人民銀行開展計算機信息系統(tǒng)審計的實踐與思考
2004-12-02 00:00 來源:中國人民銀行濟南分行·王寶運
人民銀行以會計電算化為起點進行電子化建設(shè)���,信息技術(shù)的應(yīng)用已經(jīng)覆蓋貨幣政策���、金融監(jiān)管、金融服務(wù)和內(nèi)部管理等各個領(lǐng)域���,各項工作已基本實現(xiàn)電子化����。在計算機信息系統(tǒng)的迅速發(fā)展和廣泛應(yīng)用的同時���,也帶來了難以想象的金融科技風險���。這種情況下,作為監(jiān)督部門的內(nèi)審部門����,在加強計算機信息系統(tǒng)審計,促進計算機信息系統(tǒng)的安全有效運行等方面����,無疑起到了重要作用。
一����、人民銀行開展計算機信息系統(tǒng)審計的主要做法1���、確定審計對象。人民銀行計算機信息系統(tǒng)審計的對象主要是人民銀行各級行以及有關(guān)直屬企事業(yè)單位開發(fā)和使用的計算機網(wǎng)絡(luò)系統(tǒng)���、支付清算系統(tǒng)����、業(yè)務(wù)應(yīng)用系統(tǒng)����、管理信息系統(tǒng)和辦公自動化系統(tǒng)。
2����、確立審計目標。人民銀行計算機信息系統(tǒng)審計的目標是通過實施審計���,促進、增強和維護人民銀行計算機信息系統(tǒng)合規(guī)性����、安全性����、可靠性和有效性���。合規(guī)性是指系統(tǒng)開發(fā)過程����、內(nèi)部控制功能以及系統(tǒng)管理應(yīng)用����、使用和維護等符合有關(guān)法規(guī)和制度;安全性是指系統(tǒng)硬件和相關(guān)設(shè)施的物理安全����、軟件的邏輯安全以及有關(guān)數(shù)據(jù)文件的安全;可靠性是指系統(tǒng)運行穩(wěn)定���、易于維護���、恢復(fù)以及系統(tǒng)輸入、處理和輸出數(shù)據(jù)的及時����、準確和完整����;有效性是指有關(guān)財力����、人力資源和系統(tǒng)硬件、軟件資源的充分利用����,以及系統(tǒng)目標的充分有效實現(xiàn)。
3���、提出審計的總體要求���。人民銀行計算機信息系統(tǒng)審計的總體要求是:一是要及時、全面地介入系統(tǒng)開發(fā)建設(shè)和內(nèi)部控制機制建立過程���,對這一過程發(fā)揮持續(xù)監(jiān)督作用���;二是要實行風險導向型審計,在對系統(tǒng)固有風險和系統(tǒng)內(nèi)部控制機制進行評估和分析的基礎(chǔ)上����,對高風險系統(tǒng)和重要控制環(huán)節(jié)進行重點檢查和監(jiān)測:三是要充分利用計算機輔助審計技術(shù),提高內(nèi)審工作的技術(shù)裝備水平���,增強內(nèi)審人員的信息技術(shù)應(yīng)用能力����;四是要在發(fā)揮內(nèi)審工作查錯防弊作用的同時���,充分發(fā)揮其管理咨詢作用���,使審計工作有效地服務(wù)于人民銀行信息化總體目標的實現(xiàn)。
4���、明確審計的主要內(nèi)容����。人民銀行計算機信息系統(tǒng)審計的主要內(nèi)容包括:(1)計算機系統(tǒng)開發(fā)審計����。主要包括:系統(tǒng)開發(fā)計劃和立項管理、可行性分析����、開發(fā)組織管理����、委托開發(fā)管理����、系統(tǒng)需求、系統(tǒng)分析���、系統(tǒng)設(shè)計���、系統(tǒng)測試、數(shù)據(jù)遷移���、系統(tǒng)試運行����、系統(tǒng)驗收等����。(2)計算機信息系統(tǒng)運行審計。主要包括:有關(guān)制度建設(shè)���、崗位設(shè)置和人員管理���、系統(tǒng)運行環(huán)境���、系統(tǒng)軟件和硬件管理����、網(wǎng)絡(luò)和通訊管理、口令管理����、數(shù)據(jù)輸入和輸出管理、病毒防范����、防災(zāi)和應(yīng)急管理、系統(tǒng)維護���、系統(tǒng)升級和廢止管理等����。(3)計算機信息系統(tǒng)內(nèi)部控制功能審計���。主要包括:系統(tǒng)訪問控制���、權(quán)限控制���、數(shù)據(jù)輸入控制、數(shù)據(jù)處理控制���、數(shù)據(jù)輸出控制���、數(shù)據(jù)傳輸控制、數(shù)據(jù)庫控制���、日志文件控制���、數(shù)據(jù)備份與恢復(fù)控制功能等。(4)計算機基礎(chǔ)設(shè)施管理審計����。主要包括:計算機機房管理、網(wǎng)絡(luò)管理和個人辦公計算機管理情況���。對計算機機房管理審計的檢查內(nèi)容包括:機房的門禁系統(tǒng)����、供電系統(tǒng)、空調(diào)系統(tǒng)���、防災(zāi)措施和防災(zāi)監(jiān)控系統(tǒng)的運行和管理情況����,機房管理制度的建立����、健全和執(zhí)行情況����,相關(guān)設(shè)備的運行維護管理等;對網(wǎng)絡(luò)管理審計的主要內(nèi)容包括:網(wǎng)絡(luò)整體結(jié)構(gòu)設(shè)計的合理性���、網(wǎng)絡(luò)承載能力���、安全保護能力、持續(xù)穩(wěn)定運行能力���,網(wǎng)絡(luò)管理���、維護制度和措施的建立����、健全和執(zhí)行情況等���;對個人辦公計算機的使用和管理審計的主要內(nèi)容是計算機的配置���、使用、維護管理等����。(5)科技綜合管理情況審計。主要包括:電子化計劃管理����、資金管理、設(shè)備管理���、計算機安全管理等情況���。
二、對計算機信息系統(tǒng)審計的進一步思考1���、審計部門應(yīng)該把計算機信息系統(tǒng)審計作為審計工作的重要內(nèi)容����。隨著信息技術(shù)的發(fā)展,信息技術(shù)已經(jīng)逐漸滲透到組織機構(gòu)運行和管理的各個方面���。邏輯上講����,如果各業(yè)務(wù)部門普遍采用計算機信息系統(tǒng)處理業(yè)務(wù)����,而審計人員在進行審計時����,沒有對業(yè)務(wù)部門應(yīng)用的計算機信息系統(tǒng)進行測試和審計,那么審計得出結(jié)論的可靠性就要受到質(zhì)疑���。在審計領(lǐng)域���,無論是財務(wù)審計還是管理審計,都已經(jīng)無法與信息系統(tǒng)審計截然分開����,今后計算機信息系統(tǒng)審計必將成為審計工作的重要內(nèi)容���。
2、以計算機信息系統(tǒng)審計為基礎(chǔ)���,不斷探索計算機信息技術(shù)審計的內(nèi)容����。在西方發(fā)達國家���,計算機信息技術(shù)審計的發(fā)展大體經(jīng)歷了以電子數(shù)據(jù)處理系統(tǒng)(EDP)審計為基礎(chǔ)����、以計算機信息系統(tǒng)為中心的審計階段和計算機信息技術(shù)審計階段���。早期的EDP審計和信息系統(tǒng)審計主要是為滿足對財務(wù)電算化系統(tǒng)進行審計的需要���,審計的方法是在傳統(tǒng)審計的基礎(chǔ)上,結(jié)合了信息系統(tǒng)管理���、行為科學和計算機等方面的知識���,是一種以信息系統(tǒng)為中心的審計���,一般定義為信息系統(tǒng)審計。隨著信息技術(shù)的發(fā)展����,信息技術(shù)的應(yīng)用越來越復(fù)雜,技術(shù)的更新和變化也越來越快����,傳統(tǒng)的審計人員和審計方法不能滿足計算機信息技術(shù)審計的需要。特別是隨著網(wǎng)絡(luò)應(yīng)用的興起���,對網(wǎng)絡(luò)系統(tǒng)安全的要求更為嚴格����,對計算機安全的研究逐漸發(fā)展成為一個獨立的學術(shù)領(lǐng)域���,相應(yīng)的審計領(lǐng)域,信息技術(shù)審計也從傳統(tǒng)的審計業(yè)務(wù)中分離出來���,形成針對計算機安全進行審計的一種獨立審計類型����。計算機信息技術(shù)審計是一項專業(yè)性很強的工作,需要信息安全專家����、網(wǎng)絡(luò)及通訊專家、業(yè)務(wù)應(yīng)用系統(tǒng)專家的密切配合���。目前����,我國的計算機審計基本上處于電子數(shù)據(jù)的收集和分析階段����,處于起步階段的計算機信息技術(shù)審計應(yīng)以業(yè)務(wù)應(yīng)用系統(tǒng)為中心,對業(yè)務(wù)應(yīng)用系統(tǒng)進行全方位審計���,審計的目的應(yīng)兼顧安全性����、效益性����、合規(guī)性和可靠性���。隨著信息技術(shù)審計工作的不斷開展,信息技術(shù)審計應(yīng)該在計算機信息系統(tǒng)審計的基礎(chǔ)上����,向以保證組織網(wǎng)絡(luò)與信息的安全方向發(fā)展,充分發(fā)揮計算機信息技術(shù)審計技術(shù)性強���、專業(yè)水平高的特點���。
3、重視對計算機信息系統(tǒng)的開發(fā)審計���,對計算機信息系統(tǒng)開發(fā)整個過程進行監(jiān)督���。由于計算機信息系統(tǒng)建設(shè)投資大、周期長����、投入運行后改變成本高等特點���,計算機信息系統(tǒng)審計必須提前介入����,在系統(tǒng)開發(fā)建設(shè)的過程中進行審計。提前介入的最大優(yōu)點是能夠及時發(fā)現(xiàn)計算機信息系統(tǒng)的缺陷和漏洞����,一定程度上避免系統(tǒng)投入運行后出現(xiàn)重大問題,降低系統(tǒng)運行成本����。同時對負責系統(tǒng)開發(fā)的管理部門特殊權(quán)力的制約,也要求對系統(tǒng)的開發(fā)管理進行審計����。計算機信息系統(tǒng)的開發(fā)、購買����、轉(zhuǎn)讓、重大修改和退出要置于審計的有效監(jiān)督之下����。審計部門要定期參加系統(tǒng)開發(fā)的各種會議,了解系統(tǒng)開發(fā)的進展���,保證計算機信息系統(tǒng)開發(fā)的過程遵循組織的政策和程序����。提前介入的前提除了審計師必須具備提前介入的知識和能力以外,還要求系統(tǒng)開發(fā)和應(yīng)用部門必須與審計部門建立密切的溝通渠道和協(xié)調(diào)的工作關(guān)系���。
4���、重視計算機信息系統(tǒng)審計人才的培養(yǎng),不斷提高其審計技能���。計算機信息系統(tǒng)審計對審計人員的專業(yè)技能要求較高����,除了需要審計人員具備相應(yīng)的審計技能外���,還要具備較高的計算機水平���。計算機信息系統(tǒng)審計人員的獲得有兩個渠道,一是在配備人員時就將計算機技能作為一個必要條件����,在實際工作中不斷培養(yǎng)其審計技能���;二是對現(xiàn)有審計人員進行計算機知識的培訓���,增強其信息技術(shù)審計能力����。由于計算機技術(shù)涉及的范圍廣����、技術(shù)復(fù)雜性強、計算機信息技術(shù)快速發(fā)展的特點���,決定了不論以何種方式獲得的信息技術(shù)審計人員����,都要對其進行持續(xù)不斷的后續(xù)教育����。
