一、信息技術(shù)審計(jì)的發(fā)展

　　20世紀(jì)60年代隨著第二代晶體管計(jì)算機(jī)的出現(xiàn)和計(jì)算機(jī)應(yīng)用的普及，特別是會計(jì)電算化之后，金融企業(yè)開始設(shè)立電子數(shù)據(jù)處理審計(jì)及安全辦公室，出現(xiàn)了信息技術(shù)審計(jì)（IT審計(jì)）-EDP審計(jì)，當(dāng)時(shí)稱之為計(jì)算機(jī)審計(jì)，到70年代，利用計(jì)算機(jī)犯罪的案件開始出現(xiàn)，在社會上引起了強(qiáng)烈反響，人們開始認(rèn)識到信息技術(shù)審計(jì)的必要性。進(jìn)入80年代后，發(fā)達(dá)國家大力發(fā)展信息產(chǎn)業(yè)，加上計(jì)算機(jī)與通信相結(jié)合，使計(jì)算機(jī)的應(yīng)用更加普及，同時(shí)也導(dǎo)致了利用計(jì)算機(jī)犯罪的比率升高，犯罪率的急劇上升引起了有關(guān)政府的極大重視，1984年日本政府公開發(fā)表了《IT審計(jì)標(biāo)準(zhǔn)》，在全日本的軟件水平考試中增添了“IT審計(jì)師”一級的考試（在系統(tǒng)分析員考試之上的最高一級），培養(yǎng)從事信息技術(shù)審計(jì)的骨干隊(duì)伍，信息技術(shù)審計(jì)逐步走向成熟。至20世紀(jì)90年代，信息系統(tǒng)向大型化、多樣化及網(wǎng)絡(luò)化發(fā)展，信息技術(shù)審計(jì)作為信息社會的安全對策進(jìn)入普及時(shí)期。

　　二、信息系統(tǒng)審計(jì)（ISA）與信息技術(shù)審計(jì)（ITA）

　　信息系統(tǒng)審計(jì)（Information Systems Audit簡稱ISA）是指以某個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)為中心的審計(jì)，即對計(jì)算機(jī)信息系統(tǒng)的開發(fā)建設(shè)、運(yùn)行環(huán)境、使用和維護(hù)、內(nèi)部控制等情況進(jìn)行監(jiān)督、檢查，并作出評價(jià)，提出意見和建議，它包括對新系統(tǒng)的開發(fā)審計(jì)和對現(xiàn)有系統(tǒng)的審計(jì)。而信息技術(shù)審計(jì)（Information Technology Audit簡稱ITA）則是側(cè)重于對信息技術(shù)基礎(chǔ)設(shè)施的審計(jì)，主要是對技術(shù)的安全性進(jìn)行審計(jì)，重點(diǎn)在于網(wǎng)絡(luò)安全和通訊安全。包括對防火墻的安全和公共密鑰系統(tǒng)（PKI）的安全性的評價(jià)，以及對非法入侵進(jìn)行檢測等。在部分西方國家央行內(nèi)部審計(jì)中，信息系統(tǒng)審計(jì)和信息技術(shù)審計(jì)有嚴(yán)格的區(qū)分，分別設(shè)置信息系統(tǒng)和信息技術(shù)審計(jì)機(jī)構(gòu)，我國人民銀行信息技術(shù)審計(jì)處于起步階段，一般認(rèn)為信息技術(shù)審計(jì)既包括對應(yīng)用系統(tǒng)的審計(jì)，也包括對計(jì)算機(jī)基礎(chǔ)設(shè)施的審計(jì)，二者是一個(gè)包含與被包含的關(guān)系，是可以通用的概念。

　　三、人民銀行信息技術(shù)審計(jì)的發(fā)展方向

　　中國人民銀行2000年開始提出信息技術(shù)審計(jì)的概念，在充分研究了美國、德國、英國、加拿大、荷蘭、日本等國中央銀行信息技術(shù)審計(jì)的基礎(chǔ)上，2000年8月在貴陽首次召開了人民銀行信息技術(shù)審計(jì)工作座談會，以此次會議為標(biāo)志，人民銀行正式將信息系統(tǒng)安全納入內(nèi)部審計(jì)范疇，并相繼開展了一系列信息系統(tǒng)專項(xiàng)審計(jì)。經(jīng)過幾年的探索，人民銀行對信息技術(shù)審計(jì)有了明確的定位，信息技術(shù)審計(jì)逐步走向正規(guī)化、日常化。從這幾年的實(shí)踐來看，人民銀行信息技術(shù)審計(jì)雖然引起了各級領(lǐng)導(dǎo)的高度重視，但受人員素質(zhì)等各種因素的制約，信息技術(shù)審計(jì)層次較低，基本上側(cè)重于規(guī)章制度的執(zhí)行和基礎(chǔ)設(shè)施的安全，離信息技術(shù)審計(jì)的定義相差較遠(yuǎn)，筆者認(rèn)為人民銀行信息技術(shù)審計(jì)應(yīng)向以下幾個(gè)方向發(fā)展：

　　1、在審計(jì)策略上向參與式審計(jì)發(fā)展。西方現(xiàn)代內(nèi)部審計(jì)理念的核心是，內(nèi)審人員不僅要善于發(fā)現(xiàn)問題，而且更要善于解決問題，并要將所提建議當(dāng)作本部門的服務(wù)產(chǎn)品向管理當(dāng)局積極推銷，以大大提高審計(jì)的效果。而現(xiàn)代內(nèi)部審計(jì)方式的精髓則是參與式審計(jì)，即在整個(gè)審計(jì)過程中與被審人員維持良好的關(guān)系，共同分析問題的實(shí)際情況及潛在影響，一起探討改進(jìn)的可行性和應(yīng)采取的措施，從而加強(qiáng)內(nèi)部控制、改善經(jīng)營管理，防范和化解潛在的風(fēng)險(xiǎn)。

　　信息技術(shù)審計(jì)不僅僅是傳統(tǒng)審計(jì)業(yè)務(wù)的簡單擴(kuò)展，它是在傳統(tǒng)審計(jì)理論、信息系統(tǒng)管理理論、行為科學(xué)理論和計(jì)算機(jī)科學(xué)四個(gè)理論基礎(chǔ)上形成的一門邊緣性學(xué)科，完全依靠自身的力量完成所有審計(jì)工作是不現(xiàn)實(shí)的，也是不符合成本效益原則的。目前西方國家信息技術(shù)審計(jì)普遍采用的做法是從外部咨詢機(jī)構(gòu)聘請信息技術(shù)專家、安全專家以及各種具體應(yīng)用系統(tǒng)的專家參與審計(jì)。

　　參與式審計(jì)主要體現(xiàn)在以下幾個(gè)方面：（1）在審計(jì)開始時(shí)，就對被審部門抱著信任態(tài)度，與他們討論審計(jì)目標(biāo)、審計(jì)內(nèi)容、計(jì)劃采取某些審計(jì)程序和方法的理由，以取得他們的理解和支持；（2）征求被審部門的意見，尋求他們的合作；（3）及時(shí)與當(dāng)事人討論審計(jì)中發(fā)現(xiàn)的問題，共同分析改進(jìn)的必要性，并探討改進(jìn)的可行措施；（4）向被審部門報(bào)告期中審計(jì)結(jié)果，其中審計(jì)報(bào)告可以是口頭的，非正式的，以便及時(shí)就地解決和改正存在的問題，避免發(fā)生更大的損失；（5）提出最終審計(jì)報(bào)告時(shí)，采用建設(shè)性的語調(diào)，重點(diǎn)放在問題產(chǎn)生的原因和可能造成的影響、改進(jìn)的可能性和改進(jìn)措施上，被審部門已經(jīng)采取的改進(jìn)行動(dòng)也可以包括在審計(jì)報(bào)告中，以反映他們對審計(jì)工作的積極態(tài)度。

　　參與式審計(jì)的基礎(chǔ)是信任被審部門，而我國人民銀行內(nèi)審脫胎于原稽核部門，沿襲了傳統(tǒng)審計(jì)的思路和模式，在審計(jì)中持著懷疑一切的態(tài)度，將自己放在了被審單位的對立面，這樣既不便于內(nèi)審工作的開展，也影響了審計(jì)的質(zhì)量和效果。

　　2、在審計(jì)對象上向網(wǎng)絡(luò)安全審計(jì)發(fā)展。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，在人總行科技司的統(tǒng)一部署下，人民銀行系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)經(jīng)過近10年的建設(shè)已初具規(guī)模，形成了以內(nèi)聯(lián)網(wǎng)為核心，縱向覆蓋至縣支行，橫向與各金融機(jī)構(gòu)、財(cái)政、稅務(wù)及海關(guān)、外匯交易中心等單位相聯(lián)的大型網(wǎng)絡(luò)。目前在人民銀行系統(tǒng)內(nèi)同時(shí)存在內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)和國際互聯(lián)網(wǎng)三套網(wǎng)絡(luò)系統(tǒng)，計(jì)算機(jī)網(wǎng)絡(luò)成為人民銀行業(yè)務(wù)系統(tǒng)運(yùn)行、信息傳輸?shù)闹匾脚_和紐帶，其運(yùn)行狀況直接關(guān)系到資金安全和政務(wù)信息的安全。網(wǎng)絡(luò)在加快信息傳播、加大資源共享、提高辦公效率的同時(shí)也成為了人民銀行系統(tǒng)內(nèi)最大的潛在風(fēng)險(xiǎn)點(diǎn)。

　　目前人民銀行系統(tǒng)正在運(yùn)行的計(jì)算機(jī)應(yīng)用系統(tǒng)共有二十多個(gè)，涉及支付結(jié)算，金融服務(wù)以及辦公自動(dòng)化等各個(gè)方面，在這種情況下，處于起步階段的信息技術(shù)審計(jì)以各個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)為中心有其合理性：一是審計(jì)人員對各業(yè)務(wù)系統(tǒng)缺乏了解，對各系統(tǒng)還需要一個(gè)熟悉的過程，以系統(tǒng)為中心的審計(jì)有助于審計(jì)人員全面系統(tǒng)地了解業(yè)務(wù)系統(tǒng)的情況；二是計(jì)算機(jī)專業(yè)人員的缺乏，使以安全性為中心目標(biāo)的信息技術(shù)審計(jì)難以有效開展；三是目前對計(jì)算機(jī)業(yè)務(wù)應(yīng)用系統(tǒng)的監(jiān)督檢查環(huán)節(jié)還很薄弱，對于保證控制的各項(xiàng)制度措施不能很好地貫徹執(zhí)行，合規(guī)性審計(jì)在一定時(shí)期內(nèi)將是信息技術(shù)審計(jì)的主要內(nèi)容。但是隨著信息技術(shù)審計(jì)工作的不斷開展，審計(jì)人員經(jīng)驗(yàn)的豐富和技術(shù)的提高，信息技術(shù)審計(jì)應(yīng)該走出以系統(tǒng)為中心的審計(jì)，向以保證組織網(wǎng)絡(luò)與信息的安全方向發(fā)展，充分發(fā)揮信息技術(shù)審計(jì)技術(shù)性、專業(yè)性特點(diǎn)。

　　3、在審計(jì)內(nèi)容上向系統(tǒng)開發(fā)審計(jì)發(fā)展。信息系統(tǒng)之所以風(fēng)險(xiǎn)較高，是因?yàn)樗粌H涉及數(shù)據(jù)的安全和保護(hù)，而且涉及計(jì)算機(jī)網(wǎng)絡(luò)的一致性和適用性問題，涉及系統(tǒng)建立和開發(fā)過程中的巨額資金流出。應(yīng)用系統(tǒng)的開發(fā)不僅在開發(fā)階段要花費(fèi)大量的人力、物力和財(cái)力，而且對已經(jīng)完成了的應(yīng)用系統(tǒng)進(jìn)行修改也將花費(fèi)大量的時(shí)間和資金，相對傳統(tǒng)業(yè)務(wù)審計(jì)而言，對信息系統(tǒng)僅僅進(jìn)行事后審計(jì)意義不大，所以，內(nèi)審部門對系統(tǒng)開發(fā)應(yīng)在項(xiàng)目計(jì)劃階段就要介入，對其開發(fā)情況進(jìn)行全過程審計(jì)監(jiān)督。

　　對系統(tǒng)開發(fā)情況進(jìn)行審計(jì)關(guān)鍵是要求內(nèi)審人員“一開始就介入”。通過提前介入，內(nèi)審部門對項(xiàng)目的概算、項(xiàng)目的必要性、招投標(biāo)情況、建設(shè)工期執(zhí)行情況、系統(tǒng)的“可審計(jì)性”等進(jìn)行監(jiān)督，保證系統(tǒng)的合理投資、合理設(shè)計(jì)開發(fā)和有效運(yùn)行，及早發(fā)現(xiàn)系統(tǒng)在風(fēng)險(xiǎn)控制、質(zhì)量保證和成本效益等方面存在的問題，避免走彎路，防止出現(xiàn)浪費(fèi)和損失。同時(shí)，通過提前介入，也將信息系統(tǒng)的開發(fā)、購買、重大修改、委托運(yùn)營、轉(zhuǎn)讓和退出使用等管理工作置于內(nèi)審的有效監(jiān)督之下。

　　在西方各國，一般要求信息系統(tǒng)管理部門在進(jìn)行系統(tǒng)開發(fā)、購買、轉(zhuǎn)讓、重大修改和退出使用時(shí)要通知內(nèi)審部門，內(nèi)審部門根據(jù)系統(tǒng)的重要性決定審計(jì)的方式，可以要求提供相關(guān)資料，也可以派人參與開發(fā)過程，對于大型系統(tǒng)一般成立由財(cái)務(wù)審計(jì)人員和信息技術(shù)審計(jì)人員共同組成的聯(lián)合工作組進(jìn)行新系統(tǒng)開發(fā)審計(jì)。目前人民銀行正準(zhǔn)備進(jìn)行應(yīng)用系統(tǒng)開發(fā)審計(jì)的嘗試。

　　4、在審計(jì)重點(diǎn)上向風(fēng)險(xiǎn)導(dǎo)向型審計(jì)發(fā)展。信息技術(shù)審計(jì)不同于我們以往的業(yè)務(wù)審計(jì)，以往的業(yè)務(wù)審計(jì)往往以發(fā)現(xiàn)已經(jīng)發(fā)生的損失，已經(jīng)實(shí)施的舞弊和違規(guī)為目的，屬于以損失為基礎(chǔ)的審計(jì)；而信息技術(shù)審計(jì)則具有一定的事前性，其目的在于發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)和可能發(fā)生的損失。這種目的上的變化要求信息技術(shù)審計(jì)不可能以損失為基礎(chǔ)，而應(yīng)該以風(fēng)險(xiǎn)為基礎(chǔ)，因此，信息技術(shù)審計(jì)部門必須借鑒風(fēng)險(xiǎn)評估的方法，由對系統(tǒng)運(yùn)行的合規(guī)性審計(jì)逐漸轉(zhuǎn)變?yōu)轱L(fēng)險(xiǎn)導(dǎo)向型審計(jì)：根據(jù)系統(tǒng)風(fēng)險(xiǎn)評估結(jié)果，確定審計(jì)計(jì)劃，根據(jù)對固有風(fēng)險(xiǎn)和控制風(fēng)險(xiǎn)的測算，確定審計(jì)重點(diǎn)、制定審計(jì)方案。這種以風(fēng)險(xiǎn)為基礎(chǔ)的審計(jì)也是當(dāng)前國際審計(jì)界通行的觀念和做法，也是今后我國審計(jì)的發(fā)展方向。

　　風(fēng)險(xiǎn)評估就是通過對各項(xiàng)業(yè)務(wù)的各個(gè)控制環(huán)節(jié)的固有風(fēng)險(xiǎn)和控制情況分別進(jìn)行量化評價(jià)，再將固有風(fēng)險(xiǎn)抵扣控制情況后獲得的剩余風(fēng)險(xiǎn)按各環(huán)節(jié)的重要性程度進(jìn)行加權(quán)平均，得到各項(xiàng)業(yè)務(wù)剩余風(fēng)險(xiǎn)，最后按剩余風(fēng)險(xiǎn)大小對各項(xiàng)業(yè)務(wù)進(jìn)行排序。對于剩余風(fēng)險(xiǎn)高的業(yè)務(wù)優(yōu)先審計(jì)，并且增加審計(jì)頻率。對業(yè)務(wù)的風(fēng)險(xiǎn)評估工作并非一勞永逸，而是具有長期性、連續(xù)性和動(dòng)態(tài)性，貫穿于整個(gè)審計(jì)工作的全過程。

　　對信息系統(tǒng)風(fēng)險(xiǎn)和控制評價(jià)的重點(diǎn)在于各項(xiàng)業(yè)務(wù)由手工操作改變?yōu)殡娮踊幚磉^程中的內(nèi)部控制環(huán)節(jié)的變化和由此產(chǎn)生的風(fēng)險(xiǎn)。特別是對于業(yè)務(wù)處理電子化過程中的由于審計(jì)證據(jù)的不足和人員相互制約機(jī)制的改變所造成的風(fēng)險(xiǎn)，以及由于信息傳輸和交換范圍擴(kuò)大所產(chǎn)生的網(wǎng)絡(luò)安全問題。

　　（作者單位：中國人民銀行武漢分行內(nèi)審處）