浅谈基层央行IT审计问题及原因,职称论文.docx
浅谈基层央行IT审计问题及原因,职称论文内容摘要:近年来计算机信息技术在人民银行各业务领域的广泛应用, 信息的存储、传输、加工、处理经过全部使用电子化数据, 传统的手工业务全部退出历史舞台, 传统的可见凭证也由此缺失, 这对央行内部审计工作产生了影响。怎样适应新形势需要, 做好IT审计工作, 作者针对央行IT审计的现在状况, 进行了一些分析, 提出了一些新的思路。 本文关键词语:内部审计,信息技术,问题研究 随着全球信息化和审计理论的发展, IT审计逐步引起人们的关注。十分是近年来计算机信息技术在人民银行各业务领域的广泛应用, 信息的存储、传输、加工、处理经过全部使用电子化数据, 传统的手工业务全部退出历史舞台, 传统的可见凭证也由此缺失, 这对央行内部审计工作产生了影响。无可置疑, 内部审计在银行施行货币政策、金融服务、内部管理等领域中发挥着不可替代的作用, 怎样适应新形势需要, 做好IT审计工作, 是基层央行内审部门面临的一个新课题。 一、IT审计的定义及其特点 (一) IT审计的定义 根据国际货币基金组织的定义, IT审计, 又称信息技术审计, 是指对计算机化的系统进行的审计, 它不仅包括对现有信息系统的审计, 还包括对系统的建立经过、计算机设备和网络管理的审计等, 构成了针对计算机 (包括软件、硬件、网络等) 安全进行审计的一种独立审计业务。由此可知, IT审计牵涉信息系统的整个生命周期, 这不仅仅是一个技术问题, 更是一个管理问题。IT审计的目的就是保证IT系统的可用性、安全性、完好性和有效性, 最终到达强化单位内部控制的目的。 (二) IT审计的特点 1. IT审计是一个经过。 它通过获取的证据判定信息系统能否能保证资产的安全、数据的完好和组织目的的实现, 它贯穿于整个信息系统生命周期的全经过。 2. IT审计的对象综合且复杂。 IT审计从纵向看, 覆盖了信息系统从开发、运行、维护到报废的全生命周期的各种业务;从横向看, 它包含对软硬件的获取审计、应用程序审计、安全审计等。IT审计将审计对象从财务范畴扩展到了同经营活动有关的一切信息系统。 3. IT审计拓宽了传统审计的目的。 传统审计目的仅仅包括 对被审计单位会计报表的合法性、公允性及会计处理方式方法的一贯性发表审计意见 但IT审计除了上述目的外, 还包括信息资产的安全性、数据的完好性及系统的可靠性、有效性和效率性。 4. IT审计是一种基于风险导向审计的理论和方式方法。 IT审计从基于控制的方式方法演变为基于风险的方式方法, 其内涵包括风险管理的整体框架, 如内部环境的控制、目的的设定、风险事项的辨别、风险的评估、风险的管理与应对、信息与沟通以及对风险的监控。 二、央行IT审计的现在状况 (一) IT审计目的逐步明确 在IT审计开展之初, 人民银行将IT审计定位于由审计人员开展的、对计算机信息系统的检查评价, 并先后制定下发了(中国人民银行计算机信息系统监督检查工作暂行规定、(中国人民银行关于加强计算机信息系统内部审计工作的指导意见和(中国人民银行计算机信息系统内部审计规程等一系列规章制度。明确了IT审计目的是促进和维护人民银行计算机信息系统的合规性、安全性、可靠性和有效性;审计对象是各级行和有关直属企事业单位的计算机系统、网络系统、信息技术基础设施和系统运行环境;审计范围包括业务应用系统开发管理、业务应用系统运维管理, 信息技术基础设施、信息系统绩效等。 (二) IT审计范围逐步拓展 从2001年起, 人民银行每年都开展IT审计, 先后完成了19种IT审计项目, 审计对象牵涉人民银行职能部门、各级行和直属企事业单位, 审计范围覆盖了网络管理与安全、操作系统和数据库管理、电子化设备管理、大小额支付系统、会计核算系统、国库系统、征信系统和反洗钱系统等业务领域, 有效促进了信息系统内部控制和风险管理水平的提高。 (三) IT审计平台逐步搭建 2018年以来, 在内审转型三年规划中, 人民银行积极探寻求索风险导向信息技术审计。一是根据人民银行治理构造、业务和科技管理的风险特点, 尝试建立了信息技术风险评估模型。二是根据人民银行科技管理实际, 对信息技术审计项目进行梳理, 制定了人民银行信息技术审计项目清单, 分为科技管理、基础设施、应用系统和数据中心四大类, 共76个项目。并根据风险评估模型对信息技术审计清单中的应用系统类项目进行风险评估。三是加大了计算机辅助工具的研发利用, 已建立了内审业务综合管理系统, 大力推动ACL软件在审计项目中的使用, 2020年12月人民银行计算机辅助审计系统在部分城市试点等, 信息技术审计正在向规范化、电子化、标准化、国际化轨道迈进。 三、基层央行IT审计存在的问题及原因分析 (一) 审计理论和制度缺失 IT审计是审计理论的新兴领域, 当下有关它的研究尚不够深切进入, 阐述与定义尚不统一, 给IT审计的实践带来一定程度的混乱。同时人民银行信息技术安全管理制度的建设总体滞后于信息系统推广上线的速度, 人民银行内审司虽制定了(计算机信息系统监督检查工作暂行规定、(计算机信息系统内部审计规程等制度, 但不是真正意义上的 IT审计 , 仅处于信息系统 (IS) 审计层次, 属于一般内控操作制度范畴。 (二) 审计观念比拟落后 当前部分基层行对于IT审计的重要性认识缺乏, 对计算机系统盲目信任, 以为由上级行组织开发的系统肯定是安全可靠的, 无需再审计。事实上, 系统是由人来操作和维护的, 再好的系统也无法完全避免恶意分子的毁坏。有些内审人员对IT审计的认识还停留在单纯合规性审计, 对IT投资和系统使用效率问题关注不够, 绩效审计观念还需进一步加强。 (三) 审计手段比拟单一 当前IT审计大多沿用手工方式方法, 通过实地观察, 查阅登记簿、运行日志等文档资料, 并结合上机检查系统设置、程序配置情况等来评价科技管理情况, 审计效率不高。同时人民银行各业务应用系统开发各自为阵, 没有一个统一的标准的数据化接口和通用审计软件, 使业务系统数据采集、转换、分析困难。当前计算机辅助审计仅停留在文字处理和电子表格处理层面, 更深层次的数据收集、挑选、分析应用不多。即使应用计算机对审计数据进行处理, 也多是手工审计方式的简单延伸, 而没有能有意识地利用计算机对审计数据开展深层次的分析。 (四) IT审计人才缺乏 基层央行内审部门脱胎于稽核部门, 配备的人员多以会计和金融专业为主。同时受人员编制、经费和师资条件等限制, 基层央行每年招收的计算机专业人员很少, 内审人员接受上级行IT审计的培训时机较少, 致使审计队伍整体素质难以适应信息化建设和业务发展的需要。 四、改良基层央行IT审计工作的考虑 (一) 转变审计观念, 提高IT审计重要性的认识 内部审计信息化是建立在当代信息化环境基础上, 运用信息化技术方式方法开展内部审计工作的一种有效的技术方式方法。内部审计信息化是内审工作的革命性变革, 是传统内部审计向当代内部审计转变的重要标志, 是内部审计当代化的重要特征, 它对于内部审计工作的方式、程序、质量、管理, 乃至审计人员的思维方式和本身素质都会带来深入的影响。内审部门要充分认识信息技术的发展对内部审计的影响, 转变审计观念, 牢固树立风险导向审计的理念, 要充分借鉴国内外有益经历体验, 创新审计手段和方式方法, 大胆探寻求索信息化环境下的风险导向审计工作, 要充分发挥管理咨询作用, 积极建言献策, 促进IT环境下人民银行各项业务制度和内部控制措施的健全完善和有效执行。 (二) 加强审计制度体系建设, 规范和指导IT审计操作 应积极与国内外着名信息技术审计协会、组织进行沟通合作, 借鉴先进的信息安全风险控制经历体验, 建立统一IT审计标准体系;科学立项, 完善审计方案设计, 设计并运用审计检查表, 规范检查操作方式方法, 客观分析信息系统的安全性及潜在风险, 提出科学的改良建议;要建立信息技术审计风险评估体系, 在对信息系统风险评估的基础上, 以风险为导向布置审计项目和频率, 有所侧重地施行检查, 分配审计资源, 促进IT审计向规范化、标准化发展。 (三) 加强辅助审计软件运用, 优化审计手段与方式 为进一步推动和鼓励辅助审计软件的开发利用, 制度上要明确辅助审计软件的性质和地位, 规定内审部门能够利用辅助审计软件对被审计信息系统进行数据采集、分析等技术操作, 各业务部门开发的系统应预留审计访问接口, 便于审计人员对业务数据进行采集和分析;要加大对开发辅助审计软件的支持力度, 丰富审计软件品种和优化审计软件的各项功能, 做到审计辅助软件和信息系统配套研发和互相促进的良性发展形式。 (四) 加大对审计人才的培养, 提高内审队伍整体素质 鉴于IT审计的专业性特点, 拥有一定数量的合格信息技术审计人员对此项工作的开展至关重要。一是有计划吸收计算机专业人员, 将其培养成审计人员, 使其成为既精通计算机和网络技术又懂审计的复合型人才;二是加大培训力度。组织参加内部审计上岗资格培训和考试, 参加业务职能部门的系统推广培训, 选派人员脱产学习, 鼓励内审人员参加国际注册内部审计师、注册会计师、注册审计师资格考试, 提高审计人员业务素质;三是建立 内审协作人才库 , 实行人才分享机制, 聘请业务专家、信息技术专家作为 内审协查员 , 协助收集审计根据, 提供审计线索, 介入现场审计, 提高审计质效。 以下为参考文献 1梁敏, 人民银行信息技术审计现在状况分析及对策建议J, 金融会计, 2020年第1期。 2中国人民银行内审司 深化人民银行信息技术审计 课题组, 深化人民银行信息技术审计J, 中国金融, 2020年第14期。 3陈自川, 利用IT审计促进信息科技管理J, 金融电子化, 2018年第8期。 4刘俊、徐智纲, 浅议央行信息技术审计的现在状况及对策J, 上海金融, 2008年第11期。