美章网 资料文库 审计结果下的信息系统审计现状与建议范文

审计结果下的信息系统审计现状与建议范文

本站小编为你精心准备了审计结果下的信息系统审计现状与建议参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。

审计结果下的信息系统审计现状与建议

摘要:近年来,随着金融创新步伐的加快和信息技术的迅速发展,金融业信息系统的安全受到了广泛关注。关注金融业信息系统审计,对于防范审计风险、有效推动国家治理趋向优化具有重大意义。本文通过研究分析商业银行审计结果公告,分析现状并为信息系统审计发展提出建议。

关键词:商业银行;信息系统审计;审计结果公告;现状建议

信息技术的不断进步和大数据技术的发展促使我国信息系统审计在理论和操作实务方面都有了进步。但是重大金融风险也随着金融业信息化水平的提高而逐渐产生。本文通过研究自2003年推行审计结果公告制度以来的针对金融业的审计公告,研究信息系统审计的发展现状,识别信息系统审计内容和影响的关键因素,对于今后金融机构信息系统审计的发展具有重要意义。

一、文献回顾

(一)信息系统审计研究现状现阶段,我国已制定一系列信息系统审计准则,但未就如何开展审计活动进行具体说明。美国最早提出系统审计概念,成立了信息系统审计与控制协会。提出注册信息系统审计师(CISA)认证计划,了手册、指南等信息安全审计的实施标准,通过立法规范了信息系统审计。而我国的信息系统审计主要还是以ISACA协会的标准为主。

(二)金融业信息系统审计必要性研究信息系统带来了效率、效益的提高,但其业务数据处理过程和系统运营也存在一定风险。金融业系统数量庞大,系统开发、更新频繁,信息系统风险直接影响业务处理和业务职责的展开。一方面银行相关系统有近百个,业务操作量和信息处理量日益也成倍增加;另一方面大量系统上线导致数据集中处理错误增多、错误重复风险和运营风险加大。因此,在金融业开展信息系统审计有其必要性。

(三)金融审计的功能金融审计在维护金融系统安全运行等方面发挥了重要的“免疫系统”功能,而信息系统风险和机构内部控制风险依旧很高。金融机构可以实施专门的信息安全审计,或将其作为相关工作的一部分联合实施,例如IT审计、信息安全风险评估、信息安全管理体系建设等。下文将通过研究商业银行金融审计公告,进一步探讨我国在商业银行信息系统审计的工作成果及相关情况。

二、基于商业银行信息系统审计公告的研究

(一)研究方法本文将采用定性研究及两阶段分析法分析商业银行信息系统审计的发展现状:第一阶段收集审计公告进行内容分析;第二阶段分析相关数据。1.数据收集。通过搜集已的商业银行审计公告,提取有关商业银行信息系统审计的审计发现、审计建议和审计整改等内容,可以发现系统使用过程中存在不同程度的违规经营、内部控制不到位和风险管理薄弱等问题。审计署2003年以来的商业银行金融审计结果公告中涉及信息系统审计的公告共10个(见表1)。2.数据分析。通过分析,可以发现审计公告主要从一般控制、应用控制和公司治理3个方面描述审计发现。本文使用定性研究软件工具Nvivo,通过编码来分析信息系统审计关注的主要风险点。在运用该定性研究工具时,以上述3个方面为主节点,按照审计发现的风险点原文为内容进行编码。编码过程中,会出现同一个问题属于不同方面的情况,如“完善制度”,若用于“治理结构”则属于公司治理方面,若用于“人员管理”,则属于一般控制方面。编码也会存在不同节点表示同一主题的情况,例如“加大业务监督管理力度”以及“部分信息系统缺少必要的数据控制内容”,都属于加强风险控制。因此,可以将二者总结为:加强风险控制,规范操作规程。所以编码时要注意违规行为目的,正确编码。

(二)研究结果通过风险点编码,可以发现几乎所有的审计建议都会提到完善公司治理结构、注重风险管理,加强内控管理和制度建设。表2展示了商业银行信息系统审计公告中部分审计发现内容及频次,其中出现频次最高的三项是“加强风险控制以规范操作规程”(8次),“完善公司治理结构”(6次)和“重视人员管理”(5次)。其他内容只被提到一次,但为了研究的完整性,予以保留。其中,A表示公司治理,B表示一般控制、C表示应用控制。

(三)研究分析1.商业银行信息系统审计内容分析。研究表明, 信息系统审计中公司治理、一般控制和应用控制均有所提及,重点包括完善风险管理体系、优化公司治理结构等公司治理方面;人员的增删改、系统开发等一般控制方面;数据库管理、系统数据控制等应用控制方面。商业银行尤其重视风险管理,例如完善风险管理体系,提高人员风险防范意识等;特别关注加强防范系统性金融风险,如完善公司治理结构,完善内部控制,推进金融风险监测与评估系统的建设。2.与近三年金融业信息系统审计的对比。将上述结果与美国信息系统审计标准作对比,可发现我国商业银行信息系统审计未关注的风险包括:机房管理、业务连续性计划和灾难恢复计划的制定与实施、访问控制等。这些风险点会直接影响业务操作和业务职责的展开,也应得到重视。为了研究我国金融业信息系统审计发展进程,本文分析了近三年的金融业审计结果公告,包括农业银行、光大集团、中国人民保险、中国人寿保险和中国太平洋保险的信息系统审计。信息系统问题在相关审计公告中出现的比例达到了100%,检查出的问题包括系统外包开发的设计、上线及验收问题、信息系统数据中心的建设等。可以看到,近年来信息系统审计的内容更加全面规范。虽然我国信息系统审计还不够规范化、系统化,但审计机关开展相关审计的行为对防范金融风险和保障国家金融安全至关重要。3.审计主题划分。一般来说,审计主题包括财务信息、业务信息、特定行为和特定制度。这些主题都可以通过既定标准判断真实状况。将审计公告中提及的审计发现根据审计主题分类,结果如表3所示。针对特定行为的审计主要表现为绩效审计,但是在现实中关注的重点依然是合规性,绩效审计需要进一步跟进落实。金融缺乏制度规范不仅是对金融机构工作人员的挑战,也制约了审计作用的发挥。财务信息和业务信息不是信息系统审计的重点,因为信息系统审计主要关注系统安全问题,比如系统内数据的增删改的行为,审批复核的操作等。信息系统审计会重点关注特定行为的合规性及相关制度流程的健全性。

三、研究总结及建议

(一)处理好金融审计、绩效审计与信息系统审计的关系信息系统对金融业至关重要,因此关注系统风险、经营风险和政策风险更有利于防范商业银行风险、维护金融安全,具体来说可以转向审计商业银行的组织结构、风险管理措施、人力资源政策等管理活动的效率和效果。把信息系统审计作为金融审计的重要组成部分,从利用计算机审计阶段过渡到对金融业的信息系统进行审计的并行审计阶段。从绩效审计与信息系统审计的关系来看,可以在信息系统开发、上线、变更等过程中,关注系统开发成本与公司长期效益间的关系、系统的上线是否选择了合适的时机、系统变更是否符合业务发展的实际需要等。

(二)增强大数据环境下信息系统审计的规范性增强大数据环境下信息系统审计的规范性、加强信息系统审计法律和制度规范至关重要。国际标准不可不用,但也不可照单全收,可以探索有中国特色的信息系统审计方法。特别是在大数据环境下,可以利用数据共享平台、数据挖掘等实施大数据审计,促进审计发展。完善信息系统审计的法律法规、准则规范,可以明确信息系统审计权限和工作职责,规范人员行为。

(三)培养信息系统审计的专业人才审计人员可以加入企业系统开发过程,完成事中审计,加深了解信息系统,通过信息系统内部控制设计与执行环节的审计,并据此制定审计方案,提高审计人员对信息系统审计的敏感度。审计人员也可以通过自主学习或参加相关的信息系统审计培训,以获得更多的信息系统审计知识,成为一名优秀的系统审计人。

参考文献:

[1]杜宁宁,赵庆亮.浅谈信息安全审计在金融行业的实践[J].中国内部审计,2012,(04):66-68.

[2]吕劲松,张晋.基于审计结果公告的金融审计绩效分析[J].审计研究,2015,(01):31-36.

[3]何欣哲.大数据审计护航现代金融体系构建[N].中国会计报,2016-07-08(008).

[4]王慧云.浅谈国家金融审计的“免疫系统”功能[J].纳税,2017,(18):80-82.

[5]魏明,乔泷楠.金融审计参与国家治理的路径研究[J].财会月刊,2016,(04):62-65.

作者:朱瑶 单位:南京审计大学