随着信息系统深入各行各业,IT审计正在成为一个上自国家审计署,下至大型企业、金融机构、电信运营商特别关注的重要课题。
4月12日,中国审计署承办的世界审计组织第六届效益审计研讨会和IT审计工作组第19次会议在北京举办,“IT项目的建设效益”是会议的一个重要议题。中华人民共和国审计署审计长刘家义透露,到2012年,中国所有的审计项目都将开展绩效审计,为此就需要建立一个适用的、能得到业界广泛认同的衡量指标体系,促进IT项目绩效审计的规范化。
随着相关指标体系的不断健全,IT审计也正在从概念慢慢落到实处。
国家IT审计初显成效
日本会计检察院对日本的汽车业一站式服务的利用率进行调查后发现,这个包括了汽车登记、税收、保险等服务在内的一站式服务系统2005年底投入使用,其目标是为购车的用户解决跨部门办理手续的繁琐。这个系统花费了2900万美元建造,建成后3年内的运营费用大约为4200万美元。然而,虽然根据官方统计,该系统2007年在线利用率是54%,会计检察院的发现却是,使用率不到1%。因为低使用率,这个系统的122台客户端的PC机和122台打印机处于闲置。
会计检察院发现,这与一站式服务系统在费用折扣方面的刺激不明显、汽车销售商为用户代办了所有手续等现实因素相关。那么,这个系统是否有必要24小时运营?用户的需求是什么?针对这些问题,汽车业采取了扩大宣传、优化硬件和运营时间等措施,以降低运营费用。
类似的IT审计的例子还有很多。我国审计署也已经将IT审计作为重要的工作,这个IT审计既包括审计署审计手段的IT化,也包括对被审计对象信息系统和数据的审计。
在IT审计的早期,审计人员关注于数据审计,而忽视了对信息系统的测试和审计。然而,数据是从信息系统中产生的,信息系统对数据的真实性、完整性以及接下来数据分析的可靠性有重要影响。同时,以IT为手段的入侵和犯罪也越来越多,信息系统本身的漏洞会带来巨大损失,因此,信息系统本身的合法性、可靠性、安全性和有效性是首先要被审计的。
在一次信息系统审计研讨会上,审计署副审计长石爱中指出,“不搞信息系统审计,我们将来的审计风险就无法控制。纸质账目的时候,我们说内部控制要审计一下,不能假账真审; 同样道理,不能假电子数据真审。”
在信息系统审计过程中,审计署也发现了一些问题。深圳审计办在审计一个大学时,发现这个大学使用的财务软件非常不安全,在实际操作应用过程中,会计科科长、网络管理员、数据库管理员、系统管理员、记账员等岗位由同一人担任。同时,系统管理员在实施数据库数据修改、会计人员岗位分工、权限设置等具体操作时,缺乏必要的审批和监督程序。因为这个软件是教育部推广的,后来教育部根据审计报告采取了措施。
目前,审计署对IT项目还没有单独审计,一般是跟国家资金预算内的项目一起做审计,比如国家各部委、中央企业等涉及国家投资的项目。不过,审计署计算机中心的有关负责人表示,以后可能会将信息系统的审计单独拿出来,审计署也正在整理IT审计的评价指标体系,包括系统使用情况、组织能力评价、产品生产系统、用户满意度、经济效益与社会效益评价、软硬件的使用情况、安全性等。
企业IT审计面临外在压力
2010年2月初,中国民生银行全国范围内存、取款等所有业务由于网络故障中断了近6个小时; 此前,中国光大银行和招商银行等也都出现过类似的系统瘫痪事件。与信息系统安全一样,这些问题指向的都是银行内部风险控制和IT管理的问题,迫切需要加强对IT系统的审计与风险管理。
IT审计其实是企业加强内部风险控制、加强IT治理的一部分,最近几年才逐渐被企业接受。当前,企业进行IT审计的压力更多地来自外部监管,而不是企业内部的自发性需求,比如在美国上市的中国企业需要遵循萨班斯法案、中国自己也在上市公司中推行《企业内部控制基本规范》、银行业要遵循银监会2009年6月1日发布的《商业银行信息科技风险管理指引》、《保险公司信息化工作管理指引(试行)》也从今年1月1日起施行。这些监管机构无一例外地对信息系统安全和信息系统审计提出了要求。
因此,当前企业的IT审计更多地应用于规模较大的银行、保险等大型金融类企业以及中央企业,更多的企业并未应用IT审计。首先应用了IT审计的企业包括中国人民银行、中化集团、中国烟草总公司、中国石油化工集团等。中国人民银行的信息系统审计工作开始于2000年,人民银行内审司设置了相应的职能机构,并先后制定了《中国人民银行计算机信息系统监督检查工作暂行规定》、《中国人民银行关于加强计算机信息系统内部审计工作的指导意见》和《中国人民银行计算机信息系统内部审计规程》等制度条例。
审计的内容,既包括对人民银行的“中央银行会计核算系统”、“人民银行货币发行管理信息系统”、“金融统计监测管理信息系统”、“银行信贷登记咨询系统”、“国家金库会计核算系统”、“大额支付系统”等6个重要业务应用系统的使用和运行管理情况及其系统内部控制功能的审计,也包括对计算机网络及个人办公计算机联网运行管理情况、计算机软件开发管理情况、电子化设备管理情况、计算机机房运行管理情况、国家外汇管理局计算机网络及有关业务应用系统运行管理情况的审计。
在审计方法上,目前国内主要还是借鉴国际先进的IT治理框架和方法,比如COBIT(Control Objectives For Information and Related Technology)标准、ISO17799/27001、ISO13335、ISO20000、ITIL、PCAOB2号审计准则、巴塞尔协议、COSO框架等。这些协议有不同的控制重点,COBIT的审计范围几乎涵盖了所有与IT相关的活动,COSO 则侧重于企业自身内部控制,ITIL着重IT系统的交付和支持等。
另外,随着越来越多的企业接受IT审计的理念,IT审计的专业人才——IT审计师(也称信息系统审计师)面临较大的缺口。IT审计师是由“国际信息系统审计与控制协会(ISACA)”认证的,既要熟悉信息系统的软件、硬件、开发、运营、维护、管理和安全,又要熟悉经济管理的核心要义,能够利用规范和先进的审计技术,对信息系统的安全性、稳定性和有效性进行审计、检查、评价和改造。由于IT审计师的缺乏,国内很多IT审计还严重依赖于国外四大会计师事务所。
链 接
什么是IT审计?
IT审计包括外审和内审两部分,外审主要是聘请外部审计机构进行,内审则是由内部审计部门进行。IT审计的主要目的,是对信息系统的安全性、真实性、完整性、有效性进行审计,以保证信息系统的可信度,促进内控体系的规范建设,降低信息化带来的各类风险,比如操作轨迹不可见、操作流程缺失、数据非法修改、生产系统运营故障、信息系统人为欺诈等。