信息系統(tǒng)審計在國內(nèi)外銀行業(yè)的應(yīng)用

1、  信息系統(tǒng)審計在國內(nèi)外銀行業(yè)的應(yīng)用   簡介：審計是 經(jīng)濟 發(fā)展 到一定階段的產(chǎn)物，隨著經(jīng)濟的發(fā)展，審計的外延和內(nèi)涵不斷發(fā)展，審計的 內(nèi)容 也已經(jīng)由原來的財務(wù)報表審計、經(jīng)營審計、管理審計進一步擴大到整個信息系統(tǒng)，對信息系統(tǒng)進行審計及以 計算 機作為技術(shù)手段進行審計，便是其中的兩種重要形式，經(jīng)過幾年的發(fā)展，已經(jīng)形成了一套規(guī)范而行之有效的審計 方法 。 企業(yè) 事業(yè)單位對財務(wù)管理、經(jīng)營管理、行政管理都在走向信息化、 網(wǎng)絡(luò) 化。財政、 金融 、稅務(wù)、海關(guān)等領(lǐng)域信息化進程迅速推進，政府部門、國有企業(yè)等被審計單位的 會計 核算、財務(wù)管理、經(jīng)營管理 電子 化日益普及

2、，銀行業(yè)監(jiān)管部門面臨的挑戰(zhàn)是：在審計資源保持相當(dāng)穩(wěn)定的情況下，按照傳統(tǒng)審計工作的高質(zhì)量標準，去審查信息系統(tǒng)生成的需要 分析 的大量數(shù)據(jù)，幾乎不可能。審計是經(jīng)濟發(fā)展到一定階段的產(chǎn)物，隨著經(jīng)濟的發(fā)展，審計的外延和內(nèi)涵不斷發(fā)展，審計的內(nèi)容也已經(jīng)由原來的財務(wù)報表審計、經(jīng)營審計、管理審計進一步擴大到整個信息系統(tǒng)，對信息系統(tǒng)進行審計及以計算機作為技術(shù)手段進行審計，便是其中的兩種重要形式，經(jīng)過幾年的發(fā)展，已經(jīng)形成了一套規(guī)范而行之有效的審計方法。本文主要介紹利用計算機進行審計檢查監(jiān)督的做法。 一、利用計算機工具檢查信息系統(tǒng)安全 1、檢查計算機通用控制在檢查計算機通用控制時，如檢查系統(tǒng)平臺的訪問控制，若用手工檢

3、查，需要審計人員到現(xiàn)場進入操作系統(tǒng)，輸入有關(guān)命令才可以得到操作系統(tǒng)訪問控制的具體設(shè)置。這種手段存在以下缺點：（1）對計算機審計人員技術(shù)要求較高，需要了解讀取不同操作系統(tǒng)安全設(shè)置的命令及參數(shù)，而且審計必須不斷跟進系統(tǒng)版本變化（2）檢查結(jié)果不易輸出，如對windows nt的檢查，只能利用屏幕拷貝方式（3）檢查結(jié)果不易分析，由于檢查結(jié)果可能包含大量信息，審計人員從中找出所關(guān)注的 問題 需要花較大工作量因此，專業(yè)計算機公司針對不同操作系統(tǒng)平臺開發(fā)了專門的審計工具，這些工具一般包括以下功能：（1）設(shè)定參照性安全標準，既可以使用行業(yè)的一般標準，也可以根據(jù)審計機構(gòu)的安全政策自行設(shè)計（2）對有關(guān)平臺或網(wǎng)絡(luò)的

4、安全控制進行全面掃描檢查，詳細分析各種安全設(shè)置（3）參照安全標準進行分析評估，既可以得出量化的評分結(jié)果，也可以輸出各種格式的詳細報告。在信息系統(tǒng)審計中，國外常用的安全審計軟件有：（1）security analyst. kane公司產(chǎn)品，用于對windowsnt/2000平臺的檢查（2）rapport audit master. 由rapport software公司開發(fā)，用于檢查as/400平臺安全。（3）主機平臺。由于主機平臺產(chǎn)品較昂貴，一般較少采用專門審計工具，而是利用安裝在主機內(nèi)的安全訪問控制軟件，如： mvs環(huán)境的racf軟件，ca top-secret軟件，其主要功能是計算機安全員

5、用于設(shè)置安全控制，也能提供較好的接口和輸出工具供審計人員讀取安全設(shè)置。（4）網(wǎng)絡(luò)安全檢查工具。包括iss、cybercop、axent等網(wǎng)絡(luò)安全掃描工具，除掃描網(wǎng)絡(luò)漏洞外，還可進行仿真入侵測試。使用專用工具的好處：（1）審計人員不必詳細記憶不同平臺的操作命令，減輕工作量，提高工作效率（2）系統(tǒng)更新?lián)Q代或業(yè)界發(fā)現(xiàn)有新的安全問題時，只須升級有關(guān)審計工具即可（3）輸出結(jié)果直觀、可靠（4）使用業(yè)界普遍采用的工具，也有助于提高審計結(jié)果的可接受程度及公信力。另一方面，部分審計機構(gòu)亦會自行開發(fā)一些審計工具，如編寫unix script，或利用foxpro等編寫統(tǒng)計分析程序，亦有助于提高審計效率。在實際 應(yīng)用

6、 時，根據(jù)環(huán)境需要通常會使用多種工具的混合。如在對網(wǎng)上銀行系統(tǒng)進行安全評估時，采用了sever平臺的unix檢查工具和nt檢查工具，以及網(wǎng)絡(luò)平臺的iss internetscanner，并使用iss工具對網(wǎng)絡(luò)進行了penetration test（入侵測試）。有的機構(gòu)甚至?xí)褂胕ss配合cybercop分別掃描網(wǎng)絡(luò)，利用不同產(chǎn)品的優(yōu)點，進一步提高掃描結(jié)果的可靠性。 2、檢查應(yīng)用系統(tǒng)這里對應(yīng)用系統(tǒng)的檢查定義為： 對應(yīng)用系統(tǒng)處理過程及系統(tǒng)內(nèi)存儲的業(yè)務(wù)數(shù)據(jù)的完整性和準確性進行檢查。對銀行系統(tǒng)而言，具體檢查的內(nèi)容包括網(wǎng)上銀行、銀行卡系統(tǒng)、利息及費用核算、過賬、報表輸出等計算機處理過程中的關(guān)鍵環(huán)節(jié)。如匯

7、豐銀行，其稽核部門在這方面的計算機應(yīng)用包括：（1）直接在主機系統(tǒng)編寫檢查程序在通用審計軟件尚未普及時，由信息系統(tǒng)審計人員在主機環(huán)境（測試平臺）上直接開發(fā)專用審計程序，用于核對利息、數(shù)據(jù)比較、抽樣證賬等工作。（2）利用pc工具編寫檢查程序由于在主機開發(fā)程序周期長、耗費較多人力資源，以及主機開發(fā)語言較難掌握、用戶操作接口不夠友好等問題，審計部門已趨向?qū)⒅饕_發(fā)工具轉(zhuǎn)為pc，并通常會借助一些較為通用及易編程的工具，如foxpro及acl等。 二、利用計算機技術(shù)輔助業(yè)務(wù)審計隨著計算機應(yīng)用的普及和審計素質(zhì)的提高，以及一些方便易用的軟件工具的出現(xiàn)，審計機構(gòu)利用計算機輔助業(yè)務(wù)審計日趨普遍，并從傳統(tǒng)上的抽樣統(tǒng)

8、計、核對查錯發(fā)展到輔助效率審計。 1、常用計算機輔助審計軟件工具審計軟件分為數(shù)據(jù)抽取軟件、數(shù)據(jù)分析軟件、網(wǎng)絡(luò)安全評估軟件及自我評估控制軟件等九類。acl軟件作為業(yè)界比較著名的審計軟件，會計師在進行審計時，普遍使用acl抽取數(shù)據(jù)進行數(shù)據(jù)核對、統(tǒng)計抽樣等。sql是通用的標準查詢語言，無論是主機的db2還是服務(wù)器級的sybase、oracle，或是pc上的forpro、win access，以及acl軟件，均支持這一行業(yè)標準（即采用基本一致的編程語法結(jié)構(gòu)）。由于其具有易 學(xué)習(xí) 、使用靈活、運行效率高的特點，以及掌握其語法后可很快適應(yīng)上述不同數(shù)據(jù)庫產(chǎn)品環(huán)境，因此，計算機審計人員應(yīng)普遍掌握及使用sql編

9、寫審計程序。轉(zhuǎn)貼于 2、實際 應(yīng)用現(xiàn)場審計很難詳盡描述 計算 機在業(yè)務(wù)審計中的應(yīng)用范圍，從了解到的有關(guān)機構(gòu)情況看，可以這么說，凡是審計過程中需要對業(yè)務(wù)數(shù)據(jù)進行統(tǒng)計、 分析 、比較的，都可以用到計算機工具，而應(yīng)用程度及應(yīng)用效果則依賴于審計人員對其掌握及靈活使用的程度。一些外資銀行普遍要求以下做法： 由獨立審計機構(gòu)不定期從銀行所有客戶中抽選出部分，向他們發(fā)出證帳信，請客戶確認信中附寄的銀行賬務(wù)資料是否正確。這項工作可充分發(fā)揮acl這類通用審計軟件的作用：可抽取不同格式的計算機系統(tǒng)數(shù)據(jù)可選用多種抽樣 方法根據(jù)抽樣結(jié)果靈活調(diào)整抽樣參數(shù)降低審計風(fēng)險水平時間和成本的節(jié)約非現(xiàn)場審計非現(xiàn)場審計的概念在不同機構(gòu)

10、中可能命名不同，總的來說是強調(diào)利用計算機手段，足不出戶，利用計算機終端遠距離抽取系統(tǒng)數(shù)據(jù)進行分析。大銀行會在計算機中心主機系統(tǒng)內(nèi)建立數(shù)據(jù)專區(qū)inc（information center），各操作系統(tǒng)每日批處理后將業(yè)務(wù)數(shù)據(jù)傳送到inc中；另一邊，在審計部門建立主機系統(tǒng)終端，審計人員可以通過終端，編寫sql程序，從上述數(shù)據(jù)庫中抽取自己需要的數(shù)據(jù)進行統(tǒng)計分析。這種方式有以下好處：減省審計人員外出的人力、物力及時間成本，特別適用于分行地域跨度大的機構(gòu)能迅速取得最新的業(yè)務(wù)數(shù)據(jù)數(shù)據(jù)未經(jīng)加工，來源可靠審計過程更具針對性和持續(xù)性能取得大量的、來自不同系統(tǒng)的數(shù)據(jù)，便于審計人員從整體的、宏觀的角度進行分析，有助于

11、開展效益和管理審計 三、 發(fā)展 趨勢 1、 計算機審計與業(yè)務(wù)審計的界線日趨模糊隨著銀行業(yè)務(wù)計算機化比重日趨加大， 目前 大 企業(yè) 的計算機應(yīng)用已不僅僅是過去的仿真手工階段，覆蓋范圍也不再局限于零售、結(jié)算等操作層次，而是提升到整個企業(yè)業(yè)務(wù)流程的各個方面，如erp（企業(yè)資源計劃）、hrm（人力資源管理）、crm（銀行信貸風(fēng)險管理）。審計人員如果再不能利用計算機工具，繼續(xù)將審計局限于操作層面的檢查，將不能適應(yīng)發(fā)展的要求。相反，計算機審計人員也不但要檢查計算機本身的安全，也需要了解銀行業(yè)務(wù)，以便為審計工作計算機化提供更好支持。在領(lǐng)先的國際化大銀行，這一趨勢已十分明顯，如匯豐銀行，審計人員共70多人，其中計算機審計人員已占到約一半，其中有10人專責(zé)計算機審計軟件的開發(fā)工作。 2、 用計算機手段向效益和管理審計發(fā)展商業(yè)機構(gòu)追求最大化利潤的目標，不僅要求審計部門對安全經(jīng)營情況進行監(jiān)督（當(dāng)哨兵或警察），還要能提供提高經(jīng)營效益和管理方面的意見（當(dāng)顧問），提供增值服務(wù)。計算機技術(shù)