商業(yè)銀行信息系統(tǒng)審計問題研究

曹金明

(中國郵政儲蓄銀行審計局天津分局 天津 300000)

近幾年以來，商業(yè)銀行的信息化進程速度明顯加快，隨著科學技術的進步，社會化大生產的發(fā)展，計算機應用的逐漸普及，信息系統(tǒng)對商業(yè)銀行越來越重要。然而，信息技術也是一把雙刃劍，既給商業(yè)銀行帶來了運營效率的提升，同時也帶來了一些負面影響，對于商業(yè)銀行而言，信息系統(tǒng)不安全有著巨大的風險，可能會造成客戶流失、名譽受損等問題，更嚴重的話可能會面臨法律的訴訟。所以盡早針對商業(yè)銀行IT審計進行風險評估，及時找到解決方法，合理保證商業(yè)銀行信息系統(tǒng)安全有效的運行已然成為重中之重。

一、商業(yè)銀行IT審計的基本概念和主要內容

(一)商業(yè)銀行IT審計的基本概念

IT審計，也稱信息系統(tǒng)審計，簡而言之是指對計算機為核心的信息系統(tǒng)的審計，到目前為止，對于IT審計沒有一個統(tǒng)一的定義。國際信息系統(tǒng)審計與控制協(xié)會定義為“信息系統(tǒng)審計是一個獲取并評價證據，以判斷計算機系統(tǒng)是否能夠保證資產的安全、數(shù)據的完整以及有效利用組織的資源并有效果的實現(xiàn)組織目標的過程”。鄧少靈在《企業(yè)IT審計的框架》中定義：“IT審計是指對信息系統(tǒng)從計劃、研發(fā)、實施到運行維護各個過程進行審查與評價的活動，以審查企業(yè)信息系統(tǒng)是否安全、可靠、有效，保證信息系統(tǒng)得出準確可靠的數(shù)據”。但是無論哪一種定義，IT審計都涉及整個信息系統(tǒng)的生命周期，不止是技術問題更是管理問題。IT審計的對象是被審計單位的信息系統(tǒng)，IT審計主體是信息系統(tǒng)獨立組織機構或人員。

(二)商業(yè)銀行IT審計主要內容

商業(yè)銀行IT審計主要包括對硬件與環(huán)境、應用軟件、IT管理與服務、信息安全、商業(yè)連續(xù)性、信息完整性、IT策劃與項目管理等方面的審計，以下是對這幾方面的簡要說明：

1.硬件與環(huán)境：包括商業(yè)銀行的機器設備使用控制、硬件網絡設施、網絡環(huán)境和機房環(huán)境管理等；

2.應用軟件：包括對業(yè)務系統(tǒng)的相關流程以及對系統(tǒng)的開發(fā)生命周期進行審計；

3.IT管理與服務：審計商業(yè)銀行IT管理與服務的制度和方法的有效性；

4.信息安全：審計商業(yè)銀行信息安全措施的有效性和完整性；

5.商業(yè)連續(xù)性：為保證商業(yè)銀行業(yè)務持續(xù)運營，重點審計銀行在完整性與合規(guī)性方面做的如何，比如在存儲、備份、容錯、災難恢復等方面；

6.信息完整性：審計商業(yè)銀行在信息的完整性、可靠性、有效性上的控制；

7.IT策劃與項目管理：審計IT整體的系統(tǒng)的策劃以及項目管理。

二、商業(yè)銀行IT審計現(xiàn)狀

電子數(shù)據處理系統(tǒng)是現(xiàn)代審計的最新發(fā)展，比傳統(tǒng)的手工處理相比更大程度的提高了經濟和管理的效率、效果和收益，保證了計劃、統(tǒng)計、會計和管理信息的正確性、真實性、科學性，促進了生產和經營管理的發(fā)展。目前,國內各大金融機構領導層高度重視銀行業(yè)的審計,例如上海浦東發(fā)展銀行在實際工作中運用COBIT作為開展具體審計業(yè)務的流程參考,從而使審計人員對信息系統(tǒng)的風險狀況可以進行更加客觀和全面的掌控。銀監(jiān)會2009年發(fā)布的《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》提出要求各大銀行不只是單純的目標管理，更要對風險的過程進行重點管理，進行風險控制在高層的決策上，對信息系統(tǒng)開發(fā)生命周期進行審計,為我國銀行業(yè)持續(xù)高效運行提供了合理保證。

目前很多金融機構都開始注重通過實施IT審計有效的實現(xiàn)企業(yè)治理的目標，商業(yè)銀行審計也是如此。由于最近幾年商業(yè)銀行對信息技術的依賴程度越來越高,數(shù)據大集中也不同程度、不同范圍的在商業(yè)銀行中實現(xiàn)，提高了商業(yè)銀行整體的核心競爭力，但是也產生了許多風險，在管理或者控制上的有任何一點點的不妥都會導致整個信息系統(tǒng)癱瘓，帶來很嚴重的損失。目前商業(yè)銀行風險管理的重點就是把信息系統(tǒng)的風險調節(jié)在可控范圍之內。由此可見對商業(yè)銀行進行IT審計具有現(xiàn)實意義。

三、商業(yè)銀行IT審計面臨挑戰(zhàn)

電子計算機在企業(yè)管理中的應用日益廣泛，而在我國企業(yè)管理中的電子計算機有近70%是用于會計信息處理，銀行業(yè)是最早利用電子計算機的行業(yè)之一。隨著商業(yè)銀行經營環(huán)境的變化和計算機信息技術的發(fā)展，商業(yè)銀行通過信息管理電子化、網絡化、數(shù)據大集中等方式，已經逐步形成了較為科學完整的信息管理系統(tǒng)?，F(xiàn)在，我國商業(yè)銀行幾乎所有的業(yè)務都通過計算機信息系統(tǒng)來完成。電子信息系統(tǒng)相比手工傳統(tǒng)方式有許多不同的特點，這些特點對以審查會計資料為主要內容的審計活動產生了極大的影響，歸納起來主要有幾下幾個方面：

(一)傳統(tǒng)審計線索的消失

在原有的財務、業(yè)務檔案體系中，審計人員發(fā)現(xiàn)的審計線索每一步都會有相應的文字記錄和相關人員的簽字，審計人員可根據具體情況采用審閱、核對、分析、比較、調查和證實等審計方法進行工作，并主要由人工進行順查、逆查或者抽查活動。但在信息系統(tǒng)中，從經濟業(yè)務數(shù)據進入計算機后到各類財務、業(yè)務報表輸出，各項處理基本都由計算機按事先設定的程序自動執(zhí)行，代替記賬憑證、賬簿、報表、業(yè)務數(shù)據出現(xiàn)的是存有會計信息的磁性數(shù)據文件，不能被審計人員直接讀出，并且有些文件還是暫時性的，如果審計時間安排不合理，很有可能在審計人員實施IT審計時這些文件已經消失了，這直接導致無法獲取原始審計資料。雖然商業(yè)銀行為了方便管理，還是會保留一部分的審計線索，但是這些審計線索的數(shù)量有限，而且無論是在內容還是形式上都與在手工系統(tǒng)情況下大不相同。有時，IT審計人員為了測試的需要，必須通過商業(yè)銀行提供所需的資料，這樣雖然可以增加審計線索，便于審計工作的開展，但是會讓商業(yè)銀行事先知道IT審計人員抽查的領域，容易發(fā)生舞弊。

(二)計算機信息系統(tǒng)的數(shù)據安全受到嚴重威脅

以前，審計人員都是手工進行信息處理，現(xiàn)在，隨著小型機和微型機的迅速發(fā)展，在商業(yè)銀行得到了廣泛的應用，但也隨之帶來了新的問題：計算機數(shù)據文件和程序容易被擅自更改；在磁盤或磁帶中存儲的資料容易被銷毀；保密資料可能被輕易地泄露；業(yè)務過程可能因計算機硬件、數(shù)據文件或程序方面的問題而被迫中斷。這些都是以前手工處理賬目沒有遇到過的問題，但是這也是IT審計的一個關鍵點，所以無論是在操作系統(tǒng)的運作還是制度的建立等多個方面，商業(yè)銀行的IT審計工作實施都面臨著巨大的挑戰(zhàn)。

(三)IT審計專業(yè)人才匱乏

現(xiàn)代信息系統(tǒng)的環(huán)境比以前傳統(tǒng)手工系統(tǒng)環(huán)境更加復雜，所以對審計人員的要求也應隨之增加，不止要對自己的專業(yè)知識非常了解還應掌握一定的信息技術，只有把業(yè)務知識、審計知識、信息技術都結合起來，才能更好的對商業(yè)銀行進行IT審計。由于商業(yè)銀行的實質是經營風險的金融機構，所以風險管理在商業(yè)銀行經營中具有很重要的地位，因此在對商業(yè)銀行進行審計時還要對風險管理進行了解，這對IT審計人員也提出了新的挑戰(zhàn)。所以必須加大對IT審計專業(yè)人才培養(yǎng)的力度，目前在我國取得IT審計師職稱的人少之又少，距離達到IT審計目的還有較長的過程。

四、商業(yè)銀行IT審計改進措施

(一)審計線索的重建

審計線索對審計工作來說是極為重要的。由于信息系統(tǒng)的應用，傳統(tǒng)審計線索已經完全被電子信息所取代，傳統(tǒng)的查賬、翻閱紙質檔案的方法對信息系統(tǒng)已經完全不適用了。為了能有效地對商業(yè)銀行進行IT審計，使系統(tǒng)在處理時能留下新的審計線索，在系統(tǒng)設計開發(fā)的時候就要考慮這些審計需求。例如:在處理每一筆經濟業(yè)務時，要留下詳細的記錄，而不是只顯示余額。有些系統(tǒng)中的文件，在短暫存儲的一段時間后就會被刪除，操作員應及時拷貝備份或者提供數(shù)據接口共享給內部審計系統(tǒng)，以便在審計需要這些數(shù)據或者文件時可以滿足需求。

(二)確保信息系統(tǒng)的信息安全

驗證信息系統(tǒng)中有關安全、保密措施是否健全是系統(tǒng)程序設計中不可缺少的一種安全措施，在程序設計時，對數(shù)據文件的加密，防止無關人員進行篡改、舞弊行為。對信息系統(tǒng)的數(shù)據結構，要有可改動數(shù)據區(qū)和不可改動數(shù)據區(qū)之分，即數(shù)據的原始憑證一旦驗證輸入后，就不能有任何可以隨意改動的條件，這樣才可以保證數(shù)據文件的安全和可靠。另外，對信息系統(tǒng)程序應該設有口令或者保密字，只供專人知道使用，防止無關人員打開系統(tǒng)程序和操作機器。IT審計工作人員要時常審查企業(yè)的信息系統(tǒng)，為了預防黑客攻擊計算機系統(tǒng)要建立防火墻，檢查計算機是否有病毒，是否配置了可以自動檢測關鍵數(shù)據庫的軟件以及業(yè)務系統(tǒng)是否嚴禁使用游戲軟件，便于及時發(fā)現(xiàn)異常，還要審查計算機是否按照國家的法律法規(guī)安全有效的運行。

(三)建立一支完備的IT審計專業(yè)人才隊伍

IT審計要求審計人員具有復合型的知識結構的專業(yè)人才，不止要有豐富的財務會計、審計等專業(yè)知識，必須還要掌握計算機知識和應用技能。為了滿足這個要求，商業(yè)銀行可以采取下列措施：一是為了使審計人員更好的完成IT審計工作，需要對審計人員進行組織培訓，讓他們系統(tǒng)的學習計算機知識以及IT審計技術方法。二是聘請專業(yè)的計算機技術人員，對他們進行會計和審計基礎知識的培訓，使他們能符合IT審計的要求。三是IT審計小組由專業(yè)的審計人員和計算機技術人員共同組成，發(fā)揮各自的專長，取長補短地協(xié)作完成IT審計的工作。當然，他們之間的交流往往也會有一些困難，這也是一個需要長期磨合的過程。四是為了加快培養(yǎng)我國自己合格的IT審計人才的步伐，在高校內增設IT審計學科，重視這門學科的人才培養(yǎng)，努力建立一支完備的IT審計專業(yè)人才隊伍。