商业银行IT审计
商业银行IT审计势在必行
前 .随苻商业银 行信息化 建设的进
・ 步完
维 护 等 符 个
进i nf价 .确 仪 I 相 关 的 风 T
善 , 业 银行 对 【 统 的 依 赖 性 越 米 越 强 , l 商 T系 Jr’
义 为 : 收 集 井 评 估 证 骷 以便 判 断 一 1 计 算 机 的 乐 、
缆 l 否 有 效 做 到保 护 资 产 、 护 数 据 完 档 . 成 址 维 完 织 E 标 最 经 济 地 使 用 资 源 德 勤 华 水 会 计 帅 箭 l 所 有 限公 吲合 伙 人 P tr t ec K l o将 l T市 汁描 述 为 : 审 计 人 员 接 受 委托 ,收 集 , 1 估 “ 据 以 削 断 汁 荫 帆 E
州川 l 所 或 々 、 术 服 静提 供 商 完 成 的 外 部 审 舞 J 技
外 审 讣 洒 常 为 }市 、 蚴 年 终 检 雀 或 按 井 If 浊 规 的 篮求 Ⅲ址 I关 = 『 =
商 、 议 仃 } 邪{ } J 有 檄 划 、管 理 干 跟 踪 高 速 变 ¨ 化 的 f 技 水 . ’ 够 挺 息 能 u 支持 新 的 J 仙 金 融 ・
计 则 应 该 关 注 管 理 层 如 何 确 定 机 构 的 I 风 险 暴 T
系 统 是 番 有 效 做 刮 保 护 资 产 、维 护 数据 完 监 并 啦
有效 率 地 完 成 组 织 日标 帕 活 动 过 程 ・ 般 !. l i r ’
H 疔 化 迅 谜 . r’ 赖r l . 得 I'}讣 成 为 陵. 刈 l依 l 凡 使 很 ’r I r f 效 总 体 巾 汁 制 度 的 最 要 圭【 部 分 .市 汁制 度 成 | 【成 _
论商业银行的IT审计
论商业银行的IT审计作者:朱华娜李梦来源:《现代经济信息》2013年第24期摘要:目前,主要金融IT审计模式是对商业银行静态数据进行分析和测试,是一种数据式审计。
从审计实践来看,这种审计方式由于缺乏对系统的控制而不能保障电子数据的唯一性、完整性和准确性,无法从根本上有效控制被审计单位的电子数据质量;从发展趋势来看,数据式审计方式由于过分关注数据本身而缺乏对系统整体的分析,难以控制总体审计风险,其局限性正逐渐显露出来。
本文将以此为出发点,浅论尽快开展商业银行信息系统IT审计的必要性。
关键词:商业银行;IT审计;数据;必要性;方法;展望中图分类号:F239 文献标识码:A 文章编号:1001-828X(2013)12-0-01一、商业银行进行信息系统审计的意义(一)商业银行日益依赖信息系统。
商业银行信息系统一般可分为信息管理类系统、渠道类系统和外部清算结算类系统。
1.信息管理类系统与决策、管理和业务相关,以提高效率和规避风险为目的,主要有贷款系统、征信系统、客户管理系统、资产负债管理系统、办公自动化系统、档案系统(票据影像缩微系统和光学字符识别OCR)、数字终端录像系统、数字视频监控系统等。
2.渠道类系统是商业银行面向市场和客户的窗口,也是对外服务使用的载体,包括人工渠道、电子渠道和第三方渠道。
人工渠道有柜面服务和职能部门的业务终端(例如会计账查询系统等);电子渠道分为自助服务系统(电话银行、手机银行和网上银行)和自助服务终端(ATM和P0S);第三方渠道包括银联交易、区域性通存通兑和同城跨行通存通兑等。
外部清算类系统是指有外部接口的系统,包括行间资金转账系统SHFT,主要有大额清算系统、同城交换系统、同业往来清算系统和第三方存管清算系统。
(二)大数据时代将到来。
随着信息系统的大力发展,商业银行信息系统出现了爆发式的增长,银行业务越来越依赖信息系统,商业银行的竟争很大一部分是靠信息战。
目前,各大银行都实现了数据的总行大集中,信息数据己经成为银行的核心竟争力之一,大数据时代即将到来。
商业银行计算机辅助审计精讲课件
1
主要内容
1.计算机辅助审计概论 2.计算机辅助审计的必要性 3.计算机辅助审计的优点 4.计算机辅助审计的成功要素 5.计算机辅助审计程序 6.计算机辅助审计案例
2
计算机辅助审计概论
一、计算机审计(IS AUDIT): ➢ 对信息系统的审计 ➢ 信息系统是审计对象 ➢ 审计内容包括系统开发、运行、应急管理等
15
持续审计在商业银行中的应用
利用计算机数据,为每类业务或产品制定关键风险指 标(Key Risk Indicator - KRI)
进行实质性测试及验证,以发现存在的问题及高风险 分行/支行
根据 KRI 数据,对高风险分行/支行进行实地检查, 以确保审计覆盖范围的足够性
16
关键风险指标
17
随着信息技术的广泛应用,审计对象的信息化使得传统 的纸质踪迹和审计数据或者消失或者存储在新的电子环境 中,传统的审计方法面临很大的挑战,手工审计变得很低 效,甚至无效。
审计人员为了适应现今信息时代的需要,必须使用计 算机辅助审计技术来完成审计任务。
5
计算机辅助审计的优点
6
计算机辅助审计的成功要素
8
信息和数据的概念
如:今年高考理科录取分数线为580分 王同学的高考成绩为591分 “王同学今年有可能被某一大学录取”这一信息。
9
数据库的概念
在日常工作中,需要处理的数据往往非常大,为便于计算 机对其进行处理,将采集的数据存放在建立于磁盘、光盘等外 存媒介的“仓库”中,这个“仓库”就是数据库(简称DB)。
二、计算机辅助审计技术(CAATs):为了满足信息化环境下审计的需 要,基于计算机的用来对信息系统、或被信息系统处理的数据进行 审计的技术。
COBIT与商业银行的IT审计
COBIT与商业银行的IT审计来源:CIO时代网伴随着我国商业银行信息化建设的不断深入和飞速发展,信息已经成为商业银行可持续发展的重要基础性资源。
信息技术已不再是单纯的业务实现手段和支持方式,而逐渐成为商业银行战略规划、投资决策所必须考虑的重要因素之一。
信息技术在为商业银行提供了大量便利的同时,也带来了巨大的操作、法律和信誉风险。
因此,如何管理好信息与信息资源,如何充分利用信息技术保证银行在竞争日趋激烈的金融市场中占据优势,是摆在银行高级管理人员面前的一个课题。
商业银行的IT审计是加强商业银行内部控制的有力手段,它不仅能有效促进商业银行核心业务系统的安全平稳运行,而且通过对IT战略目标与商业银行总体发展目标的一致性评估,可以最大限度地规避战略风险、投资风险和运行风险,保证商业银行的可持续发展。
一、IT审计的内涵目前,国内外商业银行的数据集中已成为必然的发展趋势。
数据的集中给商业银行的决策层提供了及时、准确、全面的信息资源和有效的基础平台,实现了银行业务数据与营业机构的分离,为银行的管理集中和科学运营奠定了坚实的基础。
同时,数据的集中也带来了IT决策风险、信息系统建设投资风险、信息系统运行维护风险的相对集中。
如何有效地规避上述风险,并对其内控措施的有效性进行评估,是商业银行每位高级管理人员都非常关心的问题。
商业银行IT审计不仅能够满足上述需要,而且还能对信息科技队伍的建设情况、运行效率等诸多内容做出相应的评价,以确保信息发展与银行发展战略目标的一致性。
商业银行IT审计的范围覆盖了全行所有系统的应用领域,以及信息系统整个生命周期中的所有活动和所有资源。
与信息系统的建设不同,IT审计更关注风险的规避、管理和控制。
其主要内容包括银行IT战略规划审计、银行信息系统需求获取和开发过程审计、系统交付后技术支持和运行维护审计、对整个系统生命周期中相关管理活动的审计、对相关过程中文档管理的审计、对相关人员的审计、对外部委托业务的审计、对灾难恢复和业务持续性计划的审计等内容。
关于商业银行IT审计问题的研究_中国工商银行内部审计局课题组
时, 它只是传统财务审计业务的一种辅助工具, 对客户 的电子化会计数据进行处理和分析, 为财务报表审计师 的审计结论提供支持服务。在制度基础审计模式下, 计 算 机 审 计 的 业 务 内 容 已 经 扩 展 到 了 符 合 性 测 试 领 域 。随 着计算机技术应用范围的不断扩展, 计算机对被审计单 位各个业务环节的影响越来越大, 计算机审计所关注的 内容也从单纯的对电子数据的处理, 延伸到对计算机系 统的可靠性、安全性进行检查和评估。风险基础审计 模 式的采用以及信息技术在被审计单位各个领域的广泛 应 用 , 信 息 系 统 的 安 全 性 、可 靠 性 与 其 所 服 务 的 组 织 所 面临的各种风险的联系越来越紧密, 并且直接或间接地 影响到财务报表的真实、公允。在这种情况下, 对被审计 单位风险的评估必须将计算机信息系统纳入到考虑范 围之中, 真正的 IT 审计概念也随之出现。从 IT 审计的发 展进程来看, 可以将其分为 IT 审计的萌芽、发展 、成熟、 普及四个阶段。
4. IT 审计的普及阶段。到了 20 世纪 90 年代, 计算 机技术飞速发展, 信息系统越来越复杂化、大型化、多 样 化及网络化。INTERNET 使信息系统的作用得到充分发 挥, 其作为电子商务、金融证券的支撑平台, 为 人们提供 极大方便的同时, 也变成了计算机犯罪的场所。同时, 信 息系统的安全也逐渐成为事关国家安全和主权的重要 问题。因此, 如何确保网络环境下信息系统安全、可靠和 有效变得越来越重要。国际上惟一的 IT 审计与 控制 协 会 ISACA 在 1996 年 制 定 了 信 息 系 统 的 审 计 标 准— —— COBIT, 用来指导 IT 审计人员的工作; 同时, 它还推出了 IT 审 计 师 ( CISA) 的 资 格 考 试 等 一 系 列 措 施 , 从 而 确 保 IT 审 计 从 业 人 员 的 素 质 , 为 信 息 系 统 审 计 的 普 及 、规 范 和发展奠定了坚实的基础。
试析制约商业银行计算机审计发展的瓶颈与解决思路
试析制约商业银行计算机审计发展的瓶颈与解决思路自上世纪九十年代开始实施商业银行计算机审计,至今已十年有余。
从实践情况看,计算机审计在提高工作效率、发现大案要案线索、节约人力等方面都卓有成效,但这些与最初设想的计算机审计目标还有较大的距离,尚未实现计算机审计的模式化、程序化、系统化。
主要表现在审计过程中,数据导入、结构分析、计算机模块编写依旧繁琐复杂,且需要大量时间。
这已成为制约商业银行计算机审计发展的突出瓶颈,本文试就造成这一局面的根源作以剖析,并结合计算机审计实践提出解决思路。
一、商业银行计算机审计发展瓶颈所在后台数据库的不统一造成数据导入工作的繁重。
目前,各商业银行计算机系统主要采用DB2、Oracal和SQL Server作为后台数据库,而审计署计算机培训的主要是SQL Server数据库,且OA及通审这两种主要审计软件更多支持SQL Server数据库。
因此,在计算机审计过程中,审计人员通常要将DB2和Oracal数据库中的数据导入到SQL Server数据库中,才能利用审计软件进行分析和检索。
这就需要先从银行数据库中导出文本格式的原始数据和建表脚本,再将这些建表脚本在SQL Server 数据库中运行,尔后才能将这些文本格式的原始数据导入。
在不同的数据库中,由于同一数据类型的名称各不相同,往往需要审计人员对导出的建表脚本一一进行修改。
更为繁琐的是,由于数据库之间固有差异,在数据导入过程中,还经常遇到诸如少列分隔符、数据格式不正确之类的问题。
以上问题使得这看似简单的一进一出,操作起来却需要耗费大量的时间和精力,导致审计人员难以有充足的时间和精力去研究计算机审计更深层次的问题。
数据结构的不一致导致结构分析工作的繁琐。
为了保证各自商业数据的安全,商业银行均在严格保密的前提下设计自己的数据结构。
这些数据结构各不相同,并且,随着银行自身计算机系统的更新升级,数据结构也在产生巨大的变化。
因此,在对每个商业银行实施计算机审计时,都需要重新分析该行数据结构,寻找系统中主要的表和字段等。
商业银行IT审计内部培训课件
I目T审录计规划
1 IT审计概述 1.1 导言 1.2 IT审计概念 1.3 IT审计方法
2 以风险控制为导向的IT审计 2.1 风险分析 2.2 风险管理
3. IT审计与合规 3.1 法律法规 3.2 合规审计
4. IT审计规范与流程
2
1.1 导 言
事实
作为当前信息安全业界一个逐渐得到公认的事实:在安全事件造成的损失 中,有75%以上来自内部,其中包括内部人员的越权访问、滥用、以及误操作 等。一个针对大型运营商高级IT经理进行的调查问卷显示,66%的经理认为内 部滥用和误用、经营数据泄漏,以及病毒是最严重的安全威胁,作为对比,认 为黑客入侵是最严重威胁的只有13%。
21
2.1 风险分析
一个现场演示风险产生的实例---帐号和口令获取
攻击者
用户账号
成功获取
22
2.1 风险分析
威胁代理
Threat agent
直接影响 Give Rise To
威胁 Threat
分析实例: ① 风险的产生原因 ② 风险产生的过程 ③ 解决问题的办法
直接影响Directly Effects
5
1.1 导 言
为什么需要需要审计
• 符合政府和行业的法规要求
• 通过实时或者非实时的IT审
计,为系统管理员提供有效 的系统健康度测量依据
合规性
• 妥善保存的日志为司法公
正提供有效证据
法律取证
• 对IT系统进行审计和复核
有助于发现或防止IT风险 的发生
测量IT系统健康度
WHY
风险控制
6
1.2 IT审计概念
SOX法案共分11章 第1至第6章主要涉及对会计职业及公司行为的监管,
商业银行 IT 审计体系构建的研究
商业银行 IT 审计体系构建的研究商业银行在现代金融系统中扮演着极其重要的角色,在中国也是如此。
银行 it 建设已经成为银行在市场竞争中的一项关键资源,因此对银行 it 的风险控制与管理已经非常的重要,对商业银行的信息技术审计(ita)提出新的要求。
一、商业银行 it 审计的必要性(一)it 审计是商业银行信息技术应用的必然结果商业银行从最开始手工账务处理,到今天的信息技术覆盖到银行的方方面面。
针对国内商业银行,据相关的数据统计,硬件网络平台已经实现了 100%的应用,软件应用已经覆盖了 80%以上的商业银行业务。
从传统的手工处理,到今天的网上银行、手机银行等,商业银行对信息系统依赖性的日益增强,犯罪分子利用网络对银行信息系统攻击和破坏是益增多,必须要求对商业银行的信息基础建设及信息系统进行审计。
(二)it 审计是商业银行 it 风险控制的必然要求当前银行信息系统所采用 it 技术与信息系统软硬件本身存在着大量的脆弱性,如硬件故障、系统漏洞、意外灾祸都会造成银行系统不能正常工作。
国外相关统计数据表明,一些银行系统失效的风险损失占到总风险损失的 10%-20%。
如 2009 年 1 月下旬,某银行综合业务系统发生故障,造成综合业务系统故障时间约 11 个小时,导致整个银行不能对外营业,客户服务中断达 4 个小时,这种系统带来风险不仅给银行带来经济上的损失,而且直接关系到银行的声誉风险。
(三)it 审计既是银行信息化建设的必然保障,也有利于商业银行业务运营风险的防范由于我国商业银行 it 建设的起步较晚基础薄弱,同时在 it 建设之初又缺乏系统、统一的规划,致使我国商业银行信息系统的建设缺乏标准性、前瞻性、规划性,重复建设严重,数据不完整或难以统一,甚至系统建好后发现不能满足要求而闲置等垢病。
it 审计可以从 it 建设规划,it 组织架构等方面加以评价或监督,推动银行信息化建设环境的治理。
另一方面,由于银行业务经营风险很大程度上已经转移到信息系统的风险控制上,因此需要对信息系统的有效性进行评价,包括信息资产的保密性、完整性和可用性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
商业银行IT审计
————————————————————————————————作者:————————————————————————————————日期:
商业银行IT审计面临的挑战
随着信息技术的兴起,信息系统已经渗透到商业银行业务的各个领域,它在给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生等,系统安全问题日益严峻。
于是,一个不容回避的问题——商业银行如何有效地开展信息技术审计,以保证信息系统安全,摆在了我们面前。
一、it审计的定义及其特点
it审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。
it审计的目标是保证it系统的可用性、安全性、完整性和有效性,最终达到增强企业内部控制的目的。
it审计具有以下特点:
(一)it审计是一个过程。
它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。
(二)it审计的对象综合且复杂。
it审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。
it审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
(三)it审计拓宽了传统审计的目标。
传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一
贯性发表审计意见”;但it审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
(四)it审计是一种基于风险基础审计的理论和方法。
it审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。
二、it审计面临的挑战
it审计和传统审计相比具有的上述特点是吸引我国众多商业银行引入it审计的重要原因,但是这种方法的应用又会给商业银行提出巨大的挑战。
(一)传统审计线索的消失。
在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。
但是,现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸质记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。
(二)计算机信息系统的数据安全面临挑战。
手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在it审计中,网络电子交易数据的安全是关系
到交易双方切身利益的关键问题,也是商业银行计算机网络应用中的重大障碍和审计的首要问题。
例如,计算机病毒的破坏、黑客用ip地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等,都是传统审计从未涉及的,但又是it 审计的重点,这对当前我国的审计工作无论是操作系统,还是制度建立等众多方面都是一个很大的挑战。
(三)it审计专业人才匮乏。
适应it审计事业发展的人才培养和管理机制还有待建立和健全。
由于it审计固有的复杂性,这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的复合型人才,而且工作人员需要对内部控制和审计有深刻的理解,对信息和网络技术有敏锐的捕捉能力,在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。
三、it审计应对策略
面对上述挑战,我们应当勇于实践,积极探索新形势下如何使it审计工作能够满足商业银行发展的需求。
(一)审计线索的重建。
根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点,可以重建电子审计线索:在电子化的原始数据形成时,同时在审计机构(包括内审机构)和关系紧密(签字确认)的部门形成原始数据的“原本”,或在不同部门各自形成相关的数据库(特别应当包括数量、金额和单价等主要数据项),这样不仅可以相互监督和牵制,还给计算机审计提
供可信的审计线索。
这种保留审计线索的方法,一方面成为有力的控制手段;另一方面可从审计线索中发现疑点。
这种方法主要是应用专用的审计比较软件,同时将几个部门的同一种数据库进行自动比较,形成有差异的数据记录文件,详细审查相关的数据文件和访问有关的当事人,从而取得有力的审计证据。
上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用,如果企业业务数据分离存放,如销售合同与销售发票、提货单在不同的部门保存,这种实质性测试也可采用比较审计法,应用专用的审计软件,结合相关的几个业务数据文件进行比较,查出有错误疑点的记录。
(二)确保信息系统的信息安全。
为了保证信息系统的信息安全,it审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况,通过面谈实地审查企业安全管理制度建立和执行的情况,查看企业是否为了预防计算机病毒,对外来的软件和传输的数据经过病毒检查,业务系统是否严禁使用游戏软件,以及是否配置了自动检测关键数据库的软件,使异常及时被发现;检测企业是否为了防范黑客入侵,网络交易的数据库采用离散结构,同时在不同的指定网点(如在交易的双方)形成完整的业务数据备份供特殊使用(如审计和监控);此外,it审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度,审查有关计算机安全的国家法律和管理条例的执行情况。
(三)建立一支完备的it审计专业人才队伍。
it审计的发展必须有一大批专业化的it审计人才,这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。
此外,商业银行可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训。
当前,我国it审计正处于起步阶段,和传统审计相比,it审计的显著特点决定了其势在必行,但一种新的方法的引入和实施必定会给商业银行和审计人员带来巨大的挑战,应该抓住机遇,迎接挑战,使it审计工作不断发展完善。
■。