澳大利亞ＩＴ審計特點與體會

郭　強

2009年3月,筆者有幸隨審計署培訓團赴澳大利亞進行IT審計培訓,在悉尼科技大學(University of Technology,Sydney)接受了系統的IT審計培訓,其間拜會了新南威爾士州、維多利亞州等州審計署,并與ANAO審計同行相互學習、交流、探討,對澳大利亞IT審計現狀與發展、范圍與目標、程序與流程、技術與方法等有了較為深刻的體會,學習了先進IT審計理念,開闊了視野,增長了見識,拓展了思路,對今后的IT審計工作大有裨益。現就澳大利亞IT審計的特點與筆者的膚淺體會與大家共享。

一、澳大利亞IT審計的特點

澳大利亞審計署(ANAO)分為聯邦審計署和州審計署,在各自審計長的領導下,對管轄范圍內的單位進行審計。其政府審計分為財務審計和績效審計兩部分,這兩種審計中都涉及到以計算機為基礎的IT審計,所占比例達到20%至30%。ANAO的IT審計發展經歷了三個階段:第一階段是技術層面(Technical Level)的審計,如程序代碼、數據輸入輸出控制、數據備份;第二是操作層面(Operational Level)的審計,如計算機核心操作、軟件應用、物理安全與邏輯安全;第三是管理層面(Management/Governance Level)的審計,如操作結構、商業可持續性、風險管理、項目管理、服務傳輸、安全管理、資源管理、執行矩陣、信息管理等。經過多年的研究和發展,澳大利亞已形成了較為完善的國家審計體系,并長期處于世界領先地位,尤其在IT審計理論與技術領域,積累了豐富的經驗和成果,目前已進入到注重管理層面審計的階段,重在把握對IT項目經濟、效率、效果的評價和項目開發的合規、安全上,標志著澳大利亞IT審計已經非常成熟。筆者發現澳大利亞IT審計存在如下特點:

特點一:IT審計各個方面均執行相對規范的標準

ANAO開展IT審計,執行相對規范的標準,如在IT項目管理方面,執行國際通用的Gateway、Prince2(Projects In a Controlled Environment2)、PMBOK(Project Management Body of Knowledge)等標準;在IT服務傳輸與服務管理方面,執行COBIT(Control Objectives for Information and related Technology)、MOF(Microsoft Operations Framework)、ITIL(IT Infrastructure Library)等標準;在IT安全方面,執行信息安全標準ISO17799;在IT風險管理方面,則執行澳大利亞國家標準:AS/NZ4360:2005風險管理標準,等等。各類標準具體規定了審計人員在審計某一類型項目時的方法、程序步驟、工作重點,具有很強的可操作性。它既為沒有經驗的審計人員提供了一個詳實的可供參照的操作規程,又約束了審計人員的行為,減少和避免審計人員工作中的隨意性。正是由于嚴格按照各類標準開展審計,ANAO的審計尤其是IT審計的質量都得到了可靠的保證。

特點二:IT審計綜合運用各種信息技術

ANAO的審計人員在下列情況下,可應用計算機輔助審計技術:一種是在運用制度遵守性和數據真實性程序中缺少輸入文件和缺乏可見的審計蹤跡時;另一種是通過利用計算機輔助審計技術可以改進審計程序的效果和效率時。計算機輔助審計技術有多種,一是用于審計目的的審計軟件和工具,用以處理來源于單位會計制度的重要審計數據。傳統的CAAT(Computer Assisted Audit Techniques)工具有SQL(Structure Query Language,如MySQL)、Microsoft Access、Excel。其他一些風險分析與計劃管理軟件如Methodware、司法模式鑒定軟件如Netmap、證據采集與鏡像軟件如Encase等,也被因地制宜地運用到審計中去。通過各種審計軟件和工具,審計人員可以方便地對數據進行排序、求和、篩選等操作,并能生成審計人員需要的各類圖表。二是數據測試技術,用以檢驗應用程序、控制程序和信息系統的可靠性。在執行審計程序時,將數據錄入被審計單位的信息系統,跟蹤某項業務直至數據輸出,將獲得結果同預期結果相比較,以檢查訪問權控制的有效性和輸入有效性控制的執行情況。如對工資處理程序審計中,使用不同身份的人員登錄,輸入不同類型的數據測試。

特點三:IT審計圍繞風險控制

ANAO一貫秉持。風險控制的理念,每年都對其風險管理計劃的執行情況進行回顧,根據外部環境的變化,修改業務要求考慮戰略層次和操作層次等不同層次的風險,開展了以識別和處理經營風險及舞弊風險為核心的風險導向審計,建立了全面的風險管理框架,規避與防范風險。這一框架既包括對ANAO整體的風險管理計劃,也包括對每一工作領域的風險管理計劃。它陳述了所有ANAO已識別的風險,從“確定風險存在的環境”、“識別風險”、“分析風險”、“評價風險”和“處理風險”等五個環節,合理地確定風險的控制措施,將風險減少到可以接受的水平。通過評估計算機設備、電子數據、信息通訊的安全性,以評估信息系統的固有風險;通過評估系統開發控制、內部管理控制、訪問權限控制,以評估信息系統的控制風險;通過對數據輸入控制的測試、數據通訊和數據處理控制的測試和數據輸出控制的測試,以評估信息系統的檢查風險。

特點四:IT審計統籌考慮成本與收益

ANAO開展IT審計,統籌考慮成本與收益,努力在審計時間、審計費用和審計質量三者之間尋求較好的平衡點,以求IT審計如同經濟活動一樣,達到效率性(Efficiency)、效果性(Effectiveness)與經濟性(Economy)的完美結合。為此,他們對每一項IT審計工作都做出周密部署:在編制審計計劃時,確定對信息系統控制的可信賴程度;制定關于何時、何處與如何檢查信息系統功能的計劃;制定關于利用IT審計技術進行的審計程序計劃;分析IT審計技術的可行性、預期效果與效率;考慮時間因素。在實施審計時,收集與審計計劃有關的信息系統環境的資料,包括信息系統的功能情況以及計算機處理的集中或分布程度、使用的計算機硬件和軟件、數據重置情況等;注意傳統審計技術和IT審計技術相結合、IT審計人員與非IT審計人員相結合,考慮審計人員的資質與背景;考慮被審計單位在哪些重要方面應用了IT技術,其程度如何,及其對審計的影響,以確定合適而恰當的審計方法。

特點五:注重IT審計人才培養

ANAO始終把人才培養放在第一位,積極引進既有審計經驗又具備高層次IT知識技能的復合型人才,同時對審計人員有計劃、有步驟地進行IT知識后續教育,此外還在審計中積極吸收IT審計方面的專家為IT審計提供技術咨詢與服務,保證了審計項目的順利實施,也鍛煉了該國的IT審計隊伍。目前,該國已形成一支知識呈階梯狀的IT審計隊伍:首先是普通IT審計人員,他們理解操作系統、系統軟件、應用軟件和網絡環境等概念,并具備一些病毒防護、入侵偵測、授權管理等信息安全控制方面的知識;其次是IT審計管理者,他們除具備普通IT審計人員應具備的技能與知識外,還深刻理解IT審計的要點,以便于科學計劃、測試、分析、報告、跟蹤,并合理地組織項目實施;再高一層是IT審計專家,他們深刻理解信息系統底層技術,并熟悉與之有關的威脅和弱點,同時在數據庫、網絡技術等領域有較高造詣。

二、收獲和體會

澳大利亞網絡不如我國普及,但在IT審計理論與實踐方面卻是走在許多經濟發達國家的前列。經過澳大利亞之行,筆者深有收獲和體會:

(一)樹立先進的IT審計理念。通過培訓和考察,筆者發現目前我國計算機審計在技術方法層面上并不遜于澳大利亞。澳大利亞審計中使用了傳統的SQL Server、Microsoft Access、Excel,為我國審計人員所熟知并熟練使用。我國審計人員使用的集項目管理、數據采集、統計抽樣、經驗利用、報告生成于一體的AO軟件,甚至比ANAO所使用的許多軟件更為先進;我國審計人員在OLAP(多維分析技術)、數據挖掘技術等尖端技術的研究方面,也絲毫不遜于澳大利亞。澳大利亞在IT審計方面取得令人矚目的成績,支撐其取得實效的并不在于技術方法,而是審計人員的IT審計理念。我們要充分認識到:如果不搞IT審計,審計內容就不全面,我們就無法實現融入世界審計主流的目標。更重要的是,開展IT審計是對“免疫系統”理論的積極回應,是對審計署認真踐行科學發展觀的體現。

(二)建立規范的IT審計程序。無論是授課老師,還是兩州審計同行,無不強調“程序和政策”(Procedures & Policies)。面對我國IT審計指南缺失的現狀,我國審計機關應當盡快將審計程序設計與審計技術方法的運用有機結合,規范和引導審計人員運用適當的審計技術和方法,把審計技術與方法融入到規范的審計程序之中,要求并指導審計人員合理運用審計技術;同時,順應經濟全球化的發展趨勢,建立與國際審計準則接軌的中國IT審計準則,規范IT審計的工作。針對我國IT審計中存在審計人員在運用審計技術和方法缺少規范與約束的問題,建議將COBIT的IT治理思想和框架,引入審計業務支撐體系的質量控制中,科學、系統地對信息及相關技術進行管理,實現了審計戰略與IT戰略的互動,并形成持續改進的良性循環機制,這對于規范IT審計程序、提高IT審計質量具有重要的現實意義。

(三)培養大批的IT審計人才。目前,我國在IT審計方面的人才還比較匱乏,尤其是缺少國際上認可的具有相當職稱的高級人才,如CISA國際注冊信息系統審計師認證、COBIT Foundation認證、Prince2認證、ITIL Manager認證等。IT技術的發展,對中國審計師提出了更高的要求;缺少高層次的IT審計人才,將成為制約我國IT審計事業發展的瓶頸。在國際同行的業務中,傳統審計服務的比例日趨下降,風險控制服務和管理咨詢服務的比重大幅提高,這些增長的部分往往又和IT環境審計和信息系統安全審計服務密切相關。如果我們未能未雨綢繆,不及早做好人才儲備,將無法適應IT審計發展的需要。

(作者單位:審計署駐鄭州特派員辦事處)