人民银行信息技术审计规范在分支行内部审计中的应用探索

刘 晶

（中国人民银行济南分行，山东济南 250021）

人民银行信息技术审计规范在分支行内部审计中的应用探索

刘 晶

（中国人民银行济南分行，山东济南 250021）

《中国人民银行信息技术审计规范》（Q/ PBC 00001-2014，以下简称《规范》）于2014年3月3日正式发布，作为人民银行发布的首个企业级技术标准，《规范》对各级人民银行信息技术审计工作有序开展，审计质量和水平持续提高，审计发现和成果深化利用，审计作用和价值有效提升等方面具有重要意义。笔者对《规范》进行了学习和研究，并将《规范》应用于人民银行分支行信息技术审计中，取得了一定成效。

一、审计规范简要介绍

《规范》包括总体要求、审计流程及主要风险、审计检查指南和审计评价指南4个部分，明确了人民银行信息技术审计的一般原则、审计内容、审计方法和审计程序。一是，《规范》明确了人民银行信息技术审计的5个领域、30个流程和138个子流程，详细说明每个流程的风险，每个子流程的审计目标、审计要点和审计方法，涵盖了当前和今后一段时期内人民银行信息技术审计的所有内容。二是，《规范》的审计检查指南中对每个子流程的审计目标、控制活动和审计检查内容进行了界定，全面覆盖了审计要点和审计方法，并列示审计中发现的常见问题供审计人员参考。三是，《规范》的审计评价指南参照《信息及相关技术控制目标》（COBIT①COBIT（Control Objectives for Information and related Technology，即信息及相关技术控制目标），由ISACA（国际信息系统审计与控制协会）发布，详见www.isaca.org/cobit/。）的管理成熟度模型，结合人民银行信息技术管理实际，针对30个审计流程确定了5级管理成熟度指标，为审计评价开展提供了指导。

二、审计规范在分支行信息技术审计中的应用

（一）根据实际选择审计内容，明确审计重点

如前所述，《规范》内容全面，覆盖了信息技术审计的所有内容，但对于分支行来说，有些审计内容主要适用于总行或直属企事业单位，根据《规范》开展信息技术审计时，不能简单的直接去选择某个领域或某个流程，而要根据审计对象实际，有针对性的选择相关子流程开展审计工作。笔者对《规范》中的流程和子流程进行梳理，结合科技专业风险评估结果和地市中心支行实际，遵循“风险引导审计、审计关注风险”的原则，确定了4个审计领域、17个流程和59个子流程，纳入辖区地市中心支行科技综合管理专项审计范围，便于审计人员把握现场审计重点和需关注的风险。（表1）

（二）进一步细化审计方法，指导现场审计

《规范》是人民银行开展信息技术审计的总体性指导标准，限于篇幅，对于网络安全、主机安全和应用安全等操作性强的审计流程，《规范》中的审计方法重点介绍了调阅哪些资料、采取哪种检查形式、检查哪些内容等，未对现场检查过程进行详细描述。因此，为更好地发挥《规范》的指导作用，笔者对《规范》中部分审计方法进行了进一步细化，形成了一系列的审计指南。例如审计流程“网络安全”中的子流程“网络设备安全防护”部分，有1项控制活动是：“应对登录网络设备的用户进行身份鉴别，对管理端口设置访问控制，对网络设备远程登录，应采用加密通讯协议”，对应审计检查内容为：“调阅网络设备配置文件，检查对console、AUX、vty端口是否设置登录失败次数、登录超时等控制措施，是否对网络设备的管理员登录地址进行限制，分析可登录网络设备的地址是否合理；是否对远程登录进行有效管理，能否保护传输中的身份鉴别信息”。

表1 地市中心支行科技综合管理审计涉及的流程和子流程

《规范》中的以上内容，为审计人员提供了基本的审计方法和内容。但在审计实施中，需要审计人员能够根据网络设备类型和品牌进一步细化审计内容才能取得良好审计效果。为此，需要进一步梳理人民银行常用的网络设备、主机操作系统、数据库系统，根据办公网、业务网、城域网的不同要求，针对网络安全、主机安全和应用安全流程中操作性较强的部分，分别编制检查对照表，包括AIX、HPUnix、SUSELinux、SCOUnix、Windows等5类操作系统，Oracle、DB2、SQLServer等3类数据库，CISCO、H3C、华为、迈普等4种品牌的网络设备，MQ、WAS等2类中间件的具体审计操作方法，以指导现场审计。

（三）根据评价指南，探索审计评价

利用管理成熟度指标开展审计评价，是信息技术审计转型的重要组成部分，能够提高审计报告的可读性，改善审计建议的有效性，为审计情况的比较和分析奠定基础；同时也有利于被审计单位有针对性提高信息技术工作水平。笔者对审计评价指南进行认真学习，选择重点流程，设计了部分辅助性定量评价指标，与5级管理成熟度指标相结合，对地市中心支行相关审计流程进行了探索评价。

1.选择重点审计流程，进一步分解评价内容。

根据风险评估结果和地市中心支行实际，选择物理环境安全、网络安全、主机安全、应用安全、运维操作管理、变更管理等6个审计流程，按照《规范》的审计评价指南，进一步分解评价内容，从制度、人员、控制的全面性、控制的有效性等方面进行评价。例如，对网络安全流程进行管理成熟度评价，将该流程审计评价分解为四个部分：一是网络安全制度、策略、技术指引建设；二是网络管理人员技术能力；三是网路安全控制的覆盖面（是否覆盖全部网络、网络内全部设备和终端）；四是网络各个域安全控制的有效性（访问控制是否严格、日志记录和分析是否有效等）。

2.设计辅助性定量评价指标，开展成熟度评价（以网络安全流程为例）。

结合相关流程成熟度评价内容，笔者设计了部分定量评价指标作为辅助。例如，针对网络安全流程设计了部分定量评价指标（表2）。

表2 网络安全管理流程中的定量评价指标

通过现场审计计算，审计对象网络参数变更审批率为100%、网络接入审批率为85%、核心网络设备远程访问控制有效率为75%、核心网络设备安全配置合规率为63%、核心网络设备日志记录有效率为25%、非法外联系统覆盖率为92%。

综合审计对象制度建设、网络管理人员技术能力等情况，充分借鉴《规范》中的管理成熟度指标，将审计对象网络安全管理能力最终评价为三级，即“审计对象根据上级行制定的网络安全管理制度和配置指引进行网络安全管理，能够合理设计网络结构和访问控制策略，按照要求配备网络设备和网络管理工具，能够在外部网络边界部署访问控制设备，重要网络设备和通信线路已采取备份机制；但由于技术人员培训不足，以及缺乏有效监督机制，网络安全要求并未全部落实到位。”

3.根据成熟度等级，提出审计建议（以网络安全流程为例）。

审计评价指南的5个等级成熟度评价指标描述，明确了科技管理工作达到的相应水平。参考各个等成熟度评价指标描述，能够找出被审计对象距离更高等级成熟度还有哪些差距，帮助其明确工作改进方向，从而有效提高审计建议质量。以网络安全流程为例，笔者参考评价指南中四级成熟度的要求，提出有针对性的审计建议：一是要求其做好审计发现问题整改工作，加强网络接入审批、网络设备安全配置等工作管理，保证处于成熟度位于三级不下降；二是从提高科技管理水平要求出发，按照四级成熟度标准，结合本行实际，将配备日志记录或审计服务器列入日程，以收集安全信息和数据，及时发现解决安全管理方面的风险和隐患；将网络访问控制粒度缩小为单个计算机级别；在所有网络边界部署安全防护设备。

三、意义

（一）《规范》的发布和实施，对提高信息技术审计质量有很大帮助

《规范》一是全面覆盖人民银行信息技术审计范围，能够保证审计不遗漏重要内容、不忽略重要风险；二是通过审计内容和方法的介绍，带给审计人员清晰的审计思路，能够提高审计效率和效果；三是通过5级成熟度指标，明确了审计评价标准，使审计人员能够更加客观的开展审计评价，并根据评价结果提出改进建议。《规范》从审计内容选择、现场审计开展、审计报告评价，到审计建议提出等各方面，进行全方位指导，能够进一步提高信息技术审计规范化水平，提高审计质量。

（二）在实施审计时，要结合工作实际，明确审计范围

《规范》中的部分审计流程和子流程由于只适用于总行或总行直属企事业单位，分支行在开展信息技术审计时需要结合审计对象实际，首先确定审计涉及的流程和子流程，明确审计范围，再根据《规范》的审计检查指南和审计评价指南，开展审计工作。分支行内审部门在《规范》指导下可灵活开展信息技术审计项目，既可以开展包含所有相关流程的信息技术全面审计；也可以结合风险评估结果和审计对象业务实际，选择特定领域、特定审计流程开展审计；还可以根据信息系统开发进程，事中介入，进行开发过程跟踪审计。

（三）审计评价开展有难度，但应积极探索

开展审计评价能够对审计对象的管理情况进行清晰的界定，便于比较和分析，有效提高审计建议质量。但从审计实践来看，审计评价也是审计中的难点之一，主要表现在针对某个环节或流程的评价比较容易开展，但将各环节或流程的评价综合起来得出对审计对象总体管理情况的评价存在一定难度。《规范》中的审计评价指南为审计人员提供了流程成熟度定性评价指标，统一了评价标准，能够指导审计人员针对特定审计流程开展评价，但如何对科技管理总体情况进行客观评价还需要进行深入探索和研究。笔者认为构建辅助性评价指标和模型，采用定量与定性评价相结合的方式，是实现对审计对象的总体评价一种较好的形式。

（四）需要进一步开展针对《规范》的培训

《规范》是人民银行发布实施的第一个技术标准，也是内审专业制定的第一个标准，相对于科技等制定标准较多的部门，内审人员对于标准的制定和使用还不够熟悉，如如何有效利用审计指南开展现场审计、如何按照评价指南开展流程的成熟度评价等。因此需要开展广泛的宣传和培训，以进一步提高内审人员运用《规范》开展信息技术审计的能力和水平。

[1]中国人民银行内审司“深化人民银行信息技术审计”课题组. 深化人民银行信息技术审计[J]. 中国金融,2012(14)

[2]人民银行济南分行课题组. 基于COBIT的央行信息技术审计标准研究[J]. 金融理论与实践,2012(12):35-38

（责任编辑：何昆烨）

刘 晶，男，汉族，硕士，中国人民银行济南分行，工程师。