信息系统审计：管理银行业信息化风险的制度举措

发布时间：2003-11-20　文章来源：作者惠寄 文章作者：孙强 郝亚斌 陈伟
一、银行信息化面临的风险
随着改革开放和国家信息化建设步伐的加快，我国银行信息化建设从无到有、从小到大、从单项业务到综合业务，从单一网点到全国联网已经逐步形成了银行信息化的基本框架，取得了显著的社会效益和经济效益。
信息化有力地促进了银行业务的发展。信息化促使银行业务前后台分离，帮助银行建立起一套运作流畅、适用高效的应用平台，为资金清算、客户服务、风险管理、 稽核等业务提供技术支持；信息化使银行可以利用信息技术整合银行内部的资源，推动银行管理的优化，从而大幅度提高工作效率和银行的效益；信息化可以使现代 银行由原来的储蓄、信贷基本业务，向储蓄、信贷、投资理财、咨询、中间业务等多方向发展，为客户提供更为灵活的服务；信息化也加快了金融创新的步伐，集中 反映在网络金融服务的快速发展上，出现了网络银行、移动银行、电子商务等，这促使了许多新兴服务的发展。
同时我们也应该看到，信息化在推动银行发现的同时，也给银行自身带来了巨大的风险，主要表现在几个方面：
* 随着银行信息化程度的提高，信息系统本身固有的风险在加大
银行业是信息化技术与产品相对密集的行业，中国银行业2002年的信息化建设规模超过了300亿元，并以每年15%的速度增长。由于信息化规模的不断扩 大，信息技术迅速发展，银行信息系统的所采用IT技术与信息系统软硬件本身存在着大量的脆弱性，这些脆弱性被特定的威胁利用，就会产生风险，从而对银行信 息系统的机密性、完整性及可用性产生损害。信息化程度越高，风险就会越大。如：系统漏洞、硬件故障、意外灾祸都会造成银行信息系统不能正常工作，从而造成 重大问题。
* 银行的数据集中处理的风险
工农中建四大国有银行将陆续完成数据大集中，这是银行发展的必然趋势。只有完成数据集中，才能实现了银行账务数据与营业机构的分离，为银行管理集中和科学 运营奠定基础，帮助银行从以账务和产品为中心转变为以客户为中心。但是，数据集中有其有利的一面，也有不利的一面，集中后信息系统风险增大，系统一旦出现 问题，就会影响到整个银行的正常运营。
* 网络金融服务的发展，对银行信息安全问题提出了挑战。
近年来，网络金融服务，如：网上银行、移动银行、电子商务结算等，出现暴发性的增长，已成为目前国际范围内成长最为迅速的银行业务品种，也是银行争相追逐 的利润增长点。中国的网上银行用户2002年底已达到的250万，到2005年，这一数字将达到1.4亿，其中绝大部分的B2B、B2C业务要通过 Internet、无线网、电话网与银行相连。银行业务系统要顺应开放和互连的趋势，其信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统 银行信息安全，如何在公网环境下防止黑客、病毒的破坏，如何在危机四伏的Internet上保证支付系统的安全性，是银行信息系统要面临的挑战。
* 随着对信息安全认识的加深，我们逐渐认识到：“人”的风险其实是最大的风险。
统计结果表明，在所有的信息安全事故中，只有20%-30%是由于黑客入侵或其他外部原因造成得，70%-80%是由于内部员工的疏忽或有意泄密造成的， 银行业也是如此。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题。人的行为是信息安全保障最主要的方面。人特别是银行内部 员工既可以是对信息系统的最大潜在威胁，也可以是最可靠的安全防线，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。银行内部完备的安全管理政 策、安全教育计划与健全的企业安全文化建设才是降低“人”的安全风险的有效手段。以往的各种安全实践的最大缺陷就是忽略了对人的因素的考虑，在信息安全问 题上，要以人为本，人的因素比信息安全技术和产品的因素更重要。
二、银行信息化风险管理需要建立信息系统审计机制
风险管理是目前银行业的主旋律，银行业是通过承担风险来获得收益的金融机构，银行承担的风险状况、以及内部对于风险的识别、衡量、监控和管理程序的完整性，直接影响到银行业的经营状况、进而影响到银行盈利、对债权人的可偿还性、对金融体系稳定的影响等。
银行业的信息安全风险是银行风险管理不可忽略的重要组成部分，虽然各商业银行都有自己的信息安全主管部门，他们是信息安全的建设者、维护者，对信息安全有 着丰富的现场经验与专业经验，但从有效控制风险的角度来看，但他们不足以向董事会或最高管理层保证信息安全的有效性，只有建立信息系统审计机制，由独立的 或相对独立的信息系统审计师进行信息系统审计，出具审计报告，才能形成对信息系统安全的客观评价，原因有以下几个方面：
1）“运动员不能同时兼任裁判员”
银行信息安全的特殊性，要求对信息系统安全的评估要客观、公正，银行信息安全管理人员是内部相关工作人员，自我评价不具备说服力，这就要求独立或相对独立的第三方出具信息安全评估报告。
2）信息安全是一个系统工程
银行信息安全要求对信息系统的各个环节进行统一的综合考虑、规划和构架，并要时时兼顾组织内外不断发生的变化，任何环节上的安全缺陷都会对系统构成威胁。 银行信息安全人员往往只考虑企业当时的需要，去制定控制措施和引入某些技术产品，都难免存在挂一漏万、顾此失彼的问题，使得信息安全这只“木桶”出现若干 “短木块”，从而无法提高安全水平。因此由独立的第三方遵循国内外相关信息安全标准与最佳实践过程，考虑到组织对信息安全的各个层面的实际需求，进行经常 性风险评估，提出改进意见，引入恰当控制，使企业可以有效地、动态地建立合理的安全管理体系，从而保证组织赖以生存的信息资产的安全性、完整性和可用性。
3）信息审计体系的健全和独立是有效的信息安全风险管理的基础
信息系统审计师能审计控制信息系统风险，并不是因为信息系统审计师比银行安全管理人员拥有更多的知识与能力，而是独立的信息审计体系这种“制度”在起作用，用“制度”来保证安全比用“人”和“技术”来保证安全更可靠。
4)　随着对金融监管力度的加大，银行信息披露制的实施，银行信息系统的审计己是当务之急。
银监会的成立、商业银行上市都要求商业银行必须披露财务会计报告、各类风险管理状况、公司治理信息、年度重大事项等重要信息；中国人民银行制定的《商业银 行信息披露暂行办法》规定“商业银行应披露由于内部程序、人员、系统的不完善或失误，或外部事件造成的风险，并对本行内部控制制度的完整性、合理性和有效 性作出说明。”
加大银行信息披露的力度，有利于防范、规避、控制和化解银行的运行风险，促进银行规范、有序、高效、稳健运作，提高银行的资产营运质量和运作效率。银行信 息系统是银行业务运营的基础平台，安全的信息系统才能保障银行的健康发展，信息系统的风险状况是重要的信息披露内容之一。独立的信息系统审计是检查、管理 银行信息安全风险，披露银行信息的重要制度举措。
信息系统审计是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。由于信息技术在经营、管理领域的广泛运用，信息系统审计已经贯穿在各种审计之中，成为审计全过程的一部分。
信息系统审计工作可以分为两大类：一种是组织自行完成的内部审计，内部审计的主要目的是检查组织各部门对安全保障制度的遵守情况，要保证内部审计师在他们 能自由地和客观地进行工作时时独立的，独立性可使内部审计师提出公正的和不偏不倚的判断意见。信息系统审计执行主管应该对审计委员会、董事会或其他治理机 构报告业务工作，向机构的首席执行官报告行政工作。另一种是由会计师事务所或专业技术服务提供商完成的外部审计。外部审计通常是因为上市、并购、年终检查 或其它法规的要求而进行，一般都很正规，也非常深入。进行信息审计的受托方应当独立于委托方，以保证信息系统审计的客观性与公正性。
信息系统审计作为新兴的职业和学科体系，近年来逐渐升温，信息系统审计审计师（CISA）正以每年40%—50%的速度增加，也显示了信息系统审计的发展 需求。美国等先进国家很早就开展由独立资格的第三方进行的信息系统审计，建立了完善的信息审计制度。从国内信息化建设的现状及对信息安全的实际需要来看， 我国企业也开始接受信息系统审计理论。
中国人民银行科技司司长陈静指出：“…信息安全越来越成为银行信息化建设与管理中需要密切关注的问题。企业对信息安全的重视程度和资金投入，将逐渐从单一 的产品和技术向整体解决方案过渡，同时从封闭式的设计、实施与管理，不断与完善的、具有适当资质的、独立的第三方审计相结合，这是未来发展的一个趋势。”
三、银行信息系统审计的内容与价值
对银行信息系统进行审计的内容主要集中在以下几个方面：
Ø   银行信息系统的管理、规划与组织——评价银行信息系统的管理、计划与组织方面的策略、政策、标准、程序和相关实务。
Ø 银行信息系统技术基础设施与操作实务——评价银行在技术基础设施与操作实务的管理和实施方面的有效性及效率，以确保其充分支持银行的商业目标。
Ø 银行信息资产的保护——对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能支持银行保护信息资产的需要, 防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。
Ø  灾难恢复与业务持续计划——这些计划是在发生灾难时，能够使银行持续进行业务,对这种计划的建立和维护流程需要进行评价。
Ø 银行业务应用系统开发、获得、实施与维护——对银行业务应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价，以确保其满足银行的业务目标。
Ø 银行业务流程评价与风险管理——评估银行业务系统与处理流程，确保根据银行的业务目标对相应风险实施管理。
Ø  与安全相关的人力资源管理与企业文化——评估与安全相关的人力资源管理政策、程序、实务以及“信息安全、人人有责”的企业文化。
对银行信息系统进行审计对银行的风险管理主要有以下价值：
Ø  鉴证价值
信息系统审计的鉴证价值是指通过审计，合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性，政策遵循的一贯性。在开放的市场经济 条件下，银行输出的信息资料对银行的存在与发展及其业务经营活动非常重要，对一些利益相关者如监管者、中间业务的合作者、公司用户、个人用户、股东而言也 是非常重要。信息系统审计师以其独立的身份，对银行的信息系统及其输出的信息进行审计，查出各种错误与舞弊，是合理地保证被审计银行信息系统及其处理、产 生的信息的真实性、完整性与可靠性，政策遵循的一贯性的重要环节，是维护正常经济秩序必不可少的重要手段。
Ø 促进价值
信息系统审计师在完成审计后，出具审计证明，即审计报告，以证明被审计银行信息系统的真实、完整、可靠。审计师的证明可以增强人们对银行信息系统的信任程 度。随着银行监管力度的加大和网络技术发展，银行商业信息的在线和实时披露都是不可扭转的必然趋势。信息系统审计师能够以在线、实时的信息为基础提供鉴 证，对使用信息的所有相关者而言是具有巨大价值的，客观公正的审计信息披露可以吸引更多的投资者，这样会给被审计单位带来更多的资金、更多的业务及合作伙 伴，这对即将上市的国有商业银行具有重要意义。
另一方面，信息系统审计在审计过程中发现的控制缺陷或漏洞，可以审计报告、管理建议书等形式报告给委托人或被审计单位管理当局，并提出解决问题的建议，从 而促进被审计单位提高管理水平，提高经济效益。信息系统审计的一个出发点在于从外部对被审计单位的信息系统进行全面的审视，可以发现从内部看不到的问题。 信息系统审计师提供的外部审视的价值既表现在用新的思维方式、新的观点去观察银行业务，分析其存在的问题及原因，也表现在以科学的态度和创新精神，去设计 解决问题的方案。
Ø 咨询价值
银行对信息化的高投入必然带来信息化建设的高风险，信息系统审计师可凭借其专门知识和实践经验，受托或主动服务于被审计单位的管理者或其业务人员，以其相 对于厂商与产品的独立性，在企业信息化过程中帮助企业建立健全内部控制制度，进行系统诊断咨询，根据企业需要确定信息化的目标和内容，客观中立地选择客户 合适的信息系统解决方案，帮助企业调整现有的管理架构和流程或修改软件产品使其更好地服务于管理的需要，从而降低银行在信息化建设过程中的风险。
四、银行信息系统审计的依据
银行信息系统安全审计的依据一般是采用国际公认的信息安全标准与我国法律、法规、标准相结合的办法。银行可以采用ISO17799作为内部安全框架的实施 与审计标准，采用COBIT作为内部详细控制的实施与审计标准，同时要保证银行信息系统符合我国的有关法律与行业主管部门制订的与信息安全相关的法律、法 规。
* COBIT
目前国际上通用的信息系统审计的标准是信息系统审计与控制协会在1996年公布的COBIT（Control Objectives for Information and related Technology），这是一个在国际上公认是最先进、最权威的安全与信息技术管理和控制的标准，目前已经更新至第三版。它在商业风险、控制需要和技术 问题之间架起了一座桥梁，以满足管理的多方面需要。该标准体系已在世界一百多个国家的重要组织与企业中运用，指导这些组织有效利用信息资源，有效地管理与 信息相关的风险。
COBIT将IT 过程，IT资源及信息与企业的策略与目标联系起来，形成一个三维的体系结构。其中，IT准则维集中反映了企业的战略目标，主要从质量、成本、时间、资源利 用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性； IT资源维主要包括以人、应用系统、技术、设施及数据在内的信息相关的资源，这是IT治理过程的主要对象；IT过程维则是在IT准则的指导下，对信息及相 关资源进行规划与处理，从信息技术的规划与组织、采集与实施、交付与支持、监控等四个方面确定了34个信息技术处理过程，每个处理过程还包括更加详细的控 制目标和审计方针对IT处理过程进行评估。

* ISO17799
按照英国国家标准局制定的BS7799-1《信息安全管理实践规范》和BS7799-2《信息安全管理体系规范》，可以帮助在组织中建立一个初步的、易于 实施和维护的管理框架，在框架内通过安全管理标准，提供组织在信息安全管理的各环节上一个最佳的实践指导。建立框架后，再通过种细粒度的详细安全控制措 施，就可以建立起完备信息安全管理体系。
BS7799－1已于2000年12月被国际标准化组织采纳，成为ISO17799，我国也即将采用成为CNS17799，因此在国内组织采纳 BS7799－1是适宜的。 BS 7799－1包含100多个安全控制措施来帮助组织识别在运做过程中对信息安全有影响的元素。这100多个控制措施被分成10个方面，成为组织实施信息安 全管理的实用指南，这十个方面分别是：方针、安全组织、信息分类与控制、人事安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、商务可持 续运营、法律符合。
五、银行信息系统审计的过程
对信息系统的审计过程是一项遵循逻辑顺序，结构严密的活动，其过程如下：
1）审计合同
审计合同明确本次审计中审计师的职责，需要得到的授权，审计委托人应尽的义务。职责包括:审计范围，审计目标，审计独立性，委托人的特殊要求；需要得到 的授权包括:　访问权限，访问范围，对审计合同的认定；委托人应尽的义务包括:指定审计报告的接受者，委托人的权力，对审计质量的评审，预定的完成时间， 审计预算与相关费用。
2）确定审计主题范围
在这一阶段，审计师要确定信息系统审计的主题范围，根据不同的要求，可以是以下几个方面：
* COBIT、ISO17799规定的相关审计主题
* 国家法律、法规
――如：《中华人民共和国国家安全法》、《中华人民共和国计算机信息安全保护条例》、《中华人民共和国商用密码管理条例》等
* 中国人民银行行业信息安全规定
――如：《金融机构计算机信息系统安全保护暂行规定》、《网上银行业务管理暂行办法》等
* 商业银行总行有关信息安全的规定
――如：某商业银行总行制定的《大型计算机中心安全运行管理规范》、《软件投产制度》、《机房管理制度》、《软件管理与电子化信息建档制度》、《应急维护制度》及《计算机内控管理制度》等
* 被审计银行相关政策与程序
* 以上标准以外的银行信息安全扩展审计内容
3）审计目标
* 为达到控制信息安全的目标，要对委托方提供合理的保证
* 证明组织存在信息安全控制弱点，并指出这种弱点所产生的风险
* 建议对信息安全存在的弱点采取控制措施
* 使委托方管理人员了解组织当前组织信息安全的状况
4）.制定审计计划。在此阶段主要做以下工作：
（1）了解组织的业务、系统、环境等；
（2）识别信息资产并评估风险；
（3）检查是否存在足够的控制来补偿这些风险，确定审计的地点与设施；
（4）确定审计需要的技术能力及审计资源；
（5）确定审计所需信息的来源，例如功能流程图、政策、标准、以前年度的审计工作底稿等均是审计信息的来源；
（6）了解并评价以前年度的审计发现，判断其是否仍是现在审计的重点。审计日程安排、人员配备、阶段性审计文档、所需审计设备
5）.实施审计。在这一阶段，审计师主要：
（1）收集资料；
（2）确定审计或测试的方式（符合性测试还是实质性测试）；
（3）列出需要访谈的人员名单；
（4）查阅有关部门的政策、标准及准则，以供审计使用。
（5）利用审计方法，对所有控制进行测试和评价。
6）.评估测试结果。
利用COBIT或ISO7799的方法评估测试结果，这是利用COBIT和ISO17799进行评估的示例：


（图中红色区为高风险区）
ISO17799评估安全风险RADAR图（示例）

（图中红色区为高风险区）
7）.与管理者沟通。
向管理者汇报初步的审计结果，与管理者进行沟通，取得一致意见，对有疑问的问题，要寻求进一步的审计证据。
8）.撰写审计报告。
审计师的审计过程记录在审计工作底稿中。审计工作底稿记录了审计师所采用的审计方法、审计范围、审计准则，所完成的审计步骤，它提供了审计师的工作轨迹及工作表现。有以下几个内容：
Ø 审计报告的目的与内容
Ø 审计报告接受者
Ø 审计类型与审计内容
Ø 审计目标声明
Ø 审计范围、审计特征、日期安排
Ø 审计的约束条件
Ø 重要的审计发现
Ø 审计结论
Ø 有关建议、意见
总之，在银行系统开展信息系统审计工作，是银行控制风险的的重要手段之一，在新的形势下，银行要健康发展，就要积极迎接挑战、应对不断出现的新风险，防患于未然，才能抓住网络经济时代给银行带来的新机遇, 迎来银行业的新发展。
编辑员：www.xslx.cn凡转载本站文章请注明：转自“学说连线”http://www.xslx.com