商業(yè)銀行信息系統(tǒng)內部控制研究.pdf

1、現(xiàn)代商業(yè)銀行的業(yè)務運營依賴于信息技術(Information Technology，IT)的支持，同時商業(yè)銀行必須借力IT進行金融創(chuàng)新以應對競爭。銀行信息系統(tǒng)(Information Systems，IS)的復雜度和銀行業(yè)務對IS的依賴度，使得銀行董事會和管理層更加關注IS的風險。與此相對應的是，近年來頻頻出現(xiàn)銀行操縱丑聞均與內部控制和IS相關。 鑒于商業(yè)銀行業(yè)務的特殊性和商業(yè)銀行IS作為資金交易活動載體的地位，商業(yè)銀行IS相關

2、的風險受到監(jiān)管部門的高度關注，《新巴塞爾協(xié)議》對操作風險(主要是系統(tǒng)風險和內部控制風險)的關注、《薩班斯法案》對信息技術控制的強調都反映了這一點。 加強IS內部控制，規(guī)避不必要的技術風險，對商業(yè)銀行提高自身競爭力和提供合規(guī)的(監(jiān)管)控制信息具有重要的現(xiàn)實意義。然而目前有關商業(yè)銀行IS內控體系的研究還比較缺乏，銀行業(yè)界對IS風險的識別、分析和控制還處于摸索階段。從國內情況看，我國商業(yè)銀行的內部控制多以事后的稽查監(jiān)督為主，缺乏長遠的

3、規(guī)劃和成熟的預防控制體系，針對商業(yè)銀行IS內部控制及評價的研究相當缺乏。 本文從風險導向的視角，對商業(yè)銀行IS內部控制及評價進行了研究。論文首先總結了商業(yè)銀行內控建設和國內外IS控制的研究成果，分析了商業(yè)銀行工S風險的特點，剖析了商業(yè)銀行IS的復雜性和特殊性。在此基礎上，按照目標驅動的逆向操作原理，構建了商業(yè)銀行信息系統(tǒng)內部控制框架，該框架涵蓋了商業(yè)銀行多層級的控制目標和控制要素，通過對內部控制目標自上而下的過程分解和控制評價自

4、下而上的層級反饋，實現(xiàn)從銀行內部控制總體目標到信息系統(tǒng)控制具體過程風險評價的轉換，據(jù)此商業(yè)銀行在信息系統(tǒng)管理中可以實現(xiàn)控制一)評價一>糾偏一)控制的完整循環(huán)，保證內部控制的系統(tǒng)性和內部控制評價的可操作性。在此框架下，論文主要研究了商業(yè)銀行IS的過程控制模型和風險導向的IS內部控制評價方法。 參照國際IS控制標準和商業(yè)銀行內控規(guī)范，構建了基于層級過程的商業(yè)銀行IS的過程控制模型。該模型立足于IS全生命周期，涵蓋了商業(yè)銀行IS內部控

5、制各個層級的主要控制活動，具體劃分了五個過程域，提出了過程風險分級的評估方法，分析了過程域下的關鍵控制過程及其風險評估因素，設立了相應的評估基準，過程控制模型為建立風險導向的內部控制評價指標體系提供了前提條件。 作為本文所提出的商業(yè)銀行IS內部控制框架的一項重要內容，風險導向的內控評價，主要基于內部控制目標的過程分解來確定控制目標層次和評價層次，將評價過程劃分單項風險評價和綜合風險評價兩個階段，采用多種成熟的評價方法，對各層級的

6、IS關鍵子過程、過程域、風險目標和總體目標進行評價分析，從而為商業(yè)銀行IS的內部控制提供多層級的風險評估視圖，為進一步制定監(jiān)控措施提供客觀的評價依據(jù)，有助于商業(yè)銀行維持IS控制重要性和成本開銷之間的平衡。本文對風險導向的商業(yè)銀行工S內部控制的研究，采用了目標驅動的逆向操作方法，綜合考慮商業(yè)銀行IS戰(zhàn)略和外部環(huán)境的影響，對商業(yè)銀行IS過程的內控質量和相應的風險水平進行了重點剖析，建立了IS過程與風險之間的聯(lián)系。這種以內控質量和風險水平評價