商业银行IT审计

商业银行IT审计面临的挑战随着信息技术的兴起，信息系统已经渗透到商业银行业务的各个领域，它在给人们带来便利与效益的同时，也带来了很多负面影响，如计算机犯罪案件的频频发生等，系统安全问题日益严峻。于是，一个不容回避的问题——商业银行如何有效地开展信息技术审计，以保证信息系统安全，摆在了我们面前。一、it审计的定义及其特点it审计是指对信息系统从计划、研发、实施到运行维护各个过程进行审查与评价的活动，以审查企业信息系统是否安全、可靠、有效，保证信息系统得出准确可靠的数据。it审计的目标是保证it系统的可用性、安全性、完整性和有效性，最终达到增强企业内部控制的目的。it审计具有以下特点：（一）it审计是一个过程。它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现，它贯穿于整个信息系统生命周期的全过程。（二）it审计的对象综合且复杂。it审计从纵向（生命周期）看，覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务；从横向（各阶段截面）看，它包含对软硬件的获取审计、应用程序审计、安全审计等。it审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。（三）it审计拓宽了传统审计的目标。传统审计目标仅仅包括“对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见”；但it审计除了上述目标外，还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。（四）it审计是一种基于风险基础审计的理论和方法。it审计从基于控制的方法演变为基于风险的方法，其内涵包括企业风险管理的整体框架，如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。二、it审计面临的挑战it审计和传统审计相比具有的上述特点是吸引我国众多商业银行引入it审计的重要原因，但是这种方法的应用又会给商业银行提出巨大的挑战。（一）传统审计线索的消失。在手工会计环境下，审计线索主要来自于纸质原始凭证、记账凭证、会计账簿和会计报表，这些书面数据之间的勾稽关系使得数据若被修改可辨识出修改的线索和痕迹，这就是传统审计线索的基本特征。但是，现在计算机网络信息系统中这些数据直接记录在磁盘和光盘上，无纸质记录，审计人员用肉眼无法直接看到这些数据如何记录，且非法修改删除原始数据也可以不留篡改的痕迹，从而为舞弊人员作案留有可乘之机。（二）计算机信息系统的数据安全面临挑战。手工信息处理的环境下，审计人员无须将数据和会计信息的安全性问题作为审计的重要内容，但是在it审计中，网络电子交易数据的安全是关系到交易双方切身利益的关键问题，也是商业银行计算机网络应用中的重大障碍和审计的首要问题。例如，计算机病毒的破坏、黑客用ip地址欺骗攻击网络系统来获取重要商业秘密、内部人员的计算机舞弊、数据丢失等，都是传统审计从未涉及的，但又是it审计的重点，这对当前我国的审计工作无论是操作系统，还是制度建立等众多方面都是一个很大的挑战。（三）it审计专业人才匮乏。适应it审计事业发展的人才培养和管理机制还有待建立和健全。由于it审计固有的复杂性，这项工作需要具备会计、审计、组织管理和计算机、网络技术等综合知识的复合型人才，而且工作人员需要对内部控制和审计有深刻的理解，对信息和网络技术有敏锐的捕捉能力，在我国获得注册信息系统审计师资格的人数远远不能满足信息系统审计业务的需求。三、it审计应对策略面对上述挑战，我们应当勇于实践，积极探索新形势下如何使it审计工作能够满足商业银行发展的需求。（一）审计线索的重建。根据计算机网络系统容易在不同地方同时形成相同“原本”数据的特点，可以重建电子审计线索：在电子化的原始数据形成时，同时在审计机构（包括内审机构）和关系紧密（签字确认）的部门形成原始数据的“原本”，或在不同部门各自形成相关的数据库（特别应当包括数量、金额和单价等主要数据项），这样不仅可以相互监督和牵制，还给计算机审计提供可信的审计线索。这种保留审计线索的方法，一方面成为有力的控制手段；另一方面可从审计线索中发现疑点。这种方法主要是应用专用的审计比较软件，同时将几个部门的同一种数据库进行自动比较，形成有差异的数据记录文件，详细审查相关的数据文件和访问有关的当事人，从而取得有力的审计证据。上述比较审计方法是在不同部门同时形成业务数据文件的情况下应用，如果企业业务数据分离存放，如销售合同与销售发票、提货单在不同的部门保存，这种实质性测试也可采用比较审计法，应用专用的审计软件，结合相关的几个业务数据文件进行比较，查出有错误疑点的记录。（二）确保信息系统的信息安全。为了保证信息系统的信息安全，it审计工作人员要在审计过程中评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况，通过面谈实地审查企业安全管理制度建立和执行的情况，查看企业是否为了预防计算机病毒，对外来的软件和传输的数据经过病毒检查，业务系统是否严禁使用游戏软件，以及是否配置了自动检测关键数据库的软件，使异常及时被发现；检测企业是否为了防范黑客入侵，网络交易的数据库采用离散结构，同时在不同的指定网点（如在交易的双方）形成完整的业务数据备份供特殊使用（如审计和监控）；此外，it审计人员还要注意检查企业的信息系统岗位责任实施、安全日志制度，审查有关计算机安全的国家法律和管理条例的执行情况。（三）建立一支完备的it审计专业人才队伍。it审计的发展必须有一大批专业化的it审计人才，这就要求我们要采取短期培训和长期培养、操作层面上的培训与高层次人才的培养、在职人员培训与未来人才培养相结合的方法将这支队伍逐渐发展起来。此外，商业银行可以从现有的审计队伍中选拔人员进行专门的信息系统审计培训。当前，我国it审计正处于起步阶段，和传统审计相比，it审计的显著特点决定了其势在必行，但一种新的方法的引入和实施必定会给商业银行和审计人员带来巨大的挑战，应该抓住机遇，迎接挑战，使it审计工作不断发展完善。■下午13：00—17：00B．实行不定时工作制的员工，在保证完成甲方工作任务情况下，经公司同意,可自行安排工作和休息时间。3．1．2打卡制度3.1.2.1公司实行上、下班指纹录入打卡制度。全体员工都必须自觉遵守工作时间，实行不定时工作制的员工不必打卡。3.1.2.2打卡次数：一日两次，即早上上班打卡一次，下午下班打卡一次。3.1.2.3打卡时间：打卡时间为上班到岗时间和下班离岗时间；3.1.2.4因公外出不能打卡：因公外出不能打卡应填写《外勤登记表》,注明外出日期、事由、外勤起止时间。因公外出需事先申请，如因特殊情况不能事先申请，应在事毕到岗当日完成申请、审批手续，否则按旷工处理。因停电、卡钟（工卡）故障未打卡的员工，上班前、下班后要及时到部门考勤员处填写《未打卡补签申请表》，由直接主管签字证明当日的出勤状况，报部门经理、人力资源部批准后，月底由部门考勤员据此上报考勤。上述情况考勤由各部门或分公司和项目文员协助人力资源部进行管理。3.1.2.5手工考勤制度3.1.2.6手工考勤制申请：由于工作性质，员工无法正常打卡（如外围人员、出差），可由各部门提出人员名单，经主管副总批准后，报人力资源部审批备案。3.1.2.7参与手工考勤的员工，需由其主管部门的部门考勤员(文员)或部门指定人员进行考勤管理，并于每月26日前向人力资源部递交考勤报表。3.1.2.8参与手工考勤的员工如有请假情况发生，应遵守相关请、休假制度，如实填报相关表单。3.1.2.9外派员工在外派工作期间的考勤,需在外派公司打卡记录;如遇中途出差,持出差证明,出差期间的考勤在出差地所在公司打卡记录;3.2加班管理3.2.1定义加班是指员工在节假日或公司规定的休息日仍照常工作的情况。A．现场管理人员和劳务人员的加班应严格控制，各部门应按月工时标准，合理安排工作班次。部门经理要严格审批员工排班表，保证员工有效工时达到要求。凡是达到月工时标准的，应扣减员工本人的存休或工资；对超出月工时标准的，应说明理由，报主管副总和人力资源部审批。B．因员工月薪工资中的补贴已包括延时工作补贴，所以延时工作在4小时（不含）以下的，不再另计加班工资。因工作需要，一般员工延时工作4小时至8小时可申报加班半天，超过8小时可申报加班1天。对主管(含)以上管理人员，一般情况下延时工作不计加班，因特殊情况经总经理以上领导批准的延时工作，可按以上标准计加班。3.2.2.2员工加班应提前申请，事先填写《加班申请表》，因无法确定加班工时的，应在本次加班完成后3个工作日内补填《加班申请表》。《加班申请表》经部门经理同意，主管副总经理审核报总经理批准后有效。《加班申请表》必须事前当月内上报有效，如遇特殊情况，也必须在一周内上报至总经理批准。如未履行上述程序，视为乙方自愿加班。3.2.2.3员工加班，也应按规定打卡，没有打卡记录的加班，公司不予承认；有打卡记录但无公司总经理批准的加班，公司不予承认加班。3.2.2.4原则上，参加公司组织的各种培训、集体活动不计加班。3.2.2.5加班工资的补偿：员工在排班休息日的加班，可以以倒休形式安排补休。原则上，员工加班以倒休形式补休的，公司将根据工作需要统一安排在春节前后补休。加班可按1：1的比例冲抵病、事假。3.2.3加班的申请、审批、确认流程3.2.3.1《加班申请表》在各部门文员处领取，加班统计周期为上月26日至本月25日。3.2.3.2员工加班也要按规定打卡，没有打卡记录的加班，公司不予承认。各部门的考勤员(文员)负责《加班申请表》的保管及加班申报。员工加班应提前申请，事先填写《加班申请表》加班前到部门考勤员(文员)处领取《加班申请表》，《加班申请表》经项目管理中心或部门经理同意，主管副总审核，总经理签字批准后有效。填写并履行完审批手续后交由部门考勤员(文员)保管。3.2.3.3部门考勤员（文员）负责检查、复核确认考勤记录的真实有效性并在每月27日汇总交人力资源部，逾期未交的加班记录公司不予承认。下午13：00—17：00B．实行不定时工作制的员工，在保证完成甲方工作任务情况下，经公司同意,可自行安排工作和休息时间。3．1．2打卡制度3.1.2.1公司实行上、下班指纹录入打卡制度。全体员工都必须自觉遵守工作时间，实行不定时工作制的员工不必打卡。3.1.2.2打卡次数：一日两次，即早上上班打卡一次，下午下班打卡一次。3.1.2.3打卡时间：打卡时间为上班到岗时间和下班离岗时间；3.1.2.4因公外出不能打卡：因公外出不能打卡应填写《外勤登记表》,注明外出日期、事由、外勤起止时间。因公外出需事先申请，如因特殊情况不能事先申请，应在事毕到岗当日完成申请、审批手续，否则按旷工处理。因停电、卡钟（工卡）故障未打卡的员工，上班前、下班后要及时到部门考勤员处填写《未打卡补签申请表》，由直接主管签字证明当日的出勤状况，报部门经理、人力资源部批准后，月底由部门考勤员据此上报考勤。上述情况考勤由各部门或分公司和项目文员协助人力资源部进行管理。3.1.2.5手工考勤制度3.1.2.6手工考勤制申请：由于工作性质，员工无法正常打卡（如外围人员、出差），可由各部门提出人员名单，经主管副总批准后，报人力资源部审批备案。3.1.2.7参与手工考勤的员工，需由其主管部门的部门考勤员(文员)或部门指定人员进行考勤管理，并于每月26日前向人力资源部递交考勤报表。3.1.2.8参与手工考勤的员工如有请假情况发生，应遵守相关请、休假制度，如实填报相关表单。3.1.2.9外派员工在外派工作期间的考勤,需在外派公司打卡记录;如遇中途出差,持出差证明,出差期间的考勤在出差地所在公司打卡记录;3.2加班管理3.2.1定义加班是指员工在节假日或公司规定的休息日仍照常工作的情况。A．现场管理人员和劳务人员的加班应严格控制，各部门应按月工时标准，合理安排工作班次。部门经理要严格审批员工排班表，保证员工有效工时达到要求。凡是达到月工时标准的，应扣减员工本人的存休或工资；对超出月工时标准的，应说明理由，报主管副总和人力资源部审批。B．因员工