王明方

摘要：在當(dāng)前的銀行操作過程中普遍存在信息科技風(fēng)險(xiǎn)，這樣就會影響商業(yè)銀行的長遠(yuǎn)發(fā)展，銀行的內(nèi)部審計(jì)部門是防范商業(yè)銀行信息科技風(fēng)險(xiǎn)的主要部門，可以通過分析信息科技風(fēng)險(xiǎn)種類提出相應(yīng)的審計(jì)方式，從而推動我國商業(yè)銀行信息科技審計(jì)工作的長遠(yuǎn)發(fā)展。

關(guān)鍵詞：商業(yè)銀行；信息科技風(fēng)險(xiǎn)；審計(jì)

一、分析信息科技風(fēng)險(xiǎn)種類

按照風(fēng)險(xiǎn)種類來看，信息科技風(fēng)險(xiǎn)主要分為以下幾種：第一種是信息科技業(yè)務(wù)中斷風(fēng)險(xiǎn)，這種風(fēng)險(xiǎn)容易導(dǎo)致軟硬件運(yùn)行問題、系統(tǒng)超負(fù)荷運(yùn)行、主干網(wǎng)絡(luò)斷開、病毒或人為非法操作造成系統(tǒng)不穩(wěn)定等因素，極易造成銀行業(yè)務(wù)的中斷。二是數(shù)據(jù)安全風(fēng)險(xiǎn)，包括因物理環(huán)境、硬件設(shè)施配備不到位導(dǎo)致數(shù)據(jù)無法備份、無法恢復(fù)，造成系統(tǒng)業(yè)務(wù)連續(xù)性保障能力不足；因在內(nèi)控管理中未嚴(yán)格實(shí)行“最小授權(quán)原則”，導(dǎo)致核心數(shù)據(jù)被非法竊取篡改，或高權(quán)限操作復(fù)核機(jī)制不健全，導(dǎo)致數(shù)據(jù)不可用。三是系統(tǒng)漏洞風(fēng)險(xiǎn)，應(yīng)用系統(tǒng)設(shè)計(jì)之初對業(yè)務(wù)需求提得不充分、對風(fēng)險(xiǎn)控制考慮不全面，在測試階段又未及時(shí)發(fā)現(xiàn)安全漏洞，那么在系統(tǒng)上線運(yùn)行后將會導(dǎo)致系統(tǒng)缺陷被非法利用，造成主干網(wǎng)絡(luò)中斷，產(chǎn)生不可彌補(bǔ)的風(fēng)險(xiǎn)。四是外包集中風(fēng)險(xiǎn)，形成對外部公司的過度依賴，潛在外包公司變更、核心機(jī)密外泄、應(yīng)急不充分、維保時(shí)效性不強(qiáng)等長期風(fēng)險(xiǎn)。

二、信息科技風(fēng)險(xiǎn)的主要體現(xiàn)

信息科技業(yè)務(wù)風(fēng)險(xiǎn)主要體現(xiàn)在以下幾個(gè)方面：運(yùn)行維護(hù)、相關(guān)設(shè)備的配置以及機(jī)房的環(huán)境等；數(shù)據(jù)安全的風(fēng)險(xiǎn)主要體現(xiàn)在系統(tǒng)備份、生產(chǎn)數(shù)據(jù)脫敏、系統(tǒng)變更等方面；系統(tǒng)漏洞的風(fēng)險(xiǎn)主要體現(xiàn)在系統(tǒng)開發(fā)、測試、后評價(jià)等方面；外包集中的風(fēng)險(xiǎn)主要表現(xiàn)在外包人員授權(quán)管理等方面。從商業(yè)銀行全行角度來看，運(yùn)維能力不足以應(yīng)對全局性的系統(tǒng)性風(fēng)險(xiǎn)排在第一位。表現(xiàn)形式集中在運(yùn)行維護(hù)、系統(tǒng)監(jiān)控預(yù)警及應(yīng)急響應(yīng)處理、需求測試不嚴(yán)格導(dǎo)致的系統(tǒng)缺陷、信息安全等方面。常見的問題集中于系統(tǒng)災(zāi)備機(jī)制不健全、應(yīng)急機(jī)制不完善、基礎(chǔ)設(shè)施物理環(huán)境建設(shè)薄弱、風(fēng)險(xiǎn)預(yù)警監(jiān)測體系筮待完善、系統(tǒng)開發(fā)管理過程控制不足、過度依賴外包、信息系統(tǒng)安全防范措施執(zhí)行不到位等問題。

三、提升銀行信息科技審計(jì)水平的方法

通過相關(guān)調(diào)查研究不難看出，傳統(tǒng)的商業(yè)銀行業(yè)務(wù)審計(jì)方式與現(xiàn)有的信息系統(tǒng)審計(jì)方式之間存在很多關(guān)聯(lián)，如在審核、觀察、抽樣、訪談、函證、現(xiàn)場查驗(yàn)，其在檢查規(guī)范性、標(biāo)準(zhǔn)性、合規(guī)性等方面適用上述方法；在檢查機(jī)房環(huán)境建設(shè)、網(wǎng)絡(luò)設(shè)備及服務(wù)器部署時(shí)主要采用觀察法和詢問法，利用機(jī)房建設(shè)規(guī)范、網(wǎng)絡(luò)拓?fù)鋱D、出入機(jī)房記錄等進(jìn)行實(shí)地觀察，并通過詢問管理人員了解實(shí)際情況與記錄的一致性等；在檢查備份機(jī)制方面時(shí)，主要采用抽樣、審核、查驗(yàn)等方法進(jìn)行檢查，首先通過審核運(yùn)維手冊確定重要生產(chǎn)系統(tǒng)有無制定備份策略，備份策略是否涵蓋備份的具體時(shí)間、保存期限、備份方式、備份介質(zhì)、備份臺賬記錄等，審核是否根據(jù)備份策略完善相應(yīng)的備份操作流程，其次通過抽樣確定檢查的重要生產(chǎn)系統(tǒng)，查驗(yàn)備份記錄，檢查定期備份操作時(shí)間、備份內(nèi)容、備份介質(zhì)保管是否符合要求，最后通過查閱備份數(shù)據(jù)恢復(fù)測試相關(guān)文檔，檢查備份有無定期進(jìn)行恢復(fù)測試，以及恢復(fù)頻率、流程與制度要求的一致性。

由于商業(yè)銀行信息科技風(fēng)險(xiǎn)不易于發(fā)現(xiàn)，加之信息科技審計(jì)模式與傳統(tǒng)銀行業(yè)務(wù)審計(jì)模式之間的差異，如在檢查信息系統(tǒng)全周期管理時(shí)，主要采用風(fēng)險(xiǎn)評估、符合性測試及穿行測試：風(fēng)險(xiǎn)評估用于系統(tǒng)抽樣，根據(jù)系統(tǒng)暴露出的缺陷或風(fēng)險(xiǎn)事件對信息系統(tǒng)清單進(jìn)行抽樣，符合性測試檢查某個(gè)環(huán)節(jié)的控制是否存在，穿行測試根據(jù)抽樣檢查流程控制是否有效；在檢查系統(tǒng)變更或數(shù)據(jù)庫操作時(shí)，因系統(tǒng)操作專業(yè)性很強(qiáng)，為避免對生產(chǎn)系統(tǒng)產(chǎn)生影響，主要采用由審計(jì)人員提出指令、系統(tǒng)管理人員操作、審計(jì)人員觀察的方式進(jìn)行現(xiàn)場測試；在檢查生產(chǎn)系統(tǒng)登錄流程的控制時(shí)，可采用實(shí)際測試和走查相結(jié)合的方式進(jìn)行，即在現(xiàn)場操作過程中，一經(jīng)發(fā)現(xiàn)問題即停止檢查。

要想更好的落實(shí)商業(yè)銀行信息科技工作，不斷提升信息科技風(fēng)險(xiǎn)的管理水平，我們應(yīng)該以風(fēng)險(xiǎn)為中心開展信息科技審計(jì)工作，具體如下所示。

第一，結(jié)合實(shí)際需求制定相應(yīng)的信息科技審計(jì)制度。我們應(yīng)該正視信息科技審計(jì)與其他審計(jì)工作之間的差異，設(shè)置信息科技審計(jì)相應(yīng)的職能機(jī)構(gòu)、配備專職人員，是推動信息科技審計(jì)走向更高水平的前提和保障。此外，審計(jì)制度規(guī)定的出臺，往往可以既規(guī)范審計(jì)人員行為、確保審計(jì)質(zhì)量，同時(shí)也可以在全行范圍內(nèi)引起對此項(xiàng)工作的更多重視，減少工作阻力。

第二，結(jié)合實(shí)際需求提升審計(jì)工作水平。在信息科技審計(jì)工作的落實(shí)過程中，我們應(yīng)該結(jié)合實(shí)際需求制定相應(yīng)的審計(jì)方案：以審計(jì)計(jì)算機(jī)業(yè)務(wù)應(yīng)用系統(tǒng)的操作、運(yùn)維情況為突破口，不斷探索信息科技審計(jì)方法和內(nèi)容，逐步擴(kuò)大審計(jì)范圍，通過審計(jì)實(shí)踐，培養(yǎng)人才，鍛煉隊(duì)伍。在審計(jì)過程中，商業(yè)銀行可通過“以查代訓(xùn)”方式，鍛煉、培養(yǎng)審計(jì)隊(duì)伍。

第三，不斷加強(qiáng)審計(jì)人員的培訓(xùn)力度。信息科技審計(jì)工作人員通過培訓(xùn)能夠有效提升其綜合素質(zhì)，掌握更多更扎實(shí)的審計(jì)技巧，可分批分次選派審計(jì)人員參加理論、實(shí)務(wù)、案例相結(jié)合的審計(jì)培訓(xùn)，使其盡快了解信息科技審計(jì)國內(nèi)外發(fā)展趨勢、后SOX法案時(shí)代內(nèi)部控制與信息科技審計(jì)、數(shù)據(jù)庫審計(jì)、Windows審計(jì)、Unix審計(jì)、數(shù)據(jù)中心審計(jì)、審計(jì)管理系統(tǒng)等相關(guān)內(nèi)容，拓展其審計(jì)視野，強(qiáng)化信息科技審計(jì)中理論與實(shí)踐的結(jié)合，全面提升信息科技審計(jì)人員的綜合素質(zhì)。

第四，通過對比分析找出更符合實(shí)踐要求的審計(jì)模式。要想不斷提升商業(yè)銀行信息科技審計(jì)水平，我們可嘗試性開展對國際通用的IT審計(jì)標(biāo)準(zhǔn)“信息與相關(guān)技術(shù)控制目標(biāo)”（CO-BIT）的研究與分析。此項(xiàng)研究工作，對形成信息科技審計(jì)評價(jià)與判斷標(biāo)準(zhǔn)，完善審計(jì)操作規(guī)程，提高信息科技審計(jì)技術(shù)水平有重要意義。

參考文獻(xiàn)：

[1].以風(fēng)險(xiǎn)為導(dǎo)向以內(nèi)控為主線全面開展中小商業(yè)銀行信息科技審計(jì)[J].中國內(nèi)部審計(jì)，2017（07）：40-43.