT审计工作的开展尽可能的考虑外部IT审计单位,保证IT审计的效果。
如果确定内部单位进行IT审计,必须保证审计单位组织的独立性。
2)确定独立IT审计组对商业银行的IT审计,即包括了软硬件系统,也包括对商业银行的业务符合性的审计,以及IT项目组织、策划、服务管理等方面。
因此,构成IT审计组的成员应由IT系统专家、银行业务专家、咨询专家等多方面人员构成,主要的审计师必须具有IT审计的资格。
XXX银行信息科技审计操作细则目录第一章总则 (1)第二章信息科技审计职责与权限 (1)第三章信息科技审计方法及内容 (2)第四章信息科技审计操作流程 (5)第五章附则 (6)第一章总则第一条为进一步明确XXX银行(以下简称本行)总行审计部对本行信息科技审计(以下简称IT审计)的职责,充分识别信息科技风险,完善控制措施,实现IT系统的可用性、安全性、完整性、有效性,监督审计全行的信息科技管控对各级监管政策法规的合规性,规范IT审计操作程序,持续提升工作效率,保障IT审计工作的指导性和规范性,依据《XXX银行内部审计章程》,特制定本细则。
第二条本细则为总行审计部对信息科技进行审计提供指导。
第二章信息科技审计职责与权限第三条总行审计部应设立专门的信息科技审计岗位,配备专业的信息科技审计人员,负责信息科技审计制度和流程的实施,执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。
第四条信息科技审计的职责包括:(一)实施和调整审计计划,检查本行信息科技系统和内控机制的充分性和有效性。
(二)按照本行规章制度完成IT审计工作,在此基础上提出整改意见。
(三)检查整改意见是否得到落实。
(四)实施信息科技专项审计。
信息科技专项审计,是指对信息科技安全事故进行的调查、分析,或审计部门根据风险结果对认为必要的特殊事项进行的审计。
第五条根据业务性质、规模和复杂程度,信息科技应用情况以及信息科技风险状况,决定信息科技内部审计范围和频率,至少应每三年进行一次IT全面审计。
第六条在进行大规模系统开发时,总行审计部应派人参与,保证系统开发符合本银行信息科技风险管理标准。
第七条审计人员具有适当的权限调阅或查看行内系统或审计相关资料。
第三章信息科技审计方法及内容第八条信息科技审计项目实施过程中需要搜集大量的信息,掌握多方面的证据。
搜集和取证需要运用多种方法和工具。
采用的方法有:(一)访谈:访谈信息科技和有关业务部门相关人员,了解项目现状。
商业银行IT审计
————————————————————————————————作者:————————————————————————————————日期:
商业银行IT审计面临的挑战
随着信息技术的兴起,信息系统已经渗透到商业银行业务的各个领域,它在给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生等,系统安全问题日益严峻。
于是,一个不容回避的问题——商业银行如何有效地开展信息技术审计,以保证信息系统安全,摆在了我们面前。
一、it审计的定义及其特点
it审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。
it审计的目标是保证it系统的可用性、安全性、完整性和有效性,最终达到增强企业内部控制的目的。
it审计具有以下特点:
(一)it审计是一个过程。
它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。
(二)it审计的对象综合且复杂。
it审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。
it审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
(三)it审计拓宽了传统审计的目标。
传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一
贯性发表审计意见”;但it审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
(四)it审计是一种基于风险基础审计的理论和方法。
it审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。
二、it审计面临的挑战
it审计和传统审计相比具有的上述特点是吸引我国众多商业银行引入it审计的重要原因,但是这种方法的应用又会给商业银行提出巨大的挑战。
(一)传统审计线索的消失。
在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。
但是,现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸质记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。
(二)计算机信息系统的数据安全面临挑战。
手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在it审计中,网络电子交易数据的安全是关系
到交易双方切身利益的关键问题,也是商业银行计算机网络应用中的重大障碍和审计的首要问题。
例如,计算机病毒的破坏、黑客用ip地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等,都是传统审计从未涉及的,但又是it 审计的重点,这对当前我国的审计工作无论是操作系统,还是制度建立等众多方面都是一个很大的挑战。
(三)it审计专业人才匮乏。
适应it审计事业发展的人才培养和管理机制还有待建立和健全。
由于it审计固有的复杂性,这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的复合型人才,而且工作人员需要对内部控制和审计有深刻的理解,对信息和网络技术有敏锐的捕捉能力,在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。
三、it审计应对策略
面对上述挑战,我们应当勇于实践,积极探索新形势下如何使it审计工作能够满足商业银行发展的需求。
(一)审计线索的重建。
根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点,可以重建电子审计线索:在电子化的原始数据形成时,同时在审计机构(包括内审机构)和关系紧密(签字确认)的部门形成原始数据的“原本”,或在不同部门各自形成相关的数据库(特别应当包括数量、金额和单价等主要数据项),这样不仅可以相互监督和牵制,还给计算机审计提
供可信的审计线索。
这种保留审计线索的方法,一方面成为有力的控制手段;另一方面可从审计线索中发现疑点。
这种方法主要是应用专用的审计比较软件,同时将几个部门的同一种数据库进行自动比较,形成有差异的数据记录文件,详细审查相关的数据文件和访问有关的当事人,从而取得有力的审计证据。
上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用,如果企业业务数据分离存放,如销售合同与销售发票、提货单在不同的部门保存,这种实质性测试也可采用比较审计法,应用专用的审计软件,结合相关的几个业务数据文件进行比较,查出有错误疑点的记录。
(二)确保信息系统的信息安全。
为了保证信息系统的信息安全,it审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况,通过面谈实地审查企业安全管理制度建立和执行的情况,查看企业是否为了预防计算机病毒,对外来的软件和传输的数据经过病毒检查,业务系统是否严禁使用游戏软件,以及是否配置了自动检测关键数据库的软件,使异常及时被发现;检测企业是否为了防范黑客入侵,网络交易的数据库采用离散结构,同时在不同的指定网点(如在交易的双方)形成完整的业务数据备份供特殊使用(如审计和监控);此外,it审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度,审查有关计算机安全的国家法律和管理条例的执行情况。
(三)建立一支完备的it审计专业人才队伍。
it审计的发展必须有一大批专业化的it审计人才,这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。
此外,商业银行可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训。
当前,我国it审计正处于起步阶段,和传统审计相比,it审计的显著特点决定了其势在必行,但一种新的方法的引入和实施必定会给商业银行和审计人员带来巨大的挑战,应该抓住机遇,迎接挑战,使it审计工作不断发展完善。
■。
