网上银行审计中的风险评估,本文主要内容关键词为:网上银行论文,风险评估论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、网上银行的特点
网络银行是指利用因特网作为一个远程的交付渠道来进行银行业务。这些服务既包括传统的开设账户或银行转账业务,也包括新的银行业务,例如在线电子支付(允许客户在银行的网站上收款和付款)(见ISACA准则中的网上银行指南)。它是现代信息网络技术在银行业应用的直接结果,改变了传统银行业以银行柜台为交易前台、纸质票据为工具的现场交易方式,发展为以客户个人电脑、通讯设备或其他智能设备为交易前台、电子凭证为工具的非现场交易方式,使银行服务不受时间和空间的限制。
首先,“网上银行”不受时空限制,只要客户拥有一台电脑,并掌握了互联网的基本知识,就能够随时、随地享受“网上银行”为自己提供的各类金融服务。其次,对于银行而言,“网上银行”金融基础设施的成本大大低于传统意义上银行的成本。在银行经营开支中,以工资和租金占最大比重。“网上银行”服务则可以通过电脑处理客户需求,无须依赖密集的分行物理网络,可节省大量人力资源,符合成本效益原则。第三,由于“网上银行”交易不受时空限制,客户可随时随地处理个人财务安排,“网上银行”服务可延伸至世界的任何角落,因此扩大了客户来源,特别是对那些海外没有分行的银行更是如此。
正是由于这些特点,使得网上银行迅速发展起来,招商银行、国有四大商业银行都纷纷建立网上银行。网上银行成为了这些传统银行的延伸和助手,并且开始形成激烈的竞争。但影响网上银行能否成功,方便、功能齐全的特点并非最重要,关键是网上银行的安全性。安全性关乎该银行的运作的畅顺,关乎银行的信誉以及客户对该银行的信心和信赖。因此,在审计过程中,审计员对网上银行的安全性的关注尤其重要。安全性的评估就体现在对风险的评估,其中风险又包括技术风险、管理风险。在实施实质性测试之前,需要对网上银行的各种风险进行评估。
二、技术风险系统评估
在网上银行风险评估过程中,技术风险首当其冲。因为,网上银行是以网络和计算机技术为依托的,任何有关信息技术的出错都会对网上银行造成极大的威胁。因此网上银行的正常运行必须采用安全措施,防范恶意攻击,更主要的是向真正的客户提供可靠的服务,保障网上客户和商家的利益。网上银行系统的主要任务是正确识别客户和商户的身份,允许客户使用合法的服务,保证客户信息和数据不被泄露和篡改。鉴于此目标,网上银行应就各种可预见的技术风险建立可行的防范措施,审计员的任务也就是要检查网上银行在防范技术风险所做的措施是否完善有效,能否保证数据的完整性。
1、是否建立完整、完善的安全策略和整套的管理体系
安全策略是制定其他所有安全管理制度或措施的基础,网上银行系统的安全策略应当是银行整个计算机网络安全的一部分,在制定网上银行系统安全策略时也要考虑到银行整体安全策略和成本以及安全与效率及利润之间的平衡。
2、是否建立有效的防火墙体系以及入侵检测系统
黑客入侵系统后,可以发出拒绝服务攻击、同步(SYN)攻击、WEB欺骗攻击和TCP/IP欺骗攻击等,使得系统不能提供正常的服务,甚至让黑客可以从中窃取数据。另一方面,计算机病毒的肆虐使得网络安全尤令人担忧。妖怪病毒,在2003年就把世界范围内 1200家银行作为攻击目标。当网上银行系统建立起强大的防火墙体系和入侵检测系统,可以有效抵御这些破坏。审计人员应检查网上银行所设的这些安全体系是否足够,有否定期更新的政策和应变的能力。
3、保密措施是否足够
网络是一个向全世界开放的虚拟空间,而存在网络或经过网络的数据却是私隐的东西,因此审计人员要检查网络中的数据保密措施是否足够。保密措施的一个主要办法是数据加密,而加密的关键在于密钥的管理。故此,审计员应检查密钥的产生、传递和销毁是否严格的监督控制下进行;密钥是否定期更换;是否对重要的程序和敏感的数据都进行了加密。加密主要体现在数据传输和储存的状态,而装载数据的磁盘的保管,以及读写的进入的授权都应纳入保密措施的实施范围。磁盘有否特殊标记,读写数据如何授权及其所用口令的管理等等都应被审计员所了解。
4、身份鉴别和访问控制机制是否完善
传统的身份鉴别方法通常是靠用户的登录密码对用户的身份进行认证。但是,用户的密码在登录时是以明文的方式在网络上传输的,很容易被攻击者截获,进而可以假冒用户的身份。在互联网银行系统中,审计人员应该检查用户身份的认证是否有加密机制、数字签名机制和用户密码等多重保证。服务方是否对用户的数字信息和登录密码进行检验,全部通过以后才确认该用户的身份。用户是否具有惟一的标识,而银行是否有专门的认证机构发放给用户“数字证书”之类的身份鉴别证明。
网上银行是否在安全系统中建立安全等级标签,只允许符合安全等级的用户进行访问。同时,对用户进行分级的授权,每个用户只能在有权范围内进行操作,从而实现了对资源的访问控制。这些都是对访问的控制机制,审计人员都应该关注。
5、是否有应急措施
网上银行即使抵御入侵的技术再完善,也不可避免某些不可预见破坏因素,如停电、灾害破坏服务器等导致网络瘫痪。在面对这些破坏时,网上银行系统是否有一定的应急措施以隔离损害,尽量减轻损失,或阻止不法分子趁乱进行不法活动。此外,在破坏后的数据恢复技术也很重要。有否此技术将决定网上银行能否在破坏后迅速恢复正常运作。
上述的技术机制是保证网上银行系统顺利运行,防止恶意攻击和窃取数据,保护银行和用户信息安全的关键措施,审计员应该一一了解这些措施的建立及在系统中的运用是否妥当,并将所了解的情况归档,以供以后审计参考用。在往后的审计中,要注意当时信息技术的发展,了解系统是否作出及时的更新,以抵御新的侵害手段。
三、管理风险系统评估
技术风险是网上银行与传统银行在风险方面相比的一个主要差别,尤其值得关注。但是管理风险仍不可忽视,它亦有其特别的一方面——表现在内部控制机制上。
网上银行与一般传统银行的区别只是将业务都放在网络中完成,但在网络背后还是需要一个管理体系。而这个管理体系同样需要有完善的内部控制机制。只不过这个内部控制机制与传统银行有所不同。传统银行的某些内控措施在网上银行已经体现在网络的某些技术上了,而网上银行的内部控制机制主要是计算机硬件管理、业务控制管理措施、人事管理。
计算机硬件管理主要体现在物理保护上。要保护计算机系统、网络服务器、打印机、磁盘等硬件实体和通信链路免受自然灾害、人为破坏和搭线;加强PC机管理,建立物品进出机房登记制度,加强门卫管理制度,在机房无人时或休息日要锁好门窗;同时,按时检查机房防火设施,确保各种设备处于良好状态。关于这些管理措施都需要形成一整套的制度,而审计人员需要检查这些制度是否完善。
业务控制管理措施包括:(1)业务审计。网络系统在交易日志的基础上形成业务审计日志,由专人负责进行分析,及时发现可疑的交易行为,采取控制措施。(2)转账限制。对账户性质、资金流动等内容加以限制。例如,只能是活期账户互转,只能是同一客户的账户间转账等。(3)交易额限制。对于不同品种的单笔交易额、当日累计交易额等进行限制。
网上银行不同于一般网站,网上银行对人员的管理要求高于一般网站,在人事管理中体现在计算机系统和本行资金安全方面。当雇佣员工时,必须进行必要的背景审查,背景审查的内容还要包括该雇员曾有的与计算机系统相关问题的信息,修订雇员手册,列入关于计算机安全的规章;将安全培训列为对新雇员培训的主要内容;及时审计员工的行为,鼓励那些为系统安全做出贡献的员工,当解雇一个员工时,应事先采取必要的网络安全措施,如改变该员工的访问权限,修改有关口令等。
四、结语
互联网技术正在改变我们的生活和工作方式。银行业采用互联网技术是个无可避免的必然趋势。因此对网上银行进行审计在银行审计中的地位将逐渐提升。面对这一新事物,审计人员应掌握足够的计算机知识、银行业务知识及审计知识,形成对网上银行审计的一套有效的方法。网上银行是在网络中完成任务的,如果该网上银行系统的技术足够完善能保证交易的顺畅进行,且能对外来破坏产生免疫力,则审计人员在以后的审计中就能较好的信赖系统所产生的数据。除了技术因素值得重视外,网上银行本身的管理也不容忽视。只有在做好这两方面的工作,审计人员才能对网上银行有足够的了解,并顺利展开接下来的审计。
审计人员对技术和管理风险都应该记录在案,数字化该风险,通过与审计项目的可承受风险相比较,从而判断该网上银行风险程度,得出符合性测试和实质性测试所应测试的量。
标签:银行论文; 风险评估程序论文; 网上银行业务论文; 安全审计论文; 管理审计论文; 审计目标论文; 审计准则论文; 客户管理论文; 信息安全论文; 网络安全论文;