万玉俍 刘 佳 人民银行临夏州中心支行

基层行信息技术审计中的问题及建议

万玉俍 刘 佳 人民银行临夏州中心支行

随着人民银行信息化和信息技术审计业务的发展，基层行信息技术审计作为一种独立的审计类型对确保信息系统安全、增强信息安全意识、提高信息风险防范能力等方面都发挥了积极作用。在目前数据集中及两级系统部署架构下，如何有效开展信息技术审计,保障信息系统安全,成为基层人民银行研究的重要课题。

内部审计;信息技术审计

随着信息化在人民银行履行金融宏观调控、提供金融服务、维持金融稳定等职责中的支撑作用不断增强，对信息系统的可用性、可靠性、安全性引提出了更高要求。信息技术审计对确保信息系统安全、增强信息安全意识、提高信息风险防范能力，促进科技综合管理能力等方面都发挥了积极作用。基层行信息技术审计工作成效逐步显现，同时也存在一些问题。

1.基层人民银行信息技术审计现状

人民银行信息技术审计作为内审部门对被审计单位的计算机信息系统及其相关信息技术的内部控制和科技管理流程开展的检查和评价活动，自1999年筹备至今已十几年时间。信息技术审计在规范建设、项目实施、队伍建设、信息化建设等方面都取得了显著成效。

1.1 制度体系进一步健全。随着对信息技术审计相关理论、标准等的学习，以及审计业务实践不断积累，上级行先后制定下发了《中国人民银行计算机信息系统内部审计规程》等规章制度，尤其是《中国人民银行信息技术审计规范》的发布，明确了人民银行信息技术审什的一般原则、审计内容、审计方法，以及审计程序等。人民银行在制度建设上基本涵盖信息技术审计的各个方面，各项规章制度不断完善。

1.2 审计成效逐步显现。自2001年起人民银行每年都开展信息技术审计，基层行审计的力度不断加大，多层次、多角度的信息技术审计，进一步促进信息安全管理水平和安全意识的提高。发现和修复了信息系统漏洞，规范信息系统使用操作，有效促进了信息系统内部控制和风险管理水平的提高。切实发挥了内部审计在科技综合管理工作中的“防火墙”作用。

1.3 计算机辅助工具得以应用。在开展信息技术审计的同时，上级行也特别重视审计部门自身的信息化，先后上线运行了内审业务综合管理系统、计算机辅助审计系统等系统，还推荐使用ACL(Audit Command Language,审计指令语言)等工具。计算机辅助审计系统及其他辅助工具的使用，提高了信息技术审计的效果和效率。

1.4 部门间形成良性互动。随着信息技术审计的深入，进一步促进信息技术治理水平的提高，也促使科技部门高度重视审计合规性要求，逐步在制度修订和业务管理中考虑内审的合规性要求。如《中国人民银行信息安全综合规范》、《中国人民银行兰州中心支行科技管理工作规范》，都充分考虑了合规性要求。通过审计，使科技人员能够从审计角度重新审视科技管理工作，为科技管理工作的规范化、科学化、流程化、标准化提供不同的思考视角。同时科技部门结合参与的审计实践，能为内审部门提供更好的技术支持，及审计建议。通过信息技术审计，科技部门和审计部门相互促进共同提高。

1.5 锻炼了队伍积累了经验。长期的信息技术审计工作实践，使审计人员将信息技术审计标准，信息技术与审计工作实践相结合，全面提升审计人员的信息技术审计技能。同时不断强化审计经验积累和审计知识分享，不断完善信息技术审计流程、方式、方法，为信息技术审计业务的发展提供参考和宝贵经验。

2.基层行信息技术审计中的不足

2.1 审计覆盖面有待扩大。信息技术审计应覆盖信息系统整个生命周期的所有活动，以及与信息系统有关的所有资源和应用领域。而目前基层信息技术审计主要针对基础设施审计，对业务应用系统审计开展很少。截至目前信息系统信息技术审计仅开展过TBS（国库核算系统）专项审计。日常审计内容较少关注信息系统参数配置、访问控制等信息系统、信息技术本身的问题。

2.2 审计信息化程度有待提升。目前基层行信息技术审计基本都是以手工操作为主，计算机辅助的自动化审计程度较低，审计效率不高。特别是对网络设备、服务器、操作系统、数据库、业务系统等的信息技术审计缺少辅助审计工具的应用。一个重要原因是上级行开发或推荐使用的计算机辅助审计系统或者工具，整体而言对审计人员的信息技术能力要求较高。如《计算机辅助审计系统》中数据分析工具中就要求审计人员很好理解和掌握SQL语句，对没有技术背景的内审人员门槛较高。

2.3 信息系统对审计的支持有待完善。信息技术审计信息化程度的提高，除了计算机辅助审计工具的应用，还需要便利、完善的审计数据获取途径。在目前数据集中，信息系统两级部署的架构下，有些业务系统没有审计数据获取接口，使基层行信息技术计算机辅助审计缺少审计数据获取途径。

2.4 审计队伍建设有待加强。虽然上级行加大了对信息技术审计相关培训的力度，但由于基层行大部分审计人员具有业务背景而无技术背景，整体技术水平起点较低。尤其是内部机构调整后，纪委监察室与内审科合署办公，内审人员较少而且年龄结构偏大，由于各种原因，学习相关技术的动力不足。

3.对基层行信息技术审计的建议

3.1 深入学习相关标准框架和先进经验，完善信息技术审计覆盖范围。由《中国人民银行信息技术审计规范》可以看出人民银行信息技术审计目标已与国际标准接轨。鉴于目前信息技术审计业务实际，基层行还需要深入学习审计标准框架和先进实践经验。不断完善信息技术审计覆盖范围，确保信息技术审计对信息系统的全生命周期覆盖。

3.2 掌握并应用计算机辅助审计工具。在现有的情况下，不断通过各种形式学习掌握计算机辅助审计系统以及上级行推荐的ACL等辅助审计工具的使用，通过计算机辅助工具对人民银行各类信息系统数据进行采集、分析、处理，查找异常变动或差异，为现场审计提供线索，提升信息技术审计的效率和效果。

3.3 建议上级行研究开发更加易用、有效的计算机辅助系统以及完善信息系统信息技术审计数据获取途径。辅助工具应降低对审计人员的技术要求，增强易用性。同时考虑信息系统的审计数据获取途径，为审计人员提供审计数据提取工具或者接口，对基础行审计人员而言，使计算机辅助审计成为可能。

3.4 加强信息技术审计队伍建设。信息技术审计对审计人员专业能力提出了很高的要求，这就要求基层行加大对现有审计人员的培训力度，鼓励审计人员加强自学，取得职业资格，尽可能提升现有审计人员能力。同时优化信息技术审计队伍结构，补充具有技术背景的审计人员。

[1] 宋东霖. 论信息技术对审计的影响[J].中国管理信息化. 2016(04)