金融企業(yè)是IT（信息技術(shù)）運(yùn)用最廣泛的領(lǐng)域，IT已從傳統(tǒng)的后臺(tái)支持轉(zhuǎn)變?yōu)闃I(yè)務(wù)競(jìng)爭(zhēng)的籌碼，由于處于國(guó)民經(jīng)濟(jì)中的特殊地位，其安全性尤其受到各方面的重視，作為監(jiān)督部門的審計(jì)如何為其保駕護(hù)航？在此，筆者就美國(guó)金融企業(yè)IT的審計(jì)的特點(diǎn)及其背景作一分析，以期對(duì)我們有所啟示。

　　一、美國(guó)金融企業(yè)IT審計(jì)的主要特點(diǎn)

　　1、信息技術(shù)專項(xiàng)審計(jì)明顯增多。上世紀(jì)90年代中期，美國(guó)從事金融企業(yè)IT審計(jì)的人員有55％—70％的工作都是協(xié)助財(cái)務(wù)審計(jì)人員，到2000年這一比例下降到了50％以下。尤其是計(jì)算機(jī)“千年蟲”事件使人們深刻地意識(shí)到信息技術(shù)自身安全的重要性，在處理這一事件中，信息技術(shù)專項(xiàng)審計(jì)發(fā)揮了重要作用，得到了監(jiān)管者、董事會(huì)及管理者的高度重視。 IT審計(jì)已不是財(cái)務(wù)審計(jì)的配角，它已成為風(fēng)險(xiǎn)管理的重要工具，成為金融企業(yè)有效實(shí)行IT治理的保證。

　　2、采用以風(fēng)險(xiǎn)為基礎(chǔ)的審計(jì)方法。實(shí)行以風(fēng)險(xiǎn)為基礎(chǔ)的審計(jì)前提是建立風(fēng)險(xiǎn)評(píng)分系統(tǒng)，即參照美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)、信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（1SACA）、內(nèi)部審計(jì)協(xié)會(huì)（IIA）等組織所發(fā)布的業(yè)界標(biāo)準(zhǔn)或自身的經(jīng)驗(yàn)，使用統(tǒng)一的方法對(duì)信息技術(shù)每個(gè)方面的風(fēng)險(xiǎn)大小進(jìn)行評(píng)估打分，評(píng)出低、中、高或從1—5的數(shù)字風(fēng)險(xiǎn)等級(jí)，一般為一年一次，但如果金融企業(yè)在IT方面經(jīng)歷了明顯的變化則需增加評(píng)估的次數(shù)。對(duì)每一領(lǐng)域?qū)徲?jì)的頻率與深度都由評(píng)估結(jié)果決定。從一個(gè)審計(jì)周期來看，高風(fēng)險(xiǎn)、中等風(fēng)險(xiǎn)、低風(fēng)險(xiǎn)領(lǐng)域一般分別不超過12、24、36個(gè)月。以風(fēng)險(xiǎn)為基礎(chǔ)的IT審計(jì)使審計(jì)人員能夠在對(duì)風(fēng)險(xiǎn)全面監(jiān)控的基礎(chǔ)上集中審計(jì)資源于高風(fēng)險(xiǎn)領(lǐng)域，確保了審計(jì)對(duì)風(fēng)險(xiǎn)的控制質(zhì)量。

　　3、外包內(nèi)部IT審計(jì)比較常見。合理的IT審計(jì)外包既可以保證審計(jì)質(zhì)量又可以充分利用外部資源，解決內(nèi)部IT審計(jì)人員不足問題。美國(guó)金融企業(yè)通過采取三個(gè)方面的措施來降低外包IT內(nèi)審的風(fēng)險(xiǎn)：一是保證外包者的獨(dú)立性。2002年的《薩班斯—奧克斯萊法案》禁止上市公司外部審計(jì)人員在實(shí)施財(cái)務(wù)報(bào)告審計(jì)的同時(shí)外包該公司內(nèi)審業(yè)務(wù)，聯(lián)邦存款保險(xiǎn)公司要求總資產(chǎn)在5億以上的成員機(jī)構(gòu)，不管它們是否是上市公司均應(yīng)遵守該法案的這項(xiàng)規(guī)定，并鼓勵(lì)其他的金融企業(yè)遵守。二是對(duì)IT內(nèi)審?fù)獍邔?shí)行一定的控制。明確指出任何關(guān)于本企業(yè)的信息都必須保密，如審計(jì)工作底稿的保存時(shí)間、變更服務(wù)合同的條件、向董事會(huì)和高級(jí)管理者報(bào)告的方式和頻率等。三是管理部門要做好充分準(zhǔn)備應(yīng)付合同執(zhí)行的意外情況，以防出現(xiàn)審計(jì)缺口。如合同的突然終止引起外包安排的結(jié)束等。

　　4、IT審計(jì)是金融企業(yè)控制技術(shù)服務(wù)提供商（TSP）的重要手段。金融企業(yè)的特長(zhǎng)是經(jīng)營(yíng)貨幣而不是信息技術(shù)，出于利用外部技術(shù)專家、降低成本、專注于發(fā)展自己的核心業(yè)務(wù)、解決IT人員不足等原因，美國(guó)金融企業(yè)外包部分或全部IT業(yè)務(wù)給TSP比較常見。對(duì)于有外包的金融企業(yè)，局限于內(nèi)部的IT審計(jì)已不能滿足安全需要，為了防止由于TSP內(nèi)部控制不善、技術(shù)競(jìng)爭(zhēng)力不強(qiáng)、不能有效保護(hù)客戶信息等原因而帶給自己風(fēng)臉，企業(yè)要對(duì)TSP的信息技術(shù)及相關(guān)控制等實(shí)施嚴(yán)格的監(jiān)控，對(duì)TSP進(jìn)行IT審計(jì)是其重要手段。一般在合同中就應(yīng)明確對(duì)TSP有審計(jì)的權(quán)利，可以采用金融企業(yè)內(nèi)審人員直接審計(jì)、接受并審查由TSP審計(jì)人員提供的審計(jì)報(bào)告的方法，但最常用的是聘請(qǐng)獨(dú)立于金融企業(yè)與TSP的第三方審計(jì)人員實(shí)施對(duì)TSP的審計(jì)，要求第三方審計(jì)人員同時(shí)向TSP、本企業(yè)的管理層及內(nèi)部審計(jì)人員提供根據(jù)美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)的SAS 70標(biāo)準(zhǔn)提出的審計(jì)報(bào)告。

　　5、IT審計(jì)功能是否健全是金融監(jiān)管當(dāng)局決定監(jiān)管關(guān)注程度的重要因素。負(fù)責(zé)制定對(duì)金融機(jī)構(gòu)實(shí)施聯(lián)邦檢查統(tǒng)一原則、標(biāo)準(zhǔn)和報(bào)告的聯(lián)邦金融機(jī)構(gòu)檢查委員會(huì)（FFIEC）早在1978年就制定了信息系統(tǒng)評(píng)級(jí)體系，1999年調(diào)整并更名為信息技術(shù)統(tǒng)一評(píng)級(jí)體系（URSIT），由綜合等級(jí)和四個(gè)成份等級(jí)構(gòu)成。綜合等級(jí)的評(píng)定基礎(chǔ)是四個(gè)成份等級(jí)，審計(jì)從1978年到現(xiàn)在一直排在四個(gè)成份等級(jí)之首，而且在1999年的調(diào)整中得到了進(jìn)一步加強(qiáng)。如果審計(jì)作用不充分，那么不管其他成份等級(jí)如何，其綜合等級(jí)只能是在3— 5之間，需引起特別監(jiān)管注意。同時(shí)IT審計(jì)的情況還可通過CAMELS評(píng)級(jí)體系中的管理等因素影響到監(jiān)管當(dāng)局對(duì)金融企業(yè)安全性與可靠性監(jiān)管關(guān)注程度。監(jiān)管的壓力迫使金融企業(yè)在IT內(nèi)審人員不足的情況下外包內(nèi)部審計(jì)以提高審計(jì)質(zhì)量。

　　6、IT審計(jì)與公司治理形成了良性互動(dòng)關(guān)系。良好的公司治理為IT審計(jì)的發(fā)展提供了控制環(huán)境和制度基礎(chǔ)。董事會(huì)、高級(jí)管理者、審計(jì)管理部門、內(nèi)外部審計(jì)人員在審計(jì)過程中分工細(xì)致、責(zé)任明確。并保證了審計(jì)的獨(dú)立性。隨著金融企業(yè)對(duì)IT的依賴性越來越大，IT控制的作用越來越大，IT治理機(jī)制已成為落實(shí)公司治理的重要手段，IT審計(jì)也就成為實(shí)現(xiàn)IT與業(yè)務(wù)的匹配管理、IT價(jià)值貢獻(xiàn)管理、IT風(fēng)險(xiǎn)管理、IT績(jī)效管理等的重要保證，花旗銀行等美國(guó)大金融企業(yè)已經(jīng)引進(jìn)或正在引進(jìn)IT治理機(jī)制，日益彰顯IT審計(jì)的重要性。

　　二、特點(diǎn)形成的背景分析

　　1、有關(guān)各方都十分重視IT審計(jì)尤其是專項(xiàng)IT審計(jì)在IT發(fā)展中的作用。IT審計(jì)是解決IT“超額預(yù)算”、“投資黑洞”、“服務(wù)品質(zhì)低劣”等問題的必要手段，它可以維持IT控制、IT風(fēng)險(xiǎn)管理及公司治理的有效性，對(duì)于金融企業(yè)每年高額的IT投資來說，引入IT審計(jì)就像引入會(huì)計(jì)、審計(jì)對(duì)企業(yè)資產(chǎn)和經(jīng)營(yíng)進(jìn)行監(jiān)督一樣意義重大。早在上世紀(jì)60年代，美國(guó)金融企業(yè)內(nèi)部就設(shè)立了電子數(shù)據(jù)處理審計(jì)及安全辦公室，在計(jì)算機(jī)“千年蟲”事件中，IT專項(xiàng)審計(jì)發(fā)揮了重要作用，使人們深刻地意識(shí)到信息技術(shù)自身安全的重要性，引起了金融企業(yè)、監(jiān)管當(dāng)局等有關(guān)方面的高度重視。其直接表現(xiàn)就是：IT專項(xiàng)審計(jì)加速發(fā)展，已不再是財(cái)務(wù)審計(jì)的配角，同時(shí)監(jiān)管當(dāng)局也加大了對(duì)金融企業(yè)IT審計(jì)的監(jiān)管。安然等事件后出臺(tái)的《薩班斯—奧克斯萊法案》也清楚地表明了國(guó)會(huì)希望在財(cái)務(wù)報(bào)告中包含信息技術(shù)審計(jì)的可靠性。

　　2、審計(jì)人員可利用的資源豐富。主要包括：

　?。?）美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)、ISACA、內(nèi)部審計(jì)協(xié)會(huì)、ISO等組織所發(fā)布的標(biāo)準(zhǔn)或研究成果在美國(guó)都得到了充分運(yùn)用。

　?。?）國(guó)會(huì)頒布的涉及IT的法律較全。（3）FFIEC等金融監(jiān)管機(jī)構(gòu)頒布的部門規(guī)章更是及時(shí)而全面。

　?。?）專業(yè)審計(jì)軟件的水平較高。

　　3、外部IT人才相對(duì)充足，使IT專項(xiàng)審計(jì)與外包成為可能。美國(guó)IT人才相對(duì)其他國(guó)家來說，比較充足，加之金融業(yè)發(fā)達(dá)，與之相關(guān)的其他業(yè)務(wù)也比較成熟。

　?。?）TSP的IT技術(shù)力量雄厚。他們不但精通IT業(yè)務(wù)，而且熟悉金融業(yè)務(wù)，使很多金融企業(yè)傾向于集中時(shí)間和財(cái)力加強(qiáng)核心策略，即充當(dāng)顧客需求與市場(chǎng)之間的金融中介人，而將自己不擅長(zhǎng)的IT外包。

　?。?）外部IT審計(jì)人員實(shí)力很強(qiáng)。有人曾對(duì)美國(guó)前幾家大會(huì)計(jì)師事務(wù)所進(jìn)行調(diào)查并估計(jì)，它們各自的IT審計(jì)人員將從1990年的不足100人發(fā)展到 2005年-+超過5000人。

　　三、對(duì)我國(guó)金融企業(yè)IT審計(jì)的啟示

　　當(dāng)前我國(guó)金融企業(yè)的信息技術(shù)飛速發(fā)展，但I(xiàn)T審計(jì)沒有發(fā)揮應(yīng)有的作用，發(fā)展我國(guó)金融企業(yè)IT審計(jì)勢(shì)在必行。

　?。?）有關(guān)各方要重視IT審計(jì)尤其是專項(xiàng)審計(jì)在信息技術(shù)建設(shè)中的作用。企業(yè)要充分重視IT內(nèi)審的作用，完善公司治理機(jī)制，保證內(nèi)審的獨(dú)立性。監(jiān)管部門應(yīng)加強(qiáng)對(duì)金融企業(yè)的IT審計(jì)的監(jiān)管。我國(guó)IT發(fā)展已有多年，但對(duì)IT的監(jiān)管幾乎是一片空白，監(jiān)管者應(yīng)將IT安全作為監(jiān)管的重要內(nèi)容，將IT審計(jì)作為評(píng)價(jià)其安全性的重要因素，通過現(xiàn)場(chǎng)及非現(xiàn)場(chǎng)檢查對(duì)金融企業(yè)進(jìn)行督促。國(guó)家審計(jì)應(yīng)加強(qiáng)對(duì)金融企業(yè)信息技術(shù)本身的審計(jì)。

　?。?）積極解決IT審計(jì)人才不足的問題。一方面有關(guān)各方要積極吸引人才、加強(qiáng)在職人員培養(yǎng)。另一方面從長(zhǎng)遠(yuǎn)來看，金融企業(yè)應(yīng)增加IT技術(shù)尤其是通用技術(shù)的外包，將大批內(nèi)部 IT開發(fā)人員適當(dāng)轉(zhuǎn)化為固定的IT內(nèi)部審計(jì)人員。

　?。?）為IT審計(jì)人員提供豐富的審計(jì)資源。國(guó)家應(yīng)制定、完善有關(guān)法律，盡快制定與國(guó)際接軌的IT安全與審計(jì)標(biāo)準(zhǔn)，借鑒美國(guó)等先進(jìn)國(guó)家的做法探索專門針對(duì)信息技術(shù)安全與審計(jì)的方法、技術(shù)，及時(shí)出臺(tái)一些具體的操作指南或手冊(cè)，同時(shí)加緊開發(fā)一些審計(jì)軟件，使IT審計(jì)變得相對(duì)簡(jiǎn)單、具體而規(guī)范化。

　?。?）重視IT審計(jì)在對(duì)TSP實(shí)施控制中的作用。雖然傳統(tǒng)上我國(guó)金融企業(yè)都熱衷于自行開發(fā)IT尤其是核算業(yè)務(wù)技術(shù)，但外包IT業(yè)務(wù)是國(guó)際趨勢(shì)，尤其是對(duì)于中小金融企業(yè)，浦發(fā)與聯(lián)想、中信與IBM在核心銀行業(yè)務(wù)領(lǐng)域的合作標(biāo)志著我國(guó)金融企業(yè)外包IT業(yè)務(wù)已經(jīng)邁開了步伐，如何利用審計(jì)等措施來控制TSP應(yīng)引起有關(guān)各方的重視。算業(yè)務(wù)技術(shù)，但外包IT業(yè)務(wù)是國(guó)際趨勢(shì)，尤其是對(duì)于中小金融企業(yè)，浦發(fā)與聯(lián)想、中信與IBM在核心銀行業(yè)務(wù)領(lǐng)域的合作標(biāo)志著我國(guó)金融企業(yè)外包IT業(yè)務(wù)已經(jīng)邁開了步伐，如何利用審計(jì)等措施來控制TSP應(yīng)引起有關(guān)各方的重視。