計算機調研文章

1、淺談人民銀行信息技術審計面臨的問題與對策蘇州市人民銀行 李紅內容摘要：隨著信息技術在人民銀行廣泛應用，人民銀行對信息系統(tǒng)的依存度日益提高。信息系統(tǒng)能否安全、有效運行直接關系到人民銀行職責的履行程度。因此，如何有效開展信息技術審計，保障信息系統(tǒng)安全是人民銀行內審部門難以回避的新課題。因此本文擬通過介紹人民銀行信息技術應用及發(fā)展趨勢，分析目前人民銀行信息技術審計面臨的問題及風險，提出解決問題和化解風險的對策。關鍵詞：人民銀行信息技術 內部審計 對策計算機技術、網絡技術和通訊技術為代表的信息技術已越來越深地滲透到中央銀行的各項業(yè)務中，推動了人民銀行電子化業(yè)務的不斷發(fā)展。同時，信息技術化的浪潮也給人民

2、銀行傳統(tǒng)內部審計產生巨大影響。如何利用信息技術手段對金融信息業(yè)務內部進行審計監(jiān)督管理，關系到整個金融環(huán)境的安全和穩(wěn)定。因此，本文結合近年來基層人民銀行的信息技術審計開展情況，淺談一下信息技術審計的現(xiàn)狀、難點及其對策。一、 人民銀行信息技術的應用及發(fā)展趨勢 （一）信息技術的應用不斷拓展經過近二十年的發(fā)展，人民銀行信息系統(tǒng)的開發(fā)和建設已具有相當規(guī)模。從單項業(yè)務到綜合業(yè)務，從單機到聯(lián)網，逐步形成了安全、高效、規(guī)范的信息化服務體系，為人民銀行的業(yè)務實現(xiàn)全面信息化打下了堅實基礎。目前基層人民銀行的信息技術系統(tǒng)主要有：中央銀行會計集中核算系統(tǒng)（ABS）、貨幣金銀管理信息系統(tǒng)、企業(yè)信用信息基礎數(shù)據庫系統(tǒng)、個

3、人信用信息基礎數(shù)據庫系統(tǒng)、辦公自動化系統(tǒng)等等。按系統(tǒng)功能劃分主要有核算管理系統(tǒng)、宏觀分析系統(tǒng)、外匯管理系統(tǒng)和辦公自動化系統(tǒng)。（二）業(yè)務數(shù)據和資料走向集中存儲目前有貨幣金銀信息管理系統(tǒng)、國庫信息處理系統(tǒng)、企業(yè)信用信息基礎數(shù)據庫系統(tǒng)、個人信用信息基礎數(shù)據庫系統(tǒng)等十多個系統(tǒng)數(shù)據集中到總行，人民幣賬戶管理系統(tǒng)集中到分行或省會中支，中央銀行會計集中核算系統(tǒng)（ABS）集中在地市中心支行。人民銀行即將開展全國和省域兩級數(shù)據中心的建設，今后所有系統(tǒng)數(shù)據將分別集中在總行和分行或省會中支。伴隨著數(shù)據存儲方式的改變，業(yè)務信息逐漸由基層向上級機構集中，相關的業(yè)務憑證和資料也開始逐步由基層向上級機構匯集。同時，隨著電子

4、憑證技術、數(shù)字認證技術和海量存儲技術的發(fā)展和普及，人民銀行業(yè)務流程將實現(xiàn)全面信息化，所有的業(yè)務憑證和資料都將實行集中儲存，業(yè)務處理也將逐漸集中。（三）業(yè)務系統(tǒng)的功能日趨整合從2004年開始，人民銀行加快了信息系統(tǒng)資源整合步伐，通過建立統(tǒng)一平臺，逐步實現(xiàn)相近系統(tǒng)共用硬件資源、共享數(shù)據資源的目標。如：貨幣金銀管理信息系統(tǒng)整合了庫房管理、會計核算、反假管理、現(xiàn)金管理等功能。隨著網絡技術的不斷發(fā)展，信息系統(tǒng)整合必將朝著跨部門、更大范圍方向發(fā)展，并建成公共服務平臺和信息網絡平臺。（四）業(yè)務工作痕跡由單一紙介質向多種介質發(fā)展信息技術應用后，人民銀行業(yè)務工作痕跡留在多種介質上。在不久的將來，電子檔案會取代紙

5、質檔案成為檔案保管的主要方式，乃至唯一方式。電子檔案保存在磁盤、光盤、U盤、移動硬盤以及新型電子媒介之中。二、人民銀行信息技術審計現(xiàn)狀和面臨的難點2000年人民銀行從總行到分行開始成立了信息技術監(jiān)督部門,并從2001年起相繼開展了以信息技術審計為核心的國庫系統(tǒng)、信貸管理咨詢系統(tǒng)安全等一系列專項信息技術審計，這些信息技術審計的組織與實施，一方面提高了內審人員對信息技術的認識，在如何開展信息技術審計方面積累了一定的經驗，另一方面也暴露了信息技術審計中存在的問題與不足。（一）信息技術審計日趨復雜化目前，人民銀行業(yè)務系統(tǒng)的開發(fā)，主要依賴使用部門的意見，導致業(yè)務系統(tǒng)運行方式、流程的多樣化，因而，對業(yè)務系

6、統(tǒng)的實地審計，要求審計人員必須掌握相當程度計算機信息技術，以目前人民銀行內審人員狀況及業(yè)務系統(tǒng)設計深度，要取得較好效果有一定難度，審計過程中，審計人員更多依賴被審計單位操作人員的取證、調取數(shù)據資料，帶來一定的審計風險。 （二）審計手段和技術相對落后目前，人民銀行計算機審計軟件尚未推廣使用，各業(yè)務操作系統(tǒng)也未設置審計數(shù)據接口，內審部門信息技術審計仍沿用傳統(tǒng)手工審計方法、手段，不能利用現(xiàn)代化技術適時掌握各業(yè)務系統(tǒng)信息，從系統(tǒng)處理過程中發(fā)現(xiàn)風險苗頭，以此來確定審計對象和目標。（三）審計線索更具隱蔽性在手工會計核算系統(tǒng)中，從原始憑證到記賬憑證、賬簿記錄以及財務報表的編制，每一步都有文字記錄，都有不同的

7、經手人簽字，審計線索十分清晰。但在計算機業(yè)務系統(tǒng)中，由于數(shù)據存儲介質的磁性化和數(shù)據處理過程的自動化，業(yè)務數(shù)據進入計算機系統(tǒng)之后，由于計算機按程序自動生成會計報表，即使有篡改也不會留有痕跡，加之計算機系統(tǒng)工作日志記錄過于寬泛，每次操作都有記錄，使得有價值的線索隱蔽其中。因此，審計人員發(fā)現(xiàn)錯誤的可能性就減少了，從而增加了審計風險。（四）缺少相應的信息監(jiān)督機構由于沒有專門的信息監(jiān)督機構，不能適時對各個系統(tǒng)進行有效的監(jiān)督，而現(xiàn)有的內審部門甚至不清楚哪些部門有哪些管理、應用系統(tǒng)，各個系統(tǒng)在開發(fā)、升級、培訓、推廣使用時也沒有要求內審人員參加，上級行下達對某系統(tǒng)進行計算機技術審計時又很少進行培訓或培訓面有限

8、，因此人民銀行內審人員對信息技術審計業(yè)務尚不精通。（五）信息技術增加了內控的難度信息技術也改變了內部控制的模式,在手工數(shù)據處理條件下, 內部控制的測試是看得見、摸得著的，內部控制機制完全是人與人之間的相互監(jiān)督和控制。在計算機業(yè)務系統(tǒng)中，內部控制的技術和方法發(fā)生了很大的變化，監(jiān)督和控制主要表現(xiàn)為人和機器的雙重監(jiān)督，大部分控制措施都是以程序的形式建立在計算機業(yè)務信息系統(tǒng)中，肉眼無法覺察。審計人員受計算機專業(yè)知識的影響，要在有限的時間里測試內控制度的合規(guī)性是不現(xiàn)實的，而計算機業(yè)務系統(tǒng)的內控功能是否恰當有效又會直接影響系統(tǒng)輸出信息的真實和準確，內控環(huán)境的復雜性以及內部控制的局限性也使舞弊行為有機可乘，

9、從而增加了審計風險。（六）缺少信息技術審計的標準和準則對于以往手工系統(tǒng)的審計有諸多的審計標準和準則加以參考，但是對于計算機業(yè)務系統(tǒng)進行審計時，由于審計對象和審計線索等發(fā)生了變化，審計的技術和手段也相應地發(fā)生了變化，原來的一些標準和準則就顯得不適用了，新的適用于信息技術審計方面的標準和準則尚未出臺，造成審計人員只能通過閱讀有關操作手冊和管理制度等了解計算機應用系統(tǒng)，但這種了解系統(tǒng)的方法是不夠深入的，也是有限的因此容易產生審計風險。（七）信息系統(tǒng)評審機制存在缺陷現(xiàn)行計算機業(yè)務系統(tǒng)的評審主要側重于軟件功能的構成要素及業(yè)務處理方法的合理性，忽視了審計線索的保全性；評審側重于計算機業(yè)務系統(tǒng)運行的結果與手

10、工一致，忽略了對軟件開發(fā)過程內部控制系統(tǒng)的評價；評審依賴于計算機專家小組及一線操作人員的意見，忽視了軟件的審計特征；評審的結果可能同審計人員的意見產生沖突。這些都給審計人員的工作帶來了一定的困難和風險。三、提高信息技術審計質量的對策建議（一）更新內審工作理念由查錯糾弊向咨詢服務轉變。不少人對內審工作存在這樣一種認識：審計必須發(fā)現(xiàn)問題，否則，被認為審計人員沒有能力或浪費時間。而事實上，發(fā)現(xiàn)問題修正錯誤，只是審計的一個方面，審計更深層次的意義在于確保整個組織人民銀行活動的有效性、效率性、合規(guī)性。因此，人民銀行的計算機審計不應停滯在查錯糾弊階段，而應要求審計人員樹立服務意識，針對存在風險，分析原因，

11、為有關部門加強管理提供咨詢，為領導決策當好參謀。應著眼于服務，著眼于未來，計算機審計目的在于發(fā)現(xiàn)潛在的風險和可能因此發(fā)生的損失，也就是說，在系統(tǒng)仍然保持安全的時候，看到其潛在的風險，著眼于風險的控制。（二）建設信息技術審計平臺整合現(xiàn)有的信息系統(tǒng)，在所有的信息系統(tǒng)中嵌入一個統(tǒng)一的通用數(shù)據接口和執(zhí)行審計功能的程序段，利用專用的審計軟件直接監(jiān)督信息系統(tǒng)處理過程，隨時發(fā)現(xiàn)問題。對開發(fā)的審計軟件在操作上要能使任何一個審計人員易于進入、易于退出該軟件；與被審單位業(yè)務軟件產生的數(shù)據庫文件進行數(shù)據轉換容易，數(shù)據接口兼容性好；軟件運行流暢；能最大限度地接近審計人員在審計現(xiàn)場作業(yè)審查的實際過程。（三）提高審計手段

12、和技術一是要加強對信息系統(tǒng)管理的數(shù)據進行審計。對數(shù)據文件利用審計軟件進行檢查，測試數(shù)據文件中有關數(shù)據計算的正確性，分析評估被審系統(tǒng)中相應數(shù)據的正確性；比較兩個不同數(shù)據文件內的相應記錄，以確定數(shù)據的一致性；采用隨機抽樣或判斷抽樣等方法，從被審的數(shù)據文件中選擇所需的樣本；匯總或重新組織數(shù)據，并執(zhí)行分析工作。同時，要加強對數(shù)據存儲介質的審計，審查其存放環(huán)境是否合規(guī)，是否定期進行檢查和復制，以防止存儲介質消磁而引起數(shù)據消失。二是要加強對信息系統(tǒng)的審計。信息系統(tǒng)軟件開發(fā)階段，內審部門就必須派員參與，以保證系統(tǒng)的合法性、安全性及可審計性。信息系統(tǒng)軟件投入使用后，要審計系統(tǒng)的內部控制功能執(zhí)行情況，確保信息系

13、統(tǒng)的組織操作控制、硬件控制等一般控制和輸入控制、輸出控制等應用控制有效發(fā)揮作用；要審計系統(tǒng)的正確性和效率性，判定是否有邏輯錯誤，是否有冗余。三是要加強對網絡的安全性審計。主要應加強對網絡安全機制和安全技術進行審計，包括接入管理、安全監(jiān)視和安全恢復三個方面。接入管理主要處理好身份管理和接入控制，以控制信息資源的使用；安全監(jiān)視主要功能有安全報警設置以及檢查跟蹤；安全恢復主要是及時恢復因網絡故障而丟失的信息。（四）改進業(yè)務軟件系統(tǒng)的評審機制業(yè)務軟件系統(tǒng)的評審驗收只依賴業(yè)務主管部門的意見，給計算機業(yè)務系統(tǒng)審計工作帶來了一定的困難和風險。因此，需要對業(yè)務軟件系統(tǒng)評審機制進行改進，在業(yè)務軟件通過評審驗收前

14、，要求主管部門充分聽取內審部門的意見，由內審部門和業(yè)務主管部門共同組織專家對業(yè)務軟件系統(tǒng)進行論證，并作出結論，業(yè)務主管部門根據結論，最終作出是否通過評審的決定?；鶎拥膶徲嬋藛T也只需參照論證的結論來審查、評價基層用戶的業(yè)務軟件系統(tǒng)。這樣就使審計人員和業(yè)務軟件系統(tǒng)評審人員共同分擔了評審責任和風險。（五）建立健全信息技術審計的標準和準則面對日益發(fā)展的計算機審計，人們以前建立的審計準則，有的已不適合要求，需要針對新的形勢制定相應的工作標準。建議有關部門應采取有關措施，大力加強對計算機審計的研究，開發(fā)使用審計軟件，完善有關計算機審計標準和準則，建立一系列與新情況相適應的審計準則，除了對憑證、賬簿、報表等數(shù)據文件的實質性審查加以規(guī)定外，更要對被審計系統(tǒng)的健全性、符合性、系統(tǒng)功能的有效性、各項初始化工作準確性加以規(guī)定，使審計人員依據相應的規(guī)定進行審計，將審計業(yè)務風險降低到最低限度。（六）加強內審隊伍建設組織參加內部審計上崗資格培訓和考試，參加業(yè)務職能部門的系統(tǒng)推廣培訓，選派人員脫產學習，鼓勵內審人員參加國際注冊內部審計師、注冊會計師、注冊審計師資格考試，提高審計人員業(yè)務素質。適當引進信息技術人才。通過招聘方式引進審計信息技術人員，或者短期聘請計算機技術專家、網絡專家開展