從商業銀行信息科技風險角度研析其審計模式

王明方

摘要：在當前的銀行操作過程中普遍存在信息科技風險，這樣就會影響商業銀行的長遠發展，銀行的內部審計部門是防范商業銀行信息科技風險的主要部門，可以通過分析信息科技風險種類提出相應的審計方式，從而推動我國商業銀行信息科技審計工作的長遠發展。

關鍵詞：商業銀行；信息科技風險；審計

一、分析信息科技風險種類

按照風險種類來看，信息科技風險主要分為以下幾種：第一種是信息科技業務中斷風險，這種風險容易導致軟硬件運行問題、系統超負荷運行、主干網絡斷開、病毒或人為非法操作造成系統不穩定等因素，極易造成銀行業務的中斷。二是數據安全風險，包括因物理環境、硬件設施配備不到位導致數據無法備份、無法恢復，造成系統業務連續性保障能力不足；因在內控管理中未嚴格實行“最小授權原則”，導致核心數據被非法竊取篡改，或高權限操作復核機制不健全，導致數據不可用。三是系統漏洞風險，應用系統設計之初對業務需求提得不充分、對風險控制考慮不全面，在測試階段又未及時發現安全漏洞，那么在系統上線運行后將會導致系統缺陷被非法利用，造成主干網絡中斷，產生不可彌補的風險。四是外包集中風險，形成對外部公司的過度依賴，潛在外包公司變更、核心機密外泄、應急不充分、維保時效性不強等長期風險。

二、信息科技風險的主要體現

信息科技業務風險主要體現在以下幾個方面：運行維護、相關設備的配置以及機房的環境等；數據安全的風險主要體現在系統備份、生產數據脫敏、系統變更等方面；系統漏洞的風險主要體現在系統開發、測試、后評價等方面；外包集中的風險主要表現在外包人員授權管理等方面。從商業銀行全行角度來看，運維能力不足以應對全局性的系統性風險排在第一位。表現形式集中在運行維護、系統監控預警及應急響應處理、需求測試不嚴格導致的系統缺陷、信息安全等方面。常見的問題集中于系統災備機制不健全、應急機制不完善、基礎設施物理環境建設薄弱、風險預警監測體系筮待完善、系統開發管理過程控制不足、過度依賴外包、信息系統安全防范措施執行不到位等問題。

三、提升銀行信息科技審計水平的方法

通過相關調查研究不難看出，傳統的商業銀行業務審計方式與現有的信息系統審計方式之間存在很多關聯，如在審核、觀察、抽樣、訪談、函證、現場查驗，其在檢查規范性、標準性、合規性等方面適用上述方法；在檢查機房環境建設、網絡設備及服務器部署時主要采用觀察法和詢問法，利用機房建設規范、網絡拓撲圖、出入機房記錄等進行實地觀察，并通過詢問管理人員了解實際情況與記錄的一致性等；在檢查備份機制方面時，主要采用抽樣、審核、查驗等方法進行檢查，首先通過審核運維手冊確定重要生產系統有無制定備份策略，備份策略是否涵蓋備份的具體時間、保存期限、備份方式、備份介質、備份臺賬記錄等，審核是否根據備份策略完善相應的備份操作流程，其次通過抽樣確定檢查的重要生產系統，查驗備份記錄，檢查定期備份操作時間、備份內容、備份介質保管是否符合要求，最后通過查閱備份數據恢復測試相關文檔，檢查備份有無定期進行恢復測試，以及恢復頻率、流程與制度要求的一致性。

由于商業銀行信息科技風險不易于發現，加之信息科技審計模式與傳統銀行業務審計模式之間的差異，如在檢查信息系統全周期管理時，主要采用風險評估、符合性測試及穿行測試：風險評估用于系統抽樣，根據系統暴露出的缺陷或風險事件對信息系統清單進行抽樣，符合性測試檢查某個環節的控制是否存在，穿行測試根據抽樣檢查流程控制是否有效；在檢查系統變更或數據庫操作時，因系統操作專業性很強，為避免對生產系統產生影響，主要采用由審計人員提出指令、系統管理人員操作、審計人員觀察的方式進行現場測試；在檢查生產系統登錄流程的控制時，可采用實際測試和走查相結合的方式進行，即在現場操作過程中，一經發現問題即停止檢查。

要想更好的落實商業銀行信息科技工作，不斷提升信息科技風險的管理水平，我們應該以風險為中心開展信息科技審計工作，具體如下所示。

第一，結合實際需求制定相應的信息科技審計制度。我們應該正視信息科技審計與其他審計工作之間的差異，設置信息科技審計相應的職能機構、配備專職人員，是推動信息科技審計走向更高水平的前提和保障。此外，審計制度規定的出臺，往往可以既規范審計人員行為、確保審計質量，同時也可以在全行范圍內引起對此項工作的更多重視，減少工作阻力。

第二，結合實際需求提升審計工作水平。在信息科技審計工作的落實過程中，我們應該結合實際需求制定相應的審計方案：以審計計算機業務應用系統的操作、運維情況為突破口，不斷探索信息科技審計方法和內容，逐步擴大審計范圍，通過審計實踐，培養人才，鍛煉隊伍。在審計過程中，商業銀行可通過“以查代訓”方式，鍛煉、培養審計隊伍。

第三，不斷加強審計人員的培訓力度。信息科技審計工作人員通過培訓能夠有效提升其綜合素質，掌握更多更扎實的審計技巧，可分批分次選派審計人員參加理論、實務、案例相結合的審計培訓，使其盡快了解信息科技審計國內外發展趨勢、后SOX法案時代內部控制與信息科技審計、數據庫審計、Windows審計、Unix審計、數據中心審計、審計管理系統等相關內容，拓展其審計視野，強化信息科技審計中理論與實踐的結合，全面提升信息科技審計人員的綜合素質。

第四，通過對比分析找出更符合實踐要求的審計模式。要想不斷提升商業銀行信息科技審計水平，我們可嘗試性開展對國際通用的IT審計標準“信息與相關技術控制目標”（CO-BIT）的研究與分析。此項研究工作，對形成信息科技審計評價與判斷標準，完善審計操作規程，提高信息科技審計技術水平有重要意義。

參考文獻：

[1].以風險為導向以內控為主線全面開展中小商業銀行信息科技審計[J].中國內部審計，2017（07）：40-43.