IT審計初顯實效

2014-11-08 22:21:27 大云網　點擊量：評論 (0)

隨著信息系統深入各行各業，IT審計正在成為一個上自國家審計署，下至大型企業、金融機構、電信運營商特別關注的重要課題。　　4月12日，中國審計署承辦的世界審計組織第六屆效益審計研討會和IT審計工作組第19次會

隨著信息系統深入各行各業，IT審計正在成為一個上自國家審計署，下至大型企業、金融機構、電信運營商特別關注的重要課題。

　　4月12日，中國審計署承辦的世界審計組織第六屆效益審計研討會和IT審計工作組第19次會議在北京舉辦，“IT項目的建設效益”是會議的一個重要議題。中華人民共和國審計署審計長劉家義透露，到2012年，中國所有的審計項目都將開展績效審計，為此就需要建立一個適用的、能得到業界廣泛認同的衡量指標體系，促進IT項目績效審計的規范化。

　　隨著相關指標體系的不斷健全，IT審計也正在從概念慢慢落到實處。

　　國家IT審計初顯成效

　　日本會計檢察院對日本的汽車業一站式服務的利用率進行調查后發現，這個包括了汽車登記、稅收、保險等服務在內的一站式服務系統2005年底投入使用，其目標是為購車的用戶解決跨部門辦理手續的繁瑣。這個系統花費了2900萬美元建造，建成后3年內的運營費用大約為4200萬美元。然而，雖然根據官方統計，該系統2007年在線利用率是54%，會計檢察院的發現卻是，使用率不到1%。因為低使用率，這個系統的122臺客戶端的PC機和122臺打印機處于閑置。

　　會計檢察院發現，這與一站式服務系統在費用折扣方面的刺激不明顯、汽車銷售商為用戶代辦了所有手續等現實因素相關。那么，這個系統是否有必要24小時運營?用戶的需求是什么?針對這些問題，汽車業采取了擴大宣傳、優化硬件和運營時間等措施，以降低運營費用。

　　類似的IT審計的例子還有很多。我國審計署也已經將IT審計作為重要的工作，這個IT審計既包括審計署審計手段的IT化，也包括對被審計對象信息系統和數據的審計。

　　在IT審計的早期，審計人員關注于數據審計，而忽視了對信息系統的測試和審計。然而，數據是從信息系統中產生的，信息系統對數據的真實性、完整性以及接下來數據分析的可靠性有重要影響。同時，以IT為手段的入侵和犯罪也越來越多，信息系統本身的漏洞會帶來巨大損失，因此，信息系統本身的合法性、可靠性、安全性和有效性是首先要被審計的。

　　在一次信息系統審計研討會上，審計署副審計長石愛中指出，“不搞信息系統審計，我們將來的審計風險就無法控制。紙質賬目的時候，我們說內部控制要審計一下，不能假賬真審; 同樣道理，不能假電子數據真審。”

　　在信息系統審計過程中，審計署也發現了一些問題。深圳審計辦在審計一個大學時，發現這個大學使用的財務軟件非常不安全，在實際操作應用過程中，會計科科長、網絡管理員、數據庫管理員、系統管理員、記賬員等崗位由同一人擔任。同時，系統管理員在實施數據庫數據修改、會計人員崗位分工、權限設置等具體操作時，缺乏必要的審批和監督程序。因為這個軟件是教育部推廣的，后來教育部根據審計報告采取了措施。

　　目前，審計署對IT項目還沒有單獨審計，一般是跟國家資金預算內的項目一起做審計，比如國家各部委、中央企業等涉及國家投資的項目。不過，審計署計算機中心的有關負責人表示，以后可能會將信息系統的審計單獨拿出來，審計署也正在整理IT審計的評價指標體系，包括系統使用情況、組織能力評價、產品生產系統、用戶滿意度、經濟效益與社會效益評價、軟硬件的使用情況、安全性等。

　　企業IT審計面臨外在壓力

　　2010年2月初，中國民生銀行全國范圍內存、取款等所有業務由于網絡故障中斷了近6個小時; 此前，中國光大銀行和招商銀行等也都出現過類似的系統癱瘓事件。與信息系統安全一樣，這些問題指向的都是銀行內部風險控制和IT管理的問題，迫切需要加強對IT系統的審計與風險管理。

　　IT審計其實是企業加強內部風險控制、加強IT治理的一部分，最近幾年才逐漸被企業接受。當前，企業進行IT審計的壓力更多地來自外部監管，而不是企業內部的自發性需求，比如在美國上市的中國企業需要遵循薩班斯法案、中國自己也在上市公司中推行《企業內部控制基本規范》、銀行業要遵循銀監會2009年6月1日發布的《商業銀行信息科技風險管理指引》、《保險公司信息化工作管理指引(試行)》也從今年1月1日起施行。這些監管機構無一例外地對信息系統安全和信息系統審計提出了要求。

　　因此，當前企業的IT審計更多地應用于規模較大的銀行、保險等大型金融類企業以及中央企業，更多的企業并未應用IT審計。首先應用了IT審計的企業包括中國人民銀行、中化集團、中國煙草總公司、中國石油化工集團等。中國人民銀行的信息系統審計工作開始于2000年，人民銀行內審司設置了相應的職能機構，并先后制定了《中國人民銀行計算機信息系統監督檢查工作暫行規定》、《中國人民銀行關于加強計算機信息系統內部審計工作的指導意見》和《中國人民銀行計算機信息系統內部審計規程》等制度條例。

　　審計的內容，既包括對人民銀行的“中央銀行會計核算系統”、“人民銀行貨幣發行管理信息系統”、“金融統計監測管理信息系統”、“銀行信貸登記咨詢系統”、“國家金庫會計核算系統”、“大額支付系統”等6個重要業務應用系統的使用和運行管理情況及其系統內部控制功能的審計，也包括對計算機網絡及個人辦公計算機聯網運行管理情況、計算機軟件開發管理情況、電子化設備管理情況、計算機機房運行管理情況、國家外匯管理局計算機網絡及有關業務應用系統運行管理情況的審計。

　　在審計方法上，目前國內主要還是借鑒國際先進的IT治理框架和方法，比如COBIT(Control Objectives For Information and Related Technology)標準、ISO17799/27001、ISO13335、ISO20000、ITIL、PCAOB2號審計準則、巴塞爾協議、COSO框架等。這些協議有不同的控制重點，COBIT的審計范圍幾乎涵蓋了所有與IT相關的活動，COSO 則側重于企業自身內部控制，ITIL著重IT系統的交付和支持等。

　　另外，隨著越來越多的企業接受IT審計的理念，IT審計的專業人才——IT審計師(也稱信息系統審計師)面臨較大的缺口。IT審計師是由“國際信息系統審計與控制協會(ISACA)”認證的，既要熟悉信息系統的軟件、硬件、開發、運營、維護、管理和安全，又要熟悉經濟管理的核心要義，能夠利用規范和先進的審計技術，對信息系統的安全性、穩定性和有效性進行審計、檢查、評價和改造。由于IT審計師的缺乏，國內很多IT審計還嚴重依賴于國外四大會計師事務所。

　　鏈接

　　什么是IT審計?

　　IT審計包括外審和內審兩部分，外審主要是聘請外部審計機構進行，內審則是由內部審計部門進行。IT審計的主要目的，是對信息系統的安全性、真實性、完整性、有效性進行審計，以保證信息系統的可信度，促進內控體系的規范建設，降低信息化帶來的各類風險，比如操作軌跡不可見、操作流程缺失、數據非法修改、生產系統運營故障、信息系統人為欺詐等。