中国邮政储蓄银行开展信息系统审计面临问题和对策.docVIP

中国邮政储蓄银行开展信息系统审计面临问题和对策 　　[摘要] 中国邮政储蓄银行信息化程度越来越高，面临着严峻的信息科技风险，全面开展信息系统审计势在必行。本文全面分析了邮储银行开展信息系统审计工作面临的困难，有针对性地提出推进信息系统审计的对策和建议。 　　[关键词] 邮政储蓄银行；信息系统审计；对策；建议 　　[中图分类号] F239.1 [文献标识码] A [文章编号] 1673 - 0194（2012）21- 0030- 02 　　1 中国邮政储蓄银行信息系统审计现状 　　自2007年3月中国邮政储蓄银行（以下简称邮储银行）成立以来，企业的信息化程度不断提高。信息科技已经成为邮储银行稳健运营和发展的重要支柱。但是，邮储银行对信息系统的依赖性也越来越强。信息系统在带来效益、效率的同时，也带来了巨大的风险，局部的故障极易引发银行业务交易失败甚至整个系统的瘫痪。目前邮储银行业务运营的特色就是数据大集中、业务大集中、信息科技风险大集中。因此，积极开展信息系统审计，有效防范信息科技风险已成为邮储内审工作的现实需要。 　　尽管邮储银行内审部门积极配合信息科技部门在科技管理和安全控制方面做了大量工作，各项控制措施不断得以完善和加强。但是，邮储银行的信息系统建设还存在一些薄弱环节，如重硬件投资建设，轻软件设计应用；重网络安全，轻信息安全；重被动防御，轻主动防御等，安全与应用结合薄弱，难以满足发展需求。邮储银行的信息系统审计工作起步较晚，信息系统审计在具体的实施过程中存在诸多问题。 　　2 中国邮政储蓄银行信息系统审计实践中面临的困难 　　2.1 信息系统审计的制度尚不完善 　　从国家层面来看，信息化条件下的审计方法、审计对象和审计技术都发生了很大变化，现行审计制度已不能满足金融机构信息技术发展的需求。从邮储银行自身来看，信息系统审计尚处在探索起步阶段，没有建立统一的行业标准和实务操作指南。这一切都影响了邮储银行信息系统审计工作的开展以及信息系统审计的效果。邮储银行审计人员也缺乏对信息系统审计方面的理论研究和实践探索。 　　2.2 信息系统审计控制措施有待提高 　　一方面，邮储银行信息系统审计的控制措施落实程度不够，信息技术人员的主动性和积极性有待进一步加强，预防性控制措施所占的比重较小，纠正性控制和检查性控制所占的比重较大；另一方面，邮储银行现行的信息系统控制措施在连续性和一致性方面存在缺陷，业务运行部门的良好控制措施可能会因为信息系统开发部门的控制措施不完善而不能起到预期的控制效果，反之亦然。 　　2.3 信息系统审计技术比较落后 　　信息技术的高速发展和广泛应用，使得企业的交易事项大部分由计算机系统自动完成，人工操作痕迹比较少，传统的审计线索荡然无存，充分适当的审计证据很难搜集。这就要求邮储银行的信息系统审计必须参与和融入信息系统建设整个生命周期的所有活动中去，包括信息系统的开发、设计、运行和维护等。但是在实际工作中，由于现有审计技术的局限性，审计人员完全处于被动地位。虽然邮储银行的审计人员也在逐步使用一些计算机辅助审计技术，但只停留在对被审计部门的电子数据进行处理阶段。从性质上来讲，仍然属于对事后工作成果检查性的控制和审查，没有充分发挥信息系统审计的真正作用。 　　2.4 信息系统审计专业人才匮乏 　　信息系统审计对审计人员素质要求比较高。从新加坡发展银行和美国大通银行的信息系统审计组织框架和人员配备上看，信息系统审计由于涵盖了软件开发、项目投产、运行维护的全过程，包含了信息系统生命周期的所有阶段，因此信息系统审计机构设置基本采用在总审计师领导下，与业务审计两条线并列的模式，人员专业化分工明确，技术水平要求也较高，懂信息技术人员的比例一般占审计人员的30%～50%。而邮储银行内审人员大多从原来的业务稽查岗位划转而来，在信息化技术的使用上还存在着欠缺；新招聘的人员，虽然具备财会和计算机等专业知识，但对银行业务却不甚了解，造成目前审计人员欠缺计算机专业知识，计算机人才欠缺审计知识的“两难”局面。邮储银行内审人员在数量和质量上与国内外同业相比，均有不小的差距，成为制约邮储银行推进信息系统审计的瓶颈问题。 　　3 邮储银行推进信息系统审计工作的对策建议 　　3.1 建立国际标准框架下的信息系统审计标准与规范体系 　　从国际同行的经验来看，大多数国际商业银行都在自己的信息系统审计体系下，遵循着一套行之有效的国际标准或规范。如COBIT、BS7799、COSO、ITIL等。邮储银行也要按照国际通常做法，结合本行实际，确立自己的信息系统审计标准与规范；同时，进一步明确信息系统审计的技术角色，强化信息系统审计的技术特色，结合本行的审计资源，把信息系统审计技术角色分为应用、系统、网络与硬件、管理4个大类。不同的技术角色分别负责信息系统生命周期中