楊碩??

[摘要]中國人民銀行的信息化建設(shè)處于高速發(fā)展期，信息系統(tǒng)的安全、穩(wěn)定、高效運(yùn)行已關(guān)系到銀行的履職效能和整體形象。按照業(yè)務(wù)統(tǒng)一處理、數(shù)據(jù)集中存儲，信息共享使用的目標(biāo)，中國人民銀行的信息系統(tǒng)呈現(xiàn)系統(tǒng)整合、數(shù)據(jù)集中化趨勢。文章從內(nèi)部審計(jì)視角出發(fā)，主要探討這一轉(zhuǎn)變對信息系統(tǒng)審計(jì)的影響，并就新形勢下的信息系統(tǒng)審計(jì)工作重點(diǎn)和工作方法進(jìn)行分析。

[關(guān)鍵詞]信息系統(tǒng)；數(shù)據(jù)集中；信息系統(tǒng)審計(jì)

[DOI]1013939/jcnkizgsc201721205

當(dāng)前，中國人民銀行業(yè)務(wù)系統(tǒng)底層架構(gòu)模式統(tǒng)一、業(yè)務(wù)數(shù)據(jù)集中、業(yè)務(wù)處理過程中間環(huán)節(jié)透明、系統(tǒng)運(yùn)行維護(hù)職責(zé)上收等轉(zhuǎn)變逐步常態(tài)化，各級行信息系統(tǒng)審計(jì)工作應(yīng)當(dāng)適時(shí)進(jìn)行調(diào)整，切實(shí)發(fā)揮好審計(jì)監(jiān)督在央行信息化建設(shè)和履行金融服務(wù)職責(zé)中的第三道防線作用。

1關(guān)于信息系統(tǒng)審計(jì)的理論與實(shí)務(wù)

11信息系統(tǒng)審計(jì)的概念

對信息系統(tǒng)審計(jì)的概念審計(jì)理論界與實(shí)務(wù)界尚未有統(tǒng)一的觀點(diǎn)，具有代表性的界定有三種：

（1）收集并評價(jià)證據(jù)，以判斷一個(gè)計(jì)算機(jī)系統(tǒng)是否有效做到保護(hù)資產(chǎn)、維護(hù)數(shù)據(jù)完整、完成組織目標(biāo)，同時(shí)最經(jīng)濟(jì)地使用資源。

（2）為了信息系統(tǒng)的安全、可靠與有效，由獨(dú)立于審計(jì)對象的信息審計(jì)師，以第三方的客觀立場對計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評價(jià)，向信息系統(tǒng)審計(jì)對象的最高領(lǐng)導(dǎo)層，提出問題與建議的一連串的活動(dòng)。

（3）內(nèi)部審計(jì)機(jī)構(gòu)和內(nèi)部審計(jì)人員對組織的信息系統(tǒng)及其相關(guān)的信息技術(shù)內(nèi)部控制和流程所進(jìn)行的審查與評價(jià)活動(dòng)。

12中國人民銀行信息系統(tǒng)審計(jì)開展情況

目前，中國人民銀行日常開展的信息系統(tǒng)審計(jì)一般作為獨(dú)立項(xiàng)目或者綜合性內(nèi)部審計(jì)項(xiàng)目的組成部分組織實(shí)施。內(nèi)容主要是對組織層面信息技術(shù)控制、信息技術(shù)一般性控制及業(yè)務(wù)流程層面相關(guān)應(yīng)用控制的審查和評價(jià)。組織層面信息技術(shù)控制，是各級行領(lǐng)導(dǎo)層對信息技術(shù)治理職能及內(nèi)部控制的重要性的態(tài)度、認(rèn)識和措施；信息技術(shù)一般性控制是指與網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)及其相關(guān)人員有關(guān)的信息技術(shù)政策和措施，以確保信息系統(tǒng)持續(xù)穩(wěn)定的運(yùn)行，支持應(yīng)用控制的有效性。業(yè)務(wù)流程層面應(yīng)用控制是指在業(yè)務(wù)流程層面為了合理保證應(yīng)用系統(tǒng)準(zhǔn)確、完整、及時(shí)完成業(yè)務(wù)數(shù)據(jù)的生成、記錄、處理、報(bào)告等功能而設(shè)計(jì)、執(zhí)行的信息技術(shù)控制。除上述常規(guī)的審計(jì)內(nèi)容外，還可以根據(jù)特殊風(fēng)險(xiǎn)或者實(shí)際需求，組織實(shí)施信息系統(tǒng)安全專項(xiàng)審計(jì)。

2中國人民銀行主要業(yè)務(wù)系統(tǒng)的發(fā)展歷程

21中央銀行會計(jì)核算集中系統(tǒng)

1996年起，中國人民銀行先后開發(fā)推廣了四代中央銀行會計(jì)核算系統(tǒng)，經(jīng)歷了從手工核算逐步走向數(shù)據(jù)集中發(fā)展的過程?，F(xiàn)役中央銀行會計(jì)核算數(shù)據(jù)集中系統(tǒng)主要解決了四個(gè)方面的問題，一是賬務(wù)數(shù)據(jù)分散在地市，會計(jì)報(bào)表和數(shù)據(jù)統(tǒng)計(jì)需逐級匯總；二是商業(yè)銀行在人民銀行多頭擺放資金；三是賬務(wù)處理由網(wǎng)點(diǎn)完成，處理效率低；四是系統(tǒng)節(jié)點(diǎn)分散，不利于災(zāi)備系統(tǒng)建設(shè)。

22第二代支付系統(tǒng)

2002年以來，中國人民銀行相繼建成了包括大額支付系統(tǒng)、小額支付系統(tǒng)和支票影像交換系統(tǒng)等主要應(yīng)用的第一代支付系統(tǒng)。第一代支付系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)功能、業(yè)務(wù)運(yùn)行管理都遵循了兩級中心、兩級網(wǎng)絡(luò)和兩級管理的原則。第二代支付清算系統(tǒng)是全國邏輯集中的版本，第二代支付系統(tǒng)建成后，清算賬戶的開立和管理、流動(dòng)性和支付系統(tǒng)風(fēng)險(xiǎn)管理、商業(yè)銀行參與者的準(zhǔn)入、退出和業(yè)務(wù)權(quán)限管理、網(wǎng)絡(luò)和系統(tǒng)接入及運(yùn)行管理都集中在總行一級。

23國庫會計(jì)數(shù)據(jù)集中系統(tǒng)

與中央銀行會計(jì)集中核算系統(tǒng)和第一代支付系統(tǒng)配合運(yùn)行的國庫會計(jì)集中系統(tǒng)是單機(jī)系統(tǒng)，各級國庫數(shù)據(jù)信息獨(dú)立存儲，每級國庫機(jī)構(gòu)均配置系統(tǒng)主服務(wù)器和備用服務(wù)器。目前使用的國庫會計(jì)數(shù)據(jù)集中系統(tǒng)是以辦理國庫會計(jì)核算業(yè)務(wù)的機(jī)構(gòu)作為國庫會計(jì)核算主體，成立全國國庫業(yè)務(wù)處理中心，由中心統(tǒng)一組織實(shí)施國庫會計(jì)核算業(yè)務(wù)處理。

3新形勢下信息系統(tǒng)審計(jì)面臨的難點(diǎn)和問題

一是信息系統(tǒng)風(fēng)險(xiǎn)分布不均勻?！吨袊嗣胥y行信息技術(shù)審計(jì)規(guī)范》將風(fēng)險(xiǎn)劃分為組織與計(jì)劃、安全技術(shù)、開發(fā)與采購、運(yùn)維與外包和應(yīng)用控制五個(gè)層面。數(shù)據(jù)權(quán)限的集中使得系統(tǒng)風(fēng)險(xiǎn)也趨于集中，涉及信息系統(tǒng)組織開發(fā)、上線運(yùn)行、管理配置、運(yùn)維外包等流程中的風(fēng)險(xiǎn)都向總行集中，而系統(tǒng)的應(yīng)用操作和網(wǎng)絡(luò)連通風(fēng)險(xiǎn)則呈下移趨勢。

二是信息系統(tǒng)管理的協(xié)調(diào)機(jī)制尚不健全。數(shù)據(jù)集中后集約化的安全生產(chǎn)運(yùn)行和管理模式對各相關(guān)部門之間的信息溝通和聯(lián)動(dòng)運(yùn)作提出更高要求。要考慮健全系統(tǒng)運(yùn)行管理的協(xié)調(diào)機(jī)制，從領(lǐng)導(dǎo)層到一線工作人員達(dá)成全局共識，從日常維護(hù)到應(yīng)急演練形成緊密協(xié)作。

三是缺乏高效易用的信息系統(tǒng)審計(jì)軟件。目前，單從數(shù)量來看，各級內(nèi)審部門建設(shè)了不少審計(jì)軟件和分析工具，但整體的推廣使用率卻不高，主要是因?yàn)閷徲?jì)軟件的開發(fā)相對分散，功能較為單一，就某一業(yè)務(wù)系統(tǒng)的針對性較強(qiáng)，通用性較差。

四是內(nèi)審部門的技術(shù)儲備及經(jīng)驗(yàn)尚不充足。從整體情況來看，與數(shù)據(jù)集中相配套的災(zāi)備建設(shè)、等級保護(hù)、應(yīng)急響應(yīng)等內(nèi)容都將作為信息系統(tǒng)審計(jì)的內(nèi)容。雖然人民銀行近年來為內(nèi)審部門配備了計(jì)算機(jī)專業(yè)人員，但這些人員往往并沒有介入到系統(tǒng)的開發(fā)、培訓(xùn)和推廣過程中，對系統(tǒng)并不熟悉。加之在開展審計(jì)前對內(nèi)審人員的培訓(xùn)面有限，審計(jì)人員對技術(shù)和業(yè)務(wù)掌握的局限性直接導(dǎo)致難以高效開展信息系統(tǒng)審計(jì)。

4應(yīng)對策略

41堅(jiān)持風(fēng)險(xiǎn)導(dǎo)向原則，統(tǒng)籌規(guī)劃，精準(zhǔn)定位審計(jì)重點(diǎn)

一是兼顧業(yè)務(wù)和技術(shù)兩方面的風(fēng)險(xiǎn)。全面評估業(yè)務(wù)發(fā)展與科技建設(shè)之間的內(nèi)在聯(lián)系與互動(dòng)規(guī)律，從組織與制度上合理保證業(yè)務(wù)和科技的協(xié)調(diào)發(fā)展；二是開展風(fēng)險(xiǎn)評估工作。樹立信息系統(tǒng)審計(jì)新理念，廣泛開展系統(tǒng)風(fēng)險(xiǎn)評估，致力于風(fēng)險(xiǎn)控制；三是借助風(fēng)險(xiǎn)評估結(jié)果，根據(jù)對固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)的測算，確定審計(jì)重點(diǎn)、制定審計(jì)方案。

42采取“參與式審計(jì)”，增強(qiáng)溝通，提高審計(jì)工作質(zhì)量

與被審計(jì)部門建立良好的關(guān)系，調(diào)動(dòng)各部門積極性，形成合力。一是加強(qiáng)與科技和業(yè)務(wù)部門的溝通，尋求與它們的合作；二是就信息系統(tǒng)審計(jì)發(fā)現(xiàn)，及時(shí)向科技和業(yè)務(wù)部門進(jìn)行通報(bào)和反饋，討論切實(shí)可行的改進(jìn)措施；三是主動(dòng)關(guān)注科技和業(yè)務(wù)部門制定的有關(guān)制度、操作規(guī)程、事故情況、解決措施、處理結(jié)果等動(dòng)態(tài)信息。

43借助計(jì)算機(jī)輔助軟件，主動(dòng)探索，提升審計(jì)工作效率

一是充分運(yùn)用計(jì)算機(jī)輔助工具對各類業(yè)務(wù)電子數(shù)據(jù)進(jìn)行分析，實(shí)現(xiàn)及時(shí)監(jiān)測風(fēng)險(xiǎn)、持續(xù)改進(jìn)控制的目標(biāo)。二是積極向有關(guān)業(yè)務(wù)部門、技術(shù)部門尋求業(yè)務(wù)和技術(shù)支持，與之在系統(tǒng)研究、數(shù)據(jù)采集、數(shù)據(jù)分析和疑點(diǎn)核實(shí)等階段建立良好的協(xié)調(diào)配合機(jī)制。三是嚴(yán)格控制數(shù)據(jù)接觸權(quán)限，審計(jì)過程中涉及的各類系統(tǒng)文檔和業(yè)務(wù)數(shù)據(jù)，除保障計(jì)算機(jī)輔助審計(jì)所需外，不得向任何部門或個(gè)人提供，以保證數(shù)據(jù)信息的安全。

44轉(zhuǎn)變信息系統(tǒng)審計(jì)理念，有的放矢，增加審計(jì)工作價(jià)值

數(shù)據(jù)的集中實(shí)際上是管理的集中，主要是實(shí)現(xiàn)了管理上的透明化?；谌嗣胥y行信息系統(tǒng)架構(gòu)的轉(zhuǎn)變，以往的審計(jì)理念相應(yīng)也要有所改變。一是強(qiáng)化高頻、高危領(lǐng)域監(jiān)督檢查，主要內(nèi)容包括：①機(jī)房建設(shè)、機(jī)房運(yùn)行維護(hù)；②網(wǎng)絡(luò)運(yùn)行監(jiān)控；③信息技術(shù)資源連續(xù)性管理、數(shù)據(jù)備份和災(zāi)難恢復(fù)；④系統(tǒng)用戶口令和證書；⑤系統(tǒng)客戶端安全防護(hù)等。二是弱化由總、分行和省會中支集中管理的業(yè)務(wù)內(nèi)容，主要包括：①業(yè)務(wù)處理和報(bào)表統(tǒng)計(jì)；②系統(tǒng)升級；③業(yè)務(wù)系統(tǒng)運(yùn)行維護(hù)管理參數(shù)配置管理；④系統(tǒng)訪問控制等。

參考文獻(xiàn)：

[1]文四立新形勢下人民銀行信息化建設(shè)的路徑[J].中國金融，2008（5）.

[2]張勝藍(lán)ACS環(huán)境下的央行會計(jì)核算風(fēng)險(xiǎn)管理[J].金融經(jīng)濟(jì)，2014（14）.