浅谈 络环境下对银行内部控制的思考

2016年11月，X银行从事软件开发工作的覃某编写了一个后台程序，将其放在银行主系统上，“编写这个程序是为了验证银行核心系统的漏洞是否存在，这个缺陷大概是在跨行ATM机取款后，取款成功但不会计入账户。”于是，自2016年11月至2018年1月间，覃某通过其掌控的X银行卡多次在ATM机上跨行取款，前后取款1000多笔，将银行资金717.9万元转入其控制的银行账户，非法占为己有。

2018年1月，Y银行成都分行违规发放贷款案件浮出水面。为掩盖不良贷款，Y银行成都分行通过编造虚假用途、分拆授信、越权审批等手法，违规办理信贷、同业、理财、信用证和保理等业务，向1493个空壳企业授信775亿元，换取相关企业出资承担Y银行成都分行不良贷款。

上述案例给银行财产和声誉造成极坏影响，教训十分深刻，迫使我们不得不冷静思考：党的十八大以来，中央把廉政建设提到新高度，成效突出，但仍有少数银行职员无视党纪国法，我行我素，利用职务便利违法犯罪，如何才能增强银行内部控制的有效性？尤其是在这 络高度发达的时代。

络化已成为目前IT发展的方向，银行信息系统也不可避免受到其深远的影响。在目前的 络环境下， 络功能为财务控制带来了许多新选择，如远程 账、远程 表、远程审计、电子支付、 上银行等。它们是一种以数据形式流通的货币、票据、信用卡，支付过程简单，流通速度快。依赖这种电子数据交换，资金流动和账务往来可以在几十秒之内结束，真正是“来去了无痕”，进而失去了追溯责任的依据，如何才能有效地控制？

络环境下，银行信息系统存在的问题

1、现行 络财务理论匮乏，加大了控制的模糊性

在 络环境下，时空观的界面日显模糊，难以认定。 络化进程促使财务主体突破传统的空间限制，使集中式的财务核算管理得以实施。由于 上银行使资金流动更加顺畅，电子单据的使用，使资金调配变得越来越方便，越来越难掌控。

2、 络信息载体的变化，加大了内部控制的复杂性

随着电子商务的迅猛发展， 上交易愈加普遍。电子商务提高了商务活动的效率，但同时对银行系统的内部控制带来了新的挑战。电子商务的单据电子化、货币电子化、 上银行、 上结算，可加快资金周转速度，但给银行结算系统带来的风险将是空前的。在 络环境下，如何鉴定电子数据是否为原件、如何对电子证、账、表等财务档案进行保管，这些问题都具有复杂性，但直到目前相应的技术和法规还远没有达到完善，这也给系统的内部控制造成了极大的困难。

3、 络信息系统高度开放，加剧了财务控制的风险性。

由于 络具有开放性、互联性和联接形式多样性等特征，致使 络易受黑客、病毒、恶意软件的攻击，增加了信息被滥用的风险，尤其是属于重大商业机密的银行数据，如遭到破坏或窃取，将给银行带来不可估量的损失。

4、 络信息处理集成化，增加了内部控制的不确定性

络环境下，银行内部控制的应对措施

1、基于银行数据库系统的控制措施

对数据库系统的安全威胁主要有两个方面：一是 络系统内外人员对数据库的非授权访问；二是系统故障、误操作或人为破坏数据库造成的物理损坏。

针对上述威胁，要提高操作系统的安全可靠性，除了要尽可能地选用安全等级较高的操作系统产品，经常进行版本升级外，信息资源控制还应采取以下措施：

（1）采用较为成熟的大型 络数据库产品，合理定义应用子模式。

子模式是全部数据库中，面向某一特定用户或应用项目的一个数据处理集，通过它可以分别定义面向用户操作的用户界面，做到特定数据面向特定用户开放。

（2）建立银行信息资源授权表制度。

明确规定每个用户的安全级别和身份标识，并分别定义具体的访问对象；明确定义每一用户对数据资源访问的范围和内容，并分别规定对数据库的查阅、修改、删除、插入等操作权限。

（3）建立日志审计制度。

对运行系统的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监视和记录，并对日志文件定期进行安全检查和评估。

（4）存取控制。

对系统资源进行分类管理，并根据用户级别，限制系统资源的共享和流动。

（5）建立数据备份恢复机制。

采取有效的 络数据备份、恢复及灾难补救计划。

2、基于银行 络的控制措施

在 络环境下，为了防止银行系统遭到非法、恶意的软件程序的人侵，避免 络攻击破坏银行数据，应该实施一系列控制措施来保证 络安全。如运行专用的 管软件进行 络监控、采用专用内容过滤技术阻止各种恶意内容的入侵等，并通过对防火墙、扫描器、入侵检测等系统安全的支撑产品信息的采集，与信息系统的事故 告进行关联分析，以便于更准确地了解信息系统受到非授权访问或攻击的信息、以及控制措施的控制效果，加强 络风险的防范。

3、监控与操作的分离

实现对系统内部的有效牵制，在系统内分出操作与监控两个岗位，对每一笔业务同时进行多方备份。当操作人员进行账务处理时，其操作和数据也被同步记录在监控人员的机器上，由监控人员进行即时或定期审查，一旦出现数据不一致便进行深入调查。这样明确了岗位的划分，实现了有效牵制。

4、数据通讯控制

络环境下的银行信息系统，其安全问题显得尤为突出，要解决这个问题，就一定要加强数据通迅的控制，具体来说，应包括：

（1）保证良好的物理安全，尽量采用结构化布线来安装 络。

（2）采用虚拟专用 （VPN）线路传输数据，开辟安全数据通道。

（3）对传输的数据进行加密与数字签名，确保传输数据的保密性和完整性。

5、防病毒控制

计算机病毒对计算机系统的安全造成极大的危害，银行系统中的数据一旦遭到破坏，将造成极大的损失。防范病毒较为有效的措施包括：软件、移动存储盘的采购和更新要通过计算机病毒检测后才可使用；建立移动存储盘管理制度，防止乱拷贝移动存储盘，不使用未经检测的移动存储盘等等。

有些工作人员认为安装了杀毒软件就万事大吉，其实，病毒的变形和更新是非常快的，即使安装了杀毒软件，也绝非高枕无忧了。安装防病毒软件后，应定期检测并清除计算机病毒。

总而言之， 络化给银行带来了机遇，同样也伴随着新的风险，只有寻找新的思路，在 络环境下实现银行内部控制的有效性，才能真正让银行在这个高速发展的时代获得新生。

供稿|苏州分行信息科技部