（工商管理专业论文）商业银行IT应用的风险与控制评价体系研究.pdf

华 中 科 技 大 学 硕 士 学 位 论 文 i 摘 要 为了加强银行应对信息技术风险的防范能力，提高银行信息科技的内部控制水 平，提升信息科技在银行战略中的价值，需要银行在培育核心信息科技时有一个切 实可行的管理工具来发挥信息科技的战略价值，而借助应用系统和计算机技术来实 现过程控制和实物控制，可以改善银行运营风险的控制水平。因此，建立健全 it 应 用控制体系对于商业银行的稳健发展有着重要的现实意义。 本文从 it 风险方面入手，通过分析国内外商业银行面临的信息技术风险，了解 商业银行目前所面临的风险现状，总结国内外 it 内部控制的研究成果，结合商业银 行信息系统的特性，对商业银行 it 风险形成的原因、商业银行 it 风险与内部控制 之间关系进行分析。本文基于 coso 内部控制框架构建了商业银行 it 应用的风险和 控制评价体系，根据银行业监管要求和 it 风险的特点识别出关键的控制目标，并对 关键控制目标做逐个分解，分解成具有实际应用价值的控制目标。针对细化的控制 目标进行分析和归类，实现应用控制目标到具体应用系统控制的转换。最后本文以 一个商业银行的实践进行了案例分析，依据关键控制目标确定应用系统控制的内容 和范围，然后对比 it 应用控制目标找出这些系统的差异和不足，并结合行业最佳实 践对差异点加以改进和完善。 关键词：商业银行;信息技术;应用风险;控制体系 华 中 科 技 大 学 硕 士 学 位 论 文 ii abstract banks need a practical management tool to strengthen the ability of it risk prevention, improve the it internal control level and enhance the strategic value of it. with the development of application system and computer technology, banks can control the process and materials, which consequently enhance the control level of operation risk. this thesis demonstrates the it risks hazards, analyzes the it risks faced by domestic and foreign commercial banks, summarizes the research results of it internal controls, and analyzes the causes of it risks and the relationship between risk and internal controls based on the characteristics of information systems of commercial banks. furthermore, this thesis constitutes a risk and control system of it application within commercial banks based on the coso internal control framework, and identifies the key control targets according to bank regulation requirements and it risk characteristics. by breaking the key control targets into practical ones and analyzing and classifying them, banks could realize the transform from application control targets into application control system. the thesis ends with the analysis of a case from a commercial bank, where the scope of it application controls and indicators are determined based on its key control targets, the discrepancies between the applications and the targets are found out with the it system, and improvements are made according to industrial best practices. keywords: commercial bank;information technology;application risk;control system 独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除文中已经标明引用的内容外，本论文不包含任何其他个人或 集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在 文中以明确方式标明。本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名： 日期： 年 月 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有 权保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借 阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进 行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 保密 ，在 年解密后适用本授权书。 本论文属于 不保密 。 (请在以上方框内打 “ ” ) 学位论文作者签名: 指导教师签名: 日期: 年 月 日 日期: 年 月 日 华 中 科 技 大 学 硕 士 学 位 论 文 1 1 绪 论 1.1 研究背景 近年来，银行信息系统对银行业务的发展起到极大的推进作用，科技在商业银 行中的应用层次逐渐加深，与商业银行经营管理体系的整合深度进一步加强。同时， 随着银行业务对信息系统的依赖程度越来越高，信息技术风险对业务风险的影响也 越来越大，给银行创造的价值和带来的风险均越来越大，而 it 风险中 70%以上属于 操作风险，即由人工操作不当引起的风险。因此，有效地控制操作风险，尤其是 it 风险，对银行的安全运营至关重要i。 目前国内外对 it 风险管理主要以 coso 为框架，结合 cobit、iso17799 等标 准建立企业 it 内部控制。但是国内外商业银行 it 内部控制，往往停留在对国际标 准和内控框架的宏观层面，以及对 it 风险的一般控制，而对于 it 应用控制的环节 重视不够，缺乏具体控制内容或制度缺乏可操作性。同时由于企业缺少相应的实际 经验，无法在不同环境下去适应通用的 it 内控标准。因此将信息技术和内部控制结 合起来，利用应用系统的自动控制来提高商业银行的运营管理水平和操作风险控制 能力，是目前国内外银行业借助信息化提高综合竞争力的趋势。将 it 应用系统作为 业务内控管理的辅助工具，通过 it 应用系统使业务逻辑能够自动化地呈现，借助 it 应用系统的高可用性保障业务的稳定运行，使 it 应用系统成为业务发展的助推器。 因此，研究 it 应用控制有助于发挥银行信息化优势，为打造高品质金融服务银行提 供有力支持。 银行业是一个经营风险的行业，能否有效地对各种风险进行科学的防范和管理 直接关系到银行的发展。巴塞尔银行监管委员会认为，操作风险是银行面对的一项 重要风险。在“ 巴塞尔新协议” 明确提出将操作风险纳入资本监管的范畴，即操作风 华 中 科 技 大 学 硕 士 学 位 论 文 2 险将作为银行资本比率分母的一部分ii。操作风险尽管很早就存在，但一直没得到足 够的重视。20 世纪 90 年代国内外银行业相继发生了一系列重大的操作风险事件，给 商业银行带来了巨大资金损失的同时也在社会上造成了很大的负面影响。操作风险 因此得到银行业、监管部门以及研究学者的广泛关注和高度重视。目前，国际上宣 布实施新资本协议的国家和地区都按照新协议的要求，明确将操作风险纳入资本监 管的范畴iii。it 风险是操作风险的重要组成部分，已经成为了当今银行风险管理中 重要的一种风险。 近年来，随着信息技术的快速发展，银行的经营规模和业务范围急剧扩大，银 行的操作风险呈上升趋势，由于操作不当和内部控制失效等原因引起的严重损失情 况屡屡发生。根据美国 operational risk inc.的研究，自 20 世纪 80 年代以来，国际 银行业因操作风险遭受的损失超过了 2000 亿美元。美国的 opvantage 网站对 10 余 年内损失超 100 万美元的就有 7000 多起损失事件进行了统计， 全部损失总额达 2720 亿美元iv。著名的巴林银行就是其中的受害者，1995 年，巴林银行新加坡分行交易 员里森利用系统漏洞，在无授权的情况下进行巨额期货交易，最终亏损达 13.9 亿美 元，导致拥有 233 年历史的英国巴林银行宣布破产。类似的操作风险案件不仅给银 行带来巨额的资金损失，还给银行的声誉带来无法估量的伤害。 在国内，相关风险越来越受到银行监管部门和银行管理层的重视。2009 年 3 月， 中国银监会正式实施了商业银行信息科技风险管理指引 v，要求商业银行信息系 统的实现要符合该指引。信息技术发展和其所处环境的多样化突显了对 it 风险管理 的需求，因为银行的业务程序维持依托于信息系统的正常运作；同时也因越来越多 的技术欺诈和系统缺陷而显得银行管理层对信息技术风险的管控上更加重要且日益 严格。因此，现今信息技术风险管理应被视为银行 it 风险管理的重中之重。 现在银行的账务处理都是借助系统完成，新形势下新的操作风险隐患已不仅仅 是人的主观欺诈，还有因系统漏洞和技术缺陷导致的信息技术风险。而通过 it 应用 华 中 科 技 大 学 硕 士 学 位 论 文 3 系统可以在控制风险方面起到越来越大的作用，因此如何通过技术手段对关键环节 进行加强管理和自动控制，对防范由信息化带来的操作风险管理有着重大的现实意 义。 1.2 文献综述 1.2.1 应用控制定义 按控制实施的范围和对象分，信息系统的内部控制可分为一般控制（general control）和应用控制(application control)vi。 1）一般控制 一般控制是指整个计算机系统及环境要素实施的，对系统所有的应用或功能模 块具有普遍影响的控制措施。主要包括对 it 的组织控制、系统开发和维护控制、安 全控制、硬件和系统软件控制等。其中组织控制主要包括 it 部门的组织架构、人力 资源、岗位职责、技术与业务的职责分离、授权控制、信息安全政策和法规等。系 统开发与维护中主要有开发计划控制、开发人员控制、系统设计控制、编程控制、 系统运维控制、文件控制和变更管理。在安全控制中主要对访问和验证控制、环境 控制、安全控制、防病毒控制、保险等。在硬件及系统软件控制中主要包括硬件控 制、系统软件控制、操作控制以及备份、恢复和业务连续性管理等vii。 2）应用控制 应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业 务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。应用控制 涉及到各种类型的业务流程或应用系统，每种业务及其数据处理有其特殊的流程要 求，对业务流程层面应用控制应考虑与数据输入、数据处理以及数据输出环节相关 的控制活动，包括诸如授权与审批、系统配置管理、异常情况报告和差错报告、接 口/转换控制、一致性核对、职责分离、系统访问权限、系统计算、数据录入、交易 华 中 科 技 大 学 硕 士 学 位 论 文 4 日志等。 1.2.2 国内外 it 应用控制的相关文献综述 目前国内外对it应用控制评价的相关研究都是将其作为信息系统内部控制的一 部分，并且主要集中在会计电算化的领域。在国际上著名的研究会计内部控制的机 构如国际内部审计师协会（iia）、国际信息系统控制与审计协会（isaca）、美国 注册会计师协会（aicpa）和加拿大注册会计师协会（cga）等。国际内部审计师 协会认为viii，企业对 it 内部控制是一个连续的、相互依赖的保护过程。it 内部控 制既包括人工控制手段，又包括高度技术性的系统控制手段，也包括人工加系统的 控制方式。因此，it 控制在提供对 it 基础设施的一般控制和应用控制的同时也要满 足公司业务和公司管理要求。但是在商业银行内部，随着硬件技术的发展和软件水 平的提高，传统银行的手工业务都已被应用系统取代，便捷的操作和系统的广泛应 用都给原有的管理方式带来新的问题。 1）从会计角度的研究 电算化会计中应用控制的含义：系统应用控制是对电算化会计系统的具体数据 处理活动所进行的控制，一般包括输入控制、处理控制和输出控制三个方面。中国 注册会计师审计准则要求ix：注册会计师应当了解与信息处理有关的控制活动，包 括信息技术一般控制和应用控制。从会计角度来看，在信息化的环境下，会计控制 的范围就得到延伸，不仅包含传统的业务与会计的控制、还包含了对信息系统的控 制。因此，很多学者也探讨了科技的快速发展对于会计控制的影响，会计控制在新 形势下应该做出哪些变化。目前国内学者主要从三个方向研究会计电算化系统的控 制：对于会计信息系统的内部控制制度的研究、会计信息系统应用控制的研究和会 计信息系统一般控制的研究。 第一个方向是从会计电算化公司管理层的角度研究。 孙长杰x研究了信息化时代 的符合电算化会计信息系统的创新内部控制制度，从管理理念创新、管理体制创新、 华 中 科 技 大 学 硕 士 学 位 论 文 5 管理组织创新、 管理方法创新等几个角度考虑建立企业内部会计管理制度。 占诗权 xi 研究认为，电算化环境下的内控风险主要表现为人为风险、软件开发和设计的风险。 从电算化系统的控制来看，需要加强制度建设、加强会计人员电算化培训、加强程 序操作记录、加强会计人员的职能控制和加强档案管理等七个方面。 第二个方向是从会计电算系统应用控制的角度研究，王英杰和滕文娟等人 xii 认为内部控制对象的二元化。即在会计电算化条件下，企业会计控制的对象是人和 会计电算化系统。建议依靠会计电算化系统本身来实现程序控制，建立计算机会计 系统和计算机审计的综合会计信息系统。黄任全 xiii研究了在信息化环境下，同手工 会计系统相比，内部控制的重点、方法和要求都有不同程度的变化。这就要求对问 题进行事前、事中和事后控制，尤其在事中环节，通过系统自动对数据输入、处理 和输出进行控制。近期汇丰银行推出的 sasxiv防欺诈解决方案xv、招商银行上海分 行推出指纹认证技术应用和光大银行上海分行推出个人网银动态密码认证业务xvi， 都是在提高防诈骗能力及改进内部授权管理方面进行积极地探索。 第三个方向是从会计电算系统安全和一般控制的角度研究。赵红梅 xvii从计算 机会计信息系统和网络会计信息系统所面临的风险入手进行研究，结合 cobit 模型 从组织与管理、系统开发与维护、系统运行与支持和网络系统安全等方面提出相应 的控制措施，研究重点是提高会计信息系统的可用性。还有荆华xviii主要从会计信息 系统一般控制的角度进行研究，具体控制方法包括网络安全控制、系统安全控制、 系统操作控制和硬件与系统软件控制等。 目前对于国内商业银行应用控制的研究，也多以会计系统对商业银行内部控制 的作用为切入点。其中既有研究 it 环境下的商业银行内部控制问题，结合商业银行 业特点及信息技术的发展变化，分析商业银行内部控制的新变化及其主要缺陷，并 提出商业银行信息系统会计控制、程序控制的设想。如阳杰等人从xixit 应用控制进 行了研究，该研究的着眼点是在 cobit 控制目标内，对会计业务数据在生命周期中 华 中 科 技 大 学 硕 士 学 位 论 文 6 的完整性、有效性和真实性进行控制，但忽略了人在操作流程和控制环节中的作用。 同时也有研究商业银行的信息系统审计和风险控制问题的，主要有蔡帼娅在研 究方向上遵循国际审计标准，以 cobit 为模型对信息系统进行审计，审计内容包括 信息系统的战略规划、组织架构、技术平台、运营管理、生命周期和灾难恢复等。 最终根据审计结果进行风险评估和内控评价。 2）从信息系统内部控制角度的研究 （1）萨班斯法案 404 条款 2002 年萨班斯- 奥克斯利法案在 2002 年 7 月 30 日签署成为正式法律xx。 萨 班斯法案中404条款明确了公司管理层及外部审计师对于公司财务内部控制的责任： 萨班斯法案 404 条款要求公司管理层和公共审计师，每年在年报中就公司产生财务 报告的内控系统分别作出评价和报告，还要求外部公共审计师对于公司管理层评估 过程以及内控系统结论进行相应的检查并出具正式意见。在进行财务报告内部控制 的评估时，应考虑信息技术所产生的影响，其中包括一些 it 特有的风险。 （2）cobit 模型 cobit (control objectives for information and related technology)是由国际信息 系统审计协会(information systems audit and control association，isaca)所发展的一 套实用之信息系统稽核与控制标准。isaca 的 cobit 框架是专为与 it 有关的控制 而设计的，cobit 的核心思想是在企业目标与信息系统控制之间建立清晰的映射关 系，从而使信息系统的管理、控制、评价等工作均能够紧密围绕企业目标进行，并 与其他管理控制措施有效结合xxi。为实现这一目的，cobit 首先将信息系统控制总 结为 34 个过程；分别描述每一个过程所影响的信息资源和信息条件，从而实现从控 制过程到企业目标的完全映射xxii。 最新版的 cobit 将 it 应用控制目标确定为六个具体的应用控制目标,并对相应 的控制目标和控制实务进行了详细的定义。这六个目标分别是：数据准备和授权； 华 中 科 技 大 学 硕 士 学 位 论 文 7 数据采集和录入；准确性、完整性和真实性检查；处理的完整性和有效性；输出检 查、核对和错误处理；业务验证和完整性xxiii。 目前很多学者站在it治理的高度加以考虑商业银行信息系统系统内部控制的研 究，有余瑾在符合萨班斯法案合规性要求的前提下，结合 cobit 模型构建 it 控制 体系，选取企业案例进行实践和验证。郭顺利分析 cobit 模型的控制原理，结合 cobit 模型解释了 it 资源、业务需求和 it 处理过程以及三者间的循环关系，达到 对系统进行安全管理和控制的目的。 1.2.3 国内外研究的局限 从相关的文献资料来看，目前对于 it 应用控制的研究还不成熟，多数文章仅仅 从理论和现实的角度上阐述应用控制的必要性以及存在的问题，多集中对公司层面 的内部控制框架、操作风险的经验总结和会计电算化系统的控制，对可操作性的应 用控制体系还缺少必要的研究。从上面的研究可以看出，以 coso 为代表的业务控 制框架，主要是从责任方面来考虑一般控制的价值，缺少对 it 控制的详细描述；以 isaca的 it 控制指南为代表的 it 控制框架，侧重于对信息技术进行控制xxiv。通过 cobit 的最新版本可以看出，虽然 cobit 重新确定了 it 应用控制的六个方面的内 容，但是对于如何有效的在这六个方面做到操作层面的实施，可操作性不能达到企 业的需求。尤其是在控制措施方面，还缺乏具有详细的内容，仍需要进一步完善。 随着科技的进步和系统功能的增强，商业银行信息系统的范围和内容已不仅仅 停留在会计电算化的层面，所有的银行对外业务和对内管理都离不开信息系统的支 持，伴随而来的操作风险也不能通过人工控制和制度约束完全控制。 1.3 本文的主要研究内容与研究方法 本文围绕“ 商业银行面临的风险现状” 、“ 如何建立应用控制体系” 、“ 根据应用控 制目标对内控环境进行评价” 和“ 应用控制的实践” 等四个方面，分别从识别、建立体 华 中 科 技 大 学 硕 士 学 位 论 文 8 系、评价和改善四个方面进行了理论和实证研究。 第一部分绪论。对商业银行应用控制研究背景、国内外研究现状和研究方法进 行了阐述，构筑了本书的理论基础和起点。 第二部分通过对商业银行信息系统现状及风险分析。具体说明了商业银行面临 的信息技术风险及其重要程度，现有 it 应用控制的缺陷和认识上的误区，进而指出 了商业银行应用控制的必要性和迫切性。 第三部分是对商业银行 it 内部控制进行评价。首先基于 coso 框架构建应用控 制模型，同时分析了 it 应用的主要控制评价目标和评价方法。 第四部分在商业银行 it 应用控制的实践和评价， 在 a 商业银行中对现有系统进 行梳理和评价，找出差异点。对差异提出改进建议和完善控制环节。 本文主要采用模型研究和案例分析相结合的方法。采用文献引证的方法分析我 国商业银行面临的操作风险现状及认识的误区，在以 coso 内控框架的基础上，采 用分析的方法主要用于构建商业银行应用控制的风险和控制评价体系，以及相应的 主要控制目标以及评价方法等。为了验证该体系的有效性和可操作性，借助于案例 研究的方法，对具体的商业银行 it 应用控制方面进行了分析和评价，以保证相关结 论的合理性和实用性。 华 中 科 技 大 学 硕 士 学 位 论 文 9 2 商业银行 it应用现状与风险的分析 2.1 商业银行业务应用系统现状 目前商业银行主要的业务系统分成三类：核心系统、前置系统和其他外围系统。 核心系统主要处理银行账务是银行业务的核心部分，即传统的会计电算化系统，主 要账务功能有：活期储蓄系统、定期储蓄系统、会计系统和凭证式国债系统等。 商业银行核心系统的主要特点： （1）账务数据大集中，全行一本账，以客户信息为基础，实现会计账务处理， 具备产品的定制与管理机制，支持存款、贷款和支付结算等商业银行一般业务功能； （2）点对点一级清算模式，信息共享，资金直达往来； （3）系统层次分明，具备与前台服务渠道整合或接入机制，解决集中与灵活之 间的矛盾； （4）复式记账法，确保账务平衡； （5）以柜员和行部作为平账单位，责任分明； （6）参数化管理，灵活的系统控制能力。 商业银行的前置系统是一个系统平台，作为核心系统的前端，承载着自动柜员 机、支付清算等，也是与其他银行、证券、保险的连接的枢纽。前置系统包括大小 额支付系统、代收代付系统、同城支付清算系统和联网核查公民身份信息系统等。 前置系统主要负责接入所有的 atm 自助终端设备，同时实现与金卡总中心、银联和 visa等外卡的实时连接；还实现了对所有接入自助设备的实时监控；负责与银联、 总中心的对帐和报表功能；该系统还以 b/s 结构接入了所有的多媒体自助终端设备。 前置系统还通过定制标准的联机交易接口，实现通讯功能、格式转换功能、路由功 能和自动冲正功能等。 华 中 科 技 大 学 硕 士 学 位 论 文 10 前置系统的架构如图 2- 1 所示。 图 2- 1 前置系统架构 其它业务系统包括个贷系统、信贷风险管理系统、网上银行、电话银行、信用 卡系统等。信贷风险管理系统是银行办理对公授信业务（包括:贷款、承兑、贴现、 信用证、保函等所有对公客户授信业务）的技术平台，包含了信贷管理的贷前授信 调查、贷中审查审批和放款管理、贷后管理等全流程。系统功能包括：客户信息管 理；授信审批；放款管理；系统管理和贷后管理等。系统可实现同核心系统和其它 外围系统的数据交换。如图 2- 2。 系统对授信业务进行全生命周期的管理： （1）授信调查阶段：客户资料收集、授信申请、授信调查报告编写、贷前检查 等工作； （2）审查审批阶段：审查审批意见签署、审查审批报告编写等工作； （3）放贷管理阶段：合同审批，出账申请、复核、出账交易发送和后续处理等 华 中 科 技 大 学 硕 士 学 位 论 文 11 工作； （4）贷后管理阶段：定期检查、合规检查、信贷检查等工作。 app1app1app2app2 dbdb- - serverserver web2web2 web1web1 数据库服务器数据库服务器 应用服务器应用服务器 webweb服务器服务器 负载均衡负载均衡 客户端客户端 图 2- 2 信贷风险管理系统的拓扑图 2.2 商业银行所面临的 it 应用风险现状 近年来国内外发生多起银行内部员工欺诈、贪污和挪用客户或银行的款项，大 部分的原因都可以归咎于人员的主观欺诈和客观的系统缺陷。一方面，典型的主观 欺诈案例如 1995 年 2 月 27 日的英国巴林银行“ 李森事件” ，是由一个普通的证券交 易员 尼克 李森违规使用错误账户进行期权交易，导致具有 233 年历史，在全球范 围内掌管270多亿英镑的英国巴林银行宣告破产。 2008年 1月24日法国兴业银行“ 盖 维耶尔事件” ， 法国兴业银行期货交易员罗姆 盖维耶尔未经授权利用银行资金进行非 法交易，利用自己过去在银行工作所积累的关于流程化银行的丰富经验，通过精心 设计虚构交易。 在未经授权的情况下建立了大量的违规头寸， 最终给这家成立于 1846 华 中 科 技 大 学 硕 士 学 位 论 文 12 年的银行造成至少 49 亿欧元的重大损失。在国内，深圳某银行“ 张伟锋案” ，2004 年 3 月2008 年 2 月 29 日，该银行员工张伟锋利用职务之便，盗用同事柜员号和授权 卡共操作 27 次，盗走银行资金 36,122,556.86 元。深圳某银行“ 殷宏庆案” ，2006 年 9 月 2007 年 10 月 18 日，该银行员工殷宏庆利用职务之便，虚开帐户，空存现金共 55 笔，累计金额人民币 11,653,656.89 元，盗取银行资金合计为 11,600,035.22 元。 2007 年 8 月 23 日，深圳某银行发现柜员刘演恒挪用客户资金。经核查，2005 年 12 月 2 日至 2007 年 7 月 23 日期间，刘演恒利用职务便利，通过私刻公章、伪造划款 手续，利用复核人员离柜未签退的机会，私自划转客户资金，共挪用二手楼托管资 金 24 笔，累计 1092.9 万元。另一方面，在系统缺陷方面也不乏相关案例。近几年国 内部分银行随着业务的快速发展，导致信息系统性能不能满足业务需求，均发生过 不同程度的系统不可用的情况，如 2007 年中国银联的通讯故障、工商银行个人业务 系统不能正常服务、农业银行核心系统故障、交通银行信用卡系统故障和建设银行 账务处理系统故障等等。这都导致客户不能正常交易，在社会上引起强烈的反响， 使银行声誉受到很大损伤。 银行今年来发生的操作风险事件 90%以上都与信息系统相关，所以如何防范 it 风险已成为商业银行风险防控的重要目标，银行也已经渐渐将防范操作风险的重心 转移到防范 it 风险上来。从上述风险案例可知，it 风险产生的原因主要有： 1）银行经营的业务种类越来越复杂 随着现代社会竞争的日益加剧,银行作为一个自负盈亏的企业,必须依靠自己的 经营水平和创新能力去参与竞争。而随着新业务的增加和经营范围的扩大会带来新 的风险， 如导致 2007 年金融危机爆发的金融衍生品交易就是一个实际的说明。 另外， 如何识别新业务中的风险和隐患并采取有效的控制措施，以及业务流程本身中存在 的问题也是银行所面临的风险控制难题。 2）信息化时代下 it 应用范围的扩大 华 中 科 技 大 学 硕 士 学 位 论 文 13 在商业银行对信息科技的认知已不仅仅停留在it是业务发展的支持工具这个层 面上，更是认识到 it 是业务发展的助推器，如招商银行的科技兴行战略，打造科技 银行的品牌。信息化的迅速发展也使银行 it 系统不断升级和扩张以适应新的发展要 求，截至 2008 年 6 月末，假如银联网络的发卡机构 200 多家，累计发行银行卡超过 16 亿张；银行那个卡跨行支付系统联网商户超过 92 万户，联网 pos 机具进 145 万 台、atm 近 15 万台。但凡事有利也有弊，新技术新系统的应用也给开发、维护和监 管提出了更高的要求和挑战，斯坦福德在 2006 年的研究发现，只有 35%的 it 工程 是成功的，而 65%则面临着挑战或是失败xxv。 3）银行员工的能力和职业道德水平的不足 一方面，现代社会人们的价值观和以前相比都有了不同的认知，对生活水平和 物质水平的要求也相应的提高，与职业道德等的教育和培训却落后了时代，所以近 年来的风险案件都是以主观欺诈居多。另一方面，员工的业务能力和技术水平因培 训不足或因管理漏洞，造成员工对流程、业务不熟悉或者不按操作规章处理事务， 在客观上导致银行或客户遭受损失。 4）对 it 风险的控制有偏差 目前国内外银行都强调对 it 风险的防控，在基于 coso、cobit 等框架和标准 下建立风险的管控制度和措施。但是这些框架和标准都是国际上通用的标准，完全 的照搬照抄不可能完全匹配银行的风险控制需求。所谓的 it 风险产生于人、技术和 流程。目前存在的事实是负责企业信息化的 it 工作人员似乎对风险管理领域缺乏系 统而且深入的了解。而很多所谓的风险管理专家也似乎不是 it 技术和信息系统结构 流程方面的行家。因而导致银行虽有健全和完善的管理制度和管控方法，但是对风 险案件却屡屡发生，这不能不引起我们的反思。 5）监控和管理未有效执行 很多银行在应对风险时借助系统进行管控，借鉴行业最佳实践和经验制定管理 华 中 科 技 大 学 硕 士 学 位 论 文 14 标准和预警监控，但在日常操作中没有按照规定进行处理，对事件的监控也流于形 式，使很多原本可以避免的事件却因疏忽大意造成了损失。如法国兴业银行事件， 该交易员违规操作触发系统的监控报警，报警消息多达上百条，然而监督人员却未 采取强制措施检查和披露，最终造成了银行的重大损失。 以上从几个方面对风险产生的原因进行分析，虽然不能完全概括风险发生的原 因，但从中可以了解到相关的因素，如人员因素、系统因素、控制方法和监控措施 等。为了更有效地控制风险，需要在某些关键环节借助系统自动控制的方法进行硬 性控制，将 it 作为控制风险的强力武器。结合过往发生的风险事件，从风险的角度 对这些风险进行分析和归类，将涉及 it 应用风险的可以分成以下几个方面： ( 1 ）欺诈方面的风险是指由于非法操作而导致的操作风险，利用业务便利或者 不按操作程序或未经授权在系统上进行操作，对应用系统进行损毁、破坏、修改等 操作手段，具体概括为以下几类： 改变输入的数据。该方法在业务数据输入计算机之前或输入时，通过虚拟、 修改、删除等手段来达到个人目的。 故意改动应用程序或数据文件。对程序和文件进行故意改动，造成数据损坏、 变动或丢失。 非法改变或偷取输出结果。主要通过非法修改、销毁输出结果、将输出结果 送给竞争对手或用来窃取机密信息等。 其他非法操作。如冒名顶替、盗取他人账户的卡和密码，盗取银行或客户的 信息和资金xxvi。 ( 2 ) 操作失误方面风险是指由于人为操作失误而导致的操作风险。主要表现为对 系统使用不熟悉、业务流程不熟或粗心大意导致的。 ( 3 ) 流程缺陷风险是由于系统故障导致对外营业停止，声誉受到损害，或造成客 户或银行资金损失等。 华 中 科 技 大 学 硕 士 学 位 论 文 15 ( 4 ) 授权控制风险是指银行柜员未经授权或审批，擅自对客户或银行账务进行划 转，造成资金损失。 ( 5 ) 监控不足的风险是指事后没有对系统的日志进行检查或实时监控预警，造成 很多问题不能及时查处，给相关人员以可乘之机。 ( 6 ) 数据传输差错风险是指由于银行间数据接口转换错误，造成批量或单笔数据 的不准确，也给银行的资金带来很大的风险。 根据巴塞尔新资本协议xxvii，操作风险可以分为由人员、系统、流程和外部事件 所引发的四类风险，并由此分为七种表现形式：内部欺诈，外部欺诈，人力资源和 环境安全，客户、产品及业务情况，实物资产损坏，业务中断和系统故障，交割及 流程管理。我国已加入 wto，按照有关规定，我国要在 2010 年到 2013 年间实施巴 塞尔新资本协议。在全球经济一体化的今天，特别是面对金融危机，我国的商业银 行要参与到全球经济体系中，就必须符合国际通行的规定，而这些规定都对运用信 息技术、加强内部控制提出了不同程度的要求xxviii。何德全院士在首届中国信息安 全漏洞分析与风险评估技术研讨会上强调系统漏洞分析和风险评估师我国推进信息 安全保障的一项基础性工作，是国家在信息化时代规避信息安全风险的重大举措 xxix。 我国正处于向市场经济转轨期间，在银行治理结构、内部控制方面存在很多不 足，导致银行中存在大量的操作风险隐患，已经给银行系统带来严重的损失，并有 逐步扩大的趋势。而随着经济全球化的进程不断加深，金融创新产品越来越丰富以 及新技术的应用，都会带来更加复杂和难以控制的操作风险，给银行带来更多的挑 战。随着银行业务对 it 系统的依赖程度越来越高，it 风险给银行创造的价值和带来 的风险均越来越大。it 风险，是指 it 在商业银行运用过程中，由于自然因素、人为 因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。而 it 风险中 70%以上 属于操作风险，即由人为操作不当、系统缺陷和管理不善引起的风险。因此，有效 华 中 科 技 大 学 硕 士 学 位 论 文 16 地控制 it 风险，尤其是操作风险，对银行业务的安全运营至关重要。it 操作风险在 风险管理方面已作为科技投资的第二重点， 64%的受访者预计要在信息安全方面提高 投入xxx。商业银行要迅速改进科技信息系统，提高通过技术手段防范操作风险的能 力，支持各类管理信息的适时、准确生成，为业务操作复核和稽核部门的稽查提供 坚实基础xxxi。 总结这些案件发生的相同点是“ 无章可循、有章不依、滥用授权、重要环节失控、 系统存在缺陷” 。结合银行应用系统所涉及的业务，上述风险事件具体表现形式为： （1）有章不循、违规操作，重要业务环节管理失控。违规逆程序办理业务、印 章管理不合规、复核人员未按操作规程要求使用电脑验印系统进行签字样本核验、 柜员临时离开工位未按规定退出计算机系统操作界面。 （2）业务制度不完善，存在较大的风险。操作流程对业务管理部门的职责要求 不一致情况下出现的管理死角、下级行私自变通总行的管理规定、会计核算办法不 完善，缺乏审慎要求和可操作性。 （3）计算机系统存在漏洞，技术控制措施不足。系统无大额转账分级授权控制、 业务系统操作方式与实际业务不一致、用户管理不善、盗用他人授权卡。 （4）内控制度执行不力，监督制约失效。风险排查不彻底、主管工作严重失职、 未执行重要岗位人员的轮岗和强制休假制度、以人工方式进行监督控制。 （5）重发展、轻管理，经营指导思想存在偏差。对运营经理和会计主管的管理 存在缺陷、员工异常行为排查不力，风险防范意识淡薄、偏重于经营指标的考核， 风险防范和合规经营的指标权重占比较低。 2.3 it 环境下商业银行内部控制的缺陷和误区 金融危机揭示出很多银行在它们的经营活动中没有收集和整理信息。导致管理 风险只是局限在业务层面，意味着许多银行在全面风险管理时相对片面xxxii。各类风 华 中 科 技 大 学 硕 士 学 位 论 文 17 险产生的原因是多种多样的，很多银行只是采取片面的控制措施来规避和降低风险， 主要采取的措施有： 1）在管理层面完善银行的内部控制制度 由于银行业务的快速发展，客户数量和新业务产品都大量增加，迫使银行采取 新技术手段和新的技术产品来满足业务发展需求，很多相应的管理制度和操作流程 没有及时更新和重新编制，在管理上存在很多漏洞。因此，商业银行建立与系统相 配套的内部控制制度加以约束，充分发挥信息系统那个的优势。很多银行都已开始 对应用系统的使用加强管理和检查，完善内部控制制度、控制标准和操作流程。 2）在系统层面加强系统的应用控制方法 由于历史原因，很多银行在应用系统软件开发过程中对自主开发的没有建立统 一的控制标准，对外包软件没有做控制标准的要求，导致软件的水平参差不齐，软 件的安全性和保密性存在着很多的问题和不足，这些问题软件的存在使得系统存在 诸多漏洞，给银行的业务带来很多困扰。利用交易系统可以在欺诈交易之前阻止这 些交易的发生，或使银行在发生资金损失前能够及时回滚交易xxxiii。目前很多银行 已经意识到这些问题，开始依据软件成熟度模型建立开发标准和测试标准，并尽可 能的将内部控制标准融入到系统的应用控制中，达到通过系统控制风险的目的。 即使银行在不断地完善自己的内部控制，但这是一个长期的过程，不可能一蹴 而就，而且在实际情况中也存在着一些误区，如： （1）注重加强对内部控制组织架构的建设，对操作风险的管理和控制往往更多 关注人的因素，如企业文化、风险文化和内控文化等。但是往往过度关注内控模型 和制度的建立，缺乏实际可操作性。 （2）商业银行只关注涉及账务处理系统的应用控制，而新的环境下业务发展需 要多种多样的系统，对其它系统关注不足也会带来很多隐患。而且对风险排查以人 工为主，很少利用系统进行数据提取和分析，耗时耗力又不能有效查出风险隐患的 华 中 科 技 大 学 硕 士 学 位 论 文 18 情况很多见。 （3）目前商业银行主要集中对信息科技的一般控制进行审计，对应用控制的审 计和重视程度不足。 利用科技手段对业务操作风险实现事前预防是一项行之有效、但必须从点滴做 起的系统化工程 iii。要完全消除所有的风险是不现实的也是不可能的，因此组织只 能采取最低成本的控制方法。所谓最合适的控制就是可以把风险减低到可以接受的 程度，尽可能的减少在达成组织目标和完成组织任务中的副作用xxxiv。 华 中 科 技 大 学 硕 士 学 位 论 文 19 3 基于 coso的 it应用风险控制体系 3.1 coso 内部控制框架 coso 框架（the committee of the sponsoring organizations of the treadway commission）要求企业管理者以风险组合的观点看待风险，对包括 it 风险在内的所 有风险进行识别并采取措施使企业所承担的风险在风险容纳量的范围内。coso 风 险管理框架是各上市公司为符合萨班斯法案要求而采纳的主要方法，在国内，相关 风险越来越受到金融监管机构和公司管理层的重视。我国银监会发布的商业银行 内部控制评价试行办法xxxv也采用了 coso 内控体系的方法论，要求商业银行考 虑计算机系统环境下的业务运行特征，建立信息安全管理体系，对硬件、操作系统 和应用程序、数据和操作环境，以及设计、采购、安全和使用实施控制，确保信息 的完整性、安全性和可用性。 coso 内部控制框架认为，内部控制系统是由控制环境、风险评估、内控活动、 信息与沟通、监督五要素组成（如图 3- 1），它们取决于管理层经营企业的方式，并 融入管理过程本身，其相互关系可以用其模型表示。coso 管理框架的主要内容包 括：风险管理目标、确定企业的战略、提高企业运营效率、取得好的经营效果、保 证企业报告的可靠性和遵循相关法律法规的要求。 为达成以上目标，管理风险的主要过程有： 1）控制环境 企业的核心是人及人的活动。人的活动在环境中进行，人和活动是构成环境的 重要要素之一，又与环境相互影响、相互作用。 2）风险评估 风险评估的前提条件是设立目标。只有设立目标，管理层才能针对目标确定风 华 中 科 技 大 学 硕 士 学 位 论 文 20 险并采取必要的行动来管理风险。然后识别与上述目标相关的风险，评估上述被识 别风险的后果和可能性。最后，针对风险评估的结果，考虑相应的控制活动。 风险评估 内控活动 信息与沟通 监督 控制环境 图 3- 1 coso 内部控制五要素 3）控制活动 控制活动指为确保管理层指示得以执行，削弱风险的政策和程序。它们有助于 保证采取必要措施来管理风险以实现企业目标。控制活动包括一系列的活动，如审 批、授权、核对、复核以及职责分工等。 4）信息与沟通 围绕在控制活动周围的是信息与沟通系统。这些系统使企业内部的员工能取得 他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息xxxvi。 5）监督 整个内部控制的过程必须施以恰当的监督，通过监督活动在必要时对其加以修 华 中 科 技 大 学 硕 士 学 位 论 文 21 正。监控是一个评价内部控制运行组织的过程。 coso 框架是作为美国上市公司内部控制的标准，属于公司层面的控制规范。在 操作层面，该框架无法满足对操作风险的具体控制，尤其在信息系统方面，需要研 究适合商业银行的 it 应用的风险具体的控制内容。在为组织设计风险控制框架时， 必须考虑到对风险管理的需求是随着系统复杂程度的增加而增加的xxxvii。 3.2 coso 框架下 it 应用的风险管理框架 根据萨班斯法案第 404 节条款以及美国证券交易委员会 （sec） 的相应实施标准， 要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。 coso 内部控制框架是美国证券交易委员会唯一推荐使用的内部控制框架，同时 萨 班斯法案第 404 条款的也明确表明 coso 内部控制框架可以作为评估企业内部 控制的标准。作为纽约证交所上市的公司，需要按照法案要求，引进 coso 内部控 制框架，整合现有内部控制，满足法案的要求xxxviii。这也表明 coso 框