审计结果下的信息系统审计现状与建议x

1、审计结果下的信息系统审计现状与建议信息技术的不断进步和大数据技术的发展促使我国信息系统审 计在理论和操作实务方而都有了进步。但是重大金融风险也随着金融 业信息化水平的提高而逐渐产生。本文通过研究自20XX年推行审计 结果公告制度以来的针对金融业的审计公告，研究信息系统审计的发 展现状，识别信息系统审计内容和影响的关键因素，对于今后金融机 构信息系统审计的发展具有重要意义。一、文献回顾（一）信息系统审计研究现状现阶段，我国己制定一系列信息系 统审计准则，但未就如何开展审计活动进行具体说明。美国最早提出 系统审计概念，成立了信息系统审计与控制协会。提出注册信息系统 审计师（CISA）认证计划，发布

2、了手册、指南等信息安全审计的实施 标准，通过立法规范了信息系统审计。而我国的信息系统审计主要还 是以ISACA协会的标准为主。（二）金融业信息系统审计必要性研究信息系统带来了效率、效 益的提高，但其业务数据处理过程和系统运营也存在一定风险。金融 业系统数量庞大，系统开发、更新频繁，信息系统风险直接影响业务 处理和业务职责的展开。一方而银行相关系统有近百个，业务操作量 和信息处理量H益也成倍增加；另一方面大量系统上线导致数据集中 处理错误增多、错误重复风险和运营风险加大。因此，在金融业开展 信息系统审计有其必要性。（三）金融审计的功能金融审计在维护金融系统安全运行等方面 发挥了重要的“免疫系统功

3、能，而信息系统风险和机构内部控制风险 依旧很高。金融机构可以实施专门的信息安全审计，或将其作为相关 工作的一部分联合实施，例如IT审计、信息安全风险评估、信息安 全管理体系建设等。下文将通过研究商业银行金融审计公告，进一步 探讨我国在商业银行信息系统审计的工作成果及相关情况。二、基于商业银行信息系统审计公告的研究（一）研究方法本文将采用定性研究及两阶段分析法分析商业银 行信息系统审计的发展现状：第一阶段收集审计公告进行内容分析； 第二阶段分析相关数据。1.数据收集。通过搜集己发布的商业银行 审计公告，提取有关商业银行信息系统审计的审计发现、审计建议和 审计整改等内容，可以发现系统使用过程中存在

4、不同程度的违规经营、 内部控制不到位和风险管理薄弱等问题。审计署20XX年以来发布的 商业银行金融审计结果公告中涉及信息系统审计的公告共10个（见 表l）o 2.数据分析。通过分析，可以发现审计公告主要从一般控制、 应用控制和公司治理3个方面描述审计发现。本文使用定性研究软件 工具Nvivo,通过编码来分析信息系统审计关注的主要风险点。在运 用该定性研究工具时，以上述3个方面为主节点，按照审计发现的风 险点原文为内容进行编码。编码过程中，会出现同一个问题属于不同 方而的情况，如“完善制度，若用于治理结构则属于公司治理方面， 若用于人员管理，则属于一般控制方面。编码也会存在不同节点表 示同一主题

5、的情况，例如“加大业务监督管理力度以及部分信息系 统缺少必要的数据控制内容，都属于加强风险控制。因此，可以将 二者总结为：加强风险控制，规范操作规程。所以编码时要注意违规 行为目的，正确编码。（二）研究结果通过风险点编码，可以发现几乎所有的审计建议 都会提到完善公司治理结构、注重风险管理，加强内控管理和制度建 设。表2展示了商业银行信息系统审计公告中部分审计发现内容及频 次，其中出现频次最高的三项是“加强风险控制以规范操作规程（8 次），“完善公司治理结构（6次）和重视人员管理（5次）。其他 内容只被提到一次，但为了研究的完整性，予以保留。其中，A表示 公司治理，B表示一般控制、C表示应用控制

6、。（三）研究分析1.商业银行信息系统审计内容分析。研究表明， 信息系统审计中公司治理、一般控制和应用控制均有所提及, 重点包括完善风险管理体系、优化公司治理结构等公司治理方面；人 员的增删改、系统开发等一般控制方面；数据库管理、系统数据控制 等应用控制方而。商业银行尤其重视风险管理，例如完善风险管理体 系，提高人员风险防范意识等；特别关注加强防范系统性金融风险, 如完善公司治理结构，完善内部控制，推进金融风险监测与评估系统 的建设。2.与近三年金融业信息系统审计的对比。将上述结果与美国 信息系统审计标准作对比，可发现我国商业银行信息系统审计未关注 的风险包括：机房管理、业务连续性计划

7、和灾难恢复计划的制定与实 施、访问控制等。这些风险点会直接影响业务操作和业务职责的展开, 也应得到重视。为了研究我国金融业信息系统审计发展进程，本文分 析了近三年的金融业审计结果公告，包括农业银行、光大集团、中国 人民保险、中国人寿保险和中国太平洋保险的信息系统审计。信息系 统问题在相关审计公告中出现的比例达到了 100%,检查出的问题包 括系统外包开发的设计、上线及验收问题、信息系统数据中心的建设 等。可以看到，近年来信息系统审计的内容更加全面规范。虽然我国 信息系统审计还不够规范化、系统化，但审计机关开展相关审计的行 为对防范金融风险和保障国家金融安全至关重要。3.审计主题划分。 一般来说

8、，审计主题包括财务信息、业务信息、特定行为和特定制度。 这些主题都可以通过既定标准判断真实状况。将审计公告中提及的审 计发现根据审计主题分类，结果如表3所示。针对特定行为的审计主 要表现为绩效审计，但是在现实中关注的重点依然是合规性，绩效审 计需要进一步跟进落实。金融缺乏制度规范不仅是对金融机构工作人 员的挑战，也制约了审计作用的发挥。财务信息和业务信息不是信息 系统审计的重点，因为信息系统审计主要关注系统安全问题，比如系 统内数据的增删改的行为，审批复核的操作等。信息系统审计会重点 关注特定行为的合规性及相关制度流程的健全性。三、研究总结及建议（一）处理好金融审计、绩效审计与信息系统审计的关

9、系信息系 统对金融业至关重要，因此关注系统风险、经营风险和政策风险更有 利于防范商业银行风险、维护金融安全，具体来说可以转向审计商业 银行的组织结构、风险管理措施、人力资源政策等管理活动的效率和 效果。把信息系统审计作为金融审计的重要组成部分，从利用计算机 审计阶段过渡到对金融业的信息系统进行审计的并行审计阶段。从绩 效审计与信息系统审计的关系来看，可以在信息系统开发、上线、变 更等过程中，关注系统开发成本与公司长期效益间的关系、系统的上 线是否选择了合适的时机、系统变更是否符合业务发展的实际需要等。（二）增强大数据环境下信息系统审计的规范性增强大数据环境 下信息系统审计的规范性、加强信息系统审计法律和制度规范至关重 要。国际标准不可不用，但也不可照单全收，可以探索有中国特色的 信息系统审计方法。特别是在大数据环境下，可以利用数据共享平台、 数据挖掘等实施大数据审计，促进审计发展。完善信息系统审计的法 律法规、准则规范，可以明确信息系统审计权限和工作职责，规范人 员行为。（三）培养信息系统