计算机调研文章

1、浅谈人民银行信息技术审计面临的问题与对策苏州市人民银行 李红内容摘要：随着信息技术在人民银行广泛应用，人民银行对信息系统的依存度日益提高。信息系统能否安全、有效运行直接关系到人民银行职责的履行程度。因此，如何有效开展信息技术审计，保障信息系统安全是人民银行内审部门难以回避的新课题。因此本文拟通过介绍人民银行信息技术应用及发展趋势，分析目前人民银行信息技术审计面临的问题及风险，提出解决问题和化解风险的对策。关键词：人民银行信息技术 内部审计 对策计算机技术、网络技术和通讯技术为代表的信息技术已越来越深地渗透到中央银行的各项业务中，推动了人民银行电子化业务的不断发展。同时，信息技术化的浪潮也给人民

2、银行传统内部审计产生巨大影响。如何利用信息技术手段对金融信息业务内部进行审计监督管理，关系到整个金融环境的安全和稳定。因此，本文结合近年来基层人民银行的信息技术审计开展情况，浅谈一下信息技术审计的现状、难点及其对策。一、 人民银行信息技术的应用及发展趋势 （一）信息技术的应用不断拓展经过近二十年的发展，人民银行信息系统的开发和建设已具有相当规模。从单项业务到综合业务，从单机到联网，逐步形成了安全、高效、规范的信息化服务体系，为人民银行的业务实现全面信息化打下了坚实基础。目前基层人民银行的信息技术系统主要有：中央银行会计集中核算系统（ABS）、货币金银管理信息系统、企业信用信息基础数据库系统、个

3、人信用信息基础数据库系统、办公自动化系统等等。按系统功能划分主要有核算管理系统、宏观分析系统、外汇管理系统和办公自动化系统。（二）业务数据和资料走向集中存储目前有货币金银信息管理系统、国库信息处理系统、企业信用信息基础数据库系统、个人信用信息基础数据库系统等十多个系统数据集中到总行，人民币账户管理系统集中到分行或省会中支，中央银行会计集中核算系统（ABS）集中在地市中心支行。人民银行即将开展全国和省域两级数据中心的建设，今后所有系统数据将分别集中在总行和分行或省会中支。伴随着数据存储方式的改变，业务信息逐渐由基层向上级机构集中，相关的业务凭证和资料也开始逐步由基层向上级机构汇集。同时，随着电子

4、凭证技术、数字认证技术和海量存储技术的发展和普及，人民银行业务流程将实现全面信息化，所有的业务凭证和资料都将实行集中储存，业务处理也将逐渐集中。（三）业务系统的功能日趋整合从2004年开始，人民银行加快了信息系统资源整合步伐，通过建立统一平台，逐步实现相近系统共用硬件资源、共享数据资源的目标。如：货币金银管理信息系统整合了库房管理、会计核算、反假管理、现金管理等功能。随着网络技术的不断发展，信息系统整合必将朝着跨部门、更大范围方向发展，并建成公共服务平台和信息网络平台。（四）业务工作痕迹由单一纸介质向多种介质发展信息技术应用后，人民银行业务工作痕迹留在多种介质上。在不久的将来，电子档案会取代纸

5、质档案成为档案保管的主要方式，乃至唯一方式。电子档案保存在磁盘、光盘、U盘、移动硬盘以及新型电子媒介之中。二、人民银行信息技术审计现状和面临的难点2000年人民银行从总行到分行开始成立了信息技术监督部门,并从2001年起相继开展了以信息技术审计为核心的国库系统、信贷管理咨询系统安全等一系列专项信息技术审计，这些信息技术审计的组织与实施，一方面提高了内审人员对信息技术的认识，在如何开展信息技术审计方面积累了一定的经验，另一方面也暴露了信息技术审计中存在的问题与不足。（一）信息技术审计日趋复杂化目前，人民银行业务系统的开发，主要依赖使用部门的意见，导致业务系统运行方式、流程的多样化，因而，对业务系

6、统的实地审计，要求审计人员必须掌握相当程度计算机信息技术，以目前人民银行内审人员状况及业务系统设计深度，要取得较好效果有一定难度，审计过程中，审计人员更多依赖被审计单位操作人员的取证、调取数据资料，带来一定的审计风险。 （二）审计手段和技术相对落后目前，人民银行计算机审计软件尚未推广使用，各业务操作系统也未设置审计数据接口，内审部门信息技术审计仍沿用传统手工审计方法、手段，不能利用现代化技术适时掌握各业务系统信息，从系统处理过程中发现风险苗头，以此来确定审计对象和目标。（三）审计线索更具隐蔽性在手工会计核算系统中，从原始凭证到记账凭证、账簿记录以及财务报表的编制，每一步都有文字记录，都有不同的

7、经手人签字，审计线索十分清晰。但在计算机业务系统中，由于数据存储介质的磁性化和数据处理过程的自动化，业务数据进入计算机系统之后，由于计算机按程序自动生成会计报表，即使有篡改也不会留有痕迹，加之计算机系统工作日志记录过于宽泛，每次操作都有记录，使得有价值的线索隐蔽其中。因此，审计人员发现错误的可能性就减少了，从而增加了审计风险。（四）缺少相应的信息监督机构由于没有专门的信息监督机构，不能适时对各个系统进行有效的监督，而现有的内审部门甚至不清楚哪些部门有哪些管理、应用系统，各个系统在开发、升级、培训、推广使用时也没有要求内审人员参加，上级行下达对某系统进行计算机技术审计时又很少进行培训或培训面有限

8、，因此人民银行内审人员对信息技术审计业务尚不精通。（五）信息技术增加了内控的难度信息技术也改变了内部控制的模式,在手工数据处理条件下, 内部控制的测试是看得见、摸得着的，内部控制机制完全是人与人之间的相互监督和控制。在计算机业务系统中，内部控制的技术和方法发生了很大的变化，监督和控制主要表现为人和机器的双重监督，大部分控制措施都是以程序的形式建立在计算机业务信息系统中，肉眼无法觉察。审计人员受计算机专业知识的影响，要在有限的时间里测试内控制度的合规性是不现实的，而计算机业务系统的内控功能是否恰当有效又会直接影响系统输出信息的真实和准确，内控环境的复杂性以及内部控制的局限性也使舞弊行为有机可乘，

9、从而增加了审计风险。（六）缺少信息技术审计的标准和准则对于以往手工系统的审计有诸多的审计标准和准则加以参考，但是对于计算机业务系统进行审计时，由于审计对象和审计线索等发生了变化，审计的技术和手段也相应地发生了变化，原来的一些标准和准则就显得不适用了，新的适用于信息技术审计方面的标准和准则尚未出台，造成审计人员只能通过阅读有关操作手册和管理制度等了解计算机应用系统，但这种了解系统的方法是不够深入的，也是有限的因此容易产生审计风险。（七）信息系统评审机制存在缺陷现行计算机业务系统的评审主要侧重于软件功能的构成要素及业务处理方法的合理性，忽视了审计线索的保全性；评审侧重于计算机业务系统运行的结果与手

10、工一致，忽略了对软件开发过程内部控制系统的评价；评审依赖于计算机专家小组及一线操作人员的意见，忽视了软件的审计特征；评审的结果可能同审计人员的意见产生冲突。这些都给审计人员的工作带来了一定的困难和风险。三、提高信息技术审计质量的对策建议（一）更新内审工作理念由查错纠弊向咨询服务转变。不少人对内审工作存在这样一种认识：审计必须发现问题，否则，被认为审计人员没有能力或浪费时间。而事实上，发现问题修正错误，只是审计的一个方面，审计更深层次的意义在于确保整个组织人民银行活动的有效性、效率性、合规性。因此，人民银行的计算机审计不应停滞在查错纠弊阶段，而应要求审计人员树立服务意识，针对存在风险，分析原因，

11、为有关部门加强管理提供咨询，为领导决策当好参谋。应着眼于服务，着眼于未来，计算机审计目的在于发现潜在的风险和可能因此发生的损失，也就是说，在系统仍然保持安全的时候，看到其潜在的风险，着眼于风险的控制。（二）建设信息技术审计平台整合现有的信息系统，在所有的信息系统中嵌入一个统一的通用数据接口和执行审计功能的程序段，利用专用的审计软件直接监督信息系统处理过程，随时发现问题。对开发的审计软件在操作上要能使任何一个审计人员易于进入、易于退出该软件；与被审单位业务软件产生的数据库文件进行数据转换容易，数据接口兼容性好；软件运行流畅；能最大限度地接近审计人员在审计现场作业审查的实际过程。（三）提高审计手段

12、和技术一是要加强对信息系统管理的数据进行审计。对数据文件利用审计软件进行检查，测试数据文件中有关数据计算的正确性，分析评估被审系统中相应数据的正确性；比较两个不同数据文件内的相应记录，以确定数据的一致性；采用随机抽样或判断抽样等方法，从被审的数据文件中选择所需的样本；汇总或重新组织数据，并执行分析工作。同时，要加强对数据存储介质的审计，审查其存放环境是否合规，是否定期进行检查和复制，以防止存储介质消磁而引起数据消失。二是要加强对信息系统的审计。信息系统软件开发阶段，内审部门就必须派员参与，以保证系统的合法性、安全性及可审计性。信息系统软件投入使用后，要审计系统的内部控制功能执行情况，确保信息系

13、统的组织操作控制、硬件控制等一般控制和输入控制、输出控制等应用控制有效发挥作用；要审计系统的正确性和效率性，判定是否有逻辑错误，是否有冗余。三是要加强对网络的安全性审计。主要应加强对网络安全机制和安全技术进行审计，包括接入管理、安全监视和安全恢复三个方面。接入管理主要处理好身份管理和接入控制，以控制信息资源的使用；安全监视主要功能有安全报警设置以及检查跟踪；安全恢复主要是及时恢复因网络故障而丢失的信息。（四）改进业务软件系统的评审机制业务软件系统的评审验收只依赖业务主管部门的意见，给计算机业务系统审计工作带来了一定的困难和风险。因此，需要对业务软件系统评审机制进行改进，在业务软件通过评审验收前

14、，要求主管部门充分听取内审部门的意见，由内审部门和业务主管部门共同组织专家对业务软件系统进行论证，并作出结论，业务主管部门根据结论，最终作出是否通过评审的决定。基层的审计人员也只需参照论证的结论来审查、评价基层用户的业务软件系统。这样就使审计人员和业务软件系统评审人员共同分担了评审责任和风险。（五）建立健全信息技术审计的标准和准则面对日益发展的计算机审计，人们以前建立的审计准则，有的已不适合要求，需要针对新的形势制定相应的工作标准。建议有关部门应采取有关措施，大力加强对计算机审计的研究，开发使用审计软件，完善有关计算机审计标准和准则，建立一系列与新情况相适应的审计准则，除了对凭证、账簿、报表等数据文件的实质性审查加以规定外，更要对被审计系统的健全性、符合性、系统功能的有效性、各项初始化工作准确性加以规定，使审计人员依据相应的规定进行审计，将审计业务风险降低到最低限度。（六）加强内审队伍建设组织参加内部审计上岗资格培训和考试，参加业务职能部门的系统推广培训，选派人员脱产学习，鼓励内审人员参加国际注册内部审计师、注册会计师、注册审计师资格考试，提高审计人员业务素质。适当引进信息技术人才。通过招聘方式引进审计信息技术人员，或者短期聘请计算机技术专家、网络专家开展