商業銀行信息系統審計問題研究

曹金明

(中國郵政儲蓄銀行審計局天津分局 天津 300000)

近幾年以來，商業銀行的信息化進程速度明顯加快，隨著科學技術的進步，社會化大生產的發展，計算機應用的逐漸普及，信息系統對商業銀行越來越重要。然而，信息技術也是一把雙刃劍，既給商業銀行帶來了運營效率的提升，同時也帶來了一些負面影響，對于商業銀行而言，信息系統不安全有著巨大的風險，可能會造成客戶流失、名譽受損等問題，更嚴重的話可能會面臨法律的訴訟。所以盡早針對商業銀行IT審計進行風險評估，及時找到解決方法，合理保證商業銀行信息系統安全有效的運行已然成為重中之重。

一、商業銀行IT審計的基本概念和主要內容

(一)商業銀行IT審計的基本概念

IT審計，也稱信息系統審計，簡而言之是指對計算機為核心的信息系統的審計，到目前為止，對于IT審計沒有一個統一的定義。國際信息系統審計與控制協會定義為“信息系統審計是一個獲取并評價證據，以判斷計算機系統是否能夠保證資產的安全、數據的完整以及有效利用組織的資源并有效果的實現組織目標的過程”。鄧少靈在《企業IT審計的框架》中定義：“IT審計是指對信息系統從計劃、研發、實施到運行維護各個過程進行審查與評價的活動，以審查企業信息系統是否安全、可靠、有效，保證信息系統得出準確可靠的數據”。但是無論哪一種定義，IT審計都涉及整個信息系統的生命周期，不止是技術問題更是管理問題。IT審計的對象是被審計單位的信息系統，IT審計主體是信息系統獨立組織機構或人員。

(二)商業銀行IT審計主要內容

商業銀行IT審計主要包括對硬件與環境、應用軟件、IT管理與服務、信息安全、商業連續性、信息完整性、IT策劃與項目管理等方面的審計，以下是對這幾方面的簡要說明：

1.硬件與環境：包括商業銀行的機器設備使用控制、硬件網絡設施、網絡環境和機房環境管理等；

2.應用軟件：包括對業務系統的相關流程以及對系統的開發生命周期進行審計；

3.IT管理與服務：審計商業銀行IT管理與服務的制度和方法的有效性；

4.信息安全：審計商業銀行信息安全措施的有效性和完整性；

5.商業連續性：為保證商業銀行業務持續運營，重點審計銀行在完整性與合規性方面做的如何，比如在存儲、備份、容錯、災難恢復等方面；

6.信息完整性：審計商業銀行在信息的完整性、可靠性、有效性上的控制；

7.IT策劃與項目管理：審計IT整體的系統的策劃以及項目管理。

二、商業銀行IT審計現狀

電子數據處理系統是現代審計的最新發展，比傳統的手工處理相比更大程度的提高了經濟和管理的效率、效果和收益，保證了計劃、統計、會計和管理信息的正確性、真實性、科學性，促進了生產和經營管理的發展。目前,國內各大金融機構領導層高度重視銀行業的審計,例如上海浦東發展銀行在實際工作中運用COBIT作為開展具體審計業務的流程參考,從而使審計人員對信息系統的風險狀況可以進行更加客觀和全面的掌控。銀監會2009年發布的《銀行業金融機構信息系統風險管理指引》提出要求各大銀行不只是單純的目標管理，更要對風險的過程進行重點管理，進行風險控制在高層的決策上，對信息系統開發生命周期進行審計,為我國銀行業持續高效運行提供了合理保證。

目前很多金融機構都開始注重通過實施IT審計有效的實現企業治理的目標，商業銀行審計也是如此。由于最近幾年商業銀行對信息技術的依賴程度越來越高,數據大集中也不同程度、不同范圍的在商業銀行中實現，提高了商業銀行整體的核心競爭力，但是也產生了許多風險，在管理或者控制上的有任何一點點的不妥都會導致整個信息系統癱瘓，帶來很嚴重的損失。目前商業銀行風險管理的重點就是把信息系統的風險調節在可控范圍之內。由此可見對商業銀行進行IT審計具有現實意義。

三、商業銀行IT審計面臨挑戰

電子計算機在企業管理中的應用日益廣泛，而在我國企業管理中的電子計算機有近70%是用于會計信息處理，銀行業是最早利用電子計算機的行業之一。隨著商業銀行經營環境的變化和計算機信息技術的發展，商業銀行通過信息管理電子化、網絡化、數據大集中等方式，已經逐步形成了較為科學完整的信息管理系統。現在，我國商業銀行幾乎所有的業務都通過計算機信息系統來完成。電子信息系統相比手工傳統方式有許多不同的特點，這些特點對以審查會計資料為主要內容的審計活動產生了極大的影響，歸納起來主要有幾下幾個方面：

(一)傳統審計線索的消失

在原有的財務、業務檔案體系中，審計人員發現的審計線索每一步都會有相應的文字記錄和相關人員的簽字，審計人員可根據具體情況采用審閱、核對、分析、比較、調查和證實等審計方法進行工作，并主要由人工進行順查、逆查或者抽查活動。但在信息系統中，從經濟業務數據進入計算機后到各類財務、業務報表輸出，各項處理基本都由計算機按事先設定的程序自動執行，代替記賬憑證、賬簿、報表、業務數據出現的是存有會計信息的磁性數據文件，不能被審計人員直接讀出，并且有些文件還是暫時性的，如果審計時間安排不合理，很有可能在審計人員實施IT審計時這些文件已經消失了，這直接導致無法獲取原始審計資料。雖然商業銀行為了方便管理，還是會保留一部分的審計線索，但是這些審計線索的數量有限，而且無論是在內容還是形式上都與在手工系統情況下大不相同。有時，IT審計人員為了測試的需要，必須通過商業銀行提供所需的資料，這樣雖然可以增加審計線索，便于審計工作的開展，但是會讓商業銀行事先知道IT審計人員抽查的領域，容易發生舞弊。

(二)計算機信息系統的數據安全受到嚴重威脅

以前，審計人員都是手工進行信息處理，現在，隨著小型機和微型機的迅速發展，在商業銀行得到了廣泛的應用，但也隨之帶來了新的問題：計算機數據文件和程序容易被擅自更改；在磁盤或磁帶中存儲的資料容易被銷毀；保密資料可能被輕易地泄露；業務過程可能因計算機硬件、數據文件或程序方面的問題而被迫中斷。這些都是以前手工處理賬目沒有遇到過的問題，但是這也是IT審計的一個關鍵點，所以無論是在操作系統的運作還是制度的建立等多個方面，商業銀行的IT審計工作實施都面臨著巨大的挑戰。

(三)IT審計專業人才匱乏

現代信息系統的環境比以前傳統手工系統環境更加復雜，所以對審計人員的要求也應隨之增加，不止要對自己的專業知識非常了解還應掌握一定的信息技術，只有把業務知識、審計知識、信息技術都結合起來，才能更好的對商業銀行進行IT審計。由于商業銀行的實質是經營風險的金融機構，所以風險管理在商業銀行經營中具有很重要的地位，因此在對商業銀行進行審計時還要對風險管理進行了解，這對IT審計人員也提出了新的挑戰。所以必須加大對IT審計專業人才培養的力度，目前在我國取得IT審計師職稱的人少之又少，距離達到IT審計目的還有較長的過程。

四、商業銀行IT審計改進措施

(一)審計線索的重建

審計線索對審計工作來說是極為重要的。由于信息系統的應用，傳統審計線索已經完全被電子信息所取代，傳統的查賬、翻閱紙質檔案的方法對信息系統已經完全不適用了。為了能有效地對商業銀行進行IT審計，使系統在處理時能留下新的審計線索，在系統設計開發的時候就要考慮這些審計需求。例如:在處理每一筆經濟業務時，要留下詳細的記錄，而不是只顯示余額。有些系統中的文件，在短暫存儲的一段時間后就會被刪除，操作員應及時拷貝備份或者提供數據接口共享給內部審計系統，以便在審計需要這些數據或者文件時可以滿足需求。

(二)確保信息系統的信息安全

驗證信息系統中有關安全、保密措施是否健全是系統程序設計中不可缺少的一種安全措施，在程序設計時，對數據文件的加密，防止無關人員進行篡改、舞弊行為。對信息系統的數據結構，要有可改動數據區和不可改動數據區之分，即數據的原始憑證一旦驗證輸入后，就不能有任何可以隨意改動的條件，這樣才可以保證數據文件的安全和可靠。另外，對信息系統程序應該設有口令或者保密字，只供專人知道使用，防止無關人員打開系統程序和操作機器。IT審計工作人員要時常審查企業的信息系統，為了預防黑客攻擊計算機系統要建立防火墻，檢查計算機是否有病毒，是否配置了可以自動檢測關鍵數據庫的軟件以及業務系統是否嚴禁使用游戲軟件，便于及時發現異常，還要審查計算機是否按照國家的法律法規安全有效的運行。

(三)建立一支完備的IT審計專業人才隊伍

IT審計要求審計人員具有復合型的知識結構的專業人才，不止要有豐富的財務會計、審計等專業知識，必須還要掌握計算機知識和應用技能。為了滿足這個要求，商業銀行可以采取下列措施：一是為了使審計人員更好的完成IT審計工作，需要對審計人員進行組織培訓，讓他們系統的學習計算機知識以及IT審計技術方法。二是聘請專業的計算機技術人員，對他們進行會計和審計基礎知識的培訓，使他們能符合IT審計的要求。三是IT審計小組由專業的審計人員和計算機技術人員共同組成，發揮各自的專長，取長補短地協作完成IT審計的工作。當然，他們之間的交流往往也會有一些困難，這也是一個需要長期磨合的過程。四是為了加快培養我國自己合格的IT審計人才的步伐，在高校內增設IT審計學科，重視這門學科的人才培養，努力建立一支完備的IT審計專業人才隊伍。