银行信息技术审计研究

人民银行信息技术审计工作中存在的问题

（一）审计队伍建设有待加强。开展信息技术审计需要一批既懂计算机，又懂审计的复合型内审人员。目前，基层行开展信息技术审计项目最大的瓶颈就是缺少信息技术审计人员。绝大多数审计人员尚未具备实施信息技术审计必需的知识和技能，只能沿用传统审计方式，检查登记簿或口令等较为粗浅的内容，无法准确、深入评价信息系统的风险控制状况。

（二）审计辅助手段有待开发。目前人民银行开展信息技术审计大多沿用手工方法，通过实地观察，查阅登记簿、运行日志等文档资料，并结合上机检查系统设置、程序配置情况等来评价科技管理情况。这样的工作方法不仅效率不高，甚至还由于电子线索的易篡改性，伴随着巨大的审计风险。而目前能熟练掌握计算机专业知识的内审人员偏少，计算机辅助审计仅停留在文字处理和电子表格处理层面，更深层次的数据收集、筛选、分析应用不多或甚至没用。且各应用系统的开发各自为政，缺少统一、标准的数据接口，加之内审部门也未配备专用的审计软件，使得要开展对计算机辅助审计更是难上加难。

（三）审计标准建设有待加快。目前人民银行还未建立完善的信息技术审计评价标准体系，原有的针对传统审计的规章制度已不能满足信息技术审计的需要。现在审计人员开展信息技术审计时，通常是通过查阅操作手册和管理制度来了解信息系统，以这种方式来了解系统，作用十分有限，很大程度上还是依赖审计人员的个人能力，无法做到统一和公平，从而影响内审的公正性和权威性。而且信息系统更新换代迅速，制度建设却相对滞后，就存在部分系统已广泛应用却没有规章制度加以规范的情况。对这种情况，审计人员更是“雾里看花”，无从下手。

（四）审计开展程度有待加深。目前，人民银行开展的信息技术审计仍多集中在孤立的审计、合规性审计。一是未真正应用风险导向审计方法。审计项目、审计重点不是通过对各套业务系统、各控制环节的风险排序来确定，而更多地根据经验判断、领导关注重点来安排，缺乏科学性和系统性。且审计多局限于技术细节，未能对系统的整体风险做全面、深入的评判。表现在最终的审计报告中就是，对信息系统的技术细节提了很多问题，通篇充斥晦涩的专业术语，却少有对系统整体风险和数据安全性全局、清晰的描述。被审计单位的领导对信息技术细节的了解一般不深，单从这些专业的术语无法充分明了审计发现问题的严重性和风险程度。这样的审计结论下达到被审计单位无疑是隔靴搔痒，审计效果大打折扣。二是集成审计开展较少。集成审计即业务审计和信息技术审计的结合。目前人民银行的业务审计和信息技术审计是相互独立的。在开展业务审计时，一般只关注业务自身，而对支撑业务开展的系统很少涉及；开展信息技术审计时，仅对某系统做检查，对系统上运行的业务很少关注。信息系统是为业务服务的，对人民银行业务的影响才是审计的最终关注点，如果不能结合业务进行总体评价，那么大家对审计结果的兴趣度和认可度将受到影响。

（五）审计介入时机有待提前。目前的信息技术审计大多是对已运行系统的审计，也就是事后审计，对系统开发过程的审计即事前审计还未能真正开展。就信息系统而言，对已完成系统进行修改所要花费的时间和费用比在设计阶段修改的花费要大得多，因此，对开发过程的审计意义犹为重大。但目前人民银行的信息系统的设计开发、安装调试、推广建设等工作基本都是由科技和业务部门实施，缺乏内审部门的介入。

原因分析

（一）信息技术审计起步较晚，发展还需要一定过程。发达国家信息技术审计工作启动较早，如美国著名的信息系统审计与控制协会（ISACA）1969年就已成立。而人民银行信息技术审计到现在只有十年多的时间，与发达国家相比较，在审计标准的科学性、审计范围的广度和深度、审计手段的现代化程度等方面都存在差距，还处于初级阶段。信息技术审计的发展不能一蹴而就，需要一步一个脚印扎实积累，许多矛盾和问题也需要时间慢慢消释，要达到高水平的信息技术审计还有很长的路要走。

（二）对信息技术审计的重视不够，支持和投入不足。目前部分基层对于信息技术审计的重要性认识不足，对计算机系统盲目信任，认为由上级行组织开发的系统肯定是安全可靠的，无需再审计。事实上，系统是由人来操作和维护的，再好的系统也无法完全避免恶意分子的破坏。有些内审人员对信息技术审计的认识也有限，即便应用计算机对审计数据进行处理，也多是手工审计方式的简单延伸，而未能有意识的利用计算机对审计数据开展深层次的分析。

（三）受人力资源机制的限制，建设一支良好的信息技术审计队伍有一定难度。从现在的情况看，在短时间内改变人民银行信息技术审计人员缺乏的局面有不少困难。一是人员配备存在先天不足。人民银行内审部门脱胎于稽核部门，因此配备的人员多以会计专业为主。加之人民银行的业务多与会计和金融相关，从其他部门调入的人员也是会计和金融专业居多。而人民银行近年来信息化建设蓬勃开展，需要大量科技人才，受限于人员编制，每年招收的计算机专业人员本来就不多，能够分配或调入内审部门的计算机专业人员更是少之又少。二是对于信息技术审计的培训力度不够。总行内审司每年均举办一次专门的信息技术审计培训，为培养信息技术审计人才起了很好的作用，但是能参加总行培训的人员比例还是太少，而基层行又由于培训计划、经费和师资条件等限制，难以开展专门的信息技术培训。

（四）信息技术审计的权威性尚未树立，业务部门的配合程度不高。人民银行的信息技术审计开展时间不长，还未像传统业务审计那样深入人心，受到普遍认可。由于计算机专业门槛高，科技部门对内审开展信息技术审计的专业程度持怀疑态度，认为只有“外行看热闹”，不可能像内行那样看出什么门道，只会是吹毛求疵、白费力气。确实，目前基层行开展的信息技术审计查出的问题还较为浅显，未能切中要害，也不能提出富有建设性的意见。因此，科技部门对信息技术审计还处于被动接受的状态，未形成在系统开发时主动邀请内审部门介入、运维过程中主动向审计部门通报监控情况、审计过程中主动与内审人员讨论完善风险措施等良性互动的局面。

改进央行信息技术审计工作的建议

（一）加强对信息技术审计的重视，提高支持和投入力度。随着计算机的普及和网络的盛行，信息安全风险已逐渐为人所知，对信息系统开展审计的必要性已逐渐获得认可。内审部门要借助这有利局面，在各种场合加大信息技术审计重要性的宣传，扩大影响力；精心实施审计，以更有价值、更有深度的审计成果获得各方的肯定和重视，优化内审工作环境。要进一步明确信息技术审计的工作目标和范围，不断加大资金、人员和设备等的投入，加快建设辅助审计软件和网站，创造有利条件，为开展信息技术审计做好后盾。

（二）加强信息技术审计队伍建设，更新审计人员信息技术知识。增强内审队伍的信息技术知识和审计能力已经迫在眉睫，需要贴近实际加强信息技术人才队伍的建设。一是扩大信息技术审计人员队伍，支持、鼓励内审部门招收计算机专业人员，从科技部门引进经验丰富的科技人员。二是加强信息技术审计培训力度，扩大培训覆盖范围，增强培训实用度，利用真实上机环境开展培训，提高审计人员的实战操作能力；积极争取内审人员参加业务系统培训的机会，第一时间了解业务应用软件控制流程、操作要求。三是加强与先进IT企业的沟通与交流，汲取信息安全管理方面的先进知识；探索开展信息技术外包审计，吸取外部审计的经验和技巧，提高自身的信息技术审计水平。四是鼓励审计人员通过自身努力更新计算机知识。鼓舞审计人员信心，消除他们的畏难情绪，使其踊跃投入到信息技术审计工作中。鼓励内审人员参加计算机培训或认证，给予一定的奖励，使更多的内审人员能够掌握基本的信息技术审计知识。

（三）加强辅助审计软件开发，提高审计工作效率和质量。依托计算机技术来加大审计的力度和深度。一是建立完备的人民银行内审综合管理系统，实现审计全过程信息化管理，包含丰富的人员管理、风险评估和成果利用等功能，真正起到提高效率、完善管理的作用。二是开发计算机辅助审计软件，建立业务系统与审计系统之间的数据采集接口，动态监测业务系统运行情况，加强系统运行报警和预测的能力，及时发现异常事件。三是依托网络建立专门的审计网站，最新的信息技术审计信息、经验交流和疑难解答等，并为下一步实现全面的非现场网络审计做好铺垫，最终构建一个全方位、立体化的综合审计平台。

（四）加强审计标准体系建设，规范和指导信息技术审计操作。应积极与国内外著名信息技术审计协会、组织的交流合作，借鉴先进的信息安全风险控制经验，建立起符合人民银行实际的信息技术审计标准体系。科学立项，完善审计方案设计，设计并运用审计检查表规范检查操作方法，客观分析信息系统的安全性及潜在风险，提出科学的改进建议。以标准化的审计，指导基层行信息技术审计工作实践，使审计规范运作，并最终形成系统全面、客观公正的审计结论。

（五）加强审计转型工作，提高审计质量与深度。要拓展风险导向审计、管理审计、集成审计和绩效审计的新领域。建立信息技术审计风险评估体系，在对信息系统风险评估的基础上，以风险为导向安排审计项目和频率，有所侧重地实施检查，分配审计资源，提高信息技术审计的效率和质量。加深信息技术审计与业务审计的相互渗透，由信息技术审计人员与业务审计人员相互配合，跟踪业务处理的整个流程，综合评价业务和应用系统的处理和控制情况，使审计结果更贴近央行业务实际，提升审计成效。

（六）加强与业务部门的沟通交流，扩大审计的影响力。内审部门要避免“闭门造车”的保守思想，实施“走出去”战略。一是积极主动参与科技部门、业务部门的工作，介入信息系统开发和运维过程，从完善内控、消除风险的角度积极建议，树立全程跟踪、整体审计的理念。二是积极推进计算机辅助审计工作，开发审计接口程序，对重要系统实行非现场实时监督，及时获取审计线索，增强监督及时性和有效性。三是加强信息技术审计成果转化工作，对审计结果作阶段性总结，对发现的典型性、规律性问题或成功经验进行归纳、分析、加工和利用，探讨改进科技管理工作的对策。以多种形式审计结果，扩大审计成果影响面，为行领导、部门负责人乃至业务经办人等各层次的人员提供增值服务，扩大信息技术审计工作的影响力。

本文作者：梁敏作者单位：中国人民银行上海总部