風(fēng)險導(dǎo)向視角下IT績效審計模式研究

高博

摘要：中國人民銀行肩負(fù)著國家宏觀經(jīng)濟(jì)調(diào)控、保障金融安全與穩(wěn)定、提供金融服務(wù)等職責(zé)。近年來，隨著央行新業(yè)務(wù)的拓展、新系統(tǒng)的使用，人民銀行信息科技面臨的風(fēng)險呈現(xiàn)出多樣性和復(fù)雜性的特點(diǎn)。如何防范并有效化解各類風(fēng)險，提升信息安全管理水平，已經(jīng)成為亟待解決的重要課題。本文通過闡述基層央行信息技術(shù)審計現(xiàn)狀，風(fēng)險導(dǎo)向?qū)徲嬆Ｊ剑治龌鶎友胄虚_展信息技術(shù)審計工作存在的現(xiàn)實(shí)問題，研究對策措施，探索構(gòu)建風(fēng)險導(dǎo)向視角下的IT績效審計模式。

關(guān)鍵詞：信息技術(shù)審計；風(fēng)險導(dǎo)向；績效審計

一、信息技術(shù)審計研究現(xiàn)狀

1.信息技術(shù)審計

在人民銀行，信息技術(shù)審計的目的是通過實(shí)施信息技術(shù)審計工作，對組織是否達(dá)到信息技術(shù)管理目標(biāo)進(jìn)行綜合評價，并基于評價意見提出管理建議，協(xié)助組織信息技術(shù)管理人員有效地履行其受托責(zé)任以達(dá)成組織的信息技術(shù)管理目標(biāo)，從而提高信息系統(tǒng)運(yùn)行的效果與效率。2000年8月在貴陽召開首屆央行信息技術(shù)審計工作座談會，標(biāo)志著央行的信息技術(shù)審計工作在摸索中逐步推進(jìn)。2011年總行制定了《人民銀行內(nèi)審工作轉(zhuǎn)型2011-2013年規(guī)劃》，明確提出：“在審計方法上，逐步由手工審計手段向更多運(yùn)用計算機(jī)輔助審計手段轉(zhuǎn)變”。近年來，在內(nèi)審轉(zhuǎn)型與發(fā)展的大環(huán)境下，信息技術(shù)審計有了長足的發(fā)展。

2. 風(fēng)險導(dǎo)向?qū)徲?/p>

在人民銀行，總行于2005年出臺《中國人民銀行內(nèi)審工作制度》，將風(fēng)險管理的理念納入內(nèi)部審計準(zhǔn)則體系。2011年，內(nèi)審司成立了風(fēng)險評估攻關(guān)小組，初步構(gòu)建了風(fēng)險量化評估方法體系。在2013年內(nèi)審工作會議上，人民銀行行長助理郭慶平在講話中明確指出：風(fēng)險導(dǎo)向是內(nèi)審的邏輯起點(diǎn)，風(fēng)險引導(dǎo)審計、審計關(guān)注風(fēng)險是審計工作性質(zhì)和規(guī)律的要求。

3. 績效審計

在人民銀行，1998 年內(nèi)審部門設(shè)立之初，人民銀行總行黨委就明確提出了“由易到難，逐步提高，先抓財務(wù)資金內(nèi)審，逐步加強(qiáng)行政執(zhí)法內(nèi)審，在此基礎(chǔ)上審查運(yùn)行效率”的內(nèi)審工作總體思路。2013年內(nèi)審工作會上，總行內(nèi)審司楊立杰司長在講話中指出：“績效審計既是一種審計類型，也是一種審計理念，在離任履職審計和各類專項(xiàng)審計中，都要增強(qiáng)關(guān)注績效的意識，圍繞投入與產(chǎn)出、成本與效益、措施與效果，深入開展審計和評估分析，更好地發(fā)揮內(nèi)審的建設(shè)性作用”。

二、基層央行信息技術(shù)審計工作中存在的現(xiàn)實(shí)問題

1.內(nèi)控環(huán)境并不理想。盡管近些年央行在加強(qiáng)內(nèi)部控制方面做了積極探索和實(shí)踐，取得了一些成績，但受其傳統(tǒng)審計的思路和模式的影響，部分內(nèi)審人員對于風(fēng)險導(dǎo)向?qū)徲嫛⒖冃徲嫷认冗M(jìn)理念理解深度不夠。風(fēng)險識別、評估、應(yīng)對工作尚處探索階段，系統(tǒng)化、標(biāo)準(zhǔn)化水平并不高。

2.審計力量不足。信息技術(shù)風(fēng)險導(dǎo)向?qū)徲媽徲嬋藛T的素質(zhì)要求較高，不但需要精通審計知識，而且要熟悉信息化環(huán)境下各個層面的風(fēng)險評估和分析方法。但目前審計人員缺乏足夠的風(fēng)險管理與控制的實(shí)踐經(jīng)驗(yàn)，對風(fēng)險導(dǎo)向?qū)徲嫷倪\(yùn)用不夠，難以很好的實(shí)現(xiàn)各類風(fēng)險的科學(xué)評估。

3.審計方法需更新。風(fēng)險導(dǎo)向模式下信息技術(shù)審計的理論研究和實(shí)踐還處在摸索階段，可參考的標(biāo)準(zhǔn)數(shù)據(jù)庫尚未建立，風(fēng)險導(dǎo)向的信息技術(shù)審計標(biāo)準(zhǔn)框架還未建立。計算機(jī)輔助審計手段不足，對各業(yè)務(wù)系統(tǒng)在業(yè)務(wù)操作過程中隱形的風(fēng)險關(guān)注不多，很難在海量數(shù)據(jù)中分析出潛在的風(fēng)險。

三、探索構(gòu)建風(fēng)險導(dǎo)向視角下IT績效審計模式

風(fēng)險導(dǎo)向視角下IT績效審計是基于審計風(fēng)險模型的績效審計模式，對被審計單位在信息化管理過程中可能發(fā)生的各種風(fēng)險進(jìn)行系統(tǒng)分析，從而確定審計范圍和審計重點(diǎn)。期間，風(fēng)險的防范貫穿于整個審計過程。同時，關(guān)注信息化管理的效果。因此，將風(fēng)險導(dǎo)向?qū)徲嬇c績效審計引入基層央行信息技術(shù)審計體系，不僅具有一定的理論研究意義，對于基層央行提升風(fēng)險防范能力、風(fēng)險管理和信息化管理水平也具有十分重要的現(xiàn)實(shí)意義。

“四位一體”風(fēng)險導(dǎo)向視角下IT績效審計模式框架，是本文的重點(diǎn)創(chuàng)新內(nèi)容。通過將信息技術(shù)審計、風(fēng)險導(dǎo)向?qū)徲嫛⒖冃徲嬋N審計模式有機(jī)融為一體，探索出“風(fēng)險導(dǎo)向、關(guān)注績效、服務(wù)治理”信息技術(shù)審計新思路，為促進(jìn)健全風(fēng)險防范機(jī)制，提升信息化管理水平提供有力支撐。“四位一體”審計模式框架由四個主要環(huán)節(jié)組成，第一步：以風(fēng)險為導(dǎo)向，做好審前調(diào)查工作。首先，根據(jù)被審計單位填報的“風(fēng)險評估賦值表”（風(fēng)險描述、影響程度、損失的影響結(jié)果等）、“內(nèi)部控制有效性賦值表”（評價對象、控制因素、控制有效性描述等），利用德爾菲法，運(yùn)用風(fēng)險矩陣，通過權(quán)重加總法得出審計對象的風(fēng)險評估值，確定風(fēng)險等級，判斷重要風(fēng)險可能發(fā)生的領(lǐng)域，制定審計對象清單；其次，以“審計對象清單”為基礎(chǔ)，將信息科技管理中需要關(guān)注的風(fēng)險進(jìn)行細(xì)化，建立“風(fēng)險指標(biāo)知識庫”；最后，通過詢問、發(fā)放調(diào)查問卷等方式，進(jìn)一步明確審計重點(diǎn)，并動態(tài)調(diào)整各領(lǐng)域風(fēng)險權(quán)重及風(fēng)險級別，完成審前評估報告。第二步：根據(jù)審前評估報告，確定審計重點(diǎn)、制定審計方案、優(yōu)化配置審計資源。第三步：集中優(yōu)勢力量，重點(diǎn)關(guān)注重要風(fēng)險及績效情況，實(shí)施現(xiàn)場審計。第四步：綜合分析審計發(fā)現(xiàn)的問題，按照風(fēng)險大小和影響程度將問題進(jìn)行歸納總結(jié)，分析問題形成的原因和可能存在的風(fēng)險隱患。綜合分析報告上報行領(lǐng)導(dǎo)，為領(lǐng)導(dǎo)決策、強(qiáng)化管理提供參謀。“四位一體”的審計框架，既能從宏觀層面較準(zhǔn)確地引領(lǐng)審計方向，又能從微觀角度確定審計的重點(diǎn)，并能隨時根據(jù)實(shí)際情況做出調(diào)整，真正體現(xiàn)了“風(fēng)險引導(dǎo)審計，審計關(guān)注風(fēng)險”的理念。

1. 風(fēng)險導(dǎo)向視角下IT績效審計模式的重要意義

一是通過開展風(fēng)險導(dǎo)向?qū)徲嫞瑢徲嬛攸c(diǎn)從檢查和監(jiān)督向分析和評價方面轉(zhuǎn)變，可以增強(qiáng)對關(guān)鍵風(fēng)險點(diǎn)的判斷力，盡早發(fā)現(xiàn)風(fēng)險易發(fā)區(qū)域和環(huán)節(jié)，對其實(shí)施針對性的控制，提升管理水平，增強(qiáng)組織治理。二是引入績效評價，有助于提升信息化管理效能。使用統(tǒng)一的評價指標(biāo)和標(biāo)準(zhǔn)，運(yùn)用科學(xué)、規(guī)范的績效評價方法，對信息化系統(tǒng)績效目標(biāo)及其實(shí)現(xiàn)程度進(jìn)行綜合性評價。三是構(gòu)建“兩個知識庫”，即風(fēng)險指標(biāo)知識庫及績效指標(biāo)知識庫，為深化信息技術(shù)審計奠定基礎(chǔ)。通過重點(diǎn)對知識信息進(jìn)行科學(xué)準(zhǔn)確的描述，歸納整理出方法詳盡、操作簡單的評價檢查方法。可以解決目前信息技術(shù)專業(yè)人員缺乏、審計經(jīng)驗(yàn)不足、范圍不寬、深度不夠的現(xiàn)實(shí)困境，并為將來借助信息技術(shù)開展高效的非現(xiàn)場審計提供重要支撐。

2. “四位一體”IT績效審計新模式基本框架

（1）審前調(diào)查評估。

構(gòu)建“三步走”的審前風(fēng)險量化評估體系，實(shí)現(xiàn)風(fēng)險引導(dǎo)審計、突出審計重點(diǎn)的目標(biāo)。審前風(fēng)險量化評估體系：首先，通過綜合評估判斷重要風(fēng)險發(fā)生的領(lǐng)域，其次，通過細(xì)化重要風(fēng)險指標(biāo)，建立相應(yīng)的風(fēng)險指標(biāo)知識庫。最后，通過詢問、發(fā)放調(diào)查問卷等多種方式，進(jìn)一步明確審計重點(diǎn)，并動態(tài)調(diào)整權(quán)重及風(fēng)險級別。

第一步，首先對被審計單位信息科技管理方面的情況進(jìn)行風(fēng)險量化評估。即從“信息技術(shù)基礎(chǔ)設(shè)施管理”、“信息科技管理”、“應(yīng)用系統(tǒng)管理”三個方面評估，經(jīng)綜合分析，制定《可審計對象清單》以確定審計重點(diǎn)和審計頻率。

首先，填制“風(fēng)險評估賦值表”。“風(fēng)險評估賦值表”分“信息技術(shù)基礎(chǔ)設(shè)施管理、信息科技管理、應(yīng)用系統(tǒng)管理”三張分表，分別對上述三個方面風(fēng)險的基礎(chǔ)數(shù)據(jù)進(jìn)行了賦值（根據(jù)實(shí)際情況評價資金損失、聲譽(yù)損失、連續(xù)性損失影響結(jié)果）。利用風(fēng)險矩陣（如圖1所示），通過分析風(fēng)險影響程度及風(fēng)險發(fā)生可能性，確定風(fēng)險等級，風(fēng)險等級由低到高分為1-4級。

其次，填制“內(nèi)部控制有效性賦值表”，從審計和整改的角度（最近一次審計結(jié)果、上次審計以來內(nèi)部控制變化情況）對控制的有效性進(jìn)行評估，確定風(fēng)險級別。

第三，將“風(fēng)險評估賦值表”和“內(nèi)部控制有效性賦值表”中的相關(guān)數(shù)據(jù)通過風(fēng)險量化評估的公式（風(fēng)險級別=[（∑固有風(fēng)險權(quán)重×風(fēng)險級別+∑內(nèi)部控制有效性權(quán)重×風(fēng)險級別）÷∑A、B兩部分權(quán)重]）進(jìn)行計算，并填制“風(fēng)險評估表”，以下圖為例。

最后，對分項(xiàng)的“風(fēng)險評估表”進(jìn)行綜合分析，填制“可審計對象清單”。通過分析固有風(fēng)險和剩余風(fēng)險的大小，發(fā)現(xiàn)風(fēng)險較大的領(lǐng)域，確定審計重點(diǎn)和審計頻率。以下以“信息技術(shù)基礎(chǔ)設(shè)施管理可審計對象清單”為例。

第二步，以“審計對象清單”為基礎(chǔ)，從“信息技術(shù)基礎(chǔ)設(shè)施管理、信息科技管理、應(yīng)用系統(tǒng)管理”三大類風(fēng)險的角度，將需要特別關(guān)注的風(fēng)險進(jìn)行細(xì)化，建立“風(fēng)險指標(biāo)知識庫”。主要包括：風(fēng)險點(diǎn)的描述，統(tǒng)一的評價標(biāo)準(zhǔn)等，從而引導(dǎo)審計人員進(jìn)入現(xiàn)場時知道查什么、怎么查、如何評價等。

第三步，收集風(fēng)險信息，動態(tài)調(diào)整審計重點(diǎn)，確保審計質(zhì)量與效率。主要關(guān)注的風(fēng)險信息包括：上級及同級審計和監(jiān)管部門報告、內(nèi)部審計報告、內(nèi)部控制評價報告、突發(fā)事件處理報告、重大事故報告、人員變動及業(yè)務(wù)變化情況報告等。通過電話咨詢、郵件等方式，了解被審計單位其關(guān)注的重點(diǎn)風(fēng)險內(nèi)容。一是通過與管理層交談，了解管理層對風(fēng)險管理工作的實(shí)施情況，如突發(fā)事件應(yīng)急管理、重要崗位風(fēng)險點(diǎn)排查情況。二是了解管理層及科室負(fù)責(zé)人關(guān)注哪些重要風(fēng)險，如人員交接、重要網(wǎng)絡(luò)設(shè)備的更換、系統(tǒng)的升級維護(hù)等情況。審計組收到被審計單位答復(fù)后，再根據(jù)實(shí)際情況對審計的關(guān)鍵環(huán)節(jié)進(jìn)行微調(diào)，把握審計重點(diǎn)。

（2）根據(jù)審前綜合分析評估結(jié)果，制定審計方案、分配審計資源

充分利用綜合分析結(jié)果，制定配套的審計方案，指導(dǎo)新建軟硬件、業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、計算機(jī)機(jī)房環(huán)境及設(shè)施的升級改造等重點(diǎn)風(fēng)險控制及管理的現(xiàn)場審計。并按照風(fēng)險等級的大小，合理分配審計力量，提升審計效率。

（3）現(xiàn)場審計以風(fēng)險控制為主、注重績效評價

一是突出審計重點(diǎn)、量化風(fēng)險大小、動態(tài)調(diào)整風(fēng)險等級及權(quán)重。圍繞審前分析出的重要風(fēng)險，制定重要風(fēng)險控制指標(biāo)。依據(jù)風(fēng)險損失程度建立了風(fēng)險影響程度等級表，按照較小、中等、較大、重大影響程度，劃分為1-4級。依據(jù)風(fēng)險出現(xiàn)的頻率建立風(fēng)險發(fā)生可能性等級表，按照較小可能、可能、較大可能、基本確定，劃分為1-4級。運(yùn)用風(fēng)險矩陣，結(jié)合風(fēng)險的發(fā)生可能性及影響程度確定風(fēng)險等級，風(fēng)險等級由低到高分為1-4級。風(fēng)險量化評價總分賦值為100分。風(fēng)險等級1：比重為25%；風(fēng)險等級2：比重為50%；風(fēng)險等級3：比重為75%；風(fēng)險等級4：比重為100%；風(fēng)險分值=審前確定的權(quán)重 風(fēng)險等級所占相應(yīng)的比重。風(fēng)險值越高，表明風(fēng)險越大，關(guān)注度越高。最后，按照綜合考評得分結(jié)果評價風(fēng)險管理情況。風(fēng)險管理情況從高到低依次為優(yōu)秀（60分及以下）、良好（60-75分）、一般（75-90分）、較差（90～100分）。審后，依據(jù)審計結(jié)果，重新調(diào)整權(quán)重及風(fēng)險等級，為下一次審前分析提供重要的參考數(shù)據(jù)，有效提升審計效率。

二是關(guān)注績效評價，提升信息化管理效能。績效審計是內(nèi)審工作轉(zhuǎn)型與發(fā)展中需要重點(diǎn)攻克的課題。本文通過深入分析信息化系統(tǒng)建設(shè)、升級改造及運(yùn)用過程中的“3E”，初步構(gòu)建信息化系統(tǒng)的績效評價體系。確定了以“統(tǒng)一指導(dǎo)、分類管理、客觀公正、科學(xué)規(guī)范、社會、經(jīng)濟(jì)效益相結(jié)合”為原則，運(yùn)用科學(xué)、規(guī)范的績效評價方法，依據(jù)統(tǒng)一的評價指標(biāo)和標(biāo)準(zhǔn)，對信息化系統(tǒng)績效目標(biāo)及其實(shí)現(xiàn)程度進(jìn)行綜合性評價。首先，通過借鑒COBIT等國內(nèi)外先進(jìn)的績效指標(biāo)體系，結(jié)合基層央行實(shí)際，構(gòu)建了人力資源管理、信息化系統(tǒng)立項(xiàng)情況、采購管理、信息化系統(tǒng)建設(shè)升級改造質(zhì)量、經(jīng)濟(jì)效益、社會效益九大類績效指標(biāo)。其次，績效評價采取定性與定量相結(jié)合的方式。采用比較法、公眾評價法等績效評價方法，對指標(biāo)進(jìn)行“分級判斷”及定量評價，重點(diǎn)評價項(xiàng)目實(shí)施全過程管理效能、使用效果。評價值總分100分，每項(xiàng)績效指標(biāo)細(xì)分為四級，分為A、B、C、D四項(xiàng)，得分依次為1分、0.7分、0.35分、0分。最后，按照綜合考評得分結(jié)果確定績效級別。績效級別從高到低依次為優(yōu)秀（90～100分）、良好（75～90分）、一般（60～75分）、較差（60分以下）。被評價單位可以利用績效考評結(jié)果，進(jìn)一步總結(jié)經(jīng)驗(yàn)，關(guān)注信息化建設(shè)的資金成本控制，強(qiáng)化成果的充分運(yùn)用。

參考文獻(xiàn)：

[1] 周歡.風(fēng)險導(dǎo)向?qū)徲嬇c央行風(fēng)險管理.中國集體經(jīng)濟(jì)[J].2010，（1l）.

[2] 于丹.淺談風(fēng)險導(dǎo)向?qū)徲嬙诨鶎尤嗣胥y行內(nèi)審工作中的運(yùn)用.理論界.2010，（12）.

[3] 張金隆，于本海.面向項(xiàng)目績效評價的軟件過程改進(jìn)模型與決策支持研究[J].計算機(jī)應(yīng)用研究，2008，（6）.

[4] 時現(xiàn)，李庭燎等.全球信息系統(tǒng)審計指南[M].中國時代經(jīng)濟(jì)出版社，2010.

[5] 陳耿.信息系統(tǒng)審計.清華大學(xué)出版社，2009.06.