[DOI]1013939/jcnkizgsc201721205
当前,中国人民银行业务系统底层架构模式统一、业务数据集中、业务处理过程中间环节透明、系统运行维护职责上收等转变逐步常态化,各级行信息系统审计工作应当适时进行调整,切实发挥好审计监督在央行信息化建设和履行金融服务职责中的第三道防线作用。
1关于信息系统审计的理论与实务
11信息系统审计的概念
对信息系统审计的概念审计理论界与实务界尚未有统一的观点,具有代表性的界定有三种:
(1)收集并评价证据,以判断一个计算机系统是否有效做到保护资产、维护数据完整、完成组织目标,同时最经济地使用资源。
(2)为了信息系统的安全、可靠与有效,由独立于审计对象的信息审计师,以第三方的客观立场对计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导层,提出问题与建议的一连串的活动。
(3)内部审计机构和内部审计人员对组织的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。
12中国人民银行信息系统审计开展情况
目前,中国人民银行日常开展的信息系统审计一般作为独立项目或者综合性内部审计项目的组成部分组织实施。内容主要是对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审查和评价。组织层面信息技术控制,是各级行领导层对信息技术治理职能及内部控制的重要性的态度、认识和措施;信息技术一般性控制是指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施,以确保信息系统持续稳定的运行,支持应用控制的有效性。业务流程层面应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。除上述常规的审计内容外,还可以根据特殊风险或者实际需求,组织实施信息系统安全专项审计。
2中国人民银行主要业务系统的发展历程
21中央银行会计核算集中系统
1996年起,中国人民银行先后开发推广了四代中央银行会计核算系统,经历了从手工核算逐步走向数据集中发展的过程。现役中央银行会计核算数据集中系统主要解决了四个方面的问题,一是账务数据分散在地市,会计报表和数据统计需逐级汇总;二是商业银行在人民银行多头摆放资金;三是账务处理由网点完成,处理效率低;四是系统节点分散,不利于灾备系统建设。
22第二代支付系统
2002年以来,中国人民银行相继建成了包括大额支付系统、小额支付系统和支票影像交换系统等主要应用的第一代支付系统。第一代支付系统网络结构、系统功能、业务运行管理都遵循了两级中心、两级网络和两级管理的原则。第二代支付清算系统是全国逻辑集中的版本,第二代支付系统建成后,清算账户的开立和管理、流动性和支付系统风险管理、商业银行参与者的准入、退出和业务权限管理、网络和系统接入及运行管理都集中在总行一级。
23国库会计数据集中系?y
与中央银行会计集中核算系统和第一代支付系统配合运行的国库会计集中系统是单机系统,各级国库数据信息独立存储,每级国库机构均配置系统主服务器和备用服务器。目前使用的国库会计数据集中系统是以办理国库会计核算业务的机构作为国库会计核算主体,成立全国国库业务处理中心,由中心统一组织实施国库会计核算业务处理。
3新形势下信息系统审计面临的难点和问题
一是信息系统风险分布不均匀。《中国人民银行信息技术审计规范》将风险划分为组织与计划、安全技术、开发与采购、运维与外包和应用控制五个层面。数据权限的集中使得系统风险也趋于集中,涉及信息系统组织开发、上线运行、管理配置、运维外包等流程中的风险都向总行集中,而系统的应用操作和网络连通风险则呈下移趋势。
二是信息系统管理的协调机制尚不健全。数据集中后集约化的安全生产运行和管理模式对各相关部门之间的信息沟通和联动运作提出更高要求。要考虑健全系统运行管理的协调机制,从领导层到一线工作人员达成全局共识,从日常维护到应急演练形成紧密协作。
三是缺乏高效易用的信息系统审计软件。目前,单从数量来看,各级内审部门建设了不少审计软件和分析工具,但整体的推广使用率却不高,主要是因为审计软件的开发相对分散,功能较为单一,就某一业务系统的针对性较强,通用性较差。
四是内审部门的技术储备及经验尚不充足。从整体情况来看,与数据集中相配套的灾备建设、等级保护、应急响应等内容都将作为信息系统审计的内容。虽然人民银行近年来为内审部门配备了计算机专业人员,但这些人员往往并没有介入到系统的开发、培训和推广过程中,对系统并不熟悉。加之在开展审计前对内审人员的培训面有限,审计人员对技术和业务掌握的局限性直接导致难以高效开展信息系统审计。
4应对策略
41坚持风险导向原则,统筹规划,精准定位审计重点
一是兼顾业务和技术两方面的风险。全面评估业务发展与科技建设之间的内在联系与互动规律,从组织与制度上合理保证业务和科技的协调发展;二是开展风险评估工作。树立信息系统审计新理念,广泛开展系统风险评估,致力于风险控制;三是借助风险评估结果,根据对固有风险和控制风险的测算,确定审计重点、制定审计方案。
42采取“参与式审计”,增强沟通,提高审计工作质量
与被审计部门建立良好的关系,调动各部门积极性,形成合力。一是加强与科技和业务部门的沟通,寻求与它们的合作;二是就信息系统审计发现,及时向科技和业务部门进行通报和反馈,讨论切实可行的改进措施;三是主动关注科技和业务部门制定的有关制度、操作规程、事故情况、解决措施、处理结果等动态信息。
43借助计算机辅助软件,主动探索,提升审计工作效率
一是充分运用计算机辅助工具对各类业务电子数据进行分析,实现及时监测风险、持续改进控制的目标。二是积极向有关业务部门、技术部门寻求业务和技术支持,与之在系统研究、数据采集、数据分析和疑点核实等阶段建立良好的协调配合机制。三是严格控制数据接触权限,审计过程中涉及的各类系统文档和业务数据,除保障计算机辅助审计所需外,不得向任何部门或个人提供,以保证数据信息的安全。
44转变信息系统审计理念,有的放矢,增加审计工作价值
数据的集中实际上是管理的集中,主要是实现了管理上的透明化。基于人民银行信息系统架构的转变,以往的审计理念相应也要有所改变。一是强化高频、高危领域监督检查,主要内容包括:①机房建设、机房运行维护;②网络运行监控;③信息技术资源连续性管理、数据备份和灾难恢复;④系统用户口令和证书;⑤系统客户端安全防护等。二是弱化由总、分行和省会中支集中管理的业务内容,主要包括:①业务处理和报表统计;②系统升级;③业务系统运行维护管理参数配置管理;④系统访问控制等。
