績效視角下央行內部審計信息化建設面臨的問題及解決途徑

楊勝基 羅偉 熊國權

近年來，央行的信息技術應用發(fā)展迅猛，從單機到聯(lián)網(wǎng)，從分散到集中，從單項業(yè)務到綜合業(yè)務，逐步形成了安全、高效、規(guī)范的信息化服務體系。以計算機技術、網(wǎng)絡技術和通訊技術為代表的信息技術已越來越深入地滲透到央行的各項業(yè)務中，推動了央行信息化的不斷發(fā)展。與此同時，信息技術化的浪潮也給傳統(tǒng)金融服務、風險管理和內部控制提出了挑戰(zhàn)，對央行內部審計的理念、方式和方法提出了全新的要求，成為當前央行內審部門研究的重要課題之一。

一、央行內部審計信息化建設面臨的問題

1.信息化審計觀念較為落后。一是目前央行內審工作主要側重于執(zhí)行規(guī)章制度的審計，對財務和資金的審計及對監(jiān)管部門履行監(jiān)管職責情況的再監(jiān)督為主，偏重查問題、查違規(guī)、查案件，思想仍停留在傳統(tǒng)的現(xiàn)場檢查的概念，對風險的監(jiān)控停留在事后的防堵上，難以起到內部審計防范風險、提高工作質量和效率的目的；二是信息技術審計主要目的是預防潛在的風險，潛在的風險并不一定已經造成問題的實際發(fā)生，這也在一定程度上影響審計人員的工作思路。

2.信息化審計技術及手段相對滯后。實踐表明，計算機輔助審計技術能夠快速、靈活分析海量業(yè)務數(shù)據(jù)，實現(xiàn)從抽樣審計到全覆蓋審計，從而有效降低審計風險，提高審計效率和效果。近年來，央行內審司堅持“重要領域，重點突破”，大力推廣運用計算機輔助審計技術，扎實推進審計手段轉型，取得了積極成效，積累了一定經驗。但央行至今尚未開發(fā)出可以對審計信息進行篩選、比較、歸類、合并、統(tǒng)計、追蹤、分析處理的計算機輔助審計軟件，審計手段仍以手工操作和事后審計為主。

3.信息化建設規(guī)劃設計存在缺陷。《中國人民銀行關于加強計算機信息系統(tǒng)內部審計工作的指導意見》規(guī)定科技部門和系統(tǒng)應用部門，在組織系統(tǒng)開發(fā)時應當將有關情況通報內審部門，應當充分考慮設置和保留必要的審計線索，重要的系統(tǒng)，應當設立必要的審計接口。但在實際執(zhí)行過程中，央行各業(yè)務系統(tǒng)規(guī)劃設計都是由職能部門單獨或與科技部門聯(lián)合開發(fā)，有些是在條件不夠成熟的情況下創(chuàng)造條件“上線運行”，規(guī)劃設計存在不同程度缺陷，導致審計范圍與難度大幅提高。突出表現(xiàn)在：一是各業(yè)務系統(tǒng)開發(fā)設計普遍沒有預留審計接口，給審計監(jiān)督造成了一定的困難；二是系統(tǒng)的測試、評價、推廣應用以及約束機制的建立均未讓內審部門提前介入，缺乏對系統(tǒng)功能設計、安全防范等方面進行有效的檢測，從而加大了內審工作的難度，增大了審計成本，不利于風險的防范。

4.信息化環(huán)境下產生審計風險。信息化環(huán)境下，審計風險主要有：一是不留痕跡的篡改數(shù)據(jù)。在網(wǎng)絡環(huán)境中，舞弊者或非惡意攻擊者進行數(shù)據(jù)非法修改和刪除，均可不留篡改痕跡，此時無法保證數(shù)據(jù)的完整性和真實性，給內審監(jiān)督帶來了風險。如ABS、TCBS系統(tǒng)在業(yè)務處理完畢后，由于可供打印的憑證、報表等記載的信息不充分，數(shù)據(jù)被修改也很難辨認其痕跡；二是不確定性的信息損壞，似有若無的防范措施，如防火墻不能有效阻止病毒與黑客的入侵，系統(tǒng)的登錄與訪問密碼失竊等。

5.信息技術審計標準亟待完善。央行信息技術審計從2000年對“會計核算系統(tǒng)”審計開始，已初步建立了信息技術審計基礎體系，但信息技術審計的標準仍有待進一步規(guī)范。央行開展信息系統(tǒng)審計的重心仍然是對業(yè)務運行合規(guī)性的審計，審計準則沿用傳統(tǒng)審計中以業(yè)務規(guī)章制度為審計控制標準，沒有明確的審計工作指引和依據(jù)，缺乏一個對系統(tǒng)安全性、可靠性方面進行控制、評價的體系。

6.內部審計人才結構與信息化水平不相匹配。在信息化環(huán)境下，內審人員必須成為通曉現(xiàn)代審計理論與實務，計算機技術及業(yè)務知識的復合型專業(yè)人才。以南豐支行為例，2名內審人員均來自業(yè)務部門，業(yè)務能力雖然較強，但無1人具有計算機專業(yè)特長，對計算機知識的掌握有限，難以達到對計算機信息系統(tǒng)的網(wǎng)絡信息安全進行技術性審計的要求。缺乏復合型審計人才，加之人員培訓難到位，難以適應央行信息化發(fā)展的要求，影響了信息技術審計的質量。

二、解決問題的途徑方法

1.轉變審計觀念，著力開展信息技術審計。一是樹立信息技術審計新理念，由差錯糾弊向風險導向型審計發(fā)展，致力于風險控制、具有一定的超前性、事前防范的信息技術審計，并根據(jù)對固有風險和控制風險的測算，確定審計重點、制定審計方案，切實將風險減少到最低。二是各級領導對信息技術的審計應給予更多的關心與重視，大力開展信息技術專項審計，及時堵塞漏洞和隱患，切實防范信息化帶來的系統(tǒng)風險。

2.創(chuàng)新審計技術，不斷提高監(jiān)督管理能力。一是加強信息技術審計監(jiān)督方法、手段與業(yè)務信息技術系統(tǒng)的匹配建設，完善和改進各項業(yè)務系統(tǒng)程序，在各業(yè)務系統(tǒng)程序和管理信息系統(tǒng)上留有審計接口，建立起與被審計部門業(yè)務接口直接切入、數(shù)據(jù)信息共享的信息系統(tǒng)，使內審人員通過該系統(tǒng)能調閱所有的可讀和可視信息記錄資料，提高審計速度和質量。二是建立內審部門和計算機業(yè)務應用系統(tǒng)部門的協(xié)調、溝通機制，內審部門要全程參與業(yè)務應用系統(tǒng)的開發(fā)、培訓、推廣運行過程，同時，有關的業(yè)務應用系統(tǒng)規(guī)章制度、操作規(guī)程、系統(tǒng)技術手冊和操作手冊等，應及時抄送內審部門。

3.加強審計信息化建設，不斷創(chuàng)新審計方法。一是加強制度建設。建議總行制定計算機輔助審計系統(tǒng)操作管理辦法及其實施細則，實現(xiàn)有章可依；二是加強設施建設，配備足夠的審計服務器（用于存儲審計數(shù)據(jù)的專用設備）、計算機輔助審計系統(tǒng)，根據(jù)項目審計需要，不斷創(chuàng)新審計方法應用模塊，建立豐富的審計方法庫。

4.提高審計人員的分析水平，規(guī)避信息化審計風險。一是對信息系統(tǒng)進行關聯(lián)、抽樣分析等，以發(fā)現(xiàn)審計線索；二是檢查系統(tǒng)的操作員分工、權限設置、密碼管理、安全設置是否合理、安全、有效，系統(tǒng)各個功能模塊設計是否符合央行內控要求；三是采用靈活的審計方式，如可采用就地審計或突擊審計的方式，事先不通知被審單位計算機管理員，先取得備份數(shù)據(jù)，以防操作員將數(shù)據(jù)篡改、刪除等。

5.借鑒國外成熟權威的審計準則，規(guī)范央行信息系統(tǒng)審計控制標準。在制定央行信息系統(tǒng)審計標準規(guī)范時，要考慮信息系統(tǒng)審計剛剛起步，國內相關準則還不完善的現(xiàn)實情況，同時基于信息系統(tǒng)本身多樣性、復雜性的特點，逐步探索，從大量分散、單一的系統(tǒng)中，找出其中具有趨同性的控制標準，為信息系統(tǒng)審計實務提供一個較為全面、統(tǒng)一的評價體系。

6.加強內審人員培訓，提升信息技術審計水平。信息技術審計對審計人員的專業(yè)技能要求較高，特別是要求具備較高的計算機知識，因此要加強內審人員的培訓，提高他們的信息技術應用與審計水平，以適應信息時代對審計工作的要求。一是盡可能地充實內審部門的科技力量，增加既精通計算機和網(wǎng)絡技術又懂審計業(yè)務的復合型人才。二是加大對現(xiàn)有內審人員的業(yè)務和計算機培訓力度，進行持續(xù)不斷的后續(xù)教育，將現(xiàn)有內審人員培養(yǎng)成信息技術審計人員。

（作者單位：人行撫州市中心支行、人行南豐縣支行）