一、信息技术审计的发展
20世纪60年代随着第二代晶体管计算机的出现和计算机应用的普及,特别是会计电算化之后,金融企业开始设立电子数据处理审计及安全办公室,出现了信息技术审计(IT审计)-EDP审计,当时称之为计算机审计,到70年代,利用计算机犯罪的案件开始出现,在社会上引起了强烈反响,人们开始认识到信息技术审计的必要性。进入80年代后,发达国家大力发展信息产业,加上计算机与通信相结合,使计算机的应用更加普及,同时也导致了利用计算机犯罪的比率升高,犯罪率的急剧上升引起了有关政府的极大重视,1984年日本政府公开发表了《IT审计标准》,在全日本的软件水平考试中增添了“IT审计师”一级的考试(在系统分析员考试之上的最高一级),培养从事信息技术审计的骨干队伍,信息技术审计逐步走向成熟。至20世纪90年代,信息系统向大型化、多样化及网络化发展,信息技术审计作为信息社会的安全对策进入普及时期。
二、信息系统审计(ISA)与信息技术审计(ITA)
信息系统审计(Information Systems Audit简称ISA)是指以某个业务应用系统为中心的审计,即对计算机信息系统的开发建设、运行环境、使用和维护、内部控制等情况进行监督、检查,并作出评价,提出意见和建议,它包括对新系统的开发审计和对现有系统的审计。而信息技术审计(Information Technology Audit简称ITA)则是侧重于对信息技术基础设施的审计,主要是对技术的安全性进行审计,重点在于网络安全和通讯安全。包括对防火墙的安全和公共密钥系统(PKI)的安全性的评价,以及对非法入侵进行检测等。在部分西方国家央行内部审计中,信息系统审计和信息技术审计有严格的区分,分别设置信息系统和信息技术审计机构,我国人民银行信息技术审计处于起步阶段,一般认为信息技术审计既包括对应用系统的审计,也包括对计算机基础设施的审计,二者是一个包含与被包含的关系,是可以通用的概念。
三、人民银行信息技术审计的发展方向
中国人民银行2000年开始提出信息技术审计的概念,在充分研究了美国、德国、英国、加拿大、荷兰、日本等国中央银行信息技术审计的基础上,2000年8月在贵阳首次召开了人民银行信息技术审计工作座谈会,以此次会议为标志,人民银行正式将信息系统安全纳入内部审计范畴,并相继开展了一系列信息系统专项审计。经过几年的探索,人民银行对信息技术审计有了明确的定位,信息技术审计逐步走向正规化、日常化。从这几年的实践来看,人民银行信息技术审计虽然引起了各级领导的高度重视,但受人员素质等各种因素的制约,信息技术审计层次较低,基本上侧重于规章制度的执行和基础设施的安全,离信息技术审计的定义相差较远,笔者认为人民银行信息技术审计应向以下几个方向发展:
1、在审计策略上向参与式审计发展。西方现代内部审计理念的核心是,内审人员不仅要善于发现问题,而且更要善于解决问题,并要将所提建议当作本部门的服务产品向管理当局积极推销,以大大提高审计的效果。而现代内部审计方式的精髓则是参与式审计,即在整个审计过程中与被审人员维持良好的关系,共同分析问题的实际情况及潜在影响,一起探讨改进的可行性和应采取的措施,从而加强内部控制、改善经营管理,防范和化解潜在的风险。
信息技术审计不仅仅是传统审计业务的简单扩展,它是在传统审计理论、信息系统管理理论、行为科学理论和计算机科学四个理论基础上形成的一门边缘性学科,完全依靠自身的力量完成所有审计工作是不现实的,也是不符合成本效益原则的。目前西方国家信息技术审计普遍采用的做法是从外部咨询机构聘请信息技术专家、安全专家以及各种具体应用系统的专家参与审计。
参与式审计主要体现在以下几个方面:(1)在审计开始时,就对被审部门抱着信任态度,与他们讨论审计目标、审计内容、计划采取某些审计程序和方法的理由,以取得他们的理解和支持;(2)征求被审部门的意见,寻求他们的合作;(3)及时与当事人讨论审计中发现的问题,共同分析改进的必要性,并探讨改进的可行措施;(4)向被审部门报告期中审计结果,其中审计报告可以是口头的,非正式的,以便及时就地解决和改正存在的问题,避免发生更大的损失;(5)提出最终审计报告时,采用建设性的语调,重点放在问题产生的原因和可能造成的影响、改进的可能性和改进措施上,被审部门已经采取的改进行动也可以包括在审计报告中,以反映他们对审计工作的积极态度。
参与式审计的基础是信任被审部门,而我国人民银行内审脱胎于原稽核部门,沿袭了传统审计的思路和模式,在审计中持着怀疑一切的态度,将自己放在了被审单位的对立面,这样既不便于内审工作的开展,也影响了审计的质量和效果。
2、在审计对象上向网络安全审计发展。随着计算机网络技术的飞速发展,在人总行科技司的统一部署下,人民银行系统计算机网络经过近10年的建设已初具规模,形成了以内联网为核心,纵向覆盖至县支行,横向与各金融机构、财政、税务及海关、外汇交易中心等单位相联的大型网络。目前在人民银行系统内同时存在内联网、外联网和国际互联网三套网络系统,计算机网络成为人民银行业务系统运行、信息传输的重要平台和纽带,其运行状况直接关系到资金安全和政务信息的安全。网络在加快信息传播、加大资源共享、提高办公效率的同时也成为了人民银行系统内最大的潜在风险点。
目前人民银行系统正在运行的计算机应用系统共有二十多个,涉及支付结算,金融服务以及办公自动化等各个方面,在这种情况下,处于起步阶段的信息技术审计以各个业务应用系统为中心有其合理性:一是审计人员对各业务系统缺乏了解,对各系统还需要一个熟悉的过程,以系统为中心的审计有助于审计人员全面系统地了解业务系统的情况;二是计算机专业人员的缺乏,使以安全性为中心目标的信息技术审计难以有效开展;三是目前对计算机业务应用系统的监督检查环节还很薄弱,对于保证控制的各项制度措施不能很好地贯彻执行,合规性审计在一定时期内将是信息技术审计的主要内容。但是随着信息技术审计工作的不断开展,审计人员经验的丰富和技术的提高,信息技术审计应该走出以系统为中心的审计,向以保证组织网络与信息的安全方向发展,充分发挥信息技术审计技术性、专业性特点。
3、在审计内容上向系统开发审计发展。信息系统之所以风险较高,是因为它不仅涉及数据的安全和保护,而且涉及计算机网络的一致性和适用性问题,涉及系统建立和开发过程中的巨额资金流出。应用系统的开发不仅在开发阶段要花费大量的人力、物力和财力,而且对已经完成了的应用系统进行修改也将花费大量的时间和资金,相对传统业务审计而言,对信息系统仅仅进行事后审计意义不大,所以,内审部门对系统开发应在项目计划阶段就要介入,对其开发情况进行全过程审计监督。
对系统开发情况进行审计关键是要求内审人员“一开始就介入”。通过提前介入,内审部门对项目的概算、项目的必要性、招投标情况、建设工期执行情况、系统的“可审计性”等进行监督,保证系统的合理投资、合理设计开发和有效运行,及早发现系统在风险控制、质量保证和成本效益等方面存在的问题,避免走弯路,防止出现浪费和损失。同时,通过提前介入,也将信息系统的开发、购买、重大修改、委托运营、转让和退出使用等管理工作置于内审的有效监督之下。
在西方各国,一般要求信息系统管理部门在进行系统开发、购买、转让、重大修改和退出使用时要通知内审部门,内审部门根据系统的重要性决定审计的方式,可以要求提供相关资料,也可以派人参与开发过程,对于大型系统一般成立由财务审计人员和信息技术审计人员共同组成的联合工作组进行新系统开发审计。目前人民银行正准备进行应用系统开发审计的尝试。
4、在审计重点上向风险导向型审计发展。信息技术审计不同于我们以往的业务审计,以往的业务审计往往以发现已经发生的损失,已经实施的舞弊和违规为目的,属于以损失为基础的审计;而信息技术审计则具有一定的事前性,其目的在于发现潜在的风险和可能发生的损失。这种目的上的变化要求信息技术审计不可能以损失为基础,而应该以风险为基础,因此,信息技术审计部门必须借鉴风险评估的方法,由对系统运行的合规性审计逐渐转变为风险导向型审计:根据系统风险评估结果,确定审计计划,根据对固有风险和控制风险的测算,确定审计重点、制定审计方案。这种以风险为基础的审计也是当前国际审计界通行的观念和做法,也是今后我国审计的发展方向。
风险评估就是通过对各项业务的各个控制环节的固有风险和控制情况分别进行量化评价,再将固有风险抵扣控制情况后获得的剩余风险按各环节的重要性程度进行加权平均,得到各项业务剩余风险,最后按剩余风险大小对各项业务进行排序。对于剩余风险高的业务优先审计,并且增加审计频率。对业务的风险评估工作并非一劳永逸,而是具有长期性、连续性和动态性,贯穿于整个审计工作的全过程。
对信息系统风险和控制评价的重点在于各项业务由手工操作改变为电子化处理过程中的内部控制环节的变化和由此产生的风险。特别是对于业务处理电子化过程中的由于审计证据的不足和人员相互制约机制的改变所造成的风险,以及由于信息传输和交换范围扩大所产生的网络安全问题。★
(作者单位:中国人民银行武汉分行内审处)
