人民銀行開展計算機(jī)信息系統(tǒng)審計的實(shí)踐與思考
2004-12-02 00:00 來源:中國人民銀行濟(jì)南分行·王寶運(yùn)
人民銀行以會計電算化為起點(diǎn)進(jìn)行電子化建設(shè),信息技術(shù)的應(yīng)用已經(jīng)覆蓋貨幣政策、金融監(jiān)管���、金融服務(wù)和內(nèi)部管理等各個領(lǐng)域,各項(xiàng)工作已基本實(shí)現(xiàn)電子化。在計算機(jī)信息系統(tǒng)的迅速發(fā)展和廣泛應(yīng)用的同時��,也帶來了難以想象的金融科技風(fēng)險�����。這種情況下��,作為監(jiān)督部門的內(nèi)審部門���,在加強(qiáng)計算機(jī)信息系統(tǒng)審計,促進(jìn)計算機(jī)信息系統(tǒng)的安全有效運(yùn)行等方面����,無疑起到了重要作用。
一�����、人民銀行開展計算機(jī)信息系統(tǒng)審計的主要做法1�、確定審計對象。人民銀行計算機(jī)信息系統(tǒng)審計的對象主要是人民銀行各級行以及有關(guān)直屬企事業(yè)單位開發(fā)和使用的計算機(jī)網(wǎng)絡(luò)系統(tǒng)�����、支付清算系統(tǒng)��、業(yè)務(wù)應(yīng)用系統(tǒng)����、管理信息系統(tǒng)和辦公自動化系統(tǒng)。
2�、確立審計目標(biāo)。人民銀行計算機(jī)信息系統(tǒng)審計的目標(biāo)是通過實(shí)施審計����,促進(jìn)、增強(qiáng)和維護(hù)人民銀行計算機(jī)信息系統(tǒng)合規(guī)性�、安全性、可靠性和有效性����。合規(guī)性是指系統(tǒng)開發(fā)過程、內(nèi)部控制功能以及系統(tǒng)管理應(yīng)用����、使用和維護(hù)等符合有關(guān)法規(guī)和制度����;安全性是指系統(tǒng)硬件和相關(guān)設(shè)施的物理安全�����、軟件的邏輯安全以及有關(guān)數(shù)據(jù)文件的安全����;可靠性是指系統(tǒng)運(yùn)行穩(wěn)定、易于維護(hù)���、恢復(fù)以及系統(tǒng)輸入��、處理和輸出數(shù)據(jù)的及時��、準(zhǔn)確和完整�����;有效性是指有關(guān)財力����、人力資源和系統(tǒng)硬件、軟件資源的充分利用���,以及系統(tǒng)目標(biāo)的充分有效實(shí)現(xiàn)。
3�、提出審計的總體要求。人民銀行計算機(jī)信息系統(tǒng)審計的總體要求是:一是要及時�����、全面地介入系統(tǒng)開發(fā)建設(shè)和內(nèi)部控制機(jī)制建立過程��,對這一過程發(fā)揮持續(xù)監(jiān)督作用��;二是要實(shí)行風(fēng)險導(dǎo)向型審計�����,在對系統(tǒng)固有風(fēng)險和系統(tǒng)內(nèi)部控制機(jī)制進(jìn)行評估和分析的基礎(chǔ)上����,對高風(fēng)險系統(tǒng)和重要控制環(huán)節(jié)進(jìn)行重點(diǎn)檢查和監(jiān)測:三是要充分利用計算機(jī)輔助審計技術(shù),提高內(nèi)審工作的技術(shù)裝備水平���,增強(qiáng)內(nèi)審人員的信息技術(shù)應(yīng)用能力����;四是要在發(fā)揮內(nèi)審工作查錯防弊作用的同時,充分發(fā)揮其管理咨詢作用����,使審計工作有效地服務(wù)于人民銀行信息化總體目標(biāo)的實(shí)現(xiàn)。
4��、明確審計的主要內(nèi)容����。人民銀行計算機(jī)信息系統(tǒng)審計的主要內(nèi)容包括:(1)計算機(jī)系統(tǒng)開發(fā)審計。主要包括:系統(tǒng)開發(fā)計劃和立項(xiàng)管理���、可行性分析���、開發(fā)組織管理、委托開發(fā)管理���、系統(tǒng)需求�、系統(tǒng)分析�����、系統(tǒng)設(shè)計、系統(tǒng)測試��、數(shù)據(jù)遷移�、系統(tǒng)試運(yùn)行、系統(tǒng)驗(yàn)收等����。(2)計算機(jī)信息系統(tǒng)運(yùn)行審計����。主要包括:有關(guān)制度建設(shè)、崗位設(shè)置和人員管理�、系統(tǒng)運(yùn)行環(huán)境、系統(tǒng)軟件和硬件管理��、網(wǎng)絡(luò)和通訊管理��、口令管理�����、數(shù)據(jù)輸入和輸出管理����、病毒防范��、防災(zāi)和應(yīng)急管理�、系統(tǒng)維護(hù)�、系統(tǒng)升級和廢止管理等。(3)計算機(jī)信息系統(tǒng)內(nèi)部控制功能審計���。主要包括:系統(tǒng)訪問控制�����、權(quán)限控制��、數(shù)據(jù)輸入控制����、數(shù)據(jù)處理控制���、數(shù)據(jù)輸出控制�、數(shù)據(jù)傳輸控制�、數(shù)據(jù)庫控制、日志文件控制����、數(shù)據(jù)備份與恢復(fù)控制功能等�。(4)計算機(jī)基礎(chǔ)設(shè)施管理審計���。主要包括:計算機(jī)機(jī)房管理����、網(wǎng)絡(luò)管理和個人辦公計算機(jī)管理情況��。對計算機(jī)機(jī)房管理審計的檢查內(nèi)容包括:機(jī)房的門禁系統(tǒng)�、供電系統(tǒng)�、空調(diào)系統(tǒng)、防災(zāi)措施和防災(zāi)監(jiān)控系統(tǒng)的運(yùn)行和管理情況�����,機(jī)房管理制度的建立��、健全和執(zhí)行情況�����,相關(guān)設(shè)備的運(yùn)行維護(hù)管理等�;對網(wǎng)絡(luò)管理審計的主要內(nèi)容包括:網(wǎng)絡(luò)整體結(jié)構(gòu)設(shè)計的合理性、網(wǎng)絡(luò)承載能力�、安全保護(hù)能力�、持續(xù)穩(wěn)定運(yùn)行能力����,網(wǎng)絡(luò)管理、維護(hù)制度和措施的建立����、健全和執(zhí)行情況等;對個人辦公計算機(jī)的使用和管理審計的主要內(nèi)容是計算機(jī)的配置��、使用�����、維護(hù)管理等�。(5)科技綜合管理情況審計。主要包括:電子化計劃管理���、資金管理��、設(shè)備管理��、計算機(jī)安全管理等情況�����。
二���、對計算機(jī)信息系統(tǒng)審計的進(jìn)一步思考1�、審計部門應(yīng)該把計算機(jī)信息系統(tǒng)審計作為審計工作的重要內(nèi)容����。隨著信息技術(shù)的發(fā)展,信息技術(shù)已經(jīng)逐漸滲透到組織機(jī)構(gòu)運(yùn)行和管理的各個方面���。邏輯上講����,如果各業(yè)務(wù)部門普遍采用計算機(jī)信息系統(tǒng)處理業(yè)務(wù)���,而審計人員在進(jìn)行審計時,沒有對業(yè)務(wù)部門應(yīng)用的計算機(jī)信息系統(tǒng)進(jìn)行測試和審計�����,那么審計得出結(jié)論的可靠性就要受到質(zhì)疑����。在審計領(lǐng)域����,無論是財務(wù)審計還是管理審計�����,都已經(jīng)無法與信息系統(tǒng)審計截然分開����,今后計算機(jī)信息系統(tǒng)審計必將成為審計工作的重要內(nèi)容。
2����、以計算機(jī)信息系統(tǒng)審計為基礎(chǔ),不斷探索計算機(jī)信息技術(shù)審計的內(nèi)容����。在西方發(fā)達(dá)國家,計算機(jī)信息技術(shù)審計的發(fā)展大體經(jīng)歷了以電子數(shù)據(jù)處理系統(tǒng)(EDP)審計為基礎(chǔ)��、以計算機(jī)信息系統(tǒng)為中心的審計階段和計算機(jī)信息技術(shù)審計階段��。早期的EDP審計和信息系統(tǒng)審計主要是為滿足對財務(wù)電算化系統(tǒng)進(jìn)行審計的需要���,審計的方法是在傳統(tǒng)審計的基礎(chǔ)上�����,結(jié)合了信息系統(tǒng)管理��、行為科學(xué)和計算機(jī)等方面的知識���,是一種以信息系統(tǒng)為中心的審計���,一般定義為信息系統(tǒng)審計。隨著信息技術(shù)的發(fā)展����,信息技術(shù)的應(yīng)用越來越復(fù)雜,技術(shù)的更新和變化也越來越快���,傳統(tǒng)的審計人員和審計方法不能滿足計算機(jī)信息技術(shù)審計的需要�。特別是隨著網(wǎng)絡(luò)應(yīng)用的興起��,對網(wǎng)絡(luò)系統(tǒng)安全的要求更為嚴(yán)格�,對計算機(jī)安全的研究逐漸發(fā)展成為一個獨(dú)立的學(xué)術(shù)領(lǐng)域���,相應(yīng)的審計領(lǐng)域��,信息技術(shù)審計也從傳統(tǒng)的審計業(yè)務(wù)中分離出來���,形成針對計算機(jī)安全進(jìn)行審計的一種獨(dú)立審計類型����。計算機(jī)信息技術(shù)審計是一項(xiàng)專業(yè)性很強(qiáng)的工作���,需要信息安全專家�、網(wǎng)絡(luò)及通訊專家�、業(yè)務(wù)應(yīng)用系統(tǒng)專家的密切配合。目前�,我國的計算機(jī)審計基本上處于電子數(shù)據(jù)的收集和分析階段,處于起步階段的計算機(jī)信息技術(shù)審計應(yīng)以業(yè)務(wù)應(yīng)用系統(tǒng)為中心��,對業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行全方位審計���,審計的目的應(yīng)兼顧安全性�、效益性�、合規(guī)性和可靠性。隨著信息技術(shù)審計工作的不斷開展����,信息技術(shù)審計應(yīng)該在計算機(jī)信息系統(tǒng)審計的基礎(chǔ)上��,向以保證組織網(wǎng)絡(luò)與信息的安全方向發(fā)展��,充分發(fā)揮計算機(jī)信息技術(shù)審計技術(shù)性強(qiáng)�����、專業(yè)水平高的特點(diǎn)����。
3��、重視對計算機(jī)信息系統(tǒng)的開發(fā)審計����,對計算機(jī)信息系統(tǒng)開發(fā)整個過程進(jìn)行監(jiān)督。由于計算機(jī)信息系統(tǒng)建設(shè)投資大�����、周期長���、投入運(yùn)行后改變成本高等特點(diǎn)��,計算機(jī)信息系統(tǒng)審計必須提前介入�,在系統(tǒng)開發(fā)建設(shè)的過程中進(jìn)行審計�����。提前介入的最大優(yōu)點(diǎn)是能夠及時發(fā)現(xiàn)計算機(jī)信息系統(tǒng)的缺陷和漏洞���,一定程度上避免系統(tǒng)投入運(yùn)行后出現(xiàn)重大問題��,降低系統(tǒng)運(yùn)行成本��。同時對負(fù)責(zé)系統(tǒng)開發(fā)的管理部門特殊權(quán)力的制約��,也要求對系統(tǒng)的開發(fā)管理進(jìn)行審計����。計算機(jī)信息系統(tǒng)的開發(fā)�、購買、轉(zhuǎn)讓��、重大修改和退出要置于審計的有效監(jiān)督之下�����。審計部門要定期參加系統(tǒng)開發(fā)的各種會議,了解系統(tǒng)開發(fā)的進(jìn)展�,保證計算機(jī)信息系統(tǒng)開發(fā)的過程遵循組織的政策和程序。提前介入的前提除了審計師必須具備提前介入的知識和能力以外���,還要求系統(tǒng)開發(fā)和應(yīng)用部門必須與審計部門建立密切的溝通渠道和協(xié)調(diào)的工作關(guān)系����。
4�、重視計算機(jī)信息系統(tǒng)審計人才的培養(yǎng),不斷提高其審計技能����。計算機(jī)信息系統(tǒng)審計對審計人員的專業(yè)技能要求較高,除了需要審計人員具備相應(yīng)的審計技能外����,還要具備較高的計算機(jī)水平。計算機(jī)信息系統(tǒng)審計人員的獲得有兩個渠道����,一是在配備人員時就將計算機(jī)技能作為一個必要條件,在實(shí)際工作中不斷培養(yǎng)其審計技能����;二是對現(xiàn)有審計人員進(jìn)行計算機(jī)知識的培訓(xùn)���,增強(qiáng)其信息技術(shù)審計能力�����。由于計算機(jī)技術(shù)涉及的范圍廣���、技術(shù)復(fù)雜性強(qiáng)��、計算機(jī)信息技術(shù)快速發(fā)展的特點(diǎn)�����,決定了不論以何種方式獲得的信息技術(shù)審計人員�,都要對其進(jìn)行持續(xù)不斷的后續(xù)教育��。
