審計項目的開展?fàn)顩r審計工作初期，根據(jù)內(nèi)審人員隊伍的狀況，確定了以下基本工作方針，即以審計計算機業(yè)務(wù)應(yīng)用系統(tǒng)的操作運行管理情況為突破口，不斷探索信息系統(tǒng)審計方法和內(nèi)容，逐步擴大審計范圍，通過審計，培養(yǎng)人才，鍛煉隊伍。5年來，先后對人行的“中央銀行會計核算系統(tǒng)”、“人民銀行貨幣發(fā)行管理信息系統(tǒng)”、“金融統(tǒng)計監(jiān)測管理信息系統(tǒng)”、“銀行信貸登記咨詢系統(tǒng)”、“國家金庫會計核算系統(tǒng)”、“大額支付系統(tǒng)”等6個重要業(yè)務(wù)應(yīng)用系統(tǒng)的使用和運行管理情況，及其系統(tǒng)內(nèi)部控制功能進(jìn)行了審計。同時，開展了對計算機網(wǎng)絡(luò)及個人辦公計算機聯(lián)網(wǎng)運行管理情況、計算機軟件開發(fā)管理情況、電子化設(shè)備管理情況、計算機機房運行管理情況、國家外匯管理局計算機網(wǎng)絡(luò)及有關(guān)業(yè)務(wù)應(yīng)用系統(tǒng)運行管理情況的審計。

　　上述審計項目的審計范圍涉及了人行計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、重要業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)中心（計算機機房）、軟件開發(fā)、科技管理等方面。在審計過程中，人行內(nèi)審司通過“以查代訓(xùn)”的方式，鍛煉、培養(yǎng)了一支專業(yè)的信息系統(tǒng)審計隊伍。審計人員一方面來自于原內(nèi)審人員，這些人員通過努力學(xué)習(xí)信息技術(shù)方面知識和審計實踐，逐漸掌握了信息系統(tǒng)審計本領(lǐng)。另一方面來自于科技部門或具備一定計算機信息系統(tǒng)方面知識的人員，這些人員通過學(xué)習(xí)、補充審計理論知識，參加審計實踐，學(xué)會了用審慎的目光，從管理控制的角度思考問題。2004年底，人行內(nèi)審司邀請ITGov中國IT治理研究中心（簡稱ITGov）對來自全行各分支機構(gòu)的40名內(nèi)部審計人員參加了為期4天的信息系統(tǒng)審計培訓(xùn)，分理論篇、實務(wù)篇、案例篇三部分講授了信息系統(tǒng)審計國內(nèi)外發(fā)展趨勢、后SOX法案時代內(nèi)部控制與信息系統(tǒng)審計、數(shù)據(jù)庫審計、windows審計、Unix審計、數(shù)據(jù)中心審計、審計管理系統(tǒng)等相關(guān)內(nèi)容，此次培訓(xùn)極大地提高了現(xiàn)有信息技術(shù)審計人員的理論基礎(chǔ)知識，拓展信息系統(tǒng)審計的審計視野，強化信息系統(tǒng)審計中理論與實踐的結(jié)合，全面提升了信息系統(tǒng)審計人員的綜合素質(zhì)。

　　為了更好的了解國際先進(jìn)的IT治理理念，提高人民銀行信息系統(tǒng)審計水平，人行內(nèi)審司同ITGov合作開展了“中國人民銀行IT治理與信息系統(tǒng)審計模型研究”（2004年人行研究局重點課題），對國際通用的IT治理框架和信息系統(tǒng)審計標(biāo)準(zhǔn)“信息與相關(guān)技術(shù)控制目標(biāo)”（COBIT）進(jìn)行深入研究，ITGov憑借自己多年對COBIT的研究，及豐富的資源平臺，高水平、高質(zhì)量地完成了此項研究工作。此研究工作對形成人行信息系統(tǒng)審計評價與判斷標(biāo)準(zhǔn)，完善人行信息系統(tǒng)審計操作規(guī)程，提高人行信息系統(tǒng)審計的技術(shù)和水平，以及對進(jìn)一步改進(jìn)人行信息技術(shù)治理等均具有重大意義。

　　IT審計的要求與內(nèi)容人行IT審計的對象，包括人行各級行以及有關(guān)直屬企事業(yè)單位開發(fā)和使用的計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、信息技術(shù)基礎(chǔ)設(shè)施和系統(tǒng)運行環(huán)境。審計的目標(biāo)是通過實施審計，促進(jìn)、增強和維護(hù)人民銀行計算機信息系統(tǒng)合規(guī)性、安全性、可靠性、有效性。IT審計的總體要求，一是要及時、全面地介入信息系統(tǒng)開發(fā)建設(shè)和內(nèi)部控制機制建立過程，對這一過程發(fā)揮持續(xù)監(jiān)督作用。二是要實行風(fēng)險導(dǎo)向型審計，在對系統(tǒng)所固有的風(fēng)險和系統(tǒng)內(nèi)部控制機制進(jìn)行評估和分析的基礎(chǔ)上，對系統(tǒng)高風(fēng)險和控制環(huán)節(jié)進(jìn)行重點檢查和檢測。三是要充分利用計算機輔助審計技術(shù)，提高內(nèi)審工作的技術(shù)裝備水平增強內(nèi)審人員的信息技術(shù)應(yīng)用能力。四是要在發(fā)揮審計工作查錯防弊保證作用的同時，充分發(fā)揮內(nèi)審管理咨詢作用，使審計工作有效地服務(wù)于人行信息化總體目標(biāo)的實現(xiàn)。人行計算機信息系統(tǒng)的內(nèi)部審計的內(nèi)容，包括計算機信息系統(tǒng)開發(fā)審計、計算機信息系統(tǒng)內(nèi)部控制功能審計、計算機信息系統(tǒng)運行管理審計、計算機基礎(chǔ)設(shè)施管理審計、科技綜合管理審計等五個方面。

　　計算機信息系統(tǒng)開發(fā)審計，主要是軟件開發(fā)項目的組織管理和開發(fā)過程控制等情況。計算機信息系統(tǒng)運行管理審計，內(nèi)容包括有關(guān)制度建設(shè)、系統(tǒng)運行環(huán)境、系統(tǒng)軟件和硬件管理、網(wǎng)絡(luò)和通訊管理、數(shù)據(jù)輸入和輸出管理、病毒防范、防災(zāi)和應(yīng)急管理、系統(tǒng)維護(hù)、系統(tǒng)升級和廢止管理。計算機信息系統(tǒng)內(nèi)部控制功能審計，主要是系統(tǒng)和數(shù)據(jù)的安全控制和對它們的操作控制、審計管理功能設(shè)置等情況。計算機基礎(chǔ)設(shè)施管理審計，內(nèi)容主要包括計算機機房管理、網(wǎng)絡(luò)管理和個人辦公計算機管理情況。對計算機機房管理審計的主要包括機房的門禁系統(tǒng)、供電系統(tǒng)、空調(diào)系統(tǒng)、防災(zāi)措施和防災(zāi)監(jiān)控系統(tǒng)運行和管理情況，機房管理制度的建立、健全和執(zhí)行情況，相關(guān)設(shè)備的運行維護(hù)管理情況；對個人辦公計算機使用和管理審計的主要內(nèi)容是配置、使用、維護(hù)和管理等情況。

　　科技綜合管理情況審計，內(nèi)容主要包括電子化計劃管理、資金管理、設(shè)備管理、外包服務(wù)管理、計算機安全管理等情況。IT審計的程序和方法人行在開展計算機信息系統(tǒng)內(nèi)部審計工作時，除了充分運用審計的一般性方法和技術(shù)手段以外，還根據(jù)信息系統(tǒng)審計工作的特殊性，結(jié)合實際情況，在審計的各個階段，探索并綜合運用一系列特有方法與技術(shù)手段。在審前準(zhǔn)備階段，充分運用審前調(diào)查方法，了解和掌握擬審計信息系統(tǒng)的有關(guān)基本情況；在此工作的基礎(chǔ)上，對擬審計的信息系統(tǒng)固有風(fēng)險進(jìn)行初步分析，并對其內(nèi)部控制機制進(jìn)行初步評估，以確定審計的重點；擬訂詳細(xì)、具體、可操作的審計實施方案。

　　在審計實施階段，對于信息系統(tǒng)開發(fā)審計，主要是通過同步、適時介入開發(fā)過程并對各個關(guān)鍵控制環(huán)節(jié)進(jìn)行監(jiān)督，或者事后查閱有關(guān)審批文件、業(yè)務(wù)需求書、開發(fā)文檔及測試、驗收報告等資料進(jìn)行審計；對于系統(tǒng)運行管理審計，主要是采取現(xiàn)場觀察、上機查看、查閱系統(tǒng)日志、運行維護(hù)記錄、以及有關(guān)業(yè)務(wù)文檔資料等方法進(jìn)行審計；對于系統(tǒng)內(nèi)部控制功能審計，主要是通過搭建系統(tǒng)模擬運行環(huán)境或利用系統(tǒng)備機，采取平行模擬操作、試探性操作等方法，對系統(tǒng)的內(nèi)部控制功能進(jìn)行審計檢測；對于計算機基礎(chǔ)設(shè)施管理和科技綜合管理審計，主要是采取現(xiàn)場觀察或工具測試、文檔和記錄檢查等方法進(jìn)行審計。在評估和分析階段，對于安全性評估，主要包括物理安全、邏輯安全和數(shù)據(jù)安全，分析存在的安全隱患和控制薄弱環(huán)節(jié)；對于可靠性評估，主要包括軟件可靠性和硬件可靠性以及系統(tǒng)可靠性；對于有效性評估，主要包括效益性和效率性，如投資的合理性、性能的高效性、利用的充分性等。

　　在擬定審計報告時，對于審計發(fā)現(xiàn)的問題，作出詳盡的描述和恰當(dāng)?shù)脑u價，并與被審計部門進(jìn)行充分的交流和溝通；內(nèi)審部門在審計報告中準(zhǔn)確描述發(fā)現(xiàn)問題的同時，對已經(jīng)或可能導(dǎo)致的后果或隱患進(jìn)行分析，并指出其嚴(yán)重程度；針對發(fā)現(xiàn)的問題，既提出具體的糾正和改進(jìn)意見，也提出進(jìn)一步完善和提高的建議。IT審計初顯成效通過審計，人行各級機構(gòu)充分認(rèn)識到了計算機信息系統(tǒng)審計的重要性，各分行設(shè)置了相應(yīng)機構(gòu)，配備了必要的人員和設(shè)備，把信息系統(tǒng)的開發(fā)應(yīng)用與管理、監(jiān)督和審計工作放在同等主要的位置，提高了總行有關(guān)部門和分支行對加強信息化建設(shè)的管理和保障計算機信息系統(tǒng)安全、穩(wěn)定運行必要性的認(rèn)識。

　　通過審計，人行在計算機機房安全管理方面，計算機、網(wǎng)絡(luò)系統(tǒng)運行維護(hù)和安全管理方面，業(yè)務(wù)應(yīng)用系統(tǒng)的使用、操作和內(nèi)部控制功能方面，軟件開發(fā)管理方面，以及應(yīng)急措施、文檔管理等相關(guān)科技綜合管理方面，發(fā)現(xiàn)了一些問題、安全漏洞和風(fēng)險隱患，有關(guān)部門根據(jù)審計意見和建議，進(jìn)行了認(rèn)真整改。通過審計，還進(jìn)一步加強了人行計算機信息系統(tǒng)有關(guān)內(nèi)部控制和風(fēng)險管理，推動了人行信息化工作管理規(guī)章制度的建設(shè)，建立健全了信息化建設(shè)過程關(guān)鍵控制環(huán)節(jié)的管理辦法，為實施信息化管理提供了制度保障；建立監(jiān)督檢查機制，提高了落實和執(zhí)行規(guī)章制度的自覺性；進(jìn)一步增強了機房、網(wǎng)絡(luò)等信息技術(shù)基礎(chǔ)設(shè)施的可靠運行和安全防護(hù)能力，降低了信息技術(shù)帶來的風(fēng)險隱患，減少了系統(tǒng)運行、管理方面的安全漏洞；規(guī)范了計算機信息系統(tǒng)的運行、維護(hù)、使用、操作管理，加強了對軟件開發(fā)項目管理和軟件開發(fā)過程的控制，為保障人行計算機信息系統(tǒng)的穩(wěn)定運行和信息資產(chǎn)的安全發(fā)揮了作用，促進(jìn)了人行信息化建設(shè)的健康發(fā)展。（作者單位為中國人民銀行內(nèi)審司）