摘要:近年来计算机信息技术在人民银行各业务领域的广泛应用, 信息的存储、传输、加工、处理过程全部使用电子化数据, 传统的手工业务全部退出历史舞台, 传统的可见凭证也由此缺失, 这对央行内部审计工作产生了影响。如何适应新形势需要, 做好IT审计工作, 作者针对央行IT审计的现状, 进行了一些分析, 提出了一些新的思路。
关键词:内部审计,信息技术,问题研究
随着全球信息化和审计理论的发展, IT审计逐渐引起人们的关注。特别是近年来计算机信息技术在人民银行各业务领域的广泛应用, 信息的存储、传输、加工、处理过程全部使用电子化数据, 传统的手工业务全部退出历史舞台, 传统的可见凭证也由此缺失, 这对央行内部审计工作产生了影响。无可置疑, 内部审计在中央银行实施货币政策、金融服务、内部管理等领域中发挥着不可替代的作用, 如何适应新形势需要, 做好IT审计工作, 是基层央行内审部门面临的一个新课题。
一、IT审计的定义及其特点
(一) IT审计的定义
根据国际货币基金组织的定义, IT审计, 又称信息技术审计, 是指对计算机化的系统进行的审计, 它不仅包括对现有信息系统的审计, 还包括对系统的建立过程、计算机设备和网络管理的审计等, 形成了针对计算机 (包括软件、硬件、网络等) 安全进行审计的一种独立审计业务。由此可知, IT审计涉及信息系统的整个生命周期, 这不仅是一个技术问题, 更是一个管理问题。IT审计的目标就是保证IT系统的可用性、安全性、完整性和有效性, 最终达到强化单位内部控制的目的。
(二) IT审计的特点
1. IT审计是一个过程。
它通过获取的证据判断信息系统是否能保证资产的安全、数据的完整和组织目标的实现, 它贯穿于整个信息系统生命周期的全过程。
2. IT审计的对象综合且复杂。
IT审计从纵向看, 覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向看, 它包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。
3. IT审计拓宽了传统审计的目标。
传统审计目标仅仅包括"对被审计单位会计报表的合法性、公允性及会计处理方法的一贯性发表审计意见";但IT审计除了上述目标外, 还包括信息资产的安全性、数据的完整性及系统的可靠性、有效性和效率性。
4. IT审计是一种基于风险导向审计的理论和方法。
IT审计从基于控制的方法演变为基于风险的方法, 其内涵包括风险管理的整体框架, 如内部环境的控制、目标的设定、风险事项的识别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。
二、央行IT审计的现状
(一) IT审计目标逐步明确
在IT审计开展之初, 人民银行将IT审计定位于由审计人员开展的、对计算机信息系统的检查评价, 并先后制定下发了《中国人民银行计算机信息系统监督检查工作暂行规定》、《中国人民银行关于加强计算机信息系统内部审计工作的指导意见》和《中国人民银行计算机信息系统内部审计规程》等一系列规章制度。明确了IT审计目标是促进和维护人民银行计算机信息系统的合规性、安全性、可靠性和有效性;审计对象是各级行和有关直属企事业单位的计算机系统、网络系统、信息技术基础设施和系统运行环境;审计范围包括业务应用系统开发管理、业务应用系统运维管理, 信息技术基础设施、信息系统绩效等。
(二) IT审计范围逐渐拓展
从2001年起, 人民银行每年都开展IT审计, 先后完成了19种IT审计项目, 审计对象涉及人民银行职能部门、各级行和直属企事业单位, 审计范围覆盖了网络管理与安全、操作系统和数据库管理、电子化设备管理、大小额支付系统、会计核算系统、国库系统、征信系统和反洗钱系统等业务领域, 有效促进了信息系统内部控制和风险管理水平的提高。
(三) IT审计平台逐步搭建
2011年以来, 在内审转型三年规划中, 人民银行积极探索风险导向信息技术审计。一是根据人民银行治理结构、业务和科技管理的风险特点, 尝试建立了信息技术风险评估模型。二是根据人民银行科技管理实际, 对信息技术审计项目进行梳理, 制定了人民银行信息技术审计项目清单, 分为科技管理、基础设施、应用系统和数据中心四大类, 共76个项目。并根据风险评估模型对信息技术审计清单中的应用系统类项目进行风险评估。三是加大了计算机辅助工具的研发利用, 已建立了内审业务综合管理系统, 大力推动ACL软件在审计项目中的使用, 2012年12月人民银行计算机辅助审计系统在部分城市试点等, 信息技术审计正在向规范化、电子化、标准化、国际化轨道迈进。
三、基层央行IT审计存在的问题及原因分析
(一) 审计理论和制度缺失
IT审计是审计理论的新兴领域, 当前有关它的研究尚不够深入, 阐述与定义尚不统一, 给IT审计的实践带来一定程度的混乱。同时人民银行信息技术安全管理制度的建设总体滞后于信息系统推广上线的速度, 人民银行内审司虽制定了《计算机信息系统监督检查工作暂行规定》、《计算机信息系统内部审计规程》等制度, 但不是真正意义上的"IT审计", 仅处于信息系统 (IS) 审计层次, 属于一般内控操作制度范畴。
(二) 审计观念比较落后
目前部分基层行对于IT审计的重要性认识不足, 对计算机系统盲目信任, 认为由上级行组织开发的系统肯定是安全可靠的, 无需再审计。事实上, 系统是由人来操作和维护的, 再好的系统也无法完全避免恶意分子的破坏。有些内审人员对IT审计的认识还停留在单纯合规性审计, 对IT投资和系统使用效率问题关注不够, 绩效审计观念还需进一步加强。
(三) 审计手段比较单一
目前IT审计大多沿用手工方法, 通过实地观察, 查阅登记簿、运行日志等文档资料, 并结合上机检查系统设置、程序配置情况等来评价科技管理情况, 审计效率不高。同时人民银行各业务应用系统开发各自为阵, 没有一个统一的标准的数据化接口和通用审计软件, 使业务系统数据采集、转换、分析困难。目前计算机辅助审计仅停留在文字处理和电子表格处理层面, 更深层次的数据收集、筛选、分析应用不多。即便应用计算机对审计数据进行处理, 也多是手工审计方式的简单延伸, 而未能有意识地利用计算机对审计数据开展深层次的分析。
(四) IT审计人才缺乏
基层央行内审部门脱胎于稽核部门, 配备的人员多以会计和金融专业为主。同时受人员编制、经费和师资条件等限制, 基层央行每年招收的计算机专业人员很少, 内审人员接受上级行IT审计的培训机会较少, 致使审计队伍整体素质难以适应信息化建设和业务发展的需要。
四、改进基层央行IT审计工作的思考
(一) 转变审计观念, 提高IT审计重要性的认识
内部审计信息化是建立在现代信息化环境基础上, 运用信息化技术方法开展内部审计工作的一种有效的技术方法。内部审计信息化是内审工作的革命性变革, 是传统内部审计向现代内部审计转变的重要标志, 是内部审计现代化的重要特征, 它对于内部审计工作的方式、程序、质量、管理, 乃至审计人员的思维方式和自身素质都会带来深刻的影响。内审部门要充分认识信息技术的发展对内部审计的影响, 转变审计观念, 牢固树立风险导向审计的理念, 要充分借鉴国内外有益经验, 创新审计手段和方法, 大胆探索信息化环境下的风险导向审计工作, 要充分发挥管理咨询作用, 积极建言献策, 促进IT环境下人民银行各项业务制度和内部控制措施的健全完善和有效执行。
(二) 加强审计制度体系建设, 规范和指导IT审计操作
应积极与国内外着名信息技术审计协会、组织进行交流合作, 借鉴先进的信息安全风险控制经验, 建立统一IT审计标准体系;科学立项, 完善审计方案设计, 设计并运用审计检查表, 规范检查操作方法, 客观分析信息系统的安全性及潜在风险, 提出科学的改进建议;要建立信息技术审计风险评估体系, 在对信息系统风险评估的基础上, 以风险为导向安排审计项目和频率, 有所侧重地实施检查, 分配审计资源, 促进IT审计向规范化、标准化发展。
(三) 加强辅助审计软件运用, 优化审计手段与方式
为进一步推动和鼓励辅助审计软件的开发利用, 制度上要明确辅助审计软件的性质和地位, 规定内审部门可以利用辅助审计软件对被审计信息系统进行数据采集、分析等技术操作, 各业务部门开发的系统应预留审计访问接口, 便于审计人员对业务数据进行采集和分析;要加大对开发辅助审计软件的支持力度, 丰富审计软件品种和优化审计软件的各项功能, 做到审计辅助软件和信息系统配套研发和相互促进的良性发展模式。
(四) 加大对审计人才的培养, 提高内审队伍整体素质
鉴于IT审计的专业性特点, 拥有一定数量的合格信息技术审计人员对此项工作的开展至关重要。一是有计划吸收计算机专业人员, 将其培养成审计人员, 使其成为既精通计算机和网络技术又懂审计的复合型人才;二是加大培训力度。组织参加内部审计上岗资格培训和考试, 参加业务职能部门的系统推广培训, 选派人员脱产学习, 鼓励内审人员参加国际注册内部审计师、注册会计师、注册审计师资格考试, 提高审计人员业务素质;三是建立"内审协作人才库", 实行人才共享机制, 聘请业务专家、信息技术专家作为"内审协查员", 协助收集审计依据, 提供审计线索, 参与现场审计, 提高审计质效。
参考文献
[1]梁敏, 人民银行信息技术审计现状分析及对策建议[J], 金融会计, 2013年第1期。
[2]中国人民银行内审司"深化人民银行信息技术审计"课题组, 深化人民银行信息技术审计[J], 中国金融, 2012年第14期。
[3]陈自川, 利用IT审计促进信息科技管理[J], 金融电子化, 2010年第8期。
[4]刘俊、徐智纲, 浅议央行信息技术审计的现状及对策[J], 上海金融, 2008年第11期。
