IT审计政策发展的新时期 我国的信息技术应用发展得很快,特别是金融行业的主要业务运营基本依赖信息系统实现的。但是,作为保证信息系统正常运行的管理监督政策的发展却不成体系,如规范基本是国外的,制度虽是国内的却没有消化透,互相衔接不够。审计中最大的困难也是缺乏政策上的支持,使信息系统管理留下许多风险,以致不断地出现问题,引起了多方面的关注。最近,财政部、银监会、审计署等五部委联合下发的《企业内部控制基本规范》及配套指引,标志着我国IT审计的政策建设发展到了一个新的时期,为我国建设一个完整的IT审计政策框架体系奠定了基础。 随着《企业内部控制基本规范》的出台,信息系统审计具体指引也在不断地出台,各行业都在结合各自特点筹划具体指引、指南,细化政策将不断推出。 按照规定,《企业内部控制基本规范》配套指引2011年1月1日起在境内外同时上市的公司施行,2012年1月1日起在国内主板上市公司施行。届时作为业务内控载体的信息系统将纳入法定程序开展审计,而不再是可审可不审内容。可以说,开展IT审计的时间紧迫、任务艰巨,需求将推动政策进一步发展。 从国际经验看,萨班斯法案的出台曾经一度使审计的工作量剧增,给企业带来了许多负担,政策突起的弊端显现。美国是信息系统审计政策体系比较健全的国家,也发生了一系列问题。对我国来说,政策刚刚起步,对其更应有一个清醒的认识,防止IT审计初期问题成堆或流于形式。如果错过历史的机遇,将会影响金融行业乃至国家的信息化发展。 IT审计政策发展的特点 在《企业内部控制基本规范》出台之前,我国基本上是依赖外国的信息系统理论和规范指导工作,侧重于技术层面的审计。基于国家和社会职能且适应我国实际的政策体系水平还较低,IT审计没有纳入正常工作的轨道。政府和社会组织都根据各自的职能特点制订了一些政策。但由于站的角度不同,对IT审计作出了不同的解释,IT审计政策呈现多元化发展态势,没有形成一个完整的体系,政策执行的水平也是不平衡的,这无疑是审计工作必须面对的现实。 基于内部控制的IT审计。这是内部审计的职责,也是外部审计的基础。一些企业、事业单位的内控体系还不健全,政策有空白,IT审计的基础缺失,IT审计自然也很难开展。一部分内审部门委托社会审计组织开展IT审计,就不能掌握审计的主动权。对此内审协会抓紧研究并在最近发表了内控审计准则和信息系统审计实务指南,一些企业也开始在组织、制度方面起步。但从整体上说,基于内部控制的IT审计政策水平还刚刚起步,这是影响我国IT审计水平的基础性问题。 基于社会公正职能的IT审计。这是第三方的社会审计组织的职责。第三方社会审计组织基本上参照国际上公认的审计规范,根据上市公司的要求和承诺开展会计报表的IT审计、内部控制的IT审计,以及IT审计咨询。尽管社会审计开展的IT审计是我们能看到的最规范的IT审计,但受雇于被审计单位也有局限性(应受雇于监管单位)。 基于行业监管职能的IT审计。监管部门既是IT审计政策的制订者同时又是政策执行情况的检查者。监管部门应根据行业的特点和监管的关注点,参照国际惯例制订一系列具体政策,使IT审计具有可操作性。美国爆发的金融危机产生了长达1600页的金融法案,这说明政策细化的重要性。 基于国家政治经济安全管理职能的IT审计。根据特殊需要已经形成了一些带有强制性的政策,在IT审计中通常被作为一种标准加以运用,问题是如何同其他政策执行衔接。 基于财政建设资金和国家资产管理职能的IT审计。资产主管部门、建设资金归口部门都属于这类审计的主体。他们的主要职责不是检查审计,而是从主管层面制订通用性的政策用以指导行业IT审计,通过他们的检查直接了解政策执行情况,从而更新完善政策。 基于再监督职能的IT审计。国家审计是再监督的审计,它不制订政策,但要根据不同职能机构提出政策,制订操作规范,并根据规范进行审计,判定不同的职责履行情况,揭露重大信息系统问题带来的影响,提出改进意见。由于目前政策体系不完善,国家审计的重点集中在揭露重大问题上,并以此推动政策体系的建设。 如何完善IT审计政策体系的建设 IT审计一般分为业务型审计和技术型审计。按照国际习惯,前者应该是应用控制审计,后者是一般控制审计。应用控制审计一般依附于常规审计中,一般控制审计可以单独进行,也可以结合常规审计进行。目前技术型的审计标准规范较多,也相对完善,而业务型的审计标准规范却很缺乏。我国信息系统的广泛应用迫切需要业务型审计政策的建设。 IT审计的提法是将技术与业务融合在一起,含义较IS审计(Information System Audit)的面广,这有利于审计内涵的扩展。IS审计的提法有利于业务型审计的发展,这是当前迫切需要解决的问题。两种提法基本含义并不矛盾,只是侧重点有所不同。 业务型的审计实际上也是以业务数据审计为核心的审计。业务数据的审计必然要关心数据产生过程,因此业务流程的审计,数据输入输出的审计,系统间数据接口的审计就应运而生。围绕这些审计,有关部门应制订一系列政策以保障业务应用系统的建设、运行、维护。下面侧重金融业务型审计需要提出几点建议。