人民銀行信息技術審計規范在分支行內部審計中的應用探索

劉 晶

（中國人民銀行濟南分行，山東濟南 250021）

人民銀行信息技術審計規范在分支行內部審計中的應用探索

劉 晶

（中國人民銀行濟南分行，山東濟南 250021）

《中國人民銀行信息技術審計規范》（Q/ PBC 00001-2014，以下簡稱《規范》）于2014年3月3日正式發布，作為人民銀行發布的首個企業級技術標準，《規范》對各級人民銀行信息技術審計工作有序開展，審計質量和水平持續提高，審計發現和成果深化利用，審計作用和價值有效提升等方面具有重要意義。筆者對《規范》進行了學習和研究，并將《規范》應用于人民銀行分支行信息技術審計中，取得了一定成效。

一、審計規范簡要介紹

《規范》包括總體要求、審計流程及主要風險、審計檢查指南和審計評價指南4個部分，明確了人民銀行信息技術審計的一般原則、審計內容、審計方法和審計程序。一是，《規范》明確了人民銀行信息技術審計的5個領域、30個流程和138個子流程，詳細說明每個流程的風險，每個子流程的審計目標、審計要點和審計方法，涵蓋了當前和今后一段時期內人民銀行信息技術審計的所有內容。二是，《規范》的審計檢查指南中對每個子流程的審計目標、控制活動和審計檢查內容進行了界定，全面覆蓋了審計要點和審計方法，并列示審計中發現的常見問題供審計人員參考。三是，《規范》的審計評價指南參照《信息及相關技術控制目標》（COBIT①COBIT（Control Objectives for Information and related Technology，即信息及相關技術控制目標），由ISACA（國際信息系統審計與控制協會）發布，詳見www.isaca.org/cobit/。）的管理成熟度模型，結合人民銀行信息技術管理實際，針對30個審計流程確定了5級管理成熟度指標，為審計評價開展提供了指導。

二、審計規范在分支行信息技術審計中的應用

（一）根據實際選擇審計內容，明確審計重點

如前所述，《規范》內容全面，覆蓋了信息技術審計的所有內容，但對于分支行來說，有些審計內容主要適用于總行或直屬企事業單位，根據《規范》開展信息技術審計時，不能簡單的直接去選擇某個領域或某個流程，而要根據審計對象實際，有針對性的選擇相關子流程開展審計工作。筆者對《規范》中的流程和子流程進行梳理，結合科技專業風險評估結果和地市中心支行實際，遵循“風險引導審計、審計關注風險”的原則，確定了4個審計領域、17個流程和59個子流程，納入轄區地市中心支行科技綜合管理專項審計范圍，便于審計人員把握現場審計重點和需關注的風險。（表1）

（二）進一步細化審計方法，指導現場審計

《規范》是人民銀行開展信息技術審計的總體性指導標準，限于篇幅，對于網絡安全、主機安全和應用安全等操作性強的審計流程，《規范》中的審計方法重點介紹了調閱哪些資料、采取哪種檢查形式、檢查哪些內容等，未對現場檢查過程進行詳細描述。因此，為更好地發揮《規范》的指導作用，筆者對《規范》中部分審計方法進行了進一步細化，形成了一系列的審計指南。例如審計流程“網絡安全”中的子流程“網絡設備安全防護”部分，有1項控制活動是：“應對登錄網絡設備的用戶進行身份鑒別，對管理端口設置訪問控制，對網絡設備遠程登錄，應采用加密通訊協議”，對應審計檢查內容為：“調閱網絡設備配置文件，檢查對console、AUX、vty端口是否設置登錄失敗次數、登錄超時等控制措施，是否對網絡設備的管理員登錄地址進行限制，分析可登錄網絡設備的地址是否合理；是否對遠程登錄進行有效管理，能否保護傳輸中的身份鑒別信息”。

表1 地市中心支行科技綜合管理審計涉及的流程和子流程

《規范》中的以上內容，為審計人員提供了基本的審計方法和內容。但在審計實施中，需要審計人員能夠根據網絡設備類型和品牌進一步細化審計內容才能取得良好審計效果。為此，需要進一步梳理人民銀行常用的網絡設備、主機操作系統、數據庫系統，根據辦公網、業務網、城域網的不同要求，針對網絡安全、主機安全和應用安全流程中操作性較強的部分，分別編制檢查對照表，包括AIX、HPUnix、SUSELinux、SCOUnix、Windows等5類操作系統，Oracle、DB2、SQLServer等3類數據庫，CISCO、H3C、華為、邁普等4種品牌的網絡設備，MQ、WAS等2類中間件的具體審計操作方法，以指導現場審計。

（三）根據評價指南，探索審計評價

利用管理成熟度指標開展審計評價，是信息技術審計轉型的重要組成部分，能夠提高審計報告的可讀性，改善審計建議的有效性，為審計情況的比較和分析奠定基礎；同時也有利于被審計單位有針對性提高信息技術工作水平。筆者對審計評價指南進行認真學習，選擇重點流程，設計了部分輔助性定量評價指標，與5級管理成熟度指標相結合，對地市中心支行相關審計流程進行了探索評價。

1.選擇重點審計流程，進一步分解評價內容。

根據風險評估結果和地市中心支行實際，選擇物理環境安全、網絡安全、主機安全、應用安全、運維操作管理、變更管理等6個審計流程，按照《規范》的審計評價指南，進一步分解評價內容，從制度、人員、控制的全面性、控制的有效性等方面進行評價。例如，對網絡安全流程進行管理成熟度評價，將該流程審計評價分解為四個部分：一是網絡安全制度、策略、技術指引建設；二是網絡管理人員技術能力；三是網路安全控制的覆蓋面（是否覆蓋全部網絡、網絡內全部設備和終端）；四是網絡各個域安全控制的有效性（訪問控制是否嚴格、日志記錄和分析是否有效等）。

2.設計輔助性定量評價指標，開展成熟度評價（以網絡安全流程為例）。

結合相關流程成熟度評價內容，筆者設計了部分定量評價指標作為輔助。例如，針對網絡安全流程設計了部分定量評價指標（表2）。

表2 網絡安全管理流程中的定量評價指標

通過現場審計計算，審計對象網絡參數變更審批率為100%、網絡接入審批率為85%、核心網絡設備遠程訪問控制有效率為75%、核心網絡設備安全配置合規率為63%、核心網絡設備日志記錄有效率為25%、非法外聯系統覆蓋率為92%。

綜合審計對象制度建設、網絡管理人員技術能力等情況，充分借鑒《規范》中的管理成熟度指標，將審計對象網絡安全管理能力最終評價為三級，即“審計對象根據上級行制定的網絡安全管理制度和配置指引進行網絡安全管理，能夠合理設計網絡結構和訪問控制策略，按照要求配備網絡設備和網絡管理工具，能夠在外部網絡邊界部署訪問控制設備，重要網絡設備和通信線路已采取備份機制；但由于技術人員培訓不足，以及缺乏有效監督機制，網絡安全要求并未全部落實到位。”

3.根據成熟度等級，提出審計建議（以網絡安全流程為例）。

審計評價指南的5個等級成熟度評價指標描述，明確了科技管理工作達到的相應水平。參考各個等成熟度評價指標描述，能夠找出被審計對象距離更高等級成熟度還有哪些差距，幫助其明確工作改進方向，從而有效提高審計建議質量。以網絡安全流程為例，筆者參考評價指南中四級成熟度的要求，提出有針對性的審計建議：一是要求其做好審計發現問題整改工作，加強網絡接入審批、網絡設備安全配置等工作管理，保證處于成熟度位于三級不下降；二是從提高科技管理水平要求出發，按照四級成熟度標準，結合本行實際，將配備日志記錄或審計服務器列入日程，以收集安全信息和數據，及時發現解決安全管理方面的風險和隱患；將網絡訪問控制粒度縮小為單個計算機級別；在所有網絡邊界部署安全防護設備。

三、意義

（一）《規范》的發布和實施，對提高信息技術審計質量有很大幫助

《規范》一是全面覆蓋人民銀行信息技術審計范圍，能夠保證審計不遺漏重要內容、不忽略重要風險；二是通過審計內容和方法的介紹，帶給審計人員清晰的審計思路，能夠提高審計效率和效果；三是通過5級成熟度指標，明確了審計評價標準，使審計人員能夠更加客觀的開展審計評價，并根據評價結果提出改進建議。《規范》從審計內容選擇、現場審計開展、審計報告評價，到審計建議提出等各方面，進行全方位指導，能夠進一步提高信息技術審計規范化水平，提高審計質量。

（二）在實施審計時，要結合工作實際，明確審計范圍

《規范》中的部分審計流程和子流程由于只適用于總行或總行直屬企事業單位，分支行在開展信息技術審計時需要結合審計對象實際，首先確定審計涉及的流程和子流程，明確審計范圍，再根據《規范》的審計檢查指南和審計評價指南，開展審計工作。分支行內審部門在《規范》指導下可靈活開展信息技術審計項目，既可以開展包含所有相關流程的信息技術全面審計；也可以結合風險評估結果和審計對象業務實際，選擇特定領域、特定審計流程開展審計；還可以根據信息系統開發進程，事中介入，進行開發過程跟蹤審計。

（三）審計評價開展有難度，但應積極探索

開展審計評價能夠對審計對象的管理情況進行清晰的界定，便于比較和分析，有效提高審計建議質量。但從審計實踐來看，審計評價也是審計中的難點之一，主要表現在針對某個環節或流程的評價比較容易開展，但將各環節或流程的評價綜合起來得出對審計對象總體管理情況的評價存在一定難度。《規范》中的審計評價指南為審計人員提供了流程成熟度定性評價指標，統一了評價標準，能夠指導審計人員針對特定審計流程開展評價，但如何對科技管理總體情況進行客觀評價還需要進行深入探索和研究。筆者認為構建輔助性評價指標和模型，采用定量與定性評價相結合的方式，是實現對審計對象的總體評價一種較好的形式。

（四）需要進一步開展針對《規范》的培訓

《規范》是人民銀行發布實施的第一個技術標準，也是內審專業制定的第一個標準，相對于科技等制定標準較多的部門，內審人員對于標準的制定和使用還不夠熟悉，如如何有效利用審計指南開展現場審計、如何按照評價指南開展流程的成熟度評價等。因此需要開展廣泛的宣傳和培訓，以進一步提高內審人員運用《規范》開展信息技術審計的能力和水平。

[1]中國人民銀行內審司“深化人民銀行信息技術審計”課題組. 深化人民銀行信息技術審計[J]. 中國金融,2012(14)

[2]人民銀行濟南分行課題組. 基于COBIT的央行信息技術審計標準研究[J]. 金融理論與實踐,2012(12):35-38

（責任編輯：何昆燁）

劉 晶，男，漢族，碩士，中國人民銀行濟南分行，工程師。