IT審計（Information Technology Audit）是信息技術應用于審計實務產生的新概念，人們對IT審計的理解是逐步深入的。我國國家審計中相對于IT審計的提法一般為計算機審計，自上世紀80年代以來的探索和實踐過程中，也先后出現過會計電算化審計、計算機輔助審計、計算機數據審計、信息系統審計等諸多與IT審計相關的稱謂，國外則有EDPA、CAA、ISA、ICTA等各種提法。筆者認為，結合我國國家審計的職能和特點，IT審計可以定義為利用信息技術組織開展的審計。這一提法可以較為全面、準確地定義信息技術在國家審計實務中的應用，同時也是世界審計組織（INTOSAI）及其IT審計工作組各成員國最高審計機關普遍認可和采用的提法。

 

    由于各國國家審計機關在IT審計的定位和側重等方面存在差異，其組織形式和實施模式也不盡相同。世界審計組織（INTOSAI）認為IT審計是通過獲得和評估證據，確定IT系統是否保護了組織的資產，有效率地使用資源，維持數據的安全性和一致性，以及有效地達到組織的業務目標的過程，這一定位得到了各國最高審計機關的普遍認同；國際信息系統審計與控制協會（ISACA）建立了普遍適用的信息系統審計標準、指南和流程，所發布的COBIT已經成為國際上公認最先進、最權威的信息技術控制框架；美國審計署（GAO）將信息系統審計作為IT審計的重點，在2009年2月發布的《聯邦政府信息系統控制審計手冊》中將信息系統審計的實施分為一般控制審計和應用控制審計兩個部分；英國審計署（NAO）側重于政府IT項目績效審計，在2011年2月發布的績效審計報告中對過去十年來信息技術在政府工作中發揮的作用、面臨的挑戰和發展的方向進行了系統總結。

 

    二、我國現行國家IT審計架構及缺陷

 

    隨著信息技術在社會經濟生活各個方面的廣泛運用，為適應信息化環境的變化，我國國家IT審計從上世紀80年代末開始起步，從無到有、從單機到網絡、從探索研究到逐漸普及，在多年的發展中逐步形成了一套具有本國特色的IT審計架構和工作模式。

 

    （一）現行國家IT審計架構。

 

    在法理基礎方面，審計法明確規定了審計機關有權要求被審計單位提供計算機儲存和處理的財政、財務收支電子數據以及必要的技術文檔，有權檢查被審計單位的信息系統；《國家審計準則》也根據信息技術環境下開展審計工作的特殊性作出了一些特別規定，在編制年度審計項目計劃和審計實施方案，實施審計檢查、獲取審計證據，作出審計結論、出具審計報告等環節表現出鮮明的關注信息系統、突出信息技術的特色。

 

    在組織結構方面，以審計署為例，已經形成計算機技術中心負責組織協調和指導管理全國審計系統的信息化建設的格局，各審計業務部門負責結合審計項目開展電子數據審計。計算機技術中心不僅要配合業務部門開展計算機審計業務，同時還要承擔建設、開發、推廣和維護審計信息系統，以及編制IT審計規范和組織IT培訓考試等各項工作。

 

    在工作模式方面，隨著現場審計實施系統（AO）和審計管理系統（OA）的全面應用，國家IT審計逐步邁入一個新的發展階段，初步形成了利用信息技術開展大型項目組織管理，運用審計軟件實施現場審計，積極探索聯網審計和信息系統審計，逐步推進審計數據資源建設的IT審計模式，審計信息化水平不斷提高。

 

    （二）國家IT審計中存在的問題。

 

    由于組織結構和工作模式還不能完全適應工作需求，與充分發揮審計保障國家經濟社會健康運行“免疫系統”功能的要求相比，我國國家IT審計還存在以下不足：

 

    1．審計業務與IT技術的結合不夠緊密。

 

    雖然計算機審計培訓已開展多年，計算機審計技術也已在國家審計的各個行業、領域得到推廣應用，但仍然較為普遍地存在審計業務部門過于依賴IT部門技術支持的現象，粉飾和包裝計算機審計成果的情況也屢見不鮮。在審計項目中原本應由審計業務部門主導和實施的常規計算機審計工作往往過多地需要借助IT技術人員的參與，不僅不利于各行業、領域中審計業務與計算機技術的緊密結合，而且較易形成審計業務與計算機技術“兩張皮”，阻礙了計算機審計技術在審計實務中的進一步深入應用。

 

    2． IT審計部門的職能定位不夠清晰。

 

    與部分其他國家審計機關比較，目前我國審計機關還沒有純粹意義上的IT審計部門，IT部門的職能定位較為模糊。一般來說，審計機關設立的計算機技術中心、計算機審計處、信息中心等部門同時承擔了電子數據審計、信息系統審計、日常維護和技術支持等多項職能，凡是與信息技術相關的職能均由IT部門負責，因此不僅需要承擔大量系統開發、維護和管理工作，還要投入精力開展計算機審計業務，IT業務需求與人力資源矛盾突出。同時，IT部門往往沒有真正作為審計業務部門進行管理，在獨立開展信息系統審計和IT績效審計項目方面存在障礙，處于較為尷尬的局面。

 

    3．信息系統審計和IT績效審計起步較晚。

 

    由于信息化程度的差別，美國、英國等國家廣泛開展的信息系統審計和IT績效審計在我國尚處于探索階段。一是信息系統審計還沒有成熟有效的組織方式和審計標準，同時由于掌握核心技術的IT公司為保持其壟斷地位不會輕易公開其核心技術，審計人員對商業銀行、大型國企等單位所使用信息系統難以了解透徹；二是對IT項目投資的審計還僅僅停留在資金審計的層面，IT項目績效尚未開始作為一個單獨的審計類別進入國家審計的范圍，也沒有形成系統、科學的政府IT項目績效評價指標體系。

 

    三、國家IT審計架構探析

 

    IT審計的職能來源于審計工作的實際需求。國家審計機關的法定職責是監督被審計單位財政、財務收支以及有關經濟活動的真實性、合法性、效益性，保障國家經濟和社會健康發展的工作目標。為了適應信息化環境下國家審計履行法定職責的需要，應當構建國家IT審計的體系架構。

 

    （一）國家IT審計架構需求分析。

 

    前述定義，IT審計是利用信息技術組織開展的審計。一方面，利用信息技術對以電子數據為載體的財政財務收支和相關經濟活動的真實性、合法性、效益性進行審計監督;另一方面，需要對記錄、處理和產生電子數據的信息系統內部控制進行檢查，以確保電子數據的真實、完整和可靠。于是，總體來說IT審計架構可以劃分為兩大類，即：利用信息技術對記載財政財務收支和相關經濟活動的電子數據的審計和利用信息技術對產生電子數據的信息系統內部控制的審計。

 

    從國家審計履行法定職責的角度看，可先組織信息系統審計，檢查信息系統內部控制對產生電子數據的真實、完整和可靠性的影響；再組織電子數據審計，檢查財政財務收支和相關經濟活動的真實性、合法性、效益性。通常情況下，也可交叉組織實施。

 

    1．信息系統審計。

 

    通常情況下，信息系統審計是實施電子數據審計的必要準備，屬于結合電子數據審計的信息系統審計。但對于電子政務工程建設項目、企業ERP建設項目的審計，需要對項目建設的信息系統的規劃、設計、研發、實施、運行、維護等全過程，對信息系統的應用系統、信息資源、網絡系統、安全系統、運行服務系統等各組成部分，進行全面審查。此時的信息系統審計并不結合電子數據審計，屬于獨立的信息系統審計。因此，信息系統審計可劃分為結合式和獨立式兩種方式。

 

    結合式的信息系統審計，其目標是檢查信息系統內部控制對產生電子數據的數據風險，測評信息系統對數據的真實性、完整性和正確性的影響。由于數據式審計的運用一定是在信息化環境下，如同在紙質環境下一樣，系統內部控制的合理性、健全性和有效性直接影響著數據的真實性、完整性和正確性。因此，為了控制數據風險，保障審計目標的實現，審計人員應該首先要對信息系統的內部控制進行調查、測試和評價。

 

    獨立式的信息系統審計，其目標是檢查項目建設的信息系統的安全性、可靠性和經濟性。據有關統計數據，2010年我國政府行業IT應用建設投資總規模達707.5億元，同比增長14.2%，相當于奧運全部場館建設的3.6倍，超過三峽工程15年投入的三分之一。歷年政府IT項目建設投入巨額資金后，是否存在重復建設、績效低下的情況，以及電子政務建設在提高政府行政效能和公眾服務能力方面的效果如何都亟待評估。因此，除了一般意義上對被審計單位的信息系統的安全、可靠、有效和效率等進行審計之外，對信息系統和IT項目的經濟性和投資績效也應納入獨立式信息系統審計的范疇。

 

    2．電子數據審計。

 

    電子數據審計是以系統內部控制測評為基礎，通過對電子數據的收集、轉換、整理、分析和驗證，對信息系統產生的電子數據及其他相關數據所記載的經濟業務的真實、合法和效益進行審計。審計人員利用信息技術對被審計單位的財務數據及其他相關數據進行檢查是審計機關的一項重要職責，電子數據審計的審計目標和審計范圍與傳統手工審計是基本一致的，只是審計的對象、方法和技術發生了變化，主要是審計機關和被審計單位雙方都利用計算機作為作業工具，即一方用計算機記錄財務會計核算和經營管理數據，另一方用計算機進行審計。

 

    電子數據審計作為傳統手工審計在信息化環境下的自然演化，是目前使用最多、應用最廣的IT審計形式。近年來，我國各級審計機關總結審計經驗，組織開發了以現場審計實施系統（AO）為代表的一批審計軟件，并注重在實踐中予以修改完善。審計軟件的廣泛應用，改進了審計手段，提高了審計效率，加強了審計工作在信息化環境下的適應能力。

 

    另外，作為“金審工程”重要建設成果的國家審計信息系統（GAIS）已經初具規模，隨著現場審計實施系統（AO）、審計管理系統（OA）、審計數據中心、網絡系統和安全系統等應用的不斷深化，對審計機關所屬機房、網絡、網站和信息系統等基礎設施的建設、運行與維護，以及為審計業務和審計管理工作提供技術支持提出了更高的要求。

 

    （二）建立適應國家審計需求的IT審計架構。

 

    結合我國國家IT審計的實際需求，審計機關應該具備相應的組織結構，形成有效的IT審計模式開展工作。

 

    1．開展信息系統審計的IT架構。

 

    無論是結合式還是獨立式的信息系統審計，其審計對象是信息系統本身。信息系統審計的重點是檢查信息系統對其產生數據的影響，或是信息系統自身的安全性、可靠性和經濟性。結合式的信息系統審計，需要對信息系統承載的業務流、數據流的技術設計和技術路徑，對數據的輸入、處理和輸出的內部控制和安全防護等進行檢查，以測評系統內控對數據影響的風險; 獨立式的信息系統審計，需要對信息系統的應用系統、信息資源、網絡系統、安全系統、運行服務系統等各組成部分進行檢查，以測評信息系統的安全性、可靠性和經濟性。由于信息系統審計的特殊要求，需要具有一定IT審計知識和技能的IT審計部門進行檢查測評。

 

    由于結合式的信息系統審計需要對信息系統承載的業務流、數據流進行檢查，對數據輸入、處理和輸出的業務流程進行檢查，即便獨立式的信息系統審計也要檢查項目建設的業務目標和項目投資的經濟性問題，需要審計業務部門的配合和支持。因此，信息系統審計的IT架構，需要IT審計部門和審計業務部門的共同合作。通常情況下，應該以IT審計部門為主，以審計業務部門為輔。

 

    2．開展電子數據審計的IT架構。

 

    電子數據審計的應用范圍較為廣泛，核心是通過分析被審計單位財務數據和其他相關數據并取得審計證據的技術。電子數據審計的重點應該是運用計算機技術對電子數據進行分析性復核、比較和抽樣，無論是現場審計還是遠程審計，無論是單機模式還是聯網模式，無論是簡單的比較分析還是相對復雜的數據倉庫技術，無論是國內的AO還是國際上普遍使用的ACL、IDEA審計軟件，共同點都是利用間接測試并從關系模型中得出審計證據。

 

    運用計算機技術進行審計為查錯糾弊帶來了極大便利，很容易實現對某一類數據的查詢和篩選，使手工審計條件下無法做到的詳細審查成為可能，同時財務數據和業務數據的結合更便于發現被審計單位管理和經營方面的漏洞和舞弊行為。由于審計對象、環境、方法和技術的變化，一方面需要審計業務部門在掌握和運用各類審計業務的知識、技能的同時，也要掌握和運用計算機審計的知識和技能；另一方面，復雜業務的計算機審計處理依賴于信息技術的審計組織模式和管理模式的運用，需要IT審計部門的配合和支持。因此，電子數據審計的IT架構，需要審計業務部門和IT審計部門的共同合作。通常情況下，應該以審計業務部門為主，以IT審計部門為輔。

 

    四、進一步完善國家IT審計架構的幾點建議

 

    我國國家審計信息化建設正處于發展階段，與先進國家的發展水平相比，IT審計架構還不夠完善，審計理念還不夠先進，在很多方面都需要借鑒國外的經驗。但借鑒并不是原樣照搬和全盤接受，而是應該根據自身的特點，對他國的先進經驗進行批判地吸收。著眼于國家審計作為保障國家經濟社會健康運行“免疫系統”的特殊定位，同時結合國家IT審計的現實情況和發展方向，國家IT審計架構應該根據工作需求進一步加以完善。

 

    （一）逐步實現審計模式的轉變。

 

    隨著計算機技術在審計實務中的廣泛運用，國家審計環境、對象和方法的變化導致原有的審計模式已不再適應發展的要求，國家審計正在原有的基礎上不斷完善，逐步向高效率、高質量的方向發展。未來信息化審計模式的實現在很大程度上需要依賴信息技術，其與傳統審計模式相比有如下特征：其一，它是一種以電子數據作為直接審計對象的數據式審計模式；其二，具有不間斷性、循環性和實時性，這意味著審計活動將在一個更連續、更頻繁和更及時的基礎上實施；其三，可以經濟地實現詳細測試，在信息化環境下利用技術自動執行控制測試和風險評估的方法使得進行連續性測試成為可能。在這種情況下，計算機技術勢必與傳統審計的技術和方法高度融合，以計算機技術作為支撐的審計業務處理能力大大提高，信息化環境下審計模式的轉變將是IT審計未來發展的必然趨勢。

 

    （二）逐步實現IT審計的專業化。

 

    在IT審計部門的機構設置和職能定位方面，以美國審計署為例，不僅有專門的信息技術局開展信息系統審計業務，而且還有專門的信息系統與技術服務部門保障內部信息系統的運轉，另外還設有技術工程和信息安全實驗中心負責改善信息技術和促進軟件工程現代化，評估聯邦政府計算機系統的安全性。我國國家審計也應當根據實際需求進一步調整IT部門的職能定位，結合審計機關內設機構細分電子數據審計、信息系統審計、技術支持與服務等不同的機構和職能，進而逐步實現IT審計的專業化。

 

    （三）逐步實現信息系統審計的常態化。

 

    一是成立專門的IT審計部門開展信息系統審計，由有經驗和資質的IT審計師就被審計單位信息系統進行審計和評價，并單獨出具審計報告、審計決定和審計建議，使信息系統審計逐漸成為常態。二是根據國家審計的定位和信息系統審計的特點，全面總結各級審計機關近年來信息系統審計經驗，圍繞被審計單位信息系統的安全性、可靠性和經濟性，制訂具有中國特色的信息系統審計標準和指南，系統闡述信息系統審計的審計目標、組織方式、審計步驟和技術方法，加快信息系統審計人才的培養。三是克服IT績效審計起步較晚、基礎薄弱等種種障礙，及早制訂適合我國實際情況的IT項目評價指標體系，將IT績效審計列為審計工作長期規劃中的一項重要任務。