萬(wàn)玉俍 劉 佳 人民銀行臨夏州中心支行

基層行信息技術(shù)審計(jì)中的問(wèn)題及建議

萬(wàn)玉俍 劉 佳 人民銀行臨夏州中心支行

隨著人民銀行信息化和信息技術(shù)審計(jì)業(yè)務(wù)的發(fā)展，基層行信息技術(shù)審計(jì)作為一種獨(dú)立的審計(jì)類型對(duì)確保信息系統(tǒng)安全、增強(qiáng)信息安全意識(shí)、提高信息風(fēng)險(xiǎn)防范能力等方面都發(fā)揮了積極作用。在目前數(shù)據(jù)集中及兩級(jí)系統(tǒng)部署架構(gòu)下，如何有效開(kāi)展信息技術(shù)審計(jì),保障信息系統(tǒng)安全,成為基層人民銀行研究的重要課題。

內(nèi)部審計(jì);信息技術(shù)審計(jì)

隨著信息化在人民銀行履行金融宏觀調(diào)控、提供金融服務(wù)、維持金融穩(wěn)定等職責(zé)中的支撐作用不斷增強(qiáng)，對(duì)信息系統(tǒng)的可用性、可靠性、安全性引提出了更高要求。信息技術(shù)審計(jì)對(duì)確保信息系統(tǒng)安全、增強(qiáng)信息安全意識(shí)、提高信息風(fēng)險(xiǎn)防范能力，促進(jìn)科技綜合管理能力等方面都發(fā)揮了積極作用?；鶎有行畔⒓夹g(shù)審計(jì)工作成效逐步顯現(xiàn)，同時(shí)也存在一些問(wèn)題。

1.基層人民銀行信息技術(shù)審計(jì)現(xiàn)狀

人民銀行信息技術(shù)審計(jì)作為內(nèi)審部門(mén)對(duì)被審計(jì)單位的計(jì)算機(jī)信息系統(tǒng)及其相關(guān)信息技術(shù)的內(nèi)部控制和科技管理流程開(kāi)展的檢查和評(píng)價(jià)活動(dòng)，自1999年籌備至今已十幾年時(shí)間。信息技術(shù)審計(jì)在規(guī)范建設(shè)、項(xiàng)目實(shí)施、隊(duì)伍建設(shè)、信息化建設(shè)等方面都取得了顯著成效。

1.1 制度體系進(jìn)一步健全。隨著對(duì)信息技術(shù)審計(jì)相關(guān)理論、標(biāo)準(zhǔn)等的學(xué)習(xí)，以及審計(jì)業(yè)務(wù)實(shí)踐不斷積累，上級(jí)行先后制定下發(fā)了《中國(guó)人民銀行計(jì)算機(jī)信息系統(tǒng)內(nèi)部審計(jì)規(guī)程》等規(guī)章制度，尤其是《中國(guó)人民銀行信息技術(shù)審計(jì)規(guī)范》的發(fā)布，明確了人民銀行信息技術(shù)審什的一般原則、審計(jì)內(nèi)容、審計(jì)方法，以及審計(jì)程序等。人民銀行在制度建設(shè)上基本涵蓋信息技術(shù)審計(jì)的各個(gè)方面，各項(xiàng)規(guī)章制度不斷完善。

1.2 審計(jì)成效逐步顯現(xiàn)。自2001年起人民銀行每年都開(kāi)展信息技術(shù)審計(jì)，基層行審計(jì)的力度不斷加大，多層次、多角度的信息技術(shù)審計(jì)，進(jìn)一步促進(jìn)信息安全管理水平和安全意識(shí)的提高。發(fā)現(xiàn)和修復(fù)了信息系統(tǒng)漏洞，規(guī)范信息系統(tǒng)使用操作，有效促進(jìn)了信息系統(tǒng)內(nèi)部控制和風(fēng)險(xiǎn)管理水平的提高。切實(shí)發(fā)揮了內(nèi)部審計(jì)在科技綜合管理工作中的“防火墻”作用。

1.3 計(jì)算機(jī)輔助工具得以應(yīng)用。在開(kāi)展信息技術(shù)審計(jì)的同時(shí)，上級(jí)行也特別重視審計(jì)部門(mén)自身的信息化，先后上線運(yùn)行了內(nèi)審業(yè)務(wù)綜合管理系統(tǒng)、計(jì)算機(jī)輔助審計(jì)系統(tǒng)等系統(tǒng)，還推薦使用ACL(Audit Command Language,審計(jì)指令語(yǔ)言)等工具。計(jì)算機(jī)輔助審計(jì)系統(tǒng)及其他輔助工具的使用，提高了信息技術(shù)審計(jì)的效果和效率。

1.4 部門(mén)間形成良性互動(dòng)。隨著信息技術(shù)審計(jì)的深入，進(jìn)一步促進(jìn)信息技術(shù)治理水平的提高，也促使科技部門(mén)高度重視審計(jì)合規(guī)性要求，逐步在制度修訂和業(yè)務(wù)管理中考慮內(nèi)審的合規(guī)性要求。如《中國(guó)人民銀行信息安全綜合規(guī)范》、《中國(guó)人民銀行蘭州中心支行科技管理工作規(guī)范》，都充分考慮了合規(guī)性要求。通過(guò)審計(jì)，使科技人員能夠從審計(jì)角度重新審視科技管理工作，為科技管理工作的規(guī)范化、科學(xué)化、流程化、標(biāo)準(zhǔn)化提供不同的思考視角。同時(shí)科技部門(mén)結(jié)合參與的審計(jì)實(shí)踐，能為內(nèi)審部門(mén)提供更好的技術(shù)支持，及審計(jì)建議。通過(guò)信息技術(shù)審計(jì)，科技部門(mén)和審計(jì)部門(mén)相互促進(jìn)共同提高。

1.5 鍛煉了隊(duì)伍積累了經(jīng)驗(yàn)。長(zhǎng)期的信息技術(shù)審計(jì)工作實(shí)踐，使審計(jì)人員將信息技術(shù)審計(jì)標(biāo)準(zhǔn)，信息技術(shù)與審計(jì)工作實(shí)踐相結(jié)合，全面提升審計(jì)人員的信息技術(shù)審計(jì)技能。同時(shí)不斷強(qiáng)化審計(jì)經(jīng)驗(yàn)積累和審計(jì)知識(shí)分享，不斷完善信息技術(shù)審計(jì)流程、方式、方法，為信息技術(shù)審計(jì)業(yè)務(wù)的發(fā)展提供參考和寶貴經(jīng)驗(yàn)。

2.基層行信息技術(shù)審計(jì)中的不足

2.1 審計(jì)覆蓋面有待擴(kuò)大。信息技術(shù)審計(jì)應(yīng)覆蓋信息系統(tǒng)整個(gè)生命周期的所有活動(dòng)，以及與信息系統(tǒng)有關(guān)的所有資源和應(yīng)用領(lǐng)域。而目前基層信息技術(shù)審計(jì)主要針對(duì)基礎(chǔ)設(shè)施審計(jì)，對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)審計(jì)開(kāi)展很少。截至目前信息系統(tǒng)信息技術(shù)審計(jì)僅開(kāi)展過(guò)TBS（國(guó)庫(kù)核算系統(tǒng)）專項(xiàng)審計(jì)。日常審計(jì)內(nèi)容較少關(guān)注信息系統(tǒng)參數(shù)配置、訪問(wèn)控制等信息系統(tǒng)、信息技術(shù)本身的問(wèn)題。

2.2 審計(jì)信息化程度有待提升。目前基層行信息技術(shù)審計(jì)基本都是以手工操作為主，計(jì)算機(jī)輔助的自動(dòng)化審計(jì)程度較低，審計(jì)效率不高。特別是對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫(kù)、業(yè)務(wù)系統(tǒng)等的信息技術(shù)審計(jì)缺少輔助審計(jì)工具的應(yīng)用。一個(gè)重要原因是上級(jí)行開(kāi)發(fā)或推薦使用的計(jì)算機(jī)輔助審計(jì)系統(tǒng)或者工具，整體而言對(duì)審計(jì)人員的信息技術(shù)能力要求較高。如《計(jì)算機(jī)輔助審計(jì)系統(tǒng)》中數(shù)據(jù)分析工具中就要求審計(jì)人員很好理解和掌握SQL語(yǔ)句，對(duì)沒(méi)有技術(shù)背景的內(nèi)審人員門(mén)檻較高。

2.3 信息系統(tǒng)對(duì)審計(jì)的支持有待完善。信息技術(shù)審計(jì)信息化程度的提高，除了計(jì)算機(jī)輔助審計(jì)工具的應(yīng)用，還需要便利、完善的審計(jì)數(shù)據(jù)獲取途徑。在目前數(shù)據(jù)集中，信息系統(tǒng)兩級(jí)部署的架構(gòu)下，有些業(yè)務(wù)系統(tǒng)沒(méi)有審計(jì)數(shù)據(jù)獲取接口，使基層行信息技術(shù)計(jì)算機(jī)輔助審計(jì)缺少審計(jì)數(shù)據(jù)獲取途徑。

2.4 審計(jì)隊(duì)伍建設(shè)有待加強(qiáng)。雖然上級(jí)行加大了對(duì)信息技術(shù)審計(jì)相關(guān)培訓(xùn)的力度，但由于基層行大部分審計(jì)人員具有業(yè)務(wù)背景而無(wú)技術(shù)背景，整體技術(shù)水平起點(diǎn)較低。尤其是內(nèi)部機(jī)構(gòu)調(diào)整后，紀(jì)委監(jiān)察室與內(nèi)審科合署辦公，內(nèi)審人員較少而且年齡結(jié)構(gòu)偏大，由于各種原因，學(xué)習(xí)相關(guān)技術(shù)的動(dòng)力不足。

3.對(duì)基層行信息技術(shù)審計(jì)的建議

3.1 深入學(xué)習(xí)相關(guān)標(biāo)準(zhǔn)框架和先進(jìn)經(jīng)驗(yàn)，完善信息技術(shù)審計(jì)覆蓋范圍。由《中國(guó)人民銀行信息技術(shù)審計(jì)規(guī)范》可以看出人民銀行信息技術(shù)審計(jì)目標(biāo)已與國(guó)際標(biāo)準(zhǔn)接軌。鑒于目前信息技術(shù)審計(jì)業(yè)務(wù)實(shí)際，基層行還需要深入學(xué)習(xí)審計(jì)標(biāo)準(zhǔn)框架和先進(jìn)實(shí)踐經(jīng)驗(yàn)。不斷完善信息技術(shù)審計(jì)覆蓋范圍，確保信息技術(shù)審計(jì)對(duì)信息系統(tǒng)的全生命周期覆蓋。

3.2 掌握并應(yīng)用計(jì)算機(jī)輔助審計(jì)工具。在現(xiàn)有的情況下，不斷通過(guò)各種形式學(xué)習(xí)掌握計(jì)算機(jī)輔助審計(jì)系統(tǒng)以及上級(jí)行推薦的ACL等輔助審計(jì)工具的使用，通過(guò)計(jì)算機(jī)輔助工具對(duì)人民銀行各類信息系統(tǒng)數(shù)據(jù)進(jìn)行采集、分析、處理，查找異常變動(dòng)或差異，為現(xiàn)場(chǎng)審計(jì)提供線索，提升信息技術(shù)審計(jì)的效率和效果。

3.3 建議上級(jí)行研究開(kāi)發(fā)更加易用、有效的計(jì)算機(jī)輔助系統(tǒng)以及完善信息系統(tǒng)信息技術(shù)審計(jì)數(shù)據(jù)獲取途徑。輔助工具應(yīng)降低對(duì)審計(jì)人員的技術(shù)要求，增強(qiáng)易用性。同時(shí)考慮信息系統(tǒng)的審計(jì)數(shù)據(jù)獲取途徑，為審計(jì)人員提供審計(jì)數(shù)據(jù)提取工具或者接口，對(duì)基礎(chǔ)行審計(jì)人員而言，使計(jì)算機(jī)輔助審計(jì)成為可能。

3.4 加強(qiáng)信息技術(shù)審計(jì)隊(duì)伍建設(shè)。信息技術(shù)審計(jì)對(duì)審計(jì)人員專業(yè)能力提出了很高的要求，這就要求基層行加大對(duì)現(xiàn)有審計(jì)人員的培訓(xùn)力度，鼓勵(lì)審計(jì)人員加強(qiáng)自學(xué)，取得職業(yè)資格，盡可能提升現(xiàn)有審計(jì)人員能力。同時(shí)優(yōu)化信息技術(shù)審計(jì)隊(duì)伍結(jié)構(gòu)，補(bǔ)充具有技術(shù)背景的審計(jì)人員。

[1] 宋東霖. 論信息技術(shù)對(duì)審計(jì)的影響[J].中國(guó)管理信息化. 2016(04)