《网上银行审计指引(国际信息系统审计协会ISACA).pdf》由会员分享,可在线阅读,更多相关《网上银行审计指引(国际信息系统审计协会ISACA).pdf(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、栏 目编辑唐志洁 一、网上银行 1 网上银行的定义 网上银行是指把互联网作为远程支付渠道来为银行服 务。它包括传统上的诸如开设账户或转账给不同的账户,以及新的银行服务比如电子在线支付(允许客户通过网上 银行接收或支付账单)等服务。2 网上银行业务 网上银行可以通过以下一种或多种方法实现网上业务。(1)信息类网上银行在一个独立服务器上拥有金 融产品与服务的营销或市场信息。风险相对低。一般在服 务器与内部网络之间没有连接路径。要适当控制,防止未 经授权的数据修改。(2)信息交互类允许金融系统与客户之间相互 作用。lfAu 电子邮件、账户查询、申请贷款以及静态资料 等。因为这些服务器,通常有一条到达
2、银行内部网络的直 接通道。所以风险比信息类要高。要有适当的控制措施防 范不当访问。(3)交易类允许用户直接执行资金交易。有两个 层次上的交易。一是只允许客户在同一银行账户之间进行 转账,二是直接地向银行以外第三方提供付款功能。这是 最高的风险结构体系,必须要有最强大的控制。4 4 f 金 屯 2 0 1 1 3,q 二、网上银行概述 金融业务的特殊性,决定它的高风险性。网上银行业 务不会增加新的风险,但是它增加和修改了一些传统的风 险。银行应该有一个风险管理流程,以使他们能识别、测量、监控和控制技术风险。新技术风险管理包含三个基本要素。第一,风险管理是由董事会与高层管理层负责的,他 们有责任去
3、开发银行发展战略同时建立有效的风险管理方 法。他们必须具备知识与技能来管理网上银行及其他的一 切相关风险。董事会应该做出明确战略决策来指导银行是 否或怎样来提供网上银行服务。最初的决定应该包括明确 的职责、政策、监控以及处理那些跨国风险。董事会审查、批准与监控网上银行的新技术项 目对金融的风险预测有重 大意义,而且确保适当的监控能得以贯彻落实。第二,技术的贯彻落实是由信息技术的高层管理负责。他们应该有效评估网上银行技术与产品,同时,确保它们 的被适当安装与记录。如果银行内部成员中没有专业人员 来履行这些职责,就应该与从事金融业或与金融业相关的 专家签订合同来执行相关职责。第三,度量与监控风险是
4、由经营管理层负责。他们应 该有能力去识别,测量,监控与控制网上银行相关风险。董事会应该定期收到关于技术引进、风险预测以及风险管 理措施报告。Wo r l d Wi d e Wa t c h 环球嘹望 网上银行的内部控制与银行所提供的风险服务等级密 集相关。而这种风险等级涉及到银行承受风险的能力与风 险管控。网上银行内部监控可以帮助审计员提供合理的证 明来确保适当的控制与管理。单个银行的网上银行服务技 术与产品的管理 目标可集中关注如下几点:(1)技术规划 与战略目标的一致性,包括业务操作有效性、经济性、效 率及合规性;(2)数据与服务可用性,包括业务恢复计划;(3)数据完整性,包括提供有保障的
5、资产,适当的业务授 权和可靠的数据流;(4)数据,资料保密性,包括员工和 客户越权访问的控制。(5)经营报告成果可靠性。信息系统审计员要了解银行的经营管理环境。C O B I T 规定了信息系统的 7个标准:(1)有效性;(2)效率;(3)保密性;(4)完整性;(5)可用性;(6)合规性;(7)可 靠性。审查网上银行,就是看网上银行的措施、应用及实 施是否符合 C O B I T的信息标准。与其他业务相 比,网上银行系统很大程度上取决于对 客户资料的完整性、可靠性、保密性和系统的可用性。因 此,银行内部要有适当的冗余、回滚措施和灾难恢复程序。网上银行的付款、资金转账与交易的不可否认性与完整性
6、是其本质属性。在这种情况下,为了确保其业务的不可否 认性与完整性,应强调网上银行系统监控的有效性。评估 网上银行方案可用性,要合理关注它们,尤其是跨国业务 操作,因为它可能会违反某个规定或与银行的规章相悖。网上银行的基本属性是确定任何通信、交易和访问请 求是合法的。因此,银行要采用可靠的方法来验证新客户 的身份和授权。已经建立关系的老客户在试图进行最初的 电子交易时也要进行身份和授权甄别。在开立账户时,身 份验证是很重要的,它可以减少盗窃,欺诈交易,洗钱风险。客户身份的强认证和甄别在跨境的情况下尤其重要,跨境 客户的电子贸易容易出现问题,包括身份假冒风险和潜在 客户有效信用调查的难度。可审计性
7、在网上银行业务中更加重要,因为大部分的 交易都是在无纸化操作中完成。三、客观性和独立性 在签订审计合同之前,审计员要提供合理的保证,不 会在网上银行审计中得到任何利益,不会削弱审计结果的 客观性。在双方达成合同协议之前,任何可能的利益冲突,都应该明确地传达给银行的管理层,同时要得到银行管理 层书面批准。四、审计人员的胜任能力 审计员应该具备必要的技能、操作技巧与知识以便对 网上银行的相关风险与采用技术的审计。审计员应确定银 行的技术与产品是否与银行战略目标一致。在特殊情况下,这样的审计要求有银行的操作业务知识和相关的风险、金 融法律法规知识与技术知识,技术知识包括评估 WE B托 管技术、加密
8、技术、网络安全体系结构和安全技术,例如 防火墙、入侵检测和病毒防护。专家意见与引进专家很有 必要,外部的专家资源应该适当合理利用,事实上,外面 的专业资源应该以书面文件的方式传达给银行管理层。五、计划 1 风险评估 审计员应该收集信息,包括网上银行 目标,实现这 些 目标的战略,银行利用互联网技术与其客户建立业务关 系途径。这些信息可以帮助高层次地评估银行风险及与 C O B I T信息标准有关的风险。这样的高级别的风险评估可 以帮助确定审计的覆盖范围,如果银行有风险架构体系,则可利用。为了分析和评价那些和网上银行运行相关的主要潜在 的和一般的与特别的威胁、可能的风险表现以及对银行的 潜在影响
9、,诸如发生的可能性,可能采用的风险管理措施,审计员应遵循一套风险评估方法。战略风险评估如下:(1)战略评估与风险分析;(2)企业战略目标的一致性;(3)技术基础架构的甄选与管理;(4)管理第三方供应商的外包关系的综合流程。安全风险评估如下:(1)客户安全措施;(2)客户身 份验证;(3)交易不可否认性与责任;(4)职责划分;(5)对系统、数据库及其应用授权控制;(6)内部与外部欺诈;(7)交易、数据库、记录的完整性;(8)交易审计跟踪;(9)数据传输过程保密性;(1 0)第三方安全风险。法津风险评估如下:(1)客户信息披露;(2)私密性;(3)合规性;(4)暴露在境外司法管辖区。信誉风险评估如
10、下:(1)业务服务水平;(2)客户服 务水平;(3)业务连续性和应急计划。2 审计 的范围和 目标 审计员应就合适、清晰的网上银行的审计 目标与范围 与银行管理层进行磋商。明确陈述审计的范围和内容,以 2 O l 1 年3 月金 屯;l 4 5 Wo r l d Wi d e Wa t c h 环球嘹望 及与之相关的风险。审计员要强调哪些方面要审计,明确 审计的广度与深度。审计的 目的与监控 目标应该合规。网络的无边无际,银行很容易在多州或多国环境下,以互联网为基础的交付 渠道来经营业务。银行可能发现不管其客户来 自哪里,其 自身都受到法津、法规、海关的约束,而不仅仅是其 自身 所在的物理位置
11、。因此,审计员要确定银行现有的与潜在 的客户群体的地域分布。审计员要鉴定有多少个不同的管 辖区能合法的监控网上银行业务,确定网上银行是怎样管 理这些风险的。3 方法与途径 审计员要制定一种方法,使之能以一种客观与专业的 态度完成审计的范围与 目标。这种方法跟实施前审计还是 实施后审计有关。审计方法应该有适当的记录与备案。如 果准备采纳外部专家的建议或引进外部专家,那么,必须 明确将其列为方法的一部分。4 计划的签署 根据实践,对于审计的计划与途径,审计员与银行管 理层达成一致的意见是一种合适的做法。六、实施网上银行审计 1 实施审计 选择审计方向和审计流程时候应该考虑到审计的范围 与 目标,审
12、计方法是计划的一部分。通常,在搜集、分析、诠释网上银行服务环境时,应 该学习现有的文件,例如,有关网上银行的法规、网上银 行系统文件和网上银行解决方案。为了鉴别与网上银行领域相关的、此前已经提出来的 以及需要后续跟踪的任何问题,审计员应该审查以下文件:(1)之前的审计报告;(2)后续审计活动;(3)之前的检 查报告;(4)内外部的审计报告。审计员要描绘关键的、与网上银行相关的流程,包括 自动的和手动的指南。核心业务风险的评估,包括网上银 行的 目标、战略、业务模式的关键性评估。审计员应当评 估 已经识别的、和业务及信息系统流程有关的风险发生的 概率,及其可能的影响,记录下这些风险及减轻风险的控
13、 制办法。作为信息系统风险评估的一部分,评估信息系统 威胁取决于银行提供的产品性质与外部风险的处理。这些 4 6 I 金 屯j,匕2 0 1 1 年3 月 风险包括拒绝服务、非法的存取数据、未经授权的使用计 算机设备,它们产生于不 同的渠道(如黑客、竞争对手、异国政府、恐怖分子或不满的雇员)o根据事前和事后审计 的性质,审计员要在测试环境或在生产环境 中测试重要流 程,检验这些进程是不是按预期的正在运作。这些测试包 括余额查询测试,账单支付与账单显示测试,同时用渗透 方法来钡 4 试安全机制。在事后审计 中,审计员至少需要了 解 网络图、网络路 由、网络和系统安全评估、内部和外部 的人侵。由于
14、网上银行方案主要还是信息技术解决方案,它必须符合 C O B I T中规定的信息标准和其他的工业规范与 标准。同时要分析信息标准、规章遵循的程度和违章的影响。2 审计各方面 组织审计看是否:(1)尽职调查和风险分析在实施网 上银行业务之前完成;(2)尽职调查和风险分析是跨国的;(3)网上银行与银行的整体战略 目标和任务、运营计划一 致;(4)因特网的应用符合 已经规定与批准的经营模式;(5)网上银行系统和服务是 内部管理还是外包给第三方;(6)管理层与该组织成员具备一定的知识、技术与能力来管理 网上银行;(7)有相关措施保证责任的厘定;(8)管理报 告适合管理网上银行的相关业务活动。审计要包括
15、政策方面,看是否:(1)合适的政策已经 制定并实施,包括获取客户、确定供应商、客户身份的验证、客户及供应商的资料的保密、审计追踪、使用 E t 志的审查 和银行是否正在了解与网上银行相关的法律发展状况;(2)银行提供了准确的与网上银行的产品线有关的特定信息披 露;(3)网站上提供的信息,足以让客户在进行网上银行 业务之前,对银行的身份进行鉴别,对银行的被监管状况 作 出明智的判断,比如信息包含银行名称、总部地址,主 要监督机构、联系客户方式和其他有关信息等;(4)银行 已经建立起管理网站链接的办法,用户可以很清楚地 区分 银行产品和非银行产品,当他们离开银行网站时,会被告 知;(5)对变更管理,审计跟踪,日志的审核与分析(防 火墙 日志和其他报告)都有适当的控制流程;(6)充分且 适当的程序,以确保数据隐私性和完整性,同时保证合规 及最佳实践。对规划审计看是否:(1)已经规划的信息系统技术架 构是可行的,并能安全稳定运行;(2)有适当的事件响应计 划用于管理控制意外事件,并将意外事件引起的问题降低到 最小程度;(3)有一个“互联网产品生命管理周期”,它是 否与开发、维护和互联网应用的升级一致;(4)对关键网上