審計結果下的信息系統審計現狀與建議范文
本站小編為你精心準備了審計結果下的信息系統審計現狀與建議參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
摘要:近年來,隨著金融創新步伐的加快和信息技術的迅速發展,金融業信息系統的安全受到了廣泛關注。關注金融業信息系統審計,對于防范審計風險、有效推動國家治理趨向優化具有重大意義。本文通過研究分析商業銀行審計結果公告,分析現狀并為信息系統審計發展提出建議。
信息技術的不斷進步和大數據技術的發展促使我國信息系統審計在理論和操作實務方面都有了進步。但是重大金融風險也隨著金融業信息化水平的提高而逐漸產生。本文通過研究自2003年推行審計結果公告制度以來的針對金融業的審計公告,研究信息系統審計的發展現狀,識別信息系統審計內容和影響的關鍵因素,對于今后金融機構信息系統審計的發展具有重要意義。
一、文獻回顧
(一)信息系統審計研究現狀現階段,我國已制定一系列信息系統審計準則,但未就如何開展審計活動進行具體說明。美國最早提出系統審計概念,成立了信息系統審計與控制協會。提出注冊信息系統審計師(CISA)認證計劃,了手冊、指南等信息安全審計的實施標準,通過立法規范了信息系統審計。而我國的信息系統審計主要還是以ISACA協會的標準為主。
(二)金融業信息系統審計必要性研究信息系統帶來了效率、效益的提高,但其業務數據處理過程和系統運營也存在一定風險。金融業系統數量龐大,系統開發、更新頻繁,信息系統風險直接影響業務處理和業務職責的展開。一方面銀行相關系統有近百個,業務操作量和信息處理量日益也成倍增加;另一方面大量系統上線導致數據集中處理錯誤增多、錯誤重復風險和運營風險加大。因此,在金融業開展信息系統審計有其必要性。
(三)金融審計的功能金融審計在維護金融系統安全運行等方面發揮了重要的“免疫系統”功能,而信息系統風險和機構內部控制風險依舊很高。金融機構可以實施專門的信息安全審計,或將其作為相關工作的一部分聯合實施,例如IT審計、信息安全風險評估、信息安全管理體系建設等。下文將通過研究商業銀行金融審計公告,進一步探討我國在商業銀行信息系統審計的工作成果及相關情況。
二、基于商業銀行信息系統審計公告的研究
(一)研究方法本文將采用定性研究及兩階段分析法分析商業銀行信息系統審計的發展現狀:第一階段收集審計公告進行內容分析;第二階段分析相關數據。1.數據收集。通過搜集已的商業銀行審計公告,提取有關商業銀行信息系統審計的審計發現、審計建議和審計整改等內容,可以發現系統使用過程中存在不同程度的違規經營、內部控制不到位和風險管理薄弱等問題。審計署2003年以來的商業銀行金融審計結果公告中涉及信息系統審計的公告共10個(見表1)。2.數據分析。通過分析,可以發現審計公告主要從一般控制、應用控制和公司治理3個方面描述審計發現。本文使用定性研究軟件工具Nvivo,通過編碼來分析信息系統審計關注的主要風險點。在運用該定性研究工具時,以上述3個方面為主節點,按照審計發現的風險點原文為內容進行編碼。編碼過程中,會出現同一個問題屬于不同方面的情況,如“完善制度”,若用于“治理結構”則屬于公司治理方面,若用于“人員管理”,則屬于一般控制方面。編碼也會存在不同節點表示同一主題的情況,例如“加大業務監督管理力度”以及“部分信息系統缺少必要的數據控制內容”,都屬于加強風險控制。因此,可以將二者總結為:加強風險控制,規范操作規程。所以編碼時要注意違規行為目的,正確編碼。
(二)研究結果通過風險點編碼,可以發現幾乎所有的審計建議都會提到完善公司治理結構、注重風險管理,加強內控管理和制度建設。表2展示了商業銀行信息系統審計公告中部分審計發現內容及頻次,其中出現頻次最高的三項是“加強風險控制以規范操作規程”(8次),“完善公司治理結構”(6次)和“重視人員管理”(5次)。其他內容只被提到一次,但為了研究的完整性,予以保留。其中,A表示公司治理,B表示一般控制、C表示應用控制。
(三)研究分析1.商業銀行信息系統審計內容分析。研究表明, 信息系統審計中公司治理、一般控制和應用控制均有所提及,重點包括完善風險管理體系、優化公司治理結構等公司治理方面;人員的增刪改、系統開發等一般控制方面;數據庫管理、系統數據控制等應用控制方面。商業銀行尤其重視風險管理,例如完善風險管理體系,提高人員風險防范意識等;特別關注加強防范系統性金融風險,如完善公司治理結構,完善內部控制,推進金融風險監測與評估系統的建設。2.與近三年金融業信息系統審計的對比。將上述結果與美國信息系統審計標準作對比,可發現我國商業銀行信息系統審計未關注的風險包括:機房管理、業務連續性計劃和災難恢復計劃的制定與實施、訪問控制等。這些風險點會直接影響業務操作和業務職責的展開,也應得到重視。為了研究我國金融業信息系統審計發展進程,本文分析了近三年的金融業審計結果公告,包括農業銀行、光大集團、中國人民保險、中國人壽保險和中國太平洋保險的信息系統審計。信息系統問題在相關審計公告中出現的比例達到了100%,檢查出的問題包括系統外包開發的設計、上線及驗收問題、信息系統數據中心的建設等。可以看到,近年來信息系統審計的內容更加全面規范。雖然我國信息系統審計還不夠規范化、系統化,但審計機關開展相關審計的行為對防范金融風險和保障國家金融安全至關重要。3.審計主題劃分。一般來說,審計主題包括財務信息、業務信息、特定行為和特定制度。這些主題都可以通過既定標準判斷真實狀況。將審計公告中提及的審計發現根據審計主題分類,結果如表3所示。針對特定行為的審計主要表現為績效審計,但是在現實中關注的重點依然是合規性,績效審計需要進一步跟進落實。金融缺乏制度規范不僅是對金融機構工作人員的挑戰,也制約了審計作用的發揮。財務信息和業務信息不是信息系統審計的重點,因為信息系統審計主要關注系統安全問題,比如系統內數據的增刪改的行為,審批復核的操作等。信息系統審計會重點關注特定行為的合規性及相關制度流程的健全性。
三、研究總結及建議
(一)處理好金融審計、績效審計與信息系統審計的關系信息系統對金融業至關重要,因此關注系統風險、經營風險和政策風險更有利于防范商業銀行風險、維護金融安全,具體來說可以轉向審計商業銀行的組織結構、風險管理措施、人力資源政策等管理活動的效率和效果。把信息系統審計作為金融審計的重要組成部分,從利用計算機審計階段過渡到對金融業的信息系統進行審計的并行審計階段。從績效審計與信息系統審計的關系來看,可以在信息系統開發、上線、變更等過程中,關注系統開發成本與公司長期效益間的關系、系統的上線是否選擇了合適的時機、系統變更是否符合業務發展的實際需要等。
(二)增強大數據環境下信息系統審計的規范性增強大數據環境下信息系統審計的規范性、加強信息系統審計法律和制度規范至關重要。國際標準不可不用,但也不可照單全收,可以探索有中國特色的信息系統審計方法。特別是在大數據環境下,可以利用數據共享平臺、數據挖掘等實施大數據審計,促進審計發展。完善信息系統審計的法律法規、準則規范,可以明確信息系統審計權限和工作職責,規范人員行為。
(三)培養信息系統審計的專業人才審計人員可以加入企業系統開發過程,完成事中審計,加深了解信息系統,通過信息系統內部控制設計與執行環節的審計,并據此制定審計方案,提高審計人員對信息系統審計的敏感度。審計人員也可以通過自主學習或參加相關的信息系統審計培訓,以獲得更多的信息系統審計知識,成為一名優秀的系統審計人。
參考文獻:
[1]杜寧寧,趙慶亮.淺談信息安全審計在金融行業的實踐[J].中國內部審計,2012,(04):66-68.
[2]呂勁松,張晉.基于審計結果公告的金融審計績效分析[J].審計研究,2015,(01):31-36.
[3]何欣哲.大數據審計護航現代金融體系構建[N].中國會計報,2016-07-08(008).
[4]王慧云.淺談國家金融審計的“免疫系統”功能[J].納稅,2017,(18):80-82.
[5]魏明,喬瀧楠.金融審計參與國家治理的路徑研究[J].財會月刊,2016,(04):62-65.
作者:朱瑤 單位:南京審計大學
