城商行信息科技審計方法探討與實踐

劉慶鍇

（中廣核資本控股有限公司）

當前城商行的發展越來越離不開信息科技的支持，營業部的部分柜員被自助終端所替代，大堂客戶經理換成了智能機器人，人們用一部手機足不出戶幾乎就可以享受到銀行的全部服務，沒有信息科技支撐的銀行很難在當前激烈的市場競爭中生存下去。而隨著科技手段的廣泛運用，信息科技風險也隨之上升，自然因素、技術漏洞、操作失誤和管理缺陷等都會對眾多銀行尤其是科技能力相對薄弱的城商行造成難以預計的損失，同時還可能連帶產生聲譽風險和法律風險，因此，開展信息科技審計項目成為城商行管理層及其內部審計部門應對相關風險的必然選擇。

一、信息科技審計的概念

信息科技審計還被稱之為信息系統審計，美國信息系統審計專家韋伯對于信息科技審計的看法是:“收集并評估證據，以判斷一個信息系統是否有效做到保護資產、維護數據完整、完成組織目的，同時最經濟的使用資源”。據此，城商行信息科技審計應是指通過對城商行信息系統的組成部分及其規劃、運行、開發、應用和管理等過程進行審計，以信息系統的安全性、可靠性、有效性等方面問題為基礎目標開展審計業務，最后針對上述問題為城商行提出整改意見和優化建議的行為。

二、城商行信息科技審計的主要內容

從總體層面上來說，信息科技審計內容可分為管理層控制、一般控制、應用控制、重要系統、網絡安全體系結構、數據分析。從應用方面來說，信息科技審計則主要包括以下幾個方面：

（一）硬件與環境：對硬件設備、網絡、電源、機房環境等事項的審計。

（二）應用軟件：對軟件的開發生命周期以及系統策劃、項目管理等方面的審計，對軟件系統的訪問控制、授權、確認、錯誤與特例處理以及系統相關流程的審計。

（三）信息系統管理與服務：包括信息系統管理與服務的相關工具、制度以及方法等有效性的審計。

（四）信息安全性和完整性：對確保信息準確、可靠、完整等方面的控制情況，以及信息安全措施的完整性與有效性進行的審計。

三、城商行信息科技審計主要技術方法

信息科技審計技術方法是城商行開展信息科技審計的重要組成部分，發揮著連接審計主體和客體的中介作用，對于完成審計工作任務、實現審計目標起著非常重要的作用，經過大量實踐，可總結為以下幾種主要審計技術方法：

（一）約談法

審計人員與被審計單位的相關人員進行面對面的交談，以了解有關情況、收集審計證據的一種方法。約談法適用于信息系統審計的各個階段，但在不同的階段其所運用的目的不同。約談所涉及的人員一般應該是對信息系統的情況比較了解的人員。約談前要對所要談話的內容做充分的準備，約談中進行書面記錄，如需要可請被談話人簽字。

（二）文檔調閱法

審計人員對相關文檔進行審查，以收集信息和證據，為作出審計結論提供支持。在審計準備階段，審計人員通過對信息系統有關文檔的審閱，了解信息系統的有關方面情況，為制定審計方案尋找依據；在實施階段，對于系統文檔中所規定的一些控制措施，審計人員應該對照檢查在實際操作過程中是否得到有效的執行。系統文檔主要包括：系統的技術手冊、操作手冊、系統的流程圖、組織結構圖、系統源程序等。

（三）測試數據法

審計人員需要預先設計好一批用來進行檢測的數據，在設計好數據之后利用被審程序來對這批數據進行處理，并將實際處理結果和預期結果展開對比，通過對比來對被審程序的控制和處理功能是否恰當進行判斷。這種方法相對簡單直觀，但是其不足之處也較為明顯，即需要花費較多的時間來對測試數據和案例進行準備。

（四）程序編碼比較法

這種方法是利用兩個被獨立保管的被審程序版本開展對比，通過對比確定被審程序是否出現了變化。同使用對比的程序是由審計部門或者是其他獨立第三方保管的，經以前審查其處理和控制功能恰當的被審程序副本與被審單位現在使用的應用程序進行比較。

（五）受控處理法

這種方法是由審計人員來監控被審程序的業務處理情況。通過監控來確定被審程序在護理功能以及控制功能上是否滿足要求。如果使用這種方法，那么就需要先檢查輸入的數據，并建立起完善的審計控制，然后審計人員親自對這些數據進行處理或者是監督處理這些數據，處理完之后進行比較，以此來判斷被審程序的處理與控制功能能否按設計要求起作用。

（六）穿行測試法

在處于正常運行條件的情況下，將初始數據輸入到內控流程之中，讓數據穿越全流程與所有的關鍵環節，最后將運行結果和設計要求進行對比，通過對比來發現內控流程的缺陷。這種方法通常使用于對業務流程或具體業務的測試與評價。

（七）模型審計法

以構建審計分析模型為出發點，通過采集審計分析模型需要的數據和對數據進行處理、分析，來判斷和評價系統數據的真實性、合法性、完整性等方面，并且通過數據審計發現的問題，反推信息系統缺陷，其核心技術為構建審計分析模型。

四、某城商行信息安全審計項目實踐

保證信息系統的安全是所有城商行的一項重要任務，城商行應成立信息系統安全的內部組織保障部門，重視對信息系統安全的管理，用管理和制度手段，保證客戶資料和交易信息的安全，防止重要信息被竊取、非法復制、泄露和丟失，采取足夠的措施，保護信息系統安全。

（一）審計案例背景

根據銀監會指引，某城商行成立審計小組，對其信息安全開展專項審計工作。該城商行已經制定了第三方人員安全管理辦法、中心機房密碼口令管理辦法、互聯網接入及使用管理辦法、軟件崗位職責分離管理辦法等規章制度，涉及系統軟件維護、應用系統維護、計算機運行安全、數據安全、網絡安全、物理安全等方面，已構建信息安全基本體系。

（二）主要審計內容及使用方法

1.信息安全管理機制。對信息安全標準、策略、實施計劃和持續維護計劃等進行審查。重點關注安全制度管理和人員安全管理。

主要審計方法：使用訪談法和文檔調閱法了解信息安全規章制度的制定和執行情況、對外來人員的管理等。

2.系統用戶認證和訪問控制。對管理用戶認證和訪問控制的流程、策略進行審查。重點關注系統訪問權限分配、口令管理、職責分離控制以及用戶變更。

主要審計方法：使用訪談法和文檔調閱法了解信息安全規章制度、管理流程；通過現場查看法了解系統權限的分配、口令管理等；使用抽樣數據法對系統用戶的身份識別和驗證及是否記錄成功和失敗進行了解等。

3.設備和網絡安全。對網絡管理和網絡服務的安全策略制定情況、網絡通信及信息系統設備的管理及操作流程、安全配置策略、定期監控措施、實施網絡控制的安全手段、網絡的劃分和路由控制、診斷端口的保護進行審計。重點關注網絡和網絡服務的安全策略、網絡控制的安全途徑，對診斷端口進行保護的安全機制。

主要審計方法：使用訪談法和文檔調閱法了解端口保護機制、安全配置策略、網絡通信及信息系統設備的管理及操作流程，并確定相關策略是否與業務訪問控制策略相一致。

4.系統軟件安全。對操作系統的漏洞檢測和補丁安裝、源代碼的訪問控制和審查情況進行審查。重點關注系統補丁與更新程序的安裝，不必要的服務和端口是否關閉，源代碼的版本管理。

主要審計方法：使用訪談法和文檔調閱法了解系統的漏洞檢測和補丁安裝、源代碼的訪問控制和審查情況；使用工具檢測法，對操作系統進行檢測。

5.數據安全。對系統信息和客戶信息管理的安全性進行審查。重點關注客戶重要信息的存儲是否加密，傳輸過程的管理，測試數據是否進行脫敏。

主要審計方法：使用文檔調閱法和抽樣數據法檢查核心業務系統中重要客戶信息的采集、存貯、傳輸、備份、恢復和銷毀，測試數據的安全措施實施情況。

6.安全事件管理。對信息科技安全事故處理流程、報告制度、安全事件響應流程的演練等進行審查。重點關注信息系統安全事件處理流程和報告路線是否清晰、明確和完善。

主要審計方法：使用訪談法和文檔調閱法了解信息系統安全事件報告制度、處理流程規定和演練情況。

（三）審計發現及審計建議

經過審計，發現該行信息科技安全管理存在以下缺陷和不足：未對從生產環境拷貝數據的移動介質進行限制，員工可以使用個人的移動介質從生產環境拷貝數據；生產數據傳輸及使用安全措施存在不足；網絡防病毒及備份機制有待完善；部分規章制度內容及執行不夠嚴格，執行力度有待加強改善。針對這些審計發現，審計師提出相關審計建議：

1.盡快完善信息安全相關規章制度，并提高對制度的執行力度；

2.明確辦公用的計算機設備的安全管理職能，完善計算機設備的安全保護措施，防范使用U盤或移動硬盤等外接設備拷貝而導致的信息泄露隱患；

3.規范生產環境數據的保護機制，防范信息泄露等安全隱患；

4.加強網絡病毒控制措施，防范由于病毒帶來的數據信息損壞、丟失、泄露等風險。

五、結束語

城商行的信息科技系統大都具有以客戶為中心、結構復雜、海量數據、軟硬件系統性能高、衍生金融新產品多等特點，因此發生信息科技風險的可能性大。通過對城商行信息科技進行審計，能夠促進其改善信息系統的內部控制，提升信息科技管理水平，更好地保護信息資產的安全，使其經營目標得以有效地實現，進而促進我國地方商業銀行的發展，更好地服務于實體經濟。

主要參考文獻：

[1]（美）霍爾.信息系統審計與鑒證.中信出版社，2003.

[2]鄧春梅.信息系統審計的理論架構——論其學科歸屬與基于風險審計理論的操作流程[D].重慶大學,2004.

[3]中國銀行業監督管理委員會.商業銀行信息科技風險管理指引.[2009]19號文.

[4]李強.商業銀行信息科技內部審計初步探討.時代金融,2013（10）.

[5]行宇.商業銀行信息科技風險類別及審計方法研究.金融電子化,2015（5）.