張云志　張　震

隨著銀行業(yè)信息化建設(shè)的快速發(fā)展，信息系統(tǒng)不僅為各項業(yè)務(wù)的運營提供后臺支持保障，而且隨著新產(chǎn)品、新業(yè)務(wù)和新流程的不斷推出，信息系統(tǒng)日益成為業(yè)務(wù)發(fā)展的直接驅(qū)動力和核心競爭力，因此信息系統(tǒng)在業(yè)務(wù)應(yīng)用中的風(fēng)險范圍和程度也急劇加大，大量數(shù)據(jù)存儲于計算機中，與手工相比，它會受到更多的威脅。因此，有效控制信息系統(tǒng)在業(yè)務(wù)應(yīng)用中的風(fēng)險成為擺在我們面前的一大課題。

1信息技術(shù)的廣泛應(yīng)用給銀行帶來的風(fēng)險

銀行的IT風(fēng)險不僅涵蓋了傳統(tǒng)的操作風(fēng)險、信譽風(fēng)險，還包含了在銀行的經(jīng)營管理過程中，所表現(xiàn)出的許多與信息化相關(guān)聯(lián)的其他類型風(fēng)險。商業(yè)銀行的內(nèi)控應(yīng)該以風(fēng)險管理為中心，尤其離不開IT風(fēng)險管理的支持。IT風(fēng)險主要表現(xiàn)在：

(1)業(yè)務(wù)風(fēng)險發(fā)生后一般可以通過業(yè)務(wù)流程、法律手段等加以彌補，而IT風(fēng)險發(fā)生后往往難以彌補；

(2)IT風(fēng)險的對象要考慮各類技術(shù)設(shè)施，相對來講比較復(fù)雜；

(3)業(yè)務(wù)風(fēng)險通過制度、流程、審批等環(huán)節(jié)能夠基本加以控制，而IT風(fēng)險中的IT設(shè)施自身存在這樣那樣的缺陷，要控制就相對復(fù)雜；

(4)IT風(fēng)險發(fā)生后波及范圍大、影響大，例如目前大多數(shù)銀行采取的IT系統(tǒng)大集中模式，一旦IT風(fēng)險發(fā)生，將會影響到上百萬的用戶。

2銀行信息技術(shù)審計的重點

銀行信息技術(shù)審計是一個采集資料數(shù)據(jù)及對其進行評估，以確定電腦系統(tǒng)是否能達到“保護銀行資產(chǎn)、維護數(shù)據(jù)的完整性、有效地協(xié)助銀行實現(xiàn)其經(jīng)營管理目標(biāo)、高效率地利用資源”的效果。依據(jù)這一審計理念，信息技術(shù)審計的重點應(yīng)包括應(yīng)用控制，以及與應(yīng)用控制對應(yīng)的是信息系統(tǒng)的一般性控制，主要是嵌入到IT流程和服務(wù)中的控制。

2１1一般性控制方面

IT一般控制的基本范圍是IT內(nèi)部普遍存在的風(fēng)險及高層次的風(fēng)險，而不是具體的應(yīng)用程序所涉及的風(fēng)險。IT一般控制包括但不限于以下類型：

(1)授權(quán)審批：授權(quán)包括根據(jù)政策及程序執(zhí)行審批操作。

(2)職責(zé)分離：將不相容崗位的職責(zé)分離，防止個別人員利用職權(quán)作出并隱瞞錯誤或違規(guī)的行為。

(3)管理層審閱：獨立于編制人的人員對編制人進行的活動進行分析并實施監(jiān)控。

(4)特殊事項報告：用于監(jiān)控發(fā)現(xiàn)的特殊事項以及對這些事項的跟進解決措施的報告。

(5)IT績效指標(biāo)：包括定期和不定期生成、審閱和分析IT績效指標(biāo)。

(6)系統(tǒng)訪問權(quán)限：在信息系統(tǒng)操作環(huán)境中，通過系統(tǒng)設(shè)置以決定和定義系統(tǒng)用戶的訪問權(quán)限，系統(tǒng)訪問權(quán)限應(yīng)與授權(quán)的權(quán)限相一致。

2１2應(yīng)用控制方面

IT應(yīng)用控制存在于每一個基于應(yīng)用系統(tǒng)的事務(wù)及數(shù)據(jù)處理中，是針對輸入、處理和輸出功能的控制，信息系統(tǒng)的應(yīng)用控制審計是利用標(biāo)準(zhǔn)、規(guī)范和審計技術(shù)，對信息系統(tǒng)進行測試、檢查和評價，檢查應(yīng)用系統(tǒng)是否存在漏洞和功能缺陷，評價信息系統(tǒng)的安全性、穩(wěn)定性和有效性，并提出相應(yīng)的改造建議。IT應(yīng)用控制包括但不限于以下類型：

(1)輸入控制

①輸入／數(shù)據(jù)源控制：輸入控制程序必須確保每一筆需要被處理的數(shù)據(jù)能夠正確完整地接受、處理和記錄。

②輸入授權(quán)：輸入授權(quán)驗證所有由管理層授權(quán)和批準(zhǔn)的事務(wù)，輸入授權(quán)有助于確保只有經(jīng)授權(quán)的數(shù)據(jù)才能進入計算機系統(tǒng)進行處理。

③批處理控制：批處理控制對輸入事務(wù)進行分組以提供總計控制，批處理控制包括基于總金額、總項目數(shù)、總文件數(shù)等控制手段。

④錯誤報告和錯誤處理方法：輸入處理要求系統(tǒng)內(nèi)部控制能夠驗證輸入數(shù)據(jù)被系統(tǒng)正確地接受，輸入錯誤會被識別和糾正。

⑤數(shù)據(jù)確認和編輯檢查：建立程序以保證輸入數(shù)據(jù)被確認，通過在程序中設(shè)定輸入格式，確保數(shù)據(jù)以正確的格式被輸入到正確的區(qū)域。

(2)處理控制

處理控制保證計算數(shù)據(jù)的完整性和準(zhǔn)確性。這類控制保證數(shù)據(jù)在文件或數(shù)據(jù)庫中的完整和準(zhǔn)確，只有授權(quán)的處理或修改程序才能對數(shù)據(jù)進行更改。

(3)輸出控制

輸出控制主要是保證交付給用戶的數(shù)據(jù)是符合格式要求的、可交付的，并以一致和安全的方式遞交給用戶或不同的系統(tǒng)。

3銀行信息技術(shù)審計的方法

信息技術(shù)審計是一個通過收集和評價審計證據(jù)，對信息系統(tǒng)是否能夠保護資產(chǎn)的安全、維護數(shù)據(jù)的完整、使被審計單位的企業(yè)目標(biāo)得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。下面結(jié)合筆者開展審計項目的實踐，就相關(guān)審計方法歸納如下：

(1)調(diào)查問卷法

調(diào)查問卷法是審計人員針對取證對象設(shè)計問卷，對于問卷不能解釋清楚的部分在附注中用文字加以說明，要求被調(diào)查人員根據(jù)實際情況做出真實回答的取證方法。

(2)詢問法

詢問法是指審計人員在審計現(xiàn)場向取證對象了解信息系統(tǒng)開發(fā)、運行管理等方面情況的審計方法，訪談對象必須是執(zhí)行該項控制的崗位人員。

(3)觀察法

觀察法是審計人員采用檢查操作用戶權(quán)限與被審單位內(nèi)控制度、現(xiàn)場觀察測試操作、分析系統(tǒng)的操作日志和分析系統(tǒng)業(yè)務(wù)數(shù)據(jù)等審計方法，對于正在執(zhí)行的控制步驟是主要測試方法。

(4)書面文檔檢查法

該方法是指審計人員查閱被審計對象的信息技術(shù)政策、規(guī)章制度、項目的業(yè)務(wù)需求、設(shè)計文檔、技術(shù)手冊和操作手冊、差錯調(diào)整等相關(guān)文檔的審計過程，用以了解系統(tǒng)業(yè)務(wù)處理流程，檢查信息系統(tǒng)控制功能是否有效、完整。

(5)開發(fā)環(huán)境測試法

該方法是指審計人員設(shè)計一些測試案例，提交系統(tǒng)進行處理，以測試系統(tǒng)應(yīng)用控制是否恰當(dāng)、有效。

(6)穿行測試法

該方法主要是由審計人員通過重新執(zhí)行某項控制，檢查該項控制實際執(zhí)行結(jié)果是否準(zhǔn)確的方法。

(7)源代碼走查法

根據(jù)抽樣數(shù)據(jù)確定的疑點，通過走查相應(yīng)的部分系統(tǒng)源代碼，檢查信息系統(tǒng)處理控制功能是否合理有效。