審計(jì)項(xiàng)目的開(kāi)展?fàn)顩r審計(jì)工作初期，根據(jù)內(nèi)審人員隊(duì)伍的狀況，確定了以下基本工作方針，即以審計(jì)計(jì)算機(jī)業(yè)務(wù)應(yīng)用系統(tǒng)的操作運(yùn)行管理情況為突破口，不斷探索信息系統(tǒng)審計(jì)方法和內(nèi)容，逐步擴(kuò)大審計(jì)范圍，通過(guò)審計(jì)，培養(yǎng)人才，鍛煉隊(duì)伍。5年來(lái)，先后對(duì)人行的“中央銀行會(huì)計(jì)核算系統(tǒng)”、“人民銀行貨幣發(fā)行管理信息系統(tǒng)”、“金融統(tǒng)計(jì)監(jiān)測(cè)管理信息系統(tǒng)”、“銀行信貸登記咨詢系統(tǒng)”、“國(guó)家金庫(kù)會(huì)計(jì)核算系統(tǒng)”、“大額支付系統(tǒng)”等6個(gè)重要業(yè)務(wù)應(yīng)用系統(tǒng)的使用和運(yùn)行管理情況，及其系統(tǒng)內(nèi)部控制功能進(jìn)行了審計(jì)。同時(shí)，開(kāi)展了對(duì)計(jì)算機(jī)網(wǎng)絡(luò)及個(gè)人辦公計(jì)算機(jī)聯(lián)網(wǎng)運(yùn)行管理情況、計(jì)算機(jī)軟件開(kāi)發(fā)管理情況、電子化設(shè)備管理情況、計(jì)算機(jī)機(jī)房運(yùn)行管理情況、國(guó)家外匯管理局計(jì)算機(jī)網(wǎng)絡(luò)及有關(guān)業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行管理情況的審計(jì)。

　　上述審計(jì)項(xiàng)目的審計(jì)范圍涉及了人行計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、重要業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)中心（計(jì)算機(jī)機(jī)房）、軟件開(kāi)發(fā)、科技管理等方面。在審計(jì)過(guò)程中，人行內(nèi)審司通過(guò)“以查代訓(xùn)”的方式，鍛煉、培養(yǎng)了一支專業(yè)的信息系統(tǒng)審計(jì)隊(duì)伍。審計(jì)人員一方面來(lái)自于原內(nèi)審人員，這些人員通過(guò)努力學(xué)習(xí)信息技術(shù)方面知識(shí)和審計(jì)實(shí)踐，逐漸掌握了信息系統(tǒng)審計(jì)本領(lǐng)。另一方面來(lái)自于科技部門或具備一定計(jì)算機(jī)信息系統(tǒng)方面知識(shí)的人員，這些人員通過(guò)學(xué)習(xí)、補(bǔ)充審計(jì)理論知識(shí)，參加審計(jì)實(shí)踐，學(xué)會(huì)了用審慎的目光，從管理控制的角度思考問(wèn)題。2004年底，人行內(nèi)審司邀請(qǐng)ITGov中國(guó)IT治理研究中心（簡(jiǎn)稱ITGov）對(duì)來(lái)自全行各分支機(jī)構(gòu)的40名內(nèi)部審計(jì)人員參加了為期4天的信息系統(tǒng)審計(jì)培訓(xùn)，分理論篇、實(shí)務(wù)篇、案例篇三部分講授了信息系統(tǒng)審計(jì)國(guó)內(nèi)外發(fā)展趨勢(shì)、后SOX法案時(shí)代內(nèi)部控制與信息系統(tǒng)審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、windows審計(jì)、Unix審計(jì)、數(shù)據(jù)中心審計(jì)、審計(jì)管理系統(tǒng)等相關(guān)內(nèi)容，此次培訓(xùn)極大地提高了現(xiàn)有信息技術(shù)審計(jì)人員的理論基礎(chǔ)知識(shí)，拓展信息系統(tǒng)審計(jì)的審計(jì)視野，強(qiáng)化信息系統(tǒng)審計(jì)中理論與實(shí)踐的結(jié)合，全面提升了信息系統(tǒng)審計(jì)人員的綜合素質(zhì)。

　　為了更好的了解國(guó)際先進(jìn)的IT治理理念，提高人民銀行信息系統(tǒng)審計(jì)水平，人行內(nèi)審司同ITGov合作開(kāi)展了“中國(guó)人民銀行IT治理與信息系統(tǒng)審計(jì)模型研究”（2004年人行研究局重點(diǎn)課題），對(duì)國(guó)際通用的IT治理框架和信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)“信息與相關(guān)技術(shù)控制目標(biāo)”（COBIT）進(jìn)行深入研究，ITGov憑借自己多年對(duì)COBIT的研究，及豐富的資源平臺(tái)，高水平、高質(zhì)量地完成了此項(xiàng)研究工作。此研究工作對(duì)形成人行信息系統(tǒng)審計(jì)評(píng)價(jià)與判斷標(biāo)準(zhǔn)，完善人行信息系統(tǒng)審計(jì)操作規(guī)程，提高人行信息系統(tǒng)審計(jì)的技術(shù)和水平，以及對(duì)進(jìn)一步改進(jìn)人行信息技術(shù)治理等均具有重大意義。

　　IT審計(jì)的要求與內(nèi)容人行IT審計(jì)的對(duì)象，包括人行各級(jí)行以及有關(guān)直屬企事業(yè)單位開(kāi)發(fā)和使用的計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、信息技術(shù)基礎(chǔ)設(shè)施和系統(tǒng)運(yùn)行環(huán)境。審計(jì)的目標(biāo)是通過(guò)實(shí)施審計(jì)，促進(jìn)、增強(qiáng)和維護(hù)人民銀行計(jì)算機(jī)信息系統(tǒng)合規(guī)性、安全性、可靠性、有效性。IT審計(jì)的總體要求，一是要及時(shí)、全面地介入信息系統(tǒng)開(kāi)發(fā)建設(shè)和內(nèi)部控制機(jī)制建立過(guò)程，對(duì)這一過(guò)程發(fā)揮持續(xù)監(jiān)督作用。二是要實(shí)行風(fēng)險(xiǎn)導(dǎo)向型審計(jì)，在對(duì)系統(tǒng)所固有的風(fēng)險(xiǎn)和系統(tǒng)內(nèi)部控制機(jī)制進(jìn)行評(píng)估和分析的基礎(chǔ)上，對(duì)系統(tǒng)高風(fēng)險(xiǎn)和控制環(huán)節(jié)進(jìn)行重點(diǎn)檢查和檢測(cè)。三是要充分利用計(jì)算機(jī)輔助審計(jì)技術(shù)，提高內(nèi)審工作的技術(shù)裝備水平增強(qiáng)內(nèi)審人員的信息技術(shù)應(yīng)用能力。四是要在發(fā)揮審計(jì)工作查錯(cuò)防弊保證作用的同時(shí)，充分發(fā)揮內(nèi)審管理咨詢作用，使審計(jì)工作有效地服務(wù)于人行信息化總體目標(biāo)的實(shí)現(xiàn)。人行計(jì)算機(jī)信息系統(tǒng)的內(nèi)部審計(jì)的內(nèi)容，包括計(jì)算機(jī)信息系統(tǒng)開(kāi)發(fā)審計(jì)、計(jì)算機(jī)信息系統(tǒng)內(nèi)部控制功能審計(jì)、計(jì)算機(jī)信息系統(tǒng)運(yùn)行管理審計(jì)、計(jì)算機(jī)基礎(chǔ)設(shè)施管理審計(jì)、科技綜合管理審計(jì)等五個(gè)方面。

　　計(jì)算機(jī)信息系統(tǒng)開(kāi)發(fā)審計(jì)，主要是軟件開(kāi)發(fā)項(xiàng)目的組織管理和開(kāi)發(fā)過(guò)程控制等情況。計(jì)算機(jī)信息系統(tǒng)運(yùn)行管理審計(jì)，內(nèi)容包括有關(guān)制度建設(shè)、系統(tǒng)運(yùn)行環(huán)境、系統(tǒng)軟件和硬件管理、網(wǎng)絡(luò)和通訊管理、數(shù)據(jù)輸入和輸出管理、病毒防范、防災(zāi)和應(yīng)急管理、系統(tǒng)維護(hù)、系統(tǒng)升級(jí)和廢止管理。計(jì)算機(jī)信息系統(tǒng)內(nèi)部控制功能審計(jì)，主要是系統(tǒng)和數(shù)據(jù)的安全控制和對(duì)它們的操作控制、審計(jì)管理功能設(shè)置等情況。計(jì)算機(jī)基礎(chǔ)設(shè)施管理審計(jì)，內(nèi)容主要包括計(jì)算機(jī)機(jī)房管理、網(wǎng)絡(luò)管理和個(gè)人辦公計(jì)算機(jī)管理情況。對(duì)計(jì)算機(jī)機(jī)房管理審計(jì)的主要包括機(jī)房的門禁系統(tǒng)、供電系統(tǒng)、空調(diào)系統(tǒng)、防災(zāi)措施和防災(zāi)監(jiān)控系統(tǒng)運(yùn)行和管理情況，機(jī)房管理制度的建立、健全和執(zhí)行情況，相關(guān)設(shè)備的運(yùn)行維護(hù)管理情況；對(duì)個(gè)人辦公計(jì)算機(jī)使用和管理審計(jì)的主要內(nèi)容是配置、使用、維護(hù)和管理等情況。

　　科技綜合管理情況審計(jì)，內(nèi)容主要包括電子化計(jì)劃管理、資金管理、設(shè)備管理、外包服務(wù)管理、計(jì)算機(jī)安全管理等情況。IT審計(jì)的程序和方法人行在開(kāi)展計(jì)算機(jī)信息系統(tǒng)內(nèi)部審計(jì)工作時(shí)，除了充分運(yùn)用審計(jì)的一般性方法和技術(shù)手段以外，還根據(jù)信息系統(tǒng)審計(jì)工作的特殊性，結(jié)合實(shí)際情況，在審計(jì)的各個(gè)階段，探索并綜合運(yùn)用一系列特有方法與技術(shù)手段。在審前準(zhǔn)備階段，充分運(yùn)用審前調(diào)查方法，了解和掌握擬審計(jì)信息系統(tǒng)的有關(guān)基本情況；在此工作的基礎(chǔ)上，對(duì)擬審計(jì)的信息系統(tǒng)固有風(fēng)險(xiǎn)進(jìn)行初步分析，并對(duì)其內(nèi)部控制機(jī)制進(jìn)行初步評(píng)估，以確定審計(jì)的重點(diǎn)；擬訂詳細(xì)、具體、可操作的審計(jì)實(shí)施方案。

　　在審計(jì)實(shí)施階段，對(duì)于信息系統(tǒng)開(kāi)發(fā)審計(jì)，主要是通過(guò)同步、適時(shí)介入開(kāi)發(fā)過(guò)程并對(duì)各個(gè)關(guān)鍵控制環(huán)節(jié)進(jìn)行監(jiān)督，或者事后查閱有關(guān)審批文件、業(yè)務(wù)需求書、開(kāi)發(fā)文檔及測(cè)試、驗(yàn)收?qǐng)?bào)告等資料進(jìn)行審計(jì)；對(duì)于系統(tǒng)運(yùn)行管理審計(jì)，主要是采取現(xiàn)場(chǎng)觀察、上機(jī)查看、查閱系統(tǒng)日志、運(yùn)行維護(hù)記錄、以及有關(guān)業(yè)務(wù)文檔資料等方法進(jìn)行審計(jì)；對(duì)于系統(tǒng)內(nèi)部控制功能審計(jì)，主要是通過(guò)搭建系統(tǒng)模擬運(yùn)行環(huán)境或利用系統(tǒng)備機(jī)，采取平行模擬操作、試探性操作等方法，對(duì)系統(tǒng)的內(nèi)部控制功能進(jìn)行審計(jì)檢測(cè)；對(duì)于計(jì)算機(jī)基礎(chǔ)設(shè)施管理和科技綜合管理審計(jì)，主要是采取現(xiàn)場(chǎng)觀察或工具測(cè)試、文檔和記錄檢查等方法進(jìn)行審計(jì)。在評(píng)估和分析階段，對(duì)于安全性評(píng)估，主要包括物理安全、邏輯安全和數(shù)據(jù)安全，分析存在的安全隱患和控制薄弱環(huán)節(jié)；對(duì)于可靠性評(píng)估，主要包括軟件可靠性和硬件可靠性以及系統(tǒng)可靠性；對(duì)于有效性評(píng)估，主要包括效益性和效率性，如投資的合理性、性能的高效性、利用的充分性等。

　　在擬定審計(jì)報(bào)告時(shí)，對(duì)于審計(jì)發(fā)現(xiàn)的問(wèn)題，作出詳盡的描述和恰當(dāng)?shù)脑u(píng)價(jià)，并與被審計(jì)部門進(jìn)行充分的交流和溝通；內(nèi)審部門在審計(jì)報(bào)告中準(zhǔn)確描述發(fā)現(xiàn)問(wèn)題的同時(shí)，對(duì)已經(jīng)或可能導(dǎo)致的后果或隱患進(jìn)行分析，并指出其嚴(yán)重程度；針對(duì)發(fā)現(xiàn)的問(wèn)題，既提出具體的糾正和改進(jìn)意見(jiàn)，也提出進(jìn)一步完善和提高的建議。IT審計(jì)初顯成效通過(guò)審計(jì)，人行各級(jí)機(jī)構(gòu)充分認(rèn)識(shí)到了計(jì)算機(jī)信息系統(tǒng)審計(jì)的重要性，各分行設(shè)置了相應(yīng)機(jī)構(gòu)，配備了必要的人員和設(shè)備，把信息系統(tǒng)的開(kāi)發(fā)應(yīng)用與管理、監(jiān)督和審計(jì)工作放在同等主要的位置，提高了總行有關(guān)部門和分支行對(duì)加強(qiáng)信息化建設(shè)的管理和保障計(jì)算機(jī)信息系統(tǒng)安全、穩(wěn)定運(yùn)行必要性的認(rèn)識(shí)。

　　通過(guò)審計(jì)，人行在計(jì)算機(jī)機(jī)房安全管理方面，計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)運(yùn)行維護(hù)和安全管理方面，業(yè)務(wù)應(yīng)用系統(tǒng)的使用、操作和內(nèi)部控制功能方面，軟件開(kāi)發(fā)管理方面，以及應(yīng)急措施、文檔管理等相關(guān)科技綜合管理方面，發(fā)現(xiàn)了一些問(wèn)題、安全漏洞和風(fēng)險(xiǎn)隱患，有關(guān)部門根據(jù)審計(jì)意見(jiàn)和建議，進(jìn)行了認(rèn)真整改。通過(guò)審計(jì)，還進(jìn)一步加強(qiáng)了人行計(jì)算機(jī)信息系統(tǒng)有關(guān)內(nèi)部控制和風(fēng)險(xiǎn)管理，推動(dòng)了人行信息化工作管理規(guī)章制度的建設(shè)，建立健全了信息化建設(shè)過(guò)程關(guān)鍵控制環(huán)節(jié)的管理辦法，為實(shí)施信息化管理提供了制度保障；建立監(jiān)督檢查機(jī)制，提高了落實(shí)和執(zhí)行規(guī)章制度的自覺(jué)性；進(jìn)一步增強(qiáng)了機(jī)房、網(wǎng)絡(luò)等信息技術(shù)基礎(chǔ)設(shè)施的可靠運(yùn)行和安全防護(hù)能力，降低了信息技術(shù)帶來(lái)的風(fēng)險(xiǎn)隱患，減少了系統(tǒng)運(yùn)行、管理方面的安全漏洞；規(guī)范了計(jì)算機(jī)信息系統(tǒng)的運(yùn)行、維護(hù)、使用、操作管理，加強(qiáng)了對(duì)軟件開(kāi)發(fā)項(xiàng)目管理和軟件開(kāi)發(fā)過(guò)程的控制，為保障人行計(jì)算機(jī)信息系統(tǒng)的穩(wěn)定運(yùn)行和信息資產(chǎn)的安全發(fā)揮了作用，促進(jìn)了人行信息化建設(shè)的健康發(fā)展。（作者單位為中國(guó)人民銀行內(nèi)審司）