IT审计(Information Technology Audit)是信息技术应用于审计实务产生的新概念,人们对IT审计的理解是逐步深入的。我国国家审计中对应IT审计的提法一般为计算机审计,自20世纪80年代以来的探索和实践过程中,也先后出现过会计电算化审计、计算机辅助审计、计算机数据审计、信息系统审计等诸多与IT审计相关的称谓,国外则有EDPA、CAA、ISA、ICTA等各种提法。笔者认为,结合我国国家审计的职能和特点,IT审计可以定义为利用信息技术组织开展的审计。这一提法可以较为全面、准确地定义信息技术在国家审计实务中的应用,同时也是世界审计组织及其IT审计工作组各成员国最高审计机关普遍认可和采用的提法。 由于各国国家审计机关在IT审计的定位和侧重等方面存在差异,其组织形式和实施模式也不尽相同。世界审计组织认为IT审计是通过获得和评估证据,确定IT系统是否保护了组织的资产,有效率地使用资源,维持数据的安全性和一致性,以及有效地达到组织的业务目标的过程,这一定位得到了各国最高审计机关的普遍认同。国际信息系统审计与控制协会建立了普遍适用的信息系统审计标准、指南和流程,所发布的COBIT已成为国际上公认最先进、最权威的信息技术控制框架。美国审计总署将信息系统审计作为IT审计的重点。在2009年2月发布的《联邦政府信息系统控制审计手册》中,将信息系统审计的实施分为一般控制审计和应用控制审计两个部分。英国审计署侧重于政府IT项目绩效审计,在2011年2月发布的绩效审计报告中,对过去十年来信息技术在政府工作中发挥的作用、面临的挑战和发展的方向进行了系统总结。 我国现行国家IT审计架构及缺陷 随着信息技术在经济社会生活各方面的广泛运用,为适应信息化环境的变化,我国国家IT审计从20世纪80年代末开始起步,从无到有、从单机到网络、从探索研究到逐渐普及,在多年的发展中逐步形成了一套具有中国特色的IT审计架构和工作模式。 (一)现行国家IT审计架构 在法理基础方面,审计法明确规定了审计机关有权要求被审计单位提供计算机储存和处理的财政、财务收支电子数据以及必要的技术文档,有权检查被审计单位的信息系统。国家审计准则也根据信息技术环境下开展审计工作的特殊性作出了一些特别规定,在编制年度审计项目计划和审计实施方案,实施审计检查、获取审计证据,作出审计结论、出具审计报告等环节,表现出关注信息系统、突出信息技术的鲜明特色。 在组织结构方面,以审计署为例,已经形成计算机技术中心负责组织协调和指导管理全国审计系统的信息化建设格局,各审计业务部门负责结合审计项目开展电子数据审计。计算机技术中心不仅要配合业务部门开展计算机审计业务,同时还要承担建设、开发、推广和维护审计信息系统,以及编制IT审计规范和组织IT培训考试等各项工作。 在工作模式方面,随着现场审计实施系统(AO)和审计管理系统(OA)的全面应用,国家IT审计逐步迈入一个新的发展阶段,初步形成了利用信息技术开展大型项目组织管理,运用审计软件实施现场审计,积极探索联网审计和信息系统审计,逐步推进审计数据资源建设的IT审计模式,审计信息化水平不断提高。 (二)国家IT审计中存在的问题 由于组织结构和工作模式还不能完全适应工作需求,与充分发挥审计保障国家经济社会健康运行“免疫系统”功能的要求相比,我国国家IT审计还存在以下不足。 审计业务与IT技术的结合不够紧密。虽然计算机审计培训已开展多年,计算机审计技术也已在国家审计的各个行业、领域得到推广应用,但仍然普遍存在着审计业务部门过于依赖IT部门技术支持的现象,粉饰和包装计算机审计成果的情况也屡见不鲜。在审计项目中原本应由审计业务部门主导和实施的常规计算机审计工作,往往过多地借助IT技术人员的参与,不仅不利于各行业、各领域中审计业务与计算机技术的紧密结合,而且易形成审计业务与计算机技术“两张皮”,阻碍计算机审计技术在审计实务中的进一步深入应用。 IT审计部门的职能定位不够清晰。与部分其他国家审计机关比较,目前我国审计机关还没有纯粹意义上的IT审计部门,IT审计部门的职能定位也较为模糊。一般来说,审计机关设立的计算机技术中心、计算机审计处、信息中心等部门同时承担了电子数据审计、信息系统审计、日常维护和技术支持等多项职能,凡是与信息技术相关的职能均由IT部门负责,因此,不仅需要承担大量的系统开发、维护和管理工作,还要投入精力开展计算机审计业务,IT业务需求与人力资源矛盾突出。同时,IT部门往往不作为审计业务部门进行管理,在独立开展信息系统审计和IT绩效审计项目方面存在障碍,处于较为尴尬的局面。 信息系统审计和IT绩效审计起步较晚。由于信息化程度的差别,美国、英国等国家广泛开展的信息系统审计和IT绩效审计在我国尚处于探索阶段。一是信息系统审计还没有成熟的组织方式和审计标准,同时由于掌握核心技术的IT公司为保持其垄断地位,不会轻易公开其核心技术,审计人员对商业银行、大型国企等单位所使用的信息系统难以了解透彻;二是对IT项目投资的审计还仅仅停留在资金审计的层面,IT项目绩效尚未作为一个单独的审计类别进入国家审计范围,也没有形成系统、科学的政府IT项目绩效评价指标体系。