信息技術在銀行業的廣泛應用,極大地推動了銀行業的發展。到2000年底,人民銀行系統基本實現了電子化,初步形成了中央銀行現代化技術服務體系。信息技術在大大提高工作效率和質量的同時,也產生了一系列風險問題。如何做好信息技術審計,促進人民銀行計算機信息系統合規、安全、可靠、有效運行,便成為人民銀行內審部門的一項重要課題。
一、人民銀行信息技術審計發展情況
人民銀行內審司自1998年成立以來,針對信息技術廣泛應用的實際情況,積極探索開展信息技術審計。經過十多年的實踐發展,人民銀行信息技術審計在機構和人員配置、審計工作開展、規章制度建立及內審信息化建設方面都有了長足發展。
(一)機構和人員配置方面
2000年8月,人民銀行系統在貴陽召開了首屆信息技術審計工作座談會。2001年,內審司專門設立了信息技術審計處。此后,人民銀行各分支機構內審部門相繼設置了信息技術審計科(室)或信息技術審計崗,明確了科室(崗位)職責、優化了人員配置,確定了信息技術審計的定位和方式方法,使信息技術審計逐步規范化、日常化。
(二)審計工作開展情況
從2001年開始,人民銀行各級分支機構先后對人民銀行會計核算、統計監測、國庫業務、貨幣發行、信貸登記、大額支付等信息系統以及外匯局有關計算機網絡和業務系統進行了審計。2004年以來,人民銀行加大了對信息技術基礎設施審計的力度,開展了機房、局域網、數據庫管理等專項審計,還開展了科技服務外包、信息系統應急預案管理等審計。2009年,人民銀行總行統一組織53家機構開展了信息技術應用和系統運行管理專項審計;2010年,人民銀行全系統共對72家分支機構進行了信息技術應用與系統運行管理專項審計,此項審計的開展使人民銀行信息技術審計由單項審計走向全面審計,整體水平上了新臺階。
(三)規章制度建立方面
在信息技術審計全面開展以前,人民銀行總行通過借鑒和探索,2001年出臺了《中國人民銀行計算機信息系統內審監督檢查工作暫行規定》,2003年又制定了《中國人民銀行關于加強計算機信息系統內部審計工作的指導意見》和《中國人民銀行計算機信息系統內部審計規程(試行)》等規章制度,對信息技術審計的對象、內容、程序與方法等做出了統一規定。
(四)信息化建設方面
人民銀行十分注重內審信息化建設。2007年,總行內審司在分支行原有成果的基礎上,組織開發完成了《內審依據電子手冊》,為內審人員學習和工作提供了方便。2009年,總行內審司完成了“人民銀行內審業務綜合管理系統”的試運行和推廣工作,應用范圍已覆蓋所有地市中支以上的單位,大大提高了審計工作的規范化和標準化。同年,總行內審司購買了ACL審計軟件,在有關審計中應用ACL對國庫業務進行了審計,促進了計算機輔助審計手段在人民銀行信息技術審計中的應用。
二、基層央行信息技術審計中存在的問題
從近幾年的實踐看,人民銀行信息技術審計工作正逐步走向規范化,在加強人民銀行內部控制建設,防范風險等方面發揮了積極作用,但是由于信息技術審計在人民銀行還處于探索完善階段,在實際工作中還存在一定問題。
(一)思想認識不到位制約信息技術審計的發展
部分審計人員對信息技術審計的重要性認識不足,認為由上級行組織開發的信息系統絕對是安全可靠的,即使系統本身存在缺陷,也不屬于基層央行處理范圍。審計觀念滯后,一定程度上阻礙了基層央行信息技術審計的應用與發展。同時,基層央行雖然成立了計算機安全管理工作領導小組,但個別領導對系統存在的風險認識不足,對信息技術審計也沒有給予足夠的重視與支持,不利于信息技術審計的發展。
(二)系統推廣與審計工作脫節,信息技術審計介入滯后
信息技術審計需要審計人員對系統功能、層次架構和技術細節等方面有很深的了解,是一項專業性很強的工作。目前,人民銀行系統的大部分信息系統都是由總行科技司統一規劃、研發,然后在全國范圍內推廣,而信息系統從設計開發、安裝調試到推廣建設以及內控約束機制的設計和運行維護管理等工作基本上都是由科技部門和業務部門聯合實施的,整個過程缺乏內審部門的介入和參與。業務人員在提出應用系統的需求時,只是根據自己的工作需要提出要求;科技人員在開發系統時,也只是簡單地滿足業務人員提出的需要,并沒有考慮審計人員的需求,在編寫程序時沒有給審計人員預留接口,導致信息技術事前、事中審計不易開展,大大降低了信息技術審計的審計效率和效果。
(三)信息技術審計工作的內容、手段和方式有待完善
一是基層央行信息技術審計仍以合規性審計為主,側重于內控制度的建立執行情況、基礎設施管理情況、系統管理使用等方面,審計層次較低。二是由于部門間協調不足、技術力量薄弱等原因,審計方法以面談法、觀察法、問卷調查法、查閱文檔資料等外圍審計方法為主,而計算機系統內部運行安全性審計常用的計算機輔助審計技術方法,如審計軟件法、數據檢測法、嵌入審計模塊法等在基層央行審計實踐中卻很少用到,信息技術審計的實際效果大打折扣。三是內審部門未實現與其他部門聯網,無法從系統處理過程中發現風險苗頭,以此來確定審計對象和目標,從而浪費了自身和被審計部門的時間。
(四)信息技術審計的規范化、標準化滯后
信息技術的應用推廣使得舊有的某些審計規章制度已不能完全指導和規范信息技術審計實踐,而內審部門也缺少對有關信息技術審計實踐經驗的總結,不能系統有效地將有關概念、工作流程和技術方法歸納起來,形成詳實可行的審計工作指引。同時,部分業務電子化進程加快,而相關管理規定未能及時出臺或完善,使得內審部門在實際工作中沒有明確的審計標準,審計依據也比較缺乏。
(五)復合型人才短缺,培訓模式單一
信息技術審計工作專業性強、涉及面廣,它要求審計人員不僅有較強的計算機知識,而且要熟悉人民銀行的各項業務。目前,基層央行的大多數審計人員尚未完成實施信息技術審計必需的知識和技術轉型,隊伍建設總體上無法滿足信息技術審計工作發展的需要。近年來,人民銀行系統雖然加大了對審計人員信息技術審計培訓的力度,但是培訓模式相對單一,培訓名額較少,且受訓人員的自身素質及接受水平對本單位開展再培訓也有一定的影響。同時,各業務部門開展業務系統推廣使用、升級等培訓時也是以本專業人員為主,內審人員無法參與其中,很難獲得相關最新知識,影響了審計效果。
三、進一步完善基層央行信息技術審計的建議
(一)提高風險意識,加強對信息技術審計重要性認識
內審人員要提高風險意識,轉變觀念,正確認識信息技術審計。一是要樹立服務意識,提高審計成果利用率。針對審計中發現的風險隱患,與被審部門共同分析問題成因,為相關部門加強管理提供建議。二是要樹立全程跟蹤、整體審計的觀念。審計人員要參與到信息系統的設計和開發中,將信息技術審計和風險評估相結合,適時調整審計重點,真正做到信息系統的事前、事中和事后審計相結合,逐步向風險導向型審計轉變。同時,基層央行領導對信息技術審計應給予更多的關心與重視,加大人力、技術、資金等各類資源的投入,樹立起信息技術審計的權威性,保證此項工作的順利開展。
(二)建立部門間溝通協調機制,強化事前、事中審計
由于計算機信息系統建設投資大、建設周期長、投入運行后改變成本高,所以內審部門應該提前介入,對新系統的立項、開發、測試和驗收等階段進行全過程監督審計,強化事前、事中審計,從而完善審計內容,有效節約審計資源、提高審計效率。通過事前介入,內審人員可以及時提出審計業務的功能需求,要求科技人員編寫程序時給審計人員預留接口,特別是要求系統最大限度地留下業務人員操作和業務處理流程的痕跡,為審計人員留下充分的審計線索。同時,基層央行要建立部門溝通協調機制,科技部門和系統應用部門在進行系統開發、購買、重大修改等重要事項時要通知內審部門參加,并及時將制定的操作規程等發送給內審部門;審計人員要積極參加科技和系統應用部門的會議,了解系統的最新情況,并就審計時發現的問題,及時向科技和系統應用部門進行通報和反饋,更好地發揮信息技術審計的作用。
(三)拓展審計內容,完善審計方式、方法
信息技術審計應以風險為基礎,將信息系統的開發、購買、驗收等方面作為信息技術的部分審計內容,置于內審的有效監督之下,從而有利于及早發現系統的缺陷和漏洞。在審計手段和方法上,要強化計算機輔助審計技術,由總行牽頭,研究開發一套審計軟件,在全國推廣應用。這項工作是一項系統復雜的工程,需要各部門的通力協作。在開發審計軟件的同時,需要完善和改進央行各項業務系統程序,在各業務系統程序和管理信息系統上留有審計接口,建立起與被審計部門業務接口直接切入、數據信息共享的全方位立體信息系統。同時,基層央行應積極推行參與式審計,充分發揮被審計部門信息技術人員的作用,大力提高信息技術審計的質量水平。
(四)實現信息技術審計標準化,規范審計流程
隨著信息技術審計工作的不斷深化,根據審計工作的發展需要和各項業務系統的升級變化,結合國際先進經驗,及時修訂完善審計規章制度、補充更新審計依據便成為我們工作的一個重點環節。同時,有必要結合多年的信息技術審計實踐經驗,系統地將有關概念、內容、工作程序和技術方法等進行歸納總結,形成詳實可行的信息技術工作指南,給審計工作提供指導,規范審計工作。
(五)創新培訓模式,加強基層央行內審隊伍建設
一是充實內審部門的科技力量。基層央行在為內審部門配備人員時,要考慮專業結構,合理增加計算機專業人員。通過審計專業培訓,使其成為既精通計算機和網絡技術又懂審計的復合型人才。二是加強培訓力度,創新培訓模式。首先,加大對現有審計人員的培訓力度,強調培訓的針對性和實效性,使審計人員充分了解信息系統安全常識及操作規程,更好地與傳統審計知識相融合,確保培訓取得實效;其次,注重部門再培訓工作,確保培訓工作的系統性和連續性。基層央行在派員參加總、分行信息系統培訓時,要注重選派人員的個人素質,在自身充分掌握培訓知識的基礎上,能夠在部門開展再培訓工作,將培訓內容完整準確地教授給其他審計人員;再次,充分利用信息技術網絡培訓平臺,擴大培訓覆蓋面,降低培訓成本,提高培訓效率;最后,通過溝通協調機制的建立,使內審人員有機會參加所有業務部門組織的業務系統推廣升級培訓班。同時,內審部門舉辦培訓時,也可以邀請相關業務部門人員參加,使得他們既能從信息技術、業務流程控制的角度考慮問題,又能從內部審計的角度出發,從而采取有力措施全面促進信息系統安全管理工作。●
