商業(yè)銀行計算機網(wǎng)絡(luò)系統(tǒng)的風(fēng)險與審計探索

陶紅

摘 要：商業(yè)銀行由于其經(jīng)理的業(yè)務(wù)資金量龐大、手續(xù)復(fù)雜，運用計算機網(wǎng)絡(luò)技術(shù)確保商業(yè)銀行工作流程的準(zhǔn)確性、提高商業(yè)銀行的運作效率尤為必要。但是計算機網(wǎng)絡(luò)技術(shù)本身存在的安全隱患，會對商業(yè)銀行信息的安全和系統(tǒng)的穩(wěn)定造成負(fù)面影響。本文從對計算機網(wǎng)絡(luò)系統(tǒng)的風(fēng)險分析入手，探索維護商業(yè)銀行計算機網(wǎng)絡(luò)系統(tǒng)審計安全的辦法。

關(guān)鍵詞：商業(yè)銀行；網(wǎng)絡(luò)系統(tǒng)；風(fēng)險；審計

近年來，由于計算機網(wǎng)絡(luò)技術(shù)的漏洞造成的商業(yè)銀行信息的泄露和系統(tǒng)的波動，給商業(yè)銀行乃至社會經(jīng)濟的發(fā)展帶來了嚴(yán)重的安全隱患。為確保商業(yè)銀行運作的安全和社會經(jīng)濟的健康持續(xù)發(fā)展，規(guī)避計算機網(wǎng)絡(luò)技術(shù)的風(fēng)險是大家普遍關(guān)心的問題。

一、商業(yè)銀行計算機網(wǎng)絡(luò)系統(tǒng)的風(fēng)險

1.內(nèi)部操作風(fēng)險

商業(yè)銀行計算機系統(tǒng)較為復(fù)雜，主要分為用于輸入和輸出數(shù)據(jù)的操作系統(tǒng)，用于儲存和調(diào)出數(shù)據(jù)的數(shù)據(jù)庫系統(tǒng)，用于維護計算機系統(tǒng)安全的服務(wù)系統(tǒng)三大類。系統(tǒng)類型的復(fù)雜增加了工作人員的任務(wù)量。銀行工作人員在實際的銀行業(yè)務(wù)操作過程中難免會因為工作時間過長、勞動強度太大而出現(xiàn)疲勞或體力不支的問題。透支健康的工作極易導(dǎo)致操作失誤。舉個例子，曾轟動一時的德國某銀行工作人員在進行養(yǎng)老金轉(zhuǎn)賬時打了會兒瞌睡，導(dǎo)致2億多歐元被誤轉(zhuǎn)。雖然是無意的操作失誤，但釀成的悲劇慘不忍睹。

2.外部入侵風(fēng)險

計算機技術(shù)的發(fā)展對商業(yè)銀行的發(fā)展利弊共存，它不僅提高了商業(yè)銀行處理日常業(yè)務(wù)的效率，更增加了來自商業(yè)銀行外部的入侵風(fēng)險。外部入侵風(fēng)險可以分為以下幾個方面：（1）非法訪問。非法訪問是指未取得該商業(yè)銀行計算機系統(tǒng)的操作權(quán)限而進行秘密訪問的違法行為。這一違法犯罪行為充分利用了銀行計算機系統(tǒng)的遠(yuǎn)程互聯(lián)性，借助攻擊工具從任意終端對銀行的主機進行攻擊。若主機被攻陷，銀行的商業(yè)業(yè)務(wù)將面臨嚴(yán)重的安全問題，輕者數(shù)據(jù)被篡改，重者系統(tǒng)陷入癱瘓；（2）竊取系統(tǒng)內(nèi)部數(shù)據(jù)。竊取數(shù)據(jù)是指對商業(yè)銀行內(nèi)部數(shù)據(jù)的非法獲取。不法分子通過修改銀行系統(tǒng)程序獲取關(guān)鍵數(shù)據(jù)的加密密鑰。加密密鑰一旦泄露，銀行數(shù)據(jù)安全將面臨嚴(yán)酷的挑戰(zhàn)；（3）篡改傳輸數(shù)據(jù)。我國商業(yè)銀行類型和分支機構(gòu)眾多，各銀行之間主要依靠計算機網(wǎng)絡(luò)系統(tǒng)開展業(yè)務(wù)往來。但是到目前為止，并沒有專門的光纖通道用于銀行之間的數(shù)據(jù)傳輸，這就加劇了不法分子利用這一缺漏篡改傳輸數(shù)據(jù)的危害；（4）病毒攻擊。病毒攻擊是不法分子攻擊商業(yè)銀行系統(tǒng)的主要手段。銀行計算機系統(tǒng)一旦感染病毒，程序和數(shù)據(jù)將被嚴(yán)重破壞，系統(tǒng)功能將喪失。

二、商業(yè)銀行利用審計控制計算機網(wǎng)絡(luò)系統(tǒng)風(fēng)險的探索

商業(yè)銀行是資金周轉(zhuǎn)的樞紐，接收存款發(fā)放貸款，從中賺取差價。每天經(jīng)過商業(yè)銀行辦理的業(yè)務(wù)不計其數(shù)。由于商業(yè)銀行計算機網(wǎng)絡(luò)系統(tǒng)存在內(nèi)部操作失誤和外部入侵的風(fēng)險，因而進行審計控制管理尤為必要。

1.審計的內(nèi)容

審計的內(nèi)容可以分為三個方面。（1）對計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)部控制的審計。商業(yè)銀行計算機網(wǎng)絡(luò)系統(tǒng)的內(nèi)部控制是指銀行為使利潤最大化而采取的一系列規(guī)避風(fēng)險的辦法，如通過對會計日志的跟蹤與審查規(guī)避資金風(fēng)險，通過對工作人員的實時監(jiān)督規(guī)避組織風(fēng)險等等；（2）對計算機網(wǎng)絡(luò)系統(tǒng)的審計。這一審計過程體現(xiàn)在銀行網(wǎng)絡(luò)系統(tǒng)的開發(fā)、運營與維護中。通過審計系統(tǒng)開發(fā)的可行性報告和銀監(jiān)會關(guān)于系統(tǒng)開發(fā)的要求，判斷系統(tǒng)的安全性和可操作性；通過審計系統(tǒng)在運營過程中的漏洞，及時彌補漏洞造成的直接或間接損失；通過審計系統(tǒng)有無被黑客攻擊或病毒入侵，維護系統(tǒng)的安全；（3）對計算機網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)安全的審計。銀行通過對工作人員的管理權(quán)限進行審計，確保數(shù)據(jù)的不被竊取或篡改；銀行通過對工作人員輸入和輸出數(shù)據(jù)的審計，保證操作的合理和合法性。

2.審計控制風(fēng)險的方法

銀行控制風(fēng)險的方法有很多，如加強對設(shè)備的維護、改進防火墻技術(shù)、完善管理制度等等。其中，進行審計控制是規(guī)避風(fēng)險的主要方法。審計控制不僅能運用在銀行計算機網(wǎng)絡(luò)系統(tǒng)的各個方面，更能提供清楚的審計報告，為管理人員審查業(yè)務(wù)情況節(jié)省時間，降低風(fēng)險發(fā)生的可能性。

（1）健全性測試。健全性測試是指通過調(diào)查、詢問等方法，測試計算機網(wǎng)絡(luò)系統(tǒng)內(nèi)部控制的規(guī)范性和實效性，測試計算機網(wǎng)絡(luò)系統(tǒng)的系統(tǒng)安全性和健全性，測試計算機網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的可靠性和完整性。通過健全性測試，可以保證銀行系統(tǒng)的安全性和運行的高效性。

（2）符合性測試。符合性測試是指在計算機網(wǎng)絡(luò)系統(tǒng)中隨機抽取業(yè)務(wù)進行全過程的操作性測試，將不符合操作規(guī)范和規(guī)章制度的業(yè)務(wù)制成反饋報告，及時發(fā)現(xiàn)并解決業(yè)務(wù)風(fēng)險。對銀行業(yè)務(wù)的符合性測試，可以提高銀行的經(jīng)濟效益。

（3）安全性測試。安全性測試是指通過設(shè)置系統(tǒng)權(quán)限，進行操作權(quán)限的追蹤，確保商業(yè)銀行計算機網(wǎng)絡(luò)系統(tǒng)未被外界入侵；通過借助審計軟件對業(yè)務(wù)報表進行分析，確保數(shù)據(jù)的準(zhǔn)確性。安全性測試在商業(yè)銀行中的應(yīng)用較為普遍，對商業(yè)銀行進行風(fēng)險控制，最主要的審計方法是進行安全性測試。

三、結(jié)束語

隨著計算機網(wǎng)絡(luò)技術(shù)在商業(yè)銀行業(yè)務(wù)操作中的普及，網(wǎng)絡(luò)系統(tǒng)固有的風(fēng)險增加了銀行運作的風(fēng)險。為提高商業(yè)銀行運作的安全性，促進經(jīng)濟的高速穩(wěn)定發(fā)展，進行銀行風(fēng)險控制是必要的措施。利用審計的方法進行風(fēng)險控制是商業(yè)銀行控制風(fēng)險的主要手段。通過審計的健全性測試、符合性測試和安全性測試對系統(tǒng)進行內(nèi)部控制，能確保銀行內(nèi)部控制的合理性與合法性；進行系統(tǒng)的安全維護，能確保系統(tǒng)運作的高效性和可靠性；進行業(yè)務(wù)數(shù)據(jù)的整合與審查，能確保銀行業(yè)務(wù)的數(shù)據(jù)安全，促進我國經(jīng)濟的高速穩(wěn)定發(fā)展。

參考文獻(xiàn)：

[1]孟大耿.商業(yè)銀行信息系統(tǒng)的風(fēng)險與審計研究[J].中國商界（下半月），2009（08） .

[2]宋云.商業(yè)銀行計算機審計問題研究[J].銀行家，2009（04） .

[3]陶玉蘭.計算機輔助審計技術(shù)在商業(yè)銀行內(nèi)部審計中的應(yīng)用[J].審計與理財， 2010（08）.endprint