浅议信息技术基层央行信息技术审计有着不足与策略学士

【摘要】当前，人民银行信息系统建设中尚未建立起一套行之有效的监督管理机制，本文通过分析基层央行信息技术审计的必要性以及工作中存在的问题和风险点，有针对性地提出一些解决问题和化解风险的对策。
【关键词】内部审计 信息技术 审计 对策
随着央行金融信息化进程的不断深入，以计算机技术、网络技术、软件开发技术和通讯技术为核心的信息技术已广泛应用到人民银行的各项业务和管理活动之中，这些计算机信息系统在给各项工作带来便利的同时，其风险隐患也与日俱增，信息资产和信息系统相关的风险，如数据被非法拷贝、删除、修改，破坏，计算机病毒感染、入侵、使用人员违规操作等造成计算机系统故障或信息系统崩溃的风险日益引起管理层的高度关注，这就要求与之匹配的计算机信息系统的审计工作也要有效地开展起来。通过审计，发现计算机信息系统运行中的安全隐患，并通过持续的改进完善来降低信息安全事件的发生。

一、开展信息技术审计的必要性

(一)适应金融信息化发展的内在要求

计算机信息技术的发展和广泛应用，在很大程度上提高了人民银行的金融服务水平，为人民银行的业务实现全面信息化打下了坚实基础。同时，要保证系统的合理投资、设计开发和有效运行，及早发现系统在风险控制、质量保证和成本效益等方面存在的问题，避免走弯路，防止出现浪费和损失，确保其应有的绩效，就必须引入计算机信息技术审计。

(二)满足内控安全管理的要求

计算机信息系统不仅涉及数据信息的安全和保护，而且涉及计算机网络的一致性和适用性问题。一个应用系统的开发运行，在其立项、开发、修改过程中都要花费大量的时间和资金，如果开发的是涉及资金的应用系统（如“ABS”、“TBS”等），则可能直接引发资金风险。因此，开展信息技术审计，就是要建立起一套行之有效的监督机制来确保信息系统的有效运行，满足内部控制和风险管理的需要。

(三)符合审计工作转型的需要

信息技术审计作为人民银行内部审计的一项全新的工作，为内部审计创新和实现内审工作的深化转型创新提供了新的空间、理念和契机，开展信息技术审计以及“运用信息技术手段实现对信息技术应用和管理的监督”，都将使人民银行内部审计工作达到一个全新的高度，并将成为内审工作新的亮点。

二、当前信息技术审计存在的主要问题

(一)审计技术深度不够

从信息技术审计的含义及目标来看，信息技术审计不仅要对信息系统运行的安全性进行检查，还要对系统建设的效益性、数据信息的有效性和可靠性进行监督检查。从目前开展的一些信息系统审计项目看，由于受诸多因素的制约，更多的是把物理环境、网络安全、制度管理等作为审计重点，很少对各个业务系统中内部控制的存在性、有效性及控制程序编写方法的合规性进行核实（即符合性测试），也很少对信息系统处理后的各种信息的合法性、正确性、真实性开展直接检查和分析性复核（即实质性测试），大大降低了对数据可靠性、有效性的审计要求。

(二)独立开展审计难度大

目前，人民银行的大部分信息系统是由总行统一组织开发的，各级分支行作为使用单位。各个业务系统在推广上线过程中，内审人员并不参与，对信息系统了解不够，无法独立开展审计，审计质量难以保证。例如，对业务系统操作控制中的合理性、完整性以及完备性检查，需要设计大量的模拟数据上机测试，专业性强，工作量大，要求时间长，基本上实现不了。对业务系统的灾难恢复计划的检查，只能检查其是否制定必要的应急措施，但对其适当性、有效性的审核比较困难。逻辑安全性审核中的访问控制，是由程序设计所决定的，内审人员都无法进行判断。

(三)审计手段较落后

目前，人民银行计算机审计软件尚未研发推广使用，不少业务操作系统也未预置审计数据接口，内审部门信息技术审计仍沿用传统手工审计方法、手段，不能利用现代化技术适时掌握各业务系统信息，从系统处理过程中发现风险苗头，例如，系统功能模拟测试、试探性操作测试、工具测试、实时监控等先进审计手段无法实施。其次是在信息技术审计中尚未引入风险导向性审计理念，审计中偏重于合规性，没有在对信息系统固有风险和内部控制进行评估和分析的基础上，对系统风险点进行重点检查和检测。

(四)审计人员素质达不到要求

信息技术审计不是传统审计业务的简单扩展，而是在传统审计理论、信息系统管理理论、行为科学理论和计算机科学四个理论基础上形成的一门边缘性学科，对审计人员素质有着很高的要求，目前基层人民银行信息技术审计的专门人才还比较缺乏，审计人员对信息系统的安全隐患和控制薄弱环节进行分析、评估的能力还有待提高，内控环境的复杂性以及内部控制的局限性也使得舞弊行为有机可乘，从而增加了审计风险。会计类论文

三、政策建议

(一)前移审计关口，拓展审计深度

目前基层开展的计算机信息系统审计，都是在系统运行一段时间后进行的，属“事后”审计，如果系统存在建设必要性、功能合理性、程序内部控制有效性、业务拓展性等方面的错误，纠正起来非常困难，且成本较高。因此，要坚持“一开始就介入”的原则，在每个系统开发之初，开发单位就应抽调审计人员、计算机人员组成专家审计组，参与到程序的这个过程中，负责对系统需求、可行性、系统设计、编程、测试等环节进行审核，使信息技术审计关口向“事终”、“事前”移动，从源头把关，提升信息技术审计的层次。会计论文

(二)建立审计、科技部门协作机制

一是内审人员要积极参与业务系统培训学习、推广使用、换版升级等工作的全过程，力争全面熟悉信息系统的工作原理，为实施信息技术审计奠定基础。二是内审部门在实施信息技术审计中，可由科技部门提供技术和人员上的支持与帮助，协助内审人员收集审计依据、提供审计线索，参与现场审计，提高信息技术审计的质量和效率，建立内审、科技工作信息共享机制、人才共享机制和分工协作机制。

(三)设计开发计算机信息系统审计软件

积极探索和研究信息技术审计平台的建设问题，构建一个相对独立的软、硬件系统环境，开发出能够与被审单位业务系统数据库文件进行数据转换、数据接口兼容性好的计算机审计系统，实现对有关应用系统的模拟测试、实时监测、记录和分析。其次，要建立符合信息技术发展的审计标准和准则，明确审计准则的目标、体系、法律效力及适用范围，制定信息技术专业审计准则和安全评估准则。

(四)提高内审部门人员素质

提升内审部门人员的审计能力，成为既懂银行业务知识又懂计算机专业知识的双面人才。一是要加强继续教育，不仅要对计算机人员进行审计理论知识的培训，还要对现有审计人员进行计算机技术的培训。二是邀请业务部门讲解培训本单位的信息系统和业务管理系统，还可以派内审人员到业务部门跟班操作、学习，便于内审人员全面了解本单位的信息系统，对各个系统的业务概况、系统平台、数据库有更深入的认识。三是内审部门直接引进计算机专业人才，尤其是引进对信息系统有建设经验的计算机专业人员参与信息系统的审计，将会取得事半功倍的审计效果。源于：大专毕业论文范文http://www.328tibet.cn