劉 晶

（中國人民銀行濟南分行，山東濟南 250021）

人民銀行信息技術審計規(guī)范在分支行內(nèi)部審計中的應用探索

劉 晶

（中國人民銀行濟南分行，山東濟南 250021）

《中國人民銀行信息技術審計規(guī)范》（Q/ PBC 00001-2014，以下簡稱《規(guī)范》）于2014年3月3日正式發(fā)布，作為人民銀行發(fā)布的首個企業(yè)級技術標準，《規(guī)范》對各級人民銀行信息技術審計工作有序開展，審計質(zhì)量和水平持續(xù)提高，審計發(fā)現(xiàn)和成果深化利用，審計作用和價值有效提升等方面具有重要意義。筆者對《規(guī)范》進行了學習和研究，并將《規(guī)范》應用于人民銀行分支行信息技術審計中，取得了一定成效。

一、審計規(guī)范簡要介紹

《規(guī)范》包括總體要求、審計流程及主要風險、審計檢查指南和審計評價指南4個部分，明確了人民銀行信息技術審計的一般原則、審計內(nèi)容、審計方法和審計程序。一是，《規(guī)范》明確了人民銀行信息技術審計的5個領域、30個流程和138個子流程，詳細說明每個流程的風險，每個子流程的審計目標、審計要點和審計方法，涵蓋了當前和今后一段時期內(nèi)人民銀行信息技術審計的所有內(nèi)容。二是，《規(guī)范》的審計檢查指南中對每個子流程的審計目標、控制活動和審計檢查內(nèi)容進行了界定，全面覆蓋了審計要點和審計方法，并列示審計中發(fā)現(xiàn)的常見問題供審計人員參考。三是，《規(guī)范》的審計評價指南參照《信息及相關技術控制目標》（COBIT①COBIT（Control Objectives for Information and related Technology，即信息及相關技術控制目標），由ISACA（國際信息系統(tǒng)審計與控制協(xié)會）發(fā)布，詳見www.isaca.org/cobit/。）的管理成熟度模型，結(jié)合人民銀行信息技術管理實際，針對30個審計流程確定了5級管理成熟度指標，為審計評價開展提供了指導。

二、審計規(guī)范在分支行信息技術審計中的應用

（一）根據(jù)實際選擇審計內(nèi)容，明確審計重點

如前所述，《規(guī)范》內(nèi)容全面，覆蓋了信息技術審計的所有內(nèi)容，但對于分支行來說，有些審計內(nèi)容主要適用于總行或直屬企事業(yè)單位，根據(jù)《規(guī)范》開展信息技術審計時，不能簡單的直接去選擇某個領域或某個流程，而要根據(jù)審計對象實際，有針對性的選擇相關子流程開展審計工作。筆者對《規(guī)范》中的流程和子流程進行梳理，結(jié)合科技專業(yè)風險評估結(jié)果和地市中心支行實際，遵循“風險引導審計、審計關注風險”的原則，確定了4個審計領域、17個流程和59個子流程，納入轄區(qū)地市中心支行科技綜合管理專項審計范圍，便于審計人員把握現(xiàn)場審計重點和需關注的風險。（表1）

（二）進一步細化審計方法，指導現(xiàn)場審計

《規(guī)范》是人民銀行開展信息技術審計的總體性指導標準，限于篇幅，對于網(wǎng)絡安全、主機安全和應用安全等操作性強的審計流程，《規(guī)范》中的審計方法重點介紹了調(diào)閱哪些資料、采取哪種檢查形式、檢查哪些內(nèi)容等，未對現(xiàn)場檢查過程進行詳細描述。因此，為更好地發(fā)揮《規(guī)范》的指導作用，筆者對《規(guī)范》中部分審計方法進行了進一步細化，形成了一系列的審計指南。例如審計流程“網(wǎng)絡安全”中的子流程“網(wǎng)絡設備安全防護”部分，有1項控制活動是：“應對登錄網(wǎng)絡設備的用戶進行身份鑒別，對管理端口設置訪問控制，對網(wǎng)絡設備遠程登錄，應采用加密通訊協(xié)議”，對應審計檢查內(nèi)容為：“調(diào)閱網(wǎng)絡設備配置文件，檢查對console、AUX、vty端口是否設置登錄失敗次數(shù)、登錄超時等控制措施，是否對網(wǎng)絡設備的管理員登錄地址進行限制，分析可登錄網(wǎng)絡設備的地址是否合理；是否對遠程登錄進行有效管理，能否保護傳輸中的身份鑒別信息”。

表1 地市中心支行科技綜合管理審計涉及的流程和子流程

《規(guī)范》中的以上內(nèi)容，為審計人員提供了基本的審計方法和內(nèi)容。但在審計實施中，需要審計人員能夠根據(jù)網(wǎng)絡設備類型和品牌進一步細化審計內(nèi)容才能取得良好審計效果。為此，需要進一步梳理人民銀行常用的網(wǎng)絡設備、主機操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)，根據(jù)辦公網(wǎng)、業(yè)務網(wǎng)、城域網(wǎng)的不同要求，針對網(wǎng)絡安全、主機安全和應用安全流程中操作性較強的部分，分別編制檢查對照表，包括AIX、HPUnix、SUSELinux、SCOUnix、Windows等5類操作系統(tǒng)，Oracle、DB2、SQLServer等3類數(shù)據(jù)庫，CISCO、H3C、華為、邁普等4種品牌的網(wǎng)絡設備，MQ、WAS等2類中間件的具體審計操作方法，以指導現(xiàn)場審計。

（三）根據(jù)評價指南，探索審計評價

利用管理成熟度指標開展審計評價，是信息技術審計轉(zhuǎn)型的重要組成部分，能夠提高審計報告的可讀性，改善審計建議的有效性，為審計情況的比較和分析奠定基礎；同時也有利于被審計單位有針對性提高信息技術工作水平。筆者對審計評價指南進行認真學習，選擇重點流程，設計了部分輔助性定量評價指標，與5級管理成熟度指標相結(jié)合，對地市中心支行相關審計流程進行了探索評價。

1.選擇重點審計流程，進一步分解評價內(nèi)容。

根據(jù)風險評估結(jié)果和地市中心支行實際，選擇物理環(huán)境安全、網(wǎng)絡安全、主機安全、應用安全、運維操作管理、變更管理等6個審計流程，按照《規(guī)范》的審計評價指南，進一步分解評價內(nèi)容，從制度、人員、控制的全面性、控制的有效性等方面進行評價。例如，對網(wǎng)絡安全流程進行管理成熟度評價，將該流程審計評價分解為四個部分：一是網(wǎng)絡安全制度、策略、技術指引建設；二是網(wǎng)絡管理人員技術能力；三是網(wǎng)路安全控制的覆蓋面（是否覆蓋全部網(wǎng)絡、網(wǎng)絡內(nèi)全部設備和終端）；四是網(wǎng)絡各個域安全控制的有效性（訪問控制是否嚴格、日志記錄和分析是否有效等）。

2.設計輔助性定量評價指標，開展成熟度評價（以網(wǎng)絡安全流程為例）。

結(jié)合相關流程成熟度評價內(nèi)容，筆者設計了部分定量評價指標作為輔助。例如，針對網(wǎng)絡安全流程設計了部分定量評價指標（表2）。

表2 網(wǎng)絡安全管理流程中的定量評價指標

通過現(xiàn)場審計計算，審計對象網(wǎng)絡參數(shù)變更審批率為100%、網(wǎng)絡接入審批率為85%、核心網(wǎng)絡設備遠程訪問控制有效率為75%、核心網(wǎng)絡設備安全配置合規(guī)率為63%、核心網(wǎng)絡設備日志記錄有效率為25%、非法外聯(lián)系統(tǒng)覆蓋率為92%。

綜合審計對象制度建設、網(wǎng)絡管理人員技術能力等情況，充分借鑒《規(guī)范》中的管理成熟度指標，將審計對象網(wǎng)絡安全管理能力最終評價為三級，即“審計對象根據(jù)上級行制定的網(wǎng)絡安全管理制度和配置指引進行網(wǎng)絡安全管理，能夠合理設計網(wǎng)絡結(jié)構(gòu)和訪問控制策略，按照要求配備網(wǎng)絡設備和網(wǎng)絡管理工具，能夠在外部網(wǎng)絡邊界部署訪問控制設備，重要網(wǎng)絡設備和通信線路已采取備份機制；但由于技術人員培訓不足，以及缺乏有效監(jiān)督機制，網(wǎng)絡安全要求并未全部落實到位?！?/p>

3.根據(jù)成熟度等級，提出審計建議（以網(wǎng)絡安全流程為例）。

審計評價指南的5個等級成熟度評價指標描述，明確了科技管理工作達到的相應水平。參考各個等成熟度評價指標描述，能夠找出被審計對象距離更高等級成熟度還有哪些差距，幫助其明確工作改進方向，從而有效提高審計建議質(zhì)量。以網(wǎng)絡安全流程為例，筆者參考評價指南中四級成熟度的要求，提出有針對性的審計建議：一是要求其做好審計發(fā)現(xiàn)問題整改工作，加強網(wǎng)絡接入審批、網(wǎng)絡設備安全配置等工作管理，保證處于成熟度位于三級不下降；二是從提高科技管理水平要求出發(fā)，按照四級成熟度標準，結(jié)合本行實際，將配備日志記錄或?qū)徲嫹掌髁腥肴粘?，以收集安全信息和?shù)據(jù)，及時發(fā)現(xiàn)解決安全管理方面的風險和隱患；將網(wǎng)絡訪問控制粒度縮小為單個計算機級別；在所有網(wǎng)絡邊界部署安全防護設備。

三、意義

（一）《規(guī)范》的發(fā)布和實施，對提高信息技術審計質(zhì)量有很大幫助

《規(guī)范》一是全面覆蓋人民銀行信息技術審計范圍，能夠保證審計不遺漏重要內(nèi)容、不忽略重要風險；二是通過審計內(nèi)容和方法的介紹，帶給審計人員清晰的審計思路，能夠提高審計效率和效果；三是通過5級成熟度指標，明確了審計評價標準，使審計人員能夠更加客觀的開展審計評價，并根據(jù)評價結(jié)果提出改進建議?！兑?guī)范》從審計內(nèi)容選擇、現(xiàn)場審計開展、審計報告評價，到審計建議提出等各方面，進行全方位指導，能夠進一步提高信息技術審計規(guī)范化水平，提高審計質(zhì)量。

（二）在實施審計時，要結(jié)合工作實際，明確審計范圍

《規(guī)范》中的部分審計流程和子流程由于只適用于總行或總行直屬企事業(yè)單位，分支行在開展信息技術審計時需要結(jié)合審計對象實際，首先確定審計涉及的流程和子流程，明確審計范圍，再根據(jù)《規(guī)范》的審計檢查指南和審計評價指南，開展審計工作。分支行內(nèi)審部門在《規(guī)范》指導下可靈活開展信息技術審計項目，既可以開展包含所有相關流程的信息技術全面審計；也可以結(jié)合風險評估結(jié)果和審計對象業(yè)務實際，選擇特定領域、特定審計流程開展審計；還可以根據(jù)信息系統(tǒng)開發(fā)進程，事中介入，進行開發(fā)過程跟蹤審計。

（三）審計評價開展有難度，但應積極探索

開展審計評價能夠?qū)徲媽ο蟮墓芾砬闆r進行清晰的界定，便于比較和分析，有效提高審計建議質(zhì)量。但從審計實踐來看，審計評價也是審計中的難點之一，主要表現(xiàn)在針對某個環(huán)節(jié)或流程的評價比較容易開展，但將各環(huán)節(jié)或流程的評價綜合起來得出對審計對象總體管理情況的評價存在一定難度。《規(guī)范》中的審計評價指南為審計人員提供了流程成熟度定性評價指標，統(tǒng)一了評價標準，能夠指導審計人員針對特定審計流程開展評價，但如何對科技管理總體情況進行客觀評價還需要進行深入探索和研究。筆者認為構(gòu)建輔助性評價指標和模型，采用定量與定性評價相結(jié)合的方式，是實現(xiàn)對審計對象的總體評價一種較好的形式。

（四）需要進一步開展針對《規(guī)范》的培訓

《規(guī)范》是人民銀行發(fā)布實施的第一個技術標準，也是內(nèi)審專業(yè)制定的第一個標準，相對于科技等制定標準較多的部門，內(nèi)審人員對于標準的制定和使用還不夠熟悉，如如何有效利用審計指南開展現(xiàn)場審計、如何按照評價指南開展流程的成熟度評價等。因此需要開展廣泛的宣傳和培訓，以進一步提高內(nèi)審人員運用《規(guī)范》開展信息技術審計的能力和水平。

[1]中國人民銀行內(nèi)審司“深化人民銀行信息技術審計”課題組. 深化人民銀行信息技術審計[J]. 中國金融,2012(14)

[2]人民銀行濟南分行課題組. 基于COBIT的央行信息技術審計標準研究[J]. 金融理論與實踐,2012(12):35-38

（責任編輯：何昆燁）

劉 晶，男，漢族，碩士，中國人民銀行濟南分行，工程師。