论文部分内容阅读
随着银行业信息化建设的快速发展,信息系统不仅为各项业务的运营提供后台支持保障,而且随着新产品、新业务和新流程的不断推出,信息系统日益成为业务发展的直接驱动力和核心竞争力,因此信息系统在业务应用中的风险范围和程度也急剧加大,大量数据存储于计算机中,与手工相比,它会受到更多的威胁。因此,有效控制信息系统在业务应用中的风险成为摆在我们面前的一大课题。
1 信息技术的广泛应用给银行带来的风险
银行的IT风险不仅涵盖了传统的操作风险、信誉风险,还包含了在银行的经营管理过程中,所表现出的许多与信息化相关联的其他类型风险。商业银行的内控应该以风险管理为中心,尤其离不开IT风险管理的支持。IT风险主要表现在:
(1)业务风险发生后一般可以通过业务流程、法律手段等加以弥补,而IT风险发生后往往难以弥补;
(2)IT风险的对象要考虑各类技术设施,相对来讲比较复杂;
(3)业务风险通过制度、流程、审批等环节能够基本加以控制,而IT风险中的IT设施自身存在这样那样的缺陷,要控制就相对复杂;
(4)IT风险发生后波及范围大、影响大,例如目前大多数银行采取的IT系统大集中模式,一旦IT风险发生,将会影响到上百万的用户。
2 银行信息技术审计的重点
银行信息技术审计是一个采集资料数据及对其进行评估,以确定电脑系统是否能达到“保护银行资产、维护数据的完整性、有效地协助银行实现其经营管理目标、高效率地利用资源”的效果。依据这一审计理念,信息技术审计的重点应包括应用控制,以及与应用控制对应的是信息系统的一般性控制,主要是嵌入到IT流程和服务中的控制。
211 一般性控制方面
IT一般控制的基本范围是IT内部普遍存在的风险及高层次的风险,而不是具体的应用程序所涉及的风险。IT一般控制包括但不限于以下类型:
(1)授权审批:授权包括根据政策及程序执行审批操作。
(2)职责分离:将不相容岗位的职责分离,防止个别人员利用职权作出并隐瞒错误或违规的行为。
(3)管理层审阅:独立于编制人的人员对编制人进行的活动进行分析并实施监控。
(4)特殊事项报告:用于监控发现的特殊事项以及对这些事项的跟进解决措施的报告。
(5)IT绩效指标:包括定期和不定期生成、审阅和分析IT绩效指标。
(6)系统访问权限:在信息系统操作环境中,通过系统设置以决定和定义系统用户的访问权限,系统访问权限应与授权的权限相一致。
212 应用控制方面
IT应用控制存在于每一个基于应用系统的事务及数据处理中,是针对输入、处理和输出功能的控制,信息系统的应用控制审计是利用标准、规范和审计技术,对信息系统进行测试、检查和评价,检查应用系统是否存在漏洞和功能缺陷,评价信息系统的安全性、稳定性和有效性,并提出相应的改造建议。IT应用控制包括但不限于以下类型:
(1)输入控制
①输入/数据源控制:输入控制程序必须确保每一笔需要被处理的数据能够正确完整地接受、处理和记录。
②输入授权:输入授权验证所有由管理层授权和批准的事务,输入授权有助于确保只有经授权的数据才能进入计算机系统进行处理。
③批处理控制:批处理控制对输入事务进行分组以提供总计控制,批处理控制包括基于总金额、总项目数、总文件数等控制手段。
④错误报告和错误处理方法:输入处理要求系统内部控制能够验证输入数据被系统正确地接受,输入错误会被识别和纠正。
⑤数据确认和编辑检查:建立程序以保证输入数据被确认,通过在程序中设定输入格式,确保数据以正确的格式被输入到正确的区域。
(2)处理控制
处理控制保证计算数据的完整性和准确性。这类控制保证数据在文件或数据库中的完整和准确,只有授权的处理或修改程序才能对数据进行更改。
(3)输出控制
输出控制主要是保证交付给用户的数据是符合格式要求的、可交付的,并以一致和安全的方式递交给用户或不同的系统。
3 银行信息技术审计的方法
信息技术审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的企业目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。下面结合笔者开展审计项目的实践,就相关审计方法归纳如下:
(1)调查问卷法
调查问卷法是审计人员针对取证对象设计问卷,对于问卷不能解释清楚的部分在附注中用文字加以说明,要求被调查人员根据实际情况做出真实回答的取证方法。
(2)询问法
询问法是指审计人员在审计现场向取证对象了解信息系统开发、运行管理等方面情况的审计方法,访谈对象必须是执行该项控制的岗位人员。
(3)观察法
观察法是审计人员采用检查操作用户权限与被审单位内控制度、现场观察测试操作、分析系统的操作日志和分析系统业务数据等审计方法,对于正在执行的控制步骤是主要测试方法。
(4)书面文档检查法
该方法是指审计人员查阅被审计对象的信息技术政策、规章制度、项目的业务需求、设计文档、技术手册和操作手册、差错调整等相关文档的审计过程,用以了解系统业务处理流程,检查信息系统控制功能是否有效、完整。
(5)开发环境测试法
该方法是指审计人员设计一些测试案例,提交系统进行处理,以测试系统应用控制是否恰当、有效。
(6)穿行测试法
该方法主要是由审计人员通过重新执行某项控制,检查该项控制实际执行结果是否准确的方法。
(7)源代码走查法
根据抽样数据确定的疑点,通过走查相应的部分系统源代码,检查信息系统处理控制功能是否合理有效。
1 信息技术的广泛应用给银行带来的风险
银行的IT风险不仅涵盖了传统的操作风险、信誉风险,还包含了在银行的经营管理过程中,所表现出的许多与信息化相关联的其他类型风险。商业银行的内控应该以风险管理为中心,尤其离不开IT风险管理的支持。IT风险主要表现在:
(1)业务风险发生后一般可以通过业务流程、法律手段等加以弥补,而IT风险发生后往往难以弥补;
(2)IT风险的对象要考虑各类技术设施,相对来讲比较复杂;
(3)业务风险通过制度、流程、审批等环节能够基本加以控制,而IT风险中的IT设施自身存在这样那样的缺陷,要控制就相对复杂;
(4)IT风险发生后波及范围大、影响大,例如目前大多数银行采取的IT系统大集中模式,一旦IT风险发生,将会影响到上百万的用户。
2 银行信息技术审计的重点
银行信息技术审计是一个采集资料数据及对其进行评估,以确定电脑系统是否能达到“保护银行资产、维护数据的完整性、有效地协助银行实现其经营管理目标、高效率地利用资源”的效果。依据这一审计理念,信息技术审计的重点应包括应用控制,以及与应用控制对应的是信息系统的一般性控制,主要是嵌入到IT流程和服务中的控制。
211 一般性控制方面
IT一般控制的基本范围是IT内部普遍存在的风险及高层次的风险,而不是具体的应用程序所涉及的风险。IT一般控制包括但不限于以下类型:
(1)授权审批:授权包括根据政策及程序执行审批操作。
(2)职责分离:将不相容岗位的职责分离,防止个别人员利用职权作出并隐瞒错误或违规的行为。
(3)管理层审阅:独立于编制人的人员对编制人进行的活动进行分析并实施监控。
(4)特殊事项报告:用于监控发现的特殊事项以及对这些事项的跟进解决措施的报告。
(5)IT绩效指标:包括定期和不定期生成、审阅和分析IT绩效指标。
(6)系统访问权限:在信息系统操作环境中,通过系统设置以决定和定义系统用户的访问权限,系统访问权限应与授权的权限相一致。
212 应用控制方面
IT应用控制存在于每一个基于应用系统的事务及数据处理中,是针对输入、处理和输出功能的控制,信息系统的应用控制审计是利用标准、规范和审计技术,对信息系统进行测试、检查和评价,检查应用系统是否存在漏洞和功能缺陷,评价信息系统的安全性、稳定性和有效性,并提出相应的改造建议。IT应用控制包括但不限于以下类型:
(1)输入控制
①输入/数据源控制:输入控制程序必须确保每一笔需要被处理的数据能够正确完整地接受、处理和记录。
②输入授权:输入授权验证所有由管理层授权和批准的事务,输入授权有助于确保只有经授权的数据才能进入计算机系统进行处理。
③批处理控制:批处理控制对输入事务进行分组以提供总计控制,批处理控制包括基于总金额、总项目数、总文件数等控制手段。
④错误报告和错误处理方法:输入处理要求系统内部控制能够验证输入数据被系统正确地接受,输入错误会被识别和纠正。
⑤数据确认和编辑检查:建立程序以保证输入数据被确认,通过在程序中设定输入格式,确保数据以正确的格式被输入到正确的区域。
(2)处理控制
处理控制保证计算数据的完整性和准确性。这类控制保证数据在文件或数据库中的完整和准确,只有授权的处理或修改程序才能对数据进行更改。
(3)输出控制
输出控制主要是保证交付给用户的数据是符合格式要求的、可交付的,并以一致和安全的方式递交给用户或不同的系统。
3 银行信息技术审计的方法
信息技术审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的企业目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。下面结合笔者开展审计项目的实践,就相关审计方法归纳如下:
(1)调查问卷法
调查问卷法是审计人员针对取证对象设计问卷,对于问卷不能解释清楚的部分在附注中用文字加以说明,要求被调查人员根据实际情况做出真实回答的取证方法。
(2)询问法
询问法是指审计人员在审计现场向取证对象了解信息系统开发、运行管理等方面情况的审计方法,访谈对象必须是执行该项控制的岗位人员。
(3)观察法
观察法是审计人员采用检查操作用户权限与被审单位内控制度、现场观察测试操作、分析系统的操作日志和分析系统业务数据等审计方法,对于正在执行的控制步骤是主要测试方法。
(4)书面文档检查法
该方法是指审计人员查阅被审计对象的信息技术政策、规章制度、项目的业务需求、设计文档、技术手册和操作手册、差错调整等相关文档的审计过程,用以了解系统业务处理流程,检查信息系统控制功能是否有效、完整。
(5)开发环境测试法
该方法是指审计人员设计一些测试案例,提交系统进行处理,以测试系统应用控制是否恰当、有效。
(6)穿行测试法
该方法主要是由审计人员通过重新执行某项控制,检查该项控制实际执行结果是否准确的方法。
(7)源代码走查法
根据抽样数据确定的疑点,通过走查相应的部分系统源代码,检查信息系统处理控制功能是否合理有效。