对基层央行业务系统审计信息化的思考

对基层央行业务系统审计信息化的思考（通用6篇）

对基层央行业务系统审计信息化的思考 篇1

对基层央行业务系统审计信息化的思考

随着央行业务信息化的发展，数据信息系统成为内审部门新的必须开展的审计内容，我国中央银行利用信息技术对业务系统进行审计起步较晚，与业务系统电子化发展相比，审计信息技术的发展很不匹配，存在明显滞后，从实际运用来看，内审部门的信息技术手段仍很落后，特别是基层央行，对业务的审计仍以手工为主，检查的重点还停留在制度执行层面，风险洞察水平不高，严重影响了审计质量。

一、央行业务系统审计面临的现状与困境

1、业务系统可审性差。随着央行内审功能定位的清晰，内审工作的审计领域逐步拓宽，审计内容也日渐丰富，但对业务系统领域的审计还没有完全展开。目前，所有业务系统几乎都没有预置审计接口与审计用户，连简单的数据查询都需要通过被审计对象才能进行，同时由于信息量大，再加上内审部门缺乏相应的技术审计手段与审计力量，用有限人工的方法查找海量电子化信息，效率太低，要想筛选出有价值的线索无异于“大海捞针”；因没有设置监控点，最大限度保留、记录审计线索，各项违规操作、异常操作无从查找。

2、计算机辅助审计运用不广。由于应用系统开发各自为阵，各个系统由不同的开发单位开发，所采用的开发、应用平台不同、开发语言不同，数据库不同，没有一个统一的标准的数据化接口，加上内审部门没有专用的通用审计软件，使业务系统数据采集、转换、分析困难，另外，数据采集还涉及到数据导出后的保密问题，也成了数据采集困难的因素之一。加之内审部门计算机配备不足，能熟练掌握计算机专业知识及业务知识的人员偏少，计算机辅助审计仅停留在文字处理和电子表格处理层面，更深层次的数据筛选、数据分析、函数计算、数据统计和图形分析应用不多。

3、审计服务平台搭建不力。目前，央行内审业务尚未搭建起支持信息化审计的高效的服务平台，严重滞后于信息化审计工作的发展，成为难以突破的“瓶颈”。主要表现为：一是审计依据的更新不及时，给依据的查找、问题的定性带来极大的不便，许多审计人员反映，在依据查找、问题定性方面投入的工作量占整个工作量的近三分之一。二是审计成果难以利用，没有审计结果电子档案，审计部门难以及时了解、全面掌握审计对象的基本情况及其动态。三是审计分析难以深入，不便掌握内控运行趋势和找出内控薄弱环节轨迹。四是经验交流不实时，在审计实施中容易走弯路、重复审计，增加审计成本。

4、软件开发应用介入缺位。在目前的审计实践中，对业务系统的审计却往往绕过计算机审计，未能实现穿过计算机审计，仅对业务系统的运行环境、操作员控制、制度建设与管理等方面进行审计，对业务系统自身的可靠性、可行性审计这一关键环节却无能为力；二是业务系统培训、运用，审计人员缺少参与。各个业务系统在培训推广时，内审人员很少有机会参加，相应的制度及培训资料也难以获取。

四、央行业务系统信息化审计方法与途径探讨

1、深化辅助审计软件的有效应用。在内部审计实施过程中，计算机不能仅作为文字处理工具，而要进一步深化辅助审计软件的有效应用。在文字处理、电子表格、数据库分析管

理和图形分析四个方面，可建立符合基层央行业务特点的审计数学模型，探索开发中央银行通用审计软件。借助通用审计软件中相应的数据接口模块在不同的业务系统中采集数据，用转换工具，把取得的数据进行转换，从而有效地转换到审计软件中，形成统一的数据格式，以便进一步审计分析。

2、建立业务系统的嵌入式审计窗口。一是对现有的业务系统进行补丁，建立起由内部审计人员登录并提供由系统本身自动产生有操作风险或较严重误操作的记录的嵌入式审计窗口，从而增加对审计对象的介入深度和改进审计方式；二是对今后开发的业务系统，审计部门要提前介入，提供切合实际、有针对性的系统控制、程序控制和风险点控制等方面的需求报告，供开发人员研究设计，未经审计部门介入的业务系统软件，不能擅自推广应用。

4、加快建设信息化审计网络服务平台。信息化审计网络服务平台是为内部审计工作提供全方位的服务网络系统。网络服务平台可以包括：审计人才资源、审计对象与方法、审计依据法规、风险点及控制、审计成果转化与应用等，形成一个多层面、多角度、立体式的网络服务平台。

5、规避信息化审计风险。规避信息化审计风险是审计人员面临的新课题。信息化系统所固有的特性，使审计风险再所难免。如何最大限度地降低审计风险，只有靠审计人员敏锐的嗅觉、实战经验和一定的计算机应用系统分析水平。在审计实战中，一要运用电子数据易快速分类、排序、统计的特性，对电子数据进行关联、抽样分析等，以发现审计线索；二要检查业务系统的操作员分工、权限设置是否合理、严密，职责是否明确，分析密码管理机制是否安全、有效，系统各个功能模块设计是否符合央行内控要求；三要检查业务系统本身是否具有合理的安全保护措施，如容错性和系统灾难恢复机制等；四要检查被审计单位所提供的数据资料的真实性、时效性、完整性和连续性，必要时应进行复核；五要采用灵活的审计方式，如可采用就地审计或突击审计的方式，事先不通知被审单位计算机管理员，先取得备份数据，以防操作员将数据篡改、删除等。

6、加快人才培养和技术培训。基层央行内部审计信息化建设的发展，人才培养是最大瓶颈。当务之急是要用计算机知识武装审计人员的头脑。首先，要拓宽育人、用人视野，要有目的的选择品学兼优的业务骨干充实到内审岗位。其次，要抓好计算机审计深层次应用培训，如审计业务与通用审计软件相关的针对性培训、计算机辅助审计技术培训、常用的Excel、Access数据库中如何进行数据处理、加工统计及图形分析培训等。来源:考试大-内审师考试

对基层央行业务系统审计信息化的思考 篇2

一、领导干部履行职责审计的必要性

根据《中国人民银行领导干部履行职责审计办法 (试行) 》规定, 中国人民银行领导干部履行职责审计是根据有关法律法规和规章制度, 对领导干部在一定时期内履行业务管理职责的情况进行监督、检查和评价的活动。

1. 领导干部履职审计有助于促进各级人民银行更好地履行中央银行职责。

随着改革和发展的深入, 人民银行在实施维护金融体系稳定、金融宏观调控、提升金融服务水平、构建和谐金融生态、促进经济稳健发展方面的地位和作用更加突出、职能更加重要, 得到的关注也越来越多。因此, 有效维护人民银行自身的信誉和形象, 就显得越来越重要。领导干部履职审计以领导干部为审计对象, 以业务和管理活动为审计内容, 基本涵盖了体现人民银行主要职能的各项业务, 通过审计活动可以更好地促进人民银行各级行依法、充分、有效地履行职责, 促进央行各项工作水平的提高。

2. 领导干部履职审计丰富了干部监督的内容, 有助于领导干部加强自律、拓宽了干部监督渠道, 提高决策和管理能力。

通过领导干部履职审计可以发现被审计单位在管理决策、内部控制、工作运行、业务操作等方面存在的问题, 既发现问题又肯定成绩, 在查处和纠正问题的同时发挥正向引导作用。特别是履职审计将发现的违规问题与有关领导和有关工作人员的职责挂钩, 全面落实问题责任, 履职审计得出的结论可以为干部考核和使用提供重要的参考依据, 对完善干部监督考核机制具有重要的作用。

3. 领导干部履职审计符合内部审计工作的发展方向, 有助于更好地发挥内审作用, 提高内审工作的水平和层次。

领导干部履职审计体现了“人与事结合”、“权利义务与责任结合”, 拓展了审计领域和空间, 较之以单纯业务活动为重点的其他审计, 将审计内容拓展到了复合的管理活动, 与国际上通行的“绩效审计”更为贴近, 具有管理审计的特点, 有利于内审部门强化自身特色, 促进业务发展。同时履职审计突出审计时效, 监督关口前移, 对风险隐患进行预警, 及时发现不足, 促进问题及时得到整改, 既有利于被审计单位的风险防范、价值提升, 有利于被审领导干部总结经验教训、提升履职能力, 也有利于发挥内审的监督作用。

二、制约领导干部履职审计深入发展的因素

1. 配套制度滞后, 审计内容不全面。

为了加强对人民银行各级领导干部的审计监督, 总行制定出台了《中国人民银行领导干部履行职责审计办法》 (试行) , 下发了《中国人民银行领导干部履行职责审计指南》, 就履职审计内容、审计方法和程序、责任认定与处理进行了明确, 但对于领导干部履职审计的审计周期等有关规定比较模糊, 配套制度和程序也不完善, 尤其是对于同级监督方式没有统一的规定, 各单位往往都是根据自身实际自主实施, 同级监督工作缺乏统一性和规范性。同时, 领导干部的廉洁勤政和党风廉政建设情况在审计内容中没有涉及, 缺乏对上述重要内容的审计, 内审部门做出的评价结论是不全面的。

2. 审计评价难以准确把握。

目前仍然缺乏一套科学、完整的履职审计评价指标体系和标准, 对领导干部履职审计评价的评价标准、用语规范等做出明确规定。履职审计报告中对审计对象在履行职责过程中所取得的实际成绩, 多使用鉴定性或结论性的语言, 而采用客观事实和具体数据说话较少, 甚至存在超越审计权限和范围、狭隘片面、只涉及事不涉及人的简单评价。同时, 由于内审人员对审计对象如何评价无据可依, 缺少定量评价, 主要取决于自己的主观判断作出定性评价, 存在一定的主观随意性, 不同的被审计对象之间也缺乏可比性, 不仅影响审计评价的有效性, 还易带来审计风险。

3. 责任界定存在困难。

履职审计中, 直接责任、主管责任和领导责任的界限难以划清, 集体决策与个人决策的界限难以划清。特别是在对行长履职审计时, 行长在承担具体分工的同时, 还身兼国库主任、发行库主任、外汇管理局局长等职务, 同时还承担《中华人民共和国会计法》规定的单位负责人是本单位会计财务的直接责任人、以及其他一些工作的第一责任人责任, 在履职审计中发现上述业务中的问题, 很难对行长划清、确定直接责任、主管责任和领导责任。同时, 在实际决策过程中, 易出现行长或部门主要负责人一人说了算的现象, 是否经过集体讨论形成集体决策, 作为审计人员只能通过审阅当时的会议纪要来确定, 而由于有些会议记录不全面或不细致, 特别是对决策失误形成的损失发生的决策风险, 仅通过查阅会议纪要来确定是集体决策造成的失误, 还是个人决策造成的失误显得过于简单, 同时, 决策风险往往要经过一段时间才能逐渐暴露出来, 如果会议记录不细致、不全面很难确定相应的责任人员。

4. 审计结论难以全面执行。

一是审计处理不到位。《办法》中要求针对履职审计中发现的问题, 应对审计对象进行责任认定, 并至少给予诫勉谈话的审计处理。但实际工作中, 部分基层行领导以保护干部工作积极性为由, 并不认真执行责任追究。因此, 内审部门做出的审计结论多限于对查出问题的整改建议, 而很少涉及对责任人的处罚意见, 监督的威慑力远远不够。二是审计问题整改困难。由于内审部门对被审计部门只有建议权, 没有处理权, 同级审计监督权威性不强, 加之督查力度不大, 对于审计中发现的问题及其整改要求, 职能部门往往重视不够, 执行不力, 即使整改, 也往往是就事论事, 整改不彻底、不到位, 致使屡查屡犯、前查后犯的现象经常发生, 对此内审部门也缺乏有效的制约手段。三是履职审计评价与结论未能与干部管理有机结合起来, 两者脱节, 审计成果没有得到较好的转化, 履职审计作用发挥有限。同时, 因为没有建立一个有效的内审联系机制和资源信息网络, 人事、纪检监察、业务主管科室等部门日常检查考核所掌握的被审计领导干部履行职责的一些情况, 内审部门无法有效利用, 影响到整个履职审计的综合效果。

三、对领导干部履职审计转型工作的建议

1. 加强研究, 逐步完善领导干部履职审计内容。

领导干部履职审计内容在《中国人民银行领导干部履行职责审计办法 (试行) 》中的规定较为详细, 但其涉及面还应更全面一些。虽然“思想品德、工作能力、干部任免管理”主要由人事部门考核监督, “党风廉政建设”主要由纪检监察部门考核监督, 但是内审部门可以会同人事、纪检监察部门一起进行履职审计, 这是可行的, 也是必要的。同时, 内审部门可通过人事、纪检、内审联系会制度, 共同监督。这样既可以提高审计内容的全面性, 同时也可以适当地减少全面审计或离任审计, 节约审计资源, 降低审计成本。

2. 积极探索, 切实做好审计评价。

履职审计评价是一个内涵丰富的课题, 有待我们在工作中不断探讨, 进一步完善评价体系, 以期对领导干部履职情况进行科学评价, 充分发挥履职审计在干部管理工作中的监督作用, 促进领导干部履职能力的提升。鉴于目前人民银行还没有建立统一的岗位责任评价体系, 故在履职审计结果评价上应力求遵从以下原则:一是抓住与审计对象履职直接相关问题的主要方面, 突出重要性。二是坚持客观公正的原则, 克服主观片面性。三是事实认定和把握要强调准确性。四是对履职期间问题的分析应考虑到连续性。五是审计评价的形成应经过有关领导把关, 体现审慎性;六是做好量化评价和定性评价相结合。同时, 审计评价中应注意以下几个问题:一是对于有争议或双方持有保留意见的审计事项, 应在审计报告中采用“写实”的手法对审计事实进行详实描述, 尽量不发表结论式的评价意见。二是建议相关部门开发定量评价指标相关数据提取和计算的信息系统, 同时对指标的设定应考虑各基层行业务范围和业务量不尽相同的实际情况, 使之具有真实的可比性。三是对履行职责审计中发现的问题, 需先明确问题的性质, 按所承担的责任准确界定责任, 划分为领导责任、主管责任和直接责任, 分别落实到审计对象和当事人。四是慎重评价被审计单位以及领导人的成绩。坚持依据事实、依据法律法规进行评价, 不得超越审计权限、超出审计范围、脱离审计事实进行评价, 防范评价风险。

3. 明确责任界定, 严肃审计定性。

对领导干部的责任认定和评价结论是领导干部履职审计的最终落脚点, 必须做到责任界定清晰, 评价客观公正, 语言精确, 措辞恰当, 避免使用模棱两可、易生歧意的语句。建议总行及时总结开展领导干部履职审计的经验, 尽快出台关于规范责任认定和评价结论的指导意见。审计实践中, 内审人员下结论、做评价要做到三“精确”。一是证据要精确, 审计证据必须合法、有效, 事实要确凿, 数字要核实, 对不充分、未落实、不相关的事实数据不作评价。二是取舍要精确, 依据重要性原则甄选事实, 做到详略得当, 突出重点, 对能够体现被审计对象履行职责特点的方面重点评价。三是责任界定要精确, 严格按照规定认定领导干部应负的直接责任、主管责任和领导责任, 正确评价领导干部的功过是非、责任轻重, 并注意划分三个界限, 即前任责任与现任责任, 主观责任与客观责任, 集体责任与个人责任。

4. 建立机制, 促进审计结论有效执行。

一是建立审计过程沟通联系机制。内审部门定期向纪检监察和组织、人事等部门通报工作进展情况, 发现重大违规违纪问题及时向有关领导和纪检监察、组织、人事部门汇报, 取得支持和配合;二是建立定期通报机制。每年应将同级履职审计和其他审计中所发现的问题及其审计建议, 在全行进行通报, 促进被审计部门及时完善有关规章制度, 从管理上堵塞漏洞, 强化内控, 也可促使其他部门及时纠正自身存在的同类问题;三是建立责任追究机制。根据审计问题性质和严重程度, 对责任人分别采取诫勉谈话、通报批评、经济处罚直至党纪、政纪处分等方式予以处理, 营造有规必依、执规必严、违规必究的监督氛围, 维护内审监督的严肃性;四是建立整改督查机制。内审部门要督促被审计部门认真落实审计问题整改责任, 及时制定整改计划和措施, 限期进行整改, 并对整改过程及结果实施全面跟踪监督, 必要时采取后续审计手段, 对整改不力、整改不到位、屡查屡犯的部门和人员, 按规定进行处罚, 确保内审整改意见得到贯彻执行, 维护内审的权威性;五是建立考核约束机制。一方面, 基层行要将履职审计结论纳入干部人事档案和廉政档案进行管理, 并在选拔、任用干部时要充分考虑履职审计做出的评价结论以及整改落实情况, 必要时征求内审部门意见;另一方面, 要将同级履职审计结果及审计问题整改情况纳入全年工作综合考核内容, 与职能部门及其负责人的绩效考核、评先评优等直接挂钩, 促进其增强责任意识, 规范业务行为, 提高履职水平。

摘要：经过几年的审计探索, 领导干部履行职责审计已成为人民银行内审部门最主要的工作形式之一, 并已逐渐成为人民银行内部监督体系中的一个重要环节。随着内审转型工作的深入推进, 如何进一步深化中国人民银行领导干部履行职责审计便成为亟待解决的课题。文章对基层央行履职审计中存在的问题及完善建议进行了探讨。

关键词：人民银行,履职审计,转型

参考文献

[1].中国人民银行内审司.中国人民银行领导干部履行职责审计指南 (M) .北京:中国金融出版社, 2008

对基层央行业务系统审计信息化的思考 篇3

一、基层央行履行“两个责任”中存在的主要问题

一是思想上认识片面，“一岗双责”不到位。片面认为只要抓好业务就行了；有的认为只要自己洁身自好，班子成员和干部职工没有违纪违法行为就是抓好了党风廉政建设；有的认为廉政建设是纪检部门的事，自己只要支持、配合就行，工作上消极应对、简单应付。由此导致个别基层行的党风廉政建设责任分工不明确，工作思路不清晰，工作任务和目标流于形式。

二是监督体制不顺、监督意愿不强，双重身份显尴尬。基层人民银行纪检监察部门受同级党组的领导，这种监督模式客观上使得纪检监察部门很难独立负责地行使监督权，监督的独立性和权威性必然会受到制约。基层行纪检监察部门实施的是同级监督，况且不少基层行的纪检组长还分管具体的业务部门，兼有“监督者”和“被监督”的双重身份，监督过程中抹不开面子的现象屡见不鲜，不利于监督工作的开展。

三是党风廉政建设停留在层面上，落实行动少。对落实党风廉政责任制的布置仅仅满足于按上级行的口径提要求、喊口号，并未结合基层行的实际情况开展工作。党风廉政建设工作有时停留在面上的时候多些，落实到行动上的时候少了。

四是廉政建设监督考核形式单一，责任追究少。通过审计发现，上级行每年对基层行的党风廉政建设落实情况进行考核的形式主要是专项检查，事先向被检查单位打招呼，形式单一，一些突击检查、不定期的抽查、明查暗访等很少。对审计检查发现的问题只是在一定范围内进行了通报，但较少对问题责任人进行处罚，责任追究落实不到位。

二、对基层央行履行好“两个责任”的建议

综上所述，笔者认为基层人民银行落实党风廉政建设主体责任和监督责任，就要坚持做到党组“不松手”、一把手“不甩手”、纪检“敢出手”。

1.以领导重视为关键，强化主体责任。党组要切实履行好主体责任，做党风廉政建设的清醒人、领路人。尤其是基层行“一把手”更是应该做到带头执行党风廉政建设责任制，把落实主体责任摆上重要位置，心存敬畏、手握戒尺，做出样子、带好班子，为确保主体责任不折不扣落到实处提供保障。在组织领导上发挥好统揽作用，重要工作亲自部署、重大问题亲自过问、重点环节亲自协调、重要案件亲自督办，担负起组织领导之责、教育管理之责、检查考核之责、责任追究之责。领导班子要根据分工，切实做到“一岗双责”，种好“责任田”，一级管一级，一级对一级负责，责任意识强一点，推进力度大一点。

2.以宣传教育为抓手，保障制度执行。要始终把反腐倡廉作为干部培训教育的重要内容，不断加强反面警示教育，坚持抓早抓小、治病救人，对党员干部苗头性、倾向性问题，早发现、早提醒、早纠正、早查处，坚持把惩防体系建设贯穿到党风廉政制度建设之中，加强对重点领域、重点环节和关键岗位的廉政风险防控，进一步强化权力运行的制约和监督，切实做到以制度管人、管事、管权。扎实推进个人重大事项申报制、违纪责任追究制、党风廉政建设“一票否决”制等制度的全面落实。扎实开展廉政教育，采取集中培训、分散自学、知识测试、专题讲座、警示教育等多种方式，深化对落实党风廉政建设责任制重要性、必要性的认识，提高遵章守纪意识，增强廉政勤政意识。

3.以监督检查为手段，严格责任追究。一是建立科学的考核机制。建立健全考核预告和考核结果运用制度，将党风廉政建设责任制的考核情况进行公开，并作为干部选拔任用、评先表彰的依据；二是建立动态的管理机制。把一些廉政风险较大、工作比较薄弱、群众满意度较低的部门确定为重点对象，加大对这些部门的监督力度；三是完善对“一把手”的监督机制。进一步明确同级监督的权力和责任，促使党组成员特别是“一把手”主动向同级纪检部门报告自身廉洁自律情况、抓党风廉政责任制等情况；四是落实严格的责任追究制度。对审计检查、上级检查、执法监察发现的问题要在一定范围内通报并对问题责任人进行处罚，做到“真兑现、硬挂钩”，坚持有错必纠、有责必问。

对基层央行业务系统审计信息化的思考 篇4

对加强基层央行货币金银队伍建设的思考

随着金融体制改革的不断深入,人民银行进一步强化了贯彻执行货币政策、维护金融稳定、提高金融服务的职能,货币金银工作在基层业务工作中的作用和地位日益突出,人民币流通管理、反假和高科技、高技术电子化的应用等项工作更为重要.这就给基层央行从事货币金银工作队伍的建设提出了更高的要求和标准.加强货币金银队伍建设和人员素质的提高,对于基层人民银行正确履行中央银行职责具有十分重要的意义.随着金融体制改革的不断深入,人民银行进一步强化了贯彻执行货币政策、维护金融稳定、提高金融服务的职能,货币金银工作在基层业务工作中的作用和地位日益突出,人民币流通管理、反假和高科技、高技术电子化的应用等项工作更为重要.这就给基层央行从事货币金银工作队伍的建设提出了更高的要求和标准.加强货币金银队伍建设和人员素质的提高,对于基层人民银行正确履行中央银行职责具有十分重要的意义.

对基层央行业务系统审计信息化的思考 篇5

2.1 提高思想认识，在基层央行内部控制稳步推行风险导向审计。观念决定行动，思想认识程度直接影响着风险导向审计在央行内部控制的力度和成效。在基层央行内部控制加快实施风险导向审计，既是更好执行《中国人民银行分支机构内部控制指引》的要求，也是优质高效履行央行职责，防范内部风险的重要保障。基层央行要采取各种灵活形式加强教育宣贯，切实使内审人员充分认识此项工作的必要性和重要性，进一步增强做好央行内部控制风险导向审计的使命感和责任感，紧紧围绕央行流程风险、管理风险等进行全面排查，牢牢抓住各项业务的`风险点，在现有审计模式基础上逐步过渡到风险导向型审计，不断增强自身的风险防范意识，为保障央行金融服务职责、规避业务风险保驾护航。

2.2 转变评价模式，探索建立基于风险管理的内部控制评价体系。风险导向审计作为一种全新审计模式，与传统审计截然不同，要求审计人员须改变传统的评价模式，以风险管理为基准，把评价的起点和重点放在关注控制环境和识别业务流程的风险上，分析风险，并提出控制风险的建议和方法。内审人员要以固有风险和控制风险为重点，充分利用信息技术，打造内控信息交流互动平台，设计健全合理的风险评价指标体系，以风险管理审计为切入点，应用内部控制评审系统，对风险管理、业务操作、职能履行、安全保卫等各项业务流程控制制度的健全性和有效性进行全面风险评估，以揭露问题，堵塞漏洞，促进央行内部控制建设。

对基层央行业务系统审计信息化的思考 篇6

一、信息系统应急预案实践效果

基层央行信息系统应急预案工作开始于2005年, 几年来, 经过多方努力, 取得了一定的效果。目前在基层央行建立了信息系统总体应急预案, ABS应急预案、TBS应急预案等业务部门预案, 以及保障业务系统正常运行环境设施预案。经过几年的不断完善, 预案管理工作得到进一步提升, 预案的针对性和有效性得到进一步加强, 预案在实际业务工作中发挥不可或缺的作用得到进一步验证。

(一) 以点带面, 推动应急预案体系发展

按照央行总行《中国人民银行突发事件应急预案管理办法》、《中国人民银行IT系统应急预案指引》等文件精神, 基层央行首先建立了总体预案, 通过确定应急处置的指挥体系、操作指南以及与应急处置相关的主要原则、标准和程序等, 指导和帮助业务部门分别建立健全各自的部门预案、专项预案等, 逐步形成了相互衔接、完整配套的应急预案体系, 预案涵盖在用各信息系统可能产生的风险。

(二) 协调配合, 强化应急预案演练工作

基层央行根据上级行应急演练要求和自身实际, 开展了各个预案的应急演练工作。在每次演练中, 周密准备, 注重实效, 不走过场, 加强与上级部门和各部门之间的协调配合。演练开始阶段, 成立了应急演练工作的组织机构, 组织开展演练前的培训工作, 确保相关人员熟练掌握、正确实施各项演练步骤。演练进行阶段, 按照预案的全过程开展, 不省略任何一个环节, 力求做好关键演练过程中的详细记录。演练结束阶段, 确保各个业务系统恢复原位, 并对各个信息系统的应急组织、危机处置、演练问题、人员技能进行全面总结。

二、信息系统应急预案存在的问题

由于信息系统应急预案涉及面广、科技含量高、自身体系复杂等因素, 基层央行在建立健全信息系统应急预案过程中还存在一些问题和不足。

(一) 组织体系和落实方面, 如:

预案中虽然成立了相应的组织机构, 但组织机构的职责不明确或组织机构组成成员不规范, 不能及时有效应对紧急事件;预案组织机构中联系人、联系方式缺少或不正确, 未根据实际情况进行实时更新, 影响预案的可操作性;制定的应急预案未按规定向上级行备案, 影响预案的一致性。

(二) 预案建立和制定方面, 如:

一些制定的应急预案未以规范性文件形式发布, 影响预案的权威性;业务部门在制定涉及科技部门的应急预案中, 未与科技部门进行有效沟通, 制定的应急预案不能形成有约束力的文件或制度;下级行制定的应急预案未向上级行寻求指导和帮助, 存在与上级行应急预案相冲突的内容, 一致性不够。

(三) 预案形式和内容方面, 如:

有些应急预案总则不是缺少适用范围就是缺少事故分级、联系人等内容, 不符合《中国人民银行IT系统应急预案指引》对应急预案总则内容的要求;一些预案分别缺少宣传、培训和演练、预案的管理和生效、附则、附录等内容, 预案规范性不强;个别预案内容中未明确预防预警等机制, 未对突发事件进行分级或对突发事件分级不够合理, 预案缺乏可用性。

(四) 预案维护与管理方面, 如:

未就预案管理建立定期评估制度, 未明确预案建立健全运行维护机制, 不能从制度上保证预案的合理性;未根据实际情况对预案进行维护完善, 预案缺少动态属性, 突发事件发生时不能迅速、合理地采取应对措施;未对总体应急预案定期进行评审、更新, 影响了专项预案、部门预案等预案的准确制定和维护。

(五) 预案演练和培训方面, 如:

未针对预案制定应急演练计划, 对演练的重要性认识不足;应急演练结束后未对演练过的应急预案进行相关评估, 不能及时优化应急处置流程, 演练的效果大打折扣;

三、信息系统应急预案存在问题的原因分析

因信息系统应急预案工作在基层央行开展时间不长, 存在一些问题也是可以理解的, 关键是要认清产生问题背后的原因, 对症下药。只有这样, 才能进一步推动基层央行信息系统应急预案工作走向一个新的高度。

(一) 认识不够深入

出现上述问题的原因是信息系统应急预案管理者对预案管理的认识不够深入, 理解不够透彻, 用通常的思维看待预案管理, 使得预案在制定阶段就出现了错误, 走形式主义, 搞一一对应, 而不是从实际出发, 注重实际, 在做好自身风险评估的基础上, 与上级行沟通后再开展相关应急预案的制定和修订工作。

(二) 职责划分不清

很多业务部门负责人认为信息系统应急预案管理的任务属于科技部门负责, 科技部门几乎包办了所有预案的制定和维护工作。在这种情况下, 业务部门管理者认为, 预案管理完全是科技部门的事情, 自己所必须做的工作, 就是完成科技部门“派发”的任务, 其他与己无关, 科技部门又因不熟悉业务部门的情况, 在预案制定维护中简单拼凑堆砌业务部门的资料, 草草了事。

(三) 领导重视不够

信息系统应急预案管理好坏跟管理层特别是高层管理者的重视程度密切相关。预案管理的制定不但是一种制度创新, 也是历史经验教训的总结与检讨, 体现了对客观规律的认识与把握。在预案制定和维护中需要相关部门的互相密切配合和协调, 在工作中难免会遇到一些阻力和困难, 这就需要领导的不断大力支持、帮助、关心。而在实际工作中, 有些领导只是被动关心与参与, 结果导致形成的预案流于形式, 空洞无物没有可操作性。

(四) 责任落实不明

信息系统应急预案管理工作未纳入考核机制, 应急管理人员一般都为兼职兼岗, 没有兼职兼岗的就临时找人代岗, 在同样的条件下, 应急管理人员对纳入考核机制的工作认真关心程度要强于应急预案管理工作。责任未落实到具体个人, 应急管理人员对应急管理工作可多做可少做, 可马虎地做可应付地做, 致使预案更新不及时, 维护不到位。

(五) 检查工作松懈

应急管理工作开展几年来, 有的忽视应急管理工作, 很少开展对应急管理工作的检查;有的虽然开展了检查工作, 由于时间紧, 匆忙上阵, 检查深度不够、质量不高;有的检查就事论事, 查一点改一点, 没有真正对该类问题进行全面整改;有的检查碍于情面, 简单查几个交差, 查五个放三个, 检查工作失去威慑力, 起不到应有的警示作用;有的检查对发现的违规问题边查边改, 检查工作流于形式。

四、信息系统应急预案存在问题的风险分析

有问题就有风险, 综合上述所讲的问题及产生的原因, 从思想上、组织上、技术上、制度上等方面分析大致有以下一些风险, 也许对基层央行今后的信息系统应急预案工作中更好地防范和规避风险有所帮助。

(一) 管理安全风险。

由于应急组织机构职责不明确、人员分工不细致、信息安全管理机制不健全, 致使相关人员的信息安全意识薄弱, 容易引发管理安全风险, 因此, 健全的安全管理机制是人民银行信息安全得以保障及维系的关键因素。

(二) 应急操作风险。

应急预案内容不完整、相关要素不全以及对同一业务制定处置预案不协调, 相关人员在应对信息系统突发事件时无法按照应急预案进行具体操作, 或者由于操作错误而引起操作风险。

(三) 信息技术风险。

由于应急预案维护管理机制不健全、应急演练培训不到位, 相关人员面临突发事件时, 可能存在网络和信息系统技术运用不合理、人员技能不足、运行与管理不到位, 导致业务运行或内部管理受到不利影响, 从而引发信息技术风险。

(四) 金融声誉风险。

人民银行承担着为全社会提供金融服务的重大职能, 目前人民银行部分信息业务系统都是全天候不间断运行, 一旦这些系统由于突发事件应对不力、中断运行, 将极大地影响人民银行的声誉。

(五) 内控制度风险。

关于信息系统应急预案的管理, 在建立、健全、维护、更新等方面都必须依靠制度的约束来完成, 约束不力就容易造成管理和操作的随意性, 从而引发风险。一是预案发布方式不明确, 影响预案的执行力。二是制度的执行流于形式, 没有认真按章办事, 或者制度的监督执行不到位, 影响预案的合理性。三是制定的制度跟不上信息系统变化的要求, 造成风险控制无据可依。四是对一些重要信息系统突发事件的风险评审、估计不足造成风险控制不到位。

五、信息系统应急预案实施的对策与措施

为了更好地推动信息系统应急预案工作, 对于基层央行来说, 本人认为应该从以下几个方面努力推进。

(一) 统一思想, 提高认识。

党的十六届三中全会提出, 要建立健全各种预警和应急机制, 提高政府应对突发事件和风险的能力。过去三年多来, 人民银行认真贯彻落实党中央、国务院的各项工作部署, 发布了《中国人民银行突发事件应急预案管理办法》、《中国人民银行IT系统应急预案指引》、《中国人民银行关于分支行应急管理工作的若干意见》等各项应急预案规章制度, 旨在加强分支行信息系统应急预案体系建设, 建立健全信息系统突发事件应急机制, 是贯彻落实“和谐金融”重要思想和科学发展观的具体体现和重要内容, 充分认识做好这项工作的重大意义。

(二) 精心组织, 确保质量。

一是体现科学性。在全面评估突发事件风险的基础上, 制订出严密统一、协调有序、高效快捷的处置方案, 使预案建立在科学的基础上, 能够做到科学地应对突发事件。二是体现权威性。制订和完善预案要依据人民银行的各项规章制度, 坚持依法办事, 符合有关法律、法规、规章, 依法规范, 使预案有法律依据, 具有权威性。三是体现系统性。预案要涵盖所有风险, 对风险进行分级, 每个级别的风险都有对应的处置措施。四是体现程序性。要规范编制预案的方法和步骤, 调查研究, 广泛征求各方面意见, 集中各方面智慧, 要按程序对预案进行审议和批准, 上报备案。

(三) 整体推进, 突出重点。

应急预案是准确、及时处置各类突发事件的行动指南, 在全面梳理的基础上, 以区域金融稳定为目标、以人民银行自身安全为核心和以确保各类业务规范开展为重点及时修订完善总体应急预案、专项应急预案和部门应急预案。重点加强应急预案演练工作, 通过演练能有效检验应急预案的实用性, 增强应急处理能力, 演练结束后要及时总结分析, 对演练的整个过程, 包括组织体系是否完善、计划是否可行、处置方案是否妥当、措施是否得力等进行综合评估, 特别是对演练中暴露出来的问题, 要及时研究解决, 进一步修改完善预案。

(四) 协调配合, 注重实效。

进一步加强突发事件应急处置领导指挥机构与相关部门之间、部门与部门之间、以及人民银行与各银行业金融机构在应急预案管理工作中沟通协调, 做到多层面、多渠道的业务和信息沟通, 增强应对突发事件的处置能力, 各个职能部门从本部门和本单位的实际出发, 勇于创新, 切忌照抄照搬, 有针对性地制定应急预案, 注重实际, 符合实际, 应对措施具体可行, 既能用, 又管用。

(五) 加强领导, 层层负责。