商业银行计算机网络系统风险及审计探索.doc

商业银行计算机网络系统风险及审计探索 商业银行计算机网络系统的风险与审计探索 近年来，由于计算机网络技术的漏洞造成的商业银行信息的泄露和系统的波动，给商业银行乃至社会经济的发展带来了严重的安全隐患。为确保商业银行运作的安全和社会经济的健康持续发展，规避计算机网络技术的风险是大家普遍关心的问题。 　一、商业银行计算机网络系统的风险 　1.内部操作风险 　商业银行计算机系统较为复杂，主要分为用于输入和输出数据的操作系统，用于储存和调出数据的数据库系统，用于维护计算机系统安全的服务系统三大类。系统类型的复杂增加了工作人员的任务量。银行工作人员在实际的银行业务操作过程中难免会因为工作时间过长、劳动强度太大而出现疲劳或体力不支的问题。透支健康的工作极易导致操作失误。举个例子，曾轰动一时的德国某银行工作人员在进行养老金转账时打了会儿瞌睡，导致2亿多欧元被误转。虽然是无意的操作失误，但酿成的悲剧惨不忍睹。 　2.外部入侵风险 　计算机技术的发展对商业银行的发展利弊共存，它不仅提高了商业银行处理日常业务的效率，更增加了来自商业银行外部的入侵风险。外部入侵风险可以分为以下几个方面：（1）非法访问。非法访问是指未取得该商业银行计算机系统的操作权限而进行秘密访问的违法行为。这一违法犯罪行为充分利用了银行计算机系统的远程互联性，借助攻击工具从任意终端对银行的主机进行攻击。若主机被攻陷，银行的商业业务将面临严重的安全问题，轻者数据被篡改，重者系统陷入瘫痪；（2）窃取系统内部数据。窃取数据是指对商业银行内部数据的非法获取。不法分子通过修改银行系统程序获取关键数据的加密密钥。加密密钥一旦泄露，银行数据安全将面临严酷的挑战；（3）篡改传输数据。我国商业银行类型和分支机构众多，各银行之间主要依靠计算机网络系统开展业务往来。但是到目前为止，并没有专门的光纤通道用于银行之间的数据传输，这就加剧了不法分子利用这一缺漏篡改传输数据的危害；（4）病毒攻击。病毒攻击是不法分子攻击商业银行系统的主要手段。银行计算机系统一旦感染病毒，程序和数据将被严重破坏，系统功能将丧失。 　二、商业银行利用审计控制计算机网络系统风险的探索 　商业银行是资金周转的枢纽，接收存款发放贷款，从中赚取差价。每天经过商业银行办理的业务不计其数。由于商业银行计算机网络系统存在内部操作失误和外部入侵的风险，因而进行审计控制管理尤为必要。 　1.审计的内容 　审计的内容可以分为三个方面。（1）对计算机网络系统内部控制的审计。商业银行计算机网络系统的内部控制是指银行为使利润最大化而采取的一系列规避风险的办法，如通过对会计日志的跟踪与审查规避资金风险，通过对工作人员的实时监督规避组织风险等等；（2）对计算机网络系统的审计。这一审计过程体现在银行网络系统的开发、运营与维护中。通过审计系统开发的可行性报告和银监会关于系统开发的要求，判断系统的安全性和可操作性；通过审计系统在运营过程中的漏洞，及时弥补漏洞造成的直接或间接损失；通过审计系统有无被黑客攻击或病毒入侵，维护系统的安全；（3）对计算机网络系统数据安全的审计。银行通过对工作人员的管理权限进行审计，确保数据的不被窃取或篡改；银行通过对工作人员输入和输出数据的审计，保证操作的合理和合法性。 　2.审计控制风险的方法 　银行控制风险的方法有很多，如加强对设备的维护、改进防火墙技术、完善管理制度等等。其中，进行审计控制是规避风险的主要方法。审计控制不仅能运用在银行计算机网络系统的各个方面，更能提供清楚的审计报告，为管理人员审查业务情况节省时间，降低风险发生的可能性。 　（1）健全性测试。健全性测试是指通过调查、询问等方法，测试计算机网络系统内部控制的规范性和实效性，测试计算机网络系统的系统安全性和健全性，测试计算机网络系统数据的可靠性和完整性。通过健全性测试，可以保证银行系统的安全性和运行的高效性。 　（2）符合性测试。符合性测试是指在计算机网络系统中随机抽取业务进行全过程的操作性测试，将不符合操作规范和规章制度的业务制成反馈报告，及时发现并解决业务风险。对银行业务的符合性测试，可以提高银行的经济效益。 　（3）安全性测试。安全性测试是指通过设置系统权限，进行操作权限的追踪，确保商业银行计算机网络系统未被外界入侵；通过借助审计软件对业务报表进行分析，确保数据的准确性。安全性测试在商业银行中的应用较为普遍，对商业银行进行风险控制，最主要的审计方法是进行安全性测试。 　三、结束语 　随着计算机网络技术在商业银行业务操作中的普及，网络系统固有的风险增加了银行运作的风险。为提高商业银行运作的安全性，促进经济的高速稳定发展，进行银行风险控制是必要的措施。利用审计的方法进行风险控制是商业银行控制风险的主要手段。通过审计的健全性测试、符合性测试和安