金融企業(yè)是IT（信息技術）運用最廣泛的領域，IT已從傳統(tǒng)的后臺支持轉(zhuǎn)變?yōu)闃I(yè)務競爭的籌碼，由于處于國民經(jīng)濟中的特殊地位，其安全性尤其受到各方面的重視，作為監(jiān)督部門的審計如何為其保駕護航？在此，筆者就美國金融企業(yè)IT的審計的特點及其背景作一分析，以期對我們有所啟示。

　　一、美國金融企業(yè)IT審計的主要特點

　　1、信息技術專項審計明顯增多。上世紀90年代中期，美國從事金融企業(yè)IT審計的人員有55％—70％的工作都是協(xié)助財務審計人員，到2000年這一比例下降到了50％以下。尤其是計算機“千年蟲”事件使人們深刻地意識到信息技術自身安全的重要性，在處理這一事件中，信息技術專項審計發(fā)揮了重要作用，得到了監(jiān)管者、董事會及管理者的高度重視。 IT審計已不是財務審計的配角，它已成為風險管理的重要工具，成為金融企業(yè)有效實行IT治理的保證。

　　2、采用以風險為基礎的審計方法。實行以風險為基礎的審計前提是建立風險評分系統(tǒng)，即參照美國注冊會計師協(xié)會、信息系統(tǒng)審計與控制協(xié)會（1SACA）、內(nèi)部審計協(xié)會（IIA）等組織所發(fā)布的業(yè)界標準或自身的經(jīng)驗，使用統(tǒng)一的方法對信息技術每個方面的風險大小進行評估打分，評出低、中、高或從1—5的數(shù)字風險等級，一般為一年一次，但如果金融企業(yè)在IT方面經(jīng)歷了明顯的變化則需增加評估的次數(shù)。對每一領域?qū)徲嫷念l率與深度都由評估結果決定。從一個審計周期來看，高風險、中等風險、低風險領域一般分別不超過12、24、36個月。以風險為基礎的IT審計使審計人員能夠在對風險全面監(jiān)控的基礎上集中審計資源于高風險領域，確保了審計對風險的控制質(zhì)量。

　　3、外包內(nèi)部IT審計比較常見。合理的IT審計外包既可以保證審計質(zhì)量又可以充分利用外部資源，解決內(nèi)部IT審計人員不足問題。美國金融企業(yè)通過采取三個方面的措施來降低外包IT內(nèi)審的風險：一是保證外包者的獨立性。2002年的《薩班斯—奧克斯萊法案》禁止上市公司外部審計人員在實施財務報告審計的同時外包該公司內(nèi)審業(yè)務，聯(lián)邦存款保險公司要求總資產(chǎn)在5億以上的成員機構，不管它們是否是上市公司均應遵守該法案的這項規(guī)定，并鼓勵其他的金融企業(yè)遵守。二是對IT內(nèi)審外包者實行一定的控制。明確指出任何關于本企業(yè)的信息都必須保密，如審計工作底稿的保存時間、變更服務合同的條件、向董事會和高級管理者報告的方式和頻率等。三是管理部門要做好充分準備應付合同執(zhí)行的意外情況，以防出現(xiàn)審計缺口。如合同的突然終止引起外包安排的結束等。

　　4、IT審計是金融企業(yè)控制技術服務提供商（TSP）的重要手段。金融企業(yè)的特長是經(jīng)營貨幣而不是信息技術，出于利用外部技術專家、降低成本、專注于發(fā)展自己的核心業(yè)務、解決IT人員不足等原因，美國金融企業(yè)外包部分或全部IT業(yè)務給TSP比較常見。對于有外包的金融企業(yè)，局限于內(nèi)部的IT審計已不能滿足安全需要，為了防止由于TSP內(nèi)部控制不善、技術競爭力不強、不能有效保護客戶信息等原因而帶給自己風臉，企業(yè)要對TSP的信息技術及相關控制等實施嚴格的監(jiān)控，對TSP進行IT審計是其重要手段。一般在合同中就應明確對TSP有審計的權利，可以采用金融企業(yè)內(nèi)審人員直接審計、接受并審查由TSP審計人員提供的審計報告的方法，但最常用的是聘請獨立于金融企業(yè)與TSP的第三方審計人員實施對TSP的審計，要求第三方審計人員同時向TSP、本企業(yè)的管理層及內(nèi)部審計人員提供根據(jù)美國注冊會計師協(xié)會的SAS 70標準提出的審計報告。

　　5、IT審計功能是否健全是金融監(jiān)管當局決定監(jiān)管關注程度的重要因素。負責制定對金融機構實施聯(lián)邦檢查統(tǒng)一原則、標準和報告的聯(lián)邦金融機構檢查委員會（FFIEC）早在1978年就制定了信息系統(tǒng)評級體系，1999年調(diào)整并更名為信息技術統(tǒng)一評級體系（URSIT），由綜合等級和四個成份等級構成。綜合等級的評定基礎是四個成份等級，審計從1978年到現(xiàn)在一直排在四個成份等級之首，而且在1999年的調(diào)整中得到了進一步加強。如果審計作用不充分，那么不管其他成份等級如何，其綜合等級只能是在3— 5之間，需引起特別監(jiān)管注意。同時IT審計的情況還可通過CAMELS評級體系中的管理等因素影響到監(jiān)管當局對金融企業(yè)安全性與可靠性監(jiān)管關注程度。監(jiān)管的壓力迫使金融企業(yè)在IT內(nèi)審人員不足的情況下外包內(nèi)部審計以提高審計質(zhì)量。

　　6、IT審計與公司治理形成了良性互動關系。良好的公司治理為IT審計的發(fā)展提供了控制環(huán)境和制度基礎。董事會、高級管理者、審計管理部門、內(nèi)外部審計人員在審計過程中分工細致、責任明確。并保證了審計的獨立性。隨著金融企業(yè)對IT的依賴性越來越大，IT控制的作用越來越大，IT治理機制已成為落實公司治理的重要手段，IT審計也就成為實現(xiàn)IT與業(yè)務的匹配管理、IT價值貢獻管理、IT風險管理、IT績效管理等的重要保證，花旗銀行等美國大金融企業(yè)已經(jīng)引進或正在引進IT治理機制，日益彰顯IT審計的重要性。

　　二、特點形成的背景分析

　　1、有關各方都十分重視IT審計尤其是專項IT審計在IT發(fā)展中的作用。IT審計是解決IT“超額預算”、“投資黑洞”、“服務品質(zhì)低劣”等問題的必要手段，它可以維持IT控制、IT風險管理及公司治理的有效性，對于金融企業(yè)每年高額的IT投資來說，引入IT審計就像引入會計、審計對企業(yè)資產(chǎn)和經(jīng)營進行監(jiān)督一樣意義重大。早在上世紀60年代，美國金融企業(yè)內(nèi)部就設立了電子數(shù)據(jù)處理審計及安全辦公室，在計算機“千年蟲”事件中，IT專項審計發(fā)揮了重要作用，使人們深刻地意識到信息技術自身安全的重要性，引起了金融企業(yè)、監(jiān)管當局等有關方面的高度重視。其直接表現(xiàn)就是：IT專項審計加速發(fā)展，已不再是財務審計的配角，同時監(jiān)管當局也加大了對金融企業(yè)IT審計的監(jiān)管。安然等事件后出臺的《薩班斯—奧克斯萊法案》也清楚地表明了國會希望在財務報告中包含信息技術審計的可靠性。

　　2、審計人員可利用的資源豐富。主要包括：

　?。?）美國注冊會計師協(xié)會、ISACA、內(nèi)部審計協(xié)會、ISO等組織所發(fā)布的標準或研究成果在美國都得到了充分運用。

　?。?）國會頒布的涉及IT的法律較全。（3）FFIEC等金融監(jiān)管機構頒布的部門規(guī)章更是及時而全面。

　?。?）專業(yè)審計軟件的水平較高。

　　3、外部IT人才相對充足，使IT專項審計與外包成為可能。美國IT人才相對其他國家來說，比較充足，加之金融業(yè)發(fā)達，與之相關的其他業(yè)務也比較成熟。

　?。?）TSP的IT技術力量雄厚。他們不但精通IT業(yè)務，而且熟悉金融業(yè)務，使很多金融企業(yè)傾向于集中時間和財力加強核心策略，即充當顧客需求與市場之間的金融中介人，而將自己不擅長的IT外包。

　?。?）外部IT審計人員實力很強。有人曾對美國前幾家大會計師事務所進行調(diào)查并估計，它們各自的IT審計人員將從1990年的不足100人發(fā)展到 2005年-+超過5000人。

　　三、對我國金融企業(yè)IT審計的啟示

　　當前我國金融企業(yè)的信息技術飛速發(fā)展，但IT審計沒有發(fā)揮應有的作用，發(fā)展我國金融企業(yè)IT審計勢在必行。

　?。?）有關各方要重視IT審計尤其是專項審計在信息技術建設中的作用。企業(yè)要充分重視IT內(nèi)審的作用，完善公司治理機制，保證內(nèi)審的獨立性。監(jiān)管部門應加強對金融企業(yè)的IT審計的監(jiān)管。我國IT發(fā)展已有多年，但對IT的監(jiān)管幾乎是一片空白，監(jiān)管者應將IT安全作為監(jiān)管的重要內(nèi)容，將IT審計作為評價其安全性的重要因素，通過現(xiàn)場及非現(xiàn)場檢查對金融企業(yè)進行督促。國家審計應加強對金融企業(yè)信息技術本身的審計。

　　（2）積極解決IT審計人才不足的問題。一方面有關各方要積極吸引人才、加強在職人員培養(yǎng)。另一方面從長遠來看，金融企業(yè)應增加IT技術尤其是通用技術的外包，將大批內(nèi)部 IT開發(fā)人員適當轉(zhuǎn)化為固定的IT內(nèi)部審計人員。

　?。?）為IT審計人員提供豐富的審計資源。國家應制定、完善有關法律，盡快制定與國際接軌的IT安全與審計標準，借鑒美國等先進國家的做法探索專門針對信息技術安全與審計的方法、技術，及時出臺一些具體的操作指南或手冊，同時加緊開發(fā)一些審計軟件，使IT審計變得相對簡單、具體而規(guī)范化。

　?。?）重視IT審計在對TSP實施控制中的作用。雖然傳統(tǒng)上我國金融企業(yè)都熱衷于自行開發(fā)IT尤其是核算業(yè)務技術，但外包IT業(yè)務是國際趨勢，尤其是對于中小金融企業(yè)，浦發(fā)與聯(lián)想、中信與IBM在核心銀行業(yè)務領域的合作標志著我國金融企業(yè)外包IT業(yè)務已經(jīng)邁開了步伐，如何利用審計等措施來控制TSP應引起有關各方的重視。算業(yè)務技術，但外包IT業(yè)務是國際趨勢，尤其是對于中小金融企業(yè)，浦發(fā)與聯(lián)想、中信與IBM在核心銀行業(yè)務領域的合作標志著我國金融企業(yè)外包IT業(yè)務已經(jīng)邁開了步伐，如何利用審計等措施來控制TSP應引起有關各方的重視。