我国银行业信息系统内部控制的体系解析.docVIP

我国银行业信息系统内部控制的体系解析 　　一、引言 　　信息化战略是我国银行业的一项根本性战略，是促进银行业发展的有效手段，是现代商业银行发展的本质性需求。银行业是信息技术应用最为有效的行业之一，信息技术的发展极大地改变了现代商业银行的经营方式。银行业是一种典型的信息管理的行业，为信息技术提供了天然的应用空间，银行业务的信息化运作已成为银行业务运营的主导方式。 　　上世纪90年代初期，在人民银行的大力倡导与推动下，国有商业银行率先实施了信息化建设，开辟了我国信息经营的新局面。信息技术的引入，明显使传统的业务运营方式相形见绌，各种信息化业务流程纷纷兴起，极大地提高了国有商业银行的运营绩效。本世纪初期，随着国有商业银行信息技术应用的成熟，股份制商业银行与城市银行也实施了银行信息化战略，引入先进的信息技术，大力实施传统业务流程的改进。 　　二十年来，我国银行业的金融信息化建设取得了巨大的成功，加速了我国银行业由传统银行向现代银行转变的过程，提高了我国银行业的国际竞争能力。目前，我国银行信息化建设已进入稳定发展阶段，这一阶段的特征是：银行业普遍具有完整的信息系统设施，完成了信息技术对传统业务流程的改造，信息技术的功能得以稳定地发挥，基础设备的投资已不再是银行信息化建设的重心，业务流程再造已成为银行信息化发展的当务之急。 　　然而，信息技术在为银行运营带来显著成效的同时，也加速了银行运营的不确定性。特别在银行信息系统的稳定性发展阶段，这种不确定性日益扩大，涉及到银行运营的各个方面，从而增大了银行运营所面临的风险。我国著名银行信息化专家、西安交通大学金融学教授张成虎认为：金融信息化的实施为商业银行的业务运营提供了便捷的平台，提高了业务的运营速度，增大了业务处理量，缩短了业务流程的处理时间，但也加剧了银行业务运营的不确定性，扩大了银行业务的风险受界面，加剧了银行风险的潜在性，因此，银行信息化的实施具有“双刃剑”的功能。银行信息化的实施过程一方面是业务流程的改进过程，一方面是信息化风险的抵御过程。 　　近年来，在我国银行体系内部，信息技术所导致的运营风险呈现出多发性特征，并且危害性日渐增大。其中，计算机犯罪就是一种典型的风险形式，已引起我国银行内控部门及内控机构的高度关注。计算机犯罪，是指银行内外部不法分子以非法攫取钱财为目的，利用银行系统信息管理工作中的疏忽之处，通过计算机技术进行贪污、盗窃、诈骗和挪用银行巨额资金，从而给银行机构带来巨大经济损失的犯罪活动。在计算机犯罪过程中，不法分子主要利用银行信息系统的薄弱环节，非法登陆信息系统、修改存储数据、窃取金融信息来达到犯罪的目的。在银行信息系统中，实体安全、软件安全和数据安全等方面都存在着隐患，这是在短期内无法完全消除的，从而为不法分析带来可乘之机。目前，计算机犯罪存在着多样化的趋势，如伪造存折、伪造印鉴、非法修改账目、内外勾结、故意串户、挪用客户资金、篡改计算机数据记录、窃取储户信息、破译储户密码等。 　　因此，信息系统内部控制的实施已成为银行信息化建设的迫切性要求。内部控制本是银行的一种基本职能，然而，在信息技术环境下，这种管理职能的目标和任务将逐渐向信息系统控制的方向转变。我国银行业只有大力加强信息系统的内部控制，才能进一步改进银行信息化的运作效率，而信息系统内部控制体系的设计与解析是我国银行业实施信息系统内部控制战略的基础性前提。 　　二、银行信息系统内部控制体系设计 　　信息系统内部控制是内部控制的内容之一，是信息化环境下企业内部控制的一个方向。银行业是一个特殊的行业，风险管理是银行运营的核心目标，内部控制是银行运营的常规管理。随着信息化的兴起，银行业也成为最为成功地运用信息化的行业，信息业务流程已完全取代过去的手工业务流程。因此，信息化内部控制对于银行业而言具有特殊的应用价值。 　　按照COSO委员会和Basel委员会的相关内容，银行内部控制分为内部控制环境、银行风险评估、内部控制制度执行、银行信息沟通、信息反馈和监督等五个方面。在银行信息化高度成熟的今天，银行内部控制在本质上就是对银行信息系统的控制，因为信息技术已全面影响到传统内部控制要素的各个方面。在信息化环境下，银行机构的内部控制环境的信息化特征日渐显著，风险评估需要依托风险数据库才能实施，制度执行离不开信息系统的监控，信息沟通更依赖于信息系统的传输功能，而监督与反馈对信息系统的依赖性更强。可见，银行机构内部控制的实施与银行信息系统内部控制的实施是同一问题的两个方面，正逐渐融于一体，忽略了信息系统的内部控制已不再具有实用价值。 　　本研究基于我国银行业关于信息系统内部控制的要求，以PDCA理论为指导来进行信息系统内部控制体系的构建。PDCA是一种内部控制思想，包含策划（Plan）、实施（Do）、检查（Check）、处置（