人民银行信息技术审计思考：以湖南为例

作者：中国人民银行长沙中心支行 蒋岩

湖南省人民银行信息系统建设情况

湖南省人民银行现有各项业务管理和内部管理信息系统156个，其中业务管理系统109个、占70%，内部管理系统47个、占30%。从开发主体情况来看，由人民银行总行统一组织开发的系统有104个，占66.7%；由湖南省级行组织开发的系统有46个，占29.5%；由湖南省各地市行组织开发6个，占3.8%。

从数据存储情况来看，由总行建立集中统一数据库存储数据的有80个，占51.3%；由湖南省级行建立集中统一数据库存储数据的有70个，占44.9%；由湖南省地市行建立集中统一数据库存储数据的有6个，占3.8%。从网络部署情况来看，业务网146个，占93.6%；办公网2个，占1.3%；互联网8个，占5.1%。从使用频率情况来看，人民银行各信息系统使用频率相差较大，有每日、每周、每月、每年不同的频率。每日使用的117个，占75%；每周使用的5个，占2%；每月使用的16个，占10.9%；每季使用的8个，5.1%；每年使用的9个，占5.8%。

人民银行信息技术审计现状

1.信息技术现有审计制度

人民银行信息技术审计与一般性业务和管理审计的差别较大，在对信息技术审计过程中除了适用一般性制度办法和法律法规外，信息技术审计的特殊性，还应研究、制定与之相适应的的审计技术标准、审计规范性文件、审计管理办法和审计方案。各级人民银行现有信息技术审计制度主要有以下几个。

（1）中国人民银行信息技术审计规范

现有人民银行信息技术审计规范充分借鉴了国内外信息技术审计标准，立足人民银行科技管理实际，参考了人民银行信息化发展规划。规范明确了工作方法，流程及审计标准等。

（2）计算机信息系统监督检查工作暂行规定

2001年出台的《计算机信息系统内审监督检查工作暂行规定》是人民银行较早的对信息系统进行内部审计的规定。规定正式明确了人民银行各级内审部门可以并应该对信息系统的开发建设、运行环境、使用和维护、内部控制进行监督、评价。

（3）中国人民银行关于加强计算机信息系统内部审计工作的指导意见

2003年出台的《中国人民银行关于加强计算机信息系统内部审计工作的指导意见》对审计对象、目标、主要内容、程序与方法作出了具体要求，为信息技术内部审计工作提供了规范性文件。有的人民银行分支机构针对指导意见，出台了相应的规范性文件。

（4）信息技术审计方案

在对信息技术审计实践过程中，针对人民银行科技管理风险的特点，形成了具有一定价值的、较成熟的5个方面11个审计方案，具体指导信息化审计项目。一是科技综合管理方面审计方案2个，分别是《地市中心支行科技综合管理专项审计方案》《县支行科技管理专项审计方案》；二是机房管理审计方案2个，分别是《计算机机房运行管理专项审计方案》《机房供电与业务网连续性专项审计方案》；三是网络管理审计方案1个，是《局域网运行管理专项审计方案》；四是应用系统管理审计方案3个，分别是《大额支付系统功能及其运行管理专项审计方案》《国库会计核算业务及系统运行管理专项审计方案》和《人民银行分支行自建信息化项目管理专项审计方案》；五是采购和外包管理审计方案3个，分别是《科技服务外包管理专项审计方案》《电子化设备管理专项审计方案》和《分支行电子化采购管理专项审计方案》。

2.信息技术审计主要项目

湖南省人民银行系统自2000年起开展信息技术审计试点，以重要业务信息系统的操作运行情况为审计重点，对“中央银行会计核算系统”进行了审计。此后，陆续组织全省开展了科技综合管理、自建信息化管理等审计项目，促进了分支行科技管理水平和信息安全意识的提高。近两年，按照总行部署，逐步探索将信息技术审计与业务审计相结合，力求从业务的角度审视技术的支持保障能力，从技术的角度评估业务的风险防控能力。

人民银行信息技术审计存在的问题

1.重视程度不足

多数单位对信息技术审计的重要性认识不足。一是认为信息系统经过层层论证、测试，系统是可靠的，数据处理是准确的，无需对信息系统本身以及系统产生的数据进行审计，但事实上任何一个系统都可能存在漏洞和不足。二是信息系统的管理必须是科学、严格的，再可靠的系统也可能存在人为干预和破坏，而且具有隐蔽性，需要一定的技术手段才能发现。三是对信息系统建设的效益性缺乏必要的评价。因此，认识的滞后在一定程度上影响了信息技术审计。

2.审计方法落后

一是业务数据获取手段落后。现有信息系统在开发时普遍未预留审计接口，大多数业务数据需要靠手工导出，这种提取方法不仅效率低，还由于电子线索存在易删除和易篡改的风险，影响审计和评价的全面性、准确性。二是业务数据分析手段落后。目前能熟练掌握计算机专业知识的内审人员偏少，对业务数据的分析仅停留在电子数据筛选、统计层面，对数据分析、审计模型构建、审计线索获取等方面挖掘深度不够。三是审计介入滞后。同时，对信息系统的审计目前仅限于事后审计，在开发、测试阶段内审人员未介入，对系统功能设计、安全防范等方面进行现场穿行测试或代码走查较少，不便于充分发现信息系统的功能性漏洞。

3.领域不广

一是对信息系统审计的覆盖面较低。从信息技术审计项目开展的覆盖面来看，近5年，对信息系统审计的覆盖率为14.7%，大多数的信息系统从投入使用起未经过任何审计。二是对信息系统的应用控制审计少有涉及。对信息系统的审计仅仅停留在信息系统的软硬件运行环境等外围审计上，对系统本身设计上潜在的风险以及操作运行过程中存在的隐患等应用控制情况，审计基本没有涉及。三是对信息系统本身风险关注少。对信息系统业务流程的可靠性，数据输入、处理和输出的控制的稳定性，信息共享和业务协同的有效性和系统本身防风险能力关注较少。

对人民银行信息技术审计的建议

1.建立信息技术审计机制

一是制定基于风险导向的信息技术审计计划。人民银行运转和维护的信息系统数量众多，涵盖各个业务领域，为工作开展提供了坚实保障。但是，信息系统“重开发、轻维护”的问题仍一定程度上存在，重要信息系统安全管理还有改进空间。我们应以风险为导向，针对重要信息系统指定战略性的中长期审计监督计划，有重点、有步骤地实施审计，促进信息系统管理的规范，保障人民银行业务信息的安全。二是深入推进信息技术审计规范化。2014年颁布的《中国人民银行信息技术审计规范》，对规范信息技术审计工作具有重要作用，我们要继续推进，不断完善信息技术规范化工作。三是初步建立信息技术审计标准化。针对众多的、不同的人民银行信息系统，我们要根据业务发展、系统完善和审计资源的建设发展，按照轻重缓急，先易后难的原则，初步建立和完善信息技术审计的各项标准指标，逐步实现信息技术审计的标准化。

2.加大对信息技术审计的力度

一是努力做到信息技术审计全覆盖，包括所有的信息系统和信息系统的开发全过程。二是按照重要性原则，区别不同业务和不同的信息系统，建立合理的审计频率，促进信息系统的管理，不断进行完善。三是做好对信息系统的审计评价，主要是对信息系统建设的必要性、可行性、有效性、安全性、科学性、稳定性等方面进行分析，客观评价信息系统建设的效率效果。四是深入推进业务审计与信息技术审计相结合，在各类审计中关注信息系统管理控制情况，尤其是系统数据和业务信息的完整性、准确性、有效性、保密性等。五是不断丰富审计方法，创新审计模式，引进新技术，提高对信息技术审计的适应性。

3.充实信息技术审计力量

一是在人民银行队伍建设和人员更新中，加快充实内审部门信息技术人员，以适应信息技术审计新要求，为信息技术审计提供人员保证。二是加大对现有信息技术审计人员和一般审计人员信息技术知识的培训，达到审计人员的知识更新、储备与人民银行信息系统建设同步的要求。三是适度引入外部力量，对于专业性较高的信息系统审计，在不违反保密制度的前提下，可以考虑引进外部力量或者委托外部单位进行审计；加强兄弟行之间的横向业务交流和审计，与科研院所、高校进行信息技术审计交流，以丰富提高信息技术人员审计能力和审计知识。四是为信息技术人员提供良好的理论学习、研究的氛围，为深度信息技术审计，提供技术力量保障。

本文节选自《金融电子化》2019年04月刊

声明：本文来自金融电子化，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。