郭　強(qiáng)

2009年3月,筆者有幸隨審計(jì)署培訓(xùn)團(tuán)赴澳大利亞進(jìn)行IT審計(jì)培訓(xùn),在悉尼科技大學(xué)(University of Technology,Sydney)接受了系統(tǒng)的IT審計(jì)培訓(xùn),其間拜會(huì)了新南威爾士州、維多利亞州等州審計(jì)署,并與ANAO審計(jì)同行相互學(xué)習(xí)、交流、探討,對(duì)澳大利亞IT審計(jì)現(xiàn)狀與發(fā)展、范圍與目標(biāo)、程序與流程、技術(shù)與方法等有了較為深刻的體會(huì),學(xué)習(xí)了先進(jìn)IT審計(jì)理念,開闊了視野,增長(zhǎng)了見(jiàn)識(shí),拓展了思路,對(duì)今后的IT審計(jì)工作大有裨益。現(xiàn)就澳大利亞IT審計(jì)的特點(diǎn)與筆者的膚淺體會(huì)與大家共享。

一、澳大利亞IT審計(jì)的特點(diǎn)

澳大利亞審計(jì)署(ANAO)分為聯(lián)邦審計(jì)署和州審計(jì)署,在各自審計(jì)長(zhǎng)的領(lǐng)導(dǎo)下,對(duì)管轄范圍內(nèi)的單位進(jìn)行審計(jì)。其政府審計(jì)分為財(cái)務(wù)審計(jì)和績(jī)效審計(jì)兩部分,這兩種審計(jì)中都涉及到以計(jì)算機(jī)為基礎(chǔ)的IT審計(jì),所占比例達(dá)到20%至30%。ANAO的IT審計(jì)發(fā)展經(jīng)歷了三個(gè)階段:第一階段是技術(shù)層面(Technical Level)的審計(jì),如程序代碼、數(shù)據(jù)輸入輸出控制、數(shù)據(jù)備份;第二是操作層面(Operational Level)的審計(jì),如計(jì)算機(jī)核心操作、軟件應(yīng)用、物理安全與邏輯安全;第三是管理層面(Management/Governance Level)的審計(jì),如操作結(jié)構(gòu)、商業(yè)可持續(xù)性、風(fēng)險(xiǎn)管理、項(xiàng)目管理、服務(wù)傳輸、安全管理、資源管理、執(zhí)行矩陣、信息管理等。經(jīng)過(guò)多年的研究和發(fā)展,澳大利亞已形成了較為完善的國(guó)家審計(jì)體系,并長(zhǎng)期處于世界領(lǐng)先地位,尤其在IT審計(jì)理論與技術(shù)領(lǐng)域,積累了豐富的經(jīng)驗(yàn)和成果,目前已進(jìn)入到注重管理層面審計(jì)的階段,重在把握對(duì)IT項(xiàng)目經(jīng)濟(jì)、效率、效果的評(píng)價(jià)和項(xiàng)目開發(fā)的合規(guī)、安全上,標(biāo)志著澳大利亞IT審計(jì)已經(jīng)非常成熟。筆者發(fā)現(xiàn)澳大利亞IT審計(jì)存在如下特點(diǎn):

特點(diǎn)一:IT審計(jì)各個(gè)方面均執(zhí)行相對(duì)規(guī)范的標(biāo)準(zhǔn)

ANAO開展IT審計(jì),執(zhí)行相對(duì)規(guī)范的標(biāo)準(zhǔn),如在IT項(xiàng)目管理方面,執(zhí)行國(guó)際通用的Gateway、Prince2(Projects In a Controlled Environment2)、PMBOK(Project Management Body of Knowledge)等標(biāo)準(zhǔn);在IT服務(wù)傳輸與服務(wù)管理方面,執(zhí)行COBIT(Control Objectives for Information and related Technology)、MOF(Microsoft Operations Framework)、ITIL(IT Infrastructure Library)等標(biāo)準(zhǔn);在IT安全方面,執(zhí)行信息安全標(biāo)準(zhǔn)ISO17799;在IT風(fēng)險(xiǎn)管理方面,則執(zhí)行澳大利亞國(guó)家標(biāo)準(zhǔn):AS/NZ4360:2005風(fēng)險(xiǎn)管理標(biāo)準(zhǔn),等等。各類標(biāo)準(zhǔn)具體規(guī)定了審計(jì)人員在審計(jì)某一類型項(xiàng)目時(shí)的方法、程序步驟、工作重點(diǎn),具有很強(qiáng)的可操作性。它既為沒(méi)有經(jīng)驗(yàn)的審計(jì)人員提供了一個(gè)詳實(shí)的可供參照的操作規(guī)程,又約束了審計(jì)人員的行為,減少和避免審計(jì)人員工作中的隨意性。正是由于嚴(yán)格按照各類標(biāo)準(zhǔn)開展審計(jì),ANAO的審計(jì)尤其是IT審計(jì)的質(zhì)量都得到了可靠的保證。

特點(diǎn)二:IT審計(jì)綜合運(yùn)用各種信息技術(shù)

ANAO的審計(jì)人員在下列情況下,可應(yīng)用計(jì)算機(jī)輔助審計(jì)技術(shù):一種是在運(yùn)用制度遵守性和數(shù)據(jù)真實(shí)性程序中缺少輸入文件和缺乏可見(jiàn)的審計(jì)蹤跡時(shí);另一種是通過(guò)利用計(jì)算機(jī)輔助審計(jì)技術(shù)可以改進(jìn)審計(jì)程序的效果和效率時(shí)。計(jì)算機(jī)輔助審計(jì)技術(shù)有多種,一是用于審計(jì)目的的審計(jì)軟件和工具,用以處理來(lái)源于單位會(huì)計(jì)制度的重要審計(jì)數(shù)據(jù)。傳統(tǒng)的CAAT(Computer Assisted Audit Techniques)工具有SQL(Structure Query Language,如MySQL)、Microsoft Access、Excel。其他一些風(fēng)險(xiǎn)分析與計(jì)劃管理軟件如Methodware、司法模式鑒定軟件如Netmap、證據(jù)采集與鏡像軟件如Encase等,也被因地制宜地運(yùn)用到審計(jì)中去。通過(guò)各種審計(jì)軟件和工具,審計(jì)人員可以方便地對(duì)數(shù)據(jù)進(jìn)行排序、求和、篩選等操作,并能生成審計(jì)人員需要的各類圖表。二是數(shù)據(jù)測(cè)試技術(shù),用以檢驗(yàn)應(yīng)用程序、控制程序和信息系統(tǒng)的可靠性。在執(zhí)行審計(jì)程序時(shí),將數(shù)據(jù)錄入被審計(jì)單位的信息系統(tǒng),跟蹤某項(xiàng)業(yè)務(wù)直至數(shù)據(jù)輸出,將獲得結(jié)果同預(yù)期結(jié)果相比較,以檢查訪問(wèn)權(quán)控制的有效性和輸入有效性控制的執(zhí)行情況。如對(duì)工資處理程序?qū)徲?jì)中,使用不同身份的人員登錄,輸入不同類型的數(shù)據(jù)測(cè)試。

特點(diǎn)三:IT審計(jì)圍繞風(fēng)險(xiǎn)控制

ANAO一貫秉持。風(fēng)險(xiǎn)控制的理念,每年都對(duì)其風(fēng)險(xiǎn)管理計(jì)劃的執(zhí)行情況進(jìn)行回顧,根據(jù)外部環(huán)境的變化,修改業(yè)務(wù)要求考慮戰(zhàn)略層次和操作層次等不同層次的風(fēng)險(xiǎn),開展了以識(shí)別和處理經(jīng)營(yíng)風(fēng)險(xiǎn)及舞弊風(fēng)險(xiǎn)為核心的風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì),建立了全面的風(fēng)險(xiǎn)管理框架,規(guī)避與防范風(fēng)險(xiǎn)。這一框架既包括對(duì)ANAO整體的風(fēng)險(xiǎn)管理計(jì)劃,也包括對(duì)每一工作領(lǐng)域的風(fēng)險(xiǎn)管理計(jì)劃。它陳述了所有ANAO已識(shí)別的風(fēng)險(xiǎn),從“確定風(fēng)險(xiǎn)存在的環(huán)境”、“識(shí)別風(fēng)險(xiǎn)”、“分析風(fēng)險(xiǎn)”、“評(píng)價(jià)風(fēng)險(xiǎn)”和“處理風(fēng)險(xiǎn)”等五個(gè)環(huán)節(jié),合理地確定風(fēng)險(xiǎn)的控制措施,將風(fēng)險(xiǎn)減少到可以接受的水平。通過(guò)評(píng)估計(jì)算機(jī)設(shè)備、電子數(shù)據(jù)、信息通訊的安全性,以評(píng)估信息系統(tǒng)的固有風(fēng)險(xiǎn);通過(guò)評(píng)估系統(tǒng)開發(fā)控制、內(nèi)部管理控制、訪問(wèn)權(quán)限控制,以評(píng)估信息系統(tǒng)的控制風(fēng)險(xiǎn);通過(guò)對(duì)數(shù)據(jù)輸入控制的測(cè)試、數(shù)據(jù)通訊和數(shù)據(jù)處理控制的測(cè)試和數(shù)據(jù)輸出控制的測(cè)試,以評(píng)估信息系統(tǒng)的檢查風(fēng)險(xiǎn)。

特點(diǎn)四:IT審計(jì)統(tǒng)籌考慮成本與收益

ANAO開展IT審計(jì),統(tǒng)籌考慮成本與收益,努力在審計(jì)時(shí)間、審計(jì)費(fèi)用和審計(jì)質(zhì)量三者之間尋求較好的平衡點(diǎn),以求IT審計(jì)如同經(jīng)濟(jì)活動(dòng)一樣,達(dá)到效率性(Efficiency)、效果性(Effectiveness)與經(jīng)濟(jì)性(Economy)的完美結(jié)合。為此,他們對(duì)每一項(xiàng)IT審計(jì)工作都做出周密部署:在編制審計(jì)計(jì)劃時(shí),確定對(duì)信息系統(tǒng)控制的可信賴程度;制定關(guān)于何時(shí)、何處與如何檢查信息系統(tǒng)功能的計(jì)劃;制定關(guān)于利用IT審計(jì)技術(shù)進(jìn)行的審計(jì)程序計(jì)劃;分析IT審計(jì)技術(shù)的可行性、預(yù)期效果與效率;考慮時(shí)間因素。在實(shí)施審計(jì)時(shí),收集與審計(jì)計(jì)劃有關(guān)的信息系統(tǒng)環(huán)境的資料,包括信息系統(tǒng)的功能情況以及計(jì)算機(jī)處理的集中或分布程度、使用的計(jì)算機(jī)硬件和軟件、數(shù)據(jù)重置情況等;注意傳統(tǒng)審計(jì)技術(shù)和IT審計(jì)技術(shù)相結(jié)合、IT審計(jì)人員與非IT審計(jì)人員相結(jié)合,考慮審計(jì)人員的資質(zhì)與背景;考慮被審計(jì)單位在哪些重要方面應(yīng)用了IT技術(shù),其程度如何,及其對(duì)審計(jì)的影響,以確定合適而恰當(dāng)?shù)膶徲?jì)方法。

特點(diǎn)五:注重IT審計(jì)人才培養(yǎng)

ANAO始終把人才培養(yǎng)放在第一位,積極引進(jìn)既有審計(jì)經(jīng)驗(yàn)又具備高層次IT知識(shí)技能的復(fù)合型人才,同時(shí)對(duì)審計(jì)人員有計(jì)劃、有步驟地進(jìn)行IT知識(shí)后續(xù)教育,此外還在審計(jì)中積極吸收IT審計(jì)方面的專家為IT審計(jì)提供技術(shù)咨詢與服務(wù),保證了審計(jì)項(xiàng)目的順利實(shí)施,也鍛煉了該國(guó)的IT審計(jì)隊(duì)伍。目前,該國(guó)已形成一支知識(shí)呈階梯狀的IT審計(jì)隊(duì)伍:首先是普通IT審計(jì)人員,他們理解操作系統(tǒng)、系統(tǒng)軟件、應(yīng)用軟件和網(wǎng)絡(luò)環(huán)境等概念,并具備一些病毒防護(hù)、入侵偵測(cè)、授權(quán)管理等信息安全控制方面的知識(shí);其次是IT審計(jì)管理者,他們除具備普通IT審計(jì)人員應(yīng)具備的技能與知識(shí)外,還深刻理解IT審計(jì)的要點(diǎn),以便于科學(xué)計(jì)劃、測(cè)試、分析、報(bào)告、跟蹤,并合理地組織項(xiàng)目實(shí)施;再高一層是IT審計(jì)專家,他們深刻理解信息系統(tǒng)底層技術(shù),并熟悉與之有關(guān)的威脅和弱點(diǎn),同時(shí)在數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)技術(shù)等領(lǐng)域有較高造詣。

二、收獲和體會(huì)

澳大利亞網(wǎng)絡(luò)不如我國(guó)普及,但在IT審計(jì)理論與實(shí)踐方面卻是走在許多經(jīng)濟(jì)發(fā)達(dá)國(guó)家的前列。經(jīng)過(guò)澳大利亞之行,筆者深有收獲和體會(huì):

(一)樹立先進(jìn)的IT審計(jì)理念。通過(guò)培訓(xùn)和考察,筆者發(fā)現(xiàn)目前我國(guó)計(jì)算機(jī)審計(jì)在技術(shù)方法層面上并不遜于澳大利亞。澳大利亞審計(jì)中使用了傳統(tǒng)的SQL Server、Microsoft Access、Excel,為我國(guó)審計(jì)人員所熟知并熟練使用。我國(guó)審計(jì)人員使用的集項(xiàng)目管理、數(shù)據(jù)采集、統(tǒng)計(jì)抽樣、經(jīng)驗(yàn)利用、報(bào)告生成于一體的AO軟件,甚至比ANAO所使用的許多軟件更為先進(jìn);我國(guó)審計(jì)人員在OLAP(多維分析技術(shù))、數(shù)據(jù)挖掘技術(shù)等尖端技術(shù)的研究方面,也絲毫不遜于澳大利亞。澳大利亞在IT審計(jì)方面取得令人矚目的成績(jī),支撐其取得實(shí)效的并不在于技術(shù)方法,而是審計(jì)人員的IT審計(jì)理念。我們要充分認(rèn)識(shí)到:如果不搞IT審計(jì),審計(jì)內(nèi)容就不全面,我們就無(wú)法實(shí)現(xiàn)融入世界審計(jì)主流的目標(biāo)。更重要的是,開展IT審計(jì)是對(duì)“免疫系統(tǒng)”理論的積極回應(yīng),是對(duì)審計(jì)署認(rèn)真踐行科學(xué)發(fā)展觀的體現(xiàn)。

(二)建立規(guī)范的IT審計(jì)程序。無(wú)論是授課老師,還是兩州審計(jì)同行,無(wú)不強(qiáng)調(diào)“程序和政策”(Procedures & Policies)。面對(duì)我國(guó)IT審計(jì)指南缺失的現(xiàn)狀,我國(guó)審計(jì)機(jī)關(guān)應(yīng)當(dāng)盡快將審計(jì)程序設(shè)計(jì)與審計(jì)技術(shù)方法的運(yùn)用有機(jī)結(jié)合,規(guī)范和引導(dǎo)審計(jì)人員運(yùn)用適當(dāng)?shù)膶徲?jì)技術(shù)和方法,把審計(jì)技術(shù)與方法融入到規(guī)范的審計(jì)程序之中,要求并指導(dǎo)審計(jì)人員合理運(yùn)用審計(jì)技術(shù);同時(shí),順應(yīng)經(jīng)濟(jì)全球化的發(fā)展趨勢(shì),建立與國(guó)際審計(jì)準(zhǔn)則接軌的中國(guó)IT審計(jì)準(zhǔn)則,規(guī)范IT審計(jì)的工作。針對(duì)我國(guó)IT審計(jì)中存在審計(jì)人員在運(yùn)用審計(jì)技術(shù)和方法缺少規(guī)范與約束的問(wèn)題,建議將COBIT的IT治理思想和框架,引入審計(jì)業(yè)務(wù)支撐體系的質(zhì)量控制中,科學(xué)、系統(tǒng)地對(duì)信息及相關(guān)技術(shù)進(jìn)行管理,實(shí)現(xiàn)了審計(jì)戰(zhàn)略與IT戰(zhàn)略的互動(dòng),并形成持續(xù)改進(jìn)的良性循環(huán)機(jī)制,這對(duì)于規(guī)范IT審計(jì)程序、提高IT審計(jì)質(zhì)量具有重要的現(xiàn)實(shí)意義。

(三)培養(yǎng)大批的IT審計(jì)人才。目前,我國(guó)在IT審計(jì)方面的人才還比較匱乏,尤其是缺少國(guó)際上認(rèn)可的具有相當(dāng)職稱的高級(jí)人才,如CISA國(guó)際注冊(cè)信息系統(tǒng)審計(jì)師認(rèn)證、COBIT Foundation認(rèn)證、Prince2認(rèn)證、ITIL Manager認(rèn)證等。IT技術(shù)的發(fā)展,對(duì)中國(guó)審計(jì)師提出了更高的要求;缺少高層次的IT審計(jì)人才,將成為制約我國(guó)IT審計(jì)事業(yè)發(fā)展的瓶頸。在國(guó)際同行的業(yè)務(wù)中,傳統(tǒng)審計(jì)服務(wù)的比例日趨下降,風(fēng)險(xiǎn)控制服務(wù)和管理咨詢服務(wù)的比重大幅提高,這些增長(zhǎng)的部分往往又和IT環(huán)境審計(jì)和信息系統(tǒng)安全審計(jì)服務(wù)密切相關(guān)。如果我們未能未雨綢繆,不及早做好人才儲(chǔ)備,將無(wú)法適應(yīng)IT審計(jì)發(fā)展的需要。

(作者單位:審計(jì)署駐鄭州特派員辦事處)