网站原创中图分类号:F239.6文献标识:A文章编号:1009-4202(2011)03-207-02
摘 要本文在分析商业银行实施信息技术审计的必要性的基础上,给出了信息技术审计的内涵,并结合笔者多年的银行信息技术审计工作的经验,提出了当前中国商业银行信息技术审计体系的框架,并对信息技术的一般控制审计及应用控制审计做了详尽阐述.
关 键 词信息技术审计(ITA)商业银行审计体系
在现代金融系统中,商业银行扮演着极其重要的角色,而中国的商业银行在中国的金融体系乃至国民建设中都发挥着举足轻重的作用.在信息技术高速发展的今天,几乎每一个银行业务的处理都离不开信息系统,因此对信息系统的高可用性、高安全性有着非常高的要求.同时信息技术的发展与应用已经决定着商业银行的业务发展方向、模式以及创新能力,直接形成银行的核心竞争力.银行IT建设已经成为银行在市场竞争中的一项关键资源,因此对银行IT的风险控制与管理已经非常的重要,对商业银行的信息技术审计(ITA)提出新的要求.
一、商业银行IT审计的必要性
(一)IT审计是商业银行信息技术应用的必然结果
商业银行从最开始手工账务处理,到今天的信息技术覆盖到银行的方方面面.针对国内商业银行,据相关的数据统计,硬件网络平台已经实现了100%的应用,软件应用已经覆盖了80%以上的商业银行业务.从传统的手工处理,到今天的网上银行、手机银行等,商业银行对信息系统依赖性的日益增强,犯罪分子利用网络对银行信息系统攻击和破坏是益增多,必须要求对商业银行的信息基础建设及信息系统进行审计.
(二)IT审计是商业银行IT风险控制的必然要求
当前银行信息系统所采用IT技术与信息系统软硬件本身存在着大量的脆弱性,如硬件故障、系统漏洞、意外灾祸都会造成银行系统不能正常工作.国外相关统计数据表明,一些银行系统失效的风险损失占到总风险损失的10%-20%.如2009年1月下旬,某银行综合业务系统发生故障,造成综合业务系统故障时间约11个小时,导致整个银行不能对外营业,客户怎么写作中断达4个小时,这种系统带来风险不仅给银行带来经济上的损失,而且直接关系到银行的声誉风险.
| 有关论文范文主题研究: | 关于信息系统的论文范例 | 大学生适用: | 专科毕业论文、自考论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 42 | 写作解决问题: | 如何写 |
| 毕业论文开题报告: | 文献综述、论文总结 | 职称论文适用: | 刊物发表、职称评副高 |
| 所属大学生专业类别: | 如何写 | 论文题目推荐度: | 优秀选题 |
(三)IT审计既是银行信息化建设的必然保障,也有利于商业银行业务运营风险的防范
由于我国商业银行IT建设的起步较晚基础薄弱,同时在IT建设之初又缺乏系统、统一的规划,致使我国商业银行信息系统的建设缺乏标准性、前瞻性、规划性,重复建设严重,数据不完整或难以统一,甚至系统建好后发现不能满足要求而闲置等垢病.IT审计可以从IT建设规划,IT组织架构等方面加以评价或监督,推动银行信息化建设环境的治理.另一方面,由于银行业务经营风险很大程度上已经转移到信息系统的风险控制上,因此需要对信息系统的有效性进行评价,包括信息资产的保密性、完整性和可用性.
(四)IT审计也是商业银行审计发展的必然要求
随着信息技术在银行的应用,银行不实行IT审计,审计的内容不全面,审计风险也无法控制.而我国绝大多数银行现在IT审计都处于摸索试验的阶段,IT审计的基础相当薄弱,有些银行对IT风险监管缺乏独立性、系统性、全面性,这些都要求银行加快IT审计的步伐.
二、商业银行IT审计的内涵
到目前为止,国际上对IT审计定义也未形成统一标准的概念.一般来说国外的IT审计始于20世纪60年代的美国,从其发展历程来看,大概经历了三个阶段.最初是电子数据处理(EDP)审计,满足对财务电算化系统进行审计的需要,然后经历了以信息系统审计(ISA)为中心审计阶段,到今天逐渐形成独立的信息技术审计(ITA).
而国内IT审计起步比较晚,还处于探索阶段,大家的认识也不统一,观念上仍存在若干模糊概念.纵观我国商业银行IT审计发展历程及做的IT审计项目,有以下几个方面特点:其一,认为IT审计就是对信息系统的审计(ISA),即对“计算机化的系统进行审计”,其审计对象、审计范围都有其局限性.其二,认为IT审计是审计人员利用计算机对财务数据进行审计,或者是等同于审计信息化,即运用IT手段或审计工具辅助传统审计或对传统审计进行深化.其三,将IT审计定义为IT运营环境的风险控制,包括IT基础环境安全、网络安全、信息安全等内容.在当前形势下,必须对IT审计形成一个统一、规范的认识,这才有利于IT审计工作的开展和IT风险的防范,也将为IT审计形成行业规范和建立准则奠定基础.
综合众多观点以及IT审计在我国的实施情况,笔者结合多年在商业银行IT审计经验,认为IT审计(InformationTechnologyAudit,简称ITA)是根据公认的标准和指导规范,对企业的信息技术应用和全体信息资产的安全、效率、潜在风险进行评价,从而保证整体IT资源能促进企业战略目标的实现,推动企业的可持续发展.商业银行的IT审计不仅是评价银行IT基础设施、系统稳定安全的运行,同时涵盖系统的建设、系统对业务的支持、以及IT环境建设及IT治理等方面.
三、商业银行中IT审计体系框架及主要内容
当银行业务的处理已经高度依赖于信息系统的稳定运行的今天,信息科技风险的防范,需要从一个更宏观的角度,对商业银行信息技术建立一个整体有效的监控体系.笔者结合多年商业银行IT审计的工作内容,以及对银行所面临的IT风险思考,提出商业银行IT审计体系框架应当是覆盖了银行IT的基础建设、保障、安全,信息系统整个生命周期中的全部活动和资源,以及信息系统的应用领域.与商业银行信息技术的建设不同,银行IT审计更关注潜在可能风险、风险的规避、管理和控制等.其主要内容一般可以分为两个大的方面,即IT一般控制审计与IT应用控制审计.
IT一般控制审计IT一般控制审计主要包括以下几个方面的内容:IT环境治理的审计、IT基础建设的审计、IT系统开发建设过程的审计等.其具体的审计内容见表1:
IT应用控制审计IT应用控制审计可以分为两方面的内容:
1.信息系统审阅:审计人员参与到信息系统的整个开发过程,在系统的需求论证、系统的基本架构、系统与系统之间关系与影响、开发过程中对主要业务流程控制点、测试与交付等重大控制点发表自己独立专业的意见,为保证系统能满足业务要求和符合企业战略发展提供独立意见.
2.信息系统应用控制审计:审计人员应当对已开发的系统以第三方身份进行独立审计,尤其是对开发过程中无独立的风险部门参与实施的系统.信息系统应用控制审计的内容包括输入输出控制、计算的准确性、系统接口及数据转换的安全性与一致性、访问权限的控制与设计、系统流程对业务流程的表达与控制等,用来评价信息系统是否能准确的对业务提供支持,有效的防范操作风险,同时不产生额外的风险,并且随着业务的发展提出系统持续改进的意见.
四、结语
商业银行IT审计既是银行信息技术应用与审计发展到一定阶段的共同产物,同时也是银行控制自身风险的必然要求.中国商业银行实施IT审计任重而道远,这既有赖于中国商业银行IT治理环境与文化的建立,更有赖于中国IT审计人才的储备及成长,它不仅要求IT审计人员懂得IT技术本身,更应当懂得银行业务,同时还得有现代企业风险控制的意识.