IT審計（Information Technology Audit）是信息技術應用于審計實務產(chǎn)生的新概念，人們對IT審計的理解是逐步深入的。我國國家審計中相對于IT審計的提法一般為計算機審計，自上世紀80年代以來的探索和實踐過程中，也先后出現(xiàn)過會計電算化審計、計算機輔助審計、計算機數(shù)據(jù)審計、信息系統(tǒng)審計等諸多與IT審計相關的稱謂，國外則有EDPA、CAA、ISA、ICTA等各種提法。筆者認為，結(jié)合我國國家審計的職能和特點，IT審計可以定義為利用信息技術組織開展的審計。這一提法可以較為全面、準確地定義信息技術在國家審計實務中的應用，同時也是世界審計組織（INTOSAI）及其IT審計工作組各成員國最高審計機關普遍認可和采用的提法。

 

    由于各國國家審計機關在IT審計的定位和側(cè)重等方面存在差異，其組織形式和實施模式也不盡相同。世界審計組織（INTOSAI）認為IT審計是通過獲得和評估證據(jù)，確定IT系統(tǒng)是否保護了組織的資產(chǎn)，有效率地使用資源，維持數(shù)據(jù)的安全性和一致性，以及有效地達到組織的業(yè)務目標的過程，這一定位得到了各國最高審計機關的普遍認同；國際信息系統(tǒng)審計與控制協(xié)會（ISACA）建立了普遍適用的信息系統(tǒng)審計標準、指南和流程，所發(fā)布的COBIT已經(jīng)成為國際上公認最先進、最權(quán)威的信息技術控制框架；美國審計署（GAO）將信息系統(tǒng)審計作為IT審計的重點，在2009年2月發(fā)布的《聯(lián)邦政府信息系統(tǒng)控制審計手冊》中將信息系統(tǒng)審計的實施分為一般控制審計和應用控制審計兩個部分；英國審計署（NAO）側(cè)重于政府IT項目績效審計，在2011年2月發(fā)布的績效審計報告中對過去十年來信息技術在政府工作中發(fā)揮的作用、面臨的挑戰(zhàn)和發(fā)展的方向進行了系統(tǒng)總結(jié)。

 

    二、我國現(xiàn)行國家IT審計架構(gòu)及缺陷

 

    隨著信息技術在社會經(jīng)濟生活各個方面的廣泛運用，為適應信息化環(huán)境的變化，我國國家IT審計從上世紀80年代末開始起步，從無到有、從單機到網(wǎng)絡、從探索研究到逐漸普及，在多年的發(fā)展中逐步形成了一套具有本國特色的IT審計架構(gòu)和工作模式。

 

    （一）現(xiàn)行國家IT審計架構(gòu)。

 

    在法理基礎方面，審計法明確規(guī)定了審計機關有權(quán)要求被審計單位提供計算機儲存和處理的財政、財務收支電子數(shù)據(jù)以及必要的技術文檔，有權(quán)檢查被審計單位的信息系統(tǒng)；《國家審計準則》也根據(jù)信息技術環(huán)境下開展審計工作的特殊性作出了一些特別規(guī)定，在編制年度審計項目計劃和審計實施方案，實施審計檢查、獲取審計證據(jù)，作出審計結(jié)論、出具審計報告等環(huán)節(jié)表現(xiàn)出鮮明的關注信息系統(tǒng)、突出信息技術的特色。

 

    在組織結(jié)構(gòu)方面，以審計署為例，已經(jīng)形成計算機技術中心負責組織協(xié)調(diào)和指導管理全國審計系統(tǒng)的信息化建設的格局，各審計業(yè)務部門負責結(jié)合審計項目開展電子數(shù)據(jù)審計。計算機技術中心不僅要配合業(yè)務部門開展計算機審計業(yè)務，同時還要承擔建設、開發(fā)、推廣和維護審計信息系統(tǒng)，以及編制IT審計規(guī)范和組織IT培訓考試等各項工作。

 

    在工作模式方面，隨著現(xiàn)場審計實施系統(tǒng)（AO）和審計管理系統(tǒng)（OA）的全面應用，國家IT審計逐步邁入一個新的發(fā)展階段，初步形成了利用信息技術開展大型項目組織管理，運用審計軟件實施現(xiàn)場審計，積極探索聯(lián)網(wǎng)審計和信息系統(tǒng)審計，逐步推進審計數(shù)據(jù)資源建設的IT審計模式，審計信息化水平不斷提高。

 

    （二）國家IT審計中存在的問題。

 

    由于組織結(jié)構(gòu)和工作模式還不能完全適應工作需求，與充分發(fā)揮審計保障國家經(jīng)濟社會健康運行“免疫系統(tǒng)”功能的要求相比，我國國家IT審計還存在以下不足：

 

    1．審計業(yè)務與IT技術的結(jié)合不夠緊密。

 

    雖然計算機審計培訓已開展多年，計算機審計技術也已在國家審計的各個行業(yè)、領域得到推廣應用，但仍然較為普遍地存在審計業(yè)務部門過于依賴IT部門技術支持的現(xiàn)象，粉飾和包裝計算機審計成果的情況也屢見不鮮。在審計項目中原本應由審計業(yè)務部門主導和實施的常規(guī)計算機審計工作往往過多地需要借助IT技術人員的參與，不僅不利于各行業(yè)、領域中審計業(yè)務與計算機技術的緊密結(jié)合，而且較易形成審計業(yè)務與計算機技術“兩張皮”，阻礙了計算機審計技術在審計實務中的進一步深入應用。

 

    2． IT審計部門的職能定位不夠清晰。

 

    與部分其他國家審計機關比較，目前我國審計機關還沒有純粹意義上的IT審計部門，IT部門的職能定位較為模糊。一般來說，審計機關設立的計算機技術中心、計算機審計處、信息中心等部門同時承擔了電子數(shù)據(jù)審計、信息系統(tǒng)審計、日常維護和技術支持等多項職能，凡是與信息技術相關的職能均由IT部門負責，因此不僅需要承擔大量系統(tǒng)開發(fā)、維護和管理工作，還要投入精力開展計算機審計業(yè)務，IT業(yè)務需求與人力資源矛盾突出。同時，IT部門往往沒有真正作為審計業(yè)務部門進行管理，在獨立開展信息系統(tǒng)審計和IT績效審計項目方面存在障礙，處于較為尷尬的局面。

 

    3．信息系統(tǒng)審計和IT績效審計起步較晚。

 

    由于信息化程度的差別，美國、英國等國家廣泛開展的信息系統(tǒng)審計和IT績效審計在我國尚處于探索階段。一是信息系統(tǒng)審計還沒有成熟有效的組織方式和審計標準，同時由于掌握核心技術的IT公司為保持其壟斷地位不會輕易公開其核心技術，審計人員對商業(yè)銀行、大型國企等單位所使用信息系統(tǒng)難以了解透徹；二是對IT項目投資的審計還僅僅停留在資金審計的層面，IT項目績效尚未開始作為一個單獨的審計類別進入國家審計的范圍，也沒有形成系統(tǒng)、科學的政府IT項目績效評價指標體系。

 

    三、國家IT審計架構(gòu)探析

 

    IT審計的職能來源于審計工作的實際需求。國家審計機關的法定職責是監(jiān)督被審計單位財政、財務收支以及有關經(jīng)濟活動的真實性、合法性、效益性，保障國家經(jīng)濟和社會健康發(fā)展的工作目標。為了適應信息化環(huán)境下國家審計履行法定職責的需要，應當構(gòu)建國家IT審計的體系架構(gòu)。

 

    （一）國家IT審計架構(gòu)需求分析。

 

    前述定義，IT審計是利用信息技術組織開展的審計。一方面，利用信息技術對以電子數(shù)據(jù)為載體的財政財務收支和相關經(jīng)濟活動的真實性、合法性、效益性進行審計監(jiān)督;另一方面，需要對記錄、處理和產(chǎn)生電子數(shù)據(jù)的信息系統(tǒng)內(nèi)部控制進行檢查，以確保電子數(shù)據(jù)的真實、完整和可靠。于是，總體來說IT審計架構(gòu)可以劃分為兩大類，即：利用信息技術對記載財政財務收支和相關經(jīng)濟活動的電子數(shù)據(jù)的審計和利用信息技術對產(chǎn)生電子數(shù)據(jù)的信息系統(tǒng)內(nèi)部控制的審計。

 

    從國家審計履行法定職責的角度看，可先組織信息系統(tǒng)審計，檢查信息系統(tǒng)內(nèi)部控制對產(chǎn)生電子數(shù)據(jù)的真實、完整和可靠性的影響；再組織電子數(shù)據(jù)審計，檢查財政財務收支和相關經(jīng)濟活動的真實性、合法性、效益性。通常情況下，也可交叉組織實施。

 

    1．信息系統(tǒng)審計。

 

    通常情況下，信息系統(tǒng)審計是實施電子數(shù)據(jù)審計的必要準備，屬于結(jié)合電子數(shù)據(jù)審計的信息系統(tǒng)審計。但對于電子政務工程建設項目、企業(yè)ERP建設項目的審計，需要對項目建設的信息系統(tǒng)的規(guī)劃、設計、研發(fā)、實施、運行、維護等全過程，對信息系統(tǒng)的應用系統(tǒng)、信息資源、網(wǎng)絡系統(tǒng)、安全系統(tǒng)、運行服務系統(tǒng)等各組成部分，進行全面審查。此時的信息系統(tǒng)審計并不結(jié)合電子數(shù)據(jù)審計，屬于獨立的信息系統(tǒng)審計。因此，信息系統(tǒng)審計可劃分為結(jié)合式和獨立式兩種方式。

 

    結(jié)合式的信息系統(tǒng)審計，其目標是檢查信息系統(tǒng)內(nèi)部控制對產(chǎn)生電子數(shù)據(jù)的數(shù)據(jù)風險，測評信息系統(tǒng)對數(shù)據(jù)的真實性、完整性和正確性的影響。由于數(shù)據(jù)式審計的運用一定是在信息化環(huán)境下，如同在紙質(zhì)環(huán)境下一樣，系統(tǒng)內(nèi)部控制的合理性、健全性和有效性直接影響著數(shù)據(jù)的真實性、完整性和正確性。因此，為了控制數(shù)據(jù)風險，保障審計目標的實現(xiàn)，審計人員應該首先要對信息系統(tǒng)的內(nèi)部控制進行調(diào)查、測試和評價。

 

    獨立式的信息系統(tǒng)審計，其目標是檢查項目建設的信息系統(tǒng)的安全性、可靠性和經(jīng)濟性。據(jù)有關統(tǒng)計數(shù)據(jù)，2010年我國政府行業(yè)IT應用建設投資總規(guī)模達707.5億元，同比增長14.2%，相當于奧運全部場館建設的3.6倍，超過三峽工程15年投入的三分之一。歷年政府IT項目建設投入巨額資金后，是否存在重復建設、績效低下的情況，以及電子政務建設在提高政府行政效能和公眾服務能力方面的效果如何都亟待評估。因此，除了一般意義上對被審計單位的信息系統(tǒng)的安全、可靠、有效和效率等進行審計之外，對信息系統(tǒng)和IT項目的經(jīng)濟性和投資績效也應納入獨立式信息系統(tǒng)審計的范疇。

 

    2．電子數(shù)據(jù)審計。

 

    電子數(shù)據(jù)審計是以系統(tǒng)內(nèi)部控制測評為基礎，通過對電子數(shù)據(jù)的收集、轉(zhuǎn)換、整理、分析和驗證，對信息系統(tǒng)產(chǎn)生的電子數(shù)據(jù)及其他相關數(shù)據(jù)所記載的經(jīng)濟業(yè)務的真實、合法和效益進行審計。審計人員利用信息技術對被審計單位的財務數(shù)據(jù)及其他相關數(shù)據(jù)進行檢查是審計機關的一項重要職責，電子數(shù)據(jù)審計的審計目標和審計范圍與傳統(tǒng)手工審計是基本一致的，只是審計的對象、方法和技術發(fā)生了變化，主要是審計機關和被審計單位雙方都利用計算機作為作業(yè)工具，即一方用計算機記錄財務會計核算和經(jīng)營管理數(shù)據(jù)，另一方用計算機進行審計。

 

    電子數(shù)據(jù)審計作為傳統(tǒng)手工審計在信息化環(huán)境下的自然演化，是目前使用最多、應用最廣的IT審計形式。近年來，我國各級審計機關總結(jié)審計經(jīng)驗，組織開發(fā)了以現(xiàn)場審計實施系統(tǒng)（AO）為代表的一批審計軟件，并注重在實踐中予以修改完善。審計軟件的廣泛應用，改進了審計手段，提高了審計效率，加強了審計工作在信息化環(huán)境下的適應能力。

 

    另外，作為“金審工程”重要建設成果的國家審計信息系統(tǒng)（GAIS）已經(jīng)初具規(guī)模，隨著現(xiàn)場審計實施系統(tǒng)（AO）、審計管理系統(tǒng)（OA）、審計數(shù)據(jù)中心、網(wǎng)絡系統(tǒng)和安全系統(tǒng)等應用的不斷深化，對審計機關所屬機房、網(wǎng)絡、網(wǎng)站和信息系統(tǒng)等基礎設施的建設、運行與維護，以及為審計業(yè)務和審計管理工作提供技術支持提出了更高的要求。

 

    （二）建立適應國家審計需求的IT審計架構(gòu)。

 

    結(jié)合我國國家IT審計的實際需求，審計機關應該具備相應的組織結(jié)構(gòu)，形成有效的IT審計模式開展工作。

 

    1．開展信息系統(tǒng)審計的IT架構(gòu)。

 

    無論是結(jié)合式還是獨立式的信息系統(tǒng)審計，其審計對象是信息系統(tǒng)本身。信息系統(tǒng)審計的重點是檢查信息系統(tǒng)對其產(chǎn)生數(shù)據(jù)的影響，或是信息系統(tǒng)自身的安全性、可靠性和經(jīng)濟性。結(jié)合式的信息系統(tǒng)審計，需要對信息系統(tǒng)承載的業(yè)務流、數(shù)據(jù)流的技術設計和技術路徑，對數(shù)據(jù)的輸入、處理和輸出的內(nèi)部控制和安全防護等進行檢查，以測評系統(tǒng)內(nèi)控對數(shù)據(jù)影響的風險; 獨立式的信息系統(tǒng)審計，需要對信息系統(tǒng)的應用系統(tǒng)、信息資源、網(wǎng)絡系統(tǒng)、安全系統(tǒng)、運行服務系統(tǒng)等各組成部分進行檢查，以測評信息系統(tǒng)的安全性、可靠性和經(jīng)濟性。由于信息系統(tǒng)審計的特殊要求，需要具有一定IT審計知識和技能的IT審計部門進行檢查測評。

 

    由于結(jié)合式的信息系統(tǒng)審計需要對信息系統(tǒng)承載的業(yè)務流、數(shù)據(jù)流進行檢查，對數(shù)據(jù)輸入、處理和輸出的業(yè)務流程進行檢查，即便獨立式的信息系統(tǒng)審計也要檢查項目建設的業(yè)務目標和項目投資的經(jīng)濟性問題，需要審計業(yè)務部門的配合和支持。因此，信息系統(tǒng)審計的IT架構(gòu)，需要IT審計部門和審計業(yè)務部門的共同合作。通常情況下，應該以IT審計部門為主，以審計業(yè)務部門為輔。

 

    2．開展電子數(shù)據(jù)審計的IT架構(gòu)。

 

    電子數(shù)據(jù)審計的應用范圍較為廣泛，核心是通過分析被審計單位財務數(shù)據(jù)和其他相關數(shù)據(jù)并取得審計證據(jù)的技術。電子數(shù)據(jù)審計的重點應該是運用計算機技術對電子數(shù)據(jù)進行分析性復核、比較和抽樣，無論是現(xiàn)場審計還是遠程審計，無論是單機模式還是聯(lián)網(wǎng)模式，無論是簡單的比較分析還是相對復雜的數(shù)據(jù)倉庫技術，無論是國內(nèi)的AO還是國際上普遍使用的ACL、IDEA審計軟件，共同點都是利用間接測試并從關系模型中得出審計證據(jù)。

 

    運用計算機技術進行審計為查錯糾弊帶來了極大便利，很容易實現(xiàn)對某一類數(shù)據(jù)的查詢和篩選，使手工審計條件下無法做到的詳細審查成為可能，同時財務數(shù)據(jù)和業(yè)務數(shù)據(jù)的結(jié)合更便于發(fā)現(xiàn)被審計單位管理和經(jīng)營方面的漏洞和舞弊行為。由于審計對象、環(huán)境、方法和技術的變化，一方面需要審計業(yè)務部門在掌握和運用各類審計業(yè)務的知識、技能的同時，也要掌握和運用計算機審計的知識和技能；另一方面，復雜業(yè)務的計算機審計處理依賴于信息技術的審計組織模式和管理模式的運用，需要IT審計部門的配合和支持。因此，電子數(shù)據(jù)審計的IT架構(gòu)，需要審計業(yè)務部門和IT審計部門的共同合作。通常情況下，應該以審計業(yè)務部門為主，以IT審計部門為輔。

 

    四、進一步完善國家IT審計架構(gòu)的幾點建議

 

    我國國家審計信息化建設正處于發(fā)展階段，與先進國家的發(fā)展水平相比，IT審計架構(gòu)還不夠完善，審計理念還不夠先進，在很多方面都需要借鑒國外的經(jīng)驗。但借鑒并不是原樣照搬和全盤接受，而是應該根據(jù)自身的特點，對他國的先進經(jīng)驗進行批判地吸收。著眼于國家審計作為保障國家經(jīng)濟社會健康運行“免疫系統(tǒng)”的特殊定位，同時結(jié)合國家IT審計的現(xiàn)實情況和發(fā)展方向，國家IT審計架構(gòu)應該根據(jù)工作需求進一步加以完善。

 

    （一）逐步實現(xiàn)審計模式的轉(zhuǎn)變。

 

    隨著計算機技術在審計實務中的廣泛運用，國家審計環(huán)境、對象和方法的變化導致原有的審計模式已不再適應發(fā)展的要求，國家審計正在原有的基礎上不斷完善，逐步向高效率、高質(zhì)量的方向發(fā)展。未來信息化審計模式的實現(xiàn)在很大程度上需要依賴信息技術，其與傳統(tǒng)審計模式相比有如下特征：其一，它是一種以電子數(shù)據(jù)作為直接審計對象的數(shù)據(jù)式審計模式；其二，具有不間斷性、循環(huán)性和實時性，這意味著審計活動將在一個更連續(xù)、更頻繁和更及時的基礎上實施；其三，可以經(jīng)濟地實現(xiàn)詳細測試，在信息化環(huán)境下利用技術自動執(zhí)行控制測試和風險評估的方法使得進行連續(xù)性測試成為可能。在這種情況下，計算機技術勢必與傳統(tǒng)審計的技術和方法高度融合，以計算機技術作為支撐的審計業(yè)務處理能力大大提高，信息化環(huán)境下審計模式的轉(zhuǎn)變將是IT審計未來發(fā)展的必然趨勢。

 

    （二）逐步實現(xiàn)IT審計的專業(yè)化。

 

    在IT審計部門的機構(gòu)設置和職能定位方面，以美國審計署為例，不僅有專門的信息技術局開展信息系統(tǒng)審計業(yè)務，而且還有專門的信息系統(tǒng)與技術服務部門保障內(nèi)部信息系統(tǒng)的運轉(zhuǎn)，另外還設有技術工程和信息安全實驗中心負責改善信息技術和促進軟件工程現(xiàn)代化，評估聯(lián)邦政府計算機系統(tǒng)的安全性。我國國家審計也應當根據(jù)實際需求進一步調(diào)整IT部門的職能定位，結(jié)合審計機關內(nèi)設機構(gòu)細分電子數(shù)據(jù)審計、信息系統(tǒng)審計、技術支持與服務等不同的機構(gòu)和職能，進而逐步實現(xiàn)IT審計的專業(yè)化。

 

    （三）逐步實現(xiàn)信息系統(tǒng)審計的常態(tài)化。

 

    一是成立專門的IT審計部門開展信息系統(tǒng)審計，由有經(jīng)驗和資質(zhì)的IT審計師就被審計單位信息系統(tǒng)進行審計和評價，并單獨出具審計報告、審計決定和審計建議，使信息系統(tǒng)審計逐漸成為常態(tài)。二是根據(jù)國家審計的定位和信息系統(tǒng)審計的特點，全面總結(jié)各級審計機關近年來信息系統(tǒng)審計經(jīng)驗，圍繞被審計單位信息系統(tǒng)的安全性、可靠性和經(jīng)濟性，制訂具有中國特色的信息系統(tǒng)審計標準和指南，系統(tǒng)闡述信息系統(tǒng)審計的審計目標、組織方式、審計步驟和技術方法，加快信息系統(tǒng)審計人才的培養(yǎng)。三是克服IT績效審計起步較晚、基礎薄弱等種種障礙，及早制訂適合我國實際情況的IT項目評價指標體系，將IT績效審計列為審計工作長期規(guī)劃中的一項重要任務。