4月12日，中國(guó)審計(jì)署承辦的世界審計(jì)組織第六屆效益審計(jì)研討會(huì)和IT審計(jì)工作組第19次會(huì)議在北京舉辦，“IT項(xiàng)目的建設(shè)效益”是會(huì)議的一個(gè)重要議題。中華人民共和國(guó)審計(jì)署審計(jì)長(zhǎng)劉家義透露，到2012年，中國(guó)所有的審計(jì)項(xiàng)目都將開(kāi)展績(jī)效審計(jì)，為此就需要建立一個(gè)適用的、能得到業(yè)界廣泛認(rèn)同的衡量指標(biāo)體系，促進(jìn)IT項(xiàng)目績(jī)效審計(jì)的規(guī)范化。

　　隨著相關(guān)指標(biāo)體系的不斷健全，IT審計(jì)也正在從概念慢慢落到實(shí)處。

　　國(guó)家IT審計(jì)初顯成效

　　日本會(huì)計(jì)檢察院對(duì)日本的汽車業(yè)一站式服務(wù)的利用率進(jìn)行調(diào)查后發(fā)現(xiàn)，這個(gè)包括了汽車登記、稅收、保險(xiǎn)等服務(wù)在內(nèi)的一站式服務(wù)系統(tǒng)2005年底投入使用，其目標(biāo)是為購(gòu)車的用戶解決跨部門辦理手續(xù)的繁瑣。這個(gè)系統(tǒng)花費(fèi)了2900萬(wàn)美元建造，建成后3年內(nèi)的運(yùn)營(yíng)費(fèi)用大約為4200萬(wàn)美元。然而，雖然根據(jù)官方統(tǒng)計(jì)，該系統(tǒng)2007年在線利用率是54%，會(huì)計(jì)檢察院的發(fā)現(xiàn)卻是，使用率不到1%。因?yàn)榈褪褂寐剩@個(gè)系統(tǒng)的122臺(tái)客戶端的PC機(jī)和122臺(tái)打印機(jī)處于閑置。

　　會(huì)計(jì)檢察院發(fā)現(xiàn)，這與一站式服務(wù)系統(tǒng)在費(fèi)用折扣方面的刺激不明顯、汽車銷售商為用戶代辦了所有手續(xù)等現(xiàn)實(shí)因素相關(guān)。那么，這個(gè)系統(tǒng)是否有必要24小時(shí)運(yùn)營(yíng)?用戶的需求是什么?針對(duì)這些問(wèn)題，汽車業(yè)采取了擴(kuò)大宣傳、優(yōu)化硬件和運(yùn)營(yíng)時(shí)間等措施，以降低運(yùn)營(yíng)費(fèi)用。

　　類似的IT審計(jì)的例子還有很多。我國(guó)審計(jì)署也已經(jīng)將IT審計(jì)作為重要的工作，這個(gè)IT審計(jì)既包括審計(jì)署審計(jì)手段的IT化，也包括對(duì)被審計(jì)對(duì)象信息系統(tǒng)和數(shù)據(jù)的審計(jì)。

　　在IT審計(jì)的早期，審計(jì)人員關(guān)注于數(shù)據(jù)審計(jì)，而忽視了對(duì)信息系統(tǒng)的測(cè)試和審計(jì)。然而，數(shù)據(jù)是從信息系統(tǒng)中產(chǎn)生的，信息系統(tǒng)對(duì)數(shù)據(jù)的真實(shí)性、完整性以及接下來(lái)數(shù)據(jù)分析的可靠性有重要影響。同時(shí)，以IT為手段的入侵和犯罪也越來(lái)越多，信息系統(tǒng)本身的漏洞會(huì)帶來(lái)巨大損失，因此，信息系統(tǒng)本身的合法性、可靠性、安全性和有效性是首先要被審計(jì)的。

　　在一次信息系統(tǒng)審計(jì)研討會(huì)上，審計(jì)署副審計(jì)長(zhǎng)石愛(ài)中指出，“不搞信息系統(tǒng)審計(jì)，我們將來(lái)的審計(jì)風(fēng)險(xiǎn)就無(wú)法控制。紙質(zhì)賬目的時(shí)候，我們說(shuō)內(nèi)部控制要審計(jì)一下，不能假賬真審; 同樣道理，不能假電子數(shù)據(jù)真審。”

　　在信息系統(tǒng)審計(jì)過(guò)程中，審計(jì)署也發(fā)現(xiàn)了一些問(wèn)題。深圳審計(jì)辦在審計(jì)一個(gè)大學(xué)時(shí)，發(fā)現(xiàn)這個(gè)大學(xué)使用的財(cái)務(wù)軟件非常不安全，在實(shí)際操作應(yīng)用過(guò)程中，會(huì)計(jì)科科長(zhǎng)、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫(kù)管理員、系統(tǒng)管理員、記賬員等崗位由同一人擔(dān)任。同時(shí)，系統(tǒng)管理員在實(shí)施數(shù)據(jù)庫(kù)數(shù)據(jù)修改、會(huì)計(jì)人員崗位分工、權(quán)限設(shè)置等具體操作時(shí)，缺乏必要的審批和監(jiān)督程序。因?yàn)檫@個(gè)軟件是教育部推廣的，后來(lái)教育部根據(jù)審計(jì)報(bào)告采取了措施。

　　目前，審計(jì)署對(duì)IT項(xiàng)目還沒(méi)有單獨(dú)審計(jì)，一般是跟國(guó)家資金預(yù)算內(nèi)的項(xiàng)目一起做審計(jì)，比如國(guó)家各部委、中央企業(yè)等涉及國(guó)家投資的項(xiàng)目。不過(guò)，審計(jì)署計(jì)算機(jī)中心的有關(guān)負(fù)責(zé)人表示，以后可能會(huì)將信息系統(tǒng)的審計(jì)單獨(dú)拿出來(lái)，審計(jì)署也正在整理IT審計(jì)的評(píng)價(jià)指標(biāo)體系，包括系統(tǒng)使用情況、組織能力評(píng)價(jià)、產(chǎn)品生產(chǎn)系統(tǒng)、用戶滿意度、經(jīng)濟(jì)效益與社會(huì)效益評(píng)價(jià)、軟硬件的使用情況、安全性等。

　　企業(yè)IT審計(jì)面臨外在壓力

　　2010年2月初，中國(guó)民生銀行全國(guó)范圍內(nèi)存、取款等所有業(yè)務(wù)由于網(wǎng)絡(luò)故障中斷了近6個(gè)小時(shí); 此前，中國(guó)光大銀行和招商銀行等也都出現(xiàn)過(guò)類似的系統(tǒng)癱瘓事件。與信息系統(tǒng)安全一樣，這些問(wèn)題指向的都是銀行內(nèi)部風(fēng)險(xiǎn)控制和IT管理的問(wèn)題，迫切需要加強(qiáng)對(duì)IT系統(tǒng)的審計(jì)與風(fēng)險(xiǎn)管理。

　　IT審計(jì)其實(shí)是企業(yè)加強(qiáng)內(nèi)部風(fēng)險(xiǎn)控制、加強(qiáng)IT治理的一部分，最近幾年才逐漸被企業(yè)接受。當(dāng)前，企業(yè)進(jìn)行IT審計(jì)的壓力更多地來(lái)自外部監(jiān)管，而不是企業(yè)內(nèi)部的自發(fā)性需求，比如在美國(guó)上市的中國(guó)企業(yè)需要遵循薩班斯法案、中國(guó)自己也在上市公司中推行《企業(yè)內(nèi)部控制基本規(guī)范》、銀行業(yè)要遵循銀監(jiān)會(huì)2009年6月1日發(fā)布的《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《保險(xiǎn)公司信息化工作管理指引(試行)》也從今年1月1日起施行。這些監(jiān)管機(jī)構(gòu)無(wú)一例外地對(duì)信息系統(tǒng)安全和信息系統(tǒng)審計(jì)提出了要求。

　　因此，當(dāng)前企業(yè)的IT審計(jì)更多地應(yīng)用于規(guī)模較大的銀行、保險(xiǎn)等大型金融類企業(yè)以及中央企業(yè)，更多的企業(yè)并未應(yīng)用IT審計(jì)。首先應(yīng)用了IT審計(jì)的企業(yè)包括中國(guó)人民銀行、中化集團(tuán)、中國(guó)煙草總公司、中國(guó)石油化工集團(tuán)等。中國(guó)人民銀行的信息系統(tǒng)審計(jì)工作開(kāi)始于2000年，人民銀行內(nèi)審司設(shè)置了相應(yīng)的職能機(jī)構(gòu)，并先后制定了《中國(guó)人民銀行計(jì)算機(jī)信息系統(tǒng)監(jiān)督檢查工作暫行規(guī)定》、《中國(guó)人民銀行關(guān)于加強(qiáng)計(jì)算機(jī)信息系統(tǒng)內(nèi)部審計(jì)工作的指導(dǎo)意見(jiàn)》和《中國(guó)人民銀行計(jì)算機(jī)信息系統(tǒng)內(nèi)部審計(jì)規(guī)程》等制度條例。

　　審計(jì)的內(nèi)容，既包括對(duì)人民銀行的“中央銀行會(huì)計(jì)核算系統(tǒng)”、“人民銀行貨幣發(fā)行管理信息系統(tǒng)”、“金融統(tǒng)計(jì)監(jiān)測(cè)管理信息系統(tǒng)”、“銀行信貸登記咨詢系統(tǒng)”、“國(guó)家金庫(kù)會(huì)計(jì)核算系統(tǒng)”、“大額支付系統(tǒng)”等6個(gè)重要業(yè)務(wù)應(yīng)用系統(tǒng)的使用和運(yùn)行管理情況及其系統(tǒng)內(nèi)部控制功能的審計(jì)，也包括對(duì)計(jì)算機(jī)網(wǎng)絡(luò)及個(gè)人辦公計(jì)算機(jī)聯(lián)網(wǎng)運(yùn)行管理情況、計(jì)算機(jī)軟件開(kāi)發(fā)管理情況、電子化設(shè)備管理情況、計(jì)算機(jī)機(jī)房運(yùn)行管理情況、國(guó)家外匯管理局計(jì)算機(jī)網(wǎng)絡(luò)及有關(guān)業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行管理情況的審計(jì)。

　　在審計(jì)方法上，目前國(guó)內(nèi)主要還是借鑒國(guó)際先進(jìn)的IT治理框架和方法，比如COBIT(Control Objectives For Information and Related Technology)標(biāo)準(zhǔn)、ISO17799/27001、ISO13335、ISO20000、ITIL、PCAOB2號(hào)審計(jì)準(zhǔn)則、巴塞爾協(xié)議、COSO框架等。這些協(xié)議有不同的控制重點(diǎn)，COBIT的審計(jì)范圍幾乎涵蓋了所有與IT相關(guān)的活動(dòng)，COSO 則側(cè)重于企業(yè)自身內(nèi)部控制，ITIL著重IT系統(tǒng)的交付和支持等。

　　另外，隨著越來(lái)越多的企業(yè)接受IT審計(jì)的理念，IT審計(jì)的專業(yè)人才——IT審計(jì)師(也稱信息系統(tǒng)審計(jì)師)面臨較大的缺口。IT審計(jì)師是由“國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)”認(rèn)證的，既要熟悉信息系統(tǒng)的軟件、硬件、開(kāi)發(fā)、運(yùn)營(yíng)、維護(hù)、管理和安全，又要熟悉經(jīng)濟(jì)管理的核心要義，能夠利用規(guī)范和先進(jìn)的審計(jì)技術(shù)，對(duì)信息系統(tǒng)的安全性、穩(wěn)定性和有效性進(jìn)行審計(jì)、檢查、評(píng)價(jià)和改造。由于IT審計(jì)師的缺乏，國(guó)內(nèi)很多IT審計(jì)還嚴(yán)重依賴于國(guó)外四大會(huì)計(jì)師事務(wù)所。

　　鏈 接

　　什么是IT審計(jì)?

　　IT審計(jì)包括外審和內(nèi)審兩部分，外審主要是聘請(qǐng)外部審計(jì)機(jī)構(gòu)進(jìn)行，內(nèi)審則是由內(nèi)部審計(jì)部門進(jìn)行。IT審計(jì)的主要目的，是對(duì)信息系統(tǒng)的安全性、真實(shí)性、完整性、有效性進(jìn)行審計(jì)，以保證信息系統(tǒng)的可信度，促進(jìn)內(nèi)控體系的規(guī)范建設(shè)，降低信息化帶來(lái)的各類風(fēng)險(xiǎn)，比如操作軌跡不可見(jiàn)、操作流程缺失、數(shù)據(jù)非法修改、生產(chǎn)系統(tǒng)運(yùn)營(yíng)故障、信息系統(tǒng)人為欺詐等。