浅析美国金融企业IT审计的主要特点及对我国的启示

 

　　1、信息技术专项审计明显增多。上世纪90年代中期，美国从事金融企业IT审计的人员有55％—70％的工作都是协助财务审计人员，到2000年这一比例下降到了50％以下。尤其是计算机“千年虫”事件使人们深刻地意识到信息技术自身安全的重要性，在处理这一事件中，信息技术专项审计发挥了重要作用，得到了监管者、董事会及管理者的高度重视。 IT审计已不是财务审计的配角，它已成为风险管理的重要工具，成为金融企业有效实行IT治理的保证。

 

　　2、采用以风险为基础的审计方法。实行以风险为基础的审计前提是建立风险评分系统，即参照美国注册会计师协会、信息系统审计与控制协会（1SACA）、内部审计协会（IIA）等组织所发布的业界标准或自身的经验，使用统一的方法对信息技术每个方面的风险大小进行评估打分，评出低、中、高或从1—5的数字风险等级，一般为一年一次，但如果金融企业在IT方面经历了明显的变化则需增加评估的次数。对每一领域审计的频率与深度都由评估结果决定。从一个审计周期来看，高风险、中等风险、低风险领域一般分别不超过12、24、36个月。以风险为基础的IT审计使审计人员能够在对风险全面监控的基础上集中审计资源于高风险领域，确保了审计对风险的控制质量。

 

　　3、外包内部IT审计比较常见。合理的IT审计外包既可以保证审计质量又可以充分利用外部资源，解决内部IT审计人员不足问题。美国金融企业通过采取三个方面的措施来降低外包IT内审的风险：一是保证外包者的独立性。2002年的《萨班斯—奥克斯莱法案》禁止上市公司外部审计人员在实施财务报告审计的同时外包该公司内审业务，联邦存款保险公司要求总资产在5亿以上的成员机构，不管它们是否是上市公司均应遵守该法案的这项规定，并鼓励其他的金融企业遵守。二是对IT内审外包者实行一定的控制。明确指出任何关于本企业的信息都必须保密，如审计工作底稿的保存时间、变更服务合同的条件、向董事会和高级管理者报告的方式和频率等。三是管理部门要做好充分准备应付合同执行的意外情况，以防出现审计缺口。如合同的突然终止引起外包安排的结束等。

 

　　4、IT审计是金融企业控制技术服务提供商（TSP）的重要手段。金融企业的特长是经营货币而不是信息技术，出于利用外部技术专家、降低成本、专注于发展自己的核心业务、解决IT人员不足等原因，美国金融企业外包部分或全部IT业务给TSP比较常见。对于有外包的金融企业，局限于内部的IT审计已不能满足安全需要，为了防止由于TSP内部控制不善、技术竞争力不强、不能有效保护客户信息等原因而带给自己风脸，企业要对TSP的信息技术及相关控制等实施严格的监控，对TSP进行IT审计是其重要手段。一般在合同中就应明确对TSP有审计的权利，可以采用金融企业内审人员直接审计、接受并审查由TSP审计人员提供的审计报告的方法，但最常用的是聘请独立于金融企业与TSP的第三方审计人员实施对TSP的审计，要求第三方审计人员同时向TSP、本企业的管理层及内部审计人员提供根据美国注册会计师协会的SAS 70标准提出的审计报告。

 

　　5、IT审计功能是否健全是金融监管当局决定监管关注程度的重要因素。负责制定对金融机构实施联邦检查统一原则、标准和报告的联邦金融机构检查委员会（FFIEC）早在1978年就制定了信息系统评级体系，1999年调整并更名为信息技术统一评级体系（URSIT），由综合等级和四个成份等级构成。综合等级的评定基础是四个成份等级，审计从1978年到现在一直排在四个成份等级之首，而且在1999年的调整中得到了进一步加强。如果审计作用不充分，那么不管其他成份等级如何，其综合等级只能是在3— 5之间，需引起特别监管注意。同时IT审计的情况还可通过CAMELS评级体系中的管理等因素影响到监管当局对金融企业安全性与可靠性监管关注程度。监管的压力迫使金融企业在IT内审人员不足的情况下外包内部审计以提高审计质量。

 

　　6、IT审计与公司治理形成了良性互动关系。良好的公司治理为IT审计的发展提供了控制环境和制度基础。董事会、高级管理者、审计管理部门、内外部审计人员在审计过程中分工细致、责任明确。并保证了审计的独立性。随着金融企业对IT的依赖性越来越大，IT控制的作用越来越大，IT治理机制已成为落实公司治理的重要手段，IT审计也就成为实现IT与业务的匹配管理、IT价值贡献管理、IT风险管理、IT绩效管理等的重要保证，花旗银行等美国大金融企业已经引进或正在引进IT治理机制，日益彰显IT审计的重要性。