數據大集中趨勢下的基層央行信息系統審計探析

楊碩??

[摘要]中國人民銀行的信息化建設處于高速發展期，信息系統的安全、穩定、高效運行已關系到銀行的履職效能和整體形象。按照業務統一處理、數據集中存儲，信息共享使用的目標，中國人民銀行的信息系統呈現系統整合、數據集中化趨勢。文章從內部審計視角出發，主要探討這一轉變對信息系統審計的影響，并就新形勢下的信息系統審計工作重點和工作方法進行分析。

[關鍵詞]信息系統；數據集中；信息系統審計

[DOI]1013939/jcnkizgsc201721205

當前，中國人民銀行業務系統底層架構模式統一、業務數據集中、業務處理過程中間環節透明、系統運行維護職責上收等轉變逐步常態化，各級行信息系統審計工作應當適時進行調整，切實發揮好審計監督在央行信息化建設和履行金融服務職責中的第三道防線作用。

1關于信息系統審計的理論與實務

11信息系統審計的概念

對信息系統審計的概念審計理論界與實務界尚未有統一的觀點，具有代表性的界定有三種：

（1）收集并評價證據，以判斷一個計算機系統是否有效做到保護資產、維護數據完整、完成組織目標，同時最經濟地使用資源。

（2）為了信息系統的安全、可靠與有效，由獨立于審計對象的信息審計師，以第三方的客觀立場對計算機為核心的信息系統進行綜合的檢查與評價，向信息系統審計對象的最高領導層，提出問題與建議的一連串的活動。

（3）內部審計機構和內部審計人員對組織的信息系統及其相關的信息技術內部控制和流程所進行的審查與評價活動。

12中國人民銀行信息系統審計開展情況

目前，中國人民銀行日常開展的信息系統審計一般作為獨立項目或者綜合性內部審計項目的組成部分組織實施。內容主要是對組織層面信息技術控制、信息技術一般性控制及業務流程層面相關應用控制的審查和評價。組織層面信息技術控制，是各級行領導層對信息技術治理職能及內部控制的重要性的態度、認識和措施；信息技術一般性控制是指與網絡、操作系統、數據庫、應用系統及其相關人員有關的信息技術政策和措施，以確保信息系統持續穩定的運行，支持應用控制的有效性。業務流程層面應用控制是指在業務流程層面為了合理保證應用系統準確、完整、及時完成業務數據的生成、記錄、處理、報告等功能而設計、執行的信息技術控制。除上述常規的審計內容外，還可以根據特殊風險或者實際需求，組織實施信息系統安全專項審計。

2中國人民銀行主要業務系統的發展歷程

21中央銀行會計核算集中系統

1996年起，中國人民銀行先后開發推廣了四代中央銀行會計核算系統，經歷了從手工核算逐步走向數據集中發展的過程。現役中央銀行會計核算數據集中系統主要解決了四個方面的問題，一是賬務數據分散在地市，會計報表和數據統計需逐級匯總；二是商業銀行在人民銀行多頭擺放資金；三是賬務處理由網點完成，處理效率低；四是系統節點分散，不利于災備系統建設。

22第二代支付系統

2002年以來，中國人民銀行相繼建成了包括大額支付系統、小額支付系統和支票影像交換系統等主要應用的第一代支付系統。第一代支付系統網絡結構、系統功能、業務運行管理都遵循了兩級中心、兩級網絡和兩級管理的原則。第二代支付清算系統是全國邏輯集中的版本，第二代支付系統建成后，清算賬戶的開立和管理、流動性和支付系統風險管理、商業銀行參與者的準入、退出和業務權限管理、網絡和系統接入及運行管理都集中在總行一級。

23國庫會計數據集中系統

與中央銀行會計集中核算系統和第一代支付系統配合運行的國庫會計集中系統是單機系統，各級國庫數據信息獨立存儲，每級國庫機構均配置系統主服務器和備用服務器。目前使用的國庫會計數據集中系統是以辦理國庫會計核算業務的機構作為國庫會計核算主體，成立全國國庫業務處理中心，由中心統一組織實施國庫會計核算業務處理。

3新形勢下信息系統審計面臨的難點和問題

一是信息系統風險分布不均勻。《中國人民銀行信息技術審計規范》將風險劃分為組織與計劃、安全技術、開發與采購、運維與外包和應用控制五個層面。數據權限的集中使得系統風險也趨于集中，涉及信息系統組織開發、上線運行、管理配置、運維外包等流程中的風險都向總行集中，而系統的應用操作和網絡連通風險則呈下移趨勢。

二是信息系統管理的協調機制尚不健全。數據集中后集約化的安全生產運行和管理模式對各相關部門之間的信息溝通和聯動運作提出更高要求。要考慮健全系統運行管理的協調機制，從領導層到一線工作人員達成全局共識，從日常維護到應急演練形成緊密協作。

三是缺乏高效易用的信息系統審計軟件。目前，單從數量來看，各級內審部門建設了不少審計軟件和分析工具，但整體的推廣使用率卻不高，主要是因為審計軟件的開發相對分散，功能較為單一，就某一業務系統的針對性較強，通用性較差。

四是內審部門的技術儲備及經驗尚不充足。從整體情況來看，與數據集中相配套的災備建設、等級保護、應急響應等內容都將作為信息系統審計的內容。雖然人民銀行近年來為內審部門配備了計算機專業人員，但這些人員往往并沒有介入到系統的開發、培訓和推廣過程中，對系統并不熟悉。加之在開展審計前對內審人員的培訓面有限，審計人員對技術和業務掌握的局限性直接導致難以高效開展信息系統審計。

4應對策略

41堅持風險導向原則，統籌規劃，精準定位審計重點

一是兼顧業務和技術兩方面的風險。全面評估業務發展與科技建設之間的內在聯系與互動規律，從組織與制度上合理保證業務和科技的協調發展；二是開展風險評估工作。樹立信息系統審計新理念，廣泛開展系統風險評估，致力于風險控制；三是借助風險評估結果，根據對固有風險和控制風險的測算，確定審計重點、制定審計方案。

42采取“參與式審計”，增強溝通，提高審計工作質量

與被審計部門建立良好的關系，調動各部門積極性，形成合力。一是加強與科技和業務部門的溝通，尋求與它們的合作；二是就信息系統審計發現，及時向科技和業務部門進行通報和反饋，討論切實可行的改進措施；三是主動關注科技和業務部門制定的有關制度、操作規程、事故情況、解決措施、處理結果等動態信息。

43借助計算機輔助軟件，主動探索，提升審計工作效率

一是充分運用計算機輔助工具對各類業務電子數據進行分析，實現及時監測風險、持續改進控制的目標。二是積極向有關業務部門、技術部門尋求業務和技術支持，與之在系統研究、數據采集、數據分析和疑點核實等階段建立良好的協調配合機制。三是嚴格控制數據接觸權限，審計過程中涉及的各類系統文檔和業務數據，除保障計算機輔助審計所需外，不得向任何部門或個人提供，以保證數據信息的安全。

44轉變信息系統審計理念，有的放矢，增加審計工作價值

數據的集中實際上是管理的集中，主要是實現了管理上的透明化。基于人民銀行信息系統架構的轉變，以往的審計理念相應也要有所改變。一是強化高頻、高危領域監督檢查，主要內容包括：①機房建設、機房運行維護；②網絡運行監控；③信息技術資源連續性管理、數據備份和災難恢復；④系統用戶口令和證書；⑤系統客戶端安全防護等。二是弱化由總、分行和省會中支集中管理的業務內容，主要包括：①業務處理和報表統計；②系統升級；③業務系統運行維護管理參數配置管理；④系統訪問控制等。

參考文獻：

[1]文四立新形勢下人民銀行信息化建設的路徑[J].中國金融，2008（5）.

[2]張勝藍ACS環境下的央行會計核算風險管理[J].金融經濟，2014（14）.