2005年中国公司治理暨IT治理年会（G2峰会）-会议介绍-会议序言

首页

会议报道

原文

演讲主题：案例：中国人民银行信息系统审计的探索与实践

演讲者： 中国人民银行内审司处长 韩国强

女士们、先生们下午好，非常感谢IT治理年会主办方中国IT治理研究中心的邀请给我们这个机会向大家介绍人民银行信息系统审计的情况。人民银行在IT审计方面还处于起步和探索阶段，我们非常愿意利用这个机会与国内外的同行们一起在这方面开展交流。

人民银行信息技术审计工作开始于2000年，2000年开始在人民银行内审司开展相应的职能机构。这个机构负责人民银行全系统的审计工作组织和开展。为了能够有效的开展计算机信息系统审计，规范信息系统审计的行为活动，我们人民银行内审工作的制度先后制订了三个规定。一个就是计算机信息系统内审监督检查工作的暂行规定。再一个就是关于加强计算机信息系统内部审计工作的指导意见。第三个就是计算机信息系统的内部审计规程。这三个制度是我们人民银行开展信息系统审计工作的重要文件，是我们开展信息系统审计的保障。

那么暂行规定是我们信息系统审计的基础，对信息系统审计的内容、范围、方式方法作出了明确的规定。指导意见主要是为人民银行各分支机构重视、加强和保障信息系统的开展提出了要求。同时对如何开展信息系统审计作出了重要的作用。第三个甚至的规程就是说明人民银行信息系统审计的内容和方法。

我们2000年刚刚开始这项工作的时候，是根据人民银行内审工作人员队伍的状况，我们制订了一个审计计算机应用系统的操作运行管理情况为突破口。不断的探索信息系统审计的方法和内容，逐步扩大审计范围。同时通过审计锻炼审计队伍，培养人才，这样一个指导方针。先后对我们人民银行的中央银行会计核算系统，货币发行管理系统，银行信贷等级咨询系统，国家金库会计核算系统，大额支付系统等6个重要业务应用系统的使用和运行管理情况进行了审计。

那么接下来又开展了对计算机网络及个人办公计算机网络管理情况，计算机软件开发的管理，电子化设备管理，计算机机房运行管理，以及对包括国家外汇管理局计算机网络的管理和审计。这些审计项目的审计范围涉及了人民银行的计算计信息系统，网络系统，重要的应用系统还有计算机机房的应用管理，软件开发还有科技管理等方面。

那么我们的信息系统审计队伍五年来主要是通过以查代训的方式，就是一边审计，一边学习，边学边干的方式，培养了一批人民银行的审计队伍。我们的审计人员主要是来自两个方面。一个是来自原来从事内审工作的人员。这些人通过学习信息技术方面的知识和审计实践，逐渐掌握了信息系统审计的本领。第二个就是来自于我们的科技部门，具备有一定的计算机信息系统方面知识的人员，这些人通过学习和补充审计的理论知识，参加审计实践，通过了用审视的目光从管理的角度来思考问题。

为了更好的了解国际先进的IT治理理念，提高我们人民银行信息系统审计的水平，我们还于中国IT治理研究中心合作开展了对COBIT的研究。研究的目的主要是通过对COBIT的研究，借鉴国际上信息技术治理结构，提高信息技术管理水平提供科学、合理参考，解决COBIT在人民银行信息系统审计的应用问题具有重要意义。

我们审计的内容和方法是这样的，首先我们确定了一个审计的对象。这个审计的对象就是包括人民银行各级行，以及下属的各级单位使用的计算机系统、网络系统，还有信息技术基础设施和审计的环境。那么审计的目标就是通过审计，促进、增强和维护人民银行计算机信息系统合规性、安全性、可靠性和有效性。那么我们这个合规性主要是指计算机信息系统和相关设计的物理安全、逻辑安全以及相关数据文件和信息的安全。可靠性是指系统运行稳定、易于维护，和处理系统的及时、准确和完整。有效性是关于人力、财力和计算机软硬件系统的充分利用。合规性就是指计算机信息系统内部开发或者以及系统运行管理和使用维护等符合有关法规、规章、和规范。

我们开展这项工作的一个总体要求就是要及时全面的介入信息系统审计过程。第二个就是实行风向导向性审计。在对系统所固有的风险和系统内部控制机制进行评估和分析的基础上，对系统高风险和控制环节进行重点检查和检测。第三个就是充分利用计算机辅助审计技术，提高内审工作的技术、装备水平，增强内深人员的信息技术能力。用信息技术的手段来对信息技术的应用和管理进行监督。第四就是在发挥审计工作，查错防弊的同时充分发挥审计工作的管理咨询作用，使审计工作有效的服务于人民银行总体化目标的实现。

那么审计工作的内容主要是包括计算机信息系统开发审计，内部控制功能审计，系统的运行管理审计，还有计算机基础设施管理审计，还有科技综合管理审计等几方面。那么开发审计我们主要是包括系统开发计划和立项的管理，可行性分析、开发组织管理，开发过程的控制，委托开发的管理，系统需求、系统分析、系统设计、数据迁移、系统试运行等方面的审计。那么对系统运行管理的审计主要是包括有关制度的建设、岗位设置和人员管理。那么系统运行的环境，系统软硬件的管理，网络和通信的管理，口令的管理，数据输入和输出的管理，病毒防范的管理，防灾和应急的管理，系统维护升级和废止的管理。那么对于系统内部功能的审计主要包括系统访问控制，权限控制，系统安全策略和系统功能的设置。数据输入输出控制，数据传输控制，数据库控制，日志文件控制，数据备份和恢复的控制等功能。

对计算机基础设施的管理审计主要包括计算机机房管理，网络管理和个人办公计算机管理。对于计算机机房管理审计主要是包括机房的门禁系统、空调系统、防灾系统的管理情况。还有机房管理制度的建立健全情况，相关设备的维护情况。对网络管理的审计主要包括网络整体结构设计的合理性。网络的安全防护能力，持续稳定运行能力等情况。网络管理、维护、制度和措施的建立健全和执行情况。那么对于个人办公用计算机的管理和审计主要是系统的配置、维护和适用。

那么对于科技综合管理情况的审计主要内容包括对计划的管理，对资金的管理，对设备的管理，对外包服务的管理，还有计算机安全的管理。

那么审计的程序和方法。开展计算机系统内部审计工作除了要运用审计的一般性方法和手段以外，还要根据审计工具的特殊性，结合实际情况，在审计的各个阶段探索并运用一系列特有的技术方法和手段。那么审前准备我们是充分运用问卷、调查、走访等方法，了解和掌握准备要审计的信息系统的有关基本情况，主要包括业务的内容和流程，有关制度的要求，系统的基本功能，系统基本控制的主要机制，系统运行的总体情况以及存在的主要问题。

那么在开展上述工作的基础上，通过绘制业务，风险控制的流程图等方法，对审计系统的固有风险进行初步的分析。并对其内部控制机制进行一个初步的评估，以确定审计的重点。

第三步就是拟定详细、具体可操作的审计实施方案。明确审计内容和重点。主要是为了有效的指导和规范审计工作。

第二是审计的实施。主要是对计算机系统的各个关键控制环节进行监督。或者是事后查阅有关的审批文件，开发文档及测试验收报告等资料。那么对系统运行管理的审计主要是通过现场上机察看，查阅系统日志，以及阅读有关文档资料等进行审计。对系统内部控制的审计主要是通过搭建系统模拟运行环境，或者是利用系统的备机进行平行模拟方法对系统的内部功能进行审计检测。那么对于计算机基础设施管理和科技综合管理的审计主要是通过现场观察和测试。

审计的评估和分析。那么对于安全性的评估主要包括物理安全、逻辑安全和数据安全，防护措施是否有效、安全机制是否健全，恢复或者是补救措施是否充分。那么分析存在的安全隐患和控制薄弱环节。对于可靠性的评估主要是包括软件可靠性，硬件可靠性以及系统的可靠性。比如差错和鼓掌发生的机率，防错和容错能力等等。对于有效性的审计主要是内容的高效性。根据评估结果对存在的风险隐患控制薄弱环节，及其危害性进行定量的分析，提出审计结论。

第四个就是审计报告。对于审计发现的问题，要在报告中作出详细的描述和恰当的评价并与被审计部门进行充分的交流和沟通。对于不能取得一致的分歧意见，我们内深部门进行认真的分析，充分吸收被审计部门的合理因素。并且内深部门在审计报告中要准确的描述，同时对不能取得一致的分歧意见要反映在报告中。
那么内深部门在审计报告中准确描述发现问题的同时，对已经或可能导致的后果或隐患进行分析。并指出其严重程度，审计报告中针对发现的问题既提出具体的纠正和改进意见，也提出进一步完善和提高的建议。对于审计报告中专业性和技术性较强的内容，我们也作出解释和说明。

审计的成效就是通过审计人民银行各级机构充分认识到了计算机信息系统审计的重要性。各分行设置了相应的机构，配备了必要的人员和设备，把信息系统开发、应用和管理，监督和审计工作放在了一个同等位置上。改变了人民银行长期以来在信息化方面的一个重建设、轻管理，重应用、轻安全的状况。通过审计也进一步加强了人民银行内部控制和风险管理，建立健全了人民银行信息化管理的规章制度。同时提高了各个部门落实规章制度的一个自觉性，进一步加强了信息技术基础设施可靠运行和安全防护能力，规范了计算机信息系统的运行、维护和操作使用管理。加强了对软件开发项目的管理和控制。为保障人民银行信息资产的安全发挥了作用，促进了人民银行信息化建设的健康发展。

我们审计的依据主要是国家的有关法律法规。第一是国家的有关法律法规，第二是计算机信息系统的国家标准。第三个是人民银行的有关制度。那么经过几年的时间我们也感到了一些问题。目前人民银行信息技术审计的专门人才还比较缺乏。人民银行还不能满足需要。审计人员对存在的安全隐患和控制薄弱环节进行分析、评价和评估的能力还有待提高。第二个节是审计规程。那么信息系统审计的内容和方法还需要今后不断的完善和补充。

第三个就是被审计对象的协调和沟通。一个是要经常和被审计对象进行沟通，及时了解和掌握信息化过程的动态，收集今后对审议有益的信息资料。这个主要是为了避免产生审计与被审计方信息的不对称。第二个就是通过沟通对审计发现的问题取得一个一致的意见。

第四个方面就是现场审计。实施现场审计应该由相关人员进行措施，还有对重要的参数要进行保密措施。

第五就是搭建信息技术审计平台。有了这个审计平台就有助于审计部门对于计算机信息系统进行内部控制功能以及有关安全性能的检测。

以上就是人民银行在信息系统审计方面的一些探索，不对之处请大家指正，谢谢大家。