谷安主页 咨询服务 IT审计 软件产品 培训教育 安全意识 谷安在线 安全商城 网站首页
IT审计 行业解决方案 成功案例 新闻动态 IT审计师联盟 关于我们
美国金融企业IT审计的主要特点及对我国的启示

金融企业是IT(信息技术)运用最广泛的领域,IT已从传统的后台支持转变为业务竞争的筹码,由于处于国民经济中的特殊地位,其安全性尤其受到各方面的重视,作为监督部门的审计如何为其保驾护航?在此,笔者就美国金融企业IT的审计的特点及其背景作一分析,以期对我们有所启示。

 一、美国金融企业IT审计的主要特点

1、信息技术专项审计明显增多。上世纪90年代中期,美国从事金融企业IT审计的人员有55—70%的工作都是协助财务审计人员,到2000年这一比例下降到了50%以下。尤其是计算机千年虫事件使人们深刻地意识到信息技术自身安全的重要性,在处理这一事件中,信息技术专项审计发挥了重要作用,得到了监管者、董事会及管理者的高度重视。 IT审计已不是财务审计的配角,它已成为风险管理的重要工具,成为金融企业有效实行IT治理的保证。

2、采用以风险为基础的审计方法。实行以风险为基础的审计前提是建立风险评分系统,即参照美国注册会计师协会、信息系统审计与控制协会(1SACA)、内部审计协会(IIA)等组织所发布的业界标准或自身的经验,使用统一的方法对信息技术每个方面的风险大小进行评估打分,评出低、中、高或从1—5的数字风险等级,一般为一年一次,但如果金融企业在IT方面经历了明显的变化则需增加评估的次数。对每一领域审计的频率与深度都由评估结果决定。从一个审计周期来看,高风险、中等风险、低风险领域一般分别不超过122436个月。以风险为基础的IT审计使审计人员能够在对风险全面监控的基础上集中审计资源于高风险领域,确保了审计对风险的控制质量。

3、外包内部IT审计比较常见。合理的IT审计外包既可以保证审计质量又可以充分利用外部资源,解决内部IT审计人员不足问题。美国金融企业通过采取三个方面的措施来降低外包IT内审的风险:一是保证外包者的独立性。2002年的《萨班斯奥克斯莱法案》禁止上市公司外部审计人员在实施财务报告审计的同时外包该公司内审业务,联邦存款保险公司要求总资产在5亿以上的成员机构,不管它们是否是上市公司均应遵守该法案的这项规定,并鼓励其他的金融企业遵守。二是对IT内审外包者实行一定的控制。明确指出任何关于本企业的信息都必须保密,如审计工作底稿的保存时间、变更服务合同的条件、向董事会和高级管理者报告的方式和频率等。三是管理部门要做好充分准备应付合同执行的意外情况,以防出现审计缺口。如合同的突然终止引起外包安排的结束等。

4IT审计是金融企业控制技术服务提供商(TSP)的重要手段。金融企业的特长是经营货币而不是信息技术,出于利用外部技术专家、降低成本、专注于发展自己的核心业务、解决IT人员不足等原因,美国金融企业外包部分或全部IT业务给TSP比较常见。对于有外包的金融企业,局限于内部的IT审计已不能满足安全需要,为了防止由于TSP内部控制不善、技术竞争力不强、不能有效保护客户信息等原因而带给自己风脸,企业要对TSP的信息技术及相关控制等实施严格的监控,对TSP进行IT审计是其重要手段。一般在合同中就应明确对TSP有审计的权利,可以采用金融企业内审人员直接审计、接受并审查由TSP审计人员提供的审计报告的方法,但最常用的是聘请独立于金融企业与TSP的第三方审计人员实施对TSP的审计,要求第三方审计人员同时向TSP、本企业的管理层及内部审计人员提供根据美国注册会计师协会的SAS 70标准提出的审计报告。

5IT审计功能是否健全是金融监管当局决定监管关注程度的重要因素。负责制定对金融机构实施联邦检查统一原则、标准和报告的联邦金融机构检查委员会(FFIEC)早在1978年就制定了信息系统评级体系,1999年调整并更名为信息技术统一评级体系(URSIT),由综合等级和四个成份等级构成。综合等级的评定基础是四个成份等级,审计从1978年到现在一直排在四个成份等级之首,而且在1999年的调整中得到了进一步加强。如果审计作用不充分,那么不管其他成份等级如何,其综合等级只能是在3— 5之间,需引起特别监管注意。同时IT审计的情况还可通过CAMELS评级体系中的管理等因素影响到监管当局对金融企业安全性与可靠性监管关注程度。监管的压力迫使金融企业在IT内审人员不足的情况下外包内部审计以提高审计质量。

6IT审计与公司治理形成了良性互动关系。良好的公司治理为IT审计的发展提供了控制环境和制度基础。董事会、高级管理者、审计管理部门、内外部审计人员在审计过程中分工细致、责任明确。并保证了审计的独立性。随着金融企业对IT的依赖性越来越大,IT控制的作用越来越大,IT治理机制已成为落实公司治理的重要手段,IT审计也就成为实现IT与业务的匹配管理、IT价值贡献管理、IT风险管理、IT绩效管理等的重要保证,花旗银行等美国大金融企业已经引进或正在引进IT治理机制,日益彰显IT审计的重要性。

二、特点形成的背景分析

1、有关各方都十分重视IT审计尤其是专项IT审计在IT发展中的作用。IT审计是解决IT“超额预算投资黑洞服务品质低劣等问题的必要手段,它可以维持IT控制、IT风险管理及公司治理的有效性,对于金融企业每年高额的IT投资来说,引入IT审计就像引入会计、审计对企业资产和经营进行监督一样意义重大。早在上世纪60年代,美国金融企业内部就设立了电子数据处理审计及安全办公室,在计算机千年虫事件中,IT专项审计发挥了重要作用,使人们深刻地意识到信息技术自身安全的重要性,引起了金融企业、监管当局等有关方面的高度重视。其直接表现就是:IT专项审计加速发展,已不再是财务审计的配角,同时监管当局也加大了对金融企业IT审计的监管。安然等事件后出台的《萨班斯奥克斯莱法案》也清楚地表明了国会希望在财务报告中包含信息技术审计的可靠性。

2、审计人员可利用的资源丰富。主要包括:

1)美国注册会计师协会、ISACA、内部审计协会、ISO等组织所发布的标准或研究成果在美国都得到了充分运用。

2)国会颁布的涉及IT的法律较全。

3FFIEC等金融监管机构颁布的部门规章更是及时而全面。

4)专业审计软件的水平较高。

3、外部IT人才相对充足,使IT专项审计与外包成为可能。美国IT人才相对其他国家来说,比较充足,加之金融业发达,与之相关的其他业务也比较成熟。

1TSPIT技术力量雄厚。他们不但精通IT业务,而且熟悉金融业务,使很多金融企业倾向于集中时间和财力加强核心策略,即充当顾客需求与市场之间的金融中介人,而将自己不擅长的IT外包。

2)外部IT审计人员实力很强。有人曾对美国前几家大会计师事务所进行调查并估计,它们各自的IT审计人员将从1990年的不足100人发展到 2005-+超过5000人。

三、对我国金融企业IT审计的启示

当前我国金融企业的信息技术飞速发展,但IT审计没有发挥应有的作用,发展我国金融企业IT审计势在必行。

1)有关各方要重视IT审计尤其是专项审计在信息技术建设中的作用。企业要充分重视IT内审的作用,完善公司治理机制,保证内审的独立性。监管部门应加强对金融企业的IT审计的监管。我国IT发展已有多年,但对IT的监管几乎是一片空白,监管者应将IT安全作为监管的重要内容,将IT审计作为评价其安全性的重要因素,通过现场及非现场检查对金融企业进行督促。国家审计应加强对金融企业信息技术本身的审计。

2)积极解决IT审计人才不足的问题。一方面有关各方要积极吸引人才、加强在职人员培养。另一方面从长远来看,金融企业应增加IT技术尤其是通用技术的外包,将大批内部 IT开发人员适当转化为固定的IT内部审计人员。

3)为IT审计人员提供丰富的审计资源。国家应制定、完善有关法律,尽快制定与国际接轨的IT安全与审计标准,借鉴美国等先进国家的做法探索专门针对信息技术安全与审计的方法、技术,及时出台一些具体的操作指南或手册,同时加紧开发一些审计软件,使IT审计变得相对简单、具体而规范化。

 

 

联系我们
谷安咨询服务 谷安IT审计 谷安软件产品 谷安培训教育 谷安安全意识
IT治理咨询
IT内控咨询
信息安全管理咨询
业务相关安全咨询
IT服务管理咨询
业务连续性咨询
IT审计服务
专业安全技术服务
IT审计服务
IT审计培训
IT审计软件
信息安全风险管理系统
合规管理系统--等级保护
合规管理系统---ISO27000
信息安全管理平台
信息安全认证类培训
信息安全技术类培训
信息安全管理类培训
信息安全实践类培训
IT审计培训
开发安全培训
信息安全定制类培训
信息安全意识短片
信息安全海报
信息安全手册
现场培训与电子课件
信息安全屏保
信息安全电子报
其他信息安全意识产品
  京ICP备13013886号-9 Copyright © 2012-2018 谷安天下 All Rights Reserved