中國人民銀行信息系統(tǒng)審計探索
人民銀行的信息系統(tǒng)審計工作開始于2000年,同年,在人行內(nèi)審司設(shè)置了相應(yīng)職能機構(gòu),負(fù)責(zé)人行系統(tǒng)的信息系統(tǒng)審計工作的組織和開展。為了能夠有效開展計算機信息系統(tǒng)內(nèi)部審計工作,規(guī)范信息系統(tǒng)審計行為,根據(jù)人行
人民銀行的信息系統(tǒng)審計工作開始于2000年,同年,在人行內(nèi)審司設(shè)置了相應(yīng)職能機構(gòu),負(fù)責(zé)人行系統(tǒng)的信息系統(tǒng)審計工作的組織和開展。為了能夠有效開展計算機信息系統(tǒng)內(nèi)部審計工作,規(guī)范信息系統(tǒng)審計行為,根據(jù)人行內(nèi)審工作制度,內(nèi)審司先后制定了《中國人民銀行計算機信息系統(tǒng)監(jiān)督檢查工作暫行規(guī)定》、《中國人民銀行關(guān)于加強計算機信息系統(tǒng)內(nèi)部審計工作的指導(dǎo)意見》和《中國人民銀行計算機信息系統(tǒng)內(nèi)部審計規(guī)程》等制度條例。如今,這三項制度已成為人行信息系統(tǒng)審計工作的重要指南,是人行開展信息系統(tǒng)審計工作的重要保障。
審計項目的開展?fàn)顩r審計工作初期,根據(jù)內(nèi)審人員隊伍的狀況,確定了以下基本工作方針,即以審計計算機業(yè)務(wù)應(yīng)用系統(tǒng)的操作運行管理情況為突破口,不斷探索信息系統(tǒng)審計方法和內(nèi)容,逐步擴大審計范圍,通過審計,培養(yǎng)人才,鍛煉隊伍。5年來,先后對人行的“中央銀行會計核算系統(tǒng)”、“人民銀行貨幣發(fā)行管理信息系統(tǒng)”、“金融統(tǒng)計監(jiān)測管理信息系統(tǒng)”、“銀行信貸登記咨詢系統(tǒng)”、“國家金庫會計核算系統(tǒng)”、“大額支付系統(tǒng)”等6個重要業(yè)務(wù)應(yīng)用系統(tǒng)的使用和運行管理情況,及其系統(tǒng)內(nèi)部控制功能進(jìn)行了審計。同時,開展了對計算機網(wǎng)絡(luò)及個人辦公計算機聯(lián)網(wǎng)運行管理情況、計算機軟件開發(fā)管理情況、電子化設(shè)備管理情況、計算機機房運行管理情況、國家外匯管理局計算機網(wǎng)絡(luò)及有關(guān)業(yè)務(wù)應(yīng)用系統(tǒng)運行管理情況的審計。
上述審計項目的審計范圍涉及了人行計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、重要業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)中心(計算機機房)、軟件開發(fā)、科技管理等方面。在審計過程中,人行內(nèi)審司通過“以查代訓(xùn)”的方式,鍛煉、培養(yǎng)了一支專業(yè)的信息系統(tǒng)審計隊伍。審計人員一方面來自于原內(nèi)審人員,這些人員通過努力學(xué)習(xí)信息技術(shù)方面知識和審計實踐,逐漸掌握了信息系統(tǒng)審計本領(lǐng)。另一方面來自于科技部門或具備一定計算機信息系統(tǒng)方面知識的人員,這些人員通過學(xué)習(xí)、補充審計理論知識,參加審計實踐,學(xué)會了用審慎的目光,從管理控制的角度思考問題。2004年底,人行內(nèi)審司邀請ITGov中國IT治理研究中心(簡稱ITGov)對來自全行各分支機構(gòu)的40名內(nèi)部審計人員參加了為期4天的信息系統(tǒng)審計培訓(xùn),分理論篇、實務(wù)篇、案例篇三部分講授了信息系統(tǒng)審計國內(nèi)外發(fā)展趨勢、后SOX法案時代內(nèi)部控制與信息系統(tǒng)審計、數(shù)據(jù)庫審計、windows審計、Unix審計、數(shù)據(jù)中心審計、審計管理系統(tǒng)等相關(guān)內(nèi)容,此次培訓(xùn)極大地提高了現(xiàn)有信息技術(shù)審計人員的理論基礎(chǔ)知識,拓展信息系統(tǒng)審計的審計視野,強化信息系統(tǒng)審計中理論與實踐的結(jié)合,全面提升了信息系統(tǒng)審計人員的綜合素質(zhì)。
為了更好的了解國際先進(jìn)的IT治理理念,提高人民銀行信息系統(tǒng)審計水平,人行內(nèi)審司同ITGov合作開展了“中國人民銀行IT治理與信息系統(tǒng)審計模型研究”(2004年人行研究局重點課題),對國際通用的IT治理框架和信息系統(tǒng)審計標(biāo)準(zhǔn)“信息與相關(guān)技術(shù)控制目標(biāo)”(COBIT)進(jìn)行深入研究,ITGov憑借自己多年對COBIT的研究,及豐富的資源平臺,高水平、高質(zhì)量地完成了此項研究工作。此研究工作對形成人行信息系統(tǒng)審計評價與判斷標(biāo)準(zhǔn),完善人行信息系統(tǒng)審計操作規(guī)程,提高人行信息系統(tǒng)審計的技術(shù)和水平,以及對進(jìn)一步改進(jìn)人行信息技術(shù)治理等均具有重大意義。
IT審計的要求與內(nèi)容人行IT審計的對象,包括人行各級行以及有關(guān)直屬企事業(yè)單位開發(fā)和使用的計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、信息技術(shù)基礎(chǔ)設(shè)施和系統(tǒng)運行環(huán)境。審計的目標(biāo)是通過實施審計,促進(jìn)、增強和維護(hù)人民銀行計算機信息系統(tǒng)合規(guī)性、安全性、可靠性、有效性。IT審計的總體要求,一是要及時、全面地介入信息系統(tǒng)開發(fā)建設(shè)和內(nèi)部控制機制建立過程,對這一過程發(fā)揮持續(xù)監(jiān)督作用。二是要實行風(fēng)險導(dǎo)向型審計,在對系統(tǒng)所固有的風(fēng)險和系統(tǒng)內(nèi)部控制機制進(jìn)行評估和分析的基礎(chǔ)上,對系統(tǒng)高風(fēng)險和控制環(huán)節(jié)進(jìn)行重點檢查和檢測。三是要充分利用計算機輔助審計技術(shù),提高內(nèi)審工作的技術(shù)裝備水平增強內(nèi)審人員的信息技術(shù)應(yīng)用能力。四是要在發(fā)揮審計工作查錯防弊保證作用的同時,充分發(fā)揮內(nèi)審管理咨詢作用,使審計工作有效地服務(wù)于人行信息化總體目標(biāo)的實現(xiàn)。人行計算機信息系統(tǒng)的內(nèi)部審計的內(nèi)容,包括計算機信息系統(tǒng)開發(fā)審計、計算機信息系統(tǒng)內(nèi)部控制功能審計、計算機信息系統(tǒng)運行管理審計、計算機基礎(chǔ)設(shè)施管理審計、科技綜合管理審計等五個方面。
計算機信息系統(tǒng)開發(fā)審計,主要是軟件開發(fā)項目的組織管理和開發(fā)過程控制等情況。計算機信息系統(tǒng)運行管理審計,內(nèi)容包括有關(guān)制度建設(shè)、系統(tǒng)運行環(huán)境、系統(tǒng)軟件和硬件管理、網(wǎng)絡(luò)和通訊管理、數(shù)據(jù)輸入和輸出管理、病毒防范、防災(zāi)和應(yīng)急管理、系統(tǒng)維護(hù)、系統(tǒng)升級和廢止管理。計算機信息系統(tǒng)內(nèi)部控制功能審計,主要是系統(tǒng)和數(shù)據(jù)的安全控制和對它們的操作控制、審計管理功能設(shè)置等情況。計算機基礎(chǔ)設(shè)施管理審計,內(nèi)容主要包括計算機機房管理、網(wǎng)絡(luò)管理和個人辦公計算機管理情況。對計算機機房管理審計的主要包括機房的門禁系統(tǒng)、供電系統(tǒng)、空調(diào)系統(tǒng)、防災(zāi)措施和防災(zāi)監(jiān)控系統(tǒng)運行和管理情況,機房管理制度的建立、健全和執(zhí)行情況,相關(guān)設(shè)備的運行維護(hù)管理情況;對個人辦公計算機使用和管理審計的主要內(nèi)容是配置、使用、維護(hù)和管理等情況。
科技綜合管理情況審計,內(nèi)容主要包括電子化計劃管理、資金管理、設(shè)備管理、外包服務(wù)管理、計算機安全管理等情況。IT審計的程序和方法人行在開展計算機信息系統(tǒng)內(nèi)部審計工作時,除了充分運用審計的一般性方法和技術(shù)手段以外,還根據(jù)信息系統(tǒng)審計工作的特殊性,結(jié)合實際情況,在審計的各個階段,探索并綜合運用一系列特有方法與技術(shù)手段。在審前準(zhǔn)備階段,充分運用審前調(diào)查方法,了解和掌握擬審計信息系統(tǒng)的有關(guān)基本情況;在此工作的基礎(chǔ)上,對擬審計的信息系統(tǒng)固有風(fēng)險進(jìn)行初步分析,并對其內(nèi)部控制機制進(jìn)行初步評估,以確定審計的重點;擬訂詳細(xì)、具體、可操作的審計實施方案。
在審計實施階段,對于信息系統(tǒng)開發(fā)審計,主要是通過同步、適時介入開發(fā)過程并對各個關(guān)鍵控制環(huán)節(jié)進(jìn)行監(jiān)督,或者事后查閱有關(guān)審批文件、業(yè)務(wù)需求書、開發(fā)文檔及測試、驗收報告等資料進(jìn)行審計;對于系統(tǒng)運行管理審計,主要是采取現(xiàn)場觀察、上機查看、查閱系統(tǒng)日志、運行維護(hù)記錄、以及有關(guān)業(yè)務(wù)文檔資料等方法進(jìn)行審計;對于系統(tǒng)內(nèi)部控制功能審計,主要是通過搭建系統(tǒng)模擬運行環(huán)境或利用系統(tǒng)備機,采取平行模擬操作、試探性操作等方法,對系統(tǒng)的內(nèi)部控制功能進(jìn)行審計檢測;對于計算機基礎(chǔ)設(shè)施管理和科技綜合管理審計,主要是采取現(xiàn)場觀察或工具測試、文檔和記錄檢查等方法進(jìn)行審計。在評估和分析階段,對于安全性評估,主要包括物理安全、邏輯安全和數(shù)據(jù)安全,分析存在的安全隱患和控制薄弱環(huán)節(jié);對于可靠性評估,主要包括軟件可靠性和硬件可靠性以及系統(tǒng)可靠性;對于有效性評估,主要包括效益性和效率性,如投資的合理性、性能的高效性、利用的充分性等。
在擬定審計報告時,對于審計發(fā)現(xiàn)的問題,作出詳盡的描述和恰當(dāng)?shù)脑u價,并與被審計部門進(jìn)行充分的交流和溝通;內(nèi)審部門在審計報告中準(zhǔn)確描述發(fā)現(xiàn)問題的同時,對已經(jīng)或可能導(dǎo)致的后果或隱患進(jìn)行分析,并指出其嚴(yán)重程度;針對發(fā)現(xiàn)的問題,既提出具體的糾正和改進(jìn)意見,也提出進(jìn)一步完善和提高的建議。IT審計初顯成效通過審計,人行各級機構(gòu)充分認(rèn)識到了計算機信息系統(tǒng)審計的重要性,各分行設(shè)置了相應(yīng)機構(gòu),配備了必要的人員和設(shè)備,把信息系統(tǒng)的開發(fā)應(yīng)用與管理、監(jiān)督和審計工作放在同等主要的位置,提高了總行有關(guān)部門和分支行對加強信息化建設(shè)的管理和保障計算機信息系統(tǒng)安全、穩(wěn)定運行必要性的認(rèn)識。
通過審計,人行在計算機機房安全管理方面,計算機、網(wǎng)絡(luò)系統(tǒng)運行維護(hù)和安全管理方面,業(yè)務(wù)應(yīng)用系統(tǒng)的使用、操作和內(nèi)部控制功能方面,軟件開發(fā)管理方面,以及應(yīng)急措施、文檔管理等相關(guān)科技綜合管理方面,發(fā)現(xiàn)了一些問題、安全漏洞和風(fēng)險隱患,有關(guān)部門根據(jù)審計意見和建議,進(jìn)行了認(rèn)真整改。通過審計,還進(jìn)一步加強了人行計算機信息系統(tǒng)有關(guān)內(nèi)部控制和風(fēng)險管理,推動了人行信息化工作管理規(guī)章制度的建設(shè),建立健全了信息化建設(shè)過程關(guān)鍵控制環(huán)節(jié)的管理辦法,為實施信息化管理提供了制度保障;建立監(jiān)督檢查機制,提高了落實和執(zhí)行規(guī)章制度的自覺性;進(jìn)一步增強了機房、網(wǎng)絡(luò)等信息技術(shù)基礎(chǔ)設(shè)施的可靠運行和安全防護(hù)能力,降低了信息技術(shù)帶來的風(fēng)險隱患,減少了系統(tǒng)運行、管理方面的安全漏洞;規(guī)范了計算機信息系統(tǒng)的運行、維護(hù)、使用、操作管理,加強了對軟件開發(fā)項目管理和軟件開發(fā)過程的控制,為保障人行計算機信息系統(tǒng)的穩(wěn)定運行和信息資產(chǎn)的安全發(fā)揮了作用,促進(jìn)了人行信息化建設(shè)的健康發(fā)展。(作者單位為中國人民銀行內(nèi)審司)
免責(zé)聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
-
電動車產(chǎn)業(yè)紅利不好接?看看這四條缺了什么?
-
樂視網(wǎng)復(fù)牌首日即跌停 FF、Lucid、樂視汽車要被轉(zhuǎn)讓抵債?
-
科技部發(fā)布國家重點實驗室2018年度評估工作的通知 多項電力研究實驗室入圍
-
科技部發(fā)布國家重點實驗室2018年度評估工作的通知 多項電力研究實驗室入圍
-
2017年中國新能源重點細(xì)分行業(yè)發(fā)展現(xiàn)狀、新能源行業(yè)發(fā)展趨勢及投資前景分析【圖】
-
電力轉(zhuǎn)型是推動能源轉(zhuǎn)型的關(guān)鍵
-
湖北2017年電力運行情況:直接交易完成簽約電量351.44億千瓦時
-
河南12月全社會用電量275.86億千瓦時 同比增長0.77%
-
成交電量923億!河南年度雙邊協(xié)商交易競爭刷新紀(jì)錄 實現(xiàn)開門紅
-
微網(wǎng)工程設(shè)計解析:并網(wǎng)型微電網(wǎng)建設(shè)規(guī)模分析
-
全面解析微電網(wǎng)結(jié)構(gòu)與發(fā)展趨勢(附五大案例與經(jīng)濟效益分析)
-
售電必備 | 聚焦2018年增量配電網(wǎng)的六大熱點問題
-
安徽電力直接交易執(zhí)行、出清細(xì)則和電力市場電量結(jié)算規(guī)則發(fā)布
-
電網(wǎng)經(jīng)營行業(yè)產(chǎn)品成本核算制度印發(fā):有配電業(yè)務(wù)的售電公司參照執(zhí)行
-
遼寧對居民電采暖用戶試行峰谷分時電價政策
-
預(yù)計南方五省區(qū)2018年用電保持中速增長:南方電網(wǎng)將多措并舉 全力保障電力供應(yīng)平穩(wěn)有序
-
財政部發(fā)布:電網(wǎng)經(jīng)營行業(yè)產(chǎn)品成本核算制度
-
聚焦:貴州電力市場陷入僵局 大云網(wǎng)電力分析師邀您觀望