郭　強

2009年3月,筆者有幸隨審計署培訓團赴澳大利亞進行IT審計培訓,在悉尼科技大學(University of Technology,Sydney)接受了系統(tǒng)的IT審計培訓,其間拜會了新南威爾士州、維多利亞州等州審計署,并與ANAO審計同行相互學習、交流、探討,對澳大利亞IT審計現(xiàn)狀與發(fā)展、范圍與目標、程序與流程、技術與方法等有了較為深刻的體會,學習了先進IT審計理念,開闊了視野,增長了見識,拓展了思路,對今后的IT審計工作大有裨益。現(xiàn)就澳大利亞IT審計的特點與筆者的膚淺體會與大家共享。

一、澳大利亞IT審計的特點

澳大利亞審計署(ANAO)分為聯(lián)邦審計署和州審計署,在各自審計長的領導下,對管轄范圍內的單位進行審計。其政府審計分為財務審計和績效審計兩部分,這兩種審計中都涉及到以計算機為基礎的IT審計,所占比例達到20%至30%。ANAO的IT審計發(fā)展經(jīng)歷了三個階段:第一階段是技術層面(Technical Level)的審計,如程序代碼、數(shù)據(jù)輸入輸出控制、數(shù)據(jù)備份;第二是操作層面(Operational Level)的審計,如計算機核心操作、軟件應用、物理安全與邏輯安全;第三是管理層面(Management/Governance Level)的審計,如操作結構、商業(yè)可持續(xù)性、風險管理、項目管理、服務傳輸、安全管理、資源管理、執(zhí)行矩陣、信息管理等。經(jīng)過多年的研究和發(fā)展,澳大利亞已形成了較為完善的國家審計體系,并長期處于世界領先地位,尤其在IT審計理論與技術領域,積累了豐富的經(jīng)驗和成果,目前已進入到注重管理層面審計的階段,重在把握對IT項目經(jīng)濟、效率、效果的評價和項目開發(fā)的合規(guī)、安全上,標志著澳大利亞IT審計已經(jīng)非常成熟。筆者發(fā)現(xiàn)澳大利亞IT審計存在如下特點:

特點一:IT審計各個方面均執(zhí)行相對規(guī)范的標準

ANAO開展IT審計,執(zhí)行相對規(guī)范的標準,如在IT項目管理方面,執(zhí)行國際通用的Gateway、Prince2(Projects In a Controlled Environment2)、PMBOK(Project Management Body of Knowledge)等標準;在IT服務傳輸與服務管理方面,執(zhí)行COBIT(Control Objectives for Information and related Technology)、MOF(Microsoft Operations Framework)、ITIL(IT Infrastructure Library)等標準;在IT安全方面,執(zhí)行信息安全標準ISO17799;在IT風險管理方面,則執(zhí)行澳大利亞國家標準:AS/NZ4360:2005風險管理標準,等等。各類標準具體規(guī)定了審計人員在審計某一類型項目時的方法、程序步驟、工作重點,具有很強的可操作性。它既為沒有經(jīng)驗的審計人員提供了一個詳實的可供參照的操作規(guī)程,又約束了審計人員的行為,減少和避免審計人員工作中的隨意性。正是由于嚴格按照各類標準開展審計,ANAO的審計尤其是IT審計的質量都得到了可靠的保證。

特點二:IT審計綜合運用各種信息技術

ANAO的審計人員在下列情況下,可應用計算機輔助審計技術:一種是在運用制度遵守性和數(shù)據(jù)真實性程序中缺少輸入文件和缺乏可見的審計蹤跡時;另一種是通過利用計算機輔助審計技術可以改進審計程序的效果和效率時。計算機輔助審計技術有多種,一是用于審計目的的審計軟件和工具,用以處理來源于單位會計制度的重要審計數(shù)據(jù)。傳統(tǒng)的CAAT(Computer Assisted Audit Techniques)工具有SQL(Structure Query Language,如MySQL)、Microsoft Access、Excel。其他一些風險分析與計劃管理軟件如Methodware、司法模式鑒定軟件如Netmap、證據(jù)采集與鏡像軟件如Encase等,也被因地制宜地運用到審計中去。通過各種審計軟件和工具,審計人員可以方便地對數(shù)據(jù)進行排序、求和、篩選等操作,并能生成審計人員需要的各類圖表。二是數(shù)據(jù)測試技術,用以檢驗應用程序、控制程序和信息系統(tǒng)的可靠性。在執(zhí)行審計程序時,將數(shù)據(jù)錄入被審計單位的信息系統(tǒng),跟蹤某項業(yè)務直至數(shù)據(jù)輸出,將獲得結果同預期結果相比較,以檢查訪問權控制的有效性和輸入有效性控制的執(zhí)行情況。如對工資處理程序審計中,使用不同身份的人員登錄,輸入不同類型的數(shù)據(jù)測試。

特點三:IT審計圍繞風險控制

ANAO一貫秉持。風險控制的理念,每年都對其風險管理計劃的執(zhí)行情況進行回顧,根據(jù)外部環(huán)境的變化,修改業(yè)務要求考慮戰(zhàn)略層次和操作層次等不同層次的風險,開展了以識別和處理經(jīng)營風險及舞弊風險為核心的風險導向審計,建立了全面的風險管理框架,規(guī)避與防范風險。這一框架既包括對ANAO整體的風險管理計劃,也包括對每一工作領域的風險管理計劃。它陳述了所有ANAO已識別的風險,從“確定風險存在的環(huán)境”、“識別風險”、“分析風險”、“評價風險”和“處理風險”等五個環(huán)節(jié),合理地確定風險的控制措施,將風險減少到可以接受的水平。通過評估計算機設備、電子數(shù)據(jù)、信息通訊的安全性,以評估信息系統(tǒng)的固有風險;通過評估系統(tǒng)開發(fā)控制、內部管理控制、訪問權限控制,以評估信息系統(tǒng)的控制風險;通過對數(shù)據(jù)輸入控制的測試、數(shù)據(jù)通訊和數(shù)據(jù)處理控制的測試和數(shù)據(jù)輸出控制的測試,以評估信息系統(tǒng)的檢查風險。

特點四:IT審計統(tǒng)籌考慮成本與收益

ANAO開展IT審計,統(tǒng)籌考慮成本與收益,努力在審計時間、審計費用和審計質量三者之間尋求較好的平衡點,以求IT審計如同經(jīng)濟活動一樣,達到效率性(Efficiency)、效果性(Effectiveness)與經(jīng)濟性(Economy)的完美結合。為此,他們對每一項IT審計工作都做出周密部署:在編制審計計劃時,確定對信息系統(tǒng)控制的可信賴程度;制定關于何時、何處與如何檢查信息系統(tǒng)功能的計劃;制定關于利用IT審計技術進行的審計程序計劃;分析IT審計技術的可行性、預期效果與效率;考慮時間因素。在實施審計時,收集與審計計劃有關的信息系統(tǒng)環(huán)境的資料,包括信息系統(tǒng)的功能情況以及計算機處理的集中或分布程度、使用的計算機硬件和軟件、數(shù)據(jù)重置情況等;注意傳統(tǒng)審計技術和IT審計技術相結合、IT審計人員與非IT審計人員相結合,考慮審計人員的資質與背景;考慮被審計單位在哪些重要方面應用了IT技術,其程度如何,及其對審計的影響,以確定合適而恰當?shù)膶徲嫹椒ā?/p>

特點五:注重IT審計人才培養(yǎng)

ANAO始終把人才培養(yǎng)放在第一位,積極引進既有審計經(jīng)驗又具備高層次IT知識技能的復合型人才,同時對審計人員有計劃、有步驟地進行IT知識后續(xù)教育,此外還在審計中積極吸收IT審計方面的專家為IT審計提供技術咨詢與服務,保證了審計項目的順利實施,也鍛煉了該國的IT審計隊伍。目前,該國已形成一支知識呈階梯狀的IT審計隊伍:首先是普通IT審計人員,他們理解操作系統(tǒng)、系統(tǒng)軟件、應用軟件和網(wǎng)絡環(huán)境等概念,并具備一些病毒防護、入侵偵測、授權管理等信息安全控制方面的知識;其次是IT審計管理者,他們除具備普通IT審計人員應具備的技能與知識外,還深刻理解IT審計的要點,以便于科學計劃、測試、分析、報告、跟蹤,并合理地組織項目實施;再高一層是IT審計專家,他們深刻理解信息系統(tǒng)底層技術,并熟悉與之有關的威脅和弱點,同時在數(shù)據(jù)庫、網(wǎng)絡技術等領域有較高造詣。

二、收獲和體會

澳大利亞網(wǎng)絡不如我國普及,但在IT審計理論與實踐方面卻是走在許多經(jīng)濟發(fā)達國家的前列。經(jīng)過澳大利亞之行,筆者深有收獲和體會:

(一)樹立先進的IT審計理念。通過培訓和考察,筆者發(fā)現(xiàn)目前我國計算機審計在技術方法層面上并不遜于澳大利亞。澳大利亞審計中使用了傳統(tǒng)的SQL Server、Microsoft Access、Excel,為我國審計人員所熟知并熟練使用。我國審計人員使用的集項目管理、數(shù)據(jù)采集、統(tǒng)計抽樣、經(jīng)驗利用、報告生成于一體的AO軟件,甚至比ANAO所使用的許多軟件更為先進;我國審計人員在OLAP(多維分析技術)、數(shù)據(jù)挖掘技術等尖端技術的研究方面,也絲毫不遜于澳大利亞。澳大利亞在IT審計方面取得令人矚目的成績,支撐其取得實效的并不在于技術方法,而是審計人員的IT審計理念。我們要充分認識到:如果不搞IT審計,審計內容就不全面,我們就無法實現(xiàn)融入世界審計主流的目標。更重要的是,開展IT審計是對“免疫系統(tǒng)”理論的積極回應,是對審計署認真踐行科學發(fā)展觀的體現(xiàn)。

(二)建立規(guī)范的IT審計程序。無論是授課老師,還是兩州審計同行,無不強調“程序和政策”(Procedures & Policies)。面對我國IT審計指南缺失的現(xiàn)狀,我國審計機關應當盡快將審計程序設計與審計技術方法的運用有機結合,規(guī)范和引導審計人員運用適當?shù)膶徲嫾夹g和方法,把審計技術與方法融入到規(guī)范的審計程序之中,要求并指導審計人員合理運用審計技術;同時,順應經(jīng)濟全球化的發(fā)展趨勢,建立與國際審計準則接軌的中國IT審計準則,規(guī)范IT審計的工作。針對我國IT審計中存在審計人員在運用審計技術和方法缺少規(guī)范與約束的問題,建議將COBIT的IT治理思想和框架,引入審計業(yè)務支撐體系的質量控制中,科學、系統(tǒng)地對信息及相關技術進行管理,實現(xiàn)了審計戰(zhàn)略與IT戰(zhàn)略的互動,并形成持續(xù)改進的良性循環(huán)機制,這對于規(guī)范IT審計程序、提高IT審計質量具有重要的現(xiàn)實意義。

(三)培養(yǎng)大批的IT審計人才。目前,我國在IT審計方面的人才還比較匱乏,尤其是缺少國際上認可的具有相當職稱的高級人才,如CISA國際注冊信息系統(tǒng)審計師認證、COBIT Foundation認證、Prince2認證、ITIL Manager認證等。IT技術的發(fā)展,對中國審計師提出了更高的要求;缺少高層次的IT審計人才,將成為制約我國IT審計事業(yè)發(fā)展的瓶頸。在國際同行的業(yè)務中,傳統(tǒng)審計服務的比例日趨下降,風險控制服務和管理咨詢服務的比重大幅提高,這些增長的部分往往又和IT環(huán)境審計和信息系統(tǒng)安全審計服務密切相關。如果我們未能未雨綢繆,不及早做好人才儲備,將無法適應IT審計發(fā)展的需要。

(作者單位:審計署駐鄭州特派員辦事處)