數(shù)據(jù)大集中趨勢下的基層央行信息系統(tǒng)審計探析

楊碩??

[摘要]中國人民銀行的信息化建設(shè)處于高速發(fā)展期，信息系統(tǒng)的安全、穩(wěn)定、高效運行已關(guān)系到銀行的履職效能和整體形象。按照業(yè)務(wù)統(tǒng)一處理、數(shù)據(jù)集中存儲，信息共享使用的目標，中國人民銀行的信息系統(tǒng)呈現(xiàn)系統(tǒng)整合、數(shù)據(jù)集中化趨勢。文章從內(nèi)部審計視角出發(fā)，主要探討這一轉(zhuǎn)變對信息系統(tǒng)審計的影響，并就新形勢下的信息系統(tǒng)審計工作重點和工作方法進行分析。

[關(guān)鍵詞]信息系統(tǒng)；數(shù)據(jù)集中；信息系統(tǒng)審計

[DOI]1013939/jcnkizgsc201721205

當前，中國人民銀行業(yè)務(wù)系統(tǒng)底層架構(gòu)模式統(tǒng)一、業(yè)務(wù)數(shù)據(jù)集中、業(yè)務(wù)處理過程中間環(huán)節(jié)透明、系統(tǒng)運行維護職責上收等轉(zhuǎn)變逐步常態(tài)化，各級行信息系統(tǒng)審計工作應當適時進行調(diào)整，切實發(fā)揮好審計監(jiān)督在央行信息化建設(shè)和履行金融服務(wù)職責中的第三道防線作用。

1關(guān)于信息系統(tǒng)審計的理論與實務(wù)

11信息系統(tǒng)審計的概念

對信息系統(tǒng)審計的概念審計理論界與實務(wù)界尚未有統(tǒng)一的觀點，具有代表性的界定有三種：

（1）收集并評價證據(jù)，以判斷一個計算機系統(tǒng)是否有效做到保護資產(chǎn)、維護數(shù)據(jù)完整、完成組織目標，同時最經(jīng)濟地使用資源。

（2）為了信息系統(tǒng)的安全、可靠與有效，由獨立于審計對象的信息審計師，以第三方的客觀立場對計算機為核心的信息系統(tǒng)進行綜合的檢查與評價，向信息系統(tǒng)審計對象的最高領(lǐng)導層，提出問題與建議的一連串的活動。

（3）內(nèi)部審計機構(gòu)和內(nèi)部審計人員對組織的信息系統(tǒng)及其相關(guān)的信息技術(shù)內(nèi)部控制和流程所進行的審查與評價活動。

12中國人民銀行信息系統(tǒng)審計開展情況

目前，中國人民銀行日常開展的信息系統(tǒng)審計一般作為獨立項目或者綜合性內(nèi)部審計項目的組成部分組織實施。內(nèi)容主要是對組織層面信息技術(shù)控制、信息技術(shù)一般性控制及業(yè)務(wù)流程層面相關(guān)應用控制的審查和評價。組織層面信息技術(shù)控制，是各級行領(lǐng)導層對信息技術(shù)治理職能及內(nèi)部控制的重要性的態(tài)度、認識和措施；信息技術(shù)一般性控制是指與網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)及其相關(guān)人員有關(guān)的信息技術(shù)政策和措施，以確保信息系統(tǒng)持續(xù)穩(wěn)定的運行，支持應用控制的有效性。業(yè)務(wù)流程層面應用控制是指在業(yè)務(wù)流程層面為了合理保證應用系統(tǒng)準確、完整、及時完成業(yè)務(wù)數(shù)據(jù)的生成、記錄、處理、報告等功能而設(shè)計、執(zhí)行的信息技術(shù)控制。除上述常規(guī)的審計內(nèi)容外，還可以根據(jù)特殊風險或者實際需求，組織實施信息系統(tǒng)安全專項審計。

2中國人民銀行主要業(yè)務(wù)系統(tǒng)的發(fā)展歷程

21中央銀行會計核算集中系統(tǒng)

1996年起，中國人民銀行先后開發(fā)推廣了四代中央銀行會計核算系統(tǒng)，經(jīng)歷了從手工核算逐步走向數(shù)據(jù)集中發(fā)展的過程?，F(xiàn)役中央銀行會計核算數(shù)據(jù)集中系統(tǒng)主要解決了四個方面的問題，一是賬務(wù)數(shù)據(jù)分散在地市，會計報表和數(shù)據(jù)統(tǒng)計需逐級匯總；二是商業(yè)銀行在人民銀行多頭擺放資金；三是賬務(wù)處理由網(wǎng)點完成，處理效率低；四是系統(tǒng)節(jié)點分散，不利于災備系統(tǒng)建設(shè)。

22第二代支付系統(tǒng)

2002年以來，中國人民銀行相繼建成了包括大額支付系統(tǒng)、小額支付系統(tǒng)和支票影像交換系統(tǒng)等主要應用的第一代支付系統(tǒng)。第一代支付系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)功能、業(yè)務(wù)運行管理都遵循了兩級中心、兩級網(wǎng)絡(luò)和兩級管理的原則。第二代支付清算系統(tǒng)是全國邏輯集中的版本，第二代支付系統(tǒng)建成后，清算賬戶的開立和管理、流動性和支付系統(tǒng)風險管理、商業(yè)銀行參與者的準入、退出和業(yè)務(wù)權(quán)限管理、網(wǎng)絡(luò)和系統(tǒng)接入及運行管理都集中在總行一級。

23國庫會計數(shù)據(jù)集中系統(tǒng)

與中央銀行會計集中核算系統(tǒng)和第一代支付系統(tǒng)配合運行的國庫會計集中系統(tǒng)是單機系統(tǒng)，各級國庫數(shù)據(jù)信息獨立存儲，每級國庫機構(gòu)均配置系統(tǒng)主服務(wù)器和備用服務(wù)器。目前使用的國庫會計數(shù)據(jù)集中系統(tǒng)是以辦理國庫會計核算業(yè)務(wù)的機構(gòu)作為國庫會計核算主體，成立全國國庫業(yè)務(wù)處理中心，由中心統(tǒng)一組織實施國庫會計核算業(yè)務(wù)處理。

3新形勢下信息系統(tǒng)審計面臨的難點和問題

一是信息系統(tǒng)風險分布不均勻?！吨袊嗣胥y行信息技術(shù)審計規(guī)范》將風險劃分為組織與計劃、安全技術(shù)、開發(fā)與采購、運維與外包和應用控制五個層面。數(shù)據(jù)權(quán)限的集中使得系統(tǒng)風險也趨于集中，涉及信息系統(tǒng)組織開發(fā)、上線運行、管理配置、運維外包等流程中的風險都向總行集中，而系統(tǒng)的應用操作和網(wǎng)絡(luò)連通風險則呈下移趨勢。

二是信息系統(tǒng)管理的協(xié)調(diào)機制尚不健全。數(shù)據(jù)集中后集約化的安全生產(chǎn)運行和管理模式對各相關(guān)部門之間的信息溝通和聯(lián)動運作提出更高要求。要考慮健全系統(tǒng)運行管理的協(xié)調(diào)機制，從領(lǐng)導層到一線工作人員達成全局共識，從日常維護到應急演練形成緊密協(xié)作。

三是缺乏高效易用的信息系統(tǒng)審計軟件。目前，單從數(shù)量來看，各級內(nèi)審部門建設(shè)了不少審計軟件和分析工具，但整體的推廣使用率卻不高，主要是因為審計軟件的開發(fā)相對分散，功能較為單一，就某一業(yè)務(wù)系統(tǒng)的針對性較強，通用性較差。

四是內(nèi)審部門的技術(shù)儲備及經(jīng)驗尚不充足。從整體情況來看，與數(shù)據(jù)集中相配套的災備建設(shè)、等級保護、應急響應等內(nèi)容都將作為信息系統(tǒng)審計的內(nèi)容。雖然人民銀行近年來為內(nèi)審部門配備了計算機專業(yè)人員，但這些人員往往并沒有介入到系統(tǒng)的開發(fā)、培訓和推廣過程中，對系統(tǒng)并不熟悉。加之在開展審計前對內(nèi)審人員的培訓面有限，審計人員對技術(shù)和業(yè)務(wù)掌握的局限性直接導致難以高效開展信息系統(tǒng)審計。

4應對策略

41堅持風險導向原則，統(tǒng)籌規(guī)劃，精準定位審計重點

一是兼顧業(yè)務(wù)和技術(shù)兩方面的風險。全面評估業(yè)務(wù)發(fā)展與科技建設(shè)之間的內(nèi)在聯(lián)系與互動規(guī)律，從組織與制度上合理保證業(yè)務(wù)和科技的協(xié)調(diào)發(fā)展；二是開展風險評估工作。樹立信息系統(tǒng)審計新理念，廣泛開展系統(tǒng)風險評估，致力于風險控制；三是借助風險評估結(jié)果，根據(jù)對固有風險和控制風險的測算，確定審計重點、制定審計方案。

42采取“參與式審計”，增強溝通，提高審計工作質(zhì)量

與被審計部門建立良好的關(guān)系，調(diào)動各部門積極性，形成合力。一是加強與科技和業(yè)務(wù)部門的溝通，尋求與它們的合作；二是就信息系統(tǒng)審計發(fā)現(xiàn)，及時向科技和業(yè)務(wù)部門進行通報和反饋，討論切實可行的改進措施；三是主動關(guān)注科技和業(yè)務(wù)部門制定的有關(guān)制度、操作規(guī)程、事故情況、解決措施、處理結(jié)果等動態(tài)信息。

43借助計算機輔助軟件，主動探索，提升審計工作效率

一是充分運用計算機輔助工具對各類業(yè)務(wù)電子數(shù)據(jù)進行分析，實現(xiàn)及時監(jiān)測風險、持續(xù)改進控制的目標。二是積極向有關(guān)業(yè)務(wù)部門、技術(shù)部門尋求業(yè)務(wù)和技術(shù)支持，與之在系統(tǒng)研究、數(shù)據(jù)采集、數(shù)據(jù)分析和疑點核實等階段建立良好的協(xié)調(diào)配合機制。三是嚴格控制數(shù)據(jù)接觸權(quán)限，審計過程中涉及的各類系統(tǒng)文檔和業(yè)務(wù)數(shù)據(jù)，除保障計算機輔助審計所需外，不得向任何部門或個人提供，以保證數(shù)據(jù)信息的安全。

44轉(zhuǎn)變信息系統(tǒng)審計理念，有的放矢，增加審計工作價值

數(shù)據(jù)的集中實際上是管理的集中，主要是實現(xiàn)了管理上的透明化?；谌嗣胥y行信息系統(tǒng)架構(gòu)的轉(zhuǎn)變，以往的審計理念相應也要有所改變。一是強化高頻、高危領(lǐng)域監(jiān)督檢查，主要內(nèi)容包括：①機房建設(shè)、機房運行維護；②網(wǎng)絡(luò)運行監(jiān)控；③信息技術(shù)資源連續(xù)性管理、數(shù)據(jù)備份和災難恢復；④系統(tǒng)用戶口令和證書；⑤系統(tǒng)客戶端安全防護等。二是弱化由總、分行和省會中支集中管理的業(yè)務(wù)內(nèi)容，主要包括：①業(yè)務(wù)處理和報表統(tǒng)計；②系統(tǒng)升級；③業(yè)務(wù)系統(tǒng)運行維護管理參數(shù)配置管理；④系統(tǒng)訪問控制等。

參考文獻：

[1]文四立新形勢下人民銀行信息化建設(shè)的路徑[J].中國金融，2008（5）.

[2]張勝藍ACS環(huán)境下的央行會計核算風險管理[J].金融經(jīng)濟，2014（14）.