广告服务 新浪微博 腾讯微博 微信公众号 欢迎投稿
首页 | 资讯 文库 内控 法规 考试 视频 图片 投稿信箱:tougao@shenji.cn 设为首页 | 收藏本站
文库频道
美国审计署对联邦储备银行信息系统控制的审计


美国审计署对联邦储备银行
信息系统控制的审计

  近日美国审计署按照计划,审计和报告了由财政部财政服务局管理的2012和2013财年的联邦债务计划。作为该审计的一部分,与对美国政府合并财务报表审计相关联,对联邦储备银行在维护和运转关键财务系统的信息系统控制进行审查。按照联邦管理者财务正直法等既定标准的要求,审计发现联邦储备银行在所有重大方面保持和改善了内部控制,在2013年9月30日之前联邦债务计划相关的财务报告内部控制是有效的,内部控制为联邦债务计划防止、发现并纠正实质性差错提供及时和合理的保证。美国审计署强调其判断财务报告内部控制中一项重要缺陷而不是重大缺陷的标准,应该引起联邦储备银行在公司治理层面足够的重视。但是美国审计署指出联邦储备银行在维护和运转关键财务系统的信息系统控制中发现的控制缺陷,并没有单独或综合的影响其评价结论。


  在该报告中披露的内部控制缺陷是美国审计署对2013财年联邦储备银行中,有关联邦债务的关键财务系统中的信息系统控制测试后发现的,该报告也包括对地址信息系统相关缺陷的纠正措施和之前年度报告的相关建议的后续跟踪状态的反馈。在仅限官方发布和使用的报告中,美国审计署传达给美联储有关研究结果和相关建议的详细信息。


一、审计的相关背景
  美国国会授权财政部将获得授权的充分信任和信用支持的联邦基金进行赎回,财政部负责处理债务工具及其限制债务的数量和结构,还负责发行和赎回债务工具、向投资者支付利息和说明由此产生的债务。
联邦储备银行代表财政部提供财政代理服务,主要包括:发行、服务和赎回公众持有的国债和处理相关的资金转移。2013财年联邦储备银行向公众发行约8万亿美元的联邦债务,赎回持有的约7.1万亿美元的债务,并处理约2287亿美元债务的利息。联邦储备银行使用关键的金融系统来处理债务有关的事务,美联储信息技术计算中心代表财政部维护和操作关键的金融系统处理、协调基金的支付和收集。详细数据最初在联邦储备银行处理和总结,然后转发到电子中心匹配适当的财政数据进行验证,并发布到总帐。


  美国法典第44编3544节(a)(1)(A)描绘联邦机构负责提供保护信息安全,包括:(1)收集的或由代表机构维护的信息;(2)一个机构、承包商的机构或其他组织机构使用的信息系统。此外,3544节(a)(1)(B)要求联邦机构遵守美国国家标准与技术研究院开发的信息安全标准,3544节(b)进一步规定,各机构应开发、起草和实现一个全单位系统的信息安全计划,提供信息和信息系统的信息安全以支持该机构的业务和资产,包括由外部机构、管理承包商和其他来源提供的管理。在行政管理和预算局备忘录M-14-04中,澄清机构信息安全程序适用于所有组织(或来源)的过程、存储或者发送联邦信息;或者是否代表联邦机构操作、使用或获得联邦信息。


  信息系统总体控制的结构、政策和程序,适用于一个组织的整体计算机操作,信息系统一般控制建立在环境应用系统和控制操作上,包括五个通用控制领域,即安全管理、访问控制、配置管理、职责分离和应急计划。一个有效的信息系统一般控制环境包括:(1)提供一个框架和持续周期的风险管理活动、发展安全策略、分配职责和监控组织电脑相关的控制(安全管理);(2)限制或检测对计算机资源的访问,如数据、程序、设备和设施,从而保护他们免受未经授权的修改、损失和信息披露(访问控制);(3)防止未经授权的更改信息系统资源,如软件程序和硬件配置,并对系统配置、操作安全提供合理的保证(配置管理);(4)包括政策、程序和一个组织结构管理可以控制电脑相关操作的关键方面职责(职责分离);(5)保护关键和敏感数据,提供对中断关键操作的继续或意想不到的事件发生时的及时恢复(应急计划)。


二、审计结论简介
  在2013财年的审计中,美国审计署发现4个与相关访问控制和配置管理有关的信息系统一般控制缺陷,并提出解决这4个控制缺陷的建议,但是对联邦储备银行维护和运转金融系统过程发现的上述控制缺陷没有任何一个构成重大的风险。在2013财年中上述缺陷的潜在影响主要包括联邦储备银行通过探测联邦债务计划的监视用户程序、系统活动、财政服务的补偿管理和协调控制设计产生的潜在错报风险。对地址信息系统相关缺陷的纠正措施和之前年度报告(2012年)公布的相关建议的后续跟踪状态的结果中,美国审计署确定纠正措施完成的三个开放的建议和纠正措施过程中剩下的两个开放与安全管理的建议。

  在仅限官方发布和使用的报告中,储备银行业务和支付系统的主任代表美联储,提供审计调查结果和建议的详细评价。在这些评论中,主任非常重视和认可美联储的管理可以解决四个新的信息系统一般控制缺陷的建议。主任进一步认为,可以从正在进行的以前年度的报告中找到剩下的两个开放建议的纠正措施。


三、审计的目标、范围和方法
  美国审计署的目标是评估联邦债务计划中关键金融信息系统的控制,确定联邦储备银行应对信息系统控制相关缺陷的纠正措施和相关控制的建议。美国审计署使用联邦信息系统控制审计手册评估信息系统控制这项工作,为美国审计署对联邦债务相关联的财务报告内部控制提供意见。


  美国审计署通过识别和审查联邦储备银行信息系统控制的政策和程序,观察控制操作进行控制测试,回顾美联储一般审计的独立性等评估信息系统控制,包括已分配的审计责任、与选定的美联储官员讨论数据中心来确定控件是否充分设计、实现和有效操作。


  美国审计署对2013财年信息系统一般控制范围包括:(1)跟进以前年度的报告及建议;(2)使用基于风险的方法来测试,可能会影响与本年度财务报告相关的联邦债务计划的信息系统控制,评价与系统应用程序操作和其他关键控制点系统或网络在相关的一般控制领域的内部控制有效性。此外,美国审计署通过扫描联邦债务计划的关键金融系统评估软件和网络安全的脆弱性,还审查了与美联储2013财年审计相关的一般审计特定的控制测试结果。


  美国审计署确定相关的应用程序控制是否适当的设计和实现,然后进行测试以确定应用程序是否有效操作,回顾三个与联邦债务的计划相关的美联储关键应用程序,以确定应用程序控制设计和操作提供有效地合理的保证,包括:


  发生的交易被输入到系统,接受处理,处理一次并且只有一次的系统,正确地包含在输出中;


  正常交易记录的关键数据元素在适当的时期准确输入交易中,数据元素是由应用程序产生的可靠结果,处理和输出是准确的;


  记录交易实际发生的相关的组织,正确地按照管理层的授权批准,输出只包含有效数据;


  应用程序数据、报告和其他输出都是防止未经授权的访问;


  应用程序数据、报告和其他有关业务信息在用户需要的时候容易获得。

  美国审计署使用合同约束下的独立的会计师(IPA)公司,评估和测试联邦储备银行的信息系统控制,包括针对美国审计署之前年度报告的跟踪建议的纠正行动。美国审计署认可独立会计师公司审计工作的范围以及进展,回顾了相关审计文档对确定的发现给予足够的支持。


  在美国审计署工作的过程中,与美联储的沟通后计划在2014财年的联邦债务日程中跟进截止到2013年9月30日的确定纠正措施的状态。美国审计署依照美国政府公认审计标准执行工作,美国审计署相信这份审计报告为美国审计署的结论提供了合理的依据。如上所述,在仅限官方使用的报告中美国审计署得到机构评论详细的调查结果和建议,美联储总结了本报告的机构评论部分。


四、美国审计署对联邦储备信息系统控制的评估结论
  在2013财年审计中,美国审计署发现加强某些信息系统控制的机会,支持由联邦储备银行代表财政部维护和运营相关的联邦债务计划的关键金融体系。具体来说,美国审计署发现了四个新的信息系统一般控制缺陷,包括两个相关访问控制缺陷和两个相关的配置管理缺陷。


  访问控制限制或检测不当访问计算机资源(数据、设备和设施)可以保护他们免受未经授权的修改、损失和/或披露,这种控制包括逻辑访问控制和物理访问控制。有效地设计和实现逻辑访问控制要求:(1)用户自己通过使用密码或其他标识符进行身份验证;(2)通过身份验证的用户限制文件和其他资源的访问和操作,他们可以基于一个有效的需要执行指定的公务。


  配置管理包括在系统的生命周期内配置安全特性的识别和管理所有硬件、软件和固件组件的信息系统在给定的系统控制变更,只有授权和充分测试更改关键部件在每个系统分段(即网络、操作系统和基础设施的应用程序),才能为有效地设计和实施配置管理控制活动提供合理的保证。此外,通过正式的、文档化的系统开发过程识别所有基本配置可以为有效地设计和实施配置管理控制的应用程序和更改应用程序提供合理保证。合理保证更改应用程序的工作是必要的,这种变化应该记录、授权、独立测试和审查,从而不会导致数据或程序完整性的损失。


  在仅限官方发布和使用的报告中,美国审计署传达给美联储关于信息系统管理的四个新的一般控制缺陷的详细信息,并提供四个解决这些缺陷的建议。此外,美国审计署在对联邦储备银行信息系统之前年度一般控制缺陷后续采取的行动的跟踪中发现,这一行动并没有完全解决问题,从而提出发现纠正措施完成的三个开放的建议和纠正措施过程中剩下的两个开放与安全管理的建议。


  美国审计署对确定代表财政部维护和运营金融系统的的联邦储备银行的审计中,没有发现控制活动的重大风险,联邦储备银行监视用户程序、系统活动、财政服务的补偿管理、协调控制设计用来探测潜在错报这4个控制缺陷可能产生潜在影响。然而新的和持续的缺陷包括:(1)未授权访问的风险增加,修改或披露敏感数据和程序;(2)限制管理的能力对某些系统的安全状态,包括安全违规、其他不适当的或不寻常的活动将被识别或调查和适当的结论产生的管理关注和行动提供合理保证。


五、美联储对审计结果和建议的评价
  在仅限官方发布和使用的报告中,联邦储备银行业务和支付系统主任代表美联储,提供审计调查结果和建议的详细评价。联邦储备银行业务和支付系统主任非常重视该机构的内部控制缺陷,并重视和认可美联储的管理是解决四个新的信息系统一般控制缺陷的关键。联邦储备银行业务和支付系统主任认可美国审计署对以前年度的报告提出的纠正措施剩下的两个开放建议,并跟进美国审计署在2014财年的联邦债务审计计划。

                       资料来源:http://www.gao.gov/
                       翻    译:审计署审计科研所  王海滨
                       校    对:审计署审计科研所  王  鸿

 

下载:美国审计署对联邦储备银行信息系统控制的审计

中国审计网中文网址:审计网.中国 中文域名:中国审计网.com
电信与信息服务业务与电子公告BBS 经营许可证:粤B2-20050153号
Copyright @ 2000-2014 www.shenji.cn All Rights Reserved.