鄞州银行开展网上银行管理风险专项审计_银行风险管理审计
鄞州银行开展网上银行管理风险专项审计由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“银行风险管理审计”。
扫除安全漏洞
确保网上银行业务安全
-----鄞州银行开展网上银行管理风险专项审计
------------------
作者:周亚芬
2011-4-25 17:16:45
来源:鄞州审计局
------------------
网上银行拥有强大、灵活的业务创新能力,但同时其数字化、虚拟化的操作模式,使其易于受到高科技化的手段攻击,因而安全性成为网上银行业务发展壮大的基础和核心竞争力的主要体现。为了确保网上银行的稳健发展,鄞州银行在网银业务试运行近两周年之际,组织开展了网上银行专项风险审计,取得了较好的审计成效。
一、审计背景
网上银行业务具有金融业务一体化、业务处理自动化、金融服务信息化、银行运营经济化、客户操作便利化等特点,近年来越来越受到银行和客户的喜爱,网上银行得到了蓬勃发展;但另一方面,有关网上银行被黑、被破解、被攻击的案例屡见不鲜,为促使网上银行向更加安全的方向发展,根据鄞州银行监事会的指示和银监会电子银行业务管理办法,适时开展了网上银行管理风险专项审计。
二、审计的基本情况
根据《宁波鄞州农村合作银行内部审计工作规定》和年度工作计划,在充分开展审前调查、收集相关资料的基础上,严格按操作程序,认真组织了审计,并根据我行网上银行业务开展情况,详细制定了审计方案,明确了审计重点,审计内容包括评价网上银行风险管理体系和内部控制体系的健全性和有效性、网上银行风险识别、评估、监测和控制措施的齐全性和有效性和以及业务的合规性,操行的规范性等。审计通过现场查阅、询问、功能模块测试等方法,结合利用计算机辅助、运维平台监测系统等技术手段,排查网上银行风险点50余个,发现在网银制度建设、执行、内部控制、风险控制、网上银行柜面操作、网上银行系统建设等方面存在问题17个,重大风险隐患5个,审计发现的问题得到了监事会的高度重视,要求管理层进行整改落实,整改率为94.1%,审计取得了较好的成效。
三、审计方法
(一)审前培训。针对网银业务新,技术性强,审计风险大的特点,审计组在审计前做好做足功课。认真学习制度文件,广泛收集网银案例,并邀请技术专家对网银系统的体系架构、关键技术进行讲解,通过学习、讨论,研究,网上银行审计思路逐渐清晰,审计中应把握的风险点逐步明确。
(二)开展审前调查,确定审计重点。在调查中,运用了问卷调查、访谈、询问等审计技术和方法,全面了解我行网上银行风险管理状况。调查网上银行的风险管理体系、内部控制体系,系统方面风险管理状况,业务方面风险管理状况。通过审前调查,认为我行的网上银行的技术比较先进,系统安全方面的风险相对较少,审计重点为网上银行业务管理风险。并根据审计重点制定可操作性的审计方案,确保审计风险可控。
(三)采用计算机辅助审计的方法,提高审计效率和审计质量。如对企业网银限额控制进行实质性测试时,编写SQL程序语言,从数据库中取得客户在一段时间内网银交易数据,通过对交易金额按客户按时间进行分类汇总,验证企业网银限额控制的有效性。通过测试,发现有部分客户的累计交易金额超过限额控制,而且又没有限额修改申请表,是柜员未按要求私自修改限额还是程序控制存在漏洞?经过对数据进行进一步的分析,初步确认为程序控制存在漏洞,未将企业费用报销和代发工资统计在内。为了确诊此问题,审计人员在网银测试环境针对此问题进行功能性测试,确认限额控制程序存在漏洞,客户资金存在较大的安全风险。
(四)利用本行计算机预警系统和远程监控系统,以巡航式审计方法,全面扫描检验本行内控制度建设和执行过程中的安全性和有效性。
(五)利用审前调查成果,有针对性的开展现场审计工作。通过查阅、审核等审计方法、分析性复核、抽样调查等审计技术,对网上银行风险管理情况进行有针对性的审核,在系统安全方面重点审查对系统的检测和应急问题处理流程,在业务安全方面重点审查内控的有效性,业务的合规性、操作的规范性,服务的安全性。通过现场审计,对网上银行业务的各个风险控制点进行了全面的排查。
四、审计成果及应用
鄞州银行监事会认真审阅了稽核内审部撰写的审计报告,对审计发现的问题给予高度重视,要求管理层针对审计发现问题,进行整改落实。整改工作有序进行,审计取得了较好的成效。
1、完善了风险管理体系和内控控制体系。增加了网上银行业务针对各种风险的管理办法。完善了网上银行应急预案,由原来只是科技管理部对网银系统硬件设备故障采取的应急预案,扩展为全行范围内针对各类事件场景下的应急预案,包括启动应急预案条件、应急处理流程、系统恢复流程、事后经验总结和培训等内容。应急预案更加全面、更加有效。修订了网上银行业务管理办法,在办法中明确了网上银行各相关部门的职责,建立了职责明确、分工合理、运行高效、监督有力地网上银行业务服务体系,和网银信息修改审批、监督机制,使内部控制得到完善。
2、加强了应用科技力量进行风险控制。针对审计发现的限额控制存在漏洞的问题,鄞州银行立即进行了系统完善。同时业务部门组织人员对网银使用情况进行调研,对程序中存在的BUG,功能缺陷、风险隐患进行排查,科技管理部针对业务部门提交的问题,及时进行程序修改和功能完善。
3、规范了业务操作。如:通过对网上银行业务柜面操作方面的检查,发现鄞州银行各支行在办理USB-Key密码解锁和挂失业务时,缺乏事中和事后的监督、授权环节,而BeeKey相当于一个保险箱,用于保护数字证书的安全。用户在登录我行网站进行交易时,在电脑上插入Beekey,系统会通过校验Beekey中的数字证书来验证客户的身份。Beekey相当于客户在网银系统中的身份证,其重要性不言而喻。业务部门立即规范了对数字证书的遗失处理、USB-Key的挂失和解锁程序,过程中增加了属主身份认证、换人复核环节,并进一步细化各处理步骤。
4、增强了各部门对于网上银行风险管理的重视度。网上银行业务作为我行一项“年轻”的业务,客户量和业务量目前正处于快速上升阶段,通过此次审计,提高了相关部门的风险意识,不仅对行内的业务操作进行规范,而且加大了对客户的风险意识的培养。通过各种渠道向客户宣传网上银行的安全知识。如在鄞州银行的网站上,发布了《关于网上银行安全提醒的公告》,在公告中提醒客户虽然使用USB_key登陆网银是安全的,但也需要提高安全意识,养成安全习惯,不给犯罪分子可乘之机。并提供了《网上银行安全须知》,要求客户点击阅读。而科技管理部在持续关注网上银行信息安全问题,一直在关注USB_key产品的推陈出新,并对新产品进行测试,了解最新最高端的安全技术。给客户一个安全、放心的运行环境。
5、总结审计经验,推广审计成果。审计组根据网上银行审计经历,总结网上银行的主要风险和防范建议,编写《网上银行业务风险及其防范建议》一文,发表在宁波内审经验交流园地,另外还有《开展网银信息系统安全审计 增强网银系统安全运行》、《鄞州银行把好网银安全关 审慎数字证书管理》等多篇介绍我行审计过程中发现的重要风险和警示的文章发表在宁波内审园地,供同行们参考借鉴。
五、几点启示
1、加强学习,控制审计风险。网上银行业务作为新兴业务,具有专业性强、技术要求高、审计风险大的特点,如何控制审计风险,就需要审计人员加强对专业领域的学习和研究,掌握审计关键控制点。
2、持续关注网上银行信息安全风险。由于信息技术的高速发展,不法分子对网上银行攻击的手段将呈现多样化和高科技化,银行需持续关注网上银行的信息安全,在客户身份认证、数据传输私密性、防钓鱼、防欺诈等方面进行持续的技术更新,审计部门需持续关注网上银行的风险动态,适时开展安全审计,及时发现风险隐患,始终给客户创造一个安全的、放心的运行环境。
3、增加对客户风险意识的培养,谨防因客户操作不当引起的法律风险和声誉风险。网上银行的操作风险更多的来自客户操作不当引起的。银行在关注行内风险控制的当时,应面向客户开展各种形式的网上银行风险交易和安全提示,明示网上银行业务操作应注意的各类安全事项,积极帮助客户培养安全意识和良好的计算机使用习惯,对于典型案例要加大警示宣传力度。
