中小銀行信息科技內(nèi)部審計(jì)困境與風(fēng)險(xiǎn)審計(jì)方法.doc

1、中小銀行信息科技內(nèi)部審計(jì)困境與風(fēng)險(xiǎn)審計(jì)方法中小銀行信息科技內(nèi)部審計(jì)困境與風(fēng)險(xiǎn)審計(jì)方法-審計(jì)論文-會(huì)計(jì)論文文章均為WORD文檔，下載后可直接編輯使用亦可打印it審計(jì)論文第五篇：中小銀行信息科技內(nèi)部審計(jì)困境與風(fēng)險(xiǎn)審計(jì)方法摘要：IT審計(jì)可以實(shí)現(xiàn)對(duì)業(yè)務(wù)系統(tǒng)控制的再控制, 主動(dòng)識(shí)別風(fēng)險(xiǎn)并分析產(chǎn)生的原因, 從而有效地控制商業(yè)銀行業(yè)務(wù)運(yùn)行以及經(jīng)營(yíng)過(guò)程中的各類(lèi)風(fēng)險(xiǎn)。本文擬通過(guò)對(duì)IT審計(jì)和審計(jì)風(fēng)險(xiǎn)的探討, 對(duì)中小商業(yè)銀行的IT審計(jì)現(xiàn)狀進(jìn)行分析, 闡述江陰農(nóng)商銀行基于風(fēng)險(xiǎn)控制的IT審計(jì)的理念及方法, 并在此基礎(chǔ)上, 以變更管理為例, 列舉部分風(fēng)險(xiǎn)控制矩陣。關(guān)鍵詞：IT審計(jì);信息科技;風(fēng)險(xiǎn)控制;變更管理;一、引言改

2、革開(kāi)放推動(dòng)了中國(guó)金融業(yè)的快速發(fā)展, 信息技術(shù)被廣泛應(yīng)用于商業(yè)銀行經(jīng)營(yíng)的各個(gè)方面, 并成為商業(yè)銀行經(jīng)營(yíng)戰(zhàn)略必須考慮的重要因素, 伴隨而來(lái)的是商業(yè)銀行對(duì)信息系統(tǒng)依賴(lài)性的不斷增強(qiáng)。作為科技應(yīng)用型人員, 發(fā)現(xiàn)信息系統(tǒng)在為商業(yè)銀行提供便利、滿(mǎn)足各種功能和服務(wù)需求、帶來(lái)效益的同時(shí), 相關(guān)風(fēng)險(xiǎn)和安全隱患也在不斷增加。近年來(lái), 銀行業(yè)信息科技安全 頻發(fā)。例如2021年4月12日, 某銀行由于網(wǎng)絡(luò)癱瘓, 導(dǎo)致無(wú)法辦理現(xiàn)金業(yè)務(wù);20年6月24日, 某農(nóng)商行機(jī)房發(fā)生線路電氣故障, 導(dǎo)致火災(zāi), 機(jī)房?jī)?nèi)部分設(shè)備受損;20年5月8日, 某城商行核心數(shù)據(jù)庫(kù)宕機(jī), 造成該行柜面和渠道業(yè)務(wù)長(zhǎng)時(shí)間中斷。以上案件充分暴露出我國(guó)一些

3、商業(yè)銀行信息科技管理方面存在的諸多問(wèn)題以及信息系統(tǒng)本身的脆弱性, 信息系統(tǒng)的安全穩(wěn)定運(yùn)行對(duì)商業(yè)銀行至關(guān)重要。當(dāng)系統(tǒng)發(fā)生故障、錯(cuò)誤而喪失其有效功能時(shí), 銀行日常的業(yè)務(wù)必定會(huì)受到重大影響, 進(jìn)而引發(fā)一系列重大問(wèn)題或風(fēng)險(xiǎn), 如銀行的財(cái)產(chǎn)損失、客戶(hù)的經(jīng)濟(jì)損失以及不良聲譽(yù)風(fēng)險(xiǎn)等。因此, 有必要引進(jìn)發(fā)達(dá)國(guó)家已經(jīng)比較成熟的理念I(lǐng)T審計(jì), 通過(guò)系統(tǒng)訪問(wèn)控制審計(jì)和系統(tǒng)運(yùn)行控制審計(jì)等技術(shù)方法, 及早發(fā)現(xiàn)商業(yè)銀行內(nèi)控制度漏洞和管理存在的薄弱環(huán)節(jié), 完善控制措施, 有效地識(shí)別和規(guī)避風(fēng)險(xiǎn), 有效地對(duì)所依賴(lài)的信息和信息系統(tǒng)進(jìn)行安全管理, 保障信息系統(tǒng)的安全穩(wěn)定運(yùn)行。同時(shí), 通過(guò)審計(jì)可有目的性地加強(qiáng)對(duì)銀行內(nèi)控制度的監(jiān)管,

4、從而提高信息技術(shù)服務(wù)支持的質(zhì)量。本文結(jié)合中小商業(yè)銀行目前信息科技審計(jì)的現(xiàn)狀, 以IT風(fēng)險(xiǎn)控制目標(biāo)為核心, 提出了實(shí)施風(fēng)險(xiǎn)控制審計(jì)的理念和步驟, 構(gòu)建適用于江陰農(nóng)商銀行 (以下簡(jiǎn)稱(chēng)我行) 的IT審計(jì)框架及控制目標(biāo)。二、IT審計(jì)風(fēng)險(xiǎn)和重要性審計(jì)風(fēng)險(xiǎn)可定義為:審計(jì)過(guò)程中未發(fā)現(xiàn)信息可能存在的重大錯(cuò)誤的風(fēng)險(xiǎn)。如果可行, IT審計(jì)師也應(yīng)當(dāng)考慮組織相關(guān)的其他因素:客戶(hù)數(shù)據(jù)、隱私、所提供服務(wù)的可用性, 企業(yè)和公眾形象。IT審計(jì)風(fēng)險(xiǎn)主要包含固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)、檢查風(fēng)險(xiǎn)和整體審計(jì)風(fēng)險(xiǎn)1。(一) 固有風(fēng)險(xiǎn)1.固有風(fēng)險(xiǎn)的含義。固有風(fēng)險(xiǎn)是指IT活動(dòng)在缺乏控制的情況下從而導(dǎo)致重大錯(cuò)誤的風(fēng)險(xiǎn)。2.常見(jiàn)的固有風(fēng)險(xiǎn)。制度建設(shè)不

5、足或缺失, 未制定與監(jiān)管要求相適應(yīng)的管理辦法約束信息科技實(shí)施中的各種風(fēng)險(xiǎn), 比如:開(kāi)發(fā)、測(cè)試、投產(chǎn)、運(yùn)維、存檔等, 甚至靠員工的自律行為控制風(fēng)險(xiǎn);對(duì)所有業(yè)務(wù)是否通過(guò)系統(tǒng)進(jìn)行剛性控制, 比如, 操作權(quán)限設(shè)置、登錄密碼長(zhǎng)度及強(qiáng)度限制、秘鑰使用管理、涉密人員管理等等;監(jiān)督檢查頻次不夠, 對(duì)員工的違規(guī)行為未能產(chǎn)生震懾作用, 甚至處于審計(jì)的盲區(qū);員工技能與業(yè)務(wù)發(fā)展不匹配, 后期培訓(xùn)不足, 知識(shí)更新不夠;IT管理人員的管理水平或IT人員的技術(shù)水平達(dá)不到要求, 易出現(xiàn)管理和技術(shù)方面的錯(cuò)誤;計(jì)算機(jī)硬件故障或軟件程序錯(cuò)誤, 造成信息損壞或丟失, 導(dǎo)致數(shù)據(jù)在處理過(guò)程中發(fā)生偶發(fā)錯(cuò)誤;信息系統(tǒng)的高度集成, 導(dǎo)致系統(tǒng)的

6、復(fù)雜性、依賴(lài)性和脆弱性, 并引發(fā)各種風(fēng)險(xiǎn), 如數(shù)據(jù)容易被修改和盜取, 用磁介質(zhì)存儲(chǔ)數(shù)據(jù), 其穩(wěn)定性和安全性較差;計(jì)算機(jī)病毒的侵害容易造成數(shù)據(jù)丟失。(二) 控制風(fēng)險(xiǎn)1.控制風(fēng)險(xiǎn)的含義。控制風(fēng)險(xiǎn)是指與IT活動(dòng)相關(guān)的內(nèi)部控制體系不能及時(shí)預(yù)防或檢測(cè)出存在的重大錯(cuò)誤的風(fēng)險(xiǎn)。2.常見(jiàn)的控制風(fēng)險(xiǎn)。系統(tǒng)數(shù)據(jù)風(fēng)險(xiǎn)。數(shù)據(jù)在輸入時(shí)缺乏嚴(yán)格的控制, 造成數(shù)據(jù)錯(cuò)誤;數(shù)據(jù)存儲(chǔ)高度集中, 缺乏嚴(yán)格的分級(jí)瀏覽控制;人工檢查計(jì)算機(jī)日志風(fēng)險(xiǎn)很高, 大量的日志信息導(dǎo)致人工檢查容易出錯(cuò)。系統(tǒng)環(huán)境風(fēng)險(xiǎn)。包括軟件環(huán)境風(fēng)險(xiǎn)和硬件環(huán)境風(fēng)險(xiǎn)。一方面是因?yàn)橛?jì)算機(jī)信息系統(tǒng)的復(fù)雜性以及信息系統(tǒng)的網(wǎng)絡(luò)化, 另一方面是因?yàn)橛?jì)算機(jī)設(shè)備的多樣化, 從而導(dǎo)致

7、系統(tǒng)環(huán)境風(fēng)險(xiǎn)增大。系統(tǒng)控制風(fēng)險(xiǎn)。是由于信息系統(tǒng)的內(nèi)部控制不嚴(yán)密造成的風(fēng)險(xiǎn), 如審批設(shè)置不合理、不相容崗位權(quán)限互通、 用戶(hù)擅用權(quán)限等。(三) 檢查風(fēng)險(xiǎn)1.檢查風(fēng)險(xiǎn)的含義。檢查風(fēng)險(xiǎn)是指通過(guò)預(yù)定的審計(jì)程序未能發(fā)現(xiàn)重大、單個(gè)或與其他錯(cuò)誤相結(jié)合的風(fēng)險(xiǎn)。2.常見(jiàn)的檢查風(fēng)險(xiǎn)。審計(jì)管理風(fēng)險(xiǎn)。由于IT審計(jì)管理制度不健全、不完善而導(dǎo)致的風(fēng)險(xiǎn), 主要包括缺乏相關(guān)的IT審計(jì)操作規(guī)范, 導(dǎo)致審計(jì)人員各行其是。審計(jì)目標(biāo)、內(nèi)容和手段各不相同, 審計(jì)管理風(fēng)險(xiǎn)增大。審計(jì)技術(shù)風(fēng)險(xiǎn)。指由于審計(jì)軟件本身缺陷造成的風(fēng)險(xiǎn), 主要包括計(jì)算機(jī)審計(jì)技術(shù)的開(kāi)發(fā)和推廣落后于信息技術(shù)的發(fā)展, 并且技術(shù)含量偏低;開(kāi)發(fā)人員對(duì)審計(jì)業(yè)務(wù)不熟悉;沒(méi)有經(jīng)過(guò)相關(guān)

8、部門(mén)鑒定, 導(dǎo)致審計(jì)軟件運(yùn)行有風(fēng)險(xiǎn);審計(jì)軟件與信息系統(tǒng)軟件的接口不匹配, 導(dǎo)致數(shù)據(jù)不能導(dǎo)出等。人員操作風(fēng)險(xiǎn)。指審計(jì)人員在對(duì)信息科技方面進(jìn)行審計(jì)時(shí), 由于知識(shí)不夠或業(yè)務(wù)不熟, 不能有效識(shí)別其內(nèi)部程序控制從而引發(fā)高風(fēng)險(xiǎn)。(四) 總體審計(jì)風(fēng)險(xiǎn)總體審計(jì)風(fēng)險(xiǎn)是指針對(duì)單個(gè)控制目標(biāo)所產(chǎn)生的各類(lèi)審計(jì)風(fēng)險(xiǎn)總和。良好的審計(jì)計(jì)劃應(yīng)盡可能評(píng)估和控制審計(jì)風(fēng)險(xiǎn), 減少或控制所檢查領(lǐng)域的審計(jì)風(fēng)險(xiǎn), 例如采取宜適的審計(jì)工具, 在完成審計(jì)時(shí)把總體審計(jì)風(fēng)險(xiǎn)控制在相對(duì)低的水平之內(nèi), 以達(dá)到預(yù)期的水平。重要性當(dāng)與任何上述風(fēng)險(xiǎn)相結(jié)合時(shí), 是指在問(wèn)題程度上可被組織視為嚴(yán)重的錯(cuò)誤。在規(guī)劃被審計(jì)領(lǐng)域和審計(jì)任務(wù)中所需執(zhí)行的具體測(cè)試時(shí), 必須結(jié)

9、合對(duì)審計(jì)風(fēng)險(xiǎn)的了解來(lái)考慮重要性。對(duì)IT審計(jì)師而言, 確定重要性是比較困難的。例如:邏輯訪問(wèn)安全參數(shù)的設(shè)置允許程序員未經(jīng)審批即可訪問(wèn)所有程序的源代碼, 由于它對(duì)數(shù)據(jù)完整性和準(zhǔn)確性潛在的普遍影響, 可以看作是重大錯(cuò)誤;如果這種訪問(wèn)權(quán)限僅限于少數(shù)不重要的程序, 對(duì)審計(jì)師而言, 這種錯(cuò)誤可以不看作是重大的。也就是說(shuō), 重要性應(yīng)考慮對(duì)組織的整體潛在影響。三、中小商業(yè)銀行信息科技內(nèi)部審計(jì)面臨的困難從十二五到現(xiàn)在的十三五時(shí)期, 中小商業(yè)銀行經(jīng)歷著重大而深刻的變化, 在發(fā)展機(jī)遇的同時(shí), 也面臨著新的挑戰(zhàn)。相對(duì)于大型國(guó)有銀行, 中小銀行的信息科技總體實(shí)力和建設(shè)水平還存在較大差距。隨著信息系統(tǒng)規(guī)模和復(fù)雜度日益增加

10、, 信息科技審計(jì)也面臨著新的挑戰(zhàn), 內(nèi)審部門(mén)應(yīng)加大審計(jì)力度, 評(píng)估信息系統(tǒng)和內(nèi)控機(jī)制的充分性和有效性, 提出整改意見(jiàn)并檢查落實(shí)整改情況, 但仍存在諸多不利因素, 形成一定的困局、急需破解。(一) IT審計(jì)人員不足, 性得不到保證目前, 中小商業(yè)銀行三道防線初建, 普遍有著IT審計(jì)崗位編制不足、IT審計(jì)人員專(zhuān)業(yè)技術(shù)能力不強(qiáng)等情況。以往多是針對(duì)業(yè)務(wù)的審計(jì), 缺少對(duì)信息科技的審計(jì), 更缺乏二者相結(jié)合的審計(jì)。信息科技內(nèi)部審計(jì)力量的薄弱極大地制約了信息科技內(nèi)部審計(jì)的有效性。部分商業(yè)銀行將IT審計(jì)的職責(zé)交給科技部門(mén), 使得科技部門(mén)既是運(yùn)動(dòng)員, 又是裁判員, 審計(jì)的 性得不到保證。如果能夠吸納一些業(yè)務(wù)型、科

11、技型結(jié)合的復(fù)合型人才加盟內(nèi)部審計(jì), 無(wú)疑將推動(dòng)中小商業(yè)銀行內(nèi)審體系的建立和完善。同時(shí), 各商業(yè)銀行也應(yīng)關(guān)注此方面人才的開(kāi)發(fā)與培養(yǎng)。(二) IT審計(jì)方法及規(guī)范缺乏多數(shù)中小商業(yè)銀行在IT審計(jì)時(shí)只是對(duì)標(biāo)檢查, 缺少有效可行的審計(jì)方法論, 對(duì)銀行信息科技風(fēng)險(xiǎn)管理現(xiàn)狀的認(rèn)識(shí)和見(jiàn)解不足, 在IT審計(jì)過(guò)程中不知如何審、不知道審什么, 無(wú)法把握審計(jì)重點(diǎn), 無(wú)法觸及風(fēng)險(xiǎn)隱患, 從而很難發(fā)現(xiàn)存在的重大問(wèn)題或缺陷。(三) IT審計(jì)目的不明確目前大部分中小銀行的IT內(nèi)部審計(jì)都是為了滿(mǎn)足監(jiān)管要求, 沒(méi)有從行內(nèi)業(yè)務(wù)驅(qū)動(dòng)的角度出發(fā), 缺少為科技引領(lǐng)提供保駕護(hù)航的認(rèn)知和力度。(四) IT審計(jì)手段落后目前大部分審計(jì)部門(mén)沒(méi)有專(zhuān)門(mén)

12、的IT審計(jì)平臺(tái)及工具, 對(duì)于較為重要的業(yè)務(wù)系統(tǒng), 無(wú)法進(jìn)行有關(guān)技術(shù)環(huán)節(jié)、運(yùn)行環(huán)境、業(yè)務(wù)處理等方面的測(cè)試, 更有情況會(huì)出現(xiàn)過(guò)分依賴(lài)科技部門(mén), 導(dǎo)致IT審計(jì)工作的效率 降低。(五) 審計(jì)整改力度不夠IT審計(jì)的對(duì)象基本上是科技部門(mén), 其他相關(guān)部門(mén)對(duì)于審計(jì)發(fā)現(xiàn)的問(wèn)題往往抱著事不關(guān)己, 高高掛起的態(tài)度。高管層雖然重視, 但因?yàn)楦吖軐訉?duì)信息科技理解有限, 對(duì)專(zhuān)業(yè)性的風(fēng)險(xiǎn)認(rèn)識(shí)不足, 信息科技風(fēng)險(xiǎn)通常依賴(lài)于科技部門(mén), 造成整改未能落到實(shí)處。根據(jù)木桶短板效應(yīng), 一只水桶的容量取決于它最短的那塊木板。在信息科技防范中也是如此, 業(yè)務(wù)人員如果不重視信息科技風(fēng)險(xiǎn)防范, 一個(gè)誤操作就可能能讓銀行在整個(gè)安全體系建設(shè)方面的

13、努力付之東流。四、實(shí)施風(fēng)險(xiǎn)控制的審計(jì)理念(一) 擺正位置, 明確使命擺正位置有助于減少阻力, 從而可以順利地開(kāi)展審計(jì)工作。IT風(fēng)險(xiǎn)控制審計(jì)的目的與科技部門(mén)的目標(biāo)一致, 都是為了全面提升信息科技風(fēng)險(xiǎn)管理的水平, 保證信息系統(tǒng)安全穩(wěn)定運(yùn)行。通過(guò)揭示內(nèi)部控制的不足, 促進(jìn)內(nèi)部控制水平的提升, 并制定基于成本效益原則的解決方案, 以改善內(nèi)部控制現(xiàn)狀。僅僅揭示問(wèn)題沒(méi)有什么實(shí)質(zhì)性作用, 只會(huì)讓被審計(jì)部門(mén)或個(gè)人感到難堪, 并且引起對(duì)審計(jì)人員的反感。解決問(wèn)題才能產(chǎn)生真正的價(jià)值, 揭示問(wèn)題只是實(shí)現(xiàn)目標(biāo)的手段。最終目標(biāo)是為了改善內(nèi)部控制的現(xiàn)狀。如果僅告訴管理層某方面存在安全漏洞, 這可能因揭示他人的不足而提升了自

14、身的形象, 但漏洞依然存在, 依舊面臨風(fēng)險(xiǎn)。只有在安全漏洞被堵住的時(shí)候, 才真正有價(jià)值。因此, IT審計(jì)的真正使命是幫助改善內(nèi)部控制的現(xiàn)狀。(二) 兩級(jí)分化, 走出誤區(qū)兩級(jí)是指唯技術(shù)論和無(wú)技術(shù)論。IT審計(jì)專(zhuān)業(yè)性很強(qiáng), 覆理層將IT審計(jì)的職能落到科技部, 將IT控制審計(jì)做成了安全檢查, 在注重技術(shù)方面的缺陷時(shí)而忽略了管理方面存在的風(fēng)險(xiǎn), 這是一種舍本逐末的行為。俗話(huà)說(shuō), 三分靠技術(shù), 七分靠管理。對(duì)于風(fēng)險(xiǎn)防控來(lái)說(shuō), 管理是基礎(chǔ), 技術(shù)是輔助, 切不可本末倒置。無(wú)技術(shù)論是指審計(jì)部門(mén)缺乏IT專(zhuān)業(yè)人員, 認(rèn)為IT審計(jì)完全不需要技術(shù)知識(shí), 只要有一套詳細(xì)、完整的檢查手冊(cè), 對(duì)標(biāo)就可以完成的。這種觀點(diǎn)也不

15、可取, 信息科技涵蓋的范圍太廣, 就新系統(tǒng)的建設(shè)而言包括可行性分析、需求分析、項(xiàng)目管理、質(zhì)量管控、測(cè)試等, 單靠套檢查手冊(cè)不可能涵蓋所有檢查細(xì)節(jié)。這種檢查僅是停留在文檔有沒(méi)有的表面合規(guī)的狀態(tài)下, 真正做到風(fēng)險(xiǎn)控制必須是檢查內(nèi)容好不好、達(dá)到一定的深度。五、我行采取的風(fēng)險(xiǎn)控制審計(jì)的基本方法(一) 善于從業(yè)務(wù)部門(mén)和IT 推動(dòng)內(nèi)部控制體系建設(shè)工作IT風(fēng)險(xiǎn)防控不能僅依靠科技部門(mén), 而是要全行所有部門(mén)共同參與。審計(jì)對(duì)象不能局限于科技部門(mén), 也要通過(guò)對(duì)業(yè)務(wù)部門(mén)的訪談和實(shí)地檢查, 了解科技部門(mén)是否按照業(yè)務(wù)部門(mén)的需求進(jìn)行開(kāi)發(fā)并落到實(shí)處。在重要業(yè)務(wù)系統(tǒng)使用和日常安全管理方面, 發(fā)現(xiàn)其管理存在的漏洞缺陷。例如, 在

16、客戶(hù)敏感信息的保護(hù)方面需要重點(diǎn)審計(jì), 應(yīng)逆向檢查系統(tǒng)對(duì)信息安全的管控措施是如何落實(shí)的, 增強(qiáng)其IT風(fēng)險(xiǎn)防范的意識(shí)。針對(duì)科技部門(mén), 要善于將IT突發(fā) 作為審計(jì)的入口, 既要關(guān)注突發(fā) 的處置過(guò)程, 更要關(guān)注突發(fā) 處置后的總結(jié), 對(duì) 處理流程進(jìn)行梳理和更新。(二) 抓住審計(jì)重點(diǎn), 揭示主要風(fēng)險(xiǎn), 強(qiáng)化應(yīng)急管理一是抓住審計(jì)重點(diǎn), 梳理我行風(fēng)險(xiǎn)點(diǎn), 通過(guò)風(fēng)險(xiǎn)點(diǎn)揭示我行在管理層面和技術(shù)層面上的問(wèn)題和不足, 以達(dá)到提升其整體風(fēng)險(xiǎn)防控能力的目的。二是強(qiáng)化應(yīng)急管理。在審計(jì)過(guò)程中要重點(diǎn)關(guān)注應(yīng)急管理, 一方面須關(guān)注應(yīng)急預(yù)案的制定、修訂及開(kāi)展的演練情況;另一方面須關(guān)注發(fā)生IT突發(fā) 后的應(yīng)急響應(yīng)和處置, 以及根據(jù)實(shí)際情況對(duì)應(yīng)急機(jī)制的完善。(三) 協(xié)同工作, 形成合力審計(jì)部門(mén)的IT審計(jì)崗與科技部門(mén)的內(nèi)控崗協(xié)同合作, 根據(jù)我行實(shí)際情況創(chuàng)建一套體系化的審計(jì)框架和控制目標(biāo)。在IT控制點(diǎn)與風(fēng)險(xiǎn)庫(kù)的建立方面充分發(fā)揮主觀能動(dòng)性,