淺析美國金融企業(yè)IT審計的主要特點及對我國的啟示

2014-11-08 22:28:22 大云網(wǎng)　點擊量：評論 (0)

　一、美國金融企業(yè)IT審計的主要特點　　1、信息技術專項審計明顯增多。上世紀90年代中期，美國從事金融企業(yè)IT審計的人員有55％—70％的工作都是協(xié)助財務審計人員，到2000年這一比例下降到了50％以下。尤其是計算

　一、美國金融企業(yè)IT審計的主要特點

　　1、信息技術專項審計明顯增多。上世紀90年代中期，美國從事金融企業(yè)IT審計的人員有55％—70％的工作都是協(xié)助財務審計人員，到2000年這一比例下降到了50％以下。尤其是計算機“千年蟲”事件使人們深刻地意識到信息技術自身安全的重要性，在處理這一事件中，信息技術專項審計發(fā)揮了重要作用，得到了監(jiān)管者、董事會及管理者的高度重視。 IT審計已不是財務審計的配角，它已成為風險管理的重要工具，成為金融企業(yè)有效實行IT治理的保證。

　　2、采用以風險為基礎的審計方法。實行以風險為基礎的審計前提是建立風險評分系統(tǒng)，即參照美國注冊會計師協(xié)會、信息系統(tǒng)審計與控制協(xié)會（1SACA）、內部審計協(xié)會（IIA）等組織所發(fā)布的業(yè)界標準或自身的經(jīng)驗，使用統(tǒng)一的方法對信息技術每個方面的風險大小進行評估打分，評出低、中、高或從1—5的數(shù)字風險等級，一般為一年一次，但如果金融企業(yè)在IT方面經(jīng)歷了明顯的變化則需增加評估的次數(shù)。對每一領域審計的頻率與深度都由評估結果決定。從一個審計周期來看，高風險、中等風險、低風險領域一般分別不超過12、24、36個月。以風險為基礎的IT審計使審計人員能夠在對風險全面監(jiān)控的基礎上集中審計資源于高風險領域，確保了審計對風險的控制質量。

　　3、外包內部IT審計比較常見。合理的IT審計外包既可以保證審計質量又可以充分利用外部資源，解決內部IT審計人員不足問題。美國金融企業(yè)通過采取三個方面的措施來降低外包IT內審的風險：一是保證外包者的獨立性。2002年的《薩班斯—奧克斯萊法案》禁止上市公司外部審計人員在實施財務報告審計的同時外包該公司內審業(yè)務，聯(lián)邦存款保險公司要求總資產在5億以上的成員機構，不管它們是否是上市公司均應遵守該法案的這項規(guī)定，并鼓勵其他的金融企業(yè)遵守。二是對IT內審外包者實行一定的控制。明確指出任何關于本企業(yè)的信息都必須保密，如審計工作底稿的保存時間、變更服務合同的條件、向董事會和高級管理者報告的方式和頻率等。三是管理部門要做好充分準備應付合同執(zhí)行的意外情況，以防出現(xiàn)審計缺口。如合同的突然終止引起外包安排的結束等。

　　4、IT審計是金融企業(yè)控制技術服務提供商（TSP）的重要手段。金融企業(yè)的特長是經(jīng)營貨幣而不是信息技術，出于利用外部技術專家、降低成本、專注于發(fā)展自己的核心業(yè)務、解決IT人員不足等原因，美國金融企業(yè)外包部分或全部IT業(yè)務給TSP比較常見。對于有外包的金融企業(yè)，局限于內部的IT審計已不能滿足安全需要，為了防止由于TSP內部控制不善、技術競爭力不強、不能有效保護客戶信息等原因而帶給自己風臉，企業(yè)要對TSP的信息技術及相關控制等實施嚴格的監(jiān)控，對TSP進行IT審計是其重要手段。一般在合同中就應明確對TSP有審計的權利，可以采用金融企業(yè)內審人員直接審計、接受并審查由TSP審計人員提供的審計報告的方法，但最常用的是聘請獨立于金融企業(yè)與TSP的第三方審計人員實施對TSP的審計，要求第三方審計人員同時向TSP、本企業(yè)的管理層及內部審計人員提供根據(jù)美國注冊會計師協(xié)會的SAS 70標準提出的審計報告。

　　5、IT審計功能是否健全是金融監(jiān)管當局決定監(jiān)管關注程度的重要因素。負責制定對金融機構實施聯(lián)邦檢查統(tǒng)一原則、標準和報告的聯(lián)邦金融機構檢查委員會（FFIEC）早在1978年就制定了信息系統(tǒng)評級體系，1999年調整并更名為信息技術統(tǒng)一評級體系（URSIT），由綜合等級和四個成份等級構成。綜合等級的評定基礎是四個成份等級，審計從1978年到現(xiàn)在一直排在四個成份等級之首，而且在1999年的調整中得到了進一步加強。如果審計作用不充分，那么不管其他成份等級如何，其綜合等級只能是在3— 5之間，需引起特別監(jiān)管注意。同時IT審計的情況還可通過CAMELS評級體系中的管理等因素影響到監(jiān)管當局對金融企業(yè)安全性與可靠性監(jiān)管關注程度。監(jiān)管的壓力迫使金融企業(yè)在IT內審人員不足的情況下外包內部審計以提高審計質量。

　　6、IT審計與公司治理形成了良性互動關系。良好的公司治理為IT審計的發(fā)展提供了控制環(huán)境和制度基礎。董事會、高級管理者、審計管理部門、內外部審計人員在審計過程中分工細致、責任明確。并保證了審計的獨立性。隨著金融企業(yè)對IT的依賴性越來越大，IT控制的作用越來越大，IT治理機制已成為落實公司治理的重要手段，IT審計也就成為實現(xiàn)IT與業(yè)務的匹配管理、IT價值貢獻管理、IT風險管理、IT績效管理等的重要保證，花旗銀行等美國大金融企業(yè)已經(jīng)引進或正在引進IT治理機制，日益彰顯IT審計的重要性。