中国农业银行


中国农业银行关于印发《中国农业银行计算机系统稽核试行办法》的通知
1996年10月8日，中国农业银行

各省、自治区、直辖市分行，各计划单列市分行，各直属院校：
现将《中国农业银行计算机系统稽核试行办法》印发给你们，希遵照执行。各行在执行中遇到什么情况和问题，请及时向总行反映。

附：中国农业银行计算机系统稽核试行办法

第一章 总 则
第一条 为加强农业银行计算机系统的管理，保障计算机系统安全正常运转，防范风险，堵塞漏洞，根据《中国农业银行稽核工作规定》及有关规定，制定本办法。
第二条 计算机系统稽核是利用人工和计算机辅助等方法对信息电脑部门、计算机数据处理中心和计算机处理门市业务的营业机构的内控制度及执行情况进行检查，对计算机系统的开发、维护、运行和安全进行审查和评价。

第二章 稽核目的、任务与依据
第三条 计算机系统稽核的目的是通过检查被稽核单位计算机系统作业的处理、内部控制和管理情况作出评价，提出改进意见，防范风险，以促进业务的规范、安全、高效运行。
第四条 计算机系统稽核的任务是：
1．对信息电脑部门、计算机数据处理中心和计算机处理门市业务的营业机构电子化的工作方针、人员管理、组织结构、内部控制制度与执行情况作出分析和评价；
2．对计算机系统的应用开发、使用和维护变更等进行审查，评价其遵循有关控制规范与标准的情况，以及应用系统中的控制功能是否适当有效；
3．对常规运行的控制有效性、数据的真实完整性、系统安全保密性进行审查测试，并作出评价；
4．对系统的抗击侵害的能力、在故障情况下系统不间断运行能力、事故责任的可追踪能力进行评价；
5．利用电子化手段发展新的稽核方法与稽核工具；
6．专项检查。
第五条 计算机系统稽核的依据是国家、中国人民银行和中国农业银行或授权各省、自治区、直辖市分行制定的各项电子化工作方针、政策、规定；计算机系统管理与应用的各项规章制度。

第三章 一般控制稽核
第六条 组织与管理稽核。主要内容有：
1．责权划分的检查。主要是检查应用计算机处理业务的部门是否建立了相应的规章制度和岗位职责，职责权限划分是否明确，重要岗位的技术人员和业务人员是否分离。
2．人员管理的检查。主要检查是否按有关制度规定配备了管理人员。
3．文档管理的检查。主要检查各种文件、档案是否按有关规定分类妥善保管并控制其使用。
4．消耗品管理的检查。主要检查消耗品是否有专人负责管理；重要消耗品的领用及废弃是否手续完备；含有业务资料载体的废弃是否确实销毁；磁性载体的废弃是否为破坏性销毁等。
第七条 安全控制稽核。主要内容有：
1．实体安全控制的检查。主要检查实体安装有无防火、防水、防雷、防鼠、防其他侵害等措施；配电系统是否有安全保护措施；是否有应变应急措施。
2．人员进出控制的检查。主要检查计算机数据处理中心或营业网点的主机、终端机房的人员进出是否有控制措施。
3．程序库管理的检查。主要是对磁性媒体上程序的使用及变动进行审核。正式使用的应用程序是否经过授权；程序变更是否都有申请并经批准；对修改后的应用程序是否经过充分测试；修改程序时，备用程序、程序清单及其他说明文件是否也随之修改。
4．故障恢复管理的检查。主要检查是否有完备的故障恢复程序，实施故障恢复是否有严格的手续和制约措施；是否有足够的备件支持恢复工作。
第八条 设备管理稽核。主要内容有：
1．硬件设备的检查。主要检查计算机机房的各项设备（包括附属设备）是否进行定期检查和维护；是否有严格的设备管理制度。
2．公用软件的检查。主要是对操作系统、数据库系统、公用程序等软件的版本、作用及功能的审核。
3．磁性媒体的检查。主要是对磁带、磁盘、软盘片等媒体的储存和使用管理情况进行检查。

第四章 应用控制稽核
第九条 输入输出控制稽核。主要内容有：
1．输入数据的检查。主要检查是否有适当的措施控制数据录入正确完整；应用程序中是否有核对数据正确性的功能。
2．数据更正控制检查。主要检查数据的更正是否经过适当的申请程序并经主管批准；更正数据后是否留下记录送交有关主管验核。
3．输出控制检查。主要检查对输出的资料是否有份数控制；对不成功输出资料的作废是否有控制；输出的资料是否经专人核对后再分发；输出资料是否按有关规定进行报送和保管。
第十条 处理控制稽核。主要内容有：
1．存取控制检查。主要检查程序和文档的存取使用是否有严格的管理措施；对源程序、目标程序是否按有关规定加以管制。
2．程序错误处理的控制检查。主要检查是否有详细说明程序错误的原因和处理方法的文档；对程序执行中的错误，操作员是否立即记录错误信息并请系统管理员处理。
3．操作处理控制检查。主要检查是否有书面的操作规程；对操作员是否有管理办法和约束条件；各类人员的密码是否保密并定期更换；各类操作人员是否按权限管理的要求和规程进行操作；系统主控台所有记录是否保存，并由主管定期核查；营业终了是否按有关规定程序进行结帐处理。

第五章 应用系统开发周期内的稽核
第十一条 计划阶段的稽核。主要是检查主管部门是否正式批准了该项计划；对现有系统是否进行了审查并确定了新系统需求；成本效益是否得到使用者和会计部门的赞同；是否有开发和运行该系统的时间表，设备的配置是否满足新系统的要求并符合农业银行长远发展的政策。
第十二条 发展阶段的稽核。主要检查是否有详尽的业务需求；输入输出设计是否满足业务和安全的要求；概念设计是否符合现行农业银行标准；程序设计是否有关于系统更新、维护和控制程序。
第十三条 执行阶段的稽核。主要检查程序和系统是否经过严格的测试；是否有足够的控制来保证数据传输的正确；系统测试结果是否达到预期目的；新旧系统转换时是否有足够的控制和用户许可的转换程序；是否有关于维护、改进系统、培训人员、日常操作的资料和按软件工程要求编制的各种文档资料；投产程序是否经过批准并确定新系统投产的时间。

第六章 整体性控制稽核
第十四条 程序投产控制稽核。主要检查所有程序是否符合设计要求；每一程序模块是否都进行了测试，符合程序逻辑；是否有适当的措施来保证只有经过测试核准的程序投入运行。
第十五条 程序安全控制稽核。主要检查是否有未经批准擅自修改程序的情况；是否有完善的控制措施保证文件存取的安全；源程序和目标程序是否分开保存；是否有详尽的作业记录，通过检查作业记录，及时发现任何未经批准的程序存取及修改；实地运行测试数据，检测程序是否被修改。
第十六条 数据文件安全控制稽核。主要检查是否有适当的存取控制措施，以防止非法使用数据文件；未经批准，不可变更数据文件；是否有恰当的保护措施，以免数据文件受到有意无意的破坏，或被窃取；文件资料实物保管是否妥当，是否有严格的调用审批手续。
第十七条 计算机操作控制稽核。主要检查所使用的数据、文件及程序的正确性；操作人员是否严格遵守计算机操作规则并对各种问题作出适当的处理；系统是否具有必要的后援及恢复程序。
第十八条 系统软件控制稽核。主要检查所有系统软件是否进行严格地测试；评价系统软件对现存系统及程序的影响。

第七章 测试证实稽核
第十九条 程序正确性检查稽核。主要是对程序一致性进行检查，以防止程序被改动。
第二十条 数据资料正确性稽核。主要是对数据资料进行抽样检查，以保证交易和档案资料正确有效。
第二十一条 计算机系统稽核软件的应用。主要利用计算机系统稽核软件对计算机系统处理业务的真实性、应用程序的正确性进行证实检查；或设计其他满足计算机系统稽核需要的稽核程序。

第八章 实施与处罚
第二十二条 稽核部门依照规定的职权进行计算机系统稽核。计算机系统稽核实行下审一级制，根据工作需要，也可进行同级稽核。被稽核单位应给予协助并积极配合，接受稽核检查。
第二十三条 稽核部门要根据中国农业银行稽核工作的有关规定做好组织实施工作。要拟定计划，突出重点，对存在的问题要跟踪稽核。
第二十四条 稽核部门可根据计算机数据处理系统的规模、重要性、复杂程度以及风险程度，定期或不定期地对应用计算机处理业务的机构、部门进行审查和监督。对稽核中查出的问题要依据《中国农业银行稽核处罚规定》进行相应处罚。

第九章 附 则
第二十五条 本办法由中国农业银行总行负责制定、解释和修改。
第二十六条 各省、自治区、直辖市分行、各计划单列市分行可根据本办法制定实施细则，并报总行备案。
第二十七条 本办法从1997年1月1日起试行。