一、信息技術審計的發(fā)展

　　20世紀60年代隨著第二代晶體管計算機的出現(xiàn)和計算機應用的普及，特別是會計電算化之后，金融企業(yè)開始設立電子數(shù)據(jù)處理審計及安全辦公室，出現(xiàn)了信息技術審計（IT審計）-EDP審計，當時稱之為計算機審計，到70年代，利用計算機犯罪的案件開始出現(xiàn)，在社會上引起了強烈反響，人們開始認識到信息技術審計的必要性。進入80年代后，發(fā)達國家大力發(fā)展信息產(chǎn)業(yè)，加上計算機與通信相結合，使計算機的應用更加普及，同時也導致了利用計算機犯罪的比率升高，犯罪率的急劇上升引起了有關政府的極大重視，1984年日本政府公開發(fā)表了《IT審計標準》，在全日本的軟件水平考試中增添了“IT審計師”一級的考試（在系統(tǒng)分析員考試之上的最高一級），培養(yǎng)從事信息技術審計的骨干隊伍，信息技術審計逐步走向成熟。至20世紀90年代，信息系統(tǒng)向大型化、多樣化及網(wǎng)絡化發(fā)展，信息技術審計作為信息社會的安全對策進入普及時期。

　　二、信息系統(tǒng)審計（ISA）與信息技術審計（ITA）

　　信息系統(tǒng)審計（Information Systems Audit簡稱ISA）是指以某個業(yè)務應用系統(tǒng)為中心的審計，即對計算機信息系統(tǒng)的開發(fā)建設、運行環(huán)境、使用和維護、內部控制等情況進行監(jiān)督、檢查，并作出評價，提出意見和建議，它包括對新系統(tǒng)的開發(fā)審計和對現(xiàn)有系統(tǒng)的審計。而信息技術審計（Information Technology Audit簡稱ITA）則是側重于對信息技術基礎設施的審計，主要是對技術的安全性進行審計，重點在于網(wǎng)絡安全和通訊安全。包括對防火墻的安全和公共密鑰系統(tǒng)（PKI）的安全性的評價，以及對非法入侵進行檢測等。在部分西方國家央行內部審計中，信息系統(tǒng)審計和信息技術審計有嚴格的區(qū)分，分別設置信息系統(tǒng)和信息技術審計機構，我國人民銀行信息技術審計處于起步階段，一般認為信息技術審計既包括對應用系統(tǒng)的審計，也包括對計算機基礎設施的審計，二者是一個包含與被包含的關系，是可以通用的概念。

　　三、人民銀行信息技術審計的發(fā)展方向

　　中國人民銀行2000年開始提出信息技術審計的概念，在充分研究了美國、德國、英國、加拿大、荷蘭、日本等國中央銀行信息技術審計的基礎上，2000年8月在貴陽首次召開了人民銀行信息技術審計工作座談會，以此次會議為標志，人民銀行正式將信息系統(tǒng)安全納入內部審計范疇，并相繼開展了一系列信息系統(tǒng)專項審計。經(jīng)過幾年的探索，人民銀行對信息技術審計有了明確的定位，信息技術審計逐步走向正規(guī)化、日常化。從這幾年的實踐來看，人民銀行信息技術審計雖然引起了各級領導的高度重視，但受人員素質等各種因素的制約，信息技術審計層次較低，基本上側重于規(guī)章制度的執(zhí)行和基礎設施的安全，離信息技術審計的定義相差較遠，筆者認為人民銀行信息技術審計應向以下幾個方向發(fā)展：

　　1、在審計策略上向參與式審計發(fā)展。西方現(xiàn)代內部審計理念的核心是，內審人員不僅要善于發(fā)現(xiàn)問題，而且更要善于解決問題，并要將所提建議當作本部門的服務產(chǎn)品向管理當局積極推銷，以大大提高審計的效果。而現(xiàn)代內部審計方式的精髓則是參與式審計，即在整個審計過程中與被審人員維持良好的關系，共同分析問題的實際情況及潛在影響，一起探討改進的可行性和應采取的措施，從而加強內部控制、改善經(jīng)營管理，防范和化解潛在的風險。

　　信息技術審計不僅僅是傳統(tǒng)審計業(yè)務的簡單擴展，它是在傳統(tǒng)審計理論、信息系統(tǒng)管理理論、行為科學理論和計算機科學四個理論基礎上形成的一門邊緣性學科，完全依靠自身的力量完成所有審計工作是不現(xiàn)實的，也是不符合成本效益原則的。目前西方國家信息技術審計普遍采用的做法是從外部咨詢機構聘請信息技術專家、安全專家以及各種具體應用系統(tǒng)的專家參與審計。

　　參與式審計主要體現(xiàn)在以下幾個方面：（1）在審計開始時，就對被審部門抱著信任態(tài)度，與他們討論審計目標、審計內容、計劃采取某些審計程序和方法的理由，以取得他們的理解和支持；（2）征求被審部門的意見，尋求他們的合作；（3）及時與當事人討論審計中發(fā)現(xiàn)的問題，共同分析改進的必要性，并探討改進的可行措施；（4）向被審部門報告期中審計結果，其中審計報告可以是口頭的，非正式的，以便及時就地解決和改正存在的問題，避免發(fā)生更大的損失；（5）提出最終審計報告時，采用建設性的語調，重點放在問題產(chǎn)生的原因和可能造成的影響、改進的可能性和改進措施上，被審部門已經(jīng)采取的改進行動也可以包括在審計報告中，以反映他們對審計工作的積極態(tài)度。

　　參與式審計的基礎是信任被審部門，而我國人民銀行內審脫胎于原稽核部門，沿襲了傳統(tǒng)審計的思路和模式，在審計中持著懷疑一切的態(tài)度，將自己放在了被審單位的對立面，這樣既不便于內審工作的開展，也影響了審計的質量和效果。

　　2、在審計對象上向網(wǎng)絡安全審計發(fā)展。隨著計算機網(wǎng)絡技術的飛速發(fā)展，在人總行科技司的統(tǒng)一部署下，人民銀行系統(tǒng)計算機網(wǎng)絡經(jīng)過近10年的建設已初具規(guī)模，形成了以內聯(lián)網(wǎng)為核心，縱向覆蓋至縣支行，橫向與各金融機構、財政、稅務及海關、外匯交易中心等單位相聯(lián)的大型網(wǎng)絡。目前在人民銀行系統(tǒng)內同時存在內聯(lián)網(wǎng)、外聯(lián)網(wǎng)和國際互聯(lián)網(wǎng)三套網(wǎng)絡系統(tǒng)，計算機網(wǎng)絡成為人民銀行業(yè)務系統(tǒng)運行、信息傳輸?shù)闹匾脚_和紐帶，其運行狀況直接關系到資金安全和政務信息的安全。網(wǎng)絡在加快信息傳播、加大資源共享、提高辦公效率的同時也成為了人民銀行系統(tǒng)內最大的潛在風險點。

　　目前人民銀行系統(tǒng)正在運行的計算機應用系統(tǒng)共有二十多個，涉及支付結算，金融服務以及辦公自動化等各個方面，在這種情況下，處于起步階段的信息技術審計以各個業(yè)務應用系統(tǒng)為中心有其合理性：一是審計人員對各業(yè)務系統(tǒng)缺乏了解，對各系統(tǒng)還需要一個熟悉的過程，以系統(tǒng)為中心的審計有助于審計人員全面系統(tǒng)地了解業(yè)務系統(tǒng)的情況；二是計算機專業(yè)人員的缺乏，使以安全性為中心目標的信息技術審計難以有效開展；三是目前對計算機業(yè)務應用系統(tǒng)的監(jiān)督檢查環(huán)節(jié)還很薄弱，對于保證控制的各項制度措施不能很好地貫徹執(zhí)行，合規(guī)性審計在一定時期內將是信息技術審計的主要內容。但是隨著信息技術審計工作的不斷開展，審計人員經(jīng)驗的豐富和技術的提高，信息技術審計應該走出以系統(tǒng)為中心的審計，向以保證組織網(wǎng)絡與信息的安全方向發(fā)展，充分發(fā)揮信息技術審計技術性、專業(yè)性特點。

　　3、在審計內容上向系統(tǒng)開發(fā)審計發(fā)展。信息系統(tǒng)之所以風險較高，是因為它不僅涉及數(shù)據(jù)的安全和保護，而且涉及計算機網(wǎng)絡的一致性和適用性問題，涉及系統(tǒng)建立和開發(fā)過程中的巨額資金流出。應用系統(tǒng)的開發(fā)不僅在開發(fā)階段要花費大量的人力、物力和財力，而且對已經(jīng)完成了的應用系統(tǒng)進行修改也將花費大量的時間和資金，相對傳統(tǒng)業(yè)務審計而言，對信息系統(tǒng)僅僅進行事后審計意義不大，所以，內審部門對系統(tǒng)開發(fā)應在項目計劃階段就要介入，對其開發(fā)情況進行全過程審計監(jiān)督。

　　對系統(tǒng)開發(fā)情況進行審計關鍵是要求內審人員“一開始就介入”。通過提前介入，內審部門對項目的概算、項目的必要性、招投標情況、建設工期執(zhí)行情況、系統(tǒng)的“可審計性”等進行監(jiān)督，保證系統(tǒng)的合理投資、合理設計開發(fā)和有效運行，及早發(fā)現(xiàn)系統(tǒng)在風險控制、質量保證和成本效益等方面存在的問題，避免走彎路，防止出現(xiàn)浪費和損失。同時，通過提前介入，也將信息系統(tǒng)的開發(fā)、購買、重大修改、委托運營、轉讓和退出使用等管理工作置于內審的有效監(jiān)督之下。

　　在西方各國，一般要求信息系統(tǒng)管理部門在進行系統(tǒng)開發(fā)、購買、轉讓、重大修改和退出使用時要通知內審部門，內審部門根據(jù)系統(tǒng)的重要性決定審計的方式，可以要求提供相關資料，也可以派人參與開發(fā)過程，對于大型系統(tǒng)一般成立由財務審計人員和信息技術審計人員共同組成的聯(lián)合工作組進行新系統(tǒng)開發(fā)審計。目前人民銀行正準備進行應用系統(tǒng)開發(fā)審計的嘗試。

　　4、在審計重點上向風險導向型審計發(fā)展。信息技術審計不同于我們以往的業(yè)務審計，以往的業(yè)務審計往往以發(fā)現(xiàn)已經(jīng)發(fā)生的損失，已經(jīng)實施的舞弊和違規(guī)為目的，屬于以損失為基礎的審計；而信息技術審計則具有一定的事前性，其目的在于發(fā)現(xiàn)潛在的風險和可能發(fā)生的損失。這種目的上的變化要求信息技術審計不可能以損失為基礎，而應該以風險為基礎，因此，信息技術審計部門必須借鑒風險評估的方法，由對系統(tǒng)運行的合規(guī)性審計逐漸轉變?yōu)轱L險導向型審計：根據(jù)系統(tǒng)風險評估結果，確定審計計劃，根據(jù)對固有風險和控制風險的測算，確定審計重點、制定審計方案。這種以風險為基礎的審計也是當前國際審計界通行的觀念和做法，也是今后我國審計的發(fā)展方向。

　　風險評估就是通過對各項業(yè)務的各個控制環(huán)節(jié)的固有風險和控制情況分別進行量化評價，再將固有風險抵扣控制情況后獲得的剩余風險按各環(huán)節(jié)的重要性程度進行加權平均，得到各項業(yè)務剩余風險，最后按剩余風險大小對各項業(yè)務進行排序。對于剩余風險高的業(yè)務優(yōu)先審計，并且增加審計頻率。對業(yè)務的風險評估工作并非一勞永逸，而是具有長期性、連續(xù)性和動態(tài)性，貫穿于整個審計工作的全過程。

　　對信息系統(tǒng)風險和控制評價的重點在于各項業(yè)務由手工操作改變?yōu)殡娮踊幚磉^程中的內部控制環(huán)節(jié)的變化和由此產(chǎn)生的風險。特別是對于業(yè)務處理電子化過程中的由于審計證據(jù)的不足和人員相互制約機制的改變所造成的風險，以及由于信息傳輸和交換范圍擴大所產(chǎn)生的網(wǎng)絡安全問題。

　?。ㄗ髡邌挝唬褐袊嗣胥y行武漢分行內審處）