原创《城商行信息科技审计方法和实践》
该文是信息科技方面有关专科开题报告范文与审计和实践和商行类专科开题报告范文。
【摘 要】随着金融科技的进步,商业银行的发展越来越离不开信息科技的支持,与信息科技相关的运营风险却日益增多.与国有大行相比,城商行信息科技的力量相对较弱,对城商行的信息科技业务进行必要的内部审计也就成为防范信息科技风险、弥补技术力量不足的重要手段和方法.本文对信息科技审计的概念、内容和方法进行初步探讨,并结合具体实践案例对如何开展信息科技审计进行了分析研究.
【关键词】城市商业银行;审计;信息系统
【中图分类号】F239
当前城商行的发展越来越离不开信息科技的支持,营业部的部分柜员被自助终端所替代,大堂客户经理换成了智能机器人,人们用一部手机足不出户几乎就可以享受到银行的全部服务,没有信息科技支撑的银行很难在当前激烈的市场竞争中生存下去.而随着科技手段的广泛运用,信息科技风险也随之上升,自然因素、技术漏洞、操作失误和管理缺陷等都会对众多银行尤其是科技能力相对薄弱的城商行造成难以预计的损失,同时还可能连带产生声誉风险和法律风险,因此,开展信息科技审计项目成为城商行管理层及其内部审计部门应对相关风险的必然选择.
一、信息科技审计的概念
信息科技审计还被称之为信息系统审计,美国信息系统审计专家韦伯对于信息科技审计的看法是:“收集并评估证据,以判断一个信息系统是否有效做到保护资产、维护数据完整、完成组织目的,同时最经济的使用资源”.据此,城商行信息科技审计应是指通过对城商行信息系统的组成部分及其规划、运行、开发、应用和管理等过程进行审计,以信息系统的安全性、可靠性、有效性等方面问题为基础目标开展审计业务,最后针对上述问题为城商行提出整改意见和优化建议的行为.
二、城商行信息科技审计的主要内容
从总体层面上来说,信息科技审计内容可分为管理层控制、一般控制、应用控制、重要系统、网络安全体系结构、数据分析.从应用方面来说,信息科技审计则主要包括以下几个方面:
(一)硬件与环境:对硬件设备、网络、电源、机房环境等事项的审计.
(二)应用软件:对软件的开发生命周期以及系统策划、项目管理等方面的审计,对软件系统的访问控制、授权、确认、错误与特例处理以及系统相关流程的审计.
(三)信息系统管理与服务:包括信息系统管理与服务的相关工具、制度以及方法等有效性的审计.
(四)信息安全性和完整性:对确保信息准确、可靠、完整等方面的控制情况,以及信息安全措施的完整性与有效性进行的审计.
三、城商行信息科技审计主要技术方法
信息科技审计技术方法是城商行开展信息科技审计的重要组成部分,发挥着连接审计主体和客体的中介作用,对于完成审计工作任务、实现审计目标起着非常重要的作用,经过大量实践,可总结为以下几种主要审计技术方法:
(一)约谈法
审计人员与被审计单位的相关人员进行面对面的交谈,以了解有关情况、收集审计证据的一种方法.约谈法适用于信息系统审计的各个阶段,但在不同的阶段其所运用的目的不同.约谈所涉及的人员一般应该是对信息系统的情况比较了解的人员.约谈前要对所要谈话的内容做充分的准备,约谈中进行书面记录,如需要可请被谈话人签字.
(二)文档调阅法
审计人员对相关文档进行审查,以收集信息和证据,为作出审计结论提供支持.在审计准备阶段,审计人员通过对信息系统有关文档的审阅,了解信息系统的有关方面情况,为制定审计方案寻找依据;在实施阶段,对于系统文档中所规定的一些控制措施,审计人员应该对照检查在实际操作过程中是否得到有效的执行.系统文档主要包括:系统的技术手册、操作手册、系统的流程图、组织结构图、系统源程序等.
(三)测试数据法
审计人员需要预先设计好一批用来进行检测的数据,在设计好数据之后利用被审程序来对这批数据进行处理,并将实际处理结果和预期结果展开对比,通过对比来对被审程序的控制和处理功能是否恰当进行判断.这种方法相对简单直观,但是其不足之处也较为明显,即需要花费较多的时间来对测试数据和案例进行准备.
(四)程序编码比较法
这种方法是利用两个被独立保管的被审程序版本开展对比,通过对比确定被审程序是否出现了变化.同使用对比的程序是由审计部门或者是其他独立第三方保管的,经以前审查其处理和控制功能恰当的被审程序副本与被审单位现在使用的应用程序进行比较.
(五)受控处理法
这种方法是由审计人员来监控被审程序的业务处理情况.通过监控来确定被审程序在护理功能以及控制功能上是否满足要求.如果使用这种方法,那么就需要先检查输入的数据,并建立起完善的审计控制,然后审计人员亲自对这些数据进行处理或者是监督处理这些数据,处理完之后进行比较,以此来判断被审程序的处理与控制功能能否按设计要求起作用.
(六)穿行测试法
在处于正常运行条件的情况下,将初始数据输入到内控流程之中,让数据穿越全流程与所有的关键环节,最后将运行结果和设计要求进行对比,通过对比来发现内控流程的缺陷.这种方法通常使用于对业务流程或具体业务的测试与评价.
(七)模型审计法
以构建审计分析模型为出发点,通过采集审计分析模型需要的数据和对数据进行处理、分析,来判断和评价系统数据的真实性、合法性、完整性等方面,并且通过数据审计发现的问题,反推信息系统缺陷,其核心技术为构建审计分析模型.
四、某城商行信息安全审计项目实践
保证信息系统的安全是所有城商行的一项重要任务,城商行应成立信息系统安全的内部组织保障部门,重视对信息系统安全的管理,用管理和制度手段,保证客户资料和交易信息的安全,防止重要信息被窃取、非法复制、泄露和丢失,采取足够的措施,保护信息系统安全.
(一)审计案例背景
根据银监会指引,某城商行成立审计小组,对其信息安全开展专项审计工作.该城商行已经制定了第三方人员安全管理办法、中心机房口令管理办法、互联网接入及使用管理办法、软件岗位职责分离管理办法等规章制度,涉及系统软件维护、应用系统维护、计算机运行安全、数据安全、网络安全、物理安全等方面,已构建信息安全基本体系.
(二)主要审计内容及使用方法
1. 信息安全管理机制.对信息安全标准、策略、实施计划和持续维护计划等进行审查.重点关注安全制度管理和人员安全管理.
主要审计方法:使用访谈法和文档调阅法了解信息安全规章制度的制定和执行情况、对外来人员的管理等.
2. 系统用户认证和访问控制.对管理用户认证和访问控制的流程、策略进行审查.重点关注系统访问权限分配、口令管理、职责分离控制以及用户变更.
主要审计方法:使用访谈法和文档调阅法了解信息安全规章制度、管理流程;通过现场查看法了解系统权限的分配、口令管理等;使用抽样数据法对系统用户的身份识别和验证及是否记录成功和失败进行了解等.
3. 设备和网络安全.对网络管理和网络服务的安全策略制定情况、网络通信及信息系统设备的管理及操作流程、安全配置策略、定期监控措施、实施网络控制的安全手段、网络的划分和路由控制、诊断端口的保护进行审计.重点关注网络和网络服务的安全策略、网络控制的安全途径,对诊断端口进行保护的安全机制.
主要审计方法:使用访谈法和文档调阅法了解端口保护机制、安全配置策略、网络通信及信息系统设备的管理及操作流程,并确定相关策略是否与业务访问控制策略相一致.
4. 系统软件安全.对操作系统的漏洞检测和补丁安装、源代码的访问控制和审查情况进行审查.重点关注系统补丁与更新程序的安装,不必要的服务和端口是否关闭,源代码的版本管理.
主要审计方法:使用访谈法和文档调阅法了解系统的漏洞检测和补丁安装、源代码的访问控制和审查情况;使用工具检测法,对操作系统进行检测.
5. 数据安全.对系统信息和客户信息管理的安全性进行审查.重点关注客户重要信息的存储是否加密,传输过程的管理,测试数据是否进行脱敏.
主要审计方法:使用文档调阅法和抽样数据法检查核心业务系统中重要客户信息的采集、存贮、传输、备份、恢复和销毁,测试数据的安全措施实施情况.
6. 安全事件管理.对信息科技安全事故处理流程、报告制度、安全事件响应流程的演练等进行审查.重点关注信息系统安全事件处理流程和报告路线是否清晰、明确和完善.
主要审计方法:使用访谈法和文档调阅法了解信息系统安全事件报告制度、处理流程规定和演练情况.
(三)审计发现及审计建议
经过审计,发现该行信息科技安全管理存在以下缺陷和不足:未对从生产环境拷贝数据的移动介质进行限制,员工可以使用个人的移动介质从生产环境拷贝数据;生产数据传输及使用安全措施存在不足;网络防病毒及备份机制有待完善;部分规章制度内容及执行不够严格,执行力度有待加强改善.针对这些审计发现,审计师提出相关审计建议:
1. 尽快完善信息安全相关规章制度,并提高对制度的执行力度;
2. 明确办公用的计算机设备的安全管理职能,完善计算机设备的安全保护措施,防范使用U 盘或移动硬盘等外接设备拷贝而导致的信息泄露隐患;
3. 规范生产环境数据的保护机制,防范信息泄露等安全隐患;
4. 加强网络病毒控制措施,防范由于病毒带来的数据信息损坏、丢失、泄露等风险.
五、结束语
城商行的信息科技系统大都具有以客户为中心、结构复杂、海量数据、软硬件系统性能高、衍生金融新产品多等特点,因此发生信息科技风险的可能性大.通过对城商行信息科技进行审计,能够促进其改善信息系统的内部控制,提升信息科技管理水平,更好地保护信息资产的安全,使其经营目标得以有效地实现,进而促进我国地方商业银行的发展,更好地服务于实体经济.
信息科技论文参考资料:
该文汇总,这是适合不知如何写审计和实践和商行方面的信息科技专业大学硕士和本科毕业论文以及关于信息科技论文开题报告范文和相关职称论文写作参考文献资料。
