对邮政储蓄银行开展信息系统审计思考.docVIP

对邮政储蓄银行开展信息系统审计思考 　　摘要：随着邮政储蓄银行信息建设的不断加快和风险管理体制的不断完善，邮政储蓄银行全面开展信息系统审计势在必行。文章介绍了信息系统审计的概念和邮政储蓄银行信息系统审计的内容，分析了邮政储蓄银行开展信息系统审计工作存在的问题，从转变审计观念、建立全方位审计体系与模式、培养专业人才等角度对邮政储蓄银行开展信息系统审计提出了建议。 　　关键词：邮政储蓄银行；信息系统；风险；审计 　　中图分类号：F61　文献标识码：A 　　 　　近年来，中国邮政储蓄银行大力推进信息化建设，对信息系统的依赖性越来越强。信息系统在提高效益、效率的同时，也带来了巨大风险。若信息系统存在问题，企业将面临声誉损失、客户流失、金融风险甚至法律诉讼等一系列问题，对邮储银行的可持续健康发展构成了巨大威胁。因此，邮储银行应广泛开展信息系统审计，加强风险管理，完善内部控制，为信息系统的安全稳定运行提供可靠保证。 　　 　　1 信息系统审计的定义与内涵 　　 　　关于信息系统审计，目前还没有相对统一的定义，国际信息系统审计领域的专家RenWebe将其定义为：收集并评价证据以判断一个计算机系统能否有效做到保护资产、维护数据完整、完成组织目标，同时最经济地使用资源的过程。从该定义可看出，信息系统审计实质上是为了提高信息系统的安全性、可靠性以及开发、运营效率，促进企业信息化建设而引入的预防机制。信息系统审计涉及信息系统的整个生命周期，这不仅是一个技术问题，更是一个管理问题。 　　邮储银行的信息系统审计应涵盖其所有的业务应用系统以及涉及信息系统建设生命周期的所有活动与资源：就其审计重点而言，信息系统审计应重点关注各类风险的规避、管理和控制；就其审计内容而言，信息系统应包括邮储银行信息系统战略规划、需求获取和开发过程、系统交付后技术支持和运行维护等，以及系统生命周期中的所有活动、文档、管理以及对外委托业务、灾难恢复和业务持续性计划等审计内容。因此，邮储银行开展信息系统审计，应以风险管理为基础，本着成本效益原则和重要性原则，在邮储银行信息系统生命周期中，通过实施一般控制审计和应用控制审计，对相关证据进行采集和评价，以判断信息系统的资产安全、数据完整以及资源的有效利用，并对信息系统的战略规划与邮储银行总体规划的一致性进行评价，从而为邮储银行的可持续健康发展提供合理的咨询保障。 　　 　　2 邮政储蓄银行信息系统审计的基本运作 　　 　　2.1　信息系统审计的目标和内容 　　邮储银行开展信息系统审计应该以“服务经营、促进经营”为宗旨，通过对企业所有信息系统规划、建设、应用、安全等进行全方位审计、充分识别与评估信息系统风险，从而完善控制措施，实现信息系统的可靠性、安全性、完整性，最终达到强化邮储银行内部控制的目的。根据国内外商业银行开展信息系统审计的实践经验，邮储银行信息系统审计的内容至少应包括以下几个方面：信息系统硬件与环境审计，主要是评估网络运行与安全管理，如路由器、交换机、服务器、电源、通信线路等硬件设备及机房环境控制等；信息系统应用软件审计，主要是针对电子汇兑系统、综合业务系统等业务运行系统，评估系统的访问控制、授权、确认、错误与特例处理等是否正常；信息系统项目审计，主要是评估项目启动、立项、需求分析、系统设计、开发、测试、验收、推广过程的有序性和有效性，检查系统开发生命周期中的每一个程序是否均被严格执行，检查各类项目文档是否齐全；信息系统业务连续性审计，主要是对银行在容错、备份、存储、灾难恢复等方面的完整性与合规性进行审计，以保护银行业务的持续运作；信息系统管理流程审计，主要是评估企业信息技术工作条例或工作程序是否健全、执行是否有效。这些审计内容实质上也是邮储银行内部控制体系建设的重点。 　　 　　2.2　信息系统审计方法的综合运用 　　科学的审计方法是保证审计目标实现的重要前提，审计方法的选择决定了审计的效率和效果。邮储银行的信息系统审计应用的主要方法包括以下几种： 　　2.2.1　面谈法 　　面谈法简便实用，实际工作中经常被采用。为全面了解信息系统，有必要与系统分析员和系统设计师面谈；为了解信息系统的实际应用，有必要与具体业务部门的负责人面谈。通过面谈，了解是否存在相关的内部控制措施限制对信息系统和数据的接触，了解业务运行系统出现错误的性质及原因，了解重要的错误能否得到及时恰当的更正。面谈法既能得到定性的消息，又能得到定量的消息，是最常用的一种审计方法。面谈法一般包括面谈准备、面谈实施和面谈后分析三个环节。 　　2.2.2　流程图检查法 　　在实施信息系统审计时，主要的流程图包括五种：数据流程图、业务流程图、系统流程图、文件流程图和控制流程图。流程图在审计中的主要作用有：帮助审计人员设计和分析内