發佈時間:2006.10.19 14:29 來源:AMT 作者:AMT
90年代末期至今,國內商業銀行一直在持續的進行資訊系統建設,90%以上的商業銀行都已經應用資訊系統來實現對客戶的服務。根據相關統計數據,針對國內商業銀行,硬體網路平臺已經實現了100%的應用;軟體應用已經覆蓋了80%以上的商業銀行業務;部分商業銀行在管理資訊化方面也陸續的完成信貸管理、財務管理等管理資訊系統的建設。隨著商業銀行資訊化建設的進一步完善,商業銀行對IT系統的依賴也越來越強。
但是,在商業銀行IT建設的背後,也應該看到一個事實,商業銀行的經營業務的本身蘊藏著巨大的風險。在實現由手工操作到電子化過程中,降低了人為的風險,但同時也帶來了巨大的IT風險。根據《巴塞爾協議》的相關規定,系統失效是銀行風險重要組成部分。國外相關統計數據表明,一些銀行系統失效風險損失佔到總風險損失的10%-20%.國內商業銀行必須看到面臨的IT系統相關風險在逐漸增大。
以上只是從銀行業方面反應出來的問題,其他行業如保險,電信也存在著同樣的問題:誰來管理流程E化之後的風險?為了解決這一問題,通過IT審計,及時識別IT風險,完善控制措施勢在必行。
IT審計又稱資訊系統審計,是指獨立的IT審計師或審計機構採用客觀的標準對以電腦為核心的資訊系統的整個生命週期內的相關的活動和產物進行完整地、有效地檢查和評估,以追求系統的有效利用和故障排除,使系統更加健全。
隨著電腦技術的迅速發展,人類社會的資訊化程度越來越高,整個社會的政治、經濟、軍事、文化以及其他領域對電腦資訊系統的依賴程度也越來越高。在這種狀況下,電腦資訊系統的安全性、穩定性、有效性得到了人們越來越多關注。進行獨立的、有效的IT審計成為了檢驗資訊系統的一個必要手段。IT審計就是在這種背景下開始發展、成熟,並走向了普及。
一般來說,IT審計的任務與使命可以概括為三個方面:
一是確保IT項目管理風險控制在合理水準;
二是確保業務流程中與IT相關風險控制在可接受水準;
三是確保資訊和資訊系統的安全。
三個方面既涉及戰略風險,也涉及操作風險。
在過去的幾年內,美國註冊會計師協會(AICPA)下屬的審計準則委員會(ASB)一直關注IT對獨立審計的影響。2001年4月,ASB發佈了第94號準則:《IT對CPA評價內部控制的影響》,該準則是作為SAS(審計準則公告) no.55的”補丁公告”推出的,它對下列三方面問題做出了規範:IT對企業內部控制的影響;IT對CPA了解內部控制的影響;IT對CPA評價審計風險的影響。SAS no.94將於2001年6月1日開始執行。
針對審計效率工作小組(ASB的下設機構)提出的若干提高審計效率的建議,ASB除了推出SAS no.94之外,還在計劃著手修訂現有的審計準則。與之相適應,美國註冊會計師協會正考慮修訂《審計指南–財務報表審計中關於內部控制的評價》以反映SAS no.94及其未來進展。因此,我們可以這樣說,通過對IT審計中遇到的系統類型、內部控制和審計證據等問題進行規範,SAS no.94將審計執業水準推向一個新的高度。在這個意義上,它無疑是整個審計準則演進過程中的重要一步。
SAS no.94在總則中明確提醒執業註冊會計師(CPA):該準則不僅適用於IT系統複雜,規模龐大的企業,同時也適用於中小規模的企業,其原因在於IT對內部控制的影響源自IT系統本身的屬性及其影響的複雜性,而並非企業規模的大小。
可見國外對IT審計已經非常的重視,那麼在實際中哪些行業最需要IT審計呢?總結下來,主要有三個領域:
一是軟體供應商需要,特別是經濟管理類的集成軟體供應商,他們需要IT審計師參與產品設計、規劃和檢測,對客戶現有資訊系統進行評價,並提出改造設想。全球所有重要的ERP和CRM產品供應商都聘請大量資訊系統審計師。
二會計公司需要。”五大”國際會計公司超過30%的收入來自於風險管理部門,這個部門的最主要工作就是監控客戶的資訊系統風險和運營風險,同時為客戶提供ERP或CRE的安裝、維護和培訓。會計師事務所中傳統財務報表審計也越來越離不開IT審計的貢獻,沒有他們的工作,評估內部控制風險和企業固有風險將成為一句空話。
三是大型企業需要。作為資訊系統最集中的用戶,大型企業急需進行IT審計,一方面可以有外來專業人士參與資訊化建設的過程,另一方面時刻保持對分支機構的資訊監控。還有一種最新跡象表明,大型企業內部審計部門也在大量招聘資訊系統審計師,以加強對內部的監督和牽制。
對了迎接IT審計所帶來的挑戰,一個全新的行業IT審計師已經誕生。CISA是國際註冊資訊系統審計師的簡稱,又稱IT審計師,目前在全球有2萬人,在中國大陸不超過10人。,國家審計署的一位年青官員成為中國內地通過考試獲取該資格的第一人。
據專家介紹,國際資訊系統審計師(簡稱IT審計師)目前已經成為全球範圍最搶手的高級人才,這些人才一般都具備全面的電腦軟硬體知識,對網路和系統安全有獨特的敏感性,並且對財務會計和單位內部控制有深刻的理解。隨著電腦技術在管理中的廣泛運用,傳統的控制、管理、檢查和審計技術都受到巨大的挑戰,國際會計公司、專業諮詢公司和高級管理顧問都將控制風險,特別是控制電腦環境風險和資訊系統運行風險作為管理諮詢和服務的重點。幾乎所有的大型跨國公司,由於普遍使用大型管理資訊系統,都非常重視對資訊系統安全和穩定性的控制,常常高薪聘請IT審計師進行內部審計。
公司的流程需要E化,這是不容置疑的事實。但是當今世界是資訊化時代,資訊系統受到各種各樣的威脅,如沒有安全對策,系統是相當脆弱的。資訊系統的可靠性、安全性與效率的確保是極其重要的,而這一切也是為企業的經營者考慮。隨著資訊化實施風險的加大,電腦資訊系統的安全性、穩定性、有效性得到了人們越來越多關注。進行獨立的、有效的IT審計成為了檢驗資訊系統的一個必要手段。一些在海外上市的企業開始利用IT審計進行風險評估,加強對資訊化投資的效益管理。在國外上市公司制度中,已經把IT審計列入必要項目。所以,IT審計勢在必行,而且應由具有資訊技術與審計兩方面知識與能力的IT審計師對資訊系統進行檢查與評價,將其結果向企業經營者報告。企業經營者即使對資訊系統不精通,按照IT審計報告也能像黑盒子一樣理解資訊系統及與之相關聯的業務,使之間接把握資訊系統成為可能。
目前,許多企業開始從投資的觀念看待資訊化,把科學投資當作資訊化成功經驗;發展趨勢表明,高風險正成為資訊化進一步發展面對的難題,建設有效益的資訊化,不僅要有效創造效益,還要有效控制風險。(T229)