从商业银行信息科技风险角度研析其审计模式
2018-08-19王明方
王明方
摘要:在当前的银行操作过程中普遍存在信息科技风险,这样就会影响商业银行的长远发展,银行的内部审计部门是防范商业银行信息科技风险的主要部门,可以通过分析信息科技风险种类提出相应的审计方式,从而推动我国商业银行信息科技审计工作的长远发展。
关键词:商业银行;信息科技风险;审计
一、分析信息科技风险种类
按照风险种类来看,信息科技风险主要分为以下几种:第一种是信息科技业务中断风险,这种风险容易导致软硬件运行问题、系统超负荷运行、主干网络断开、病毒或人为非法操作造成系统不稳定等因素,极易造成银行业务的中断。二是数据安全风险,包括因物理环境、硬件设施配备不到位导致数据无法备份、无法恢复,造成系统业务连续性保障能力不足;因在内控管理中未严格实行“最小授权原则”,导致核心数据被非法窃取篡改,或高权限操作复核机制不健全,导致数据不可用。三是系统漏洞风险,应用系统设计之初对业务需求提得不充分、对风险控制考虑不全面,在测试阶段又未及时发现安全漏洞,那么在系统上线运行后将会导致系统缺陷被非法利用,造成主干网络中断,产生不可弥补的风险。四是外包集中风险,形成对外部公司的过度依赖,潜在外包公司变更、核心机密外泄、应急不充分、维保时效性不强等长期风险。
二、信息科技风险的主要体现
信息科技业务风险主要体现在以下几个方面:运行维护、相关设备的配置以及机房的环境等;数据安全的风险主要体现在系统备份、生产数据脱敏、系统变更等方面;系统漏洞的风险主要体现在系统开发、测试、后评价等方面;外包集中的风险主要表现在外包人员授权管理等方面。从商业银行全行角度来看,运维能力不足以应对全局性的系统性风险排在第一位。表现形式集中在运行维护、系统监控预警及应急响应处理、需求测试不严格导致的系统缺陷、信息安全等方面。常见的问题集中于系统灾备机制不健全、应急机制不完善、基础设施物理环境建设薄弱、风险预警监测体系筮待完善、系统开发管理过程控制不足、过度依赖外包、信息系统安全防范措施执行不到位等问题。
三、提升银行信息科技审计水平的方法
通过相关调查研究不难看出,传统的商业银行业务审计方式与现有的信息系统审计方式之间存在很多关联,如在审核、观察、抽样、访谈、函证、现场查验,其在检查规范性、标准性、合规性等方面适用上述方法;在檢查机房环境建设、网络设备及服务器部署时主要采用观察法和询问法,利用机房建设规范、网络拓扑图、出入机房记录等进行实地观察,并通过询问管理人员了解实际情况与记录的一致性等;在检查备份机制方面时,主要采用抽样、审核、查验等方法进行检查,首先通过审核运维手册确定重要生产系统有无制定备份策略,备份策略是否涵盖备份的具体时间、保存期限、备份方式、备份介质、备份台账记录等,审核是否根据备份策略完善相应的备份操作流程,其次通过抽样确定检查的重要生产系统,查验备份记录,检查定期备份操作时间、备份内容、备份介质保管是否符合要求,最后通过查阅备份数据恢复测试相关文档,检查备份有无定期进行恢复测试,以及恢复频率、流程与制度要求的一致性。
由于商业银行信息科技风险不易于发现,加之信息科技审计模式与传统银行业务审计模式之间的差异,如在检查信息系统全周期管理时,主要采用风险评估、符合性测试及穿行测试:风险评估用于系统抽样,根据系统暴露出的缺陷或风险事件对信息系统清单进行抽样,符合性测试检查某个环节的控制是否存在,穿行测试根据抽样检查流程控制是否有效;在检查系统变更或数据库操作时,因系统操作专业性很强,为避免对生产系统产生影响,主要采用由审计人员提出指令、系统管理人员操作、审计人员观察的方式进行现场测试;在检查生产系统登录流程的控制时,可采用实际测试和走查相结合的方式进行,即在现场操作过程中,一经发现问题即停止检查。
要想更好的落实商业银行信息科技工作,不断提升信息科技风险的管理水平,我们应该以风险为中心开展信息科技审计工作,具体如下所示。
第一,结合实际需求制定相应的信息科技审计制度。我们应该正视信息科技审计与其他审计工作之间的差异,设置信息科技审计相应的职能机构、配备专职人员,是推动信息科技审计走向更高水平的前提和保障。此外,审计制度规定的出台,往往可以既规范审计人员行为、确保审计质量,同时也可以在全行范围内引起对此项工作的更多重视,减少工作阻力。
第二,结合实际需求提升审计工作水平。在信息科技审计工作的落实过程中,我们应该结合实际需求制定相应的审计方案:以审计计算机业务应用系统的操作、运维情况为突破口,不断探索信息科技审计方法和内容,逐步扩大审计范围,通过审计实践,培养人才,锻炼队伍。在审计过程中,商业银行可通过“以查代训”方式,锻炼、培养审计队伍。
第三,不断加强审计人员的培训力度。信息科技审计工作人员通过培训能够有效提升其综合素质,掌握更多更扎实的审计技巧,可分批分次选派审计人员参加理论、实务、案例相结合的审计培训,使其尽快了解信息科技审计国内外发展趋势、后SOX法案时代内部控制与信息科技审计、数据库审计、Windows审计、Unix审计、数据中心审计、审计管理系统等相关内容,拓展其审计视野,强化信息科技审计中理论与实践的结合,全面提升信息科技审计人员的综合素质。
第四,通过对比分析找出更符合实践要求的审计模式。要想不断提升商业银行信息科技审计水平,我们可尝试性开展对国际通用的IT审计标准“信息与相关技术控制目标”(CO-BIT)的研究与分析。此项研究工作,对形成信息科技审计评价与判断标准,完善审计操作规程,提高信息科技审计技术水平有重要意义。
参考文献:
[1].以风险为导向以内控为主线全面开展中小商业银行信息科技审计[J].中国内部审计,2017(07):40-43.
