楊勝基 羅偉 熊國權(quán)

近年來，央行的信息技術(shù)應(yīng)用發(fā)展迅猛，從單機(jī)到聯(lián)網(wǎng)，從分散到集中，從單項業(yè)務(wù)到綜合業(yè)務(wù)，逐步形成了安全、高效、規(guī)范的信息化服務(wù)體系。以計算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)和通訊技術(shù)為代表的信息技術(shù)已越來越深入地滲透到央行的各項業(yè)務(wù)中，推動了央行信息化的不斷發(fā)展。與此同時，信息技術(shù)化的浪潮也給傳統(tǒng)金融服務(wù)、風(fēng)險管理和內(nèi)部控制提出了挑戰(zhàn)，對央行內(nèi)部審計的理念、方式和方法提出了全新的要求，成為當(dāng)前央行內(nèi)審部門研究的重要課題之一。

一、央行內(nèi)部審計信息化建設(shè)面臨的問題

1.信息化審計觀念較為落后。一是目前央行內(nèi)審工作主要側(cè)重于執(zhí)行規(guī)章制度的審計，對財務(wù)和資金的審計及對監(jiān)管部門履行監(jiān)管職責(zé)情況的再監(jiān)督為主，偏重查問題、查違規(guī)、查案件，思想仍停留在傳統(tǒng)的現(xiàn)場檢查的概念，對風(fēng)險的監(jiān)控停留在事后的防堵上，難以起到內(nèi)部審計防范風(fēng)險、提高工作質(zhì)量和效率的目的；二是信息技術(shù)審計主要目的是預(yù)防潛在的風(fēng)險，潛在的風(fēng)險并不一定已經(jīng)造成問題的實際發(fā)生，這也在一定程度上影響審計人員的工作思路。

2.信息化審計技術(shù)及手段相對滯后。實踐表明，計算機(jī)輔助審計技術(shù)能夠快速、靈活分析海量業(yè)務(wù)數(shù)據(jù)，實現(xiàn)從抽樣審計到全覆蓋審計，從而有效降低審計風(fēng)險，提高審計效率和效果。近年來，央行內(nèi)審司堅持“重要領(lǐng)域，重點突破”，大力推廣運(yùn)用計算機(jī)輔助審計技術(shù)，扎實推進(jìn)審計手段轉(zhuǎn)型，取得了積極成效，積累了一定經(jīng)驗。但央行至今尚未開發(fā)出可以對審計信息進(jìn)行篩選、比較、歸類、合并、統(tǒng)計、追蹤、分析處理的計算機(jī)輔助審計軟件，審計手段仍以手工操作和事后審計為主。

3.信息化建設(shè)規(guī)劃設(shè)計存在缺陷?！吨袊嗣胥y行關(guān)于加強(qiáng)計算機(jī)信息系統(tǒng)內(nèi)部審計工作的指導(dǎo)意見》規(guī)定科技部門和系統(tǒng)應(yīng)用部門，在組織系統(tǒng)開發(fā)時應(yīng)當(dāng)將有關(guān)情況通報內(nèi)審部門，應(yīng)當(dāng)充分考慮設(shè)置和保留必要的審計線索，重要的系統(tǒng)，應(yīng)當(dāng)設(shè)立必要的審計接口。但在實際執(zhí)行過程中，央行各業(yè)務(wù)系統(tǒng)規(guī)劃設(shè)計都是由職能部門單獨(dú)或與科技部門聯(lián)合開發(fā)，有些是在條件不夠成熟的情況下創(chuàng)造條件“上線運(yùn)行”，規(guī)劃設(shè)計存在不同程度缺陷，導(dǎo)致審計范圍與難度大幅提高。突出表現(xiàn)在：一是各業(yè)務(wù)系統(tǒng)開發(fā)設(shè)計普遍沒有預(yù)留審計接口，給審計監(jiān)督造成了一定的困難；二是系統(tǒng)的測試、評價、推廣應(yīng)用以及約束機(jī)制的建立均未讓內(nèi)審部門提前介入，缺乏對系統(tǒng)功能設(shè)計、安全防范等方面進(jìn)行有效的檢測，從而加大了內(nèi)審工作的難度，增大了審計成本，不利于風(fēng)險的防范。

4.信息化環(huán)境下產(chǎn)生審計風(fēng)險。信息化環(huán)境下，審計風(fēng)險主要有：一是不留痕跡的篡改數(shù)據(jù)。在網(wǎng)絡(luò)環(huán)境中，舞弊者或非惡意攻擊者進(jìn)行數(shù)據(jù)非法修改和刪除，均可不留篡改痕跡，此時無法保證數(shù)據(jù)的完整性和真實性，給內(nèi)審監(jiān)督帶來了風(fēng)險。如ABS、TCBS系統(tǒng)在業(yè)務(wù)處理完畢后，由于可供打印的憑證、報表等記載的信息不充分，數(shù)據(jù)被修改也很難辨認(rèn)其痕跡；二是不確定性的信息損壞，似有若無的防范措施，如防火墻不能有效阻止病毒與黑客的入侵，系統(tǒng)的登錄與訪問密碼失竊等。

5.信息技術(shù)審計標(biāo)準(zhǔn)亟待完善。央行信息技術(shù)審計從2000年對“會計核算系統(tǒng)”審計開始，已初步建立了信息技術(shù)審計基礎(chǔ)體系，但信息技術(shù)審計的標(biāo)準(zhǔn)仍有待進(jìn)一步規(guī)范。央行開展信息系統(tǒng)審計的重心仍然是對業(yè)務(wù)運(yùn)行合規(guī)性的審計，審計準(zhǔn)則沿用傳統(tǒng)審計中以業(yè)務(wù)規(guī)章制度為審計控制標(biāo)準(zhǔn)，沒有明確的審計工作指引和依據(jù)，缺乏一個對系統(tǒng)安全性、可靠性方面進(jìn)行控制、評價的體系。

6.內(nèi)部審計人才結(jié)構(gòu)與信息化水平不相匹配。在信息化環(huán)境下，內(nèi)審人員必須成為通曉現(xiàn)代審計理論與實務(wù)，計算機(jī)技術(shù)及業(yè)務(wù)知識的復(fù)合型專業(yè)人才。以南豐支行為例，2名內(nèi)審人員均來自業(yè)務(wù)部門，業(yè)務(wù)能力雖然較強(qiáng)，但無1人具有計算機(jī)專業(yè)特長，對計算機(jī)知識的掌握有限，難以達(dá)到對計算機(jī)信息系統(tǒng)的網(wǎng)絡(luò)信息安全進(jìn)行技術(shù)性審計的要求。缺乏復(fù)合型審計人才，加之人員培訓(xùn)難到位，難以適應(yīng)央行信息化發(fā)展的要求，影響了信息技術(shù)審計的質(zhì)量。

二、解決問題的途徑方法

1.轉(zhuǎn)變審計觀念，著力開展信息技術(shù)審計。一是樹立信息技術(shù)審計新理念，由差錯糾弊向風(fēng)險導(dǎo)向型審計發(fā)展，致力于風(fēng)險控制、具有一定的超前性、事前防范的信息技術(shù)審計，并根據(jù)對固有風(fēng)險和控制風(fēng)險的測算，確定審計重點、制定審計方案，切實將風(fēng)險減少到最低。二是各級領(lǐng)導(dǎo)對信息技術(shù)的審計應(yīng)給予更多的關(guān)心與重視，大力開展信息技術(shù)專項審計，及時堵塞漏洞和隱患，切實防范信息化帶來的系統(tǒng)風(fēng)險。

2.創(chuàng)新審計技術(shù)，不斷提高監(jiān)督管理能力。一是加強(qiáng)信息技術(shù)審計監(jiān)督方法、手段與業(yè)務(wù)信息技術(shù)系統(tǒng)的匹配建設(shè)，完善和改進(jìn)各項業(yè)務(wù)系統(tǒng)程序，在各業(yè)務(wù)系統(tǒng)程序和管理信息系統(tǒng)上留有審計接口，建立起與被審計部門業(yè)務(wù)接口直接切入、數(shù)據(jù)信息共享的信息系統(tǒng)，使內(nèi)審人員通過該系統(tǒng)能調(diào)閱所有的可讀和可視信息記錄資料，提高審計速度和質(zhì)量。二是建立內(nèi)審部門和計算機(jī)業(yè)務(wù)應(yīng)用系統(tǒng)部門的協(xié)調(diào)、溝通機(jī)制，內(nèi)審部門要全程參與業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)、培訓(xùn)、推廣運(yùn)行過程，同時，有關(guān)的業(yè)務(wù)應(yīng)用系統(tǒng)規(guī)章制度、操作規(guī)程、系統(tǒng)技術(shù)手冊和操作手冊等，應(yīng)及時抄送內(nèi)審部門。

3.加強(qiáng)審計信息化建設(shè)，不斷創(chuàng)新審計方法。一是加強(qiáng)制度建設(shè)。建議總行制定計算機(jī)輔助審計系統(tǒng)操作管理辦法及其實施細(xì)則，實現(xiàn)有章可依；二是加強(qiáng)設(shè)施建設(shè)，配備足夠的審計服務(wù)器（用于存儲審計數(shù)據(jù)的專用設(shè)備）、計算機(jī)輔助審計系統(tǒng)，根據(jù)項目審計需要，不斷創(chuàng)新審計方法應(yīng)用模塊，建立豐富的審計方法庫。

4.提高審計人員的分析水平，規(guī)避信息化審計風(fēng)險。一是對信息系統(tǒng)進(jìn)行關(guān)聯(lián)、抽樣分析等，以發(fā)現(xiàn)審計線索；二是檢查系統(tǒng)的操作員分工、權(quán)限設(shè)置、密碼管理、安全設(shè)置是否合理、安全、有效，系統(tǒng)各個功能模塊設(shè)計是否符合央行內(nèi)控要求；三是采用靈活的審計方式，如可采用就地審計或突擊審計的方式，事先不通知被審單位計算機(jī)管理員，先取得備份數(shù)據(jù)，以防操作員將數(shù)據(jù)篡改、刪除等。

5.借鑒國外成熟權(quán)威的審計準(zhǔn)則，規(guī)范央行信息系統(tǒng)審計控制標(biāo)準(zhǔn)。在制定央行信息系統(tǒng)審計標(biāo)準(zhǔn)規(guī)范時，要考慮信息系統(tǒng)審計剛剛起步，國內(nèi)相關(guān)準(zhǔn)則還不完善的現(xiàn)實情況，同時基于信息系統(tǒng)本身多樣性、復(fù)雜性的特點，逐步探索，從大量分散、單一的系統(tǒng)中，找出其中具有趨同性的控制標(biāo)準(zhǔn)，為信息系統(tǒng)審計實務(wù)提供一個較為全面、統(tǒng)一的評價體系。

6.加強(qiáng)內(nèi)審人員培訓(xùn)，提升信息技術(shù)審計水平。信息技術(shù)審計對審計人員的專業(yè)技能要求較高，特別是要求具備較高的計算機(jī)知識，因此要加強(qiáng)內(nèi)審人員的培訓(xùn)，提高他們的信息技術(shù)應(yīng)用與審計水平，以適應(yīng)信息時代對審計工作的要求。一是盡可能地充實內(nèi)審部門的科技力量，增加既精通計算機(jī)和網(wǎng)絡(luò)技術(shù)又懂審計業(yè)務(wù)的復(fù)合型人才。二是加大對現(xiàn)有內(nèi)審人員的業(yè)務(wù)和計算機(jī)培訓(xùn)力度，進(jìn)行持續(xù)不斷的后續(xù)教育，將現(xiàn)有內(nèi)審人員培養(yǎng)成信息技術(shù)審計人員。

（作者單位：人行撫州市中心支行、人行南豐縣支行）