中央银行：IT审计势在必行

随着计算机信息技术和网络通讯技术在中央银行实施货币政策、金融服务、内部管理等领域的广泛应用，一方面为中央银行贯彻执行货币政策、加强金融服务、完善中央银行内部管理发挥了积极有效的作用。但是，另一方面由于计算机存在着诸多不安全因素和风险隐患，将直接威胁着人民银行的各项工作的正常运行甚至危及整个金融业的安危。因此，全面加强中央银行的IT审计势在必行。

一、 中央银行IT审计的业务范围

根据国际货币基金组织的定义IT审计（Information Technology Audit，简称IT审计）是指对计算机化的系统进行的审计，它不仅包括对现有信息系统的审计，还包括对系统的建立过程、计算机设备和网络管理的审计等，形成了针对计算机（包括软件、硬件、网络等）安全进行审计的一种独立审计业务。

否符合要求。笔者认为对中央银行IT审计的业务范围应包括人民银行计算机业务应用系统、网络系统以及硬件配套设施等。一是近几年人民银行总行研制开发的计算机业务应用系统有：中央银行会计核算系统、货币发行业务处理系统、国库会计处理系统、大额支付系统、小额支付系统、电子联行系统、手工联行电子对帐系统、金融统计信息监测系统、银行信贷登记咨询系统、征信管理系统、人事管理信息系统、外汇业务管理系统、办公自动化系统、全国银行间同业拆借和债券交易系统、银行业机构管理信息系统、中国国债登记系统等，基本含盖了货币政策、金融监管、金融服务和内部管理的各个领域。二是涉及金融系统和国库资金结算、清算、汇划、金融数据、信息、公文传输等重要业务的网络有：支付系统网、金融卫星通信网、金融城市网、人民银行内联网、涉密网等网络。这些网络连接各国有商业银行和城乡信用社，有的地区还和财政、税务、海关相连接，涉及同城、异地资金结算、清算、汇划和重要信息的传输。三是硬件的配套设施包括：硬件的选择和使用是否符合要求，业务区域是否实行分级管理，动力配备是否充分，系统运行环境是否符合标准，机房内是否存放易燃易爆物品，供电系统、防火报警系统是否、防雷电系统和防电磁干扰系统是否符合要求。

二、 加强中央银行IT审计的必要性

中央银行的内审部门成立几年来，运用传统的抽样分析法、盘点清查法、分析复核法、观察查询法等审计方法和手段，为中央银行贯彻执行货币政策，提高金融监管水平，加强金融服务，完善人民银行内部管理，防范人民银行的内部风险做了大量的工作，发挥了积极有效的作用。但是，随着中央银行职能的逐渐转变和电子计算机的广泛应用，越来越多的信息需要利用特定的程序及网络来处理和传递，使得内部审计置于一种新的环境中，仅仅运用传统的审计方法，已远远不能适应新中央银行业务发展的需要。

一是由于电子化业务自身的特点，电子化系统内控配套措施的滞后，操作人员的违规操作，程序维护不及时等将会使潜在的风险演变成不安全事故。二是目前网络间互联平台只安装了防火墙，没有安装入侵监测系统和功能较强的防病毒和黑客入侵攻击的系统设施，涉密网和内联网、业务网没有完全分开，因此不断翻新计算机病毒、黑客和不法分子的主动攻击入侵，也给计算机和网络系统增加了新的不安全因素，无形中增加了业务处理的风险。三是一些人为的风险也无处不在，计算机是按照操作人员的指令进行数据的输入、处理和输出，审计人员在对其进行审计的过程中所能看到的只是磁盘或者打印出来的资料，而本身的磁介质的修改和删除不会留下任何痕迹，这就更增加了日后审计线索的追踪与获得证据的难度，如果系统本身的应用程序出现错误或者被非法篡改，则信息出错的范围将进一步扩大，后果更为严重。四是有些机房的计算机设备的物理环境没有达到要求，防火、防水、防雷等安全保障措施做的不够，有的机房没有备件维修库，如果机器出现故障很难在最短的时间内给予恢复，硬件配套设施的相对滞后将会给计算机带来很大的风险隐患。因此说，金融信息化既给金融业的发展带来了很大的益处但也带来了较大的安全与技术风险。

计算机信息技术应用系统在中央银行业务发展中的地位和作用不容置疑，但是随之而来的高科技犯罪等安全问题也越来越多，传统的以手工查阅帐表、传票为主的审计方法，以不适应高科技发展的需要，因此加强中央银行IT审计是人民银行内审业务发展的需要。

三、加强人民银行IT审计的可行性

中央银行目前广泛采用的是现场审计方式，现场审计一般是在拟定审计方案后，深入被审计单位，通过查阅大量原始资料，详细记录工作底稿，在此基础上完成审计报告，主要侧重于业务某个方面的检查，具有较强的直观性、灵活性和深入性，但不具有全面性和连续性，特别是计算机信息技术应用较多的部门，只运用现场审计无疑加大审计风险。随着人民银行金融信息化的纵深发展，仅仅依靠现场审计方式已不能适应人民银行各项业务的要求，必须采用现场审计与非现场审计有机结合的审计方式，才能适应人民银行业务发展的需要，利用信息技术进行非现场和即时监控是十分必要的，笔者认为加强人民银行IT审计具有一定的可行性：一是借助于人民银行的内联网，建立人民银行系统审计数据库，审计人员可以利用审计数据库实时检索、查询、调阅有关审计资料，帮助内审部门完成审计任务；二是在现行业务系统中，审计人员取得合法的操作权，通过与业务部门的协调沟通，授权审计人员成为合法的用户，享有“读”信息的权利，直接进入信息系统查找数据，监督业务处理的全过程；三是充分利用信息技术建立科学的内控评价系统，开发一套审计功能程序，直接嵌入到业务信息系统，记录操作人员的操作步骤和系统运行轨迹，审计人员可以定期或不定期对信息系统实施审计，实现实时报警功能；四是要严格执行《中国人民银行关于加强计算机信息系统内部审计工作的指导意见》（银发[2003]32）文件的有关规定：“科技部门和系统应用部门在组织系统开发时，特别是在可行性研究、制定业务需求、进行系统设计和系统测试等重要阶段应当及时将有关情况通报内审部门。”内审部门应介入业务部门电子处理系统的开发，从程序设置上制定内控制约的措施，以达到控制和防范风险的目的。五是切实搞好网络出入口的安全管理，进一步搞好内外网之间的物理隔离，安装统一的防病毒系统，严格防止内联网非法外联互联网，保证人民银行重要业务网络和重要金融数据的安全。六是认真抓好机房的建设工作，保证计算机设备和网络的物理安全。

四、加强中央银行IT审计的人文性

“以人为本”是现代经济管理的核心理念，中央银行内审人员的综合业务素质的高低是决定人民银行IT审计的关键所在，审计手段的现代化建设，离不开即熟悉审计理论与实务又精通计算机和网络技术的复合型人才。而目前人民银行的内审人员无论在数量上还是在质量上仍有较大的不足，内审人员的老龄化问题比较突出，部分内审人员在个别领域经验丰富，但对计算机和网络知识了解甚少，就会因为不懂信息技术的特点和风险而无法对信息业务系统进行有效的评审，因此调整内审人员的知识结构及内审部门的人员结构是势在必行的。一是各级内审部门要采取多种方式，对审计人员进行计算机和网络知识的培训，这种培训不仅仅局限于操作，而是要掌握一定的计算机和网络知识的原理，掌握电子信息技术的操作与应用，懂得一些日常工作中业务软件的应用与控制，培养中、高级IT审计人员，能够随时查询、监控业务部门的业务运作情况，从而实现内审部门对被监管部门的监督。二是要适当引进专业IT人员充实到内审部门，在工作中充分发挥他们的专长，将信息技术应用于审计业务中，实现审计手段的改变。三是对于一般的内审人员要进行IT审计知识的普及培训，使更多的审计人员充分发挥内审工作职责，更新IT审计理念，逐步实现内审工作由合规性审计向风险性审计的转变。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。