2、对审计内容的影响。信息化的特点及固有的风险决定了审计的内容应包括对计算机处理和控制功能的审查。即应对系统的开发与设计、业务软件的程序、数据文件以及内部控制的审计等。要求审计人员要参与系统的设计、调试、检验和验收,除了对系统处理业务的合法、合规、安全可靠等方面及时发现问题之外,特别要从审计角度审查系统的可审性、审计线索的设置等。而这些审查内容在目前的央行内审中是很少涉及的。
3、对内部控制的影响。传统手工业务处理程序强调的是不相容岗位相互分离与牵制,以及对业务处理的授权控制,其安全可以通过健全的内部控制制度得以保证。在信息化环境下,各种业务信息的处理和存储高度集中于计算机系统,内部控制更多地依赖于系统自身的实时控制。手工处理过程中的某些岗位分工和相互牵制被系统权限管理取而代之,如系统操作员、管理员、维护员等权限的设置与管理。同时在信息化环境下计算机信息系统和网络随时都可能遭遇计算机病毒和黑客的攻击,这些不是内部控制所能完全控制的,需要建立许多全新的安全控制,这些控制除了央行内部的管理制度和信息系统程序控制外,还包括外部网及网上交易的安全控制。如何识别、研究、审查和评价这些安全控制,又成了审计的难题。
4、对审计技术手段的影响。在传统审计方式下,审计人员大多数情况下是进行实地审计,采用审阅、核对、分析、比较和验证等方法,所有审计工作由手工操作完成。而信息化环境下,各种业务信息的处理和存储高度集中于计算机系统,业务发生后只要业务人员执行相应的功能,业务便自动处理完毕。为有效防控风险,要求审计工作必须随时、随地进行,实时、即时提供审计信息,而不能按照传统的审计工作要求,定期提供审计信息。因此,它要求审计人员利用计算机进行审计。即通过适当的身份验证与授权,及时审查央行各业务系统的处理信息,及时收集审计证据,并作出可靠的审计结论。而目前央行已运行的100多个业务和管理信息系统,几乎没有哪个系统有审计接口或内置了审计程序,也没有开发出适用于央行内部审计的审计软件。
5、对审计标准和审计准则的影响。信息化环境下,由于审计线索、审计内容以及审计技术手段等发生了一系列的变化,我们以往在审计工作中逐步建立起的一系列审计标准和准则已不完全适用于变化了的情况,需要建立新的审计标准和准则指导审计工作实践。如对信息化环境下审计人员的一般要求、信息系统安全可靠评价标准、信息系统内部控制准则等。
6、对审计立法的影响 。信息化环境下,审计工作同样要依法进行,对业务信息处理是否合规合法等的判断必须以有关法律法规和规章制度为依据。而目前的法律法规,以及央行的规章制度都只适应于传统书面记录形式,信息化时代就必须建立与之相适应的法律法规和规章制度。如电子证据的无形性和易篡改性造成了审计证据确定的困难;电子签名因不同于手书签名而导致法律上难以认定;电子合同的瞬间完成使得合同签订和生效时间的确定存在争议等等。这在一定程度上使得审计工作尤其是合法性审计无法可依,亟需立法加以明确。
7、对审计风险的影响。信息化环境下,传统的岗位职责被打破,内部控制制度发生了变更和转移,安全已不是内部控制所能完全控制的,审计风险包括固有风险、控制风险和检查风险日益复杂化。一是病毒和黑客的入侵随时可威胁信息系统数据和网络的安全,审计的固有风险增大。二是由于在计算机中可人为篡改数据而不留痕迹,同时对如何确认没有白纸黑字和签字盖章的电子信息,以及网上信息传递的保密等问题,控制风险更难确定,检查风险加大。三是审计的主要证据来自系统和网络,属间接证据,其可靠性依赖网络内部制度的健全有效性,审计人员仅仅通过常现的审计测定程序,难以作出完整和准确的评价,检查风险增加。同时由于审计人员缺乏对信息系统和网络的全面认识和理解、审计证据的可靠性问题、审计信息技术本身的不成熟性,以及审计人员对于技术的过分依赖性,对各种数据的来龙去脉、勾稽关系难以做出合理的审计判断,也大大增加了审计检查风险。
8、对审计人员的影响。不管计算机如何发展、技术如何先进,在审计工作中,起决定作用的仍然是审计人员。从审计方案的制定到审计程序的确定,从审计技术选择到审计方法的采用,都必须由审计人员操作和指挥。在信息化环境下,为更好地履行审计监督、鉴证和评价职能,审计人员不仅要具有丰富的业务、审计知识和技能,熟悉各项审计依据,而且还应掌握计算机知识及其应用技术,掌握数据处理和管理技术,对被审计对象计算机软硬件系统有充分的了解,能根据审计过程所出现的种种问题,即时编写出各种测试、审查程序模块。这对审计人员的综合素质提出了更高的要求。
二、信息化环境下加强央行内部审计工作的对策
信息化环境下,央行各项业务信息载体、业务数据生成途径和方式、审计轨迹、管理和控制方法等都发生了变化,给传统的内部审计产生了很大冲击。为使央行内部审计适用央行业务信息化的发展要求,现结合央行实际,提出如下对策与建议,供参考。
1、制定和完善相关的内部审计法规。在信息化环境下,现有的一些审计法规呈现出滞后性,对信息化审计缺乏可操作性。法律上最有效的证据是记录业务发生的原件,但在法律上能否接受计算机的电子信息包括电子签名即无纸化信息作为有效的证据,已成为一个国际性的问题。无纸化的电子信息能否作为审计检查的有效证据,也是亟待解决的问题。要解决这一问题就必须制定和完善相关的审计法规、标准和准则,对电子信息的有效性进行明确的界定,使信息化审计切实做到有法可依。同时我们也要根据相关的审计法规、标准和准则,结合央行实际,及时制定和完善央行内部审计的操作程序和内部控制指引,统一规定信息化环境下内部审计人员应具备的基本条件、职业要求和内部审计的内容、标准和方法,切实提高内审工作的科学性和可操作性。
2、整合业务系统,完善审计环节。信息化环境下,业务处理是实时进行的。尤其是网络化系统,在同一时间可能有多个用户执行同一项功能、调用同一个数据文件,而系统只记录下最终结果。若审计时只对静态系统进行审查,不进行有关运行程序、数据文件的联机实时审计,有时就难以发现存在的问题。通过计算机网络系统实时、动态、全面收集被审对象在业务处理过程中各项指标的变动情况及相关信息,对被审对象日常运营进行动态、实时、持续全过程的监控。这既是国际审计发展的趋势,也是防控审计风险的重要途径。目前,央行运行的100多个业务和管理信息系统,除开发了一个中央银行会计集中核算系统的事后监督程序外,几乎没有哪个系统有审计接口或内置了审计程序。因此,我们建议人民银行总行在全面清理央行各业务管理和核算系统的基础上,从风险控制需要出发,对其进行有效整合,开发与各业务处理系统和管理信息系统的审计接口,形成数据共享的全方位立体信息系统,便于内审对各项业务核算系统进行前期介入。
3、加快审计软件开发,逐步实现审计手段现代化。随着央行业务信息化的迅猛发展, 审计对象的信息化水平越来越高,审计线索、内容等已发生了一系列重大变化,传统的审计手段已越来越不适应审计工作发展的需要。央行体制改革后,央行各级内审部门进行了有益探索,开发了一些审计软件,但由于没有与业务系统对接,作用不是很明显。在信息化环境下内审要掌握监督的主动权、制高点,就必须加快内审的信息化建设,把软件开发和应用作为审计信息化建设的突破口,广泛利用现代化计算机技术,尽快组织力量开发各种内部审计实用操作软件,逐步实现与各业务信息处理系统审计接口的对接,形成具有辅助决策支持的内审综合管理信息系统,打造实时审计平台,实现对风险的实时预警和预测。一是建立审计信息数据采集子系统。主要负责通过审计接口,实时采集被审对象各项业务现场数据信息,并按有关数据交换的格式汇集到内审综合管理信息系统。二是建立内审数据处理子系统。主要负责进行数据交换处理,向上传输数据,向下或同级接收和反馈数据,并进行数据分类汇总处理等,并建立起完备的历史数据库和实时数据库。三是建立业务指标监控子系统。通过该子系统,审计人员可以根据需要及时调阅所有的可读和可视信息记录资料,对系统功能设计、安全防范以及各项业务的真实性、合规性及风险隐患等进行实时有效的检查,从而简化审计手续,降低审计成本,提高审计速度和质量。四是建立审计风险分析预警子系统。建立起一套敏感性强的实时监控指标和风险预警指标,通过系统对现场检查和非现场监控取得的数据进行计算、对比和衡量,分析被审对象业务运行状况、风险状况,客观评价被审对象的风险等级,自动生成审计报告,对可能出现的业务风险实时进行预警预测。五是建立监控指标体系子系统。如关键指标、审计风险检测指标、实时监控指标、日报指标、旬报指标、月报指标、季报指标、年报指标、审计风险评价标准以及国际上公认的各种量化监控指标。六是建立实时审计综合信息查询子系统。主要负责实时采集与实时审计有关业务应用系统的动态信息,供有关人员进行综合查询,为辅助决策提供可靠的信息来源。
4、加强对内部控制的审计,做到一般控制审查和应用控制审查相结合。在手工处理环境下,央行内部控制的重点就是人及其处理的业务。而信息化环境下,业务处理过程包括了手工处理、计算机系统处理、人与计算机进行交互处理这几部分,央行内部控制的重点变成了人及其处理的业务、人机交互处理过程、计算机系统业务处理过程和不同系统之间信息的传递过程,内部控制的重点和环节发生了很大变化。只有对信息系统的内部控制实施审计,才能了解内部控制运行状况并由此确定后续实质性测试的重点和审计程序。信息环境下,一般控制是对信息系统中组织、开发、操作、管理等系统运行环境所进行的控制,通常以制定规章制度、网络安全软件和程序控制形式体现。应用控制是对信息系统的某一具体处理过程施加的控制,主要以程序的形式体现。审计时,应该在对系统一般控制做出评价的基础上,通过读原程序、模拟数据上机测试、上机处理实际业务、采用审计软件等方式测试系统的安全性、控制程序的正确性和有效性,找出控制的薄弱环节,分析潜在的风险因素,对风险加以预防。
5、提高审计风险的防范能力。一是要完善信息化环境下审计质量控制考核管理办法,并对央行内部审计活动的质量进行考核管理。同时建立健全内部审计责任追究制度和审计结果公告制度,进一步规范审计操作行为,提高审计效率和质量。二是针对信息化环境的特点,审计人员要参与系统的开发和设计,对控制过程存在的问题及时提出建议,使被审对象计算机处理环境建立充分有效的内部控制。三是要加强对信息系统管理部门、维护部门和使用部门以及网络管理员、系统管理员、数据库管理员、软硬件维护人员、系统操作人员、档案保管人员及机房管理人员进行安全意识教育及监督管理。
6、加强对审计人员的培养。信息化环境对审计人员的素质提出了更高的要求,为使审计人员跟上信息技术的前进步伐,适应信息化环境下的内部审计工作,我们必须采取多种方式加强对审计人员的培养,不断丰富和完善审计人员的知识结构,提高审计人员的履职能力。一是健全审计人员业务培训与再教育机制,加快审计人员业务、审计、计算机及网络和应用技术知识的更新。二是要大力开展计算机辅助审计技术的培训,提高审计人员的计算机操作水平和审计软件使用水平,使审计人员能广泛开展计算机辅助审计,并不断创新审计方法。三要强化审计人员对数据库程序的学习,直接对数据库中的数据进行采集和转换,并利用查询语句对业务数据进行分析和整理。
(作者:刘立军,来源:福建省内部审计协会网站)
