信息化時代 如何提升銀行審計系統(tǒng)應(yīng)對風(fēng)險大考

邢洪水

【摘 要】信息化改變了銀行業(yè)的傳統(tǒng)運行模式，在帶來新的活力同時，也帶來了諸多新的安全風(fēng)險。近幾年來，世界各地銀行頻發(fā)重要系統(tǒng)癱瘓、信息泄露、黑客入侵、惡意程序攻擊等事件，如何通過IT審計控制金融風(fēng)險的話題再度成為人們關(guān)注的焦點。未來銀行的核心競爭力在于建立一套對銀行產(chǎn)品及業(yè)務(wù)操作提供強大服務(wù)功能、風(fēng)險管理能力的信息系統(tǒng)。本文擬進一步探討當今金融業(yè)風(fēng)險的新特點，并提出通過銀行IT審計降低金融業(yè)風(fēng)險的思路方法。

【關(guān)鍵詞】防范；金融風(fēng)險；提升；審計系統(tǒng)

當前，互聯(lián)網(wǎng)正在深刻和廣泛地影響著銀行的經(jīng)營管理模式。隨著各銀行數(shù)據(jù)大集中的完成，IT風(fēng)險也越來越集中。美國近日破獲的“本世紀銀行大劫案”，震驚了世界，也給世界金融業(yè)敲響了警鐘。在這個信息化飛速發(fā)展的時代，信息系統(tǒng)故障和安全事件給企業(yè)帶來了巨大的經(jīng)濟損失和嚴重的聲譽影響，控制IT風(fēng)險、保證信息系統(tǒng)穩(wěn)定運行已成為銀行最緊迫的任務(wù)。此外，隨著金融監(jiān)管力度的加大，銀行信息披露制的實施也是當務(wù)之急。信息系統(tǒng)的穩(wěn)定可靠運行、應(yīng)用系統(tǒng)中敏感業(yè)務(wù)信息的保護，已成為業(yè)界內(nèi)外關(guān)注的焦點。這些都要求銀行加大對信息系統(tǒng)的審計力度。只有建立IT審計機制，由獨立的IT審計師進行信息系統(tǒng)審計，才能形成對信息系統(tǒng)安全的客觀評價。由于信息技術(shù)在銀行經(jīng)營管理領(lǐng)域各個層面的廣泛運用，IT審計也已貫穿在各種審計之中，成為時下銀行業(yè)最關(guān)注的重要課題。

1.最為突出的三種信息科技風(fēng)險

因技術(shù)問題引發(fā)的金融風(fēng)險問題由來已久，且在各個國家普遍存在。在因技術(shù)問題引發(fā)的金融風(fēng)險中，有三類表現(xiàn)最為突出：

①宕機的風(fēng)險。

2013年6月23日上午，北京、上海等多個地方的中國工行用戶反映該行系統(tǒng)出現(xiàn)故障而暫停業(yè)務(wù)。工行回應(yīng)稱，這是由于部分地區(qū)計算機系統(tǒng)升級原因造成柜面和電子渠道業(yè)務(wù)辦理緩慢。這一風(fēng)波剛平息，中國銀行再次“中招”：6月24日上午，中國銀行銀期轉(zhuǎn)賬前置系統(tǒng)一度出現(xiàn)交易緩慢，影響客戶銀期轉(zhuǎn)賬交易。盡管工行、中行兩家銀行發(fā)布公告稱為系統(tǒng)升級引起，且經(jīng)緊急處置后系統(tǒng)已恢復(fù)正常，但是，頻繁的系統(tǒng)故障依然引發(fā)了市場關(guān)于“錢荒”的猜疑，銀行股的集體暴跌，帶動A股市場出現(xiàn)2008年國際金融危機后罕見的大幅下挫，跌幅超過5%。

2003年1月，美國銀行（Bank of America）13000臺ATM機因病毒瞬間宕機，該行客戶無法通過ATM完成存取款交易。

2005年2月，美國銀行備用客戶信息磁盤在空運過程中失竊，約120萬客戶信息泄，丟失的信息包括社保號碼和私人帳戶信息，全部是電子銀行詐騙的必備資料。

2010年新加坡的星辰銀行和2011年的美國銀行都出現(xiàn)過大型機宕機的事件。

……

系統(tǒng)故障是計劃內(nèi)的系統(tǒng)升級還是“計劃外”的，都反映出銀行在系統(tǒng)質(zhì)量和安全方面存在漏洞。信息化高度發(fā)展和銀行業(yè)數(shù)據(jù)大集中背景下，業(yè)務(wù)系統(tǒng)中斷已經(jīng)成為銀行難以接受的風(fēng)險，每次銀行信息系統(tǒng)宕機都會導(dǎo)致嚴重損失，并對銀行聲譽帶來很大負面影響。中國銀行業(yè)監(jiān)督管理委員會業(yè)務(wù)創(chuàng)新監(jiān)管協(xié)作部副主任王巖岫認為，如果銀行系統(tǒng)中斷1小時，將直接影響該行的基本支付業(yè)務(wù)；中斷1天，將對其聲譽造成極大傷害；中斷2-3天以上不能恢復(fù)，將直接危及其他銀行乃至整個融系統(tǒng)的穩(wěn)定。

而調(diào)研機構(gòu)Qualix Group曾有一組數(shù)字說明不同行業(yè)關(guān)鍵業(yè)務(wù)中斷帶來的金錢損失：服務(wù)器宕機1分鐘，平均會使運輸業(yè)損失15萬美元，銀行業(yè)損失27萬美元，通信業(yè)損失35萬美元，制造業(yè)損失42萬美元，證券業(yè)損失45萬美元……這從直接經(jīng)濟效益的角度解釋了關(guān)鍵業(yè)務(wù)平臺對于穩(wěn)定性和可靠性的要求。對于以上行業(yè)的關(guān)鍵業(yè)務(wù)來說，都需要遵循“5個9”（99、999）、“6個9”（99、9999%）甚至“7個9”（99、99999%）的標準來加以評估，而這些標準代表的，就是一臺服務(wù)器每年的非計劃停機時間分別只有5分鐘、30秒和3秒鐘。由此我們可以想象本次4小時宕機的時間是多么漫長，所造成的損失又是多么巨大。

②金融欺詐的風(fēng)險。

來自金融內(nèi)部的票據(jù)、金融憑證詐騙，以及來自外部的信用卡、保險、信貸詐騙等，都不同程度地令金融業(yè)不寒而栗。近年，不斷出現(xiàn)的銀行釣魚網(wǎng)站、銀行卡盜刷案件，更令客戶對銀行的安全性產(chǎn)生質(zhì)疑。

③黑客侵襲的風(fēng)險。

2009年1月8日，美國萬事達公司宣布，有黑客侵入了“信用卡第三方付款處理器”的網(wǎng)絡(luò)系統(tǒng)，造成包括萬事達、Visa、AmericanExpress和Discover在內(nèi)各種信用卡多達4000多萬用戶的數(shù)據(jù)資料被竊；2009年2月5日，ANZ銀行向消費者發(fā)出警告，“一種計算機病毒入侵了銀行系統(tǒng)”，假冒網(wǎng)站要求用戶輸入用戶名、密碼和個人身份號碼；2007年08月18日，荷蘭銀行有部分客戶賬號中的資金被網(wǎng)絡(luò)犯罪分子利用電腦病毒盜走，這些客戶的損失將得到銀行的補償，但是銀行方面并沒有透露被盜賬戶和資金的具體情況；2009年08月17日，一名邁阿密居民因盜取1、3億張信用卡和借記卡數(shù)據(jù)被起訴。嫌疑人通過入侵零售商電腦，盜取銀行卡信息，其中包括哈特蘭支付系統(tǒng)，零售連鎖7/11公司和漢納福德兄弟公司等。

2009年10月26日，我國福建省廈門市法院審理了一起“黑客”入侵銀行系統(tǒng)竊取儲戶信息案件作出判決，被告人樓家淵利用自編的“黑客”程序和網(wǎng)上下載的任務(wù)自動加載程序，入侵多家商業(yè)銀行網(wǎng)站，非法獲取755名網(wǎng)上銀行客戶資料，并利用其中的部分信息復(fù)制銀行卡。其行為構(gòu)成非法獲取計算機信息系統(tǒng)數(shù)據(jù)罪，依法判處有期徒刑7個月。

2009年11月10日，美國司法部起訴一個由俄羅斯和東歐人組成的黑客集團，指他們涉嫌入侵蘇格蘭皇家銀行（RBS）旗下信用卡公司的計算機網(wǎng)絡(luò)，偽造假卡，在不足12小時內(nèi)，于全球至少280個城市合共2，100部提款機提取逾900萬美元現(xiàn)金，香港警方去年亦參與聯(lián)合行動，拘捕兩名提款人士。

近年來，世界多國的銀行遭遇黑客攻擊，并蒙受巨額經(jīng)濟損失。銀行、金融機構(gòu)已成為網(wǎng)絡(luò)黑客攻擊的重點，網(wǎng)絡(luò)黑客已從最初的個人行為，發(fā)展為有組織的犯罪。黑客犯罪，全球已形成“黑色產(chǎn)業(yè)鏈”。我國每年因遭受網(wǎng)絡(luò)攻擊造成的損失就多達70多億元，信息系統(tǒng)故障和安全事件給企業(yè)帶來了巨大的經(jīng)濟損失和嚴重的聲譽影響。

2.通過IT審計準確計量風(fēng)險

目前，信息系統(tǒng)的正常運行已經(jīng)成為銀行業(yè)務(wù)正常運營的最基本條件之一，信息科技在有力提升銀行核心競爭力的同時，信息科技風(fēng)險也愈發(fā)突出和集中，信息科技風(fēng)險控制已成為銀行業(yè)風(fēng)險管理的重要內(nèi)容，而IT審計作為銀行業(yè)風(fēng)險管理體系的重要組成部分，其重要性和必要性已經(jīng)日益得到銀行業(yè)管理層的關(guān)注。作為商業(yè)銀行信息科技風(fēng)險管理的第三道防線——信息系統(tǒng)審計（簡稱“IT審計”）在銀行內(nèi)部控制建設(shè)過程中扮演了更為重要的角色。金融信息化使審計信息、審計方法、審計技術(shù)發(fā)生了根本性變化，金融風(fēng)險管理和IT審計機制的建立已經(jīng)勢在必行。利用信息化技術(shù)促使內(nèi)審和風(fēng)險管理高效、可控將對金融機構(gòu)產(chǎn)生積極影響，并將成為企業(yè)風(fēng)險管理不可缺少的重要平臺。

通過IT審計來保證和監(jiān)控全行的信息科技管控對各級監(jiān)管政策法規(guī)的合規(guī)性，也成為銀行業(yè)實施IT審計的重要目的之一。

3.優(yōu)化審計平臺

隨著互聯(lián)網(wǎng)金融信息科技應(yīng)用的推廣、銀行業(yè)務(wù)正在發(fā)生的重大的變革，IT審計部門只有緊跟信息化建設(shè)步伐，加快審計信息化建設(shè)，不斷改進審計手段和技術(shù)方法，才能提高內(nèi)部審計的生產(chǎn)力。

4.結(jié)束語

信息化時代，信息化銀行需要提升風(fēng)險管理系統(tǒng)，準確計量風(fēng)險，對企業(yè)和業(yè)務(wù)風(fēng)險進行監(jiān)控和評估，將風(fēng)險降到最低，保障企業(yè)和個人的交易安全起到積極的作用。 通過IT風(fēng)險審計，監(jiān)督風(fēng)險管理在信息科技上的應(yīng)用，根據(jù)生產(chǎn)經(jīng)營的結(jié)果進行風(fēng)險的識別、計量、監(jiān)測和報告，并根據(jù)計量結(jié)果反作用于生產(chǎn)經(jīng)營過程，對過程中的風(fēng)險進行控制和緩釋，從而保障金融機構(gòu)的穩(wěn)健發(fā)展。