淺談人民銀行信息技術(shù)審計(jì)的發(fā)展方向

1、淺談人民銀行信息技術(shù)審計(jì)的發(fā)展方向      一、信息技審計(jì)的發(fā)展    20世紀(jì)60年代隨著第二代晶體計(jì)算機(jī)的出現(xiàn)和計(jì)算機(jī)應(yīng)用的普及，特別會(huì)計(jì)電算化之后金融</a企業(yè)開(kāi)始設(shè)電子數(shù)據(jù)處理審計(jì)及安全辦公室，出現(xiàn)了信息技術(shù)審計(jì)（IT審計(jì)）-EDP審計(jì)，當(dāng)時(shí)稱之為計(jì)算機(jī)審計(jì)，到70年代，利用計(jì)算機(jī)犯罪的案件開(kāi)始出現(xiàn)，社會(huì)上引起了強(qiáng)烈反響，人們開(kāi)始認(rèn)識(shí)到信息技術(shù)審計(jì)的必要性。進(jìn)入80年代后，發(fā)達(dá)國(guó)家大力發(fā)展信息產(chǎn)業(yè)，加上計(jì)算機(jī)通信相結(jié)合，使計(jì)算機(jī)的應(yīng)用更加普及，同時(shí)也導(dǎo)致了利用計(jì)算機(jī)犯罪的比率升高，犯罪率的

2、急劇上升引起了有關(guān)政府的極大重視，1984年日本政府公開(kāi)發(fā)表了IT審計(jì)標(biāo)準(zhǔn)，在全日本的軟件水平考試中增添了“IT審計(jì)師”一級(jí)的考試（在系統(tǒng)分析員考試之上的最高一級(jí)），培養(yǎng)從事信息技術(shù)審計(jì)的骨干隊(duì)伍，信息技術(shù)審計(jì)逐步走向成熟。至20世紀(jì)90年代，信息系統(tǒng)向大型化、多樣化及網(wǎng)絡(luò)化發(fā)展，信息技術(shù)審計(jì)作為信息社會(huì)的安全對(duì)策進(jìn)入普及時(shí)期。    二、信息系統(tǒng)審計(jì)（ISA）與信息技術(shù)審計(jì)（ITA）    信息系統(tǒng)審計(jì)（Information Systems Audit簡(jiǎn)稱ISA）是指以某個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)為中心

3、的審計(jì)，即對(duì)計(jì)算機(jī)信息系統(tǒng)的開(kāi)發(fā)建設(shè)、運(yùn)行環(huán)境、使用和維護(hù)、內(nèi)部控制等情況進(jìn)行監(jiān)督、檢查，并作出評(píng)價(jià)，提出意見(jiàn)和建議，它包括對(duì)新系統(tǒng)的開(kāi)發(fā)審計(jì)和對(duì)現(xiàn)有系統(tǒng)的審計(jì)。而信息技術(shù)審計(jì)（Information Technology Audit簡(jiǎn)稱ITA）則是側(cè)重于對(duì)信息技術(shù)基礎(chǔ)設(shè)施的審計(jì)，主要是對(duì)技術(shù)的安全性進(jìn)行審計(jì)，重點(diǎn)在于網(wǎng)絡(luò)安全和通訊安全。包括對(duì)防火墻的安全公共密鑰系統(tǒng)（PKI）的安全性的評(píng)價(jià)，以及對(duì)非法入侵進(jìn)行檢測(cè)等。在部分西方國(guó)家央行內(nèi)部審計(jì)中，信息系統(tǒng)審計(jì)和信息技術(shù)審計(jì)有嚴(yán)格的區(qū)分，分別設(shè)置信息系統(tǒng)和信息技術(shù)審計(jì)機(jī)構(gòu)，我國(guó)人銀行信息技術(shù)審計(jì)處于起步階段，一般認(rèn)為信息技術(shù)

4、審計(jì)既包括對(duì)應(yīng)用系統(tǒng)的審計(jì)，也包括對(duì)計(jì)算機(jī)基礎(chǔ)設(shè)施的審計(jì)，二者是一個(gè)包含與被包含的關(guān)系，是可以通用的概念。    三、人民銀行信息技術(shù)審計(jì)的發(fā)展方向    中國(guó)人民銀行2000年開(kāi)始提出信息技術(shù)審計(jì)的概念，在充分研究了美國(guó)、德國(guó)、英國(guó)、加拿大、荷蘭、日本等國(guó)中央銀行信息技術(shù)審計(jì)的基礎(chǔ)上，2000年8月在貴陽(yáng)首次召開(kāi)了人民銀行信息技術(shù)審計(jì)工作座談會(huì)，以此次會(huì)議為標(biāo)志，人民銀行正式將信息系統(tǒng)安全納入內(nèi)部審計(jì)范疇，并相繼開(kāi)展了一系列信息系統(tǒng)專項(xiàng)審計(jì)。經(jīng)過(guò)幾年的探索，人民銀行對(duì)信息技術(shù)審計(jì)有了明確的定位，信息技術(shù)審計(jì)逐步走

5、向正規(guī)化、日?；?。從這幾年的實(shí)踐來(lái)看，人民銀行信息技術(shù)審計(jì)雖然引起了各級(jí)領(lǐng)導(dǎo)的高度重視，但受人員素質(zhì)等各種因素的制約，信息技術(shù)審計(jì)層次較低，基本上側(cè)重于規(guī)章制度的執(zhí)行和基礎(chǔ)設(shè)施的安全，離信息技術(shù)審計(jì)的定義相差較遠(yuǎn)，筆者認(rèn)為人民銀行信息技術(shù)審計(jì)應(yīng)向以下幾個(gè)方向發(fā)展：    1、在審計(jì)策略上向參與式審計(jì)發(fā)展。西方現(xiàn)代內(nèi)部審計(jì)理念的核心是，內(nèi)審人員不僅要善于發(fā)現(xiàn)問(wèn)題，而且更要善于解決問(wèn)題，并要將所提建議當(dāng)作本部門(mén)的服務(wù)產(chǎn)品管理當(dāng)局積極推銷，以大大提高審計(jì)的效果。而現(xiàn)代內(nèi)部審計(jì)方式的精髓則是參與式審計(jì)，即在整個(gè)審計(jì)過(guò)程中與被審人員維持良好的關(guān)系，共同分析問(wèn)題的實(shí)

6、際情況及潛在影響，一起探討改進(jìn)的可行性和應(yīng)采取的措施，從而加強(qiáng)內(nèi)部控制、改善經(jīng)營(yíng)管理，防范和化解潛在的風(fēng)險(xiǎn)。    信息技術(shù)審計(jì)不僅僅是傳統(tǒng)審計(jì)業(yè)務(wù)的簡(jiǎn)單擴(kuò)展，它是在傳統(tǒng)審計(jì)理論、信息系統(tǒng)管理理論、行為科學(xué)理論和計(jì)算機(jī)科學(xué)四個(gè)理論基礎(chǔ)上形成的一門(mén)邊緣性學(xué)科，完全依靠自身的力量完成所有審計(jì)工作是不現(xiàn)實(shí)的，也是不符合成本效益原則的。目前西方國(guó)家信息技術(shù)審計(jì)普遍采用的做法是從外部咨詢機(jī)構(gòu)聘請(qǐng)信息技術(shù)專家、安全專家以及各種具體應(yīng)用系統(tǒng)的專家參與審計(jì)。    參與式審計(jì)主要體現(xiàn)在以下幾個(gè)方面：（1）在審計(jì)開(kāi)始時(shí)，就對(duì)被審部門(mén)

7、抱著信任態(tài)度，與他們討論審計(jì)目標(biāo)、審計(jì)內(nèi)容、計(jì)劃采取某些審計(jì)程序和方法的理由，以取得他們的理解和支持；（2）征求被審部門(mén)的意見(jiàn)，尋求他們的合作；（3）及時(shí)與當(dāng)事人討論審計(jì)中發(fā)現(xiàn)的問(wèn)題，共同分析改進(jìn)的必要性，并探討改進(jìn)的可行措施；（4）向被審部報(bào)告期中審計(jì)結(jié)果，其中審計(jì)報(bào)告可以是口頭的，非正式的，以便及時(shí)就地解決和改正存在的問(wèn)題，避免發(fā)生更大的損失；（5）提出最終審計(jì)報(bào)告時(shí)，采用建設(shè)性的語(yǔ)調(diào)，重點(diǎn)放在問(wèn)題產(chǎn)生的原因和可能造成的影響、改進(jìn)的可能性和改進(jìn)措施上，被審部門(mén)已經(jīng)采取的改進(jìn)行動(dòng)也可以包括在審計(jì)報(bào)告中，以反映他們對(duì)審計(jì)工作的積極態(tài)度。     

8、0;   參與式審計(jì)的基礎(chǔ)是信任被審部門(mén)，而我國(guó)人民銀行內(nèi)審脫胎于原稽核部門(mén)，沿襲了傳統(tǒng)審計(jì)的思路和模式，在審計(jì)中持著懷疑一切的態(tài)度，將自己放在了被審單位的對(duì)立面，這樣既不便于內(nèi)審工作的開(kāi)展，也影響了審計(jì)的質(zhì)量和效果。    2、在審計(jì)對(duì)象上向網(wǎng)絡(luò)安全審計(jì)發(fā)展。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，在人總行科技司的統(tǒng)一部署下，人民銀行系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)經(jīng)過(guò)近10年的建設(shè)已初具規(guī)模，形成了以內(nèi)聯(lián)網(wǎng)為核心，縱向覆蓋至縣支行，橫向與各金融機(jī)構(gòu)財(cái)政、稅務(wù)及海關(guān)、外匯交易中心等單位相聯(lián)的大型網(wǎng)絡(luò)。目前在人民銀行系統(tǒng)內(nèi)同時(shí)存在內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)和國(guó)際互

9、聯(lián)網(wǎng)三套網(wǎng)絡(luò)系統(tǒng)，計(jì)算機(jī)網(wǎng)絡(luò)成為人民銀行業(yè)務(wù)系統(tǒng)運(yùn)行、信息傳輸?shù)闹匾脚_(tái)和紐帶，其運(yùn)行狀況直接關(guān)系到資金安全和政務(wù)信息的安全。網(wǎng)絡(luò)在加快信息傳播、加大資源共享、提高辦公效率的同時(shí)也成為了人民銀行系統(tǒng)內(nèi)最大的潛在風(fēng)險(xiǎn)點(diǎn)。    目前人民銀行系統(tǒng)正在運(yùn)行的計(jì)算機(jī)應(yīng)用系統(tǒng)共有二十多個(gè)，涉及支付結(jié)算，金融服務(wù)以及辦公自動(dòng)化等各個(gè)方面，在這種情況下，處于起步階段的信息技術(shù)審計(jì)以各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)為中心有其合理性：一是審計(jì)人員對(duì)各業(yè)務(wù)系統(tǒng)缺乏了解，對(duì)各系統(tǒng)還需要一個(gè)熟悉的過(guò)程，以系統(tǒng)為中心的審計(jì)有助于審計(jì)人員全面系統(tǒng)地了解業(yè)務(wù)系統(tǒng)的情況；二是計(jì)算機(jī)專業(yè)人員的缺乏，使以

10、安全性為中心目標(biāo)的信息技術(shù)審計(jì)難以有效開(kāi)展；三是目前對(duì)計(jì)算機(jī)業(yè)務(wù)應(yīng)用系統(tǒng)的監(jiān)督檢查環(huán)節(jié)還很薄弱，對(duì)于保證控制的各項(xiàng)制度措施不能很好地貫徹執(zhí)行，合規(guī)性審計(jì)在一定時(shí)期內(nèi)將是信息技術(shù)審計(jì)的主要內(nèi)容。但是隨著信息技術(shù)審計(jì)工作的不斷開(kāi)展，審計(jì)人員經(jīng)驗(yàn)的豐富和技術(shù)的提高，信息技術(shù)審計(jì)應(yīng)該走出以系統(tǒng)為中心的審計(jì)，向以保證組織網(wǎng)絡(luò)與信息的安全方向發(fā)展，充分發(fā)揮信息技術(shù)審計(jì)技術(shù)性、專業(yè)性特點(diǎn)。    3、在審計(jì)內(nèi)容上向系統(tǒng)開(kāi)發(fā)審計(jì)發(fā)展。信息系統(tǒng)之所以風(fēng)險(xiǎn)較高，是因?yàn)樗粌H涉及數(shù)據(jù)的安全和保護(hù)，而且涉及計(jì)算機(jī)網(wǎng)絡(luò)的一致性和適用性問(wèn)題，涉及系統(tǒng)建立和開(kāi)發(fā)過(guò)程中的巨額資金流出。

11、應(yīng)用系統(tǒng)的開(kāi)發(fā)不僅在開(kāi)發(fā)階段要花費(fèi)大量的人力、物力和財(cái)力，而且對(duì)已經(jīng)完成了的應(yīng)用系統(tǒng)進(jìn)行修改也將花費(fèi)大量的時(shí)間和資金，相對(duì)傳統(tǒng)業(yè)務(wù)審計(jì)而言，對(duì)信息系統(tǒng)僅僅進(jìn)行事后審計(jì)意義不大，所以，內(nèi)審部門(mén)對(duì)系統(tǒng)開(kāi)發(fā)應(yīng)在項(xiàng)目計(jì)劃階段就要介入，對(duì)其開(kāi)發(fā)情況進(jìn)行全過(guò)程審計(jì)監(jiān)督。    對(duì)系統(tǒng)開(kāi)發(fā)情況進(jìn)行審計(jì)關(guān)鍵是要求內(nèi)審人員“一開(kāi)始就介入”。通過(guò)提前介入，內(nèi)審部門(mén)對(duì)項(xiàng)目的概算、項(xiàng)目的必要性、招投標(biāo)情況、建設(shè)工期執(zhí)行情況、系統(tǒng)的“可審計(jì)性”等進(jìn)行監(jiān)督，保證系統(tǒng)的合投資、合理設(shè)計(jì)開(kāi)發(fā)和有效運(yùn)行，及早發(fā)現(xiàn)系統(tǒng)在風(fēng)險(xiǎn)控制、質(zhì)量保證和成本效益等方面存在的問(wèn)題，避免走彎路，防止出現(xiàn)浪費(fèi)

12、和損失。同時(shí)，通過(guò)提前介入，也將信息系統(tǒng)的開(kāi)發(fā)、購(gòu)買、重大修改、委托運(yùn)營(yíng)、轉(zhuǎn)讓和退出使用等管理工作置于內(nèi)審的有效監(jiān)督之下。    在西方各國(guó)，一般要求信息系統(tǒng)管理部門(mén)在進(jìn)行系統(tǒng)開(kāi)發(fā)、購(gòu)買、轉(zhuǎn)讓、重大修改和退出使用時(shí)要通知內(nèi)審部門(mén)，內(nèi)審部門(mén)根據(jù)系統(tǒng)的重要性決定審計(jì)的方式，可以要求提供相關(guān)資料，也可以派人參與開(kāi)發(fā)過(guò)程，對(duì)于大型系統(tǒng)一般成立財(cái)務(wù)審計(jì)人員和信息技術(shù)審計(jì)人員共同組成的聯(lián)合工作組進(jìn)行新系統(tǒng)開(kāi)發(fā)審計(jì)。目前人民銀行正準(zhǔn)備進(jìn)行應(yīng)用系統(tǒng)開(kāi)發(fā)審計(jì)的嘗試。    4、在審計(jì)重點(diǎn)上向風(fēng)險(xiǎn)導(dǎo)向型審計(jì)發(fā)展。信息技術(shù)審計(jì)不同于我們

13、以往的業(yè)務(wù)審計(jì)，以往的業(yè)務(wù)審計(jì)往往以發(fā)現(xiàn)已經(jīng)發(fā)生的損失，已經(jīng)實(shí)施的舞弊和違規(guī)為目的，屬于以損失為基礎(chǔ)的審計(jì)；而信息技術(shù)審計(jì)則具有一定的事前性，其目的在于發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)和可能發(fā)生的損失。這種目的上的變化要求信息技術(shù)審計(jì)不可能以損失為基礎(chǔ)，而應(yīng)該以風(fēng)險(xiǎn)為基礎(chǔ)，因此，信息技術(shù)審計(jì)部門(mén)必須借鑒風(fēng)險(xiǎn)評(píng)估的方法，由對(duì)系統(tǒng)運(yùn)行的合規(guī)性審計(jì)逐漸轉(zhuǎn)變?yōu)轱L(fēng)險(xiǎn)導(dǎo)向型審計(jì)：根據(jù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估結(jié)果，確定審計(jì)計(jì)劃，根據(jù)對(duì)固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)的測(cè)算，確定審計(jì)重點(diǎn)、制定審計(jì)方案。這種以風(fēng)險(xiǎn)為基礎(chǔ)的審計(jì)也是當(dāng)前國(guó)際審計(jì)界通行的觀念和做法，也是今后我國(guó)審計(jì)的發(fā)展方向。    風(fēng)險(xiǎn)評(píng)估就是通過(guò)對(duì)各項(xiàng)業(yè)務(wù)的各個(gè)控制環(huán)節(jié)的固有風(fēng)險(xiǎn)和控制情況分別進(jìn)行量化評(píng)價(jià)，再將固有風(fēng)險(xiǎn)抵扣控制情況后獲得的剩余風(fēng)險(xiǎn)按各環(huán)節(jié)的重要性程度進(jìn)行加權(quán)平均，得到各項(xiàng)業(yè)務(wù)剩余風(fēng)險(xiǎn)，最后按剩余風(fēng)險(xiǎn)大小對(duì)各項(xiàng)業(yè)務(wù)進(jìn)行排序。對(duì)于剩余風(fēng)險(xiǎn)高的業(yè)務(wù)優(yōu)