簡析銀行核心業務系統的IT審計方法與實踐

對于信息系統審計師，經常會在工作中面臨一個問題：如何去審計一套從未使用過的信息系統？每個人都是從新手成長起來的，筆者也不例外。本文根據筆者過往的信息系統內部審計經歷，特別是針對金融行業的核心業務信息系統（CBS）審計，進行了一些實踐經驗總結和分享。

目前在銀行業數字化業務開展過程中，運行著各種類型的銀行核心業務信息系統，審計師需要針對組織正在使用的具體系統來定制合適的審計方案。以下控制測試方法可能會適用于您的組織正在使用的CBS。

由于金融服務行業受到高度監管，因此在開始信息系統審計之前，您需要花時間閱讀并更深入地了解受監管的金融服務機構應遵守的各種法規。這些機構包括銀行、金融科技公司、電信公司、征信機構（CRBs）、移動支付服務公司、小額信貸組織、投資集團等。在這種情況下，您必須了解您所在國家的中央銀行，金融機構法案（FIA），證券交易委員會（SEC）的監管要求，以及監督金融機構活動的其他機構（如保險監管機構和稅務機關）的法規。

根據您的審計范圍和審計目標，您可以在已確定需要審查的領域確定將要執行的控制測試。這些可能包括：

• 審查有關CBS運營和后端管理的組織政策，程序和標準。
• 大多數系統項目都會失敗或出現問題，具體取決于它們是如何開始的，因此在一切開始時都需要多些關注。如果CBS是外包的，請查看您與供應商簽訂的服務級別協議（SLA）或合同，并重點審查供應商支持服務條款（是否滿足設定的矩陣，以及是否包含了對違反商定的矩陣/條款和條件的處罰）。在進一步審查SLA時，請確保存在審計權利條款，包括條款、訂閱性質和許可證續訂頻率，并確保簽署了保密協議（NDA）或保密協議（Confidentiality Agreement）或合同中存在這些條款（以及版本控制，如果適用）。
• 審查CBS版本控制的應用程序支持、腳本/開發和時間表，以及如何完成維護通信。在采購CBS之前，請確認是否已制定了業務案例并審查批準。確認CBS是否通過了用戶驗收測試（UAT），以及是否在實施六個月后進行了實施后評審（PIR）。確保對用戶的培訓已經完成或正在持續進行，并且供應商提供了技術手冊和非用戶手冊。能證明服務提供商的認證也很重要。
• 審查已批準的企業設置、后端引擎管理或CBS的參數配置，與從CBS中提取的報告相對比。
• 了解本行的產品需求（貸款、透支、存款、儲蓄等），并檢查銀行核心業務系統，驗證每個產品需求是否在CBS中按原樣配置。使用數據分析工具重新計算對每個產品收取的費率，以確保收取費用的透明度和配置的準確性。還要審查變更管理程序。
• 檢查CBS的托管位置（在云、混合云或本地）也很重要，以了解托管的客戶個人可識別信息的數據隱私和保護要求。出于業務連續性目的，您還需要確認主數據中心和恢復站點的安全性。
• 測試應用程序的邏輯訪問控制（例如，查看當前系統用戶/活動帳戶和已停用帳戶的數量與最新的員工名單相對比）。查看每個用戶配置文件的權限。此外，在建立問責制的過程中，進行審查以核實是否存在職責分離（SoD）或授權人控制。此外，審查系統參數變更是否在獲得相應用戶的批準后實施
• 審查容量管理實踐，以確保正確地規劃了IT資源。
• 在向銀行核心業務系統中輸入財務數據之前，檢查是否進行了人工對賬，因為垃圾輸入等于垃圾輸出。這將使您能夠保證數據的完整性和準確性。
• 確保本行在其新客申請表格中定義了客戶調查（KYC）詳細信息，以確保您了解銀行收集，處理和存檔的數據類型。同樣，查看銀行的隱私政策和隱私聲明，以了解其如何處理個人可識別信息。查看應用程序中客戶詳細信息的更新頻率。
• 查看備份計劃，了解如何完成日初（SOD）和日終流程（EOD），監控未發布/無監督的交易，以及如何將其追溯到發起人或主管，并審查恢復時間表。
• 審查您的組織和 CBS 服務提供商的業務連續性計劃（BCP）和災難恢復計劃（DRP）。
• 在CBS的模塊和菜單中，查看CBS上是否有嵌入式審計模塊 （EAM），以及信息安全團隊或負責人員審查日志的頻率。
• 審查組織的變更管理計劃，并驗證是否已在CBS和應用程序上實施了所有必要的安全控制。
• 審查與CBS集成的其他應用程序、渠道、商戶或API的安全性。此外，找出哪些新技術和網絡安全威脅是急需解決的，以保護整個組織在可接受的水平上免受網絡攻擊。

您可以在CBS上測試的控件列表是無窮無盡的，具體取決于您的審計范圍和審計目標。因此，作為一名信息系統審計師，您有責任制定一個全面的審計計劃，這將為您的組織增加價值并提供可靠的保證。