摘要:本文主要通过调查指出了基层人行信息技术审计工作中存在重视不够、范围狭窄、手段落后、难度较大和人才缺乏等问题,并针对存在的问题提出了全面提高对信息技术审计的认识、搞好部门协作配合、丰富审计手段和技术、选择合理的审计方式和加强内审人员培训等相关建议。
关键词:信息技术审计,基层央行,内审
近年来,基层内审部门相继开展了以信息技术审计为核心的国库系统、信贷管理咨询系统安全等一系列专项信息技术审计,这些信息技术审计的组织与实施,一方面提高了内审人员对信息技术的认识,在如何开展信息技术审计方面积累了经验,另一方面也暴露了信息技术审计中存在的一些不足。当前各级内审部门不断探索稳步转型的方法与途径,如何改善信息技术审计工作是内审全面转型的重要课题。本文通过介绍当前基层央行信息技术审计存在的问题,进而探讨信息技术在内部审计应如何加强完善。
一、基层央行信息技术审计存在问题
(一)信息技术审计的重视不够
审计人员对信息技术审计的重要性认识不足,认为各个业务系统是由上级行组织开发、测试、论证,系统必然是可靠的,业务数据处理流程也是由程序控制的,输出的信息也必然是准确的。因此,无须对系统产生的信息进行审计。然而事实并非这样,再好的信息技术系统也存在漏洞和不足,有时甚至是致命的,再好的程序也存在人为的干预和破坏。因此,认识上的偏差,一定程度上阻碍了基层央行信息技术审计的开展。
(二)信息系统审计的范围狭窄
由于人民银行信息技术审计处于起步阶段,对央行运用的系统软件与系统软件的设计思想、功能模块、防范措施等缺乏全面了解,加上各部门在实施业务电算化过程中,对计算机业务操作过程中的实施检查程序没有给予足够重视,信息系统普遍没有预留审计接口或者设计专门的内部审计用户,使审计人员无法对计算机完成任务中的数据流向过程进行有效的动态监督,导致目前审计停留在对已运行系统的安全、合规性方面的审计,无法达到全过程的审计。
(三)信息技术审计的手段落后
信息技术也改变了内部控制的模式,内部控制转变为对人和机器两方面的控制,而且多数情况是以计算机内部控制为主。而目前内审部门还没有建立自己的计算机审计平台,对于较为重要的业务系统,无法进行有关的运行环境、技术环节、业务处理等方面的测试。因此,基层央行信息技术审计基本上是绕过计算机审计,主要依靠相关报表和凭证进行审计,不进入相关程序中审计,不能利用现代化技术适时掌握各业务系统信息,从系统处理过程中发现风险苗头,从而影响了审计效果。
(四)信息技术审计的难度较大
在手工业务系统中,可以随时查看每笔记录和相关记录痕迹进行对照核实,审计线索较清晰;而在计算机业务系统中,业务信息大都存储在磁介质上,系统建立、更新、消除一些资料时较隐蔽。况且,储存在计算机磁性媒介上的数据容易被篡改,有时甚至能不留痕迹地篡改,如果有人故意或因为差错对计算机审计证据进行删除、剪接,从技术上讲审计人员难以查清。
(五)信息技术审计的人才缺乏
信息技术审计包括对计算机管理的电子数据和管理电子数据的计算机审计,这对中央银行内部审计人员的素质提出了更高的要求,需要审计人员能够从电子业务数据内容找出业务破绽,要求具有较高的审计业务经验,发现问题之后,还要具备能够审核后台处理电子数据的计算机程序合理合法性的技能。但基层央行审计人员普遍存在计算机和网络信息技术缺乏的问题,限制了基层央行审计人员在信息化全面实施过程中发挥专业作用,影响了信息技术审计的质量,从而造成审计风险。
二、对策或建议
当前央行审计已处在传统审计向现代审计发展的转型期,应充分、有效地利用计算机审计技术和信息技术审计手段,实现计算机辅助审计,使审计信息系统管理成为审计方法创新的必经之路。为此,基层人行信息技术审计工作主要应从以下几个方面进行努力和探索。
(一)提高对信息技术审计的认识,加强审计力度
目前中央银行内部审计虽然开展了一些计算机方面的审计,但远不能适应信息化发展的要求。因此,基层行应加强人民银行信息系统审计工作,大力开展信息技术专项审计,充分认识到信息技术审计是有效防范和化解中央银行业务日益电子化本身形成的风险的重要手段,是保障中央银行资金安全的重要手段。
(二)搞好部门协作配合,实现信息共享
内审部门要加强与科技等部门的密切配合,建立日常管理情况通报制度,要定期收集管理情况;科技部门应将系统软件、硬件的维护、管理情况以及运行环境的监测情况定期或不定期地抄送内审部门。另外,也可让内审人员参与科技部门的系统软件维护、检查等工作,既增加感性认识,也能及时收集掌握各系统软件运行情况的第一手资料,使之更好地与传统审计知识融合在一起,综合分析、挖掘出信息系统的潜在风险点,提出有针对性、建设性的意见和建议,确保信息系统的规范操作和安全运行。
(三)丰富审计手段和技术,提高审计效率
计算机审计的关键是研发良好的审计应用软件:一方面是与被审计单位的数据接口,解决采集什么数据、如何采集的问题;另一方面是研制和应用审计软件、数据库和审计模型,解决采集来的数据如何利用、如何审计的问题。因此,建议在目前运行的较重要业务系统中开发出审计接口程序,建立起与被审计部门业务接口切入、数据信息共享的信息系统,使内审人员通过该系统能调阅所有的可读信息和记录资料,从而提高审计速度和质量。同时,尽快开发计算机辅助审计软件,使基层内审人员利用审计软件对各业务进行计算机辅助审计,直接对储存在磁介质上的数据资料进行审计,改变以前“绕过计算机”的审计方法,逐渐转向“穿过计算机”和“利用计算机”的审计方法,从而提高审计的广度和深度。
(四)选择合理的审计方式,降低审计风险
在进行审计时,可以在事先不通知操作员或程序员的情况下,随时让操作员把系统中正在运行的数据拷贝出来进行审查,以防操作员把数据篡改、删除等,这样,也才能保证被审程序和数据的正确、完整性,有效地降低审计风险。同时,对于重要业务的处理、关键的处理程序、业务人员的上机操作记录等应该加强动态审计,跟踪监督。
(五)加强内审人员培训,提高工作质量
由于信息技术审计的专业性特点,拥有合格的审计人员对此项工作的开展至关重要。在当前条件下,可吸收一些计算机专业人员加入内审队伍,对现有的内审人员加强计算机知识的培训,尤其要加强系统分析意识和数据库技术、数据处理技术和网络知识的学习,培养复合型的审计人才,以更好地适应审计环境变化,促进信息技术审计顺利地开展。同时,新开发的系统软件投入运行后,应及时组织内审人员进行培训以熟悉了解本系统软件,使审计人员更全面地了解和熟悉系统,便于日后的审计工作。
(作者单位: 中国人民银行南安市支行)