浅析商业银行内部审计信息化面临的风险及对策.pdfVIP

企业家日报/2013 年/5 月/30 日/第 008 版 财务策略 浅析商业银行内部审计信息化面临的风险及对策 农行成都审计分局 康丽 随着计算机和互联网技术的普及应用，计算机信息技术对商业银行内部审计带来了深刻的影 响，内部审计方法和审计技术也随之发生了一系列的变革，有了新的突破。同时，也面临着不小 的风险。本文拟从商业银行内部审计信息化建设中存在的主要问题及面临的主要风险入手，探讨 信息化环境下银行业内部审计应对风险的一些方法和建议。 一、当前商业银行内部审计信息化建设存在的主要问题 1、计算机审计没有统一规范的程序、步骤和方法。数据的采集缺乏规范，导致在审前和审 中采集了大量的银行电子数据，但真正得到分析利用的却很少，浪费了大量人力和财力。同时， 数据验证及信息系统内部控制测试等关键环节缺失，数据分析带有较大的随意性和计算机数据分 析人员的个人偏好。 2 、商业银行各自开发的审计模块比较单一、零散不成体系，缺乏科学性和系统性，导致设 备闲置与紧缺并存。银行内部审计信息化建设和发展是一个完整的系统。由于信息没有实现共享， 造成各应用单位自成体系，重复投资开发，设备闲置和紧缺现象并存。加之各商业银行数据结构 不统一，针对某一银行开发的审计模块，在另一商业银行无法使用，审计模块缺乏通用性。 3、以数据审计为主，对信息系统本身审计较少。在商业银行开展计算机审计的实践中，大 多数情况下是以对方提供的数据真实完整、信息系统安全可靠为前提的，基本上是就数据审数据， 并没有对系统内部控制进行分析、测试和评价。实际上，信息系统内部控制的合理性、健全性和 有效性直接影响着数据的真实性、完整性和正确性。因此，信息系统审计内容的缺失使商业银行 计算机审计始终徘徊在较低层次，也给审计人员带来一定的审计风险。 4 、部分银行高管人员对内部审计的理念亟待进一步提高。个别人仍对由合规合法性审计向 管理、风险、绩效审计转型的审计理念认识不足。导致高技术与低效益并存。审计信息化建设和 发展不仅仅是信息技术和网络技术在审计工作中如何运用的问题，更重要的是审计方式方法如何 转变的问题。近几年，有些商业银行重设备配置，而轻审计软件开发和推广应用，忽视了审计方 式方法创新，远远没有充分发挥审计信息化建设的效益。 5、高素质“复合型”审计人才短缺，导致高投入与低产出并存，审计成本不断攀升。现有 审计人员中真正具有较高计算机水平的人员不多，既精通计算机编程又熟悉审计业务的复合型人 才更少，严重制约了计算机应用水平。 二、商业银行内部审计信息化建设面临的主要风险 1、信息系统本身固有的风险。因缺乏对信息化建设成熟度的有效测评，导致信息系统本身 固有的风险在加大。银行业是信息化技术与产品相对密集的行业，由于信息化规模的不断扩大， 信息技术迅速发展，银行信息系统所采用的 IT 技术与信息系统软硬件本身存在着很大的脆弱性， 如果这些脆弱性被特定的威胁所利用，就会产生风险，从而对银行信息系统的机密性、完整性及 可用性产生损害。 信息安全风险一是银行数据集中处理中的信息安全风险。目前工、农、中、建四大国有银行 已陆续完成数据大集中，实现了银行账务数据与营业机构的分离，为银行管理集中和科学运营奠 定了基础，帮助银行从以账务和产品为中心转变为以客户为中心。但是，数据集中后信息系统风 险增大，系统一旦出现问题，就会影响到整个银行的正常运营。二是网络金融服务的发展带来的 银行信息安全问题。近年来，网上银行、移动银行、电子商务等，已成为银行追逐的利润增长点。 第 1 页 共 3 页 其中绝大部分的网络金融业务要通过 Internet 、无线网、电话网与银行相连。银行业务系统要顺应 开放和互连的趋势，其信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统银 行信息安全，在公网环境下防止黑客、病毒的破坏，在 Internet 上保证支付系统的安全性，是银 行信息系统面临的挑战。 2 、银行内部员工的道德风险。随着对信息安全认识的加深，我们逐渐认识到“人”的风险 其实是最大的风险。人，特别是银行内部员工，既可以是对信息系统的最大潜在威胁，也可以是 最可靠的安全防线，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。银行内部完 备的安全管理政策、安全教育计划与健全的企业安全文化