商业金融机构信息系统审计方法问题研究及优化
发布时间:2014-08-12 17:42
第1章绪论
1.1研究目的和意义
当前,国内商业银行的信息系统的情况为:复杂的系统结构,高质量、高性能的系统软硬件;海量数据(几乎所有银行的数据都实行集中式管理,即由总行统一存储和管理);统一的、同国际接轨的、本外币一体化的财务核算模式;以客户为中心、面向服务的信息系统设计理念;衍生金融新产品多;系统均支持365天*24小时实时运转等。上个世纪末期至今,我国商业银行处于信息系统建设膨胀期,近九成以上的商业银行都已经实现了无纸化办公和对公服务。目前,所有商业银行均实现了信息化及数字化管理;多数商业银行在管理信息化方面也都陆续的完成信贷管理、总账管理等管理信息系统的建设。这些意味着商业银行以计算机和网络为特征的信息系统的普及。因此,商业银行信息系统审计应运而生。我们相信,在未来几十年内,中国的信息系统审计必将会有一个很大的发展,且在我国信息化进程中具有重大战略意义。目前,商业银行系统中操作系统复杂,根据不同的业务分别采用了 linux、windows等操作系统,并与其相配的防病毒系统;网上交 系统都是通过互联网运行。另外,银行的中间代理业务一般从银行到相关单位搭建VPN专线与其局域网互联。商业银行业务系统一般都采用ThinClient/Bussiness/Data模式,并配备相应的备份与灾难恢复系统。由于受多种因素影响,传统商业银行信息系统审计目前停留在以国家相关法规为依据的内控审计阶段,即查账本阶段。随着商业银行以计算机和网络为特征的信息系统的普及,目前的这种审计方式的缺陷随之暴漏出来,难以适应信息化管理发展形势及国家治理需求。
........
1.2国内外研究现状
本文通过研究商业银行信息系统的特点、框架结构以及一般业务流程,试图研究总结出商业银行信息系统屯计内容,同时辅以长春市某银行信息系统审计案例研究出一套可行的计算机审计技术方法。目前,信息安全引起了各国政府的高度重视,进而调整了国家安全战略,使信息安全保障成为国家战略安全的重要组成部分⑴。在美国相关的法律文件有:《保护美国关键基础设施》总统令(PDD-63)、《信息保障技术框架》(IAF) [2]、《保卫美国的计算机空间-保护信息系统的国家计划》、《保护网络空间的国家战略》在俄罗斯颁布发表的法律文件有:《联邦信息、信息化和信息保护法》、《国家信息安全学说》。早在1994年,我国就颁布了《中华人民共和国计算机信息系统安全保护条例》(国务院令〔1994年)147号),明确了信息系统安全保护工作的重点、的主管部门,并提出了信息安全等级保护制度2006年中共中央办公厅、国务院办公厅颁布了《2006至2020年国家信息化发展战略》,正式把信息安全写入了国家战略中。我国在2001年成立了国家信息化领导小组,先后担任组长的朱铭基总理和温家总理在会议上都强调了要注重建设信息安全保障体系。国家审计机关从此开始逐渐关注信息系统整体的安全、风险、管理、控制[6]。虽然如此,2005年3月21 大连中行员工翟昌平因利用银行系统漏洞窃取银行800万美元现金而落网,同年,相继在黑龙江、重庆类似的案件频有发生。这些案件的破获均是在企业进行内部信息系统审计时发现的。
........
第2章商业银行信息系统审计概述
2.1商业银行信息系统介绍
通过前期的大量调查和研究,我们总结出了现代国内商业银行的信息系统以下几个显著特点:1.对软硬件的质量和安全性能要求高,一般服务器均使用小型机,操作系统基本是UNIX操作系统,数据库通常为Oracle、DB2等高端产品,办公网都是采用Windows操作系统,同时也根据不同的需要配备各种网络版防病毒软件;2.系统结构复杂,一般的业务系统均采取3层JT发结构数据库层-业务逻辑层-界面层,也有更复杂的是面向服务的输出模式:数据存储层-业务逻辑层-服务层(接口)-表现层。面对如此复杂的体系结构,对审计人员的计算机技术水平来说也是一个巨大的挑战;3.数据量大(各行数据普遍实行总行大集中),根据统计,目前国内商业银行的业务系统中,主要业务数据表,每张表的记录数都要以千万为单位,按存储空间来说,基本上都是以T级计算,我们此次审计的项目,其数据达1.3T,这也给屯计人员以强大的伍力;4.国内商业银行业务为与国际接轨,体现优化服务理念,本币外币一体化的统一会计核算方式;5.系统均以客户为中心、面向服务的设计理念6.种类繁多的衍生金融产品给审计人员带来了大量业务规则的解读与相关屯查;7.支持365*24小时实时服务;8.网络结构复杂,分布式系统协同办公、中间代理业务又采取DDN专线具有专网意义的广域网"“,网上银行、电子商务、网上交 系统都是通过互联网。
.........
2.2商业银行信息系统审计概念
前面介绍的IT审计或信息系统审计概念,与严格意义上的商业银行信息系统屯计有所区别,但从概念上讲也有可以参考的东西。信息系统审计(Information Systems Audit,简称IS审计)也称为IT审计,至今还没有一个统一的概念。美国信息系统审计学科的领军者Ron Weber给信息系统审计做出了如下概括:“收集并评估证据,以判断一个信息系统是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。R本通产省在1996年对IT审计进行定义如下:“为了保证信息系统的安全行、可靠性与有效性,由独立于审计对象的IT束计师,以第三方的客观立场对以计算机为核心的信息系统进行的综合检查与评价,向n屯计对象的最高领导,提出存在的问题与优化建议的屯计行为。”通过对有关概念和定义的分析和理解,本文对商业银行信息系统审计定义如下:本文总结:商业银行信息系统审计是指通过对商业银行信息系统的组成部分及其规划、运行等过程进行屯计,以系统安全性、可靠性、有效性和效率性四方面问题为基础目标进行审计业务展开,最后,针对上述问题为商业银行提出整改意见和优化建议。商业银行信息系统审计目标通过前面我们总结的信息系统审计的概念,可以分析出对商业银行信息系统审计的目标,即以系统安全性、可靠性、有效性和效率性四方面问题为基础目标进行审计业务展开,最后,针对上述问题为商业银行提出整改意见和优化建议。
..........
第3章应W计算机审计商业银行信息系统的主耍技术方法...........12
3.1系统内控审计方法...........12
3.2应诏系统审计方法...........13
3.3数据挖掘原理的信息安全市计方法...........15
第4章计算机审计商业银行信息系统技术方法的应实现........... 18
4.1测试数据法的实现...........18
4.2改进的嵌入审计模块法...........20
4.3快照屯计法...........23
4.4迮续与间歇模拟(CIS........... 25
第五章结论...........28
第4章计算机审计商业银行信息系统技术方法的应用实现
本文作者所在项目组受吉林省政府委托以对长春市某商业银行进行信息系统屯计,以此为蓝本,通过审计其消费信贷业务系统为入口,试图对该商业银行信息系统进行全方面的缺陷挖掘,以保证银行信息系统安全运转。计算机辅助审计技术从采用的工具与技术来看,它包括很多类型,如通用屯计软件、应用软件,我们这个项目主要应用的相关审计程序包括:受控处理法、测试数据法、综合测试法、追踪法、平行测试法、快照、连续与间歇模拟、数据挖掘技术等。在项目审计过程中,我们先后请该银行的信息中心人员、业务人员进行描述其系统构成及业务过程,并请他们提供了该系统的所有设计文档、源程序、数据文件。有了前期的审前调查工作,我们;导以对该系统进行审计目标性测试。方法设计测试数据法(Test Data, TD)在此项目中是针对银行业务系统计算机程序所进行的测试,我们通过对业务的预期结果与程序测试输出的结果进行比较与核对,进而判断程序的预定义功能与业务规则控制是否达到设计要求。测试用例的选择与设计是十分重要的,测试用例要求完全覆盖测试要点,可以与实际业务数据有所不同,构建测试用例时,我们首先考虑到有效性测试,那么需要准备一组有效数据进行测试,程序输出结果与预期结果进行比对,进而验证系统算法的_正确性。接下来主要的就是针对控制程序进行测试,那么设计的测试用例通常被称为无效数据,包含边界用例测试、残缺测试用例、不合理测试用例。
.........
第五章结论
本文通过以对长春市某商业银行进行信息系统审计为基础,详细分析了信息系统审计的概念,由此得出信息系统审计的目标,为了实现信息系统审计的目标,总结出 展信息系统审计的审计内容。在第三章中,本文总结了对商业银行信息系统审计的主要计算机方法,我们这个项目主要应用的相关审计程序包括:测试数据法、追踪法、快照、连续与间歇模拟、嵌入模块法、数据挖掘技术等。本文详细介绍了这些方法的基本原理、优缺点等。由于我们审计的对象是商业银行的计算机应用系统,因此审计的技术离不开计算机辅助技术。在第四章中,为了实现本次研究的主要目标,并改进以往审计时所采用的计算机方法的弊端,本文将击中主要的测试方法进行了改进,并在审计中加以应用,实践表明改进后的方法基本实现了在线审计但又不影响商业银行信息系统的稳定性及生产效率。通过上述的计算机审计技术,我们对长春市某商业银行的信息系统实施审,在数据库资源、源代码程序、网络安全等方面发现了的系统漏洞,并对该银行信息系统提出了优化及改进意见,该银行采纳了我们的所有意见,继而对信息系统进行了整改,整改后的信息系统得到了银行的用户的广泛认可。在以后的工作学习中,我们将对本次审计过程中使用的计算机技术及设计程序,形成可通用的信息系统审计专家系统,在审计机关推广应用。
..........
参考文献(略)
本文编号:8297
1.1研究目的和意义
当前,国内商业银行的信息系统的情况为:复杂的系统结构,高质量、高性能的系统软硬件;海量数据(几乎所有银行的数据都实行集中式管理,即由总行统一存储和管理);统一的、同国际接轨的、本外币一体化的财务核算模式;以客户为中心、面向服务的信息系统设计理念;衍生金融新产品多;系统均支持365天*24小时实时运转等。上个世纪末期至今,我国商业银行处于信息系统建设膨胀期,近九成以上的商业银行都已经实现了无纸化办公和对公服务。目前,所有商业银行均实现了信息化及数字化管理;多数商业银行在管理信息化方面也都陆续的完成信贷管理、总账管理等管理信息系统的建设。这些意味着商业银行以计算机和网络为特征的信息系统的普及。因此,商业银行信息系统审计应运而生。我们相信,在未来几十年内,中国的信息系统审计必将会有一个很大的发展,且在我国信息化进程中具有重大战略意义。目前,商业银行系统中操作系统复杂,根据不同的业务分别采用了 linux、windows等操作系统,并与其相配的防病毒系统;网上交 系统都是通过互联网运行。另外,银行的中间代理业务一般从银行到相关单位搭建VPN专线与其局域网互联。商业银行业务系统一般都采用ThinClient/Bussiness/Data模式,并配备相应的备份与灾难恢复系统。由于受多种因素影响,传统商业银行信息系统审计目前停留在以国家相关法规为依据的内控审计阶段,即查账本阶段。随着商业银行以计算机和网络为特征的信息系统的普及,目前的这种审计方式的缺陷随之暴漏出来,难以适应信息化管理发展形势及国家治理需求。
........
1.2国内外研究现状
本文通过研究商业银行信息系统的特点、框架结构以及一般业务流程,试图研究总结出商业银行信息系统屯计内容,同时辅以长春市某银行信息系统审计案例研究出一套可行的计算机审计技术方法。目前,信息安全引起了各国政府的高度重视,进而调整了国家安全战略,使信息安全保障成为国家战略安全的重要组成部分⑴。在美国相关的法律文件有:《保护美国关键基础设施》总统令(PDD-63)、《信息保障技术框架》(IAF) [2]、《保卫美国的计算机空间-保护信息系统的国家计划》、《保护网络空间的国家战略》在俄罗斯颁布发表的法律文件有:《联邦信息、信息化和信息保护法》、《国家信息安全学说》。早在1994年,我国就颁布了《中华人民共和国计算机信息系统安全保护条例》(国务院令〔1994年)147号),明确了信息系统安全保护工作的重点、的主管部门,并提出了信息安全等级保护制度2006年中共中央办公厅、国务院办公厅颁布了《2006至2020年国家信息化发展战略》,正式把信息安全写入了国家战略中。我国在2001年成立了国家信息化领导小组,先后担任组长的朱铭基总理和温家总理在会议上都强调了要注重建设信息安全保障体系。国家审计机关从此开始逐渐关注信息系统整体的安全、风险、管理、控制[6]。虽然如此,2005年3月21 大连中行员工翟昌平因利用银行系统漏洞窃取银行800万美元现金而落网,同年,相继在黑龙江、重庆类似的案件频有发生。这些案件的破获均是在企业进行内部信息系统审计时发现的。
........
第2章商业银行信息系统审计概述
2.1商业银行信息系统介绍
通过前期的大量调查和研究,我们总结出了现代国内商业银行的信息系统以下几个显著特点:1.对软硬件的质量和安全性能要求高,一般服务器均使用小型机,操作系统基本是UNIX操作系统,数据库通常为Oracle、DB2等高端产品,办公网都是采用Windows操作系统,同时也根据不同的需要配备各种网络版防病毒软件;2.系统结构复杂,一般的业务系统均采取3层JT发结构数据库层-业务逻辑层-界面层,也有更复杂的是面向服务的输出模式:数据存储层-业务逻辑层-服务层(接口)-表现层。面对如此复杂的体系结构,对审计人员的计算机技术水平来说也是一个巨大的挑战;3.数据量大(各行数据普遍实行总行大集中),根据统计,目前国内商业银行的业务系统中,主要业务数据表,每张表的记录数都要以千万为单位,按存储空间来说,基本上都是以T级计算,我们此次审计的项目,其数据达1.3T,这也给屯计人员以强大的伍力;4.国内商业银行业务为与国际接轨,体现优化服务理念,本币外币一体化的统一会计核算方式;5.系统均以客户为中心、面向服务的设计理念6.种类繁多的衍生金融产品给审计人员带来了大量业务规则的解读与相关屯查;7.支持365*24小时实时服务;8.网络结构复杂,分布式系统协同办公、中间代理业务又采取DDN专线具有专网意义的广域网"“,网上银行、电子商务、网上交 系统都是通过互联网。
.........
2.2商业银行信息系统审计概念
前面介绍的IT审计或信息系统审计概念,与严格意义上的商业银行信息系统屯计有所区别,但从概念上讲也有可以参考的东西。信息系统审计(Information Systems Audit,简称IS审计)也称为IT审计,至今还没有一个统一的概念。美国信息系统审计学科的领军者Ron Weber给信息系统审计做出了如下概括:“收集并评估证据,以判断一个信息系统是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”。R本通产省在1996年对IT审计进行定义如下:“为了保证信息系统的安全行、可靠性与有效性,由独立于审计对象的IT束计师,以第三方的客观立场对以计算机为核心的信息系统进行的综合检查与评价,向n屯计对象的最高领导,提出存在的问题与优化建议的屯计行为。”通过对有关概念和定义的分析和理解,本文对商业银行信息系统审计定义如下:本文总结:商业银行信息系统审计是指通过对商业银行信息系统的组成部分及其规划、运行等过程进行屯计,以系统安全性、可靠性、有效性和效率性四方面问题为基础目标进行审计业务展开,最后,针对上述问题为商业银行提出整改意见和优化建议。商业银行信息系统审计目标通过前面我们总结的信息系统审计的概念,可以分析出对商业银行信息系统审计的目标,即以系统安全性、可靠性、有效性和效率性四方面问题为基础目标进行审计业务展开,最后,针对上述问题为商业银行提出整改意见和优化建议。
..........
第3章应W计算机审计商业银行信息系统的主耍技术方法...........12
3.1系统内控审计方法...........12
3.2应诏系统审计方法...........13
3.3数据挖掘原理的信息安全市计方法...........15
第4章计算机审计商业银行信息系统技术方法的应实现........... 18
4.1测试数据法的实现...........18
4.2改进的嵌入审计模块法...........20
4.3快照屯计法...........23
4.4迮续与间歇模拟(CIS........... 25
第五章结论...........28
第4章计算机审计商业银行信息系统技术方法的应用实现
本文作者所在项目组受吉林省政府委托以对长春市某商业银行进行信息系统屯计,以此为蓝本,通过审计其消费信贷业务系统为入口,试图对该商业银行信息系统进行全方面的缺陷挖掘,以保证银行信息系统安全运转。计算机辅助审计技术从采用的工具与技术来看,它包括很多类型,如通用屯计软件、应用软件,我们这个项目主要应用的相关审计程序包括:受控处理法、测试数据法、综合测试法、追踪法、平行测试法、快照、连续与间歇模拟、数据挖掘技术等。在项目审计过程中,我们先后请该银行的信息中心人员、业务人员进行描述其系统构成及业务过程,并请他们提供了该系统的所有设计文档、源程序、数据文件。有了前期的审前调查工作,我们;导以对该系统进行审计目标性测试。方法设计测试数据法(Test Data, TD)在此项目中是针对银行业务系统计算机程序所进行的测试,我们通过对业务的预期结果与程序测试输出的结果进行比较与核对,进而判断程序的预定义功能与业务规则控制是否达到设计要求。测试用例的选择与设计是十分重要的,测试用例要求完全覆盖测试要点,可以与实际业务数据有所不同,构建测试用例时,我们首先考虑到有效性测试,那么需要准备一组有效数据进行测试,程序输出结果与预期结果进行比对,进而验证系统算法的_正确性。接下来主要的就是针对控制程序进行测试,那么设计的测试用例通常被称为无效数据,包含边界用例测试、残缺测试用例、不合理测试用例。
.........
第五章结论
本文通过以对长春市某商业银行进行信息系统审计为基础,详细分析了信息系统审计的概念,由此得出信息系统审计的目标,为了实现信息系统审计的目标,总结出 展信息系统审计的审计内容。在第三章中,本文总结了对商业银行信息系统审计的主要计算机方法,我们这个项目主要应用的相关审计程序包括:测试数据法、追踪法、快照、连续与间歇模拟、嵌入模块法、数据挖掘技术等。本文详细介绍了这些方法的基本原理、优缺点等。由于我们审计的对象是商业银行的计算机应用系统,因此审计的技术离不开计算机辅助技术。在第四章中,为了实现本次研究的主要目标,并改进以往审计时所采用的计算机方法的弊端,本文将击中主要的测试方法进行了改进,并在审计中加以应用,实践表明改进后的方法基本实现了在线审计但又不影响商业银行信息系统的稳定性及生产效率。通过上述的计算机审计技术,我们对长春市某商业银行的信息系统实施审,在数据库资源、源代码程序、网络安全等方面发现了的系统漏洞,并对该银行信息系统提出了优化及改进意见,该银行采纳了我们的所有意见,继而对信息系统进行了整改,整改后的信息系统得到了银行的用户的广泛认可。在以后的工作学习中,我们将对本次审计过程中使用的计算机技术及设计程序,形成可通用的信息系统审计专家系统,在审计机关推广应用。
..........
参考文献(略)
本文编号:8297
本文链接:https://www.wllwen.com/jingjilunwen/huobiyinxinglunwen/8297.html