银行业的信息技术一般控制审计:程序及益处

随着数字化时代的不断发展,信息技术(IT)已成为包括银行业在内的许多行业的运营支柱。
从基本交易到复杂的数据分析,现代银行均依靠强大可靠的IT系统来支持其运营。因此,银行
必须对其IT基础设施采取强有力的控制措施,而信息技术一般控制(ITGC)在其中发挥着重要
作用。ITGC是使银行有信心可靠驾驭数字环境的力量支柱。

ITGC是指设计用于确保IT系统和数据的完整性、可靠性和安全性的一套程序和政策,包括访问
控制、变更控制、运行控制和系统开发管理等诸多方面。

ITGC对银行业的重要性
银行业是一个受严厉的法律法规高度监管的行业,对安全性和准确性的要求很高。同时,银行
业也是网络攻击的目标,因此IT安全是头等大事。随着电子交易的持续增长,网络安全威胁日
益凸显。客户数据或财务信息泄露或被盗可能会损害银行声誉,造成重大经济损失。

此外,银行业要求运行效率以期能够迅速准确地开展交易。银行如不具备有效的信息技术一般
控制,可能遭遇交易流程受阻、报告出错甚至经济损失等问题。

ITGC由几个关键组成部分构成,银行机构需要了解这些组成部分,才能安全高效地开展业务:

• 访问控制:确保只有经过授权的人员才能访问系统和数据,包括身份认证、授权和审计追踪。
• 变更控制:监控系统和应用程序的变更,确保所有更改在实施前都经过测试和批准。
• 运行控制:确保日常业务顺利开展,包括数据备份、灾难恢复和日常维护。
• 系统开发管理:监控新系统或现有系统更新的开发、测试和实施过程。

ITGC在银行业的实施
ITGC在银行业的实施过程包括一系列严谨有序的步骤:

• 访问控制:银行必须确保客户数据和金融交易等敏感信息只能由授权方访问,可以通过实施
  多因素身份认证、访问控制政策、入侵检测系统以及日志和监控机制来实现。访问日志和系
  统监控也可用于检测可疑活动。
• 变更控制:IT系统中的每项变更均应在实施前进行记录、测试和批准,以防止发生错误导致
  运行中断或造成安全漏洞。
• 运行控制:包括备份和恢复政策、硬件维护、系统性能监控和灾难恢复程序,以确保运行连
  续性。
• 系统开发管理:监控从初始系统开发到发布的整个过程,确保深入分析所有代码和基础设施
  的潜在风险。应严格管理需求分析、设计和测试等流程,以确保质量和安全性。

银行业ITGC审计的常见问题及改进建议
ITGC审计通常发现的常见问题包括:

• 访问控制存在薄弱环节:许多银行在系统和数据访问控制层面存在薄弱环节。授予的访问权
  限可能与个人岗位不符,导致潜在安全风险。为减少这种风险,银行需要完善访问控制政策
  及其实施措施,并为员工提供关于信息安全重要性的培训。
• 缺乏变更控制:一些银行没有完全采用变更控制原则,因此导致了错误或中断。对系统进行
  更改后未进行充分的测试,从而增加了出现漏洞的风险。为此,银行需要实施变更跟踪体系
  ,并在每次实施变更前召开审查会议。所有变更都应记录在案,在受控环境中进行测试,并
  在应用前先获得批准。
• 维护不足或疏于日常维护:过时或维护不善的IT基础设施很容易受到攻击。此外,定期维护
  往往被忽视,导致了潜在的运行故障。因此,银行需要安排日常维护并定期升级系统。
• 备份和恢复失败:有时,银行缺乏适当的灾难恢复程序。许多银行虽然有此类方案,但可能
  长时间没有对其进行测试或更新。为此,银行需要制定全面的灾难恢复方案,并定期测试以
  确保其有效性。

银行业的这些ITGC问题可能与利息计算、贷款处理、交易记录等核心交易功能有关。因ITGC不
足而导致的一些进一步的问题可能包括:

• 利息计算不准确:银行系统的逻辑或配置可能存在错误,导致客户账户的利息计算不准确。
• 贷款处理中的错误:系统可能无法正确处理贷款申请,或者在贷款审批自动化方面存在缺陷,
  导致授信不符合标准。
• 交易授权不当:交易在执行前可能不需要适当的授权或验证,从而增加了出错或滥用的风险。
  未能遵守数据隐私政策:系统可能不符合数据隐私政策,这可能会对银行声誉造成负面影响或
  导致巨额罚款。
• 交易错误:交易处理过程中可能会出现错误,如重复转账或交易与客户指示不符。

在应对这些情况时,管理层的积极参与至关重要。管理层必须支持IT团队,了解相关风险,分
配必要的资源,以降低相关风险,并向整个组织传达合规和控制的重要性。管理层的认知和投
入将有助于确保风险缓解的成功和可持续。通过识别和缓解ITGC问题,辅以管理层的积极支持
,银行可以强化其IT基础设施,提高客户信任度,并确保运营的平稳和安全。

ITGC是维护银行业安全性、完善性和运营效率的关键因素。通过有效实施和维护ITGC,银行可
以降低安全风险,增强客户信任,确保运营顺畅。对ITGC进行定期评估可以让银行找出需要改
进之处。管理层要对审计结果采取后续行动,提出改进建议和举措。

此外,印度尼西亚金融服务监管局(OJK)也出台了关于商业银行实施信息技术的第
11/POJK.03/2022号POJK银行业法规(特别是第55条第(2)款),该法规要求银行至少每三
年一次利用独立的外部服务对信息技术实施情况的内部审计职能进行重新评估。信永中和印尼
所可以为印度尼西亚银行业公司提供专业服务,拥有多年经验。我们不断拓展自身能力,可以
为银行业客户在ITGC审计服务、对信息技术实施情况的内部审计职能的重新评估、网络安全等
服务方面提供支持。