一、针对计算机部门的专项审计 对计算机部门是单一的专项审计,它的审计目标应该是对计算机系统的组织管理,设备管理,运行管理,安全可靠性管理,项目规划开发管理,计算机设备、耗材及软件采购管理等多方面的审计。 二、针对计算机应用环境的审计 对计算机应用环境的审计涉及科技、业务管理和一线操作等许多部门。由于信息的易逝性和责任的间接性,使得每一个问题的出现都可能涉及几个部门,故此产生了审计取证难和责任认定难。这无疑给 审计增加了难度,恰巧这也是审计部门最薄弱(审计规程和规章制度欠缺)、最难以操作(规章制度不健全、部门间职能分工不确定)的环节。如在审计过程遇到“业务操作责任难以界定的问题”时,被审单位推卸责任说是“计算机的问题”。操作人员说“程序没有这功能”,或是“不清楚”。管理人员说是“程序无法实现”,“科技部门尚无法解决”。作为审计部门接触的直接审计对象,一般只是业务管理部门和一线操作人员,当遇到所谓“计算机问题”时,审计部门也束手无策。 三、目前的计算机应用审计令人困惑 1.对计算机应用的审计还要等多久? 面对计算机应用存在的问题,是审计部门关注的太多?是能力所限?是感到条件不成熟?作者以为一是审计规程不够完善;二是缺乏既精通审计,又精通计算机的复合型人才;三是计算机应用在任何单位只把它看作是一项辅助性工作,地位很重要,却没能引起重视等是造成没能开展计算机审计的原因。 2.应用程序有故障,缺少审计责任认定依据 在2001年对某行进行内控审计时,发现储蓄所管理的ATM长款现象较为普遍。然而,就是这样明显的“错误长款记录”,竟长达一年无人查询过问,甚至反映了也无人核查。这种管理疏漏、错账记录和计算机程序错误,给银行造成很大的负面影响。试问,像这样的长款记录其真实性和账务的权威性还有吗?值得怀疑。面对这种现象审计应追究与之相关部门的责任,缺少审计责任认定依据。 3.计算机安全值得关注 计算机审计应关注什么问题?如:计算机系统的正确性、权威性、可靠性如何维护;计算机后台调表、调账记录是否完备;制度规定能否防范风险;磁介质数据存放是否安全可靠;内部有无制约作案条件;保密管理是否妥当。再如:计算机网络系统的安全能否保障;当意外事件发生时,计算机的数据信息是否能完备保留和重新启用。 4.计算机应用程序设计不能及时完成,影响业务开展的责任如何认定? 制度与应用脱节,造成间接的经济损失是显而易见的。影响业务正常开展的原因,是业务管理部门的制度更新快,还是科技部门响应能力滞后,责任该由谁负?责任该如何追究?审计部门相对这种现象该如何监督?我们的审计规程、审计方案对这种现象应如何加以关注? 5.制度问题还是管理问题? 审计发现没有一个储蓄所在计算机系统出故障时,按规定用手工操作办理业务。其主要原因:一是应用程序功能不完善,二是储蓄所的计算机业务操作手册版本陈旧,内容不全,管理规章制度不齐全,三是储蓄所人员计算机操作培训跟不上业务发展。尤其是新业务的开办,由于业务培训欠缺,能做的业务怕出错不敢做。这种管理滞后的问题,使我们的制度规定形同虚设。这样不论我们的管理层有多少好的经营策略和良好愿望,都不能将我们的管理水平提高。 四、审计应加强对计算机应用环境的监查 1.新业务、新制度的启用,应有审计的监督 如总行业务部门推出的新业务,审计部门为配合业务推广,通过计算机审计对业务操作管理办法和计算机档案、操作手册更新等进行检查。以此监督计算机部门是否按规定、按时间完成程序设计;监督业务部门是否按要求完成了新业务的操作管理。从而既可达到有效推动和加快新业务开办的进程,又可达到有效的效益审计目标。 2.审计应为金融创新保驾护航如业务管理规定、程序操作手册、完善后续服务办法、业务推广激励机制等,有了这些规章制度,新业务就有了顺利开展的保障。审计部门对新业务的开办除了审计档案完整性,还应审计系统开发的周期、软件设计成本、设备成本、业务开办成本等项目,以此监督新业务的成本效益和开办时效,为创新产品在推广使用中起保驾护航的作用。 3.文档管理、关系计算机系统的安全可靠 系统开发的业务需求书,程序编制文档,测试报告,密钥的保密安全,以及每一次修改的业务需求书,修改的编程文档,测试报告,程序操作手册补充说明,都是计算机审计应关注的基础资料。尤其当出现程序故障时,可分清责任。 五、利用计算机环境进行有效审计 1.充分利用计算机获取信息 利用计算机环境审计可将原先只能从现场手工获取信息的审计,转变到远离现场通过计算机获取信息的审计上。审计手段的改进不仅可先期做好审计的基础数据分析和审计判断,为现场审计提供部分审计依据和审计线索,还可大大提高现场的审计效率,降低审计成本。 2.充分利用现有业务资源 CMIS系统是功能较为齐全的银行信贷计算机管理系统。CMIS系统是审计部门非常好的审计资源和可利用的审计工具。从该系统中可获得许多的信贷信息,从而可方便、快捷地对信贷业务进行审计,大大提高审计效率。