1.信息系统审计在新形势下面临的困难和问题

 

首先，信息系统的风险分布不均匀。《中国人民银行信息技术审计规范》将风险分为五个层次：组织计划、安全技术、开发采购、运维外包和应用控制。数据权限的集中使得系统风险也趋于集中，信息系统组织开发、在线运行、管理配置、运维外包等过程中的风险集中在总行，而系统的应用运行和网络连接风险则呈下降趋势。

 

其次，信息系统管理的协调机制并不完善。数据集中后的集约化安全生产、运行和管理模式对相关部门之间的信息沟通和联动运行提出了更高的要求。考虑完善系统运行管理的协调机制，从领导到一线工作人员达成全球共识，从日常维护到应急演练形成密切合作。

 

第三，缺乏高效易用的信息系统审计软件。目前，仅从数量上看，各级内部审计部门建立了大量的审计软件和分析工具，但整体推广利用率不高，主要是因为审计软件开发相对分散，功能相对单一，业务系统针对性强，通用性差。

 

第四，内部审计部门的技术储备和经验不足。从总体情况看，灾难准备建设、等级保护、应急响应等与数据集中相匹配的内容将作为信息系统审计的内容。虽然中国人民银行近年来为内部审计部门配备了计算机专业人员，但这些人员往往不参与系统的开发、培训和推广，对系统不熟悉。此外，审计前内部审计人员的培训范围有限，审计人员对技术和业务掌握的局限性直接导致难以有效地进行信息系统审计。

 

2.应对策略

 

2.1坚持风险导向原则，统筹规划，准确定位审计重点

 

一是兼顾业务和技术风险。全面评价业务发展与科技建设的内在联系和互动规律，合理保障业务与科技在组织和制度上的协调发展；二是开展风险评估。树立信息系统审计新理念，广泛开展系统风险评估，致力于风险控制；第三，借助风险评估结果，根据固有风险和控制风险的计算，确定审计重点，制定审计方案。

 

2.2采用“参与审计”，加强沟通，提高审计工作质量

 

与被审计部门建立良好的关系，调动各部门的积极性，形成合力。一是加强与科技业务部门的沟通，寻求与科技业务部门的合作；二是及时向科技业务部门报告和反馈信息系统审计发现，讨论切实可行的改进措施；三是积极关注科技业务部门制定的相关制度、操作规程、事故情况、解决办法、处理结果等动态信息。

 

2.3借助计算机辅助软件，主动探索，提高审计效率

 

一是充分利用计算机辅助工具对各种业务电子数据进行分析，实现及时监控风险、持续改进控制的目标。二是积极向相关业务部门和技术部门寻求业务和技术支持，在系统研究、数据采集、数据分析和疑点验证阶段建立良好的协调机制。三是严格控制数据接触权限。除保证计算机辅助审计所需外，审计过程中涉及的各种系统文档和业务数据不得向任何部门或个人提供，以确保数据信息的安全。

 

2.4改变信息系统审计理念，有针对性地提高审计工作价值

 

数据的集中实际上是管理的集中，主要是为了实现管理的透明度。基于中国人民银行信息系统结构的变化，以往的审计理念也应相应地发生变化。一是加强高频、高风险领域的监督检查，主要内容包括：①机房建设、机房运行维护；②网络运行监控；③信息技术资源连续管理、数据备份和灾难恢复；④系统用户口令及证书；⑤系统客户端安全防护等。二是弱化总、分行、省会中支集中管理的业务内容，主要包括:①业务处理及报表统计；②系统升级；③业务系统运行维护管理参数配置管理；④系统访问控制等。