《信息技术环境内部控制面临风险及对策》由会员分享,可在线阅读,更多相关《信息技术环境内部控制面临风险及对策(6页珍藏版)》请在金锄头文库上搜索。
1、信息技术环境内部控制面临风险及对策信息技术在人民银行各项业务中的广泛运用,使计算机系统风险的控制显得十分必要和紧迫,对信息技术审计监督产生着深刻的影响。本文拟从加强内部控制、强化业务管理的角度,分析计算机系统在内部控制环境、风险评估、内部控制活动、内部控制信息及沟通、内部控制监控等方面的风险,探求改进信息技术审计监督对策。一、信息技术环境内部控制面临风险(一)计算机系统内部控制监控方面一方面信息技术审计监督人员知识欠缺,使用专项监督、综合监督等现场检查方式,让审计人员持续监督,往往产生监督压力,致使在监督过程中产生以最短的时间完成“过得去”的工作量的情况,同时受监督频率和范围的影响,监督效果也
2、大打折扣。另方面由于非现场监督标准不规范,大量由监测单位上报的资料缺乏规范约束的格式,被监督单位担心被责任追究,往往是报喜不报忧,难以达到通过多种不同层次监督纠正控制缺失的效果,影响了计算机系统内部控制适时非现场监测持续的开展。(二)计算机系统内部控制环境方面信息技术安全观念滞后,认为人民银行计算机运行系统安全、可靠,信息技术的安全意识淡薄,致使当前基层行安全控制方面存在“二虚”问题。一是管理规则形同虚设。中国人民银行计算机安全管理暂行规定的系列重要章程,在执行起来与要求大相径庭,如:计算机系统要害人员应遵循“权限分散,不得交叉覆盖”的原则、要害岗位年度强制休假和定期考核制度、重要计算机系统应
3、设计审计监控程序、涉及人民银行业务保密信息的要害岗位人员调离单位的离岗审计制度等等均未按规定执行。二是计算机安全管理领导小组的运作虚化。计算机安全领导小组从组长、副组长到部门负责人,基本上对自己在安全领导小组中履行的职责不清楚,很少进行计算机安全管理问题的研究和议事,在计算机安全管理中的日常角色常常被科技部门所取代。(三)计算机系统的内部控制风险活动方面信息系统事中审计错位,没有突出对计算机系统内部控制的“细节风险”,没有围绕管理、运行、操作及维护等诸多环节进行审计监督,致使三类现象屡有发生。一是在级别不同的操作员的操作限制上,存在着“厚此薄彼”的现象,控制活动没有体现根据不同的业务种类、不同
4、的操作风险程度、不同的操作权限采取不同的控制措施;二是对一些风险高的业务处理,如删除、打印、复核等权限缺少相应的牵制;三是在一些系统管理方面,没有设置各类严谨的登记簿制度进行严格记录,忽视了登记簿对业务电子运用系统管理的意义,导致一些授权使用、收回授权的记录不全,一些漏登、漏打、漏审批及交接不全的情形时有发生。(四)计算机系统的风险评估方面信息系统事前审计监督缺位,导致一些信息系统技术在设计上自身存在隐患,主要表现在以下三个方面。一是信息系统记录不规范,没有形成全面的文档资料,导致难以找到审计线索。比如在存款账户的 息中,按照手工流程,日常积数的计算一确定积数金额一确定利率一在规定时间计算利息
5、一编制 息凭证一编制会计凭证上一收、付方记账一复核员全过程复核,这8个环节每一步都有文字记录和经手人签字,但信息系统处理后只有最后结果,相关处理过程只隐藏在数据库中,审计人员难以核查。二是一些信息系统在设计防范“行为道德风险”的功能措施上没有到位,对一些常见的“行为道德风险”的防范,如变更利率、变更积数、变更收款单位、一分为二制作利息凭证上、不兼容岗位的授权制约等出现舞弊行为,没有设计和制作“牵制或防范”功能,缺少周密和严谨的防范措施。三是内审部门很少参与业务信息的试运行中的“业务运行风险”检测。(五)计算机系统的内部控制信息及沟通方面信息系统审计监督手段落后,与信息技术的处理运行存在明显的不
6、匹配。当前,人民银行的支付系统、国库会计业务系统和金融统计监测信息系统等都实现了信息技术的运用,然而在了解内控信息的手段和方法却很原始,主要使用的是调阅文件和纸质资料进行核实、核查的方法,既耗时也反映迟钝。其次,业务信息系统与内控监测数据不在一个平台上,绝大多数系统没有设置路径,不能对业务处理系统的操作过程进行“可读性”的监督检查,影响对业务处理防范制约。二 改进信息技术审计监督对策(一)营造良好的信息技术审计监督环境首先,应根据人民银行信息技术运行的实际,强化信息技术审计组织的构架,成立跨部门的信息系统风险审计组织,负责信息系统审计标准的建立和归划,定期对信息系统风险进行研究,推进信息系统审
7、计问题的发现、评估和风险控制措施的落实。其次,应从全面加强内部控制的高度,开展系统业务流程管理重组,使业务流程能同时满足应用类技术、系统类技术、信息和网络安全类技术三类技术审计监督需求。同时,完善信息技术安全管理人员责任体系,逐步改变在关系信息技术安全的各个环节中,责任不清互相推诿的局面,建立开发人员、运行人员、监督人员三位一体的责任约束体系。(二)突出业务系统运行事前可靠性审计评价审计中要重点审查系统的可行性、系统业务处理功能的合法性和正确性、系统安全控制的恰当性与有效性、系统的可审性、是否留有充分的审计线索与可扩展性、系统测试的全面恰当性和系统文档资料的完整性。同时在审计评价中,根据系统特
8、点的监控程序设计,做好对计算机一些敏感和重要环节实时监控报警审计记录分析。(三)加大对业务系统事中有效性审计监督一是从信息系统本身的运行进行审计,去发现制度建设、系统运行环境、系统软件和硬件管理、数据输入和输出管理、病毒防范、防灾和应急管理等方面的缺陷和不足。二是在系统的内部控制功能方面,从加强系统和数据的安全控制和对它们的操作控制角度,有针对性地审查取证。并做好系统维护计划、维护实施、改良系统的试运行和旧系统的废除等维护活动的审计监督。(四)建设网络审计信息平台,提升审计监督效率利用信息技术把重要业务的信息系统所使用的计算机联成网络,建设一个统一的网络平台和数据共享平台,通过专用的审计软件直
9、接监督相关信息系统处理的过程,随时发现其处理过程中存在的问题,改变当前信息技术审计停留在收集信息、数据转换上的简单化的现状。并从审计管理角度出发,对系统进行二次开发,收集、整理、计算相关业务数据,形成审计信息,帮助审计部门发现审计线索,促进业务部门信息系统管理水平。(五)运用多种手段开展信息系统安全审计监督根据基层人民银行的工作目标和所处环境,在审计中做到技术、人和制度三者的有效结合。一方面审计部门应尽快熟悉数字证书、智能卡、数据加密、备份数据、日志监控、入网监督等新技术在业务系统中应用。同时,在审计中要学会从员工的防患意识、工作环境、员工压力及员工守则中,去观察被审计单位的诚实、公开、互助的文化氛围。更要建立一套测试方法,去测试信息技术运用单位在防患舞弊方面的内部控制保障效果。(六)加强信息技术审计专业人才的培养内部审计人员要主动以内部控制专家的身份参与开发小组并监督计算机信息系统开发过程中的各项活动,及早介人到计算机系统的试运行实施过程之中,从审计监督角度提出意见和建议。同时要明确规定,信息系统开发员应适当转化为固定的信息系统内部审计人员,逐步优化审计队伍中信息技术专家人员比重,发挥专家传、帮、带的作用,使审计人员能够较好地掌握信息技术审计的关键方法与核 技能。
