人民银行的信息系统审计工作开始于2000年,同年,在人行内审司设置了相应职能机构,负责人行系统的信息系统审计工作的组织和开展。为了能够有效开展计算机信息系统内部审计工作,规范信息系统审计行为,根据人行内审工作制度,内审司先后制定了《中国人民银行计算机信息系统监督检查工作暂行规定》、《中国人民银行关于加强计算机信息系统内部审计工作的指导意见》和《中国人民银行计算机信息系统内部审计规程》等制度条例。如今,这三项制度已成为人行信息系统审计工作的重要指南,是人行开展信息系统审计工作的重要保障。
人民银行的信息系统审计工作开始于2000年,同年,在人行内审司设置了相应职能机构,负责人行系统的信息系统审计工作的组织和开展。为了能够有效开展计算机信息系统内部审计工作,规范信息系统审计行为,根据人行内审工作制度,内审司先后制定了《中国人民银行计算机信息系统监督检查工作暂行规定》、《中国人民银行关于加强计算机信息系统内部审计工作的指导意见》和《中国人民银行计算机信息系统内部审计规程》等制度条例。如今,这三项制度已成为人行信息系统审计工作的重要指南,是人行开展信息系统审计工作的重要保障。
审计项目的开展状况审计工作初期,根据内审人员队伍的状况,确定了以下基本工作方针,即以审计计算机业务应用系统的操作运行管理情况为突破口,不断探索信息系统审计方法和内容,逐步扩大审计范围,通过审计,培养人才,锻炼队伍。5年来,先后对人行的“中央银行会计核算系统”、“人民银行货币发行管理信息系统”、“金融统计监测管理信息系统”、“银行信贷登记咨询系统”、“国家金库会计核算系统”、“大额支付系统”等6个重要业务应用系统的使用和运行管理情况,及其系统内部控制功能进行了审计。同时,开展了对计算机网络及个人办公计算机联网运行管理情况、计算机软件开发管理情况、电子化设备管理情况、计算机机房运行管理情况、国家外汇管理局计算机网络及有关业务应用系统运行管理情况的审计。
上述审计项目的审计范围涉及了人行计算机系统、网络系统、重要业务应用系统、数据中心(计算机机房)、软件开发、科技管理等方面。在审计过程中,人行内审司通过“以查代训”的方式,锻炼、培养了一支专业的信息系统审计队伍。审计人员一方面来自于原内审人员,这些人员通过努力学习信息技术方面知识和审计实践,逐渐掌握了信息系统审计本领。另一方面来自于科技部门或具备一定计算机信息系统方面知识的人员,这些人员通过学习、补充审计理论知识,参加审计实践,学会了用审慎的目光,从管理控制的角度思考问题。2004年底,人行内审司邀请ITGov中国IT治理研究中心(简称ITGov)对来自全行各分支机构的40名内部审计人员参加了为期4天的信息系统审计培训,分理论篇、实务篇、案例篇三部分讲授了信息系统审计国内外发展趋势、后SOX法案时代内部控制与信息系统审计、数据库审计、windows审计、Unix审计、数据中心审计、审计管理系统等相关内容,此次培训极大地提高了现有信息技术审计人员的理论基础知识,拓展信息系统审计的审计视野,强化信息系统审计中理论与实践的结合,全面提升了信息系统审计人员的综合素质。
为了更好的了解国际先进的IT治理理念,提高人民银行信息系统审计水平,人行内审司同ITGov合作开展了“中国人民银行IT治理与信息系统审计模型研究”(2004年人行研究局重点课题),对国际通用的IT治理框架和信息系统审计标准“信息与相关技术控制目标”(COBIT)进行深入研究,ITGov凭借自己多年对COBIT的研究,及丰富的资源平台,高水平、高质量地完成了此项研究工作。此研究工作对形成人行信息系统审计评价与判断标准,完善人行信息系统审计操作规程,提高人行信息系统审计的技术和水平,以及对进一步改进人行信息技术治理等均具有重大意义。
IT审计的要求与内容人行IT审计的对象,包括人行各级行以及有关直属企事业单位开发和使用的计算机系统、网络系统、信息技术基础设施和系统运行环境。审计的目标是通过实施审计,促进、增强和维护人民银行计算机信息系统合规性、安全性、可靠性、有效性。IT审计的总体要求,一是要及时、全面地介入信息系统开发建设和内部控制机制建立过程,对这一过程发挥持续监督作用。二是要实行风险导向型审计,在对系统所固有的风险和系统内部控制机制进行评估和分析的基础上,对系统高风险和控制环节进行重点检查和检测。三是要充分利用计算机辅助审计技术,提高内审工作的技术装备水平增强内审人员的信息技术应用能力。四是要在发挥审计工作查错防弊保证作用的同时,充分发挥内审管理咨询作用,使审计工作有效地服务于人行信息化总体目标的实现。人行计算机信息系统的内部审计的内容,包括计算机信息系统开发审计、计算机信息系统内部控制功能审计、计算机信息系统运行管理审计、计算机基础设施管理审计、科技综合管理审计等五个方面。
计算机信息系统开发审计,主要是软件开发项目的组织管理和开发过程控制等情况。计算机信息系统运行管理审计,内容包括有关制度建设、系统运行环境、系统软件和硬件管理、网络和通讯管理、数据输入和输出管理、病毒防范、防灾和应急管理、系统维护、系统升级和废止管理。计算机信息系统内部控制功能审计,主要是系统和数据的安全控制和对它们的操作控制、审计管理功能设置等情况。计算机基础设施管理审计,内容主要包括计算机机房管理、网络管理和个人办公计算机管理情况。对计算机机房管理审计的主要包括机房的门禁系统、供电系统、空调系统、防灾措施和防灾监控系统运行和管理情况,机房管理制度的建立、健全和执行情况,相关设备的运行维护管理情况;对个人办公计算机使用和管理审计的主要内容是配置、使用、维护和管理等情况。
科技综合管理情况审计,内容主要包括电子化计划管理、资金管理、设备管理、外包服务管理、计算机安全管理等情况。IT审计的程序和方法人行在开展计算机信息系统内部审计工作时,除了充分运用审计的一般性方法和技术手段以外,还根据信息系统审计工作的特殊性,结合实际情况,在审计的各个阶段,探索并综合运用一系列特有方法与技术手段。在审前准备阶段,充分运用审前调查方法,了解和掌握拟审计信息系统的有关基本情况;在此工作的基础上,对拟审计的信息系统固有风险进行初步分析,并对其内部控制机制进行初步评估,以确定审计的重点;拟订详细、具体、可操作的审计实施方案。
在审计实施阶段,对于信息系统开发审计,主要是通过同步、适时介入开发过程并对各个关键控制环节进行监督,或者事后查阅有关审批文件、业务需求书、开发文档及测试、验收报告等资料进行审计;对于系统运行管理审计,主要是采取现场观察、上机查看、查阅系统日志、运行维护记录、以及有关业务文档资料等方法进行审计;对于系统内部控制功能审计,主要是通过搭建系统模拟运行环境或利用系统备机,采取平行模拟操作、试探性操作等方法,对系统的内部控制功能进行审计检测;对于计算机基础设施管理和科技综合管理审计,主要是采取现场观察或工具测试、文档和记录检查等方法进行审计。在评估和分析阶段,对于安全性评估,主要包括物理安全、逻辑安全和数据安全,分析存在的安全隐患和控制薄弱环节;对于可靠性评估,主要包括软件可靠性和硬件可靠性以及系统可靠性;对于有效性评估,主要包括效益性和效率性,如投资的合理性、性能的高效性、利用的充分性等。
在拟定审计报告时,对于审计发现的问题,作出详尽的描述和恰当的评价,并与被审计部门进行充分的交流和沟通;内审部门在审计报告中准确描述发现问题的同时,对已经或可能导致的后果或隐患进行分析,并指出其严重程度;针对发现的问题,既提出具体的纠正和改进意见,也提出进一步完善和提高的建议。IT审计初显成效通过审计,人行各级机构充分认识到了计算机信息系统审计的重要性,各分行设置了相应机构,配备了必要的人员和设备,把信息系统的开发应用与管理、监督和审计工作放在同等主要的位置,提高了总行有关部门和分支行对加强信息化建设的管理和保障计算机信息系统安全、稳定运行必要性的认识。
通过审计,人行在计算机机房安全管理方面,计算机、网络系统运行维护和安全管理方面,业务应用系统的使用、操作和内部控制功能方面,软件开发管理方面,以及应急措施、文档管理等相关科技综合管理方面,发现了一些问题、安全漏洞和风险隐患,有关部门根据审计意见和建议,进行了认真整改。通过审计,还进一步加强了人行计算机信息系统有关内部控制和风险管理,推动了人行信息化工作管理规章制度的建设,建立健全了信息化建设过程关键控制环节的管理办法,为实施信息化管理提供了制度保障;建立监督检查机制,提高了落实和执行规章制度的自觉性;进一步增强了机房、网络等信息技术基础设施的可靠运行和安全防护能力,降低了信息技术带来的风险隐患,减少了系统运行、管理方面的安全漏洞;规范了计算机信息系统的运行、维护、使用、操作管理,加强了对软件开发项目管理和软件开发过程的控制,为保障人行计算机信息系统的稳定运行和信息资产的安全发挥了作用,促进了人行信息化建设的健康发展。(作者单位为中国人民银行内审司) (金融时报 韩国强)
- 信息系统运维预算定额参考标准研究[04-09]
- 第2章 跨文化管理理论和实践[01-14]
- 16:什么是关键成功因素法(CSF)?[06-09]
- 24:eSCM-SP(服务提供商外包能力模型)有哪些…[06-10]
- 第4章 跨文化沟通[01-14]
- 治理评论第一期[01-20]
- 治理评论第二期[01-20]
- 治理评论第五期[01-20]
- 治理评论第三期[01-20]
- 治理评论第六期[01-20]
- 治理评论第四期[01-20]
- 太极凭什么中标12306? [09-26]
- 中国国际航空股份有限公司--书评[11-01]