信息化时代 如何提升银行审计系统应对风险大考.docVIP

信息化时代 如何提升银行审计系统应对风险大考 　　【摘 要】信息化改变了银行业的传统运行模式，在带来新的活力同时，也带来了诸多新的安全风险。近几年来，世界各地银行频发重要系统瘫痪、信息泄露、黑客入侵、恶意程序攻击等事件，如何通过IT审计控制金融风险的话题再度成为人们关注的焦点。未来银行的核心竞争力在于建立一套对银行产品及业务操作提供强大服务功能、风险管理能力的信息系统。本文拟进一步探讨当今金融业风险的新特点，并提出通过银行IT审计降低金融业风险的思路方法。 　　【关键词】防范；金融风险；提升；审计系统 　　当前，互联网正在深刻和广泛地影响着银行的经营管理模式。随着各银行数据大集中的完成，IT风险也越来越集中。美国近日破获的“本世纪银行大劫案”，震惊了世界，也给世界金融业敲响了警钟。在这个信息化飞速发展的时代，信息系统故障和安全事件给企业带来了巨大的经济损失和严重的声誉影响，控制IT风险、保证信息系统稳定运行已成为银行最紧迫的任务。此外，随着金融监管力度的加大，银行信息披露制的实施也是当务之急。信息系统的稳定可靠运行、应用系统中敏感业务信息的保护，已成为业界内外关注的焦点。这些都要求银行加大对信息系统的审计力度。只有建立IT审计机制，由独立的IT审计师进行信息系统审计，才能形成对信息系统安全的客观评价。由于信息技术在银行经营管理领域各个层面的广泛运用，IT审计也已贯穿在各种审计之中，成为时下银行业最关注的重要课题。 　　1.最为突出的三种信息科技风险 　　因技术问题引发的金融风险问题由来已久，且在各个国家普遍存在。在因技术问题引发的金融风险中，有三类表现最为突出： 　　①宕机的风险。 　　2013年6月23日上午，北京、上海等多个地方的中国工行用户反映该行系统出现故障而暂停业务。工行回应称，这是由于部分地区计算机系统升级原因造成柜面和电子渠道业务办理缓慢。这一风波刚平息，中国银行再次“中招”：6月24日上午，中国银行银期转账前置系统一度出现交易缓慢，影响客户银期转账交易。尽管工行、中行两家银行发布公告称为系统升级引起，且经紧急处置后系统已恢复正常，但是，频繁的系统故障依然引发了市场关于“钱荒”的猜疑，银行股的集体暴跌，带动A股市场出现2008年国际金融危机后罕见的大幅下挫，跌幅超过5%。 　　2003年1月，美国银行（Bank of America）13000台ATM机因病毒瞬间宕机，该行客户无法通过ATM完成存取款交易。 　　2005年2月，美国银行备用客户信息磁盘在空运过程中失窃，约120万客户信息泄，丢失的信息包括社保号码和私人帐户信息，全部是电子银行诈骗的必备资料。 　　2010年新加坡的星辰银行和2011年的美国银行都出现过大型机宕机的事件。 　　…… 　　系统故障是计划内的系统升级还是“计划外”的，都反映出银行在系统质量和安全方面存在漏洞。信息化高度发展和银行业数据大集中背景下，业务系统中断已经成为银行难以接受的风险，每次银行信息系统宕机都会导致严重损失，并对银行声誉带来很大负面影响。中国银行业监督管理委员会业务创新监管协作部副主任王岩岫认为，如果银行系统中断1小时，将直接影响该行的基本支付业务；中断1天，将对其声誉造成极大伤害；中断2-3天以上不能恢复，将直接危及其他银行乃至整个融系统的稳定。 　　而调研机构Qualix Group曾有一组数字说明不同行业关键业务中断带来的金钱损失：服务器宕机1分钟，平均会使运输业损失15万美元，银行业损失27万美元，通信业损失35万美元，制造业损失42万美元，证券业损失45万美元……这从直接经济效益的角度解释了关键业务平台对于稳定性和可靠性的要求。对于以上行业的关键业务来说，都需要遵循“5个9”（99、999）、“6个9”（99、9999%）甚至“7个9”（99、99999%）的标准来加以评估，而这些标准代表的，就是一台服务器每年的非计划停机时间分别只有5分钟、30秒和3秒钟。由此我们可以想象本次4小时宕机的时间是多么漫长，所造成的损失又是多么巨大。 　　②金融欺诈的风险。 　　来自金融内部的票据、金融凭证诈骗，以及来自外部的信用卡、保险、信贷诈骗等，都不同程度地令金融业不寒而栗。近年，不断出现的银行钓鱼网站、银行卡盗刷案件，更令客户对银行的安全性产生质疑。 　　③黑客侵袭的风险。 　　2009年1月8日，美国万事达公司宣布，有黑客侵入了“信用卡第三方付款处理器”的网络系统，造成包括万事达、Visa、AmericanExpress和Discover在内各种信用卡多达4000多万用户的数据资料被窃；2009年2月5日，ANZ银行向消费者发出警告，“一种计算机病毒入侵了银行系统”，假冒网站要求用户输入用户名、密码和个人身份号码；2007年08月18日，