24周年

財稅實務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋果版本:8.7.50

開發(fā)者:北京正保會計科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點擊下載>

淺談人民銀行信息技術(shù)審計的發(fā)展方向

來源: 編輯: 2004/10/03 08:30:24  字體:

  一、信息技術(shù)審計的發(fā)展

  20世紀(jì)60年代隨著第二代晶體管計算機的出現(xiàn)和計算機應(yīng)用的普及,特別是會計電算化之后,金融企業(yè)開始設(shè)立電子數(shù)據(jù)處理審計及安全辦公室,出現(xiàn)了信息技術(shù)審計(IT審計)-EDP審計,當(dāng)時稱之為計算機審計,到70年代,利用計算機犯罪的案件開始出現(xiàn),在社會上引起了強烈反響,人們開始認(rèn)識到信息技術(shù)審計的必要性。進(jìn)入80年代后,發(fā)達(dá)國家大力發(fā)展信息產(chǎn)業(yè),加上計算機與通信相結(jié)合,使計算機的應(yīng)用更加普及,同時也導(dǎo)致了利用計算機犯罪的比率升高,犯罪率的急劇上升引起了有關(guān)政府的極大重視,1984年日本政府公開發(fā)表了《IT審計標(biāo)準(zhǔn)》,在全日本的軟件水平考試中增添了“IT審計師”一級的考試(在系統(tǒng)分析員考試之上的最高一級),培養(yǎng)從事信息技術(shù)審計的骨干隊伍,信息技術(shù)審計逐步走向成熟。至20世紀(jì)90年代,信息系統(tǒng)向大型化、多樣化及網(wǎng)絡(luò)化發(fā)展,信息技術(shù)審計作為信息社會的安全對策進(jìn)入普及時期。

  二、信息系統(tǒng)審計(ISA)與信息技術(shù)審計(ITA)

  信息系統(tǒng)審計(Information Systems Audit簡稱ISA)是指以某個業(yè)務(wù)應(yīng)用系統(tǒng)為中心的審計,即對計算機信息系統(tǒng)的開發(fā)建設(shè)、運行環(huán)境、使用和維護、內(nèi)部控制等情況進(jìn)行監(jiān)督、檢查,并作出評價,提出意見和建議,它包括對新系統(tǒng)的開發(fā)審計和對現(xiàn)有系統(tǒng)的審計。而信息技術(shù)審計(Information Technology Audit簡稱ITA)則是側(cè)重于對信息技術(shù)基礎(chǔ)設(shè)施的審計,主要是對技術(shù)的安全性進(jìn)行審計,重點在于網(wǎng)絡(luò)安全和通訊安全。包括對防火墻的安全和公共密鑰系統(tǒng)(PKI)的安全性的評價,以及對非法入侵進(jìn)行檢測等。在部分西方國家央行內(nèi)部審計中,信息系統(tǒng)審計和信息技術(shù)審計有嚴(yán)格的區(qū)分,分別設(shè)置信息系統(tǒng)和信息技術(shù)審計機構(gòu),我國人民銀行信息技術(shù)審計處于起步階段,一般認(rèn)為信息技術(shù)審計既包括對應(yīng)用系統(tǒng)的審計,也包括對計算機基礎(chǔ)設(shè)施的審計,二者是一個包含與被包含的關(guān)系,是可以通用的概念。

  三、人民銀行信息技術(shù)審計的發(fā)展方向

  中國人民銀行2000年開始提出信息技術(shù)審計的概念,在充分研究了美國、德國、英國、加拿大、荷蘭、日本等國中央銀行信息技術(shù)審計的基礎(chǔ)上,2000年8月在貴陽首次召開了人民銀行信息技術(shù)審計工作座談會,以此次會議為標(biāo)志,人民銀行正式將信息系統(tǒng)安全納入內(nèi)部審計范疇,并相繼開展了一系列信息系統(tǒng)專項審計。經(jīng)過幾年的探索,人民銀行對信息技術(shù)審計有了明確的定位,信息技術(shù)審計逐步走向正規(guī)化、日常化。從這幾年的實踐來看,人民銀行信息技術(shù)審計雖然引起了各級領(lǐng)導(dǎo)的高度重視,但受人員素質(zhì)等各種因素的制約,信息技術(shù)審計層次較低,基本上側(cè)重于規(guī)章制度的執(zhí)行和基礎(chǔ)設(shè)施的安全,離信息技術(shù)審計的定義相差較遠(yuǎn),筆者認(rèn)為人民銀行信息技術(shù)審計應(yīng)向以下幾個方向發(fā)展:

  1、在審計策略上向參與式審計發(fā)展。西方現(xiàn)代內(nèi)部審計理念的核心是,內(nèi)審人員不僅要善于發(fā)現(xiàn)問題,而且更要善于解決問題,并要將所提建議當(dāng)作本部門的服務(wù)產(chǎn)品向管理當(dāng)局積極推銷,以大大提高審計的效果。而現(xiàn)代內(nèi)部審計方式的精髓則是參與式審計,即在整個審計過程中與被審人員維持良好的關(guān)系,共同分析問題的實際情況及潛在影響,一起探討改進(jìn)的可行性和應(yīng)采取的措施,從而加強內(nèi)部控制、改善經(jīng)營管理,防范和化解潛在的風(fēng)險。

  信息技術(shù)審計不僅僅是傳統(tǒng)審計業(yè)務(wù)的簡單擴展,它是在傳統(tǒng)審計理論、信息系統(tǒng)管理理論、行為科學(xué)理論和計算機科學(xué)四個理論基礎(chǔ)上形成的一門邊緣性學(xué)科,完全依靠自身的力量完成所有審計工作是不現(xiàn)實的,也是不符合成本效益原則的。目前西方國家信息技術(shù)審計普遍采用的做法是從外部咨詢機構(gòu)聘請信息技術(shù)專家、安全專家以及各種具體應(yīng)用系統(tǒng)的專家參與審計。

  參與式審計主要體現(xiàn)在以下幾個方面:(1)在審計開始時,就對被審部門抱著信任態(tài)度,與他們討論審計目標(biāo)、審計內(nèi)容、計劃采取某些審計程序和方法的理由,以取得他們的理解和支持;(2)征求被審部門的意見,尋求他們的合作;(3)及時與當(dāng)事人討論審計中發(fā)現(xiàn)的問題,共同分析改進(jìn)的必要性,并探討改進(jìn)的可行措施;(4)向被審部門報告期中審計結(jié)果,其中審計報告可以是口頭的,非正式的,以便及時就地解決和改正存在的問題,避免發(fā)生更大的損失;(5)提出最終審計報告時,采用建設(shè)性的語調(diào),重點放在問題產(chǎn)生的原因和可能造成的影響、改進(jìn)的可能性和改進(jìn)措施上,被審部門已經(jīng)采取的改進(jìn)行動也可以包括在審計報告中,以反映他們對審計工作的積極態(tài)度。

  參與式審計的基礎(chǔ)是信任被審部門,而我國人民銀行內(nèi)審脫胎于原稽核部門,沿襲了傳統(tǒng)審計的思路和模式,在審計中持著懷疑一切的態(tài)度,將自己放在了被審單位的對立面,這樣既不便于內(nèi)審工作的開展,也影響了審計的質(zhì)量和效果。

  2、在審計對象上向網(wǎng)絡(luò)安全審計發(fā)展。隨著計算機網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,在人總行科技司的統(tǒng)一部署下,人民銀行系統(tǒng)計算機網(wǎng)絡(luò)經(jīng)過近10年的建設(shè)已初具規(guī)模,形成了以內(nèi)聯(lián)網(wǎng)為核心,縱向覆蓋至縣支行,橫向與各金融機構(gòu)、財政、稅務(wù)及海關(guān)、外匯交易中心等單位相聯(lián)的大型網(wǎng)絡(luò)。目前在人民銀行系統(tǒng)內(nèi)同時存在內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)和國際互聯(lián)網(wǎng)三套網(wǎng)絡(luò)系統(tǒng),計算機網(wǎng)絡(luò)成為人民銀行業(yè)務(wù)系統(tǒng)運行、信息傳輸?shù)闹匾脚_和紐帶,其運行狀況直接關(guān)系到資金安全和政務(wù)信息的安全。網(wǎng)絡(luò)在加快信息傳播、加大資源共享、提高辦公效率的同時也成為了人民銀行系統(tǒng)內(nèi)最大的潛在風(fēng)險點。

  目前人民銀行系統(tǒng)正在運行的計算機應(yīng)用系統(tǒng)共有二十多個,涉及支付結(jié)算,金融服務(wù)以及辦公自動化等各個方面,在這種情況下,處于起步階段的信息技術(shù)審計以各個業(yè)務(wù)應(yīng)用系統(tǒng)為中心有其合理性:一是審計人員對各業(yè)務(wù)系統(tǒng)缺乏了解,對各系統(tǒng)還需要一個熟悉的過程,以系統(tǒng)為中心的審計有助于審計人員全面系統(tǒng)地了解業(yè)務(wù)系統(tǒng)的情況;二是計算機專業(yè)人員的缺乏,使以安全性為中心目標(biāo)的信息技術(shù)審計難以有效開展;三是目前對計算機業(yè)務(wù)應(yīng)用系統(tǒng)的監(jiān)督檢查環(huán)節(jié)還很薄弱,對于保證控制的各項制度措施不能很好地貫徹執(zhí)行,合規(guī)性審計在一定時期內(nèi)將是信息技術(shù)審計的主要內(nèi)容。但是隨著信息技術(shù)審計工作的不斷開展,審計人員經(jīng)驗的豐富和技術(shù)的提高,信息技術(shù)審計應(yīng)該走出以系統(tǒng)為中心的審計,向以保證組織網(wǎng)絡(luò)與信息的安全方向發(fā)展,充分發(fā)揮信息技術(shù)審計技術(shù)性、專業(yè)性特點。

  3、在審計內(nèi)容上向系統(tǒng)開發(fā)審計發(fā)展。信息系統(tǒng)之所以風(fēng)險較高,是因為它不僅涉及數(shù)據(jù)的安全和保護,而且涉及計算機網(wǎng)絡(luò)的一致性和適用性問題,涉及系統(tǒng)建立和開發(fā)過程中的巨額資金流出。應(yīng)用系統(tǒng)的開發(fā)不僅在開發(fā)階段要花費大量的人力、物力和財力,而且對已經(jīng)完成了的應(yīng)用系統(tǒng)進(jìn)行修改也將花費大量的時間和資金,相對傳統(tǒng)業(yè)務(wù)審計而言,對信息系統(tǒng)僅僅進(jìn)行事后審計意義不大,所以,內(nèi)審部門對系統(tǒng)開發(fā)應(yīng)在項目計劃階段就要介入,對其開發(fā)情況進(jìn)行全過程審計監(jiān)督。

  對系統(tǒng)開發(fā)情況進(jìn)行審計關(guān)鍵是要求內(nèi)審人員“一開始就介入”。通過提前介入,內(nèi)審部門對項目的概算、項目的必要性、招投標(biāo)情況、建設(shè)工期執(zhí)行情況、系統(tǒng)的“可審計性”等進(jìn)行監(jiān)督,保證系統(tǒng)的合理投資、合理設(shè)計開發(fā)和有效運行,及早發(fā)現(xiàn)系統(tǒng)在風(fēng)險控制、質(zhì)量保證和成本效益等方面存在的問題,避免走彎路,防止出現(xiàn)浪費和損失。同時,通過提前介入,也將信息系統(tǒng)的開發(fā)、購買、重大修改、委托運營、轉(zhuǎn)讓和退出使用等管理工作置于內(nèi)審的有效監(jiān)督之下。

  在西方各國,一般要求信息系統(tǒng)管理部門在進(jìn)行系統(tǒng)開發(fā)、購買、轉(zhuǎn)讓、重大修改和退出使用時要通知內(nèi)審部門,內(nèi)審部門根據(jù)系統(tǒng)的重要性決定審計的方式,可以要求提供相關(guān)資料,也可以派人參與開發(fā)過程,對于大型系統(tǒng)一般成立由財務(wù)審計人員和信息技術(shù)審計人員共同組成的聯(lián)合工作組進(jìn)行新系統(tǒng)開發(fā)審計。目前人民銀行正準(zhǔn)備進(jìn)行應(yīng)用系統(tǒng)開發(fā)審計的嘗試。

  4、在審計重點上向風(fēng)險導(dǎo)向型審計發(fā)展。信息技術(shù)審計不同于我們以往的業(yè)務(wù)審計,以往的業(yè)務(wù)審計往往以發(fā)現(xiàn)已經(jīng)發(fā)生的損失,已經(jīng)實施的舞弊和違規(guī)為目的,屬于以損失為基礎(chǔ)的審計;而信息技術(shù)審計則具有一定的事前性,其目的在于發(fā)現(xiàn)潛在的風(fēng)險和可能發(fā)生的損失。這種目的上的變化要求信息技術(shù)審計不可能以損失為基礎(chǔ),而應(yīng)該以風(fēng)險為基礎(chǔ),因此,信息技術(shù)審計部門必須借鑒風(fēng)險評估的方法,由對系統(tǒng)運行的合規(guī)性審計逐漸轉(zhuǎn)變?yōu)轱L(fēng)險導(dǎo)向型審計:根據(jù)系統(tǒng)風(fēng)險評估結(jié)果,確定審計計劃,根據(jù)對固有風(fēng)險和控制風(fēng)險的測算,確定審計重點、制定審計方案。這種以風(fēng)險為基礎(chǔ)的審計也是當(dāng)前國際審計界通行的觀念和做法,也是今后我國審計的發(fā)展方向。

  風(fēng)險評估就是通過對各項業(yè)務(wù)的各個控制環(huán)節(jié)的固有風(fēng)險和控制情況分別進(jìn)行量化評價,再將固有風(fēng)險抵扣控制情況后獲得的剩余風(fēng)險按各環(huán)節(jié)的重要性程度進(jìn)行加權(quán)平均,得到各項業(yè)務(wù)剩余風(fēng)險,最后按剩余風(fēng)險大小對各項業(yè)務(wù)進(jìn)行排序。對于剩余風(fēng)險高的業(yè)務(wù)優(yōu)先審計,并且增加審計頻率。對業(yè)務(wù)的風(fēng)險評估工作并非一勞永逸,而是具有長期性、連續(xù)性和動態(tài)性,貫穿于整個審計工作的全過程。

  對信息系統(tǒng)風(fēng)險和控制評價的重點在于各項業(yè)務(wù)由手工操作改變?yōu)殡娮踊幚磉^程中的內(nèi)部控制環(huán)節(jié)的變化和由此產(chǎn)生的風(fēng)險。特別是對于業(yè)務(wù)處理電子化過程中的由于審計證據(jù)的不足和人員相互制約機制的改變所造成的風(fēng)險,以及由于信息傳輸和交換范圍擴大所產(chǎn)生的網(wǎng)絡(luò)安全問題。

  (作者單位:中國人民銀行武漢分行內(nèi)審處)

實務(wù)學(xué)習(xí)指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - jnjuyue.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號