商业银行IT审计
商业银行IT审计势在必行
前 .随苻商业银 行信息化 建设的进
・ 步完
维 护 等 符 个
进i nf价 .确 仪 I 相 关 的 风 T
善 , 业 银行 对 【 统 的 依 赖 性 越 米 越 强 , l 商 T系 Jr’
义 为 : 收 集 井 评 估 证 骷 以便 判 断 一 1 计 算 机 的 乐 、
缆 l 否 有 效 做 到保 护 资 产 、 护 数 据 完 档 . 成 址 维 完 织 E 标 最 经 济 地 使 用 资 源 德 勤 华 水 会 计 帅 箭 l 所 有 限公 吲合 伙 人 P tr t ec K l o将 l T市 汁描 述 为 : 审 计 人 员 接 受 委托 ,收 集 , 1 估 “ 据 以 削 断 汁 荫 帆 E
州川 l 所 或 々 、 术 服 静提 供 商 完 成 的 外 部 审 舞 J 技
外 审 讣 洒 常 为 }市 、 蚴 年 终 检 雀 或 按 井 If 浊 规 的 篮求 Ⅲ址 I关 = 『 =
商 、 议 仃 } 邪{ } J 有 檄 划 、管 理 干 跟 踪 高 速 变 ¨ 化 的 f 技 水 . ’ 够 挺 息 能 u 支持 新 的 J 仙 金 融 ・
计 则 应 该 关 注 管 理 层 如 何 确 定 机 构 的 I 风 险 暴 T
系 统 是 番 有 效 做 刮 保 护 资 产 、维 护 数据 完 监 并 啦
有效 率 地 完 成 组 织 日标 帕 活 动 过 程 ・ 般 !. l i r ’
H 疔 化 迅 谜 . r’ 赖r l . 得 I'}讣 成 为 陵. 刈 l依 l 凡 使 很 ’r I r f 效 总 体 巾 汁 制 度 的 最 要 圭【 部 分 .市 汁制 度 成 | 【成 _
论商业银行的IT审计
论商业银行的IT审计作者:朱华娜李梦来源:《现代经济信息》2013年第24期摘要:目前,主要金融IT审计模式是对商业银行静态数据进行分析和测试,是一种数据式审计。
从审计实践来看,这种审计方式由于缺乏对系统的控制而不能保障电子数据的唯一性、完整性和准确性,无法从根本上有效控制被审计单位的电子数据质量;从发展趋势来看,数据式审计方式由于过分关注数据本身而缺乏对系统整体的分析,难以控制总体审计风险,其局限性正逐渐显露出来。
本文将以此为出发点,浅论尽快开展商业银行信息系统IT审计的必要性。
关键词:商业银行;IT审计;数据;必要性;方法;展望中图分类号:F239 文献标识码:A 文章编号:1001-828X(2013)12-0-01一、商业银行进行信息系统审计的意义(一)商业银行日益依赖信息系统。
商业银行信息系统一般可分为信息管理类系统、渠道类系统和外部清算结算类系统。
1.信息管理类系统与决策、管理和业务相关,以提高效率和规避风险为目的,主要有贷款系统、征信系统、客户管理系统、资产负债管理系统、办公自动化系统、档案系统(票据影像缩微系统和光学字符识别OCR)、数字终端录像系统、数字视频监控系统等。
2.渠道类系统是商业银行面向市场和客户的窗口,也是对外服务使用的载体,包括人工渠道、电子渠道和第三方渠道。
人工渠道有柜面服务和职能部门的业务终端(例如会计账查询系统等);电子渠道分为自助服务系统(电话银行、手机银行和网上银行)和自助服务终端(ATM和P0S);第三方渠道包括银联交易、区域性通存通兑和同城跨行通存通兑等。
外部清算类系统是指有外部接口的系统,包括行间资金转账系统SHFT,主要有大额清算系统、同城交换系统、同业往来清算系统和第三方存管清算系统。
(二)大数据时代将到来。
随着信息系统的大力发展,商业银行信息系统出现了爆发式的增长,银行业务越来越依赖信息系统,商业银行的竟争很大一部分是靠信息战。
目前,各大银行都实现了数据的总行大集中,信息数据己经成为银行的核心竟争力之一,大数据时代即将到来。
商业银行计算机辅助审计精讲课件
1
主要内容
1.计算机辅助审计概论 2.计算机辅助审计的必要性 3.计算机辅助审计的优点 4.计算机辅助审计的成功要素 5.计算机辅助审计程序 6.计算机辅助审计案例
2
计算机辅助审计概论
一、计算机审计(IS AUDIT): ➢ 对信息系统的审计 ➢ 信息系统是审计对象 ➢ 审计内容包括系统开发、运行、应急管理等
15
持续审计在商业银行中的应用
利用计算机数据,为每类业务或产品制定关键风险指 标(Key Risk Indicator - KRI)
进行实质性测试及验证,以发现存在的问题及高风险 分行/支行
根据 KRI 数据,对高风险分行/支行进行实地检查, 以确保审计覆盖范围的足够性
16
关键风险指标
17
随着信息技术的广泛应用,审计对象的信息化使得传统 的纸质踪迹和审计数据或者消失或者存储在新的电子环境 中,传统的审计方法面临很大的挑战,手工审计变得很低 效,甚至无效。
审计人员为了适应现今信息时代的需要,必须使用计 算机辅助审计技术来完成审计任务。
5
计算机辅助审计的优点
6
计算机辅助审计的成功要素
8
信息和数据的概念
如:今年高考理科录取分数线为580分 王同学的高考成绩为591分 “王同学今年有可能被某一大学录取”这一信息。
9
数据库的概念
在日常工作中,需要处理的数据往往非常大,为便于计算 机对其进行处理,将采集的数据存放在建立于磁盘、光盘等外 存媒介的“仓库”中,这个“仓库”就是数据库(简称DB)。
二、计算机辅助审计技术(CAATs):为了满足信息化环境下审计的需 要,基于计算机的用来对信息系统、或被信息系统处理的数据进行 审计的技术。
COBIT与商业银行的IT审计
COBIT与商业银行的IT审计来源:CIO时代网伴随着我国商业银行信息化建设的不断深入和飞速发展,信息已经成为商业银行可持续发展的重要基础性资源。
信息技术已不再是单纯的业务实现手段和支持方式,而逐渐成为商业银行战略规划、投资决策所必须考虑的重要因素之一。
信息技术在为商业银行提供了大量便利的同时,也带来了巨大的操作、法律和信誉风险。
因此,如何管理好信息与信息资源,如何充分利用信息技术保证银行在竞争日趋激烈的金融市场中占据优势,是摆在银行高级管理人员面前的一个课题。
商业银行的IT审计是加强商业银行内部控制的有力手段,它不仅能有效促进商业银行核心业务系统的安全平稳运行,而且通过对IT战略目标与商业银行总体发展目标的一致性评估,可以最大限度地规避战略风险、投资风险和运行风险,保证商业银行的可持续发展。
一、IT审计的内涵目前,国内外商业银行的数据集中已成为必然的发展趋势。
数据的集中给商业银行的决策层提供了及时、准确、全面的信息资源和有效的基础平台,实现了银行业务数据与营业机构的分离,为银行的管理集中和科学运营奠定了坚实的基础。
同时,数据的集中也带来了IT决策风险、信息系统建设投资风险、信息系统运行维护风险的相对集中。
如何有效地规避上述风险,并对其内控措施的有效性进行评估,是商业银行每位高级管理人员都非常关心的问题。
商业银行IT审计不仅能够满足上述需要,而且还能对信息科技队伍的建设情况、运行效率等诸多内容做出相应的评价,以确保信息发展与银行发展战略目标的一致性。
商业银行IT审计的范围覆盖了全行所有系统的应用领域,以及信息系统整个生命周期中的所有活动和所有资源。
与信息系统的建设不同,IT审计更关注风险的规避、管理和控制。
其主要内容包括银行IT战略规划审计、银行信息系统需求获取和开发过程审计、系统交付后技术支持和运行维护审计、对整个系统生命周期中相关管理活动的审计、对相关过程中文档管理的审计、对相关人员的审计、对外部委托业务的审计、对灾难恢复和业务持续性计划的审计等内容。
关于商业银行IT审计问题的研究_中国工商银行内部审计局课题组
时, 它只是传统财务审计业务的一种辅助工具, 对客户 的电子化会计数据进行处理和分析, 为财务报表审计师 的审计结论提供支持服务。在制度基础审计模式下, 计 算 机 审 计 的 业 务 内 容 已 经 扩 展 到 了 符 合 性 测 试 领 域 。随 着计算机技术应用范围的不断扩展, 计算机对被审计单 位各个业务环节的影响越来越大, 计算机审计所关注的 内容也从单纯的对电子数据的处理, 延伸到对计算机系 统的可靠性、安全性进行检查和评估。风险基础审计 模 式的采用以及信息技术在被审计单位各个领域的广泛 应 用 , 信 息 系 统 的 安 全 性 、可 靠 性 与 其 所 服 务 的 组 织 所 面临的各种风险的联系越来越紧密, 并且直接或间接地 影响到财务报表的真实、公允。在这种情况下, 对被审计 单位风险的评估必须将计算机信息系统纳入到考虑范 围之中, 真正的 IT 审计概念也随之出现。从 IT 审计的发 展进程来看, 可以将其分为 IT 审计的萌芽、发展 、成熟、 普及四个阶段。
4. IT 审计的普及阶段。到了 20 世纪 90 年代, 计算 机技术飞速发展, 信息系统越来越复杂化、大型化、多 样 化及网络化。INTERNET 使信息系统的作用得到充分发 挥, 其作为电子商务、金融证券的支撑平台, 为 人们提供 极大方便的同时, 也变成了计算机犯罪的场所。同时, 信 息系统的安全也逐渐成为事关国家安全和主权的重要 问题。因此, 如何确保网络环境下信息系统安全、可靠和 有效变得越来越重要。国际上惟一的 IT 审计与 控制 协 会 ISACA 在 1996 年 制 定 了 信 息 系 统 的 审 计 标 准— —— COBIT, 用来指导 IT 审计人员的工作; 同时, 它还推出了 IT 审 计 师 ( CISA) 的 资 格 考 试 等 一 系 列 措 施 , 从 而 确 保 IT 审 计 从 业 人 员 的 素 质 , 为 信 息 系 统 审 计 的 普 及 、规 范 和发展奠定了坚实的基础。
试析制约商业银行计算机审计发展的瓶颈与解决思路
试析制约商业银行计算机审计发展的瓶颈与解决思路自上世纪九十年代开始实施商业银行计算机审计,至今已十年有余。
从实践情况看,计算机审计在提高工作效率、发现大案要案线索、节约人力等方面都卓有成效,但这些与最初设想的计算机审计目标还有较大的距离,尚未实现计算机审计的模式化、程序化、系统化。
主要表现在审计过程中,数据导入、结构分析、计算机模块编写依旧繁琐复杂,且需要大量时间。
这已成为制约商业银行计算机审计发展的突出瓶颈,本文试就造成这一局面的根源作以剖析,并结合计算机审计实践提出解决思路。
一、商业银行计算机审计发展瓶颈所在后台数据库的不统一造成数据导入工作的繁重。
目前,各商业银行计算机系统主要采用DB2、Oracal和SQL Server作为后台数据库,而审计署计算机培训的主要是SQL Server数据库,且OA及通审这两种主要审计软件更多支持SQL Server数据库。
因此,在计算机审计过程中,审计人员通常要将DB2和Oracal数据库中的数据导入到SQL Server数据库中,才能利用审计软件进行分析和检索。
这就需要先从银行数据库中导出文本格式的原始数据和建表脚本,再将这些建表脚本在SQL Server 数据库中运行,尔后才能将这些文本格式的原始数据导入。
在不同的数据库中,由于同一数据类型的名称各不相同,往往需要审计人员对导出的建表脚本一一进行修改。
更为繁琐的是,由于数据库之间固有差异,在数据导入过程中,还经常遇到诸如少列分隔符、数据格式不正确之类的问题。
以上问题使得这看似简单的一进一出,操作起来却需要耗费大量的时间和精力,导致审计人员难以有充足的时间和精力去研究计算机审计更深层次的问题。
数据结构的不一致导致结构分析工作的繁琐。
为了保证各自商业数据的安全,商业银行均在严格保密的前提下设计自己的数据结构。
这些数据结构各不相同,并且,随着银行自身计算机系统的更新升级,数据结构也在产生巨大的变化。
因此,在对每个商业银行实施计算机审计时,都需要重新分析该行数据结构,寻找系统中主要的表和字段等。
商业银行IT审计内部培训课件
I目T审录计规划
1 IT审计概述 1.1 导言 1.2 IT审计概念 1.3 IT审计方法
2 以风险控制为导向的IT审计 2.1 风险分析 2.2 风险管理
3. IT审计与合规 3.1 法律法规 3.2 合规审计
4. IT审计规范与流程
2
1.1 导 言
事实
作为当前信息安全业界一个逐渐得到公认的事实:在安全事件造成的损失 中,有75%以上来自内部,其中包括内部人员的越权访问、滥用、以及误操作 等。一个针对大型运营商高级IT经理进行的调查问卷显示,66%的经理认为内 部滥用和误用、经营数据泄漏,以及病毒是最严重的安全威胁,作为对比,认 为黑客入侵是最严重威胁的只有13%。
21
2.1 风险分析
一个现场演示风险产生的实例---帐号和口令获取
攻击者
用户账号
成功获取
22
2.1 风险分析
威胁代理
Threat agent
直接影响 Give Rise To
威胁 Threat
分析实例: ① 风险的产生原因 ② 风险产生的过程 ③ 解决问题的办法
直接影响Directly Effects
5
1.1 导 言
为什么需要需要审计
• 符合政府和行业的法规要求
• 通过实时或者非实时的IT审
计,为系统管理员提供有效 的系统健康度测量依据
合规性
• 妥善保存的日志为司法公
正提供有效证据
法律取证
• 对IT系统进行审计和复核
有助于发现或防止IT风险 的发生
测量IT系统健康度
WHY
风险控制
6
1.2 IT审计概念
SOX法案共分11章 第1至第6章主要涉及对会计职业及公司行为的监管,
商业银行 IT 审计体系构建的研究
商业银行 IT 审计体系构建的研究商业银行在现代金融系统中扮演着极其重要的角色,在中国也是如此。
银行 it 建设已经成为银行在市场竞争中的一项关键资源,因此对银行 it 的风险控制与管理已经非常的重要,对商业银行的信息技术审计(ita)提出新的要求。
一、商业银行 it 审计的必要性(一)it 审计是商业银行信息技术应用的必然结果商业银行从最开始手工账务处理,到今天的信息技术覆盖到银行的方方面面。
针对国内商业银行,据相关的数据统计,硬件网络平台已经实现了 100%的应用,软件应用已经覆盖了 80%以上的商业银行业务。
从传统的手工处理,到今天的网上银行、手机银行等,商业银行对信息系统依赖性的日益增强,犯罪分子利用网络对银行信息系统攻击和破坏是益增多,必须要求对商业银行的信息基础建设及信息系统进行审计。
(二)it 审计是商业银行 it 风险控制的必然要求当前银行信息系统所采用 it 技术与信息系统软硬件本身存在着大量的脆弱性,如硬件故障、系统漏洞、意外灾祸都会造成银行系统不能正常工作。
国外相关统计数据表明,一些银行系统失效的风险损失占到总风险损失的 10%-20%。
如 2009 年 1 月下旬,某银行综合业务系统发生故障,造成综合业务系统故障时间约 11 个小时,导致整个银行不能对外营业,客户服务中断达 4 个小时,这种系统带来风险不仅给银行带来经济上的损失,而且直接关系到银行的声誉风险。
(三)it 审计既是银行信息化建设的必然保障,也有利于商业银行业务运营风险的防范由于我国商业银行 it 建设的起步较晚基础薄弱,同时在 it 建设之初又缺乏系统、统一的规划,致使我国商业银行信息系统的建设缺乏标准性、前瞻性、规划性,重复建设严重,数据不完整或难以统一,甚至系统建好后发现不能满足要求而闲置等垢病。
it 审计可以从 it 建设规划,it 组织架构等方面加以评价或监督,推动银行信息化建设环境的治理。
另一方面,由于银行业务经营风险很大程度上已经转移到信息系统的风险控制上,因此需要对信息系统的有效性进行评价,包括信息资产的保密性、完整性和可用性。
国内商业银行IT审计目标与内容
国内商业银行IT审计目标与内容商业银行的IT审计的目标是通过对商业银行所有IT规划、建设、应用、服务、安全等全方位的审计,充分识别与评估IT风险,完善控制措施,实现IT系统的可用性、安全性、完整性、有效性,最终达到强化商业银行内部控制的目的。
对商业银行的IT审计至少包括以下方面:1)硬件与环境:包括商业银行的硬件网络、电源、机房环境控制等;2)应用软件:针对综合业务系统、国际结算系统等业务系统,对系统的访问控制、授权、确认、错误与特例处理,以及系统相关流程,包括对系统的开发生命周期的审计;3) IT管理与服务:包括商业银行IT管理与服务的工具、制度、以及方法等有效性的审计;4)信息安全:对商业银行信息安全措施的完整性与有效性进行审计;5)商业连续性:为了保护银行业务持续运做,对银行在容错、备份、存储、灾难恢复等方面的完整性与合规性方面进行审计6)信息完整性:审计在确保信息正确、可信、及时等方面的的控制情况;7) IT策划与项目管理:对IT整体规划、系统策划、项目管理等方面进行审计。
商业银行IT审计进程与策略国内商业银行IT建设起步晚,对IT审计了解比较少,因此如何有效的控制一个IT审计项目缺乏相关的经验。
根据对国内商业银行的IT应用现状的研究,提出如下商业银行IT审计工作进程方案与相关策略:1)确定IT审计单位根据国际通用的信息系统审计准则,要求IT审计工作必须独立性。
因此商业银行在确定内外部IT审计单位,除了要求符合相关的资质要求,必须保证IT审计工作的独立性。
建议国内商业银行IT审计工作的开展尽可能的考虑外部IT审计单位,保证IT审计的效果。
如果确定内部单位进行IT审计,必须保证审计单位组织的独立性。
2)确定独立IT审计组对商业银行的IT审计,即包括了软硬件系统,也包括对商业银行的业务符合性的审计,以及IT项目组织、策划、服务管理等方面。
因此,构成IT审计组的成员应由IT系统专家、银行业务专家、咨询专家等多方面人员构成,主要的审计师必须具有IT审计的资格。
商业银行信息科技审计操作细则
XXX银行信息科技审计操作细则目录第一章总则 (1)第二章信息科技审计职责与权限 (1)第三章信息科技审计方法及内容 (2)第四章信息科技审计操作流程 (5)第五章附则 (6)第一章总则第一条为进一步明确XXX银行(以下简称本行)总行审计部对本行信息科技审计(以下简称IT审计)的职责,充分识别信息科技风险,完善控制措施,实现IT系统的可用性、安全性、完整性、有效性,监督审计全行的信息科技管控对各级监管政策法规的合规性,规范IT审计操作程序,持续提升工作效率,保障IT审计工作的指导性和规范性,依据《XXX银行内部审计章程》,特制定本细则。
第二条本细则为总行审计部对信息科技进行审计提供指导。
第二章信息科技审计职责与权限第三条总行审计部应设立专门的信息科技审计岗位,配备专业的信息科技审计人员,负责信息科技审计制度和流程的实施,执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。
第四条信息科技审计的职责包括:(一)实施和调整审计计划,检查本行信息科技系统和内控机制的充分性和有效性。
(二)按照本行规章制度完成IT审计工作,在此基础上提出整改意见。
(三)检查整改意见是否得到落实。
(四)实施信息科技专项审计。
信息科技专项审计,是指对信息科技安全事故进行的调查、分析,或审计部门根据风险结果对认为必要的特殊事项进行的审计。
第五条根据业务性质、规模和复杂程度,信息科技应用情况以及信息科技风险状况,决定信息科技内部审计范围和频率,至少应每三年进行一次IT全面审计。
第六条在进行大规模系统开发时,总行审计部应派人参与,保证系统开发符合本银行信息科技风险管理标准。
第七条审计人员具有适当的权限调阅或查看行内系统或审计相关资料。
第三章信息科技审计方法及内容第八条信息科技审计项目实施过程中需要搜集大量的信息,掌握多方面的证据。
搜集和取证需要运用多种方法和工具。
采用的方法有:(一)访谈:访谈信息科技和有关业务部门相关人员,了解项目现状。
国内外银行IT审计比较
国内外银行IT审计比较当前,随着各银行数据大集中的完成,IT风险也越来越集中。
控制IT 风险、保证信息系统稳定运行已成为银行最紧迫的任务。
此外,随着金融监管力度的加大,银行信息披露制的实施也是当务之急。
这些都要求银行加大对信息系统的审计力度。
只有建立IT审计机制,由独立的IT审计师进行信息系统审计,才能形成对信息系统安全的客观评价。
由于信息技术在银行经营管理领域各个层面的广泛运用,IT审计也已贯穿在各种审计之中,成为时下银行业最关注的重要课题。
我国银行业的IT审计尚处于摸索阶段,尚缺乏成熟的经验和案例可供参考,尤其是没有针对大型数据处理和大型软件开发的IT审计经验可以借鉴。
有鉴于此,本期我们特别邀请工行及人行IT审计方面的专业人士,对国内外银行IT审计的具体案例进行剖析研究,就二者的差别及内在成因作深入分析,以此促进IT审计在我国银行业更健康有序的开展。
随着信息技术在银行普遍、深入的应用,银行信息系统的正常运行已经成为银行业务正常运营的最基本的条件之一,IT运营与公司运营紧密相关,IT治理也与公司治理紧密相连,因此IT审计越来越得到银行管理层的高度重视。
目前,IT审计在国际上是一个相当成熟的领域,发达国家的银行均建立了完善的信息系统审计体系,而我国才刚刚开始起步。
因此,很有必要研究发达国家银行业的IT审计组织结构和技术架构,解析国内银行IT审计的现状及存在的问题,并根据国际经验与我国实际情况进行差异性分析,最后,找到我国银行业IT审计的准确定位,由此,实现IT审计在国内银行业质的飞跃。
国外银行IT审计的特点IT审计部门的独立性在国际上IT审计部门分为内审与第三方独立审计两种。
内审由企业内部专设的IT审计机构实施审计,第三方审计则提供独立的外部审计。
国外发达银行大都设有内部的IT审计部门,IT审计部门独立于IT部门,由公司控股层直接管理。
例如荷兰银行和瑞士银行都在控股公司层面设立了一个审计委员会,审计委员会下设企业中心,集团审计是在控股公司层面的企业中心内,直接由审计委员会管理,IT审计则隶属于集团审计,独立于IT部门。
[如何做好,银行业,IT,其他论文文档]如何做好银行业IT审计
如何做好银行业IT审计如何做好银行业IT审计近年来,因银行业务流程中对信息系统的依赖程度日益加大,这使得信息系统的固有风险随着系统的复杂而增加,高度集中化的银行信息化管理也面临着更加严峻的考验。
因此,作为商业银行信息科技风险管理的第三道防线——信息系统审计(简称“IT审计”)在银行内部控制建设过程中扮演了更为重要的角色。
银行IT审计意义目前,信息系统的正常运行已经成为银行业务正常运营的最基本条件之一,信息科技在有力提升银行核心竞争力的同时,信息科技风险也愈发突出和集中,信息科技风险控制已成为银行业风险管理的重要内容,而IT审计作为银行业风险管理体系的重要组成部分,其重要性和必要性已经日益得到银行业管理层的关注。
同时,国家相关部门对信息系统的管控也越来越重视,自2006年8月发布《银行业金融机构信息系统风险管理指引》开始,银监会正式对银行科技风险进行监管,近年来推出一系列制度和措施(见表1),监管工作逐步走向规范化。
通过IT审计来保证和监控全行的信息科技管控对各级监管政策法规的合规性,也成为银行业实施IT审计的重要目的之一。
因此,银行业加强和规范IT审计,既是自身发展和获取竞争优势的内在需要,也是监管当局的外部要求。
银行IT审计标准准确地运用标准和参照,成为顺利开展IT审计工作的重要前提之一。
COBITCOBIT(Control Objectives for Information and related Technology) 是由信息系统审计与控制基金会最早在1996年制定的IT治理模型。
这是一个在国际上公认的、权威的安全与信息技术管理和控制的标准,也是目前国际上通用的信息系统审计的标准之一。
COBI T是一个基于控制的IT治理模型,其制定的宗旨是跨越业务控制和IT控制之间的鸿沟,从而建立一个面向业务目标的IT控制框架。
COBIT本身并非针对IT审计的专门论述,其面向的使用者可以是企业中想通过改善IT过程实现经营目标的管理者,也可以是业务过程的所有者,即用户,也可以为IT审计师。
关于商业银行IT审计的思考
关于商业银行IT审计的思考作者:吕思杭来源:《科学与财富》2018年第32期摘要:随着信息技术的迅猛发展和成熟,商业银行传统的管理和服务模式发生了深刻的变化,手工模式已经基本被取代,信息技术已经渗透到了商业银行经营管理的各个层面,开展独立的IT审计已成为发展趋势。
本文就审计和IT治理的目的,提出改进的初步建议。
关键词:IT审计;IT标准;风险控制一、IT审计的发展历史(一) IT审计的历史和发展IT审计起源于上世纪六十年代,IT审计的雏形初步形成。
八十年代,IT审计得到社会重视。
九十年代,对信息技术和IT审计的深度思考,IT审计得到了前所未有的重视和空前发展,并日趋成熟。
(二)IT审计的对象、范围IT审计是独立于信息系统本身、信息系统相关开发、使用人员的第三方,采用客观的标准对信息系统的策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。
IT 审计的审计对象涵盖整个信息系统所有活动和中间产物,并包括信息系统实施相关的外部环境。
(三)IT审计的标准目前,IT审计方面的国际标准主要有COBIT(信息及相关技术控制目标)、COSO(内部控制整体框架)、ITIL(基础架构服务管理最佳实践标准)等几种;其中最为IT审计界广为接受的标准是COBIT(信息及相关技术控制目标),它是当前国际上公认最先进、最成熟的IT控制和审计高层框架。
COBIT将IT工作分解为一系列细化的过程和目标,为IT审计的实施提供了一个细化的系统化框架,使得IT审计易于操作实施。
二、我国商业银行IT审计现状和存在的主要问题(一)国内商业银行IT审计现状1.从无到有发展完善中。
近年来,数据大集中以后,信息科技人员在科技管理和安全控制上都做了大量的工作,取得了很好效果。
在从粗放型控制转为精细型控制的进程中,学习国外先进经验,逐步引用国际标准,各项控制措施不断完善和加强。
2.金融法规逐步完善。
随着大数据时代的来临,商业银行信息系统的建设规模不断扩大,为识别化解系统失效风险,完善控制措施,银监会对银行科技风险进行监管的一系列制度和措施日趋完善。
商业银行IT运维审计解决方案
瑞宁城商行解决方案城商行IT建设背景:核心业务系统是银行业IT建设的永恒主题,为支撑金融业务的发展、创新而不断变化。
目前,国内多数银行机构的核心业务系统已使用了多年,其业务流程、功能种类已远不能满足现今银行业发展的要求,在业务发展、竞争加剧的影响下,城市商业银行核心业务系统再造将迎来新一波的建设高潮。
中国银行机构各类型主体差异巨大,竞争失衡,马太效应明显。
大型银行在资产质量、业务规模上远优于城商行。
近年来,监管机构的改革重点开始偏向中小银行,随着引入战略合作者、合并重组、新业务准入等有利因素的刺激,城市商业银行与大行之间将建立起竞争、互补的关系,城市商业银行的IT投入会在资产提升、业务丰富、治理优化等因素的作用下快速释放,IT建设将不断丰富、应用水平也会更加深入。
经营区域、业务种类的逐渐开放,给予了越来越多的城市商业银行更广阔的市场空间。
由于传统开设分支机构的做法,不仅投入巨大且部署缓慢,城市商业银行开始纷纷重视渠道体系的建设,通过电话银行、网上银行、手机银行、自助设备、客户服务系统等渠道拓展客户成为了城市商业银行业信息化建设新的共识。
目前城市商业银行在信息化应用上都较多依赖IT厂商的参与,经过多年的竞争、磨合,IT外包正在不断规范,城市商业银行IT部门作为需求发起、项目督导、以应用为先的自身定位正逐渐明晰,这会使国内城市商业银行IT建设更高效、也更深入。
新巴塞尔协议对银行业风险管理提出了新的要求,在监管机构加强引导,特别是银监会2009发布的《商业银行信息科技风险管理指引》,使城市商业银行已开始认同风险管控、合规经营的意义,陆续采取了相应措施,如设立相关机构、健全制度、投建各类信息系统等。
由于风险管控、合规经营涉及银行业务的方方面面,在金融创新、稳定的要求下,城市商业银行在这方面的IT应用将会不断丰富、衍生。
城商行信息科技部门面临的压力城市商业银行业务发展迅速,主要表现在银行新上的业务类型越来越多,更新快,复杂程度高、管理繁重,信息科技部门的人员配置少,技术水平相对滞后,信息科技投入少,跟不上快速发展的业务需求,科技风险突显,已不能适应业务的发展,而由于前期城市商业银行的IT业务并没有统一的规划,业务发展了,需要什么业务就上什么业务,导致IT业务流程比较混乱,信息科技部门急需提升管理水平。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
商业银行IT审计
————————————————————————————————作者:————————————————————————————————日期:
商业银行IT审计面临的挑战
随着信息技术的兴起,信息系统已经渗透到商业银行业务的各个领域,它在给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生等,系统安全问题日益严峻。
于是,一个不容回避的问题——商业银行如何有效地开展信息技术审计,以保证信息系统安全,摆在了我们面前。
一、it审计的定义及其特点
it审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。
it审计的目标是保证it系统的可用性、安全性、完整性和有效性,最终达到增强企业内部控制的目的。
it审计具有以下特点:
(一)it审计是一个过程。
它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。
(二)it审计的对象综合且复杂。
it审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。
it审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
(三)it审计拓宽了传统审计的目标。
传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一
贯性发表审计意见”;但it审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
(四)it审计是一种基于风险基础审计的理论和方法。
it审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。
二、it审计面临的挑战
it审计和传统审计相比具有的上述特点是吸引我国众多商业银行引入it审计的重要原因,但是这种方法的应用又会给商业银行提出巨大的挑战。
(一)传统审计线索的消失。
在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。
但是,现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸质记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。
(二)计算机信息系统的数据安全面临挑战。
手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在it审计中,网络电子交易数据的安全是关系
到交易双方切身利益的关键问题,也是商业银行计算机网络应用中的重大障碍和审计的首要问题。
例如,计算机病毒的破坏、黑客用ip地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等,都是传统审计从未涉及的,但又是it 审计的重点,这对当前我国的审计工作无论是操作系统,还是制度建立等众多方面都是一个很大的挑战。
(三)it审计专业人才匮乏。
适应it审计事业发展的人才培养和管理机制还有待建立和健全。
由于it审计固有的复杂性,这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的复合型人才,而且工作人员需要对内部控制和审计有深刻的理解,对信息和网络技术有敏锐的捕捉能力,在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。
三、it审计应对策略
面对上述挑战,我们应当勇于实践,积极探索新形势下如何使it审计工作能够满足商业银行发展的需求。
(一)审计线索的重建。
根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点,可以重建电子审计线索:在电子化的原始数据形成时,同时在审计机构(包括内审机构)和关系紧密(签字确认)的部门形成原始数据的“原本”,或在不同部门各自形成相关的数据库(特别应当包括数量、金额和单价等主要数据项),这样不仅可以相互监督和牵制,还给计算机审计提
供可信的审计线索。
这种保留审计线索的方法,一方面成为有力的控制手段;另一方面可从审计线索中发现疑点。
这种方法主要是应用专用的审计比较软件,同时将几个部门的同一种数据库进行自动比较,形成有差异的数据记录文件,详细审查相关的数据文件和访问有关的当事人,从而取得有力的审计证据。
上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用,如果企业业务数据分离存放,如销售合同与销售发票、提货单在不同的部门保存,这种实质性测试也可采用比较审计法,应用专用的审计软件,结合相关的几个业务数据文件进行比较,查出有错误疑点的记录。
(二)确保信息系统的信息安全。
为了保证信息系统的信息安全,it审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况,通过面谈实地审查企业安全管理制度建立和执行的情况,查看企业是否为了预防计算机病毒,对外来的软件和传输的数据经过病毒检查,业务系统是否严禁使用游戏软件,以及是否配置了自动检测关键数据库的软件,使异常及时被发现;检测企业是否为了防范黑客入侵,网络交易的数据库采用离散结构,同时在不同的指定网点(如在交易的双方)形成完整的业务数据备份供特殊使用(如审计和监控);此外,it审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度,审查有关计算机安全的国家法律和管理条例的执行情况。
(三)建立一支完备的it审计专业人才队伍。
it审计的发展必须有一大批专业化的it审计人才,这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。
此外,商业银行可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训。
当前,我国it审计正处于起步阶段,和传统审计相比,it审计的显著特点决定了其势在必行,但一种新的方法的引入和实施必定会给商业银行和审计人员带来巨大的挑战,应该抓住机遇,迎接挑战,使it审计工作不断发展完善。
■。