加強金融ＩＴ審計的思考

近年來，我國金融審計界通過創新審計方法、加大審計力度，在提高審計質量、擴大審計成果方面成效顯著。隨著高科技的發展，各家金融機構加大了IT建設的投資，電子化、數字化、網絡化等信息技術得到了迅速的推廣。網上銀行、移動銀行、電子商務等，已成為各家銀行追逐的利潤增長點。然而信息技術在為銀行拓展新的業務提供驅動力的同時，也給銀行帶來了巨大風險。如何管好信息與信息資源，如何利用信息技術，保證銀行在金融市場中的競爭優勢，是擺在銀行高級管理人員面前的一個課題。而金融IT審計，正是加強銀行IT治理、控制的有力手段。因此，加強金融IT審計，勢必成為今后金融界審計工作的重點、難點。

一、加強金融IT審計的重要性、緊迫性

隨著信息技術的快速發展，我國的金融信息化已經走過了“金融電子化”，正向“金融信息化”深層次邁進。在數據大集中之后，各家金融機構通過數據倉庫、數據挖掘（DM）等日漸成熟的技術，加強客戶和市場分析，努力構建以金融信息化和信息網絡化為基礎的先進網絡化金融機構。但信息技術在物理上、操作上和管理上存在的漏洞，構成了IT系統安全的脆弱性，給銀行帶來了一系列新的不安全因素，計算機犯罪和舞弊、會計信息的失真，都將給銀行的的資金、信譽造成重大的損失。因此，如何確保ＩＴ戰略目標與銀行總體發展目標的一致性，最大限度地規避戰略風險、投資風險和運行風險，保證銀行的可持續發展，是銀行面臨的必須優先解決的難題。

當前，風險管理是銀行經營活動的主旋律。在銀行界越來越依賴于信息技術的情況下，加強金融IT治理審計將成為銀行化解風險、獲得可持續發展的重要保證。首先，伴隨著我國商業銀行信息化建設的不斷深入和飛速發展，信息已經成為商業銀行可持續發展的重要基礎性資源。信息技術已不再是單純的業務實現手段和支持方式，而逐漸成為商業銀行戰略規劃、投資決策所必須考慮的重要因素之一。其次，信息技術本身具有不可抗拒的風險。主要是由于機器設備的自然損耗、制造缺陷和不可預測的自然環境因素。第三，由于技術發展的局限和人類的能力限制，在設計之時人們的失誤在所難免。第四，雖然各金融機構都有自己的信息安全部門，他們是信息安全的建設者、維護者，對信息安全有著豐富的現場經驗與專業經驗，但在他們身兼運動員和裁判員雙重身份的同時，已不足以向最高管理層保證信息安全的有效性。同時，IT作為一種工具并不萬能，其必須通過有效的應用才能體現價值。要想讓IT得到有效的應用，并讓信息系統績效最優，最根本是管理。所以，加強對金融IT策略、安全、效益的審查與評估，為管理層戰略規劃、投資決策、化解風險提供重要依據，就顯得尤為迫切和重要。

二、依托IT技術平臺，加快在金融審計領域的變革

由于信息技術的發展與運用，傳統的審計對象賬務、管理數據的生成、存儲和傳遞的模式發生了根本性的轉變，傳統的紙質賬簿和文字記錄日漸被磁性介質取代，審計人員越來越難以得到傳統的有形的審計線索，傳統的以查賬為主要手段的審計遇到了來自IT技術的挑戰，客觀上要求金融部門進行一場深刻的審計領域的革新，對審計人員、審計方式、審計內容等方面，及時做出相應的調整，以“四要”建設為核心，突破IT技術審計這一重點和難點。

要在思想認識上突破。要提高認識，轉變觀念，正確認識計算機審計的重要性。必須充分認識到隨著信息技術的應用在銀行界的不斷推廣，傳統的審計方式已不適應信息時代的要求，以計算機技術作審計手段是時代發展的必然選擇。審計人員不掌握計算機知識和技能，將面臨進不了門、打不開賬的危險，將處于“失去審計資格”的尷尬境地。只有利用計算機知識，學習和掌握被審計單位計算機系統的設計思想，梳理其主要的核算流程，經過艱苦而細致的研究與實踐，才能準確地、相對完整地剖析各種由IT技術支持的業務系統與核算系統，綜合評定應用核算數據和業務數據，然后選定必要的、適宜的審計程序和方法，進行分析與審核。

要在審計方式、方法上創新。依托信息技術平臺，積極開展計算機審計。首先，在審計方式上，由于金融領域信息技術的廣范應用及數據倉庫的建立，為開展計算機輔助審計提供了技術平臺和數據源。通過計算機審計軟件或在應用系統中的預置、嵌入審計程序，實現數據的直接獲取、賬簿憑證瀏覽查詢、異常項目篩選、日常會計資料及財務指標趨勢分析、變動分析、抽樣列表等多種審計事務；實現審計事項的事前、事中、事后的全過程審計，并進而實現審計系統信息資源共享，促進審計項目的規范化，提高審計工作效率和質量，降低審計風險。其次，在審計方法上，對IT系統的審計可通過詢問、觀察、審閱系統文檔、審查系統日志、系統配置文件有關參數、設置電子文檔等來評價計算機數據處理系統的基礎情況、各種性能和技術指標、潛在的風險和控制措施；及內部控制執行情況，以確定對系統的依賴程度，進而確定詳細測試中審計資源分配的策略。

同時，對計算機審計軟件的開發實現市場化外包。因為，審計軟件的外包符合社會發展的歷史潮流，是社會分工和科技水平進一步發展的必然選擇；利用市場的整合力，集中一批既懂財務、統計、審計業務，又熟悉計算機應用技術有經驗的專業人員，組建開發和營銷審計軟件的專業公司，專門從事審計軟件的開發和營銷，不僅會促進審計軟件水平的不斷提高，進而推動計算機審計工作的迅猛發展。所以，開展計算機輔助審計，實現計算機軟件的外包，是推動我國審計信息化的有效途徑，同時也是形勢發展的客觀要求。

要在IT審計的內容上求實、求全。一方面，銀行IT審計的范圍應該覆蓋了銀行所有系統的應用領域，以及信息系統整個生命周期中的所有活動和所有資源。其主要內容包括：銀行IT戰略規劃審計、銀行信息系統需求獲取和開發過程審計、系統交付后技術支持和運行維護審計、對整個系統生命周期中相關管理活動的審計、對相關過程中文檔管理的審計、對相關人員的審計、對災難恢復和業務持續性計劃的審計等內容。另一方面，加強IT策略和績效審查與評估。審查銀行管理者的IT投資策略，是否是由業務需求的驅動，而不是由信息技術的推進，是否造成IT投資泡沫；審查IT作為一種工具，在實際工作中是否得到有效的應用，價值是否得到體現，績效是否優化。從而為確保IT戰略目標、有效管理與銀行總體發展目標的一致性服務。

要加快復合型審計隊伍的建立。隨著信息技術的迅猛發展，銀行信息化程度越來越高，已經進入“無賬本”環境。目前，我國金融界審計隊伍中，主要由財經類專業人員構成，嚴重缺乏既掌握現代審計理論與技術又精通計算機知識與技能的新型復合型人才。由于財經類專業人員缺少計算機審計所要求計算機的知識與技能，已成為制約金融IT審計的“瓶頸”。迅速補充計算機、信息工程等方面的專業人才，并實現與財經類專業人員的資源整合，充分實現資源優勢互補，是有效開展金融IT治理審計前提。

從長遠目標來看，要鍛造出一支披堅執銳、無往不勝的數字化金融審計隊伍，離不開以下三個環節：第一，要著力培養一支精通計算機系統審計和電子數據審計的專家隊伍；第二，形成一支審計業務嫻熟、又掌握信息技術、能獨立開展計算機審計工作的復合型審計骨干力量；第三，培養廣大審計人員掌握計算機知識，在審計工作中能熟練地運用計算機技術，以提升審計工作質量和水平。

（作者單位：中國人民

銀行崇仁縣支行）