邱成章

隨著信息化的迅速發(fā)展，基層央行已全面實現(xiàn)了辦公自動化、業(yè)務(wù)信息化、數(shù)據(jù)處理集中化，加強信息安全管理，開展信息安全專項審計成為央行內(nèi)部審計的一項重要內(nèi)容，但基于目前基層央行內(nèi)部審計現(xiàn)狀，信息安全審計還存在諸多難點，在一定程度上影響了基層央行內(nèi)審工作成效。

一、開展基層央行信息安全審計的難點

1.信息系統(tǒng)運行環(huán)境復(fù)雜。一是隨著央行電子化業(yè)務(wù)快速發(fā)展，基層央行科技工作量越來越大，目前絕大多數(shù)行人均已超過了一臺電腦，所使用的各種業(yè)務(wù)信息系統(tǒng)達三、四十個以上，且軟件系統(tǒng)頻繁升級，各種“補丁”不斷。二是目前基層央行使用的各業(yè)務(wù)系統(tǒng)有總行統(tǒng)一開發(fā)，也有自主開發(fā)的，由于各業(yè)務(wù)系統(tǒng)開發(fā)環(huán)境不一致，涉及操作系統(tǒng)、數(shù)據(jù)庫多，增加了運行維護難度，并且部分設(shè)備老化嚴重，存在一定風(fēng)險隱患?；鶎有锌萍既藛T除要辦理自身業(yè)務(wù)工作外，還負責(zé)各部門系統(tǒng)安裝和升級、日常管理及維護、網(wǎng)絡(luò)安全、病毒防范、安全培訓(xùn)等，使得信息安全檢查、系統(tǒng)風(fēng)險評估工作較難有效開展，客觀上就給基層央行信息安全內(nèi)部審計帶來了一定的難點。

2.部門業(yè)務(wù)系統(tǒng)難以適應(yīng)信息安全審計需要?；鶎友胄兴褂玫臉I(yè)務(wù)系統(tǒng)幾乎都沒有預(yù)置審計接口和審計用戶，連簡單的數(shù)據(jù)查詢都需要通過被審計對象提取，同時由于信息量大，再加上內(nèi)審部門缺乏相應(yīng)的技術(shù)審計手段與審計力量，用有限的人工方法查找海量的電子化信息，不僅效率低，而且要想篩選出有價值的線索如同“大海撈針”。

3.信息安全審計技術(shù)落后。央行內(nèi)部審計在信息安全審計方面除合規(guī)性審計外，還對信息系統(tǒng)、網(wǎng)絡(luò)安全、機房環(huán)境開展風(fēng)險導(dǎo)向性的事前審計，但由于基層央行現(xiàn)有審計技術(shù)的局限性，大多數(shù)內(nèi)審人員對信息安全管理知識了解較少，開展審計時邊學(xué)邊審，導(dǎo)致審計證據(jù)較難獲取，難以充分發(fā)揮信息系統(tǒng)審計的真正作用，大大影響了審計效果。另外，由于內(nèi)審部門和人員不能及時介入系統(tǒng)的研發(fā)、推廣、培訓(xùn)，導(dǎo)致對系統(tǒng)了解較少，再加上大部分系統(tǒng)都由總行開發(fā)，基層央行難以獨立開展高質(zhì)量的信息系統(tǒng)審計項目，從而制約了信息安全審計開展的深度和廣度。

4.信息安全審計力量薄弱。目前基層央行審計人員數(shù)量和知識結(jié)構(gòu)遠遠不能滿足信息安全審計的要求，能熟練掌握計算機專業(yè)知識及業(yè)務(wù)知識的人員偏少，僅停留在簡單的機械式的運用層面，更深層次的數(shù)據(jù)篩選、數(shù)據(jù)分析、函數(shù)計算、數(shù)據(jù)統(tǒng)計和圖形分析應(yīng)用不多，大多內(nèi)審人員對信息安全審計的特點、方法和存在的風(fēng)險缺乏深入了解和掌握，無法有效地開展相關(guān)審計工作。

二、加強基層央行信息安全審計的對策

1.建立央行信息系統(tǒng)審計標準與規(guī)范。結(jié)合央行實際，確立央行信息系統(tǒng)審計標準與規(guī)范，進一步明確信息安全審計的技術(shù)角色，強化信息系統(tǒng)審計的技術(shù)特色。同時，推廣先進的審計技術(shù)，建立科學(xué)的信息安全審計模式。

2.提高計算機輔助審計軟件的實用性、針對性。一是各業(yè)務(wù)部門在業(yè)務(wù)系統(tǒng)建設(shè)開發(fā)中要針對不同的審計需求，預(yù)留審計訪問接口，注意把握好數(shù)據(jù)轉(zhuǎn)出分析模塊的設(shè)計思路，使審計中獲取的電子數(shù)據(jù)可以作為審計證據(jù)使用，以降低審計風(fēng)險。二是內(nèi)審部門要介入業(yè)務(wù)處理系統(tǒng)開發(fā)、應(yīng)用及相關(guān)制約機制設(shè)立的全過程，對系統(tǒng)業(yè)務(wù)處理的合法合規(guī)性、安全可靠性、可維護性、可審計性及制約機制的完善性進行分析、評價，盡可能地提高系統(tǒng)效率，降低風(fēng)險。

3.強化科技管理。一是以針對性和時效性、便于操作為出發(fā)點，建立健全各項科技管理制度，做到有章可循。二是重視科技實體建設(shè)，科學(xué)合理投入資金，保證硬件設(shè)施安全。三是加強科技力量，充實科技人員，將科技管理與維護崗位分離，實現(xiàn)崗位互相約束、監(jiān)督，強化信息安全檢查、系統(tǒng)風(fēng)險評估等工作。四是加大信息安全培訓(xùn)力度。通過組織開展崗位業(yè)務(wù)技能訓(xùn)練和業(yè)務(wù)達標活動，提升全員的整體科技素質(zhì)、計算機安全意識和業(yè)務(wù)技術(shù)操作水平，逐步消除對科技人員的過分依賴。

4.改變傳統(tǒng)審計方法。由上級行集中研發(fā)、業(yè)務(wù)及審計部門力量，統(tǒng)一制定資源管理、軟件程序、數(shù)據(jù)完整性及系統(tǒng)維護等審計模型，開發(fā)信息安全審計系統(tǒng)，對網(wǎng)絡(luò)安全、運行環(huán)境審計等各類風(fēng)險因素進行評估，量化確定各類風(fēng)險的大小，提高審計效率。

5.培養(yǎng)信息安全審計專業(yè)人才。一是整合人力資源，將審計業(yè)務(wù)、央行業(yè)務(wù)和計算機專業(yè)知識嫻熟的復(fù)合型人才充實到內(nèi)審隊伍，調(diào)整知識和專業(yè)結(jié)構(gòu)。二是加大對現(xiàn)有審計人員信息技術(shù)的培訓(xùn)力度，利用互聯(lián)網(wǎng)的便利性實施網(wǎng)上培訓(xùn)，輔之以崗位練兵、以查代訓(xùn)、自學(xué)等方式，讓內(nèi)審人員及時掌握央行各類信息系統(tǒng)發(fā)展的趨勢和信息風(fēng)險的一般規(guī)律，使信息技術(shù)真正成為基層央行實施業(yè)務(wù)監(jiān)督和風(fēng)險控制的有力工具。三是做好現(xiàn)有審計系統(tǒng)的普及工作，使內(nèi)審人員人人會操作，個個會應(yīng)用，提高內(nèi)審工作效率。

（作者單位：人民銀

行贛州市中心支行）