2004-12-02 00:00 来源:中国人民银行济南分行·王宝运
人民银行以会计电算化为起点进行电子化建设,信息技术的应用已经覆盖货币政策、金融监管、金融服务和内部管理等各个领域,各项工作已基本实现电子化。在计算机信息系统的迅速发展和广泛应用的同时,也带来了难以想象的金融科技风险。这种情况下,作为监督部门的内审部门,在加强计算机信息系统审计,促进计算机信息系统的安全有效运行等方面,无疑起到了重要作用。
一、人民银行开展计算机信息系统审计的主要做法1、确定审计对象。人民银行计算机信息系统审计的对象主要是人民银行各级行以及有关直属企事业单位开发和使用的计算机网络系统、支付清算系统、业务应用系统、管理信息系统和办公自动化系统。
2、确立审计目标。人民银行计算机信息系统审计的目标是通过实施审计,促进、增强和维护人民银行计算机信息系统合规性、安全性、可靠性和有效性。合规性是指系统开发过程、内部控制功能以及系统管理应用、使用和维护等符合有关法规和制度;安全性是指系统硬件和相关设施的物理安全、软件的逻辑安全以及有关数据文件的安全;可靠性是指系统运行稳定、易于维护、恢复以及系统输入、处理和输出数据的及时、准确和完整;有效性是指有关财力、人力资源和系统硬件、软件资源的充分利用,以及系统目标的充分有效实现。
3、提出审计的总体要求。人民银行计算机信息系统审计的总体要求是:一是要及时、全面地介入系统开发建设和内部控制机制建立过程,对这一过程发挥持续监督作用;二是要实行风险导向型审计,在对系统固有风险和系统内部控制机制进行评估和分析的基础上,对高风险系统和重要控制环节进行重点检查和监测:三是要充分利用计算机辅助审计技术,提高内审工作的技术装备水平,增强内审人员的信息技术应用能力;四是要在发挥内审工作查错防弊作用的同时,充分发挥其管理咨询作用,使审计工作有效地服务于人民银行信息化总体目标的实现。
4、明确审计的主要内容。人民银行计算机信息系统审计的主要内容包括:(1)计算机系统开发审计。主要包括:系统开发计划和立项管理、可行性分析、开发组织管理、委托开发管理、系统需求、系统分析、系统设计、系统测试、数据迁移、系统试运行、系统验收等。(2)计算机信息系统运行审计。主要包括:有关制度建设、岗位设置和人员管理、系统运行环境、系统软件和硬件管理、网络和通讯管理、口令管理、数据输入和输出管理、病毒防范、防灾和应急管理、系统维护、系统升级和废止管理等。(3)计算机信息系统内部控制功能审计。主要包括:系统访问控制、权限控制、数据输入控制、数据处理控制、数据输出控制、数据传输控制、数据库控制、日志文件控制、数据备份与恢复控制功能等。(4)计算机基础设施管理审计。主要包括:计算机机房管理、网络管理和个人办公计算机管理情况。对计算机机房管理审计的检查内容包括:机房的门禁系统、供电系统、空调系统、防灾措施和防灾监控系统的运行和管理情况,机房管理制度的建立、健全和执行情况,相关设备的运行维护管理等;对网络管理审计的主要内容包括:网络整体结构设计的合理性、网络承载能力、安全保护能力、持续稳定运行能力,网络管理、维护制度和措施的建立、健全和执行情况等;对个人办公计算机的使用和管理审计的主要内容是计算机的配置、使用、维护管理等。(5)科技综合管理情况审计。主要包括:电子化计划管理、资金管理、设备管理、计算机安全管理等情况。
二、对计算机信息系统审计的进一步思考1、审计部门应该把计算机信息系统审计作为审计工作的重要内容。随着信息技术的发展,信息技术已经逐渐渗透到组织机构运行和管理的各个方面。逻辑上讲,如果各业务部门普遍采用计算机信息系统处理业务,而审计人员在进行审计时,没有对业务部门应用的计算机信息系统进行测试和审计,那么审计得出结论的可靠性就要受到质疑。在审计领域,无论是财务审计还是管理审计,都已经无法与信息系统审计截然分开,今后计算机信息系统审计必将成为审计工作的重要内容。
2、以计算机信息系统审计为基础,不断探索计算机信息技术审计的内容。在西方发达国家,计算机信息技术审计的发展大体经历了以电子数据处理系统(EDP)审计为基础、以计算机信息系统为中心的审计阶段和计算机信息技术审计阶段。早期的EDP审计和信息系统审计主要是为满足对财务电算化系统进行审计的需要,审计的方法是在传统审计的基础上,结合了信息系统管理、行为科学和计算机等方面的知识,是一种以信息系统为中心的审计,一般定义为信息系统审计。随着信息技术的发展,信息技术的应用越来越复杂,技术的更新和变化也越来越快,传统的审计人员和审计方法不能满足计算机信息技术审计的需要。特别是随着网络应用的兴起,对网络系统安全的要求更为严格,对计算机安全的研究逐渐发展成为一个独立的学术领域,相应的审计领域,信息技术审计也从传统的审计业务中分离出来,形成针对计算机安全进行审计的一种独立审计类型。计算机信息技术审计是一项专业性很强的工作,需要信息安全专家、网络及通讯专家、业务应用系统专家的密切配合。目前,我国的计算机审计基本上处于电子数据的收集和分析阶段,处于起步阶段的计算机信息技术审计应以业务应用系统为中心,对业务应用系统进行全方位审计,审计的目的应兼顾安全性、效益性、合规性和可靠性。随着信息技术审计工作的不断开展,信息技术审计应该在计算机信息系统审计的基础上,向以保证组织网络与信息的安全方向发展,充分发挥计算机信息技术审计技术性强、专业水平高的特点。
3、重视对计算机信息系统的开发审计,对计算机信息系统开发整个过程进行监督。由于计算机信息系统建设投资大、周期长、投入运行后改变成本高等特点,计算机信息系统审计必须提前介入,在系统开发建设的过程中进行审计。提前介入的最大优点是能够及时发现计算机信息系统的缺陷和漏洞,一定程度上避免系统投入运行后出现重大问题,降低系统运行成本。同时对负责系统开发的管理部门特殊权力的制约,也要求对系统的开发管理进行审计。计算机信息系统的开发、购买、转让、重大修改和退出要置于审计的有效监督之下。审计部门要定期参加系统开发的各种会议,了解系统开发的进展,保证计算机信息系统开发的过程遵循组织的政策和程序。提前介入的前提除了审计师必须具备提前介入的知识和能力以外,还要求系统开发和应用部门必须与审计部门建立密切的沟通渠道和协调的工作关系。
4、重视计算机信息系统审计人才的培养,不断提高其审计技能。计算机信息系统审计对审计人员的专业技能要求较高,除了需要审计人员具备相应的审计技能外,还要具备较高的计算机水平。计算机信息系统审计人员的获得有两个渠道,一是在配备人员时就将计算机技能作为一个必要条件,在实际工作中不断培养其审计技能;二是对现有审计人员进行计算机知识的培训,增强其信息技术审计能力。由于计算机技术涉及的范围广、技术复杂性强、计算机信息技术快速发展的特点,决定了不论以何种方式获得的信息技术审计人员,都要对其进行持续不断的后续教育。
【对话达人】事务所美女所长讲述2017新版企业所得税年度申报表中高企与研发费那些表!
活动时间:2018年1月25日——2018年2月8日
活动性质:在线探讨