浅谈基层央行信息技术审计

浅谈基层央行信息技术审计

信息技术在银行业的广泛应用，极大地推动了银行业的发展。到2000年底，人民银行系统基本实现了电子化，初步形成了中央银行现代化技术服务体系。信息技术在大大提高工作效率和质量的同时，也产生了一系列风险问题http://wWW.LWlm.Com。如何做好信息技术审计，促进人民银行计算机信息系统合规、安全、可靠、有效运行，便成为人民银行内审部门的一项重要课题。

一、人民银行信息技术审计发展情况

人民银行内审司自1998年成立以来，针对信息技术广泛应用的实际情况，积极探索开展信息技术审计。经过十多年的实践发展，人民银行信息技术审计在机构和人员配置、审计工作开展、规章制度建立及内审信息化建设方面都有了长足发展。

（一）机构和人员配置方面

2000年8月，人民银行系统在贵阳召开了首届信息技术审计工作座谈会。2001年，内审司专门设立了信息技术审计处。此后，人民银行各分支机构内审部门相继设置了信息技术审计科（室）或信息技术审计岗，明确了科室（岗位）职责、优化了人员配置，确定了信息技术审计的定位和方式方法，使信息技术审计逐步规范化、日常化。

（二）审计工作开展情况 （三）规章制度建立方面 （四）信息化建设方面

人民银行十分注重内审信息化建设。2007年，总行内审司在分支行原有成果的基础上，组织开发完成了《内审依据电子手册》，为内审人员学习和工作提供了方便。2009年，总行内审司完成了“人民银行内审业务综合管理系统”的试运行和推广工作，应用范围已覆盖所有地市中支以上的单位，大大提高了审计工作的规范化和标准化。同年，总行内审司购买了ACL审计软件，在有关审计中应用ACL对国库业务进行了审计，促进了计算机辅助审计手段在人民银行信息技术审计中的应用。

二、基层央行信息技术审计中存在的问题

从近几年的实践看，人民银行信息技术审计工作正逐步走向规范化，在加强人民银行内部控制建设，防范风险等方面发挥了积极作用，但是由于信息技术审计在人民银行还处于探索完善阶段，在实际工作中还存在一定问题。

（一）思想认识不到位制约信息技术审计的发展

部分审计人员对信息技术审计的重要性认识不足，认为由上级行组织开发的信息系统绝对是安全可靠的，即使系统本身存在缺陷，也不属于基层央行处理范围。审计观念滞后，一定程度上阻碍了基层央行信息技术审计的应用与发展。同时，基层央行虽然成立了计算机安全管理工作领导小组，但个别领导对系统存在的风险认识不足，对信息技术审计也没有给予足够的重视与支持，不利于信息技术审计的发展。

（二）系统推广与审计工作脱节，信息技术审计介入滞后

信息技术审计需要审计人员对系统功能、层次架构和技术细节等方面有很深的了解，是一项专业性很

强的工作。目前，人民银行系统的大部分信息系统都是由总行科技司统一规划、研发，然后在全国范围内推广，而信息系统从设计开发、安装调试到推广建设以及内控约束机制的设计和运行维护管理等工作基本上都是由科技部门和业务部门联合实施的，整个过程缺乏内审部门的介入和参与。业务人员在提出应用系统的需求时，只是根据自己的工作需要提出要求；科技人员在开发系统时，也只是简单地满足业务人员提出的http://wWW.LWlm.Com需要，并没有考虑审计人员的需求，在编写程序时没有给审计人员预留接口，导致信息技术事前、事中审计不易开展，大大降低了信息技术审计的审计效率和效果。

（三）信息技术审计工作的内容、手段和方式有待完善

一是基层央行信息技术审计仍以合规性审计为主，侧重于内控制度的建立执行情况、基础设施管理情况、系统管理使用等方面，审计层次较低。二是由于部门间协调不足、技术力量薄弱等原因，审计方法以面谈法、观察法、问卷调查法、查阅文档资料等外围审计方法为主，而计算机系统内部运行安全性审计常用的计算机辅助审计技术方法，如审计软件法、数据检测法、嵌入审计模块法等在基层央行审计实践中却很少用到，信息技术审计的实际效果大打折扣。三是内审部门未实现与其他部门联网，无法从系统处理过程中发现风险苗头，以此来确定审计对象和目标，从而浪费了自身和被审计部门的时间。

（四）信息技术审计的规范化、标准化滞后

信息技术的应用推广使得旧有的某些审计规章制度已不能完全指导和规范信息技术审计实践，而内审部门也缺少对有关信息技术审计实践经验的总结，不能系统有效地将有关概念、工作流程和技术方法归纳起来，形成详实可行的审计工作指引。同时，部分业务电子化进程加快，而相关管理规定未能及时出台或完善，使得内审部门在实际工作中没有明确的审计标准，审计依据也比较缺乏。

（五）复合型人才短缺，培训模式单一

信息技术审计工作专业性强、涉及面广，它要求审计人员不仅有较强的计算机知识，而且要熟悉人民银行的各项业务。目前，基层央行的大多数审计人员尚未完成实施信息技术审计必需的知识和技术转型，队伍建设总体上无法满足信息技术审计工作发展的需要。近年来，人民银行系统虽然加大了对审计人员信息技术审计培训的力度，但是培训模式相对单一，培训名额较少，且受训人员的自身素质及接受水平对本单位开展再培训也有一定的影响。同时，各业务部门开展业务系统推广使用、升级等培训时也是以本专业人员为主，内审人员无法参与其中，很难获得相关最新知识，影响了审计效果。

三、进一步完善基层央行信息技术审计的建议

（一）提高风险意识，加强对信息技术审计重要性认识

内审人员要提高风险意识，转变观念，正确认识信息技术审计。一是要树立服务意识，提高审计成果利用率。针对审计中发现的风险隐患，与被审部门共同分析问题成因，为相关部门加强管理提供建议。二是要树立全程跟踪、整体审计的观念。审计人员要参与到信息系统的设计和开发中，将信息技术审计和风险评估相结合，适时调整审计重点，真正做到信息系统的事前、事中和事后审计相结合，逐步向风险导向型审计转变。同时，基层央行领导对信息技术审计应给予更多的关心与重视，加大人力、技术、资金等各类资源的投入，树立起信息技术审计的权威性，保证此项工作的顺利开展。 （二）建立部门间沟通协调机制，强化事前、事中审计

由于计算机信息系统建设投资大、建设周期长、投入运行后改变成本高，所以内审部门应该提前介入，对新系统的立项、开发、测试和验收等阶段进行全过程监督审计，强化事前、事中审计，从而完善审计内容，有效节约审计资源、提高审计效率。通过事前介入，内审人员可以及时提出审计业务的功能需求，要求科技人员编写程序时给审计人员预留接口，特别是要求系统最大限度地留下业务人员操作和业务处理流http://wWW.LWlm.Com程的痕迹，为审计人员留下充分的审计线索。同时，基层央行要建立部门沟通协调机制，科技部门和系统应用部门在进行系统开发、购买、重大修改等重要事项时要通知内审部门参加，并及时将制定的操作规程等发送给内审部门；审计人员要积极参加科技和系统应用部门的会议，了解系统的最新情况，并就审计时发现的问题，及时向科技和系统应用部门进行通报和反馈，更好地发挥信息技术审计的作用。

（三）拓展审计内容，完善审计方式、方法

信息技术审计应以风险为基础，将信息系统的开发、购买、验收等方面作为信息技术的部分审计内容，置于内审的有效监督之下，从而有利于及早发现系统的缺陷和漏洞。在审计手段和方法上，要强化计算机辅助审计技术，由总行牵头，研究开发一套审计软件，在全国推广应用。这项工作是一项系统复杂的工程，需要各部门的通力协作。在开发审计软件的同时，需要完善和改进央行各项业务系统程序，在各业务系统程序和管理信息系统上留有审计接口，建立起与被审计部门业务接口直接切入、数据信息共享的全方位立体信息系统。同时，基层央行应积极推行参与式审计，充分发挥被审计部门信息技术人员的作用，大力提高信息技术审计的质量水平。

（四）实现信息技术审计标准化，规范审计流程

随着信息技术审计工作的不断深化，根据审计工作的发展需要和各项业务系统的升级变化，结合国际先进经验，及时修订完善审计规章制度、补充更新审计依据便成为我们工作的一个重点环节。同时，有必要结合多年的信息技术审计实践经验，系统地将有关概念、内容、工作程序和技术方法等进行归纳总结，形成详实可行的信息技术工作指南，给审计工作提供指导，规范审计工作。

（五）创新培训模式，加强基层央行内审队伍建设

一是充实内审部门的科技力量。基层央行在为内审部门配备人员时，要考虑专业结构，合理增加计算机专业人员。通过审计专业培训，使其成为既精通计算机和网络技术又懂审计的复合型人才。二是加强培训力度，创新培训模式。首先，加大对现有审计人员的培训力度，强调培训的针对性和实效性，使审计人员充分了解信息系统安全常识及操作规程，更好地与传统审计知识相融合，确保培训取得实效；其次，注重部门再培训工作，确保培训工作的系统性和连续性。基层央行在派员参加总、分行信息系统培训时，要注重选派人员的个人素质，在自身充分掌握培训知识的基础上，能够在部门开展再培训工作，将培训内容完整准确地教授给其他审计人员；再次，充分利用信息技术网络培训平台，扩大培训覆盖面，降低培训成本，提高培训效率；最后，通过沟通协调机制的建立，使内审人员有机会参加所有业务部门组织的业务系统推广升级培训班。同时，内审部门举办培训时，也可以邀请相关业务部门人员参加，使得他们既能从信息技术、业务流程控制的角度考虑问题，又能从内部审计的角度出发，从而采取有力措施全面促进信息系统安全管理工作。