文 李巖

近幾年，各商業(yè)銀行秉承“金融科技銀行”的戰(zhàn)略轉(zhuǎn)型理念，在信息安全、系統(tǒng)運(yùn)維、設(shè)備管理及網(wǎng)點(diǎn)服務(wù)支持等方面采取有效措施，為推進(jìn)銀行的網(wǎng)絡(luò)化、數(shù)據(jù)化、智能化戰(zhàn)略部署提供了強(qiáng)有力的技術(shù)支撐。但是通過(guò)各商業(yè)銀行的內(nèi)外部檢查，也發(fā)現(xiàn)一些顯著的IT風(fēng)險(xiǎn)隱患。2017年6月，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式施行，對(duì)于商業(yè)銀行的網(wǎng)絡(luò)安全以及客戶(hù)信息的管理要求更加嚴(yán)格。IT審計(jì)需要在日常審計(jì)項(xiàng)目中轉(zhuǎn)變審計(jì)思路，調(diào)整審計(jì)重點(diǎn)，并對(duì)檢查方向和檢查方法靈活變通。本文主要對(duì)非IT職能業(yè)務(wù)部門(mén)信息科技審計(jì)的檢查思路進(jìn)行探討。

一、審計(jì)重點(diǎn)的變化

傳統(tǒng)商業(yè)銀行的IT審計(jì)主要針對(duì)被審計(jì)單位的業(yè)務(wù)連續(xù)性管理、信息安全管理、系統(tǒng)運(yùn)維、機(jī)房管理、網(wǎng)絡(luò)管理等領(lǐng)域進(jìn)行檢查，以銀行IT部門(mén)為主，具體檢查領(lǐng)域如圖1所示。

圖1 IT審計(jì)具體檢查領(lǐng)域

隨著銀行業(yè)務(wù)的快速發(fā)展，金融科技在各商業(yè)銀行的有效落地，包括大量新業(yè)務(wù)系統(tǒng)的上線、業(yè)務(wù)量的增多、客戶(hù)數(shù)據(jù)的增長(zhǎng)、電腦終端越來(lái)越多，業(yè)務(wù)部門(mén)（公司、零售、運(yùn)營(yíng)、財(cái)務(wù)、風(fēng)控等）在信息科技領(lǐng)域的風(fēng)險(xiǎn)越來(lái)越值得關(guān)注，而且使用業(yè)務(wù)系統(tǒng)以及信息安全管理的核心單位往往是各銀行的業(yè)務(wù)部門(mén)。因此，審計(jì)項(xiàng)目需要在傳統(tǒng)IT審計(jì)的基礎(chǔ)上，將各銀行業(yè)務(wù)部門(mén)的IT管理作為審計(jì)重點(diǎn)。傳統(tǒng)IT審計(jì)與業(yè)務(wù)部門(mén)IT審計(jì)的區(qū)別如表1所示。

二、主要風(fēng)險(xiǎn)的應(yīng)對(duì)

非IT職能業(yè)務(wù)部門(mén)的IT管理工作主要分為數(shù)據(jù)安全管理、外包管理、業(yè)務(wù)系統(tǒng)管理三個(gè)方面。

（一）數(shù)據(jù)安全管理

數(shù)據(jù)安全領(lǐng)域的風(fēng)險(xiǎn)是目前商業(yè)銀行業(yè)務(wù)部門(mén)IT管理存在的主要風(fēng)險(xiǎn)，體現(xiàn)在以下幾個(gè)方面：一是郵件管理方面。最典型的就是員工存在違規(guī)外發(fā)郵件的行為，雖然各家銀行已在信息安全制度方面對(duì)郵件外發(fā)行為進(jìn)行了明確規(guī)定，但是通過(guò)近幾年的審計(jì)，發(fā)現(xiàn)該問(wèn)題仍是屢查屢犯。根本原因在于個(gè)別員工IT專(zhuān)業(yè)知識(shí)有限，信息安全意識(shí)不強(qiáng)，對(duì)風(fēng)險(xiǎn)認(rèn)識(shí)不深，由于工作和個(gè)人需要，將涉密信息違規(guī)外發(fā)至第三方郵箱。二是移動(dòng)端管理方面。隨著手機(jī)、PAD等移動(dòng)通訊設(shè)備的大量使用，銀行客戶(hù)信息、管理制度等商業(yè)機(jī)密通過(guò)移動(dòng)端外泄的風(fēng)險(xiǎn)越來(lái)越大，而智能手機(jī)自帶的拍照功能以及云存儲(chǔ)分享功能是主要原因。三是終端管理方面。主要體現(xiàn)在個(gè)人電腦及公共終端上。相較于IT部門(mén)，業(yè)務(wù)部門(mén)的員工日常更容易接觸各類(lèi)客戶(hù)數(shù)據(jù)和銀行管理類(lèi)數(shù)據(jù)，由于部分銀行未對(duì)員工電腦的USB端口訪問(wèn)進(jìn)行明確限制，加上個(gè)別員工信息安全意識(shí)不強(qiáng)，存在違規(guī)拷貝、將敏感數(shù)據(jù)留存在個(gè)人移動(dòng)介質(zhì)上的問(wèn)題。此外，目前部分商業(yè)銀行的業(yè)務(wù)部門(mén)留存各類(lèi)辦公網(wǎng)、業(yè)務(wù)網(wǎng)的公共電腦，具體問(wèn)題主要表現(xiàn)為業(yè)務(wù)部門(mén)公共機(jī)未設(shè)置桌面自動(dòng)恢復(fù)功能、本地留存客戶(hù)數(shù)據(jù)未清理、業(yè)務(wù)系統(tǒng)用戶(hù)未及時(shí)注銷(xiāo)、防病毒軟件不合規(guī)、用戶(hù)名密碼以明文形式保管等。相較于個(gè)人電腦，公共機(jī)因?yàn)槭嵌嗳耸褂玫慕K端，更易產(chǎn)生數(shù)據(jù)泄露等安全隱患。四是保密教育方面。部分業(yè)務(wù)部門(mén)的信息安全培訓(xùn)、保密教育形同虛設(shè)，員工忙于日常工作，信息安全意識(shí)淡薄，保密工作未真正落實(shí)到位。

2017年6月施行的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》已經(jīng)對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提出個(gè)人信息保護(hù)的明確要求，各商業(yè)銀行也根據(jù)監(jiān)管要求和自身情況發(fā)布了保密要求、數(shù)據(jù)安全、郵件管理等內(nèi)部管理要求，對(duì)于銀行商業(yè)機(jī)密數(shù)據(jù)的分類(lèi)、數(shù)據(jù)保管和清理周期、外發(fā)郵件安全、移動(dòng)介質(zhì)保管、公共機(jī)管理等提出明確要求。針對(duì)相關(guān)風(fēng)險(xiǎn)，可以在日常工作中采取兩方面措施：一是進(jìn)行硬控制。對(duì)于網(wǎng)絡(luò)訪問(wèn)進(jìn)行硬控制，防止員工將內(nèi)部郵件外發(fā)；敏感區(qū)域（高柜、數(shù)據(jù)操作間）禁止使用手機(jī)拍照；清理業(yè)務(wù)部門(mén)的公共電腦，要求員工只能使用個(gè)人電腦辦公；關(guān)閉員工個(gè)人電腦的USB端口，禁止使用個(gè)人移動(dòng)介質(zhì)，從源頭上杜絕違規(guī)拷貝行為。二是加大問(wèn)責(zé)力度。除了加強(qiáng)制度學(xué)習(xí)，提高信息安全培訓(xùn)頻率，加大問(wèn)責(zé)力度也是減少問(wèn)題屢查屢犯的有效手段。

表1 傳統(tǒng)IT審計(jì)與業(yè)務(wù)部門(mén)IT審計(jì)的區(qū)別

（二）外包管理

審計(jì)人員應(yīng)對(duì)銀行的各外包業(yè)務(wù)進(jìn)行全面梳理，將涉及銀行資產(chǎn)管理、數(shù)據(jù)傳輸、數(shù)據(jù)保管、系統(tǒng)控制等方面的外包業(yè)務(wù)全部納入檢查范圍。目前外包業(yè)務(wù)主要包括銀企對(duì)賬、收單業(yè)務(wù)、抵押代辦業(yè)務(wù)、個(gè)貸催收業(yè)務(wù)等，主要風(fēng)險(xiǎn)涉及合同管理、機(jī)具管理、庫(kù)房環(huán)境、網(wǎng)絡(luò)控制、系統(tǒng)權(quán)限、客戶(hù)數(shù)據(jù)傳輸與保管、應(yīng)急管理等方面。例如，銀企對(duì)賬公司處理客戶(hù)數(shù)據(jù)的電腦未按照外包協(xié)議斷網(wǎng)、客戶(hù)歷史數(shù)據(jù)未清除、終端未安裝企業(yè)版殺毒軟件；收單業(yè)務(wù)公司機(jī)具管理存在漏洞，包括缺少設(shè)備臺(tái)賬，庫(kù)房缺少監(jiān)控?cái)z像頭；個(gè)貸催收公司未使用企業(yè)郵箱接受銀行數(shù)據(jù)等。

《銀行業(yè)金融機(jī)構(gòu)外包風(fēng)險(xiǎn)管理指引》《銀行業(yè)金融機(jī)構(gòu)信息科技外包風(fēng)險(xiǎn)監(jiān)管指引》等外包業(yè)務(wù)管理制度對(duì)于商業(yè)銀行與外包公司簽訂外包服務(wù)合同及網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)急工作等方面要求都有細(xì)致明確的規(guī)定。審計(jì)人員應(yīng)持續(xù)關(guān)注銀行外包業(yè)務(wù)種類(lèi)的變化，檢查外包合同中數(shù)據(jù)安全、應(yīng)急管理等方面內(nèi)容，重點(diǎn)檢查分行日常工作及外包公司的考核機(jī)制，關(guān)注商業(yè)銀行業(yè)務(wù)部門(mén)是否將外包公司的工作納入監(jiān)督體系。

（三）業(yè)務(wù)系統(tǒng)管理

在銀行業(yè)務(wù)部門(mén)的日常工作中涉及眾多業(yè)務(wù)系統(tǒng)，具體可分為銀行核心業(yè)務(wù)系統(tǒng)、中間業(yè)務(wù)系統(tǒng)、風(fēng)險(xiǎn)管理類(lèi)系統(tǒng)、個(gè)貸系統(tǒng)、營(yíng)銷(xiāo)管理系統(tǒng)等幾大類(lèi)。主要風(fēng)險(xiǎn)體現(xiàn)在業(yè)務(wù)系統(tǒng)的用戶(hù)管理和系統(tǒng)功能控制兩個(gè)方面。在用戶(hù)管理方面，因?yàn)闃I(yè)務(wù)工作的需要，個(gè)別員工在休假期間可能會(huì)將本人的應(yīng)用系統(tǒng)用戶(hù)出借他人使用來(lái)完成工作，由于應(yīng)用系統(tǒng)用戶(hù)使用者非本人，存在非授權(quán)操作導(dǎo)致的數(shù)據(jù)安全風(fēng)險(xiǎn)以及業(yè)務(wù)操作風(fēng)險(xiǎn)。在系統(tǒng)功能控制方面，部分業(yè)務(wù)系統(tǒng)缺乏日志查詢(xún)功能，導(dǎo)致無(wú)法進(jìn)行審計(jì)檢查相關(guān)追溯。此外，界面顯示客戶(hù)數(shù)據(jù)未做敏感處理，也存在數(shù)據(jù)泄露風(fēng)險(xiǎn)。

審計(jì)人員應(yīng)持續(xù)加強(qiáng)對(duì)業(yè)務(wù)系統(tǒng)的用戶(hù)管理和系統(tǒng)功能控制兩個(gè)方面的檢查。在用戶(hù)管理方面，審計(jì)人員可以運(yùn)用各類(lèi)審計(jì)數(shù)據(jù)分析工具，通過(guò)分析數(shù)據(jù)模型，抽取系統(tǒng)日志，檢查用戶(hù)權(quán)限，對(duì)員工用戶(hù)管理進(jìn)行檢查，針對(duì)員工請(qǐng)休假期間用戶(hù)的使用、離職員工的用戶(hù)管理、業(yè)務(wù)系統(tǒng)用戶(hù)權(quán)限管理進(jìn)行檢查。在系統(tǒng)功能控制方面，審計(jì)人員應(yīng)積極獲取業(yè)務(wù)部門(mén)員工使用業(yè)務(wù)系統(tǒng)過(guò)程中遇到的問(wèn)題以及優(yōu)化建議，要求員工主動(dòng)與系統(tǒng)開(kāi)發(fā)部門(mén)進(jìn)行溝通并及時(shí)反饋問(wèn)題。檢查業(yè)務(wù)系統(tǒng)是否添加了相關(guān)查詢(xún)操作日志，是否定期對(duì)日志進(jìn)行追蹤和排查，是否完善各業(yè)務(wù)系統(tǒng)敏感信息的屏蔽機(jī)制。

三、后續(xù)完善的建議

一是加強(qiáng)征信信息安全管理的檢查。根據(jù)《中國(guó)人民銀行關(guān)于進(jìn)一步加強(qiáng)征信信息安全管理的通知》要求，各商業(yè)銀行應(yīng)抓好信息風(fēng)險(xiǎn)防范，確保征信信息不泄露；加強(qiáng)征信用戶(hù)管理，杜絕公共賬戶(hù)，確保一人一戶(hù)、專(zhuān)人專(zhuān)用；嚴(yán)守“先授權(quán)后查詢(xún)”的合規(guī)底線。審計(jì)人員在今后的工作中應(yīng)對(duì)商業(yè)銀行征信工作的信息安全管理、用戶(hù)管理、授權(quán)管理等進(jìn)行重點(diǎn)檢查。

二是持續(xù)加強(qiáng)外包領(lǐng)域的檢查。近年來(lái)，銀保監(jiān)會(huì)對(duì)外包業(yè)務(wù)的檢查要求日益增多，如《中國(guó)銀監(jiān)會(huì)辦公廳關(guān)于開(kāi)展銀行業(yè)金融機(jī)構(gòu)信息科技非駐場(chǎng)集中式外包監(jiān)管評(píng)估工作的通知》要求進(jìn)一步做好對(duì)非駐場(chǎng)集中式外包服務(wù)的風(fēng)險(xiǎn)評(píng)估，加強(qiáng)監(jiān)督管理，防范銀行業(yè)區(qū)域性、系統(tǒng)性信息科技風(fēng)險(xiǎn)。而在各商業(yè)銀行的審計(jì)項(xiàng)目中，外包仍是普遍存在問(wèn)題的領(lǐng)域，包括外包項(xiàng)目的信息安全管理、超越外包范圍使用外包人員等，審計(jì)人員仍需在今后的審計(jì)工作中持續(xù)關(guān)注。