中国人民银行关于加强计算机信息系统内部审计工作的指导意见

	内容分类： 财务会计法	实 效 性：现行有效
	文    号：银发[2003]32号	发文机关：关税税则委员会
	发文日期：2003-02-13	生效日期：2003-02-13

中国人民银行各分行、营业管理部，各司（局），各直属企事业单位：
　　近年来，计算机信息系统在人民银行广泛应用，在大大提高工作效率和质量的同时，也产生了一系列风险问题，有的还比较突出。如果对这些风险防范和处置不力，就可能造成重大损失或严重危害。为了促进人民银行计算机信息系统合规、安全、可靠、有效运行，必须加强对计算机信息系统的内部审计工作。根据《中国人民银行内审工作制度》（银发〔１９９９〕１９６号）和《中国人民银行计算机信息系统内审监督检查工作暂行规定》（银办发〔２００１〕３３３号）等有关规章制度，现就人民银行计算机信息系统内部审计工作提出如下指导意见：

　　一、高度重视人民银行计算机信息系统内部审计工作
　　各级行领导要充分重视计算机信息系统内部审计工作，把系统的开发应用与管理、监督和审计工作放在同等重要的位置，纳入议事日程。有关部门要在人员配备、干部培训、技术和设备等方面，对内审部门给予必要的支持，保证此项工作的顺利开展。内审部门要进行积极探索，不断完善计算机信息系统内部审计工作的制度、办法，提高工作的质量和水平。

　　二、审计的对象，目标和总体要求
　　人民银行计算机信息系统内部审计的对象，包括人民银行各级行以及有关直属企事业单位开发和使用的计算机网络系统、支付清算系统、业务应用系统、管理信息系统和办公自动化系统。
　　人民银行计算机信息系统内部审计的目标，是通过实施审计，促进、增强和维护人民银行计算机信息系统合规性、安全性、可靠性和有效性。合规性是指系统开发建设过程、内部控制功能以及系统管理、使用和维护等符合有关法规、规章、规定；安全性是指系统硬件和相关设施的物理安全、软件的逻辑安全以及有关数据文件的安全；可靠性是指系统运行稳定、易于维护和恢复以及系统输入、处理和输出数据的及时、准确和完整；有效性是指有关财力、人力资源和系统硬件、软件资源的充分利用，以及系统目标的充分有效实现。
　　人民银行计算机信息系统内部审计工作的总体要求：一是要及时、全面地介入系统开发建设和内部控制机制建立的过程，对这一过程发挥持续监督作用；二是要实行风险导向型审计，在对系统固有风险和系统内部控制机制进行评估和分析的基础上，对系统高风险和重要控制环节进行重点检查和检测；三是要充分利用计算机辅助审计技术，提高内审工作的技术装备水平，增强内审人员的信息技术应用能力；四是要在发挥审计工作查错防弊保证作用的同时，充分发挥其管理咨询作用，使审计工作有效地服务于人民银行信息化总体目标的实现。

　　三、审计的主要内容
　　（一）计算机信息系统开发审计。内容包括：系统开发计划和立项管理、可行性分析、开发组织管理、委托开发管理、系统需求、系统分析、系统设计、系统测试、数据迁移、系统试运行、系统验收等情况。
　　（二）计算机信息系统运行审计。内容包括：有关制度建设、岗位设置和人员管理、系统运行环境、系统软件和硬件管理、网络和通讯管理、口令管理、数据输入和输出管理、病毒防范、防灾和应急管理、系统维护、系统升级和废止管理等情况。
　　（三）计算机信息系统内部控制功能审计。内容包括：系统访问控制、权限控制、数据输入控制、数据处理控制、数据输出控制、数据传输控制、数据库控制、日志文件控制、数据备份与恢复控制功能等情况。
　　（四）计算机基础设施管理审计。主要包括计算机机房管理、网络管理和个人办公计算机管理情况。对计算机机房管理审计的主要内容包括：机房的门禁系统、供电系统、空调系统、防灾措施和防灾监控系统的运行和管理情况，机房管理制度的建立、健全和执行情况，相关设备的运行维护管理情况等；对网络管理审计的主要内容包括：网络整体结构设计的合理性，网络承载能力、安全防护能力、持续稳定运行能力情况，网络管理、维护制度和措施的建立、健全和执行情况等；对个人办公计算机的使用和管理审计的主要内容是配置、使用、维护、管理等情况。
　　（五）科技综合管理情况审计。内容主要包括：电子化计划管理、资金管理、设备管理、计算机安全管理等情况。

　　四、审计的程序与方法
　　（一）审前准备。了解和掌握拟审计系统的有关基本情况，包括业务的内容和流程、有关制度要求、系统的基本功能、系统内部控制的主要机制、系统运行的总体情况及存在的主要问题等；在开展上述工作的基础上，通过绘制业务、风险和内部控制流程图等方法，对拟审计系统的固有风险进行初步分析，并对其内部控制机制进行初步评估，以确定审计的重点；拟订详细、具体的审计实施方案，明确审计的目标、内容和方法，以有效地指导和规范审计工作。
　　（二）审计实施。对于系统开发情况，主要是通过同步、适时介入开发过程并对各个关键环节进行监督，或者事后查阅有关审批文件、业务需求书、开发文档及测试、验收报告等资料进行审计；对于系统运行情况，主要是采取现场观察、上机查看、查阅系统日志、运行维护记录以及有关业务文档资料等方法进行审计；对于系统内部控制功能情况，主要是通过搭建系统模拟运行环境，采取平行模拟操作、试探性操作等方法，对系统的内部控制功能进行审计检测；对于计算机基础设施管理和科技综合管理情况，主要是采取现场观察、工具测试、文档和记录检查等方法进行审计。审计实施过程中，应当根据实际情况，灵活运用审计问卷、审计调查表以及座谈等方法和手段。
　　（三）审计评估和分析。安全性评估主要包括物理安全、逻辑安全和数据安全，如防护措施是否有效、安全机制是否健全、恢复或补救措施是否充分等；可靠性评估主要包括软件可靠性和硬件可靠性，如差错和故障发生的几率、纠正和维护的便利性、对环境等外在因素的适应性、防错及容错能力等；有效性评估主要包括效益性和效率性，如投资的合理性、性能的高效性、利用的充分性等。根据评估结果，对存在的风险隐患、控制薄弱环节及其危害性进行定性和定量分析，提出审计结论。
　　（四）审计报告。对于审计发现的问题，要作出详尽的描述和恰当的评价，并与被审计部门进行深入的交流和沟通，充分吸收被审计部门的合理意见；对于不能取得一致的分歧意见，内审部门应当在审计报告中表明看法和意见，同时如实反映被审计部门的意见；内审部门在审计报告中准确描述发现问题的同时，要对已经或可能导致的后果或隐患进行分析，并指出其严重程度；审计报告中，针对发现的问题，既要提出具体的纠正和改进意见，也要提出进一步完善和提高的建议；对于审计报告中专业性、技术性较强的内容，应当作出必要的解释和说明。

　　五、建立有关信息沟通和工作协调机制
　　（一）科技部门和系统应用部门应当及时将制定的有关制度、办法、操作规程等抄送内审部门，主要包括人民银行科技发展规划、年度电子化建设项目计划和资金预算、有关规章制度和操作规程、系统技术手册和操作手册等，以及对计算机安全、系统运行等开展监督检查的报告和其他有关资料。对于系统运行中发生的重大事故或出现的其他重要问题，科技部门和系统应用部门应当将有关具体情况、已经或准备采取的解决措施、事故或问题处理结果等情况，及时通报内审部门。科技部门和系统应用部门应当通知内审部门派人参加系统开发前的重要学习考察、系统推广前培训及其他重要业务培训。
　　（二）科技部门和系统应用部门在召开涉及系统开发项目招标、设备采购、业务需求和技术论证、系统测试和验收等有关会议时，应当通知内审部门参加。内审部门应当从履行审计监督职能的立场出发，以独立和超脱的身份参加上述会议。内审部门参加会议的人员，可以当场对有关问题提出质疑，并于会后将有关情况向本部门领导汇报。对于重要问题，内审部门可以要求有关部门进一步作出详细说明，必要时可以提出意见和建议，反馈有关部门并报告行领导。
　　（三）科技部门和系统应用部门在组织系统开发时，特别是在可行性研究、制订业务需求、进行系统设计和系统测试等重要阶段，应当及时将有关情况通报内审部门。内审部门应当主要就系统内部控制机制问题，向有关部门提出质询或与之进行讨论，必要时可提出意见和建议。系统开发时，应当充分考虑设置和保留必要的审计线索，有关部门应当就设置和保留审计线索问题及时听取内审部门的意见。对于重要的系统，应当为内审部门设立必要的审计接口，或者设计专门的内部审计用户，以便于内审部门在系统投入运行后，开展有关审计工作。
　　（四）内审部门应当就审计所发现的问题，及时向科技部门和系统应用部门进行通报和反馈，并与科技部门和系统应用部门之间建立定期或不定期的会谈、磋商制度，对有关问题进行充分的交流和沟通，以更好地发挥信息系统内部审计工作的作用。

　　六、做好有关基础工作
　　（一）关于制度建设。总行将制定下发《计算机信息系统内部审计规程》，进一步明确审计的具体内容和方法；研究拟订内审部门对系统开发实行同步介入审计、系统设置和保留审计线索、计算机辅助审计等方面的制度和办法，不断提高审计工作的制度保障程度和规范化水平。
　　（二）关于干部配备和培训。计算机信息系统审计的专业性强，要求审计人员具有管理、审计和计算机等多方面的知识，目前内审部门计算机专业人才比较缺乏。为保证此项工作的顺利开展，各级行应积极为内审部门配备必要的计算机专业人员，特别是总行、各分行和省会（首府）城市中心支行内审部门应抓紧配备。要采取多种形式，对内审人员进行经常性的计算机强化培训，使其跟上信息化发展的步伐，适应开展审计工作的需要。内审人员应当严格遵守有关计算机安全和保密规定，在对系统有关关键领域实施审计时，应当采取必要的安全控制措施。另外，在对规模较大、技术复杂的系统进行审计时，在符合有关安全保密规定的前提下，内审部门可以从外部聘请有关专家参与审计工作或提供技术咨询。
　　（三）关于审计工作的计算机平台。要根据开展计算机信息系统审计工作的需要，积极创造条件，尽快在总行、各分行和营业管理部、省会（首府）城市中心支行内审部门，建立开展此项审计工作的计算机平台。该计算机平台应当具备一定的操作场所、必要的网络及其他设备条件，便于内审部门对系统进行内部控制功能以及有关安全性能的检测。另外，要加大计算机辅助审计技术研发的投入力度，通过购买标准审计软件和研究开发专用审计软件相结合的方式，提高审计工作的技术装备水平和技术应用能力。建立审计工作的计算机平台、开发和购置审计软件等费用，应纳入各级行电子化建设预算，切实予以保障。
　　以上指导意见，请遵照执行。执行中如遇到问题，请及时向总行反馈。

中国人民银行
2003年2月13日