商业银行IT审计面临的挑战
翻新时间:2022-11-28
商业银行IT审计面临的挑战
商业银行IT审计面临的挑战
随着信息技术的兴起,信息系统已经渗透到商业银行业务的各个领域,它在给人们带来便利与效益的同时,也带来了很多负面影响,如计算机犯罪案件的频频发生等,系统安全问题日益严峻。于是,一个不容回避的问题——商业银行如何有效地开展信息技术审计,以保证信息系统安全,摆在了我们面前。
一、IT审计的定义及其特点 IT审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动,以审查企业信息系统是否安全、可靠、有效,保证信息系统得出准确可靠的数据。IT审计的目标是保证IT系统的可用性、安全性、完整性和有效性,最终达到增强企业内部控制的目的。IT审计具有以下特点: (一)IT审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现,它贯穿于整个信息系统生命周期的全过程。 (二)IT审计的对象综合且复杂。IT审计从纵向(生命周期)看,覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向(各阶段截面)看,它包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。 (三)IT审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”;但IT审计除了上述目标外,还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。 (四)IT审计是一种基于风险基础审计的理论和方法。IT审计从基于控制的方法演变为基于风险的方法,其内涵包括企业风险管理http://wWW.LWlm.Com的整体框架,如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。 二、IT审计面临的挑战 IT审计和传统审计相比具有的上述特点是吸引我国众多商业银行引入IT审计的重要原因,但是这种方法的应用又会给商业银行提出巨大的挑战。 (一)传统审计线索的消失。在手工会计环境下,审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表,这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹,这就是传统审计线索的基本特征。但是,现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上,无纸质记录,审计人员用肉眼无法直接看到这些数据如何记录,且非法修改删除原始数据也可以不留篡改的痕迹,从而为舞弊人员作案留有可乘之机。 (二)计算机信息系统的数据安全面临挑战。手工信息处理的环境下,审计人员无须将数据和会计信息的安全性问题作为审计的重要内容,但是在IT审计中,网络电子交易数据的安全是关系到交易双方切身利益的关键问题,也是商业银行计算机网络应用中的重大障碍和审计的首要问题。例如,计算机病毒的破坏、黑客用IP地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等,都是传统审计从未涉及的,但又是IT审计的重点,这对当前我国的审计工作无论是操作系统,还是制度建立等众多方面都是一个很大的挑战。 (三)IT审计专业人才匮乏。适应IT审计事业发展的人才培养和管理机制还有待建立和健全。由于IT审计固有的复杂性,这项工作需要具备会计、审计、组织管理 和计算机、网络技术等综合知识的复合型人才,而且工作人员需要对内部控制和审计有深刻的理解,对信息和网络技术有敏锐的捕捉能力,在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。 三、IT审计应对策略 面对上述挑战,我们应当勇于实践,积极探索新形势下如何使IT审计工作能够满足商业银行发展的需求。 (一)审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点,可以重建电子审计线索:在电子化的原始数据形成时,同时在审计机构(包括内审机构)和关系紧密(签字确认)的部门形成原始数据的“原本”,或在不同部门各自形成相关的数据库(特别应当包括数量、金额和单价等主要数据项),这样不仅可以相互监督和牵制,还给计算机审计提供可信的审计线索。这种保留审计线索的方法,一方面成为有力的控制手段;另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件,同时将几个部门的同一种数据库进行自动比较,形成有差异的数据记录文件,详细审查相关的数据文件和访问有关的当事人,从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用,如果企业业务数据分离存放,如销售合同与销售发票、提货单在不同的部门保存,这种实质性测试也可采用比较审计法,应用专用的审计软件,结合相关的几个业务数据文件进行比较,查出有错误疑点的记录。 (二)确保信息系统的信息安全。为了保证信息系统的信息安全,IT审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况,通过面谈实地审查企业安全管理制度建立和执行的情况,查看企业是否为了预防计算机病毒,对外来的软件和传输的数据经过病毒检查,业务系统是否严禁使用游戏软件,以及是否配置了自动检测关键数据库的软件,使异常及时被发现;检测企业是否为了防范黑客入侵,网络交易的数据库采用离散结构,同时在不同的指定网点(如在交易的双方)形成完整的业务数据备份供特殊使用(如审计和监控);此外,IT审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度,审查有关计算机安全的国家法律和管理条例的执行情况。 (三)建立一支完备的IT审计专业人才队伍。IT审计的发展必须有一大批专业化的IT审计人才,这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。此外,商业银行可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训。 当前,我国IT审计正处于起步阶段,和传统审计相比,IT审计的显著特点决定了其势在必行,但一种新的方法的引入和实施必定会给商业银行和审计人员带来巨大的挑战,应该抓住机遇,迎接挑战,使IT审计工作不断发展完善下载文档
版权声明:此文档由查字典文档网用户提供,如用于商业用途请与作者联系,查字典文档网保持最终解释权!
网友最新关注
- 神奇的实验
- 日记一则——游菜丰园
- 神笔马良游现代
- 寻找春的足迹
- 广州的变化
- 月光下的夜
- 晨练
- 广场夜生活
- 姑姑家的小狗
- 我是飞机
- 山
- 爬东山
- 珍惜拥有
- 考试趣谈
- 皮特洛奇遇记
- 创建文明处室自查报告
- 开展“安全生产月”活动情况的自查报告
- 关于开展水利工程汛前安全大检查情况的自查报告
- 教学示范学校自评报告
- 体育工作督导评估自查报告
- 领导班子党风廉政落实情况的报告
- 致家长的一封信(给家长写信的参考样本)
- 政协提案工作情况报告
- 学校建账目标落实情况自查报告
- 示范性幼儿园自评报告
- 关于全县安全稳定信访工作落实情况的督查通报
- 关于全市党校工作创新座谈会会议精神贯彻落实情况的报告
- 市委党校200x年党建工作情况报告
- 民主管理工作自查小结
- 旅游项目开发建设的情况报告
- 完善企业内部经济责任审计探讨
- 教育系统领导干部任期经济责任审计评价方法研究
- 浅析汉字识别技术在档案管理工作中的应用-档案管理论文(1)
- 浅谈高校审计人员的审计素质教育
- 浅议中职数学教育过程中的创新思维
- 探析学案导学教学模式在高中语文教学中的应用
- 中日企业内部控制评价与审计规范比较
- 浅谈初中物理课堂互动讨论教学模式的构建
- 档案本质属性研究简评-档案管理论文(1)
- 受托责任观下的经济责任审计:对象\评价和控制
- 浅谈在探索中前进的基础教育课程改革
- 关于新形势下高校学生管理人员人格塑造探析
- 关于电子档案中个人资料的法律保护 -档案管理论文(1)
- 浅谈发电企业所属的多经公司如何做好任期经济责任审计
- 网络环境下的档案创新服务-档案管理论文(1)
- 《北京亮起来了》教学反思
- 从北京看中国的变化
- 摔不破的“蛋”
- 《北京亮起来了》教学反思
- 美丽的北海公园
- 语文有效对话中要披文入情──《北京亮起来了》教学案例
- 人文北京·名胜古迹
- 北京四合院
- 北平的四季
- 北京故宫风光揽胜
- “机智”源于“积淀”──《北京亮起来了》教学感悟
- 《北京亮起来了》课后反思
- 老北京与新北京
- 《北京亮起来了》教后感
- 《北京亮起来了》教学杂谈