審計項目的開展狀況審計工作初期，根據內審人員隊伍的狀況，確定了以下基本工作方針，即以審計計算機業(yè)務應用系統(tǒng)的操作運行管理情況為突破口，不斷探索信息系統(tǒng)審計方法和內容，逐步擴大審計范圍，通過審計，培養(yǎng)人才，鍛煉隊伍。5年來，先后對人行的“中央銀行會計核算系統(tǒng)”、“人民銀行貨幣發(fā)行管理信息系統(tǒng)”、“金融統(tǒng)計監(jiān)測管理信息系統(tǒng)”、“銀行信貸登記咨詢系統(tǒng)”、“國家金庫會計核算系統(tǒng)”、“大額支付系統(tǒng)”等6個重要業(yè)務應用系統(tǒng)的使用和運行管理情況，及其系統(tǒng)內部控制功能進行了審計。同時，開展了對計算機網絡及個人辦公計算機聯(lián)網運行管理情況、計算機軟件開發(fā)管理情況、電子化設備管理情況、計算機機房運行管理情況、國家外匯管理局計算機網絡及有關業(yè)務應用系統(tǒng)運行管理情況的審計。

　　上述審計項目的審計范圍涉及了人行計算機系統(tǒng)、網絡系統(tǒng)、重要業(yè)務應用系統(tǒng)、數據中心（計算機機房）、軟件開發(fā)、科技管理等方面。在審計過程中，人行內審司通過“以查代訓”的方式，鍛煉、培養(yǎng)了一支專業(yè)的信息系統(tǒng)審計隊伍。審計人員一方面來自于原內審人員，這些人員通過努力學習信息技術方面知識和審計實踐，逐漸掌握了信息系統(tǒng)審計本領。另一方面來自于科技部門或具備一定計算機信息系統(tǒng)方面知識的人員，這些人員通過學習、補充審計理論知識，參加審計實踐，學會了用審慎的目光，從管理控制的角度思考問題。2004年底，人行內審司邀請ITGov中國IT治理研究中心（簡稱ITGov）對來自全行各分支機構的40名內部審計人員參加了為期4天的信息系統(tǒng)審計培訓，分理論篇、實務篇、案例篇三部分講授了信息系統(tǒng)審計國內外發(fā)展趨勢、后SOX法案時代內部控制與信息系統(tǒng)審計、數據庫審計、windows審計、Unix審計、數據中心審計、審計管理系統(tǒng)等相關內容，此次培訓極大地提高了現有信息技術審計人員的理論基礎知識，拓展信息系統(tǒng)審計的審計視野，強化信息系統(tǒng)審計中理論與實踐的結合，全面提升了信息系統(tǒng)審計人員的綜合素質。

　　為了更好的了解國際先進的IT治理理念，提高人民銀行信息系統(tǒng)審計水平，人行內審司同ITGov合作開展了“中國人民銀行IT治理與信息系統(tǒng)審計模型研究”（2004年人行研究局重點課題），對國際通用的IT治理框架和信息系統(tǒng)審計標準“信息與相關技術控制目標”（COBIT）進行深入研究，ITGov憑借自己多年對COBIT的研究，及豐富的資源平臺，高水平、高質量地完成了此項研究工作。此研究工作對形成人行信息系統(tǒng)審計評價與判斷標準，完善人行信息系統(tǒng)審計操作規(guī)程，提高人行信息系統(tǒng)審計的技術和水平，以及對進一步改進人行信息技術治理等均具有重大意義。

　　IT審計的要求與內容人行IT審計的對象，包括人行各級行以及有關直屬企事業(yè)單位開發(fā)和使用的計算機系統(tǒng)、網絡系統(tǒng)、信息技術基礎設施和系統(tǒng)運行環(huán)境。審計的目標是通過實施審計，促進、增強和維護人民銀行計算機信息系統(tǒng)合規(guī)性、安全性、可靠性、有效性。IT審計的總體要求，一是要及時、全面地介入信息系統(tǒng)開發(fā)建設和內部控制機制建立過程，對這一過程發(fā)揮持續(xù)監(jiān)督作用。二是要實行風險導向型審計，在對系統(tǒng)所固有的風險和系統(tǒng)內部控制機制進行評估和分析的基礎上，對系統(tǒng)高風險和控制環(huán)節(jié)進行重點檢查和檢測。三是要充分利用計算機輔助審計技術，提高內審工作的技術裝備水平增強內審人員的信息技術應用能力。四是要在發(fā)揮審計工作查錯防弊保證作用的同時，充分發(fā)揮內審管理咨詢作用，使審計工作有效地服務于人行信息化總體目標的實現。人行計算機信息系統(tǒng)的內部審計的內容，包括計算機信息系統(tǒng)開發(fā)審計、計算機信息系統(tǒng)內部控制功能審計、計算機信息系統(tǒng)運行管理審計、計算機基礎設施管理審計、科技綜合管理審計等五個方面。

　　計算機信息系統(tǒng)開發(fā)審計，主要是軟件開發(fā)項目的組織管理和開發(fā)過程控制等情況。計算機信息系統(tǒng)運行管理審計，內容包括有關制度建設、系統(tǒng)運行環(huán)境、系統(tǒng)軟件和硬件管理、網絡和通訊管理、數據輸入和輸出管理、病毒防范、防災和應急管理、系統(tǒng)維護、系統(tǒng)升級和廢止管理。計算機信息系統(tǒng)內部控制功能審計，主要是系統(tǒng)和數據的安全控制和對它們的操作控制、審計管理功能設置等情況。計算機基礎設施管理審計，內容主要包括計算機機房管理、網絡管理和個人辦公計算機管理情況。對計算機機房管理審計的主要包括機房的門禁系統(tǒng)、供電系統(tǒng)、空調系統(tǒng)、防災措施和防災監(jiān)控系統(tǒng)運行和管理情況，機房管理制度的建立、健全和執(zhí)行情況，相關設備的運行維護管理情況；對個人辦公計算機使用和管理審計的主要內容是配置、使用、維護和管理等情況。

　　科技綜合管理情況審計，內容主要包括電子化計劃管理、資金管理、設備管理、外包服務管理、計算機安全管理等情況。IT審計的程序和方法人行在開展計算機信息系統(tǒng)內部審計工作時，除了充分運用審計的一般性方法和技術手段以外，還根據信息系統(tǒng)審計工作的特殊性，結合實際情況，在審計的各個階段，探索并綜合運用一系列特有方法與技術手段。在審前準備階段，充分運用審前調查方法，了解和掌握擬審計信息系統(tǒng)的有關基本情況；在此工作的基礎上，對擬審計的信息系統(tǒng)固有風險進行初步分析，并對其內部控制機制進行初步評估，以確定審計的重點；擬訂詳細、具體、可操作的審計實施方案。

　　在審計實施階段，對于信息系統(tǒng)開發(fā)審計，主要是通過同步、適時介入開發(fā)過程并對各個關鍵控制環(huán)節(jié)進行監(jiān)督，或者事后查閱有關審批文件、業(yè)務需求書、開發(fā)文檔及測試、驗收報告等資料進行審計；對于系統(tǒng)運行管理審計，主要是采取現場觀察、上機查看、查閱系統(tǒng)日志、運行維護記錄、以及有關業(yè)務文檔資料等方法進行審計；對于系統(tǒng)內部控制功能審計，主要是通過搭建系統(tǒng)模擬運行環(huán)境或利用系統(tǒng)備機，采取平行模擬操作、試探性操作等方法，對系統(tǒng)的內部控制功能進行審計檢測；對于計算機基礎設施管理和科技綜合管理審計，主要是采取現場觀察或工具測試、文檔和記錄檢查等方法進行審計。在評估和分析階段，對于安全性評估，主要包括物理安全、邏輯安全和數據安全，分析存在的安全隱患和控制薄弱環(huán)節(jié)；對于可靠性評估，主要包括軟件可靠性和硬件可靠性以及系統(tǒng)可靠性；對于有效性評估，主要包括效益性和效率性，如投資的合理性、性能的高效性、利用的充分性等。

　　在擬定審計報告時，對于審計發(fā)現的問題，作出詳盡的描述和恰當的評價，并與被審計部門進行充分的交流和溝通；內審部門在審計報告中準確描述發(fā)現問題的同時，對已經或可能導致的后果或隱患進行分析，并指出其嚴重程度；針對發(fā)現的問題，既提出具體的糾正和改進意見，也提出進一步完善和提高的建議。IT審計初顯成效通過審計，人行各級機構充分認識到了計算機信息系統(tǒng)審計的重要性，各分行設置了相應機構，配備了必要的人員和設備，把信息系統(tǒng)的開發(fā)應用與管理、監(jiān)督和審計工作放在同等主要的位置，提高了總行有關部門和分支行對加強信息化建設的管理和保障計算機信息系統(tǒng)安全、穩(wěn)定運行必要性的認識。

　　通過審計，人行在計算機機房安全管理方面，計算機、網絡系統(tǒng)運行維護和安全管理方面，業(yè)務應用系統(tǒng)的使用、操作和內部控制功能方面，軟件開發(fā)管理方面，以及應急措施、文檔管理等相關科技綜合管理方面，發(fā)現了一些問題、安全漏洞和風險隱患，有關部門根據審計意見和建議，進行了認真整改。通過審計，還進一步加強了人行計算機信息系統(tǒng)有關內部控制和風險管理，推動了人行信息化工作管理規(guī)章制度的建設，建立健全了信息化建設過程關鍵控制環(huán)節(jié)的管理辦法，為實施信息化管理提供了制度保障；建立監(jiān)督檢查機制，提高了落實和執(zhí)行規(guī)章制度的自覺性；進一步增強了機房、網絡等信息技術基礎設施的可靠運行和安全防護能力，降低了信息技術帶來的風險隱患，減少了系統(tǒng)運行、管理方面的安全漏洞；規(guī)范了計算機信息系統(tǒng)的運行、維護、使用、操作管理，加強了對軟件開發(fā)項目管理和軟件開發(fā)過程的控制，為保障人行計算機信息系統(tǒng)的穩(wěn)定運行和信息資產的安全發(fā)揮了作用，促進了人行信息化建設的健康發(fā)展。（作者單位為中國人民銀行內審司）