查看正文
90年代末期至今,国内商业银行一直在持续的进行信息系统建设,90%以上的商业银行都已经应用信息系统来实现对客户的服务。根据相关统计数据,针对国内商业银行,硬件网络平台已经实现了100%的应用;软件应用已经覆盖了80%以上的商业银行业务;部分商业银行在管理信息化方面也陆续的完成信贷管理、财务管理等管理信息系统的建设。随着商业银行信息化建设的进一步完善,商业银行对IT系统的依赖也越来越强。
但是,在商业银行IT建设的背后,也应该看到一个事实,商业银行的经营业务的本身蕴藏着巨大的风险。在实现由手工操作到电子化过程中,降低了人为的风险,但同时也带来了巨大的IT风险。根据《巴塞尔协议》的相关规定,系统失效是银行风险重要组成部分。国外相关统计数据表明,一些银行系统失效风险损失占到总风险损失的10%-20%.国内商业银行必须看到面临的IT系统相关风险在逐渐增大。
以上只是从银行业方面反应出来的问题,其他行业如保险,电信也存在着同样的问题:谁来管理流程E化之后的风险?为了解决这一问题,通过IT审计,及时识别IT风险,完善控制措施势在必行。
IT审计又称信息系统审计,是指独立的IT审计师或审计机构采用客观的标准对以计算机为核心的信息系统的整个生命周期内的相关的活动和产物进行完整地、有效地检查和评估,以追求系统的有效利用和故障排除,使系统更加健全。
随着计算机技术的迅速发展,人类社会的信息化程度越来越高,整个社会的政治、经济、军事、文化以及其他领域对计算机信息系统的依赖程度也越来越高。在这种状况下,计算机信息系统的安全性、稳定性、有效性得到了人们越来越多关注。进行独立的、有效的IT审计成为了检验信息系统的一个必要手段。IT审计就是在这种背景下开始发展、成熟,并走向了普及。
一般来说,IT审计的任务与使命可以概括为三个方面:
一是确保IT项目管理风险控制在合理水平;
二是确保业务流程中与IT相关风险控制在可接受水平;
三是确保信息和信息系统的安全。
三个方面既涉及战略风险,也涉及操作风险。
在过去的几年内,美国注册会计师协会(AICPA)下属的审计准则委员会(ASB)一直关注IT对独立审计的影响。2001年4月,ASB发布了第94号准则:《IT对CPA评价内部控制的影响》,该准则是作为SAS(审计准则公告) no.55的“补丁公告”推出的,它对下列三方面问题做出了规范:IT对企业内部控制的影响;IT对CPA了解内部控制的影响;IT对CPA评价审计风险的影响。SAS no.94将于2001年6月1日开始执行。
针对审计效率工作小组(ASB的下设机构)提出的若干提高审计效率的建议,ASB除了推出SAS no.94之外,还在计划着手修订现有的审计准则。与之相适应,美国注册会计师协会正考虑修订《审计指南——财务报表审计中关于内部控制的评价》以反映SAS no.94及其未来进展。因此,我们可以这样说,通过对IT审计中遇到的系统类型、内部控制和审计证据等问题进行规范,SAS no.94将审计执业水平推向一个新的高度。在这个意义上,它无疑是整个审计准则演进过程中的重要一步。
SAS no.94在总则中明确提醒执业注册会计师(CPA):该
