信息系統(tǒng)審計(jì)在國(guó)內(nèi)外銀行業(yè)的應(yīng)用

1、  信息系統(tǒng)審計(jì)在國(guó)內(nèi)外銀行業(yè)的應(yīng)用   簡(jiǎn)介：審計(jì)是 經(jīng)濟(jì) 發(fā)展 到一定階段的產(chǎn)物，隨著經(jīng)濟(jì)的發(fā)展，審計(jì)的外延和內(nèi)涵不斷發(fā)展，審計(jì)的 內(nèi)容 也已經(jīng)由原來的財(cái)務(wù)報(bào)表審計(jì)、經(jīng)營(yíng)審計(jì)、管理審計(jì)進(jìn)一步擴(kuò)大到整個(gè)信息系統(tǒng)，對(duì)信息系統(tǒng)進(jìn)行審計(jì)及以 計(jì)算 機(jī)作為技術(shù)手段進(jìn)行審計(jì)，便是其中的兩種重要形式，經(jīng)過幾年的發(fā)展，已經(jīng)形成了一套規(guī)范而行之有效的審計(jì) 方法 。 企業(yè) 事業(yè)單位對(duì)財(cái)務(wù)管理、經(jīng)營(yíng)管理、行政管理都在走向信息化、 網(wǎng)絡(luò) 化。財(cái)政、 金融 、稅務(wù)、海關(guān)等領(lǐng)域信息化進(jìn)程迅速推進(jìn)，政府部門、國(guó)有企業(yè)等被審計(jì)單位的 會(huì)計(jì) 核算、財(cái)務(wù)管理、經(jīng)營(yíng)管理 電子 化日益普及

2、，銀行業(yè)監(jiān)管部門面臨的挑戰(zhàn)是：在審計(jì)資源保持相當(dāng)穩(wěn)定的情況下，按照傳統(tǒng)審計(jì)工作的高質(zhì)量標(biāo)準(zhǔn)，去審查信息系統(tǒng)生成的需要 分析 的大量數(shù)據(jù)，幾乎不可能。審計(jì)是經(jīng)濟(jì)發(fā)展到一定階段的產(chǎn)物，隨著經(jīng)濟(jì)的發(fā)展，審計(jì)的外延和內(nèi)涵不斷發(fā)展，審計(jì)的內(nèi)容也已經(jīng)由原來的財(cái)務(wù)報(bào)表審計(jì)、經(jīng)營(yíng)審計(jì)、管理審計(jì)進(jìn)一步擴(kuò)大到整個(gè)信息系統(tǒng)，對(duì)信息系統(tǒng)進(jìn)行審計(jì)及以計(jì)算機(jī)作為技術(shù)手段進(jìn)行審計(jì)，便是其中的兩種重要形式，經(jīng)過幾年的發(fā)展，已經(jīng)形成了一套規(guī)范而行之有效的審計(jì)方法。本文主要介紹利用計(jì)算機(jī)進(jìn)行審計(jì)檢查監(jiān)督的做法。 一、利用計(jì)算機(jī)工具檢查信息系統(tǒng)安全 1、檢查計(jì)算機(jī)通用控制在檢查計(jì)算機(jī)通用控制時(shí)，如檢查系統(tǒng)平臺(tái)的訪問控制，若用手工檢

3、查，需要審計(jì)人員到現(xiàn)場(chǎng)進(jìn)入操作系統(tǒng)，輸入有關(guān)命令才可以得到操作系統(tǒng)訪問控制的具體設(shè)置。這種手段存在以下缺點(diǎn)：（1）對(duì)計(jì)算機(jī)審計(jì)人員技術(shù)要求較高，需要了解讀取不同操作系統(tǒng)安全設(shè)置的命令及參數(shù)，而且審計(jì)必須不斷跟進(jìn)系統(tǒng)版本變化（2）檢查結(jié)果不易輸出，如對(duì)windows nt的檢查，只能利用屏幕拷貝方式（3）檢查結(jié)果不易分析，由于檢查結(jié)果可能包含大量信息，審計(jì)人員從中找出所關(guān)注的 問題 需要花較大工作量因此，專業(yè)計(jì)算機(jī)公司針對(duì)不同操作系統(tǒng)平臺(tái)開發(fā)了專門的審計(jì)工具，這些工具一般包括以下功能：（1）設(shè)定參照性安全標(biāo)準(zhǔn)，既可以使用行業(yè)的一般標(biāo)準(zhǔn)，也可以根據(jù)審計(jì)機(jī)構(gòu)的安全政策自行設(shè)計(jì)（2）對(duì)有關(guān)平臺(tái)或網(wǎng)絡(luò)的

4、安全控制進(jìn)行全面掃描檢查，詳細(xì)分析各種安全設(shè)置（3）參照安全標(biāo)準(zhǔn)進(jìn)行分析評(píng)估，既可以得出量化的評(píng)分結(jié)果，也可以輸出各種格式的詳細(xì)報(bào)告。在信息系統(tǒng)審計(jì)中，國(guó)外常用的安全審計(jì)軟件有：（1）security analyst. kane公司產(chǎn)品，用于對(duì)windowsnt/2000平臺(tái)的檢查（2）rapport audit master. 由rapport software公司開發(fā)，用于檢查as/400平臺(tái)安全。（3）主機(jī)平臺(tái)。由于主機(jī)平臺(tái)產(chǎn)品較昂貴，一般較少采用專門審計(jì)工具，而是利用安裝在主機(jī)內(nèi)的安全訪問控制軟件，如： mvs環(huán)境的racf軟件，ca top-secret軟件，其主要功能是計(jì)算機(jī)安全員

5、用于設(shè)置安全控制，也能提供較好的接口和輸出工具供審計(jì)人員讀取安全設(shè)置。（4）網(wǎng)絡(luò)安全檢查工具。包括iss、cybercop、axent等網(wǎng)絡(luò)安全掃描工具，除掃描網(wǎng)絡(luò)漏洞外，還可進(jìn)行仿真入侵測(cè)試。使用專用工具的好處：（1）審計(jì)人員不必詳細(xì)記憶不同平臺(tái)的操作命令，減輕工作量，提高工作效率（2）系統(tǒng)更新?lián)Q代或業(yè)界發(fā)現(xiàn)有新的安全問題時(shí)，只須升級(jí)有關(guān)審計(jì)工具即可（3）輸出結(jié)果直觀、可靠（4）使用業(yè)界普遍采用的工具，也有助于提高審計(jì)結(jié)果的可接受程度及公信力。另一方面，部分審計(jì)機(jī)構(gòu)亦會(huì)自行開發(fā)一些審計(jì)工具，如編寫unix script，或利用foxpro等編寫統(tǒng)計(jì)分析程序，亦有助于提高審計(jì)效率。在實(shí)際 應(yīng)用

6、 時(shí)，根據(jù)環(huán)境需要通常會(huì)使用多種工具的混合。如在對(duì)網(wǎng)上銀行系統(tǒng)進(jìn)行安全評(píng)估時(shí)，采用了sever平臺(tái)的unix檢查工具和nt檢查工具，以及網(wǎng)絡(luò)平臺(tái)的iss internetscanner，并使用iss工具對(duì)網(wǎng)絡(luò)進(jìn)行了penetration test（入侵測(cè)試）。有的機(jī)構(gòu)甚至?xí)褂胕ss配合cybercop分別掃描網(wǎng)絡(luò)，利用不同產(chǎn)品的優(yōu)點(diǎn)，進(jìn)一步提高掃描結(jié)果的可靠性。 2、檢查應(yīng)用系統(tǒng)這里對(duì)應(yīng)用系統(tǒng)的檢查定義為： 對(duì)應(yīng)用系統(tǒng)處理過程及系統(tǒng)內(nèi)存儲(chǔ)的業(yè)務(wù)數(shù)據(jù)的完整性和準(zhǔn)確性進(jìn)行檢查。對(duì)銀行系統(tǒng)而言，具體檢查的內(nèi)容包括網(wǎng)上銀行、銀行卡系統(tǒng)、利息及費(fèi)用核算、過賬、報(bào)表輸出等計(jì)算機(jī)處理過程中的關(guān)鍵環(huán)節(jié)。如匯

7、豐銀行，其稽核部門在這方面的計(jì)算機(jī)應(yīng)用包括：（1）直接在主機(jī)系統(tǒng)編寫檢查程序在通用審計(jì)軟件尚未普及時(shí)，由信息系統(tǒng)審計(jì)人員在主機(jī)環(huán)境（測(cè)試平臺(tái)）上直接開發(fā)專用審計(jì)程序，用于核對(duì)利息、數(shù)據(jù)比較、抽樣證賬等工作。（2）利用pc工具編寫檢查程序由于在主機(jī)開發(fā)程序周期長(zhǎng)、耗費(fèi)較多人力資源，以及主機(jī)開發(fā)語言較難掌握、用戶操作接口不夠友好等問題，審計(jì)部門已趨向?qū)⒅饕_發(fā)工具轉(zhuǎn)為pc，并通常會(huì)借助一些較為通用及易編程的工具，如foxpro及acl等。 二、利用計(jì)算機(jī)技術(shù)輔助業(yè)務(wù)審計(jì)隨著計(jì)算機(jī)應(yīng)用的普及和審計(jì)素質(zhì)的提高，以及一些方便易用的軟件工具的出現(xiàn)，審計(jì)機(jī)構(gòu)利用計(jì)算機(jī)輔助業(yè)務(wù)審計(jì)日趨普遍，并從傳統(tǒng)上的抽樣統(tǒng)

8、計(jì)、核對(duì)查錯(cuò)發(fā)展到輔助效率審計(jì)。 1、常用計(jì)算機(jī)輔助審計(jì)軟件工具審計(jì)軟件分為數(shù)據(jù)抽取軟件、數(shù)據(jù)分析軟件、網(wǎng)絡(luò)安全評(píng)估軟件及自我評(píng)估控制軟件等九類。acl軟件作為業(yè)界比較著名的審計(jì)軟件，會(huì)計(jì)師在進(jìn)行審計(jì)時(shí)，普遍使用acl抽取數(shù)據(jù)進(jìn)行數(shù)據(jù)核對(duì)、統(tǒng)計(jì)抽樣等。sql是通用的標(biāo)準(zhǔn)查詢語言，無論是主機(jī)的db2還是服務(wù)器級(jí)的sybase、oracle，或是pc上的forpro、win access，以及acl軟件，均支持這一行業(yè)標(biāo)準(zhǔn)（即采用基本一致的編程語法結(jié)構(gòu)）。由于其具有易 學(xué)習(xí) 、使用靈活、運(yùn)行效率高的特點(diǎn)，以及掌握其語法后可很快適應(yīng)上述不同數(shù)據(jù)庫(kù)產(chǎn)品環(huán)境，因此，計(jì)算機(jī)審計(jì)人員應(yīng)普遍掌握及使用sql編

9、寫審計(jì)程序。轉(zhuǎn)貼于 2、實(shí)際 應(yīng)用現(xiàn)場(chǎng)審計(jì)很難詳盡描述 計(jì)算 機(jī)在業(yè)務(wù)審計(jì)中的應(yīng)用范圍，從了解到的有關(guān)機(jī)構(gòu)情況看，可以這么說，凡是審計(jì)過程中需要對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、 分析 、比較的，都可以用到計(jì)算機(jī)工具，而應(yīng)用程度及應(yīng)用效果則依賴于審計(jì)人員對(duì)其掌握及靈活使用的程度。一些外資銀行普遍要求以下做法： 由獨(dú)立審計(jì)機(jī)構(gòu)不定期從銀行所有客戶中抽選出部分，向他們發(fā)出證帳信，請(qǐng)客戶確認(rèn)信中附寄的銀行賬務(wù)資料是否正確。這項(xiàng)工作可充分發(fā)揮acl這類通用審計(jì)軟件的作用：可抽取不同格式的計(jì)算機(jī)系統(tǒng)數(shù)據(jù)可選用多種抽樣 方法根據(jù)抽樣結(jié)果靈活調(diào)整抽樣參數(shù)降低審計(jì)風(fēng)險(xiǎn)水平時(shí)間和成本的節(jié)約非現(xiàn)場(chǎng)審計(jì)非現(xiàn)場(chǎng)審計(jì)的概念在不同機(jī)構(gòu)

10、中可能命名不同，總的來說是強(qiáng)調(diào)利用計(jì)算機(jī)手段，足不出戶，利用計(jì)算機(jī)終端遠(yuǎn)距離抽取系統(tǒng)數(shù)據(jù)進(jìn)行分析。大銀行會(huì)在計(jì)算機(jī)中心主機(jī)系統(tǒng)內(nèi)建立數(shù)據(jù)專區(qū)inc（information center），各操作系統(tǒng)每日批處理后將業(yè)務(wù)數(shù)據(jù)傳送到inc中；另一邊，在審計(jì)部門建立主機(jī)系統(tǒng)終端，審計(jì)人員可以通過終端，編寫sql程序，從上述數(shù)據(jù)庫(kù)中抽取自己需要的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析。這種方式有以下好處：減省審計(jì)人員外出的人力、物力及時(shí)間成本，特別適用于分行地域跨度大的機(jī)構(gòu)能迅速取得最新的業(yè)務(wù)數(shù)據(jù)數(shù)據(jù)未經(jīng)加工，來源可靠審計(jì)過程更具針對(duì)性和持續(xù)性能取得大量的、來自不同系統(tǒng)的數(shù)據(jù)，便于審計(jì)人員從整體的、宏觀的角度進(jìn)行分析，有助于

11、開展效益和管理審計(jì) 三、 發(fā)展 趨勢(shì) 1、 計(jì)算機(jī)審計(jì)與業(yè)務(wù)審計(jì)的界線日趨模糊隨著銀行業(yè)務(wù)計(jì)算機(jī)化比重日趨加大， 目前 大 企業(yè) 的計(jì)算機(jī)應(yīng)用已不僅僅是過去的仿真手工階段，覆蓋范圍也不再局限于零售、結(jié)算等操作層次，而是提升到整個(gè)企業(yè)業(yè)務(wù)流程的各個(gè)方面，如erp（企業(yè)資源計(jì)劃）、hrm（人力資源管理）、crm（銀行信貸風(fēng)險(xiǎn)管理）。審計(jì)人員如果再不能利用計(jì)算機(jī)工具，繼續(xù)將審計(jì)局限于操作層面的檢查，將不能適應(yīng)發(fā)展的要求。相反，計(jì)算機(jī)審計(jì)人員也不但要檢查計(jì)算機(jī)本身的安全，也需要了解銀行業(yè)務(wù)，以便為審計(jì)工作計(jì)算機(jī)化提供更好支持。在領(lǐng)先的國(guó)際化大銀行，這一趨勢(shì)已十分明顯，如匯豐銀行，審計(jì)人員共70多人，其中計(jì)算機(jī)審計(jì)人員已占到約一半，其中有10人專責(zé)計(jì)算機(jī)審計(jì)軟件的開發(fā)工作。 2、 用計(jì)算機(jī)手段向效益和管理審計(jì)發(fā)展商業(yè)機(jī)構(gòu)追求最大化利潤(rùn)的目標(biāo)，不僅要求審計(jì)部門對(duì)安全經(jīng)營(yíng)情況進(jìn)行監(jiān)督（當(dāng)哨兵或警察），還要能提供提高經(jīng)營(yíng)效益和管理方面的意見（當(dāng)顧問），提供增值服務(wù)。計(jì)算機(jī)技術(shù)