4月12日，中國審計署承辦的世界審計組織第六屆效益審計研討會和IT審計工作組第19次會議在北京舉辦，“IT項目的建設(shè)效益”是會議的一個重要議題。中華人民共和國審計署審計長劉家義透露，到2012年，中國所有的審計項目都將開展績效審計，為此就需要建立一個適用的、能得到業(yè)界廣泛認(rèn)同的衡量指標(biāo)體系，促進(jìn)IT項目績效審計的規(guī)范化。

　　隨著相關(guān)指標(biāo)體系的不斷健全，IT審計也正在從概念慢慢落到實處。

　　國家IT審計初顯成效

　　日本會計檢察院對日本的汽車業(yè)一站式服務(wù)的利用率進(jìn)行調(diào)查后發(fā)現(xiàn)，這個包括了汽車登記、稅收、保險等服務(wù)在內(nèi)的一站式服務(wù)系統(tǒng)2005年底投入使用，其目標(biāo)是為購車的用戶解決跨部門辦理手續(xù)的繁瑣。這個系統(tǒng)花費了2900萬美元建造，建成后3年內(nèi)的運營費用大約為4200萬美元。然而，雖然根據(jù)官方統(tǒng)計，該系統(tǒng)2007年在線利用率是54%，會計檢察院的發(fā)現(xiàn)卻是，使用率不到1%。因為低使用率，這個系統(tǒng)的122臺客戶端的PC機(jī)和122臺打印機(jī)處于閑置。

　　會計檢察院發(fā)現(xiàn)，這與一站式服務(wù)系統(tǒng)在費用折扣方面的刺激不明顯、汽車銷售商為用戶代辦了所有手續(xù)等現(xiàn)實因素相關(guān)。那么，這個系統(tǒng)是否有必要24小時運營?用戶的需求是什么?針對這些問題，汽車業(yè)采取了擴(kuò)大宣傳、優(yōu)化硬件和運營時間等措施，以降低運營費用。

　　類似的IT審計的例子還有很多。我國審計署也已經(jīng)將IT審計作為重要的工作，這個IT審計既包括審計署審計手段的IT化，也包括對被審計對象信息系統(tǒng)和數(shù)據(jù)的審計。

　　在IT審計的早期，審計人員關(guān)注于數(shù)據(jù)審計，而忽視了對信息系統(tǒng)的測試和審計。然而，數(shù)據(jù)是從信息系統(tǒng)中產(chǎn)生的，信息系統(tǒng)對數(shù)據(jù)的真實性、完整性以及接下來數(shù)據(jù)分析的可靠性有重要影響。同時，以IT為手段的入侵和犯罪也越來越多，信息系統(tǒng)本身的漏洞會帶來巨大損失，因此，信息系統(tǒng)本身的合法性、可靠性、安全性和有效性是首先要被審計的。

　　在一次信息系統(tǒng)審計研討會上，審計署副審計長石愛中指出，“不搞信息系統(tǒng)審計，我們將來的審計風(fēng)險就無法控制。紙質(zhì)賬目的時候，我們說內(nèi)部控制要審計一下，不能假賬真審; 同樣道理，不能假電子數(shù)據(jù)真審。”

　　在信息系統(tǒng)審計過程中，審計署也發(fā)現(xiàn)了一些問題。深圳審計辦在審計一個大學(xué)時，發(fā)現(xiàn)這個大學(xué)使用的財務(wù)軟件非常不安全，在實際操作應(yīng)用過程中，會計科科長、網(wǎng)絡(luò)管理員、數(shù)據(jù)庫管理員、系統(tǒng)管理員、記賬員等崗位由同一人擔(dān)任。同時，系統(tǒng)管理員在實施數(shù)據(jù)庫數(shù)據(jù)修改、會計人員崗位分工、權(quán)限設(shè)置等具體操作時，缺乏必要的審批和監(jiān)督程序。因為這個軟件是教育部推廣的，后來教育部根據(jù)審計報告采取了措施。

　　目前，審計署對IT項目還沒有單獨審計，一般是跟國家資金預(yù)算內(nèi)的項目一起做審計，比如國家各部委、中央企業(yè)等涉及國家投資的項目。不過，審計署計算機(jī)中心的有關(guān)負(fù)責(zé)人表示，以后可能會將信息系統(tǒng)的審計單獨拿出來，審計署也正在整理IT審計的評價指標(biāo)體系，包括系統(tǒng)使用情況、組織能力評價、產(chǎn)品生產(chǎn)系統(tǒng)、用戶滿意度、經(jīng)濟(jì)效益與社會效益評價、軟硬件的使用情況、安全性等。

　　企業(yè)IT審計面臨外在壓力

　　2010年2月初，中國民生銀行全國范圍內(nèi)存、取款等所有業(yè)務(wù)由于網(wǎng)絡(luò)故障中斷了近6個小時; 此前，中國光大銀行和招商銀行等也都出現(xiàn)過類似的系統(tǒng)癱瘓事件。與信息系統(tǒng)安全一樣，這些問題指向的都是銀行內(nèi)部風(fēng)險控制和IT管理的問題，迫切需要加強(qiáng)對IT系統(tǒng)的審計與風(fēng)險管理。

　　IT審計其實是企業(yè)加強(qiáng)內(nèi)部風(fēng)險控制、加強(qiáng)IT治理的一部分，最近幾年才逐漸被企業(yè)接受。當(dāng)前，企業(yè)進(jìn)行IT審計的壓力更多地來自外部監(jiān)管，而不是企業(yè)內(nèi)部的自發(fā)性需求，比如在美國上市的中國企業(yè)需要遵循薩班斯法案、中國自己也在上市公司中推行《企業(yè)內(nèi)部控制基本規(guī)范》、銀行業(yè)要遵循銀監(jiān)會2009年6月1日發(fā)布的《商業(yè)銀行信息科技風(fēng)險管理指引》、《保險公司信息化工作管理指引(試行)》也從今年1月1日起施行。這些監(jiān)管機(jī)構(gòu)無一例外地對信息系統(tǒng)安全和信息系統(tǒng)審計提出了要求。

　　因此，當(dāng)前企業(yè)的IT審計更多地應(yīng)用于規(guī)模較大的銀行、保險等大型金融類企業(yè)以及中央企業(yè)，更多的企業(yè)并未應(yīng)用IT審計。首先應(yīng)用了IT審計的企業(yè)包括中國人民銀行、中化集團(tuán)、中國煙草總公司、中國石油化工集團(tuán)等。中國人民銀行的信息系統(tǒng)審計工作開始于2000年，人民銀行內(nèi)審司設(shè)置了相應(yīng)的職能機(jī)構(gòu)，并先后制定了《中國人民銀行計算機(jī)信息系統(tǒng)監(jiān)督檢查工作暫行規(guī)定》、《中國人民銀行關(guān)于加強(qiáng)計算機(jī)信息系統(tǒng)內(nèi)部審計工作的指導(dǎo)意見》和《中國人民銀行計算機(jī)信息系統(tǒng)內(nèi)部審計規(guī)程》等制度條例。

　　審計的內(nèi)容，既包括對人民銀行的“中央銀行會計核算系統(tǒng)”、“人民銀行貨幣發(fā)行管理信息系統(tǒng)”、“金融統(tǒng)計監(jiān)測管理信息系統(tǒng)”、“銀行信貸登記咨詢系統(tǒng)”、“國家金庫會計核算系統(tǒng)”、“大額支付系統(tǒng)”等6個重要業(yè)務(wù)應(yīng)用系統(tǒng)的使用和運行管理情況及其系統(tǒng)內(nèi)部控制功能的審計，也包括對計算機(jī)網(wǎng)絡(luò)及個人辦公計算機(jī)聯(lián)網(wǎng)運行管理情況、計算機(jī)軟件開發(fā)管理情況、電子化設(shè)備管理情況、計算機(jī)機(jī)房運行管理情況、國家外匯管理局計算機(jī)網(wǎng)絡(luò)及有關(guān)業(yè)務(wù)應(yīng)用系統(tǒng)運行管理情況的審計。

　　在審計方法上，目前國內(nèi)主要還是借鑒國際先進(jìn)的IT治理框架和方法，比如COBIT(Control Objectives For Information and Related Technology)標(biāo)準(zhǔn)、ISO17799/27001、ISO13335、ISO20000、ITIL、PCAOB2號審計準(zhǔn)則、巴塞爾協(xié)議、COSO框架等。這些協(xié)議有不同的控制重點，COBIT的審計范圍幾乎涵蓋了所有與IT相關(guān)的活動，COSO 則側(cè)重于企業(yè)自身內(nèi)部控制，ITIL著重IT系統(tǒng)的交付和支持等。

　　另外，隨著越來越多的企業(yè)接受IT審計的理念，IT審計的專業(yè)人才——IT審計師(也稱信息系統(tǒng)審計師)面臨較大的缺口。IT審計師是由“國際信息系統(tǒng)審計與控制協(xié)會(ISACA)”認(rèn)證的，既要熟悉信息系統(tǒng)的軟件、硬件、開發(fā)、運營、維護(hù)、管理和安全，又要熟悉經(jīng)濟(jì)管理的核心要義，能夠利用規(guī)范和先進(jìn)的審計技術(shù)，對信息系統(tǒng)的安全性、穩(wěn)定性和有效性進(jìn)行審計、檢查、評價和改造。由于IT審計師的缺乏，國內(nèi)很多IT審計還嚴(yán)重依賴于國外四大會計師事務(wù)所。

　　鏈 接

　　什么是IT審計?

　　IT審計包括外審和內(nèi)審兩部分，外審主要是聘請外部審計機(jī)構(gòu)進(jìn)行，內(nèi)審則是由內(nèi)部審計部門進(jìn)行。IT審計的主要目的，是對信息系統(tǒng)的安全性、真實性、完整性、有效性進(jìn)行審計，以保證信息系統(tǒng)的可信度，促進(jìn)內(nèi)控體系的規(guī)范建設(shè)，降低信息化帶來的各類風(fēng)險，比如操作軌跡不可見、操作流程缺失、數(shù)據(jù)非法修改、生產(chǎn)系統(tǒng)運營故障、信息系統(tǒng)人為欺詐等。