楊勝基 羅偉 熊國(guó)權(quán)

近年來，央行的信息技術(shù)應(yīng)用發(fā)展迅猛，從單機(jī)到聯(lián)網(wǎng)，從分散到集中，從單項(xiàng)業(yè)務(wù)到綜合業(yè)務(wù)，逐步形成了安全、高效、規(guī)范的信息化服務(wù)體系。以計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和通訊技術(shù)為代表的信息技術(shù)已越來越深入地滲透到央行的各項(xiàng)業(yè)務(wù)中，推動(dòng)了央行信息化的不斷發(fā)展。與此同時(shí)，信息技術(shù)化的浪潮也給傳統(tǒng)金融服務(wù)、風(fēng)險(xiǎn)管理和內(nèi)部控制提出了挑戰(zhàn)，對(duì)央行內(nèi)部審計(jì)的理念、方式和方法提出了全新的要求，成為當(dāng)前央行內(nèi)審部門研究的重要課題之一。

一、央行內(nèi)部審計(jì)信息化建設(shè)面臨的問題

1.信息化審計(jì)觀念較為落后。一是目前央行內(nèi)審工作主要側(cè)重于執(zhí)行規(guī)章制度的審計(jì)，對(duì)財(cái)務(wù)和資金的審計(jì)及對(duì)監(jiān)管部門履行監(jiān)管職責(zé)情況的再監(jiān)督為主，偏重查問題、查違規(guī)、查案件，思想仍停留在傳統(tǒng)的現(xiàn)場(chǎng)檢查的概念，對(duì)風(fēng)險(xiǎn)的監(jiān)控停留在事后的防堵上，難以起到內(nèi)部審計(jì)防范風(fēng)險(xiǎn)、提高工作質(zhì)量和效率的目的；二是信息技術(shù)審計(jì)主要目的是預(yù)防潛在的風(fēng)險(xiǎn)，潛在的風(fēng)險(xiǎn)并不一定已經(jīng)造成問題的實(shí)際發(fā)生，這也在一定程度上影響審計(jì)人員的工作思路。

2.信息化審計(jì)技術(shù)及手段相對(duì)滯后。實(shí)踐表明，計(jì)算機(jī)輔助審計(jì)技術(shù)能夠快速、靈活分析海量業(yè)務(wù)數(shù)據(jù)，實(shí)現(xiàn)從抽樣審計(jì)到全覆蓋審計(jì)，從而有效降低審計(jì)風(fēng)險(xiǎn)，提高審計(jì)效率和效果。近年來，央行內(nèi)審司堅(jiān)持“重要領(lǐng)域，重點(diǎn)突破”，大力推廣運(yùn)用計(jì)算機(jī)輔助審計(jì)技術(shù)，扎實(shí)推進(jìn)審計(jì)手段轉(zhuǎn)型，取得了積極成效，積累了一定經(jīng)驗(yàn)。但央行至今尚未開發(fā)出可以對(duì)審計(jì)信息進(jìn)行篩選、比較、歸類、合并、統(tǒng)計(jì)、追蹤、分析處理的計(jì)算機(jī)輔助審計(jì)軟件，審計(jì)手段仍以手工操作和事后審計(jì)為主。

3.信息化建設(shè)規(guī)劃設(shè)計(jì)存在缺陷?！吨袊?guó)人民銀行關(guān)于加強(qiáng)計(jì)算機(jī)信息系統(tǒng)內(nèi)部審計(jì)工作的指導(dǎo)意見》規(guī)定科技部門和系統(tǒng)應(yīng)用部門，在組織系統(tǒng)開發(fā)時(shí)應(yīng)當(dāng)將有關(guān)情況通報(bào)內(nèi)審部門，應(yīng)當(dāng)充分考慮設(shè)置和保留必要的審計(jì)線索，重要的系統(tǒng)，應(yīng)當(dāng)設(shè)立必要的審計(jì)接口。但在實(shí)際執(zhí)行過程中，央行各業(yè)務(wù)系統(tǒng)規(guī)劃設(shè)計(jì)都是由職能部門單獨(dú)或與科技部門聯(lián)合開發(fā)，有些是在條件不夠成熟的情況下創(chuàng)造條件“上線運(yùn)行”，規(guī)劃設(shè)計(jì)存在不同程度缺陷，導(dǎo)致審計(jì)范圍與難度大幅提高。突出表現(xiàn)在：一是各業(yè)務(wù)系統(tǒng)開發(fā)設(shè)計(jì)普遍沒有預(yù)留審計(jì)接口，給審計(jì)監(jiān)督造成了一定的困難；二是系統(tǒng)的測(cè)試、評(píng)價(jià)、推廣應(yīng)用以及約束機(jī)制的建立均未讓內(nèi)審部門提前介入，缺乏對(duì)系統(tǒng)功能設(shè)計(jì)、安全防范等方面進(jìn)行有效的檢測(cè)，從而加大了內(nèi)審工作的難度，增大了審計(jì)成本，不利于風(fēng)險(xiǎn)的防范。

4.信息化環(huán)境下產(chǎn)生審計(jì)風(fēng)險(xiǎn)。信息化環(huán)境下，審計(jì)風(fēng)險(xiǎn)主要有：一是不留痕跡的篡改數(shù)據(jù)。在網(wǎng)絡(luò)環(huán)境中，舞弊者或非惡意攻擊者進(jìn)行數(shù)據(jù)非法修改和刪除，均可不留篡改痕跡，此時(shí)無(wú)法保證數(shù)據(jù)的完整性和真實(shí)性，給內(nèi)審監(jiān)督帶來了風(fēng)險(xiǎn)。如ABS、TCBS系統(tǒng)在業(yè)務(wù)處理完畢后，由于可供打印的憑證、報(bào)表等記載的信息不充分，數(shù)據(jù)被修改也很難辨認(rèn)其痕跡；二是不確定性的信息損壞，似有若無(wú)的防范措施，如防火墻不能有效阻止病毒與黑客的入侵，系統(tǒng)的登錄與訪問密碼失竊等。

5.信息技術(shù)審計(jì)標(biāo)準(zhǔn)亟待完善。央行信息技術(shù)審計(jì)從2000年對(duì)“會(huì)計(jì)核算系統(tǒng)”審計(jì)開始，已初步建立了信息技術(shù)審計(jì)基礎(chǔ)體系，但信息技術(shù)審計(jì)的標(biāo)準(zhǔn)仍有待進(jìn)一步規(guī)范。央行開展信息系統(tǒng)審計(jì)的重心仍然是對(duì)業(yè)務(wù)運(yùn)行合規(guī)性的審計(jì)，審計(jì)準(zhǔn)則沿用傳統(tǒng)審計(jì)中以業(yè)務(wù)規(guī)章制度為審計(jì)控制標(biāo)準(zhǔn)，沒有明確的審計(jì)工作指引和依據(jù)，缺乏一個(gè)對(duì)系統(tǒng)安全性、可靠性方面進(jìn)行控制、評(píng)價(jià)的體系。

6.內(nèi)部審計(jì)人才結(jié)構(gòu)與信息化水平不相匹配。在信息化環(huán)境下，內(nèi)審人員必須成為通曉現(xiàn)代審計(jì)理論與實(shí)務(wù)，計(jì)算機(jī)技術(shù)及業(yè)務(wù)知識(shí)的復(fù)合型專業(yè)人才。以南豐支行為例，2名內(nèi)審人員均來自業(yè)務(wù)部門，業(yè)務(wù)能力雖然較強(qiáng)，但無(wú)1人具有計(jì)算機(jī)專業(yè)特長(zhǎng)，對(duì)計(jì)算機(jī)知識(shí)的掌握有限，難以達(dá)到對(duì)計(jì)算機(jī)信息系統(tǒng)的網(wǎng)絡(luò)信息安全進(jìn)行技術(shù)性審計(jì)的要求。缺乏復(fù)合型審計(jì)人才，加之人員培訓(xùn)難到位，難以適應(yīng)央行信息化發(fā)展的要求，影響了信息技術(shù)審計(jì)的質(zhì)量。

二、解決問題的途徑方法

1.轉(zhuǎn)變審計(jì)觀念，著力開展信息技術(shù)審計(jì)。一是樹立信息技術(shù)審計(jì)新理念，由差錯(cuò)糾弊向風(fēng)險(xiǎn)導(dǎo)向型審計(jì)發(fā)展，致力于風(fēng)險(xiǎn)控制、具有一定的超前性、事前防范的信息技術(shù)審計(jì)，并根據(jù)對(duì)固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)的測(cè)算，確定審計(jì)重點(diǎn)、制定審計(jì)方案，切實(shí)將風(fēng)險(xiǎn)減少到最低。二是各級(jí)領(lǐng)導(dǎo)對(duì)信息技術(shù)的審計(jì)應(yīng)給予更多的關(guān)心與重視，大力開展信息技術(shù)專項(xiàng)審計(jì)，及時(shí)堵塞漏洞和隱患，切實(shí)防范信息化帶來的系統(tǒng)風(fēng)險(xiǎn)。

2.創(chuàng)新審計(jì)技術(shù)，不斷提高監(jiān)督管理能力。一是加強(qiáng)信息技術(shù)審計(jì)監(jiān)督方法、手段與業(yè)務(wù)信息技術(shù)系統(tǒng)的匹配建設(shè)，完善和改進(jìn)各項(xiàng)業(yè)務(wù)系統(tǒng)程序，在各業(yè)務(wù)系統(tǒng)程序和管理信息系統(tǒng)上留有審計(jì)接口，建立起與被審計(jì)部門業(yè)務(wù)接口直接切入、數(shù)據(jù)信息共享的信息系統(tǒng)，使內(nèi)審人員通過該系統(tǒng)能調(diào)閱所有的可讀和可視信息記錄資料，提高審計(jì)速度和質(zhì)量。二是建立內(nèi)審部門和計(jì)算機(jī)業(yè)務(wù)應(yīng)用系統(tǒng)部門的協(xié)調(diào)、溝通機(jī)制，內(nèi)審部門要全程參與業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)、培訓(xùn)、推廣運(yùn)行過程，同時(shí)，有關(guān)的業(yè)務(wù)應(yīng)用系統(tǒng)規(guī)章制度、操作規(guī)程、系統(tǒng)技術(shù)手冊(cè)和操作手冊(cè)等，應(yīng)及時(shí)抄送內(nèi)審部門。

3.加強(qiáng)審計(jì)信息化建設(shè)，不斷創(chuàng)新審計(jì)方法。一是加強(qiáng)制度建設(shè)。建議總行制定計(jì)算機(jī)輔助審計(jì)系統(tǒng)操作管理辦法及其實(shí)施細(xì)則，實(shí)現(xiàn)有章可依；二是加強(qiáng)設(shè)施建設(shè)，配備足夠的審計(jì)服務(wù)器（用于存儲(chǔ)審計(jì)數(shù)據(jù)的專用設(shè)備）、計(jì)算機(jī)輔助審計(jì)系統(tǒng)，根據(jù)項(xiàng)目審計(jì)需要，不斷創(chuàng)新審計(jì)方法應(yīng)用模塊，建立豐富的審計(jì)方法庫(kù)。

4.提高審計(jì)人員的分析水平，規(guī)避信息化審計(jì)風(fēng)險(xiǎn)。一是對(duì)信息系統(tǒng)進(jìn)行關(guān)聯(lián)、抽樣分析等，以發(fā)現(xiàn)審計(jì)線索；二是檢查系統(tǒng)的操作員分工、權(quán)限設(shè)置、密碼管理、安全設(shè)置是否合理、安全、有效，系統(tǒng)各個(gè)功能模塊設(shè)計(jì)是否符合央行內(nèi)控要求；三是采用靈活的審計(jì)方式，如可采用就地審計(jì)或突擊審計(jì)的方式，事先不通知被審單位計(jì)算機(jī)管理員，先取得備份數(shù)據(jù)，以防操作員將數(shù)據(jù)篡改、刪除等。

5.借鑒國(guó)外成熟權(quán)威的審計(jì)準(zhǔn)則，規(guī)范央行信息系統(tǒng)審計(jì)控制標(biāo)準(zhǔn)。在制定央行信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)規(guī)范時(shí)，要考慮信息系統(tǒng)審計(jì)剛剛起步，國(guó)內(nèi)相關(guān)準(zhǔn)則還不完善的現(xiàn)實(shí)情況，同時(shí)基于信息系統(tǒng)本身多樣性、復(fù)雜性的特點(diǎn)，逐步探索，從大量分散、單一的系統(tǒng)中，找出其中具有趨同性的控制標(biāo)準(zhǔn)，為信息系統(tǒng)審計(jì)實(shí)務(wù)提供一個(gè)較為全面、統(tǒng)一的評(píng)價(jià)體系。

6.加強(qiáng)內(nèi)審人員培訓(xùn)，提升信息技術(shù)審計(jì)水平。信息技術(shù)審計(jì)對(duì)審計(jì)人員的專業(yè)技能要求較高，特別是要求具備較高的計(jì)算機(jī)知識(shí)，因此要加強(qiáng)內(nèi)審人員的培訓(xùn)，提高他們的信息技術(shù)應(yīng)用與審計(jì)水平，以適應(yīng)信息時(shí)代對(duì)審計(jì)工作的要求。一是盡可能地充實(shí)內(nèi)審部門的科技力量，增加既精通計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)又懂審計(jì)業(yè)務(wù)的復(fù)合型人才。二是加大對(duì)現(xiàn)有內(nèi)審人員的業(yè)務(wù)和計(jì)算機(jī)培訓(xùn)力度，進(jìn)行持續(xù)不斷的后續(xù)教育，將現(xiàn)有內(nèi)審人員培養(yǎng)成信息技術(shù)審計(jì)人員。

（作者單位：人行撫州市中心支行、人行南豐縣支行）