商业银行信息系统内部控制审计的探索.docVIP

商业银行信息系统内部控制审计的探索 　　【摘要】 本文从商业银行信息系统内部控制审计现状出发，讨论了信息系统内部控制审计的主要内容、步骤及方法，对新形势下的商业银行信息系统内部控制审计进行了探讨，这些议题或能为提高内部审计工作质量提供参考。 　　【关键词】 商业银行 信息系统 内部控制审计 　　一、商业银行信息系统内部控制审计的现状 　　目前，我国商业银行信息系统内部控制审计尚不能充分满足商业银行对信息系统风险防范的要求，在信息系统内部控制审计工作开展中还面临不少难点和困难。 　　一是商业银行信息系统的开发、应用与内部审计工作长期脱节。商业银行实施业务信息化过程中，往往侧重于“所搭建的信息系统如何出色地完成业务需要”方面的程序设计，而忽视了审计部门如何检查程序本身的运行问题，开发出来的软件未给审计工作留有接口。 　　二是商业银行审计人员业务素质尚不能满足对信息系统开展内部控制审计的要求。信息系统内部控制审计专业性较强，对审计人员要求极高，不仅要具备银行业务知识及审计经验，还要具备软硬件、网络、数据库、项目管理、系统维护及信息安全等信息化相关知识。 　　三是信息系统内部控制审计发现问题的难度加大。一方面，储存在信息系统的数据容易被篡改。另一方面，数据库技术的提高使数据高度集中，未经授权进入数据库，容易复制、伪造和销毁重要的数据。这些作案手段的隐蔽性和危害性，使审计工作发现信息系统舞弊的难度较大，造成的危害和损失也可更大。 　　二、商业银行信息系统内部控制审计 　　1、商业银行信息系统内部控制概要 　　（1）商业银行信息系统 　　商业银行信息系统一般主要由信息管理类、外部结算类和渠道类三部分构成。其中信息管理类系统与决策、管理和业务相关，以提高效率和规避风险为目的；渠道类系统是商业银行面向市场和客户的窗口，是对外服务使用的载体，包括人工渠道、电子渠道和第三方渠道；外部结算类系统是有外部接口的业务处理系统。 　　（2）商业银行信息系统特点 　　商业银行的信息系统一般具有系统结构复杂，对硬件、软件质量和安全性能要求较高，信息系统结构复杂，数据量大，实时性强等特点。 　　（3）商业银行信息系统内部控制 　　商业银行信息系统的内部控制一般可分为制度控制、应用技术控制、检查与监督控制三个方面。其中，制度控制是商业银行信息系统控制的重点，制度控制包括组织控制、管理控制、系统开发控制、操作控制、相关资料与数据的控制等若干个方面；应用技术控制的目的是保证信息系统数据处理的及时性、准确性和完整性，技术控制主要包括口令控制、权限控制和后台监控等；检查与监督控制是为了有效地监督信息系统实现经营目标、保证会计信息及时准确而形成的一套风险控制与监督系统。 　　2、商业银行信息系统内部控制审计的含义 　　商业银行信息系统内部控制审计，是对商业银行信息系统内部控制设计与运行的完整性、合理性、有效性进行审查和评价，对促进加强信息系统内部控制建设，防范潜在风险具有重要意义。 　　3、商业银行信息系统内部控制评价标准 　　商业银行信息系统内部控制评价的标准，是商业银行信息系统内部控制整体运行应遵循和达到的目标，主要包括内部控制的完整性、合理性及有效性。 　　三、商业银行信息系统内控制审计的应用 　　1、信息系统内部控制审计的主要内容 　　（1）信息系统的内部控制制度审查 　　一方面审查内部控制制度在信息系统的取得途径及未来风险评估方面的内容。另一方面审查内部控制制度是否能保证商业银行在信息系统维护方面的权限。信息系统内部控制制度要保证，商业银行能够对信息系统进行一般性的日常维护。 　　（2）信息系统操作运行 　　首先，不相容职能相分离的控制措施是信息系统设置的基础，并在信息系统内部控制中处于核心地位。因此，要着重对商业银行不相容职务的相关制度进行审查，明确是否存在不相容职务方面的内部控制制度。 　　其次，授权访问控制措施是确保只有被授权的用户才能实现对特定数据和资源的访问。主要审查内容包括：对数据库的访问是否有严格的授权限制，系统管理员、操作人员的系统用户名的唯一性、密码是否定期更换，是否存在易被破解的密码。 　　（3）信息系统的数据存储、备份和资源管理 　　商业银行信息系统存储的数据资源不同于传统的一般意义上的数据，它基于电子手段，一旦信息系统在程序上崩溃，可能导致数据资源永久的消失。所以信息系统数据资源的定期备份是必要的，并且备份后的数据资源应分开在不同的媒介存放，以防备份数据的丢失。 　　（4）关键控制环节 　　应着重检查输入、处理和输出这三个关键控制环节的实施情况。其中，输入控制主要包括原始单证审查控制、输入正确性校验、输入完整性校验和输入纠错控制；处理控制常见的控制措施有处理权限控制、业务