銀行業信息系統風險控制及其審計方法

張云志　張　震

隨著銀行業信息化建設的快速發展，信息系統不僅為各項業務的運營提供后臺支持保障，而且隨著新產品、新業務和新流程的不斷推出，信息系統日益成為業務發展的直接驅動力和核心競爭力，因此信息系統在業務應用中的風險范圍和程度也急劇加大，大量數據存儲于計算機中，與手工相比，它會受到更多的威脅。因此，有效控制信息系統在業務應用中的風險成為擺在我們面前的一大課題。

1信息技術的廣泛應用給銀行帶來的風險

銀行的IT風險不僅涵蓋了傳統的操作風險、信譽風險，還包含了在銀行的經營管理過程中，所表現出的許多與信息化相關聯的其他類型風險。商業銀行的內控應該以風險管理為中心，尤其離不開IT風險管理的支持。IT風險主要表現在：

(1)業務風險發生后一般可以通過業務流程、法律手段等加以彌補，而IT風險發生后往往難以彌補；

(2)IT風險的對象要考慮各類技術設施，相對來講比較復雜；

(3)業務風險通過制度、流程、審批等環節能夠基本加以控制，而IT風險中的IT設施自身存在這樣那樣的缺陷，要控制就相對復雜；

(4)IT風險發生后波及范圍大、影響大，例如目前大多數銀行采取的IT系統大集中模式，一旦IT風險發生，將會影響到上百萬的用戶。

2銀行信息技術審計的重點

銀行信息技術審計是一個采集資料數據及對其進行評估，以確定電腦系統是否能達到“保護銀行資產、維護數據的完整性、有效地協助銀行實現其經營管理目標、高效率地利用資源”的效果。依據這一審計理念，信息技術審計的重點應包括應用控制，以及與應用控制對應的是信息系統的一般性控制，主要是嵌入到IT流程和服務中的控制。

2１1一般性控制方面

IT一般控制的基本范圍是IT內部普遍存在的風險及高層次的風險，而不是具體的應用程序所涉及的風險。IT一般控制包括但不限于以下類型：

(1)授權審批：授權包括根據政策及程序執行審批操作。

(2)職責分離：將不相容崗位的職責分離，防止個別人員利用職權作出并隱瞞錯誤或違規的行為。

(3)管理層審閱：獨立于編制人的人員對編制人進行的活動進行分析并實施監控。

(4)特殊事項報告：用于監控發現的特殊事項以及對這些事項的跟進解決措施的報告。

(5)IT績效指標：包括定期和不定期生成、審閱和分析IT績效指標。

(6)系統訪問權限：在信息系統操作環境中，通過系統設置以決定和定義系統用戶的訪問權限，系統訪問權限應與授權的權限相一致。

2１2應用控制方面

IT應用控制存在于每一個基于應用系統的事務及數據處理中，是針對輸入、處理和輸出功能的控制，信息系統的應用控制審計是利用標準、規范和審計技術，對信息系統進行測試、檢查和評價，檢查應用系統是否存在漏洞和功能缺陷，評價信息系統的安全性、穩定性和有效性，并提出相應的改造建議。IT應用控制包括但不限于以下類型：

(1)輸入控制

①輸入／數據源控制：輸入控制程序必須確保每一筆需要被處理的數據能夠正確完整地接受、處理和記錄。

②輸入授權：輸入授權驗證所有由管理層授權和批準的事務，輸入授權有助于確保只有經授權的數據才能進入計算機系統進行處理。

③批處理控制：批處理控制對輸入事務進行分組以提供總計控制，批處理控制包括基于總金額、總項目數、總文件數等控制手段。

④錯誤報告和錯誤處理方法：輸入處理要求系統內部控制能夠驗證輸入數據被系統正確地接受，輸入錯誤會被識別和糾正。

⑤數據確認和編輯檢查：建立程序以保證輸入數據被確認，通過在程序中設定輸入格式，確保數據以正確的格式被輸入到正確的區域。

(2)處理控制

處理控制保證計算數據的完整性和準確性。這類控制保證數據在文件或數據庫中的完整和準確，只有授權的處理或修改程序才能對數據進行更改。

(3)輸出控制

輸出控制主要是保證交付給用戶的數據是符合格式要求的、可交付的，并以一致和安全的方式遞交給用戶或不同的系統。

3銀行信息技術審計的方法

信息技術審計是一個通過收集和評價審計證據，對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的企業目標得以有效地實現、使組織的資源得到高效地使用等方面做出判斷的過程。下面結合筆者開展審計項目的實踐，就相關審計方法歸納如下：

(1)調查問卷法

調查問卷法是審計人員針對取證對象設計問卷，對于問卷不能解釋清楚的部分在附注中用文字加以說明，要求被調查人員根據實際情況做出真實回答的取證方法。

(2)詢問法

詢問法是指審計人員在審計現場向取證對象了解信息系統開發、運行管理等方面情況的審計方法，訪談對象必須是執行該項控制的崗位人員。

(3)觀察法

觀察法是審計人員采用檢查操作用戶權限與被審單位內控制度、現場觀察測試操作、分析系統的操作日志和分析系統業務數據等審計方法，對于正在執行的控制步驟是主要測試方法。

(4)書面文檔檢查法

該方法是指審計人員查閱被審計對象的信息技術政策、規章制度、項目的業務需求、設計文檔、技術手冊和操作手冊、差錯調整等相關文檔的審計過程，用以了解系統業務處理流程，檢查信息系統控制功能是否有效、完整。

(5)開發環境測試法

該方法是指審計人員設計一些測試案例，提交系統進行處理，以測試系統應用控制是否恰當、有效。

(6)穿行測試法

該方法主要是由審計人員通過重新執行某項控制，檢查該項控制實際執行結果是否準確的方法。

(7)源代碼走查法

根據抽樣數據確定的疑點，通過走查相應的部分系統源代碼，檢查信息系統處理控制功能是否合理有效。