欢迎来到天天文库
浏览记录
ID:5998537
大小:27.50 KB
页数:6页
时间:2017-12-30
《基层央行信息技术审计存在问题和对策》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、基层央行信息技术审计存在问题和对策 【摘要】当前,人民银行信息系统建设中尚未建立起一套行之有效的监督管理机制,本文通过分析基层央行信息技术审计的必要性以及工作中存在的问题和风险点,有针对性地提出一些解决问题和化解风险的对策。【关键词】内部审计信息技术审计对策随着央行金融信息化进程的不断深入,以计算机技术、网络技术、软件开发技术和通讯技术为核心的信息技术已广泛应用到人民银行的各项业务和管理活动之中,这些计算机信息系统在给各项工作带来便利的同时,其风险隐患也与日俱增,信息资产和信息系统相关的风险,如数据被非法拷贝、删除、修改,破坏,计算机病毒感染、黑客入侵、使用人员违规操
2、作等造成计算机系统故障或信息系统崩溃的风险日益引起管理层的高度关注,这就要求与之匹配的计算机信息系统的审计工作也要有效地开展起来。通过审计,发现计算机信息系统运行中的安全隐患,并通过持续的改进完善来降低信息安全事件的发生。一、开展信息技术审计的必要性(一)适应金融信息化发展的内在要求6计算机信息技术的发展和广泛应用,在很大程度上提高了人民银行的金融服务水平,为人民银行的业务实现全面信息化打下了坚实基础。同时,要保证系统的合理投资、设计开发和有效运行,及早发现系统在风险控制、质量保证和成本效益等方面存在的问题,避免走弯路,防止出现浪费和损失,确保其应有的绩效,就必须引入计
3、算机信息技术审计。(二)满足内控安全管理的要求计算机信息系统不仅涉及数据信息的安全和保护,而且涉及计算机网络的一致性和适用性问题。一个应用系统的开发运行,在其立项、开发、修改过程中都要花费大量的时间和资金,如果开发的是涉及资金的应用系统(如“ABS”、“TBS”等),则可能直接引发资金风险。因此,开展信息技术审计,就是要建立起一套行之有效的监督机制来确保信息系统的有效运行,满足内部控制和风险管理的需要。(三)符合审计工作转型的需要信息技术审计作为人民银行内部审计的一项全新的工作,为内部审计创新和实现内审工作的深化转型创新提供了新的空间、理念和契机,开展信息技术审计以及“
4、运用信息技术手段实现对信息技术应用和管理的监督”,都将使人民银行内部审计工作达到一个全新的高度,并将成为内审工作新的亮点。二、当前信息技术审计存在的主要问题(一)审计技术深度不够6从信息技术审计的含义及目标来看,信息技术审计不仅要对信息系统运行的安全性进行检查,还要对系统建设的效益性、数据信息的有效性和可靠性进行监督检查。从目前开展的一些信息系统审计项目看,由于受诸多因素的制约,更多的是把物理环境、网络安全、制度管理等作为审计重点,很少对各个业务系统中内部控制的存在性、有效性及控制程序编写方法的合规性进行核实(即符合性测试),也很少对信息系统处理后的各种信息的合法性、正
5、确性、真实性开展直接检查和分析性复核(即实质性测试),大大降低了对数据可靠性、有效性的审计要求。(二)独立开展审计难度大目前,人民银行的大部分信息系统是由总行统一组织开发的,各级分支行作为使用单位。各个业务系统在推广上线过程中,内审人员并不参与,对信息系统了解不够,无法独立开展审计,审计质量难以保证。例如,对业务系统操作控制中的合理性、完整性以及完备性检查,需要设计大量的模拟数据上机测试,专业性强,工作量大,要求时间长,基本上实现不了。对业务系统的灾难恢复计划的检查,只能检查其是否制定必要的应急措施,但对其适当性、有效性的审核比较困难。逻辑安全性审核中的访问控制,是由程
6、序设计所决定的,内审人员都无法进行判断。(三)审计手段较落后6目前,人民银行计算机审计软件尚未研发推广使用,不少业务操作系统也未预置审计数据接口,内审部门信息技术审计仍沿用传统手工审计方法、手段,不能利用现代化技术适时掌握各业务系统信息,从系统处理过程中发现风险苗头,例如,系统功能模拟测试、试探性操作测试、工具测试、实时监控等先进审计手段无法实施。其次是在信息技术审计中尚未引入风险导向性审计理念,审计中偏重于合规性,没有在对信息系统固有风险和内部控制进行评估和分析的基础上,对系统风险点进行重点检查和检测。(四)审计人员素质达不到要求信息技术审计不是传统审计业务的简单扩展
7、,而是在传统审计理论、信息系统管理理论、行为科学理论和计算机科学四个理论基础上形成的一门边缘性学科,对审计人员素质有着很高的要求,目前基层人民银行信息技术审计的专门人才还比较缺乏,审计人员对信息系统的安全隐患和控制薄弱环节进行分析、评估的能力还有待提高,内控环境的复杂性以及内部控制的局限性也使得舞弊行为有机可乘,从而增加了审计风险。三、政策建议(一)前移审计关口,拓展审计深度6目前基层开展的计算机信息系统审计,都是在系统运行一段时间后进行的,属“事后”审计,如果系统存在建设必要性、功能合理性、程序内部控制有效性、业务拓展性等方面的错误,纠
此文档下载收益归作者所有