淺談人民銀行信息技術審計的發(fā)展方向

1、淺談人民銀行信息技術審計的發(fā)展方向      一、信息技審計的發(fā)展    20世紀60年代隨著第二代晶體計算機的出現(xiàn)和計算機應用的普及，特別會計電算化之后金融</a企業(yè)開始設電子數(shù)據(jù)處理審計及安全辦公室，出現(xiàn)了信息技術審計（IT審計）-EDP審計，當時稱之為計算機審計，到70年代，利用計算機犯罪的案件開始出現(xiàn)，社會上引起了強烈反響，人們開始認識到信息技術審計的必要性。進入80年代后，發(fā)達國家大力發(fā)展信息產(chǎn)業(yè)，加上計算機通信相結(jié)合，使計算機的應用更加普及，同時也導致了利用計算機犯罪的比率升高，犯罪率的

2、急劇上升引起了有關政府的極大重視，1984年日本政府公開發(fā)表了IT審計標準，在全日本的軟件水平考試中增添了“IT審計師”一級的考試（在系統(tǒng)分析員考試之上的最高一級），培養(yǎng)從事信息技術審計的骨干隊伍，信息技術審計逐步走向成熟。至20世紀90年代，信息系統(tǒng)向大型化、多樣化及網(wǎng)絡化發(fā)展，信息技術審計作為信息社會的安全對策進入普及時期。    二、信息系統(tǒng)審計（ISA）與信息技術審計（ITA）    信息系統(tǒng)審計（Information Systems Audit簡稱ISA）是指以某個業(yè)務應用系統(tǒng)為中心

3、的審計，即對計算機信息系統(tǒng)的開發(fā)建設、運行環(huán)境、使用和維護、內(nèi)部控制等情況進行監(jiān)督、檢查，并作出評價，提出意見和建議，它包括對新系統(tǒng)的開發(fā)審計和對現(xiàn)有系統(tǒng)的審計。而信息技術審計（Information Technology Audit簡稱ITA）則是側(cè)重于對信息技術基礎設施的審計，主要是對技術的安全性進行審計，重點在于網(wǎng)絡安全和通訊安全。包括對防火墻的安全公共密鑰系統(tǒng)（PKI）的安全性的評價，以及對非法入侵進行檢測等。在部分西方國家央行內(nèi)部審計中，信息系統(tǒng)審計和信息技術審計有嚴格的區(qū)分，分別設置信息系統(tǒng)和信息技術審計機構(gòu)，我國人銀行信息技術審計處于起步階段，一般認為信息技術

4、審計既包括對應用系統(tǒng)的審計，也包括對計算機基礎設施的審計，二者是一個包含與被包含的關系，是可以通用的概念。    三、人民銀行信息技術審計的發(fā)展方向    中國人民銀行2000年開始提出信息技術審計的概念，在充分研究了美國、德國、英國、加拿大、荷蘭、日本等國中央銀行信息技術審計的基礎上，2000年8月在貴陽首次召開了人民銀行信息技術審計工作座談會，以此次會議為標志，人民銀行正式將信息系統(tǒng)安全納入內(nèi)部審計范疇，并相繼開展了一系列信息系統(tǒng)專項審計。經(jīng)過幾年的探索，人民銀行對信息技術審計有了明確的定位，信息技術審計逐步走

5、向正規(guī)化、日常化。從這幾年的實踐來看，人民銀行信息技術審計雖然引起了各級領導的高度重視，但受人員素質(zhì)等各種因素的制約，信息技術審計層次較低，基本上側(cè)重于規(guī)章制度的執(zhí)行和基礎設施的安全，離信息技術審計的定義相差較遠，筆者認為人民銀行信息技術審計應向以下幾個方向發(fā)展：    1、在審計策略上向參與式審計發(fā)展。西方現(xiàn)代內(nèi)部審計理念的核心是，內(nèi)審人員不僅要善于發(fā)現(xiàn)問題，而且更要善于解決問題，并要將所提建議當作本部門的服務產(chǎn)品管理當局積極推銷，以大大提高審計的效果。而現(xiàn)代內(nèi)部審計方式的精髓則是參與式審計，即在整個審計過程中與被審人員維持良好的關系，共同分析問題的實

6、際情況及潛在影響，一起探討改進的可行性和應采取的措施，從而加強內(nèi)部控制、改善經(jīng)營管理，防范和化解潛在的風險。    信息技術審計不僅僅是傳統(tǒng)審計業(yè)務的簡單擴展，它是在傳統(tǒng)審計理論、信息系統(tǒng)管理理論、行為科學理論和計算機科學四個理論基礎上形成的一門邊緣性學科，完全依靠自身的力量完成所有審計工作是不現(xiàn)實的，也是不符合成本效益原則的。目前西方國家信息技術審計普遍采用的做法是從外部咨詢機構(gòu)聘請信息技術專家、安全專家以及各種具體應用系統(tǒng)的專家參與審計。    參與式審計主要體現(xiàn)在以下幾個方面：（1）在審計開始時，就對被審部門

7、抱著信任態(tài)度，與他們討論審計目標、審計內(nèi)容、計劃采取某些審計程序和方法的理由，以取得他們的理解和支持；（2）征求被審部門的意見，尋求他們的合作；（3）及時與當事人討論審計中發(fā)現(xiàn)的問題，共同分析改進的必要性，并探討改進的可行措施；（4）向被審部報告期中審計結(jié)果，其中審計報告可以是口頭的，非正式的，以便及時就地解決和改正存在的問題，避免發(fā)生更大的損失；（5）提出最終審計報告時，采用建設性的語調(diào)，重點放在問題產(chǎn)生的原因和可能造成的影響、改進的可能性和改進措施上，被審部門已經(jīng)采取的改進行動也可以包括在審計報告中，以反映他們對審計工作的積極態(tài)度。     

8、0;   參與式審計的基礎是信任被審部門，而我國人民銀行內(nèi)審脫胎于原稽核部門，沿襲了傳統(tǒng)審計的思路和模式，在審計中持著懷疑一切的態(tài)度，將自己放在了被審單位的對立面，這樣既不便于內(nèi)審工作的開展，也影響了審計的質(zhì)量和效果。    2、在審計對象上向網(wǎng)絡安全審計發(fā)展。隨著計算機網(wǎng)絡技術的飛速發(fā)展，在人總行科技司的統(tǒng)一部署下，人民銀行系統(tǒng)計算機網(wǎng)絡經(jīng)過近10年的建設已初具規(guī)模，形成了以內(nèi)聯(lián)網(wǎng)為核心，縱向覆蓋至縣支行，橫向與各金融機構(gòu)財政、稅務及海關、外匯交易中心等單位相聯(lián)的大型網(wǎng)絡。目前在人民銀行系統(tǒng)內(nèi)同時存在內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)和國際互

9、聯(lián)網(wǎng)三套網(wǎng)絡系統(tǒng)，計算機網(wǎng)絡成為人民銀行業(yè)務系統(tǒng)運行、信息傳輸?shù)闹匾脚_和紐帶，其運行狀況直接關系到資金安全和政務信息的安全。網(wǎng)絡在加快信息傳播、加大資源共享、提高辦公效率的同時也成為了人民銀行系統(tǒng)內(nèi)最大的潛在風險點。    目前人民銀行系統(tǒng)正在運行的計算機應用系統(tǒng)共有二十多個，涉及支付結(jié)算，金融服務以及辦公自動化等各個方面，在這種情況下，處于起步階段的信息技術審計以各個業(yè)務應用系統(tǒng)為中心有其合理性：一是審計人員對各業(yè)務系統(tǒng)缺乏了解，對各系統(tǒng)還需要一個熟悉的過程，以系統(tǒng)為中心的審計有助于審計人員全面系統(tǒng)地了解業(yè)務系統(tǒng)的情況；二是計算機專業(yè)人員的缺乏，使以

10、安全性為中心目標的信息技術審計難以有效開展；三是目前對計算機業(yè)務應用系統(tǒng)的監(jiān)督檢查環(huán)節(jié)還很薄弱，對于保證控制的各項制度措施不能很好地貫徹執(zhí)行，合規(guī)性審計在一定時期內(nèi)將是信息技術審計的主要內(nèi)容。但是隨著信息技術審計工作的不斷開展，審計人員經(jīng)驗的豐富和技術的提高，信息技術審計應該走出以系統(tǒng)為中心的審計，向以保證組織網(wǎng)絡與信息的安全方向發(fā)展，充分發(fā)揮信息技術審計技術性、專業(yè)性特點。    3、在審計內(nèi)容上向系統(tǒng)開發(fā)審計發(fā)展。信息系統(tǒng)之所以風險較高，是因為它不僅涉及數(shù)據(jù)的安全和保護，而且涉及計算機網(wǎng)絡的一致性和適用性問題，涉及系統(tǒng)建立和開發(fā)過程中的巨額資金流出。

11、應用系統(tǒng)的開發(fā)不僅在開發(fā)階段要花費大量的人力、物力和財力，而且對已經(jīng)完成了的應用系統(tǒng)進行修改也將花費大量的時間和資金，相對傳統(tǒng)業(yè)務審計而言，對信息系統(tǒng)僅僅進行事后審計意義不大，所以，內(nèi)審部門對系統(tǒng)開發(fā)應在項目計劃階段就要介入，對其開發(fā)情況進行全過程審計監(jiān)督。    對系統(tǒng)開發(fā)情況進行審計關鍵是要求內(nèi)審人員“一開始就介入”。通過提前介入，內(nèi)審部門對項目的概算、項目的必要性、招投標情況、建設工期執(zhí)行情況、系統(tǒng)的“可審計性”等進行監(jiān)督，保證系統(tǒng)的合投資、合理設計開發(fā)和有效運行，及早發(fā)現(xiàn)系統(tǒng)在風險控制、質(zhì)量保證和成本效益等方面存在的問題，避免走彎路，防止出現(xiàn)浪費

12、和損失。同時，通過提前介入，也將信息系統(tǒng)的開發(fā)、購買、重大修改、委托運營、轉(zhuǎn)讓和退出使用等管理工作置于內(nèi)審的有效監(jiān)督之下。    在西方各國，一般要求信息系統(tǒng)管理部門在進行系統(tǒng)開發(fā)、購買、轉(zhuǎn)讓、重大修改和退出使用時要通知內(nèi)審部門，內(nèi)審部門根據(jù)系統(tǒng)的重要性決定審計的方式，可以要求提供相關資料，也可以派人參與開發(fā)過程，對于大型系統(tǒng)一般成立財務審計人員和信息技術審計人員共同組成的聯(lián)合工作組進行新系統(tǒng)開發(fā)審計。目前人民銀行正準備進行應用系統(tǒng)開發(fā)審計的嘗試。    4、在審計重點上向風險導向型審計發(fā)展。信息技術審計不同于我們

13、以往的業(yè)務審計，以往的業(yè)務審計往往以發(fā)現(xiàn)已經(jīng)發(fā)生的損失，已經(jīng)實施的舞弊和違規(guī)為目的，屬于以損失為基礎的審計；而信息技術審計則具有一定的事前性，其目的在于發(fā)現(xiàn)潛在的風險和可能發(fā)生的損失。這種目的上的變化要求信息技術審計不可能以損失為基礎，而應該以風險為基礎，因此，信息技術審計部門必須借鑒風險評估的方法，由對系統(tǒng)運行的合規(guī)性審計逐漸轉(zhuǎn)變?yōu)轱L險導向型審計：根據(jù)系統(tǒng)風險評估結(jié)果，確定審計計劃，根據(jù)對固有風險和控制風險的測算，確定審計重點、制定審計方案。這種以風險為基礎的審計也是當前國際審計界通行的觀念和做法，也是今后我國審計的發(fā)展方向。    風險評估就是通過對各項業(yè)務的各個控制環(huán)節(jié)的固有風險和控制情況分別進行量化評價，再將固有風險抵扣控制情況后獲得的剩余風險按各環(huán)節(jié)的重要性程度進行加權平均，得到各項業(yè)務剩余風險，最后按剩余風險大小對各項業(yè)務進行排序。對于剩余風險高的業(yè)務優(yōu)