信息技术环境内部控制面临风险及对策 .pdfVIP

信息技术环境内部控制面临风险及对策

信息技术在人民银行各项业务中的广泛运用,使计算机系统风险的控

制显得十分必要和紧迫,对信息技术审计监督产生着深刻的影响。本

文拟从加强内部控制、强化业务管理的角度,分析计算机系统在内部

控制环境、风险评估、内部控制活动、内部控制信息及沟通、内部控

制监控等方面的风险，探求改进信息技术审计监督对策。

一、信息技术环境内部控制面临风险

(一)计算机系统内部控制监控方面

一方面信息技术审计监督人员知识欠缺，使用专项监督、综合监督等

现场检查方式，让审计人员持续监督，往往产生监督压力,致使在监

督过程中产生以最短的时间完成“过得去的工作量的情况，同时受

监督频率和范围的影响,监督效果也大打折扣。另—方面由于非现场

监督标准不规范，大量由监测单位上报的资料缺乏规范约束的格式，

被监督单位担心被责任追究,往往是报喜不报忧，难以达到通过多种

不同层次监督纠正控制缺失的效果,影响了计算机系统内部控制适时

非现场监测持续的开展。

（二）计算机系统内部控制环境方面

信息技术安全观念滞后,认为人民银行计算机运行系统安全、可靠,

信息技术的安全意识淡薄，致使当前基层行安全控制方面存在“二虚”

问题。一是管理规则形同虚设.《中国人民银行计算机安全管理暂行

规定》的系列重要章程,在执行起来与要求大相径庭，如：计算机系

统要害人员应遵循“权限分散，不得交叉覆盖的原则、要害岗位年

度强制休假和定期考核制度、重要计算机系统应设计审计监控程序、

涉及人民银行业务保密信息的要害岗位人员调离单位的离岗审计

制度等等均未按规定执行.二是计算机安全管理领导小组的运作虚

化。计算机安全领导小组从组长、副组长到部门负责人,基本上对自

己在安全领导小组中履行的职责不清楚，很少进行计算机安全管理问

题的研究和议事，在计算机安全管理中的日常角色常常被科技部门所

取代。

(三）计算机系统的内部控制风险活动方面

信息系统事中审计错位，没有突出对计算机系统内部控制的“细节风

险”，没有围绕管理、运行、操作及维护等诸多环节进行审计监督，

致使三类现象屡有发生.一是在级别不同的操作员的操作限制上，存

在着“厚此薄彼的现象,控制活动没有体现根据不同的业务种类、不

同的操作风险程度、不同的操作权限采取不同的控制措施；二是对一

些风险高的业务处理，如删除、打印、复核等权限缺少相应的牵制；

三是在一些系统管理方面,没有设置各类严谨的登记簿制度进行严

格记录,忽视了登记簿对业务电子运用系统管理的意义，导致一些授

权使用、收回授权的记录不全，一些漏登、漏打、漏审批及交接不全

的情形时有发生.

(四）计算机系统的风险评估方面

信息系统事前审计监督缺位,导致一些信息系统技术在设计上自身存

在隐患,主要表现在以下三个方面。一是信息系统记录不规范，没有

形成全面的文档资料，导致难以找到审计线索.比如在存款账户的息

中，按照手工流程，日常积数的计算一确定积数金额一确定利率一在

规定时间计算利息一编制息凭证一编制会计凭证上一收、付方记账

一复核员全过程复核，这8个环节每一步都有文字记录和经手人签字，

但信息系统处理后只有最后结果，相关处理过程只隐藏在数据库中，

审计人员难以核查。二是一些信息系统在设计防范“行为道德风险”

的功能措施上没有到位，对一些常见的“行为道德风险”的防范，如

变更利率、变更积数、变更收款单位、一分为二制作利息凭证上、不

兼容岗位的授权制约等出现舞弊行为，没有设计和制作“牵制或防范”

功能,缺少周密和严谨的防范措施。三是内审部门很少参与业务信息

的试运行中的“业务运行风险”检测。

（五）计算机系统的内部控制信息及沟通方面

信息系统审计监督手段落后，与信息技术的处理运行存在明显的不匹

配。当前,人民银行的支付系统、国库会计业务系统和金融统计监测

信息系统等都实现了信息技术的运用，然而在了解内控信息的手段和

方法却很原始，主要使用的是调阅文件和纸质资料进行核实、核查的

方法,既耗时也反映迟钝。其次，业务信息系统与内控监测数据不在

一个平台上，绝大多数系统没有设置路径,不能对业务处理系统的操

作过程进行“可读性”的监督检查，影响对业务处理防范制约.

二改进信息技术审计监督对策

（一）营造良好的信息技术审计监督环境

首先，应根据人民银行信息技术运行的实际，强化信息技术审计组织

的构架，成立跨部门的信息系统风险审计组织,负责信息系统审计标

准的建立和归划,定期对信息系统风险进行研究，推进信息系统审计

问题的发现、评估和风险控制措施的落实.其次，应从全面加强内部

控制的高度，开展系