商業(yè)銀行IT審計面臨的挑戰(zhàn)

□文/秦 春

（中國建設(shè)銀行河北總審計室 河北·石家莊）

商業(yè)銀行IT審計面臨的挑戰(zhàn)

□文/秦 春

（中國建設(shè)銀行河北總審計室 河北·石家莊）

隨著信息技術(shù)的興起，信息系統(tǒng)已經(jīng)滲透到商業(yè)銀行業(yè)務(wù)的各個領(lǐng)域，它在給人們帶來便利與效益的同時，也帶來了很多負(fù)面影響，如計算機犯罪案件的頻頻發(fā)生等，系統(tǒng)安全問題日益嚴(yán)峻。于是，一個不容回避的問題——商業(yè)銀行如何有效地開展信息技術(shù)審計，以保證信息系統(tǒng)安全，擺在了我們面前。

一、IT審計的定義及其特點

IT審計是指對信息系統(tǒng)從計劃、研發(fā)、實施到運行維護各個過程進行審查與評價的活動，以審查企業(yè)信息系統(tǒng)是否安全、可靠、有效，保證信息系統(tǒng)得出準(zhǔn)確可靠的數(shù)據(jù)。IT審計的目標(biāo)是保證IT系統(tǒng)的可用性、安全性、完整性和有效性，最終達到增強企業(yè)內(nèi)部控制的目的。IT審計具有以下特點：

（一）IT審計是一個過程。它通過獲取的證據(jù)判斷信息系統(tǒng)是否能保證資產(chǎn)的安全、數(shù)據(jù)的完整和組織目標(biāo)的實現(xiàn)，它貫穿于整個信息系統(tǒng)生命周期的全過程。

（二）IT審計的對象綜合且復(fù)雜。IT審計從縱向（生命周期）看，覆蓋了信息系統(tǒng)從開發(fā)、運行、維護到報廢的全生命周期的各種業(yè)務(wù)；從橫向（各階段截面）看，它包含對軟硬件的獲取審計、應(yīng)用程序?qū)徲嫛踩珜徲嫷取T審計將審計對象從財務(wù)范疇擴展到了同經(jīng)營活動有關(guān)的一切信息系統(tǒng)。

（三）IT審計拓寬了傳統(tǒng)審計的目標(biāo)。傳統(tǒng)審計目標(biāo)僅僅包括“對被審計單位會計報表的合法性、公允性及會計處理方法的一貫性發(fā)表審計意見”；但IT審計除了上述目標(biāo)外，還包括信息資產(chǎn)的安全性、數(shù)據(jù)的完整性及系統(tǒng)的可靠性、有效性和效率性。

（四）IT審計是一種基于風(fēng)險基礎(chǔ)審計的理論和方法。IT審計從基于控制的方法演變?yōu)榛陲L(fēng)險的方法，其內(nèi)涵包括企業(yè)風(fēng)險管理的整體框架，如內(nèi)部環(huán)境的控制、目標(biāo)的設(shè)定、風(fēng)險事項的識別、風(fēng)險的評估、風(fēng)險的管理與應(yīng)對、信息與溝通以及對風(fēng)險的監(jiān)控。

二、IT審計面臨的挑戰(zhàn)

IT審計和傳統(tǒng)審計相比具有的上述特點是吸引我國眾多商業(yè)銀行引入IT審計的重要原因，但是這種方法的應(yīng)用又會給商業(yè)銀行提出巨大的挑戰(zhàn)。

（一）傳統(tǒng)審計線索的消失。在手工會計環(huán)境下，審計線索主要來自于紙質(zhì)原始憑證、記賬憑證、會計賬簿和會計報表，這些書面數(shù)據(jù)之間的勾稽關(guān)系使得數(shù)據(jù)若被修改可辨識出修改的線索和痕跡，這就是傳統(tǒng)審計線索的基本特征。但是，現(xiàn)在計算機網(wǎng)絡(luò)信息系統(tǒng)中這些數(shù)據(jù)直接記錄在磁盤和光盤上，無紙質(zhì)記錄，審計人員用肉眼無法直接看到這些數(shù)據(jù)如何記錄，且非法修改刪除原始數(shù)據(jù)也可以不留篡改的痕跡，從而為舞弊人員作案留有可乘之機。

（二）計算機信息系統(tǒng)的數(shù)據(jù)安全面臨挑戰(zhàn)。手工信息處理的環(huán)境下，審計人員無須將數(shù)據(jù)和會計信息的安全性問題作為審計的重要內(nèi)容，但是在IT審計中，網(wǎng)絡(luò)電子交易數(shù)據(jù)的安全是關(guān)系到交易雙方切身利益的關(guān)鍵問題，也是商業(yè)銀行計算機網(wǎng)絡(luò)應(yīng)用中的重大障礙和審計的首要問題。例如，計算機病毒的破壞、黑客用IP地址欺騙攻擊網(wǎng)絡(luò)系統(tǒng)來獲取重要商業(yè)秘密、內(nèi)部人員的計算機舞弊、數(shù)據(jù)丟失等，都是傳統(tǒng)審計從未涉及的，但又是IT審計的重點，這對當(dāng)前我國的審計工作無論是操作系統(tǒng)，還是制度建立等眾多方面都是一個很大的挑戰(zhàn)。

（三）IT審計專業(yè)人才匱乏。適應(yīng)IT審計事業(yè)發(fā)展的人才培養(yǎng)和管理機制還有待建立和健全。由于IT審計固有的復(fù)雜性，這項工作需要具備會計、審計、組織管理和計算機、網(wǎng)絡(luò)技術(shù)等綜合知識的復(fù)合型人才，而且工作人員需要對內(nèi)部控制和審計有深刻的理解，對信息和網(wǎng)絡(luò)技術(shù)有敏銳的捕捉能力，在我國獲得注冊信息系統(tǒng)審計師資格的人數(shù)遠(yuǎn)遠(yuǎn)不能滿足信息系統(tǒng)審計業(yè)務(wù)的需求。

三、IT審計應(yīng)對策略

面對上述挑戰(zhàn)，我們應(yīng)當(dāng)勇于實踐，積極探索新形勢下如何使IT審計工作能夠滿足商業(yè)銀行發(fā)展的需求。

（一）審計線索的重建。根據(jù)計算機網(wǎng)絡(luò)系統(tǒng)容易在不同地方同時形成相同“原本”數(shù)據(jù)的特點，可以重建電子審計線索：在電子化的原始數(shù)據(jù)形成時，同時在審計機構(gòu)（包括內(nèi)審機構(gòu)）和關(guān)系緊密（簽字確認(rèn)）的部門形成原始數(shù)據(jù)的“原本”，或在不同部門各自形成相關(guān)的數(shù)據(jù)庫（特別應(yīng)當(dāng)包括數(shù)量、金額和單價等主要數(shù)據(jù)項），這樣不僅可以相互監(jiān)督和牽制，還給計算機審計提供可信的審計線索。這種保留審計線索的方法，一方面成為有力的控制手段；另一方面可從審計線索中發(fā)現(xiàn)疑點。這種方法主要是應(yīng)用專用的審計比較軟件，同時將幾個部門的同一種數(shù)據(jù)庫進行自動比較，形成有差異的數(shù)據(jù)記錄文件，詳細(xì)審查相關(guān)的數(shù)據(jù)文件和訪問有關(guān)的當(dāng)事人，從而取得有力的審計證據(jù)。上述比較審計方法是在不同部門同時形成業(yè)務(wù)數(shù)據(jù)文件的情況下應(yīng)用，如果企業(yè)業(yè)務(wù)數(shù)據(jù)分離存放，如銷售合同與銷售發(fā)票、提貨單在不同的部門保存，這種實質(zhì)性測試也可采用比較審計法，應(yīng)用專用的審計軟件，結(jié)合相關(guān)的幾個業(yè)務(wù)數(shù)據(jù)文件進行比較，查出有錯誤疑點的記錄。

（二）確保信息系統(tǒng)的信息安全。為了保證信息系統(tǒng)的信息安全，IT審計工作人員要在審計過程中評價企業(yè)的防火墻技術(shù)、網(wǎng)絡(luò)系統(tǒng)的防病毒功能、數(shù)據(jù)加密措施、身份認(rèn)證和授權(quán)的應(yīng)用實施情況，通過面談實地審查企業(yè)安全管理制度建立和執(zhí)行的情況，查看企業(yè)是否為了預(yù)防計算機病毒，對外來的軟件和傳輸?shù)臄?shù)據(jù)經(jīng)過病毒檢查，業(yè)務(wù)系統(tǒng)是否嚴(yán)禁使用游戲軟件，以及是否配置了自動檢測關(guān)鍵數(shù)據(jù)庫的軟件，使異常及時被發(fā)現(xiàn)；檢測企業(yè)是否為了防范黑客入侵，網(wǎng)絡(luò)交易的數(shù)據(jù)庫采用離散結(jié)構(gòu)，同時在不同的指定網(wǎng)點（如在交易的雙方）形成完整的業(yè)務(wù)數(shù)據(jù)備份供特殊使用（如審計和監(jiān)控）；此外，IT審計人員還要注意檢查企業(yè)的信息系統(tǒng)崗位責(zé)任實施、安全日志制度，審查有關(guān)計算機安全的國家法律和管理條例的執(zhí)行情況。

（三）建立一支完備的IT審計專業(yè)人才隊伍。IT審計的發(fā)展必須有一大批專業(yè)化的IT審計人才，這就要求我們要采取短期培訓(xùn)和長期培養(yǎng)、操作層面上的培訓(xùn)與高層次人才的培養(yǎng)、在職人員培訓(xùn)與未來人才培養(yǎng)相結(jié)合的方法將這支隊伍逐漸發(fā)展起來。此外，商業(yè)銀行可以從現(xiàn)有的審計隊伍中選拔人員進行專門的信息系統(tǒng)審計培訓(xùn)。

當(dāng)前，我國IT審計正處于起步階段，和傳統(tǒng)審計相比，IT審計的顯著特點決定了其勢在必行，但一種新的方法的引入和實施必定會給商業(yè)銀行和審計人員帶來巨大的挑戰(zhàn)，應(yīng)該抓住機遇，迎接挑戰(zhàn)，使IT審計工作不斷發(fā)展完善。