劉慶鍇

（中廣核資本控股有限公司）

當(dāng)前城商行的發(fā)展越來(lái)越離不開(kāi)信息科技的支持，營(yíng)業(yè)部的部分柜員被自助終端所替代，大堂客戶經(jīng)理?yè)Q成了智能機(jī)器人，人們用一部手機(jī)足不出戶幾乎就可以享受到銀行的全部服務(wù)，沒(méi)有信息科技支撐的銀行很難在當(dāng)前激烈的市場(chǎng)競(jìng)爭(zhēng)中生存下去。而隨著科技手段的廣泛運(yùn)用，信息科技風(fēng)險(xiǎn)也隨之上升，自然因素、技術(shù)漏洞、操作失誤和管理缺陷等都會(huì)對(duì)眾多銀行尤其是科技能力相對(duì)薄弱的城商行造成難以預(yù)計(jì)的損失，同時(shí)還可能連帶產(chǎn)生聲譽(yù)風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)，因此，開(kāi)展信息科技審計(jì)項(xiàng)目成為城商行管理層及其內(nèi)部審計(jì)部門應(yīng)對(duì)相關(guān)風(fēng)險(xiǎn)的必然選擇。

一、信息科技審計(jì)的概念

信息科技審計(jì)還被稱之為信息系統(tǒng)審計(jì)，美國(guó)信息系統(tǒng)審計(jì)專家韋伯對(duì)于信息科技審計(jì)的看法是:“收集并評(píng)估證據(jù)，以判斷一個(gè)信息系統(tǒng)是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目的，同時(shí)最經(jīng)濟(jì)的使用資源”。據(jù)此，城商行信息科技審計(jì)應(yīng)是指通過(guò)對(duì)城商行信息系統(tǒng)的組成部分及其規(guī)劃、運(yùn)行、開(kāi)發(fā)、應(yīng)用和管理等過(guò)程進(jìn)行審計(jì)，以信息系統(tǒng)的安全性、可靠性、有效性等方面問(wèn)題為基礎(chǔ)目標(biāo)開(kāi)展審計(jì)業(yè)務(wù)，最后針對(duì)上述問(wèn)題為城商行提出整改意見(jiàn)和優(yōu)化建議的行為。

二、城商行信息科技審計(jì)的主要內(nèi)容

從總體層面上來(lái)說(shuō)，信息科技審計(jì)內(nèi)容可分為管理層控制、一般控制、應(yīng)用控制、重要系統(tǒng)、網(wǎng)絡(luò)安全體系結(jié)構(gòu)、數(shù)據(jù)分析。從應(yīng)用方面來(lái)說(shuō)，信息科技審計(jì)則主要包括以下幾個(gè)方面：

（一）硬件與環(huán)境：對(duì)硬件設(shè)備、網(wǎng)絡(luò)、電源、機(jī)房環(huán)境等事項(xiàng)的審計(jì)。

（二）應(yīng)用軟件：對(duì)軟件的開(kāi)發(fā)生命周期以及系統(tǒng)策劃、項(xiàng)目管理等方面的審計(jì)，對(duì)軟件系統(tǒng)的訪問(wèn)控制、授權(quán)、確認(rèn)、錯(cuò)誤與特例處理以及系統(tǒng)相關(guān)流程的審計(jì)。

（三）信息系統(tǒng)管理與服務(wù)：包括信息系統(tǒng)管理與服務(wù)的相關(guān)工具、制度以及方法等有效性的審計(jì)。

（四）信息安全性和完整性：對(duì)確保信息準(zhǔn)確、可靠、完整等方面的控制情況，以及信息安全措施的完整性與有效性進(jìn)行的審計(jì)。

三、城商行信息科技審計(jì)主要技術(shù)方法

信息科技審計(jì)技術(shù)方法是城商行開(kāi)展信息科技審計(jì)的重要組成部分，發(fā)揮著連接審計(jì)主體和客體的中介作用，對(duì)于完成審計(jì)工作任務(wù)、實(shí)現(xiàn)審計(jì)目標(biāo)起著非常重要的作用，經(jīng)過(guò)大量實(shí)踐，可總結(jié)為以下幾種主要審計(jì)技術(shù)方法：

（一）約談法

審計(jì)人員與被審計(jì)單位的相關(guān)人員進(jìn)行面對(duì)面的交談，以了解有關(guān)情況、收集審計(jì)證據(jù)的一種方法。約談法適用于信息系統(tǒng)審計(jì)的各個(gè)階段，但在不同的階段其所運(yùn)用的目的不同。約談所涉及的人員一般應(yīng)該是對(duì)信息系統(tǒng)的情況比較了解的人員。約談前要對(duì)所要談話的內(nèi)容做充分的準(zhǔn)備，約談中進(jìn)行書面記錄，如需要可請(qǐng)被談話人簽字。

（二）文檔調(diào)閱法

審計(jì)人員對(duì)相關(guān)文檔進(jìn)行審查，以收集信息和證據(jù)，為作出審計(jì)結(jié)論提供支持。在審計(jì)準(zhǔn)備階段，審計(jì)人員通過(guò)對(duì)信息系統(tǒng)有關(guān)文檔的審閱，了解信息系統(tǒng)的有關(guān)方面情況，為制定審計(jì)方案尋找依據(jù)；在實(shí)施階段，對(duì)于系統(tǒng)文檔中所規(guī)定的一些控制措施，審計(jì)人員應(yīng)該對(duì)照檢查在實(shí)際操作過(guò)程中是否得到有效的執(zhí)行。系統(tǒng)文檔主要包括：系統(tǒng)的技術(shù)手冊(cè)、操作手冊(cè)、系統(tǒng)的流程圖、組織結(jié)構(gòu)圖、系統(tǒng)源程序等。

（三）測(cè)試數(shù)據(jù)法

審計(jì)人員需要預(yù)先設(shè)計(jì)好一批用來(lái)進(jìn)行檢測(cè)的數(shù)據(jù)，在設(shè)計(jì)好數(shù)據(jù)之后利用被審程序來(lái)對(duì)這批數(shù)據(jù)進(jìn)行處理，并將實(shí)際處理結(jié)果和預(yù)期結(jié)果展開(kāi)對(duì)比，通過(guò)對(duì)比來(lái)對(duì)被審程序的控制和處理功能是否恰當(dāng)進(jìn)行判斷。這種方法相對(duì)簡(jiǎn)單直觀，但是其不足之處也較為明顯，即需要花費(fèi)較多的時(shí)間來(lái)對(duì)測(cè)試數(shù)據(jù)和案例進(jìn)行準(zhǔn)備。

（四）程序編碼比較法

這種方法是利用兩個(gè)被獨(dú)立保管的被審程序版本開(kāi)展對(duì)比，通過(guò)對(duì)比確定被審程序是否出現(xiàn)了變化。同使用對(duì)比的程序是由審計(jì)部門或者是其他獨(dú)立第三方保管的，經(jīng)以前審查其處理和控制功能恰當(dāng)?shù)谋粚彸绦蚋北九c被審單位現(xiàn)在使用的應(yīng)用程序進(jìn)行比較。

（五）受控處理法

這種方法是由審計(jì)人員來(lái)監(jiān)控被審程序的業(yè)務(wù)處理情況。通過(guò)監(jiān)控來(lái)確定被審程序在護(hù)理功能以及控制功能上是否滿足要求。如果使用這種方法，那么就需要先檢查輸入的數(shù)據(jù)，并建立起完善的審計(jì)控制，然后審計(jì)人員親自對(duì)這些數(shù)據(jù)進(jìn)行處理或者是監(jiān)督處理這些數(shù)據(jù)，處理完之后進(jìn)行比較，以此來(lái)判斷被審程序的處理與控制功能能否按設(shè)計(jì)要求起作用。

（六）穿行測(cè)試法

在處于正常運(yùn)行條件的情況下，將初始數(shù)據(jù)輸入到內(nèi)控流程之中，讓數(shù)據(jù)穿越全流程與所有的關(guān)鍵環(huán)節(jié)，最后將運(yùn)行結(jié)果和設(shè)計(jì)要求進(jìn)行對(duì)比，通過(guò)對(duì)比來(lái)發(fā)現(xiàn)內(nèi)控流程的缺陷。這種方法通常使用于對(duì)業(yè)務(wù)流程或具體業(yè)務(wù)的測(cè)試與評(píng)價(jià)。

（七）模型審計(jì)法

以構(gòu)建審計(jì)分析模型為出發(fā)點(diǎn)，通過(guò)采集審計(jì)分析模型需要的數(shù)據(jù)和對(duì)數(shù)據(jù)進(jìn)行處理、分析，來(lái)判斷和評(píng)價(jià)系統(tǒng)數(shù)據(jù)的真實(shí)性、合法性、完整性等方面，并且通過(guò)數(shù)據(jù)審計(jì)發(fā)現(xiàn)的問(wèn)題，反推信息系統(tǒng)缺陷，其核心技術(shù)為構(gòu)建審計(jì)分析模型。

四、某城商行信息安全審計(jì)項(xiàng)目實(shí)踐

保證信息系統(tǒng)的安全是所有城商行的一項(xiàng)重要任務(wù)，城商行應(yīng)成立信息系統(tǒng)安全的內(nèi)部組織保障部門，重視對(duì)信息系統(tǒng)安全的管理，用管理和制度手段，保證客戶資料和交易信息的安全，防止重要信息被竊取、非法復(fù)制、泄露和丟失，采取足夠的措施，保護(hù)信息系統(tǒng)安全。

（一）審計(jì)案例背景

根據(jù)銀監(jiān)會(huì)指引，某城商行成立審計(jì)小組，對(duì)其信息安全開(kāi)展專項(xiàng)審計(jì)工作。該城商行已經(jīng)制定了第三方人員安全管理辦法、中心機(jī)房密碼口令管理辦法、互聯(lián)網(wǎng)接入及使用管理辦法、軟件崗位職責(zé)分離管理辦法等規(guī)章制度，涉及系統(tǒng)軟件維護(hù)、應(yīng)用系統(tǒng)維護(hù)、計(jì)算機(jī)運(yùn)行安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、物理安全等方面，已構(gòu)建信息安全基本體系。

（二）主要審計(jì)內(nèi)容及使用方法

1.信息安全管理機(jī)制。對(duì)信息安全標(biāo)準(zhǔn)、策略、實(shí)施計(jì)劃和持續(xù)維護(hù)計(jì)劃等進(jìn)行審查。重點(diǎn)關(guān)注安全制度管理和人員安全管理。

主要審計(jì)方法：使用訪談法和文檔調(diào)閱法了解信息安全規(guī)章制度的制定和執(zhí)行情況、對(duì)外來(lái)人員的管理等。

2.系統(tǒng)用戶認(rèn)證和訪問(wèn)控制。對(duì)管理用戶認(rèn)證和訪問(wèn)控制的流程、策略進(jìn)行審查。重點(diǎn)關(guān)注系統(tǒng)訪問(wèn)權(quán)限分配、口令管理、職責(zé)分離控制以及用戶變更。

主要審計(jì)方法：使用訪談法和文檔調(diào)閱法了解信息安全規(guī)章制度、管理流程；通過(guò)現(xiàn)場(chǎng)查看法了解系統(tǒng)權(quán)限的分配、口令管理等；使用抽樣數(shù)據(jù)法對(duì)系統(tǒng)用戶的身份識(shí)別和驗(yàn)證及是否記錄成功和失敗進(jìn)行了解等。

3.設(shè)備和網(wǎng)絡(luò)安全。對(duì)網(wǎng)絡(luò)管理和網(wǎng)絡(luò)服務(wù)的安全策略制定情況、網(wǎng)絡(luò)通信及信息系統(tǒng)設(shè)備的管理及操作流程、安全配置策略、定期監(jiān)控措施、實(shí)施網(wǎng)絡(luò)控制的安全手段、網(wǎng)絡(luò)的劃分和路由控制、診斷端口的保護(hù)進(jìn)行審計(jì)。重點(diǎn)關(guān)注網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)的安全策略、網(wǎng)絡(luò)控制的安全途徑，對(duì)診斷端口進(jìn)行保護(hù)的安全機(jī)制。

主要審計(jì)方法：使用訪談法和文檔調(diào)閱法了解端口保護(hù)機(jī)制、安全配置策略、網(wǎng)絡(luò)通信及信息系統(tǒng)設(shè)備的管理及操作流程，并確定相關(guān)策略是否與業(yè)務(wù)訪問(wèn)控制策略相一致。

4.系統(tǒng)軟件安全。對(duì)操作系統(tǒng)的漏洞檢測(cè)和補(bǔ)丁安裝、源代碼的訪問(wèn)控制和審查情況進(jìn)行審查。重點(diǎn)關(guān)注系統(tǒng)補(bǔ)丁與更新程序的安裝，不必要的服務(wù)和端口是否關(guān)閉，源代碼的版本管理。

主要審計(jì)方法：使用訪談法和文檔調(diào)閱法了解系統(tǒng)的漏洞檢測(cè)和補(bǔ)丁安裝、源代碼的訪問(wèn)控制和審查情況；使用工具檢測(cè)法，對(duì)操作系統(tǒng)進(jìn)行檢測(cè)。

5.數(shù)據(jù)安全。對(duì)系統(tǒng)信息和客戶信息管理的安全性進(jìn)行審查。重點(diǎn)關(guān)注客戶重要信息的存儲(chǔ)是否加密，傳輸過(guò)程的管理，測(cè)試數(shù)據(jù)是否進(jìn)行脫敏。

主要審計(jì)方法：使用文檔調(diào)閱法和抽樣數(shù)據(jù)法檢查核心業(yè)務(wù)系統(tǒng)中重要客戶信息的采集、存貯、傳輸、備份、恢復(fù)和銷毀，測(cè)試數(shù)據(jù)的安全措施實(shí)施情況。

6.安全事件管理。對(duì)信息科技安全事故處理流程、報(bào)告制度、安全事件響應(yīng)流程的演練等進(jìn)行審查。重點(diǎn)關(guān)注信息系統(tǒng)安全事件處理流程和報(bào)告路線是否清晰、明確和完善。

主要審計(jì)方法：使用訪談法和文檔調(diào)閱法了解信息系統(tǒng)安全事件報(bào)告制度、處理流程規(guī)定和演練情況。

（三）審計(jì)發(fā)現(xiàn)及審計(jì)建議

經(jīng)過(guò)審計(jì)，發(fā)現(xiàn)該行信息科技安全管理存在以下缺陷和不足：未對(duì)從生產(chǎn)環(huán)境拷貝數(shù)據(jù)的移動(dòng)介質(zhì)進(jìn)行限制，員工可以使用個(gè)人的移動(dòng)介質(zhì)從生產(chǎn)環(huán)境拷貝數(shù)據(jù)；生產(chǎn)數(shù)據(jù)傳輸及使用安全措施存在不足；網(wǎng)絡(luò)防病毒及備份機(jī)制有待完善；部分規(guī)章制度內(nèi)容及執(zhí)行不夠嚴(yán)格，執(zhí)行力度有待加強(qiáng)改善。針對(duì)這些審計(jì)發(fā)現(xiàn)，審計(jì)師提出相關(guān)審計(jì)建議：

1.盡快完善信息安全相關(guān)規(guī)章制度，并提高對(duì)制度的執(zhí)行力度；

2.明確辦公用的計(jì)算機(jī)設(shè)備的安全管理職能，完善計(jì)算機(jī)設(shè)備的安全保護(hù)措施，防范使用U盤或移動(dòng)硬盤等外接設(shè)備拷貝而導(dǎo)致的信息泄露隱患；

3.規(guī)范生產(chǎn)環(huán)境數(shù)據(jù)的保護(hù)機(jī)制，防范信息泄露等安全隱患；

4.加強(qiáng)網(wǎng)絡(luò)病毒控制措施，防范由于病毒帶來(lái)的數(shù)據(jù)信息損壞、丟失、泄露等風(fēng)險(xiǎn)。

五、結(jié)束語(yǔ)

城商行的信息科技系統(tǒng)大都具有以客戶為中心、結(jié)構(gòu)復(fù)雜、海量數(shù)據(jù)、軟硬件系統(tǒng)性能高、衍生金融新產(chǎn)品多等特點(diǎn)，因此發(fā)生信息科技風(fēng)險(xiǎn)的可能性大。通過(guò)對(duì)城商行信息科技進(jìn)行審計(jì)，能夠促進(jìn)其改善信息系統(tǒng)的內(nèi)部控制，提升信息科技管理水平，更好地保護(hù)信息資產(chǎn)的安全，使其經(jīng)營(yíng)目標(biāo)得以有效地實(shí)現(xiàn)，進(jìn)而促進(jìn)我國(guó)地方商業(yè)銀行的發(fā)展，更好地服務(wù)于實(shí)體經(jīng)濟(jì)。

主要參考文獻(xiàn)：

[1]（美）霍爾.信息系統(tǒng)審計(jì)與鑒證.中信出版社，2003.

[2]鄧春梅.信息系統(tǒng)審計(jì)的理論架構(gòu)——論其學(xué)科歸屬與基于風(fēng)險(xiǎn)審計(jì)理論的操作流程[D].重慶大學(xué),2004.

[3]中國(guó)銀行業(yè)監(jiān)督管理委員會(huì).商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引.[2009]19號(hào)文.

[4]李強(qiáng).商業(yè)銀行信息科技內(nèi)部審計(jì)初步探討.時(shí)代金融,2013（10）.

[5]行宇.商業(yè)銀行信息科技風(fēng)險(xiǎn)類別及審計(jì)方法研究.金融電子化,2015（5）.