金融机构信息系统审计的方式与体系构建

作 者:

作者简介:
赵秀云,天津财经大学

原文出处:
现代财经

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2009 年 07 期

关 键 词:

字号:

      金融信息系统审计的方式

      信息系统审计是信息化发展到一定程度的必然结果。它既有传统审计条件下的审计内容,又有与信息技术紧密联系的审计内容。从计算机审计发展来看,初期是电子数据处理,尔后逐步发展到数据式审计,现在又发展到信息系统审计。

      1.IT审计与内部控制

      信息技术(IT)审计侧重于企业信息系统的计算机应用方面,它包括对适当的实施、操作过程和计算机资源控制的评估。由于金融机构信息系统高度集成化,因此IT审计构成了外部与内部审计的一个重要组成部分。IT审计的对象涵盖信息系统从规划、分析、设计、编程、测试、运行维护到系统停运为止的生命周期各个阶段和业务。IT审计一般分为三个阶段:审计计划阶段、控制测试阶段以及实质性测试阶段。控制测试中常见的计算机辅助审计工具和技术有:测试数据、基本案例系统评估、追踪、综合测试工具和平行模拟等。

      内部控制作为一个防护屏障用以保护金融机构资产防范操作风险。这些风险包括未经授权接触金融机构资产(包括信息);机构内部或外部人员实施的舞弊;由于员工不称职造成的失误;有瑕疵的计算机程序和输入数据被篡改,如计算机黑客的非法访问、那些破坏程序和数据库的计算机病毒的威胁等。COSO委员会认为:“全面风险管理是一个受到该实体的董事会、管理层和其他个人的影响,并应用在整个机构战略设定的过程。它被设计用于识别整个实体的潜在重大风险。它能根据组织的具体情况提供一个风险管理框架,并为组织目标的实现提供合理的保证。”在所有的金融风险防范和金融监管中,金融机构的内部控制是整个市场健康运行的基础和前提。世界监管经验证明,如果没有金融机构的内部控制配合,即使是再细致周密的监管,其效果也会大打折扣,单个金融机构的内部控制和内部管理对其自身业务乃至整个金融体系的影响越来越大(巴曙松,2004)。

      2.常规审计与专项审计

      信息系统审计也可分为常规审计和专项审计。常规审计为例行的全面审计,即对信息系统进行全面审计,包括管理流程、技术平台、项目开发和运行、维护等工作的审计,对信息系统做出全面的评估、鉴证,提出管理建议。专项审计可以针对信息系统管理的某一方面进行专门的审计,可以视实际情况选择进行,如人民银行的专项审计。《局域网运行管理专项审计方案(2006)》指出,专项审计即是“通过实施局域网运行管理专项审计,对局域网运行、维护和管理等情况进行检查和评价,针对发现的问题和风险隐患提出意见和建议,促进局域网安全、有效运行”。《信息系统应急管理专项审计方案(2008)》则指出,审计的目的旨在“通过实施信息系统(包括IT系统和业务系统)应急预案管理专项审计,对人民银行信息系统应急管理情况进行检查和评价,针对发现的问题提出意见和建议,促进人民银行信息系统应急管理工作规范、有效开展”。

      3.现场审计与非现场审计

      非现场审计是通过对审计对象相关业务数据和资料的连续调集、整理和分析,查找经营管理中存在的问题和疑点,评价经营管理状况和风险程度,为现场审计提供线索和资料,为制定审计计划、安排审计资源提供支持。与现场审计相比,非现场审计具有全面性、时效性以及成本低、效率高等方面的优势,如建设银行研发的“非现场审计项目”,系统包括数据调集、指标定义与生成、问题查找、风险评估、审计监测、数据查询以及城综网数据分析等功能模块。非现场审计解决了六个方面的关键技术与难点:一是实现了复杂的异构数据源的整合功能;二是实现了复杂的指标算子定义和计算;三是建立了问题查找的专家系统机制;四是建立了审计风险评估模型体系;五是实现了与高级统计分析工具的有机结合;六是建立了一套审计数据提取环境。

      金融机构信息系统审计体系之构建

      1.探索风险导向金融信息系统审计模式

      风险管理审计是建立在全面风险管理基础上的一种审计技术方法,这种方法认为在研究风险过程中,既要对金融业务及相关资料的真实合法性进行考察,又要对企业生存、发展和经济效益进行分析;在分析性检查过程中,不仅重视会计信息,而且重视行业信息和业务信息。这与强调金融审计的宏观意识,从分析金融风险入手,找准审计定位的思路是不谋而合的。

      在金融业务量大且日益复杂,金融审计风险逐渐加大的情况下,风险基础审计将控制审计风险放在首位的做法也符合现实需要。其重要性在于可使审计人员重点关注重大的和异常的金融业务,突出审计重点,避免审计人员陷于大量繁杂的金融业务而失去审计目标。为此,审计人员应以风险评估为基础,对选择关键的信息系统予以重点关注。

      2.规范金融信息系统审计程序

      传统审计模式中,审计过程一般可分为审计准备、审计实施和审计报告三个阶段。在账目基础审计模式下,审计人员经常要执行诸如以原始凭证核对记账凭证或以记账凭证核对会计账簿等审计程序;在制度基础审计模式下,审计人员经常要执行诸如观察某业务循环中某项内部控制的执行情况等审计程序;在信息系统审计模式下,审计人员则要利用数据库技术、数据挖掘技术等方法,建立某种业务的审计中间表或审计分析模型,并进行相应的数据分析等。而目前,构建规范化的信息系统审计程序则是亟待深入研究的问题。

      3.创新金融信息系统审计方法

      从本质上讲审计是一个信息系统,审计的本质在于客观公正地为受托责任关系双方提供判断是否继续这种关系的信息依据。为了达到此目标,审计信息应具有相应的质量特征。金融信息系统从功能、应用平台到开发方式等方面存在着多样性和复杂性,信息系统审计的难度很大。现在,常规审计方法、技术和工具以及专用审计软件、数据采集与分析软件等计算机辅助审计技术和工具CAATs(Computer Assisted Audit techniques)的应用越来越普遍。面对错综复杂的信息系统和审计环境,金融审计还需要强大的计算机方法、技术和工具来支持。近年来,数据挖掘、OLAP分析、人工智能等技术的探索为审计提供了新的方法和思路,并在逐步克服传统的手工审计手段已不能适应审计工作需求的缺陷,为解决审计系统的动态监督提供了便利,因而有利于提高审计质量,降低审计风险。

相关文章: