（会计学专业论文）商业银行信息系统安全审计问题研究.pdf

内容摘要 金融是我国国民经济的核心，而银行又是我国金融体系构成中的核心部分。 随着近些年来，银行信息化程度的不断提高，银行信息系统操作与管理变的越来 越复杂，银行信息化所产生的信息化风险已成为银行操作风险中的重要构成部 分，并成为威胁银行运行安全的重要因素之一。面对信息化风险，具有国际影响 力的金融监管准则一一巴塞尔协议，似乎还不能起到彻底防范和规避的作用。而 就连金融审计人员，在现阶段银行信息化如此复杂的情形下，也变得束手无策。 在这样的形势之下，为了弥补金融审计在信息系统审计方面的不足，为了更有效 的规避银行信息化风险，在以风险为导向，以信息系统审计自身的组织结构、系 统流程及i t 技术构架为依托，建立完善的金融信息系统审计的制度和机制就成 了当下急需关注和解决的问题。7 基于这杵的背景，本文首先对信息系统审计理论及方法进行了研究，对信息 系统审计的概念、目标、内容及审计实施的基本流程做了概述，并解释了风险导 向的信息系统安全审计模式的真正含意；其次，本文对商业银行自身的信息系统 特点和风险进行了剖析，通过银行信息化的进程了解了当前我国商业银行信息系 统的构成特点，并从信息技术的角度，尝试着对银行操作风险进行了定义和归类， 旨在为银行开展信息系统安全审计提供必要的风险导向。最后，通过借鉴国外成 熟的i t 技术框架及模型，构建出较为完整的我国商业银行信息系统安全审计技 术框架，为商业银行信息系统安全审汁成为规避银行信息化风险的有力工具，并 弥补金融审计的不足，进而完善我国商业银行的风险监管体系。 关键词：操作风险 信息系统审计 风险监管 a b s t r a c t f i n a n c ei st h ec o r eo fo u rn a t i o n a le c o n o m y , y e tc o m m e r c i a lb a n kp l a y saf a i r l y i m p o r t a n tr o l e i nt h ef i n a n c i a ls y s t e m r e c e n ty e a r s ，w i t ht h ed e v e l o p m e n to f b a n k i n gi n f o r m a t i z a t i o n ，t h eo p e r a t i o na n dm a n a g e m e n to ft h ec o m m e r c i a lb a n k i n f o r m a t i o ns y s t e mg e tm o r ea n dm o r ec o m p l i c a t e d ，i n f o r m a t i z a t i o nr i s kw h i c h c a u s e db yt h ec o m m e r c i a lb a n ki n f o r m a t i z a t i o nh a sb e c o m ea ni m p o r t a n tp a r t yt ot h e o p e r a t i o nr i s ko ft h eb a n k ，a n dh a sb e c o m eo n eo ft h em o s ti m p o r t a n tf a c t o r sw h i c h t h r e a t e nt h es e c u r i t yo ft h eb a n k o nt h i ss i t u a t i o n ，b a s e la c c o r dw h i c hi st h em o s t i n f l u e n t i a lr e g u l a t i o ns t a n d a r d st ot h eb a n ka l s oa p p e a r sn oe x h a u s t i v ee f f e c to n a v o i d i n gt h ei n f o r m a t i z a t i o nr i s k e v e nf o r t h ee x t e r n a lf i n a n c i a la u d i t o r , t h e r e s n o t h i n gt h e yc a nd oi ns u c hc o m p l i c a t e dc o n d i t i o n f o r t h en e ws i t u a t i o n ，a ta r i s k o r i e n t e da n di n f o r m a t i o ns y s t e ma u d i tf o ri t so w no r g a n i z a t i o n a ls t r u c t u r e ， p r o c e s s e sa n di ts y s t e m st e c h n i c a lm c h i t e c t u r e ，t h r o u g ht h ee s t a b l i s h m e n to fp e r f e c t r e g u l a t i o na n dm e c h a n i s m so ff i n a n c i a li n f o r m a t i o ns y s t e ma u d i t ，an e ws c i e n t i f i c s c h e m ao fr i s ka v e r s i o ni ts e e m sa n o t h e rn e w w e a p o n f o ra v o i d i n gf i n a n c i a lr i s k s ， u n d e rs u c hb a c k g r o u n d ，t h ea r t i c l er e s e a r c h e st h ei n f o r m a t i o ns y s t e ma u d i t i n g t h e o r ya n dm e t h o df o rt h ef i r s t ，a n dg i v e st h ed e t a i l sa b o u tt h ei n f o r m a t i o ns y s t e m a u d i t i n gc o n c e p t i o n ，o b j e c t i v e ，c o n t e n t sa n da u d i tp r o c e d u r e ，a n da l s oe x p l a i n st h e m e a n i n go fm e t h o do ft h er i s k o r i e n t e di n f o r m a t i o ns y s t e ms e c u r i t ya u d i t f o rt h e s e c o n d ，i no r d e rt op r o v i d es o m ee s s e n t i a lr i s k o r i e n t e df o rt h ei n f o r m a t i o ns y s t e m a u d i t i n g ，t h ea r t i c l ed e s c r i b e st h ei n f o r m a t i o ns y s t e m so ft h ec o m m e r c i a lb a n ka n d t h e i ri n h e r e n tr i s k ，a n df r o mt h ei n f o r m a t i o nt e c h n i q u e sp o i n to ft h ev i e w , w et r yt o g e tt h eo p e r a t i o nr i s kd e f i n i t i o na n dt h e i rc a t e g o r i e s a tl a s t ，t h r o u g hi n t r o d u c i n gt h e o v e r s e a sm a t u r e di to r g a n i z a t i o n a ls t r u c t u r ea n dm o d e l ，t h ea r t i c l eb u i l d st h e r e l a t i v e l yc o m p l e t es t r u c t u r ef o ro u ro w nc o m m e r c i a lb a n ki n f o r m a t i o ns y s t e ma u d i t ， a n dm a k e st h ei n f o r m a t i o ns y s t e ma u d i ta sam o s tp o w e r f u lt o o lf o ra v o i d i n gb a n k i n f o r m a t i z a t i o nr i s k ，t h e r e b yo f f s e t t i n gt h ed e f i c i e n c yo ft h ef i n a n c i a la u d i t i n g ，a n d f u r t h e rp e r f e c t i n go u rf i n a n c i a lr i s ks u p e r v i s i o ns y s t e m k e y w o r d ：o p e r a t i o nr i s k ；i n f o r m a t i o ns y s t e ma u d i t i n g ；r i s ks u p e r v i s i o n i i 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取 得的研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文 中不包含其他人己经发表或撰写过的研究成果，也不包含为获得天津财经 大学或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志 对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。 学位论文作者签名：蛰c 季签字日期：口一年月日 学位论文版权使用授权书 定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论 文被查阅和借阅。本人授权天津财经大学可以将学位论文的全部或部分内 容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、 嚣黧翟筲胖篡拯乞学位论文作者签名：趣主啐导师签名：之尘警乞 签字日期：易彤年厂月，日签字日期：痧哆年朋，f 日 第1 章绪论 1 1 本文研究目的和意义 上世纪9 0 年代初，邓小平同志在南巡视察中就已经做出“金融是现代经济的核心 的精辟论断。金融的稳定与发展对国民经济有着推波助澜的作用。但金融行业自身的不稳 定性与风险性使它在拥有促进经济发展的积极作用的同时，又有可能导致经济危机的发 生。因此，加强金融监管就成了防范金融风险的有效途径。而作为金融监管的重要组成部 分金融审计无疑是一支强大的“生力军”，其无论是在揭露金融系统中存在的突出问 题和风险，还是揭示政策上、制度上、监管上存在的缺陷，促进会融机构加强内部控制， 防范和化解金融风险都有着重要的意义。 然而，随着银行信息化程度的不断提高，银行信息系统操作与管理变的越来越复杂， 银行信息化所产生的信息化风险已成为银行操作风险中的重要构成部分，信息系统安全已 成为威胁银行运行安全的重要因素之一。面对信息化风险，具有国际影响力的金融监管准 贝i - - - 巴塞尔协议，似乎还不能起到彻底防范和规避的作用。就连金融审计人员，在现阶 段银行信息化如此复杂的情形下，也变得束手无策。面对新的形势、在以风险为导向，以 信息系统审计自身的组织结构、系统流程及i t 技术构架为依托，通过建立完善的金融信 息系统审计的制度和机制，构建科学的、新的风险规避模式，似乎可以成为规避金融风险 的又一新的利器。 本文研究的目的正是要以信息系统审计相关理论为依据，通过对商业银行信息系统自 身特点及其风险的研究，明确商业银行信息系统安全审计的主要内容、实施流程及其方法， 构建商业银行信息系统安全审计框架。弥补金融审计对银行信息化风险监管不足，并为探 索出发展我国商业银行信息系统审计的道路提供参考。 本文研究的意义在于，首先，银行信息系统审计体现了当代审计理论的发展要求。信 息系统审计是伴随着企业信息化的产生而发展起来的。无论从审计目标、对象还是内容上， 都是传统审计的一次扩展。他摆脱了传统的只是基于财务范畴的事后审计模式，发展成为 以信息环境下企业生产经营流程有关的，囊括内部环境的控制、风险事项的识别、评估、 管理、控制等一系列在内的综合信息系统审计理论和方法。因此，从这一点来看，金融信 息系统审计体现了当前审计理论的发展前沿。 其次，以风险为导向的商业银行信息系统安全审计作为信息系统审计的主要目标之 一，对于防范金融风险，尤其是金融操作风险方面可以做到“知己知彼”，预防控制的作 用。近年来，许多著名银行的倒闭案均离不丌操作风险控制的失效。由于操作风险内生性 的特点，银行完全有理由可以通过完善的内部控制体系做到规避与控制。虽然巴塞尔协议 与萨班斯法案在银行操作风险的控制方面均起到了积极的作用，但随着银行信息化程度以 及范围的不断加深和广大。传统的控制与监管模式面对新的风险时也显的势单力薄。因此， 通过金融信息系统安全审计，揭露系统中存在的突出问题和风险，提出银行内部控制制度、 政策、监管上存在的缺陷，完善金融机构内部管理，防范和化解金融风险有着重大的现实 意义。 第三，金融审计作为金融监管的一支中坚力量，对于防范金融风险，完善金融机构内 部控制和管理有着重要的作用。然而，随着金融机构信息化的运用和提升，传统的审计载 体、审计内容、审计线索、审计取证方式都发生了重大改变，这使得金融审计面临着前所 未有的挑战。除此之外，信息技术在为银行拓展新的业务，提供驱动力的同时，也给银行 自身带来了巨大的风险。如何管好信息与信息资源，如何利用信息技术，保证银行在金融 市场中的竞争优势，是当前摆在银行高级管理人员面前的一个课题。而开展银行信息系统 安全审计，正是加强银行信息系统治理，控制信息系统风险的有力手段。通过加强会融行 业的信息系统安全审计，弥补金融审计在信息化条件下防范信息化风险的不足，努力将金 融行业所面临的风险程度降到最低，促进金融机构的健康发展，都有着更为广泛的社会意 义。 1 2 国内外研究及发展现状 1 2 1 国内研究及发展现状 随着我国信息化程度的加强，信息系统安全防范与审计越来越受到人们的重视，无论 是从信息系统审计制度的建设还是信息系统审计理论的研究，专家、学者们在积极借鉴国 外发展经验的同时，也在努力的为我国信息化建设出谋划策。 ( 1 ) 准则制定方面 1 9 9 3 年，审计署发布了中华人民共和国审计署令第9 号审计署关于计算机审计的暂 行规定，从而正式启动了我国建设信息系统审计制度的步伐。1 9 9 6 年，审计署又颁和了 审计机关计算机辅助审计办法，该法令是我国最早的关于计算机辅助审计的规范性文 2 件。文件中明确了计算机辅助审计的含义及其所包括的内容，以及审计人员在计算机审计 中应享有的权利和承担的义务，为审计人员在执行计算机辅助审计提供了必要的法律依 据。 随后，中国注册会计师协会于1 9 9 9 年又颁布了独立审计具体准则第2 0 号计算 机信息系统环境下的审计。这是我国有关信息系统审计的唯一一个准则，该准则明确了 注册会计师在计算机信息系统环境下开展审计工作的审计对象、审计内容和审计方法，具 体规定了在计算机信息系统环境下审计的一般原则、审计计划、内部控制研究、评价与风 险评估和审计程序。但由于准则过于统括，缺乏操作层面的规范，使得审计人员难以准确 把握，准则规范和实际工作有脱节现象。 2 0 0 0 年，国务院办公厅出台了国务院办公厅关于利用计算机信息系统开展审计工作 的有关问题的通知，这是审计机关利用计算机信息系统开展审计工作的重要法规性依据。 该通知明确了审计机关对被审计单位进行计算机信息系统审计的权利和被审计单位接受 审计机关进行计算机信息系统审计的义务。从而使得信息系统审计的开展有了法律保障。 ( 2 ) 理论研究方面 在制度建设的同时，信息系统审计的理论和方法也在不断的创新和完善中。刘祖新 ( 2 0 0 3 ) 在信息系统审计的定位中，对信息系统审计的概念做了解释，认为信息系统 审计就是对企业和组织的信息系统进行独立的评估，包括政策、流程、标准、量度和实践 方法。周德铭( 2 0 0 3 ) 则在信息系统审计几个问题的探讨中，对信息系统评价指标体 系的建立提出了1 2 点建议，并提出了系统检查、风险评估和实质性测试三大审计方i 去。 陈婉玲、袁若宾( 2 0 0 6 ) 在c o b i t 及其在信息系统控制与审计中的应用中，则详细介 绍了由美国信息系统审计与控制协会制定的信息及相关技术控制目标标准( 英文简写： c o b i t ) ，为我国信息系统审计准则的建立起到了启示作用。 在以风险导向审计研究热潮的推动下，信息系统审计也开始沿着风险导向、风险控制 方面发展。如李凤鸣在审计学一书中就提出：内部审计要以增强价值、促进组织经营 为基本指导思想；以提高单位风险管理、控制和管理程序的效果和帮助组织完成其目标为 基本目的。这就促进了过去以控制导向审计的方式向未来以风险导向审计的方式转化。其 他学者如孙强，在信息系统审计：安全、风险管理与控制二书则结合中国国情，引进、 消化和吸收了国际上先进的安全风险管理与控制的方法论和最佳实务。在介绍基本审计知 识的基础上，重点阐述信息系统审计理论与实务，以及信息安全审计的相关内容。樊斌、 姚靠华( 2 0 0 6 ) 在风险导向信息系统审计探微则通过内外部审计的角度来对风险做了区 3 分。 近几年来，随着我国对外开放和金融体制改革的深入，金融审计被给予了更多的重视， 且赋予了新的职能。如李金华审计长在金融审计2 0 0 3 至2 0 0 7 五年规划座谈会上，就明确 提出了未来我国金融审计的风险、效益、管理三大目标，为未来令融审计的发展指明 了方向。余效明、朱惠红则在商业银行风险审计研究一书中，总结出了一套具体的商 业银行风险审计体系和方法，为银行风险审计的实施提供了宝贵的一手资料。而其他专家、 学者则在金融审计和防范金融风险之间的关系进行了广泛的讨论。胡丽英( 2 0 0 6 ) 在论 会融审计与金融风险防范中通过金融审计在防范会融风险中发挥作用的依据、途径两方 面，详细说明了金融审计在防范金融风险方面的突出作用。陈景、陈苏广( 2 0 0 7 ) 在金 融风险防范与金融审计中就金融审计是如何在防范金融风险中发挥作用进行了阐释。然 而，这些讨论大多只停留在了理论、意义方面的研究，并没有具体给出如何利用金融审计 来防范金融风险的对策或实施办法。 ( 3 ) 实物操作方面 从信息系统审计的实践来看，各大商业银行在借鉴国外先进的审计经验的同时，也在 积极地自行探索和实践，除了进一步加强信息科技部门自身的内部控制措施外，还在内部 审计部门成立专职的信息技术审计处，将重点放在对信息系统风险的检查和控制上。比如 工商银行在2 0 0 4 年，在实现全国业务数据处理集中到北京、上海两大数据中心后，就进 一步实现了这两大数据中心之间的灾难备份链接，建立了国际金融业规模最大的千公里级 数据中心异地灾难备份恢复系统。上海浦东发展银行也结合着自己的特点，建立起一套属 于自己的信息系统审计制度。设立信息系统审计岗位以后，通过两年多的努力，建立起一 套4 0 万字的信息系统审计基本准则、具体准则、( i t 审计手册和( i t 审计文档模 板，并在制度建设中力争做到三方面的结合。在信息系统审计准则和流程探索中，与国 际接轨，通过反复论证和学习实践，分别采用b s 7 7 9 9 i s o l 7 7 9 9 标准和i s a c a 标准作为银 行信息资产的控制标准和审计标准哪。 虽然，我国商业银行信息系统审计已经有了长足的发展，但与国外发达国家银行信息 系统审计相比，仍有较大的差距，其具体表现在如下几个方面： 审计覆盖面上的差异。 目前，国际上比较先进的商业银行无一例外的开展了一般控制和应用控制的全方位信 息系统审计。而我国由于信息系统审计工作丌展时间不长，并且人员有限，还未能全面开 。i t 审计：j 国际接轨在规范中发展，中国会汁网 4 展一般控制和应用控制的信息系统审计工作，基本处于般控制的摸索阶段，距国际先进 水平还有较大差距。 组织结构和人员配备上的差异。 国外银行的信息系统审计涵盖了软件开发和项目投产、运行维护的全过程，包含了各 种技术平台、系统生命周期的所有阶段，因此信息系统审计机构设置基本采用在总审计师 领导下，与业务审计两条线并列的模式，人员专业化分工明确，技术水平要求也较高，懂 i t 技术人员的比例一般占内部审计人员的3 0 一5 0 左右。而我国银行从事信息技术审计工 作的员工较少，在人员数量和质量上无论与国际先进水平还是银行的i t 架构相比，均有 不小的差距。同时，由于目前内审部门的信息技术审计组织结构不尽完善且人员不足，无 法进一步细分审计职能、明确专业审计方向。 信息系统审计的制度尚不完备。 虽然我国当前已经出台了相关规定和条例，但总体上尚未形成一套成型的专业规范， 无法满足信息技术发展对审计制度的需要。建立信息系统审计制度是信息化过程中信息系 统审计事业发展必不可少的保障机制，没有标准和规范，所有的实践活动只能局限在低水 平上重复。 信息系统审计控制措施存在着问题。 一方面，控制措施落实程度不够，科技人员主动性和积极性的发挥有待于进一步加强， 预防性控制措施所占比重较小，纠正性控制和检查性控制所占比重较大，这可能导致今后 事故发生的主要隐患；另一方面，现在的信息系统控制措施在连续性、一致性上存在欠缺， 控制良好的生产运行部门可能因上游开发部门的控制不完善而不能产生预期的控制效果， 反之亦然。 1 2 2 国外研究及发展现状 信息系统审计在国外开展的时间较早，大约始于2 0 世纪6 0 年代。虽发展历史并不久 远，但理论成果已相当丰硕。无论是在信息系统审计执业标准和规范的研究，还是对信息 系统审计的意义及内容的研究，或者是对信息系统审计的技术方法及应用模式的研究都己 处于领先地位。 ( 1 ) 理论研究及制度建设方面 国外最早的关于信息系统审计的理论著作是由美国的f 坎夫曼所写的电子数掘处 理与审计，它的出版填补了早期信息系统审计理论上的空白。随后，i t m 公司也出版了 刘杰，银行信息系统审计对策f j 】，现代金融2 0 0 7 年第5 期 5 a u d i te n c o u n t e r se l e c t r o n i cd a t ap r o c e s s i n g 等文献。制定了电子数据环境下的 内部审计规则和组织方法，介绍了许多新的概念、术语和审计技术；1 9 6 8 年，美国注册会 计师协会( a i c p a ) 出版了会计审计与计算机；次年，电子数据处理审计的专门组织e d p 审计协会在洛杉矶成立。至此，国外信息系统审计的萌芽阶段已经接近尾声，信息系统审 计迎来了快速的发展时期。 2 0 世界7 0 年代以后，随着计算机应用范围的不断扩展，电子数据处理、管理信息系 统等在企业中的广泛普及，信息系统审计的理论与实物得到了飞速发展。在实物上，伴随 着对电子数据审计的需求迅速增加，计算机辅助审计技术在实践中得到初步的运用；在理 论上，i a c p a 在1 9 7 4 年发表了内部控制制度的调查与评价对电子数据处理的影响，使 之成为对电子数据处理系统实施审计的标准；而在1 9 7 7 年，美国内部审计师协会又发表 了著名的系统可审计性及控制制度的研究，简称s a c 报告，提出了多种计算机辅助审 计技术，对利用计算机对计算机信息系统直接进行审计进行了有益的探索。而其他国家， 诸如同本也都在此期间对信息系统审计的执行制定了自己的标准，为信息系统审计理论的 发展做出了贡献。 进入8 0 、9 0 年代以后，国外信息系统审计的发展正式进入成熟和普及阶段。1 9 8 1 年， 美国e d p 审计师协会举办了首次注册信息系统审计师( c i s a ) 资格认证考试，这标志着信 息系统审计在美国走上专业化的道路。而随后发布的 e d p 控制的目标、信息系统审计 的基本准则( g e n e r a ls t a n d a r d sf o ri n f o r m a t i o ns y s t e m sa u d i t i n g ) 更是使得信息 系统审计理论的发展向前迈出了一大步。9 0 年代以后，网络技术的迅速普及以及e r p 、电 子商务的出现，使得信息系统越来越复杂，网络平台上的信息系统安全、可靠和有效性面 临着更大风险，因此对信息系统审计的需求也就同益强烈。1 9 9 4 年，电子数据处理审计师 协会( e d p a a ) 正式更名为信息系统审计与控制协会( i s a c a ) ，成为从事信息系统审计的 专业人员唯一的国际性组织，而他的资格认证也便成为国际信息系统审计领域的唯一职业 资格认证。 ( 2 ) 实物操作方面 从银行信息系统审计实践来看，国外发达国家商业银行信息系统审计也均趋于成熟。 大多银行在遵循国际标准或规范，依照国际通行的做法下，通过结合自身的实际情况，确 立了属于自己的信息系统审计标准和规范。其信息系统审计范围基本覆盖了信息系统建设 生命周期所有的信息系统活动。并且将信息系统审计与银行业务紧密结合，通过利用信息 技术辅助审计，有效控制银行信息系统中的所有风险点。如新加坡发展银行设有专门的信 6 息系统审计机构，其信息系统审计包括综合、技术框架和软件系统生命周期三个方面。美 国大通银行同样设有专职的信息系统审计机构，其信息系统审计包括系统开发审计、系统 切换审计和技术框架审计。花旗银行对新系统的起用、迁移、转换、合并均由内审部门进 行风险审计。花旗集团还根据特殊事件或法规要求的需要，开展专项审计，对项目风险进 行评估，如采用新的计算机技术、i t 系统转换及系统发生停运等问题，都要进行审计评价 o 在人员的配备上，美国金融企业从事信息系统审计的人员早在上世纪9 0 年代中期所 占审计人员的比例就已达到了5 5 一7 0 ，随着信息科技逐渐渗透于银行的各个领域，信息 技术已与业务紧密结合在一起，因此各大金融机构对信息系统审计人员技术水平和业务分 工提出了更高的要求。目前，美国商业银行懂信息技术又懂审计理论的人员比例占内部审 计人员的3 0 - 5 0 左右。而这些人才无疑是商业银行信息系统审计顺利实施的中坚力量。 本文的研究框架如图所示： 1 3 本文的研究框架 资料来源：作者编制 图1 1 本文研究框架图 仲安妮、贸伊宾、童杰、孟军强，直面差距找准定位促跨越【n 】，会融时报，2 0 0 6 2 1 2 7 全文共分为五章。第一章是绪论，是对本文研究目的、意义及研究现状的概述。第二 章对信息系统审计理论及方法进行了研究，对信息系统审计的概念、目标、内容及审计实 施的基本流程做了概述，并解释了风险导向的信息系统安全审计模式的真正含意；第三章 是对商业银行自身的信息系统特点和风险进行了剖析，通过银行信息化的进程了解了当前 我国商业银行信息系统的构成特点，并从信息技术的角度，尝试着对银行操作风险进行了 定义和归类，旨在为银行开展信息系统安全审计提供必要的风险导向。第四章则通过借鉴 国外成熟的i t 技术框架及模型，构建出较为完整的我国商业银行信息系统安全审计技术 框架，使得商业银行信息系统安全审计成为规避银行信息化风险的有力工具，从而弥补金 融审计的不足，进一步完善我国商业银行的风险监管体系。第五张结论部分是对全文的总 结及研究展望。 1 4 本文的研究方法及创新 本文以规范研究为主，综合运用金融学、会计学、审计学、计算机、信息管理学等多 门学科，以风险导向下的信息系统审计为理论逻辑起点，通过借鉴前人在信息系统审计理 论方面的研究成果，以及金融领域内国内外专家对金融风险控制和防范的研究，将商业银 行操作风险与金融信息系统安全审计联系起来，构建一套较为完整的商业银行信息系统安 全审计框架。 本文的创新之处在于结合了风险基础审计的理论和方法，通过借鉴国外先进的信息系 统审计理论框架，在对商业银行信息系统的特点做了全面的剖析以后，以商业银行的信息 系统安全风险为导向，构建出商业银行信息系统安全审计框架。一方面，帮助金融审计人 员更好的开展、实施金融风险审计，提高审计效率，为监管部门实施重点监管打下基础。 另一方面，也为商业银行操作风险的规避提供新的可借鉴的方法。 8 第2 章信息系统审计相关内容 信息系统审计是一种新的审计类型。对其研究与应用在近年呈现上升趋势。本章通过 对信息系统审计的概念、特点、审计内容、审计过程及审计方法等基本要素进行阐述，使 对信息系统审计的内涵有一个基本的了解。 2 1 信息系统审计概述 2 1 1 信息系统审计的概念 信息系统审计的概念有很多，但至今还没有达成一个共识。西方学者r o nw e b e r 认为 “信息系统审计是一个获取并评价证据，以判断信息系统是否能够保证资产的安全、数据 的完整以及高效地利用组织的资源并有效地实现组织目标的过程m 。而日本通产省给出的 定义是“为了信息系统的安全、可靠与有效，由独立于审计对象的i t 审计师，以第三方 的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向i t 审计对象的最高 领导，提出问题与建议的一连串的活动 ”。而詹姆斯a 霍尔则认为“信息技术审计侧 重于企业信息系统的计算机应用方面，它包括对适当的实施、操作过程和计算机资源控制 的评估。” 庄明来、吴沁红等我国一些研究信息系统审计的专家、学者通过对上述几个信息系统 审计的定义进行比较和分析，在他们的专著信息系统审计的内容与方法中给出了自己 的定义：“信息系统审计是指通过对被审计单位信息系统的组成部分及其规划、研发、实 施、运行、维护等过程进行审查，就被审单位的信息系统的安全、可靠、有效和效率性以 及信息系统能否有效地使用组织资源并帮助实现组织目标发表意见。 可见，信息系统审计是一种新的审计类型，他与传统的财务审计无论是在审计目标、 内容、依据、准则等各个方面都有不同。随着信息技术的发展，信息系统r 益成为行政、 企事业单位信息处理的重要手段。信息技术为被审单位信息处理能力和水平的提高提供了 强大的支持，但由于其较高的复杂程度和自动化处理能力，也为企业的业务和财务运行带 来风险。信息技术促使信息系统不断更新与发展，迫使审计人员必须将信息系统纳入到审 r o nw e b e r i n f o r m a t i o ns y s t e m sc o n t r o la n da u d i t p r e n t i c e h a l ll n c ，1 9 9 9 胡兜瑾等编著，i t 审i f m ，电了t 业j l 版社，2 0 0 8 ，8 庄明来、吴沁红、李俊著， 信息系统审计内容与方法【m 】，中围时代经济f l ；版社，2 0 0 8 年：7 9 计范围。这也是信息系统审计独立于传统审计而逐渐发展的主要缘由。 2 1 2 信息系统审计的目标 信息系统审计是通过对信息系统合法性、可靠性、安全性和有效性的审计，对被审计 单位信息系统做出评价。具体来讲，信息系统审计的目标可以细化为以下三个方面。 ( 1 ) 评价电子数据的真实、完整性 真实、完整的电子数据是开展计算机数据审计的基础，通过信息系统审计，我们应该 初步评价被审计单位信息系统中所输入、处理、存储、输出的电子数据的真实性、完整性、 作为制定数据采集方案、选择数据采集和验证方法的重要依据。 ( 2 ) 分析信息系统的薄弱环节 信息系统的广泛应用在提高被审计单位工作效率的同时，也改变了被审计单位的管理 方式，从某种意义上讲，信息系统是被审计单位的一种内控制度。信息系统管理制度的不 规范，系统问关联对比关系的不完善，系统重要功能尤其是校验功能的缺失等都是管理中 的薄弱环节。发现薄弱环节，也是信息系统审计需要实现的重要目标之一。 ( 3 ) 发现信息系统的非法功能和漏洞 信息系统审计应通过系统功能的测试，以及计算机数据审计发现的问题，通过分析这 些问题产生的原因，反推信息系统中存在的非法功能和漏洞。 2 1 3 信息系统审计的内容、方法及流程 ( 1 ) 信息系统审计的内容 信息系统审计的对象不同必然决定着信息系统审计的内容与传统财务审计的内容有 所不同。传统财务审计的对象是被审计单位的财政财务收支及其有关的经营管理活动。在 手工环境下，被审计单位的财政财务收支活动体现为纸质的原始凭证、记账凭证、会计账 簿、财务报表等，虽然在信息化条件下，这些纸质的凭证、账簿变为了电子帐套、数据磁 盘。但其审计的对象仍然是这些电子帐套、数据磁盘中存储的财务数据，归根到底仍然是 被审计单位的财政财务收支活动。信息系统审计的对象则发生了根本上的转变，他审计的 是被审计单位的计算机信息系统，并覆盖信息系统从规划、研发、实施、运行、维护乃至 报废的整个生命周期的全过程。从横向上看，这里的信息系统不仅包括财务系统，而且包 括业务系统等。从纵向来看，信息系统审计对象包括信息系统生命周期的全过程。由于信 息系统的开发周期长，而且开发周期每个阶段都有其相应的任务。如果前一个阶段的开发 出现问题，则势必会影响到下一个阶段的成果，而且纠正起来费时费力，所以信息系统审 刘汝焯等编著，计算机审计概念、框架j 规则【m 】，清华大学m 版社p 5 2 1 0 计必须将信息系统生命周期全过程纳入到审计对象中。归纳起来，信息系统审计的内容主 要包括信息系统软硬件审计、内部控制审计、生命周期审计以及安全审计等内容。信息系 统审计内容非常广泛，但都与信息系统本身密切相关，而不完全是信息系统产生的财务业 务数据。 ( 2 ) 信息系统审计的方法 信息系统审计与传统审计差别显著最主要的还表现在他的审计方法上的不同。在信息 系统审计下，除了会用到传统审计方法，诸如面谈询问法、调查问卷法、系统文档法等方 法以外，更多的会采用计算机辅助审计技术来对信息系统采取进一步的审查。如对信息系 统的应用控制采取测试的时候就会使用黑箱法和白箱法的计算机辅助方法。黑箱法是指 审计人员不过多探究被审计系统的应用程序和逻辑，只对该系统的输入和输出进行审查核 对，从而间接评价被审计系统的应用程序和逻辑的正确性。而白箱法是指审计人员通过对 信息系统程序内部逻辑的深刻理解，利用已知的变量实施详细测试，并将获得的结果与计 算结果进行客观比较的技术方法。可见，在信息系统审计下，审计人员除了掌握信统审计 理论的知识外，还需要对信息技术理论，计算机管理理论等相关知识的了解。 ( 3 ) 信息系统审计的流程 审计过程是审计工作从开始到结束的整个过程。信息系统审计一般可以分为计划阶 段、实施阶段、报告和后续阶段。 计划阶段 计划阶段是信息系统审计过程的起点。科学合理的审计计划有利于帮助审计人员有的 放矢地去调查、取证，形成正确的审计结论，实现审计目标。计划阶段的主要任务是调查 被审计单位的基本情况，初步评价固有风险；调查被审计单位信息系统内部控制，评价控 制风险；评估审计风险，确定重要性水平；最后，编制审计计划。通过对被审计单位的风 险进行初步评估，确定重要性水平之后，审计人员编制审计计划，为进一步实施审计提供 指导方向。 实施阶段 实施阶段是根据计划阶段确定的范围、重点、步骤和方法，进行有针对性的取证、评 价，并形成审计结论的过程。实施阶段主要由符合性测试和实质性测试两个阶段构成。符 合性测试的目的是检查内部控制措施是否健全有效。实质性测试是对信息系统控制进行详 细测试，以获取这些控制在审计期间是否真实存在并合法有效的证据。在信息系统审计下， 【荚】詹姆斯a 缮尔著，李丹、刘济，f 译，信息系统审计与鉴证【m 】，中信出版社，2 0 0 3 ， 吴沁红，信息系统审计研究【d 】，财政部财政科学研究所博士论文，2 0 0 2 符合性测试和实质性测试方法均会与传统审计测试的方法有所不同。这罩运用的计算机辅 助审计方法较多。 报告及后续阶段 审计报告阶段是审计人员运用专业判断，综合所收集到的相关证据，以经过核实的审 计证据为依据，形成审计意见，出具审计报告。审计报告中除了对被审计单位信息系统的 安全性、可靠性、有效性和效率性发表审计意见外，还针对信息系统内部控制的管理等方 面的问题提出相关的建议。后续阶段是指审计人员在审计完成之后的一定期限内，对被审 计单位的纠萨措施制定和执行情况进行后续审计。审计人员进行后续审计的目的是通过监 督被审计单位整改的情况，促进被审计单位修改信息系统，完善规章制度，提高经营和管 理水平。 2 2 信息系统安全审计 2 2 1 信息系统安全 信息系统是一个人造系统。它是由人、硬件、软件和数据资源组成，目的是及时、正 确地收集、加工、存储、传递和提供信息，实现组织中各项活动的管理、调节和控制。根 据中华人民共和国计算机信息系统安全保护条例中对信息系统的定义，信息系统是指 由计算机及相关的配套的设备、设施( 含网络) 构成的，按照一定的应用目标和规则对信 息进行采集、加工、存储、传输、检索等处理的人机系统。因此，信息系统安全应该是涉 及人在内的，包括计算机、网络、环境在内的所有信息系统组成成分。按照i s 0 i e c l 7 7 9 9 对信息系统安全的定义，认为信息系统安全是指信息系统保密性、完整性和有效性的安全 特性组合，具体内容包括实体安全、信息安全、运行安全等几个部分。其中实体安全是指 为了确保计算机信息系统安全可靠运行，确保对信息进行采集、处理、传输和存储过程中， 不致受到人为或者自然因素的危害而使信息丢失、泄露或破坏，从而对计算机设备、设施、 环境、人员等采取适当的安全控制措施；运行安全则是指信息系统运行过程中的确保信息 能够正确处理、系统各项功能能够发挥其自身作用而采取的安全措施，如包括系统风险管 理、审计同志跟踪、备份与恢复、应急处理等内容在内的安全控制措施；而信息安全主要 回i s 0 1 e c l 7 7 9 9 ：即固阿、信息安伞管理标准体系( i s o1 7 7 9 9 b s7 7 9 9i n f o r m a t i o ns e c u r i t yc e r t i f i c a t i o n ) ，2 0 0 0 年 1 2 月，国阿、标准化组织i s o 正弋发布 r 有关信息安伞的围际标准i s 0 1 7 7 9 9 ，这个标准包括信息系统安伞管理和安伞i ) , i j e 两人部分，足参照英国陶家标准b s 7 7 9 9 师米的。它足一个详细的安全标准，包括安全内容的所有准则，由十个独谚的部分 组成，每一节都覆盖了不m 的主题和区域。 1 2 是指防止信息财产被故意或偶然的泄露、更改、破坏或使信息被非法系统识别、控制，确 保信息的保密性、完整性、可用性和可控性。系统安全可以分为操作系统安全、数据库安 全、网络安全、访问控制和病毒防护等。 可见，信息系统安全集中体现为两大目标，即信息保护和系统保护。信息保护是保护 所属组织的有价值信息和维持系统运行有关的信息的机密性、完整性、可用性和可控性。 系统保护则是保护所属组织正常运行并实现其职能的技术系统可靠性、完整性和可用性。 2 2 2 信息系统安全性审计 通过上章节对信息系统审计概念及目标的概述，我们可以了解到，信息系统安全审计 实质是信息系统审计的一个内容，它是专门针对信息系统安全实施的审计。其审计目的是 确定信息系统是否设置了相应的安全控制措施以识别、防范各种安全威胁，从而帮助被审 单位的信息系统在一个更加安全的环境下运行。它是信息系统审计目标中的一个重要子目 标。 对于信息系统安全审计可以从如下四个方面的理解： 首先，信息系统安全审计并不是从信息系统审计中独立演化出的一种新的审计类型， 其依然是信息系统审计中的一个重要内容。信息系统审计与信息系统安全审计的范围均覆 盖了信息系统从计划、分析、审计、编程、测试、运行维护到系统报废为止的整个生命周 期内的各种业务活动，只是两者所关心的审计内容存在一定的差异，信息系统审计内容包 括与信息系统相关各种业务活动的安全性、可靠性及有效性，而信息系统安全审计主要是 关注的信息系统相关各种业务活动的安全性。它们是全集与子集的关系。 其次，信息系统安全审计的目的是测评系统的安全控制措施，确定其是否足以识别、 防范各种威胁。归纳起来，信息系统主要面临着两个因素的威胁，一是人为的威胁，另一 个是非人为的威胁。人为的威胁因素往往是威胁源利用系统资源内部的脆弱环节侵入而产 生的。而非人为威胁因素则主要是指自然灾害造成的不安全因素，例如，地震、水灾、火 灾和战争等原因造成了网络中断、系统的破坏、数据的丢失等。 第三，既然信息系统安全性审计只是信息系统审计的子目标，是信息系统审计中的一 个重要组成部分，那么其二者遵循的审计准则是一致的。其应该满足信息系统审计准则规 定的信息系统审计行为和审计报告必须达到的基本要求。 第四，信息系统安全性审计虽然是以提高被审计单位信息系统的安全性为目的，但信 息系统的安全只是一个相对的概念。世界上没有一个绝对安全的信息系统，即使是最具有 经验的审计师使用最先进的审计技术，也不能保证系统永远不受任何威胁的破坏。并且， 当信息系统的安全程度越高时，其提供的丌放性、快速性、便利性、灵活性也就越差，因 此，审计在考虑信息系统的安全性时，必须同时考虑信息系统的整体效益。保证信息系统 资源的安全性时，也要同时兼顾信息系统运行的效率性，从而提高被审计单位的整体经济 效益。 2 2 3 信息系统安全审计的必要性 将信息系统安全性审计作为信息系统审计的一个重要目标之一，并在被审计单位全面 开展信息系统安全审计是有充分的必要性的。其具体表现在如下三个方面： ( 1 ) 为了鉴证电子化数据的真实性、可靠性