但是，在商業(yè)銀行IT建設(shè)的背后，也應(yīng)該看到一個事實，商業(yè)銀行的經(jīng)營業(yè)務(wù)的本身蘊(yùn)藏著巨大的風(fēng)險。在實現(xiàn)由手工操作到電子化過程中，降低了人為的風(fēng)險，但同時也帶來了巨大的IT風(fēng)險。根據(jù)《巴塞爾協(xié)議》的相關(guān)規(guī)定，系統(tǒng)失效是銀行風(fēng)險重要組成部分。國外相關(guān)統(tǒng)計數(shù)據(jù)表明，一些銀行系統(tǒng)失效風(fēng)險損失占到總風(fēng)險損失的10%-20%.國內(nèi)商業(yè)銀行必須看到面臨的IT系統(tǒng)相關(guān)風(fēng)險在逐漸增大。

 

　　以上只是從銀行業(yè)方面反應(yīng)出來的問題，其他行業(yè)如保險，電信也存在著同樣的問題：誰來管理流程E化之后的風(fēng)險？為了解決這一問題，通過IT審計，及時識別IT風(fēng)險，完善控制措施勢在必行。

 

　　IT審計又稱信息系統(tǒng)審計，是指獨立的IT審計師或?qū)徲嫏C(jī)構(gòu)采用客觀的標(biāo)準(zhǔn)對以計算機(jī)為核心的信息系統(tǒng)的整個生命周期內(nèi)的相關(guān)的活動和產(chǎn)物進(jìn)行完整地、有效地檢查和評估，以追求系統(tǒng)的有效利用和故障排除，使系統(tǒng)更加健全。

 

　　隨著計算機(jī)技術(shù)的迅速發(fā)展，人類社會的信息化程度越來越高，整個社會的政治、經(jīng)濟(jì)、軍事、文化以及其他領(lǐng)域?qū)τ嬎銠C(jī)信息系統(tǒng)的依賴程度也越來越高。在這種狀況下，計算機(jī)信息系統(tǒng)的安全性、穩(wěn)定性、有效性得到了人們越來越多關(guān)注。進(jìn)行獨立的、有效的IT審計成為了檢驗信息系統(tǒng)的一個必要手段。IT審計就是在這種背景下開始發(fā)展、成熟，并走向了普及。

 

　　一般來說，IT審計的任務(wù)與使命可以概括為三個方面：

 

　　一是確保IT項目管理風(fēng)險控制在合理水平；

 

　　二是確保業(yè)務(wù)流程中與IT相關(guān)風(fēng)險控制在可接受水平；

 

　　三是確保信息和信息系統(tǒng)的安全。

 

　　三個方面既涉及戰(zhàn)略風(fēng)險，也涉及操作風(fēng)險。

 

　　在過去的幾年內(nèi)，美國注冊會計師協(xié)會（AICPA）下屬的審計準(zhǔn)則委員會（ASB）一直關(guān)注IT對獨立審計的影響。2001年4月，ASB發(fā)布了第94號準(zhǔn)則：《IT對CPA評價內(nèi)部控制的影響》，該準(zhǔn)則是作為SAS（審計準(zhǔn)則公告） no.55的“補(bǔ)丁公告”推出的，它對下列三方面問題做出了規(guī)范：IT對企業(yè)內(nèi)部控制的影響；IT對CPA了解內(nèi)部控制的影響；IT對CPA評價審計風(fēng)險的影響。SAS no.94將于2001年6月1日開始執(zhí)行。

 

　　針對審計效率工作小組（ASB的下設(shè)機(jī)構(gòu)）提出的若干提高審計效率的建議，ASB除了推出SAS no.94之外，還在計劃著手修訂現(xiàn)有的審計準(zhǔn)則。與之相適應(yīng)，美國注冊會計師協(xié)會正考慮修訂《審計指南——財務(wù)報表審計中關(guān)于內(nèi)部控制的評價》以反映SAS no.94及其未來進(jìn)展。因此，我們可以這樣說，通過對IT審計中遇到的系統(tǒng)類型、內(nèi)部控制和審計證據(jù)等問題進(jìn)行規(guī)范，SAS no.94將審計執(zhí)業(yè)水平推向一個新的高度。在這個意義上，它無疑是整個審計準(zhǔn)則演進(jìn)過程中的重要一步。

 

　　SAS no.94在總則中明確提醒執(zhí)業(yè)注冊會計師（CPA）：該準(zhǔn)則不僅適用于IT系統(tǒng)復(fù)雜，規(guī)模龐大的企業(yè)，同時也適用于中小規(guī)模的企業(yè)，其原因在于IT對內(nèi)部控制的影響源自IT系統(tǒng)本身的屬性及其影響的復(fù)雜性，而并非企業(yè)規(guī)模的大小。

 

　　可見國外對IT審計已經(jīng)非常的重視，那么在實際中哪些行業(yè)最需要IT審計呢？總結(jié)下來，主要有三個領(lǐng)域：

 

　　一是軟件供應(yīng)商需要，特別是經(jīng)濟(jì)管理類的集成軟件供應(yīng)商，他們需要IT審計師參與產(chǎn)品設(shè)計、規(guī)劃和檢測，對客戶現(xiàn)有信息系統(tǒng)進(jìn)行評價，并提出改造設(shè)想。全球所有重要的ERP和CRM產(chǎn)品供應(yīng)商都聘請大量信息系統(tǒng)審計師。

 

　　二會計公司需要。“五大”國際會計公司超過30%的收入來自于風(fēng)險管理部門，這個部門的最主要工作就是監(jiān)控客戶的信息系統(tǒng)風(fēng)險和運營風(fēng)險，同時為客戶提供ERP或CRE的安裝、維護(hù)和培訓(xùn)。會計師事務(wù)所中傳統(tǒng)財務(wù)報表審計也越來越離不開IT審計的貢獻(xiàn)，沒有他們的工作，評估內(nèi)部控制風(fēng)險和企業(yè)固有風(fēng)險將成為一句空話。

 

　　三是大型企業(yè)需要。作為信息系統(tǒng)最集中的用戶，大型企業(yè)急需進(jìn)行IT審計，一方面可以有外來專業(yè)人士參與信息化建設(shè)的過程，另一方面時刻保持對分支機(jī)構(gòu)的信息監(jiān)控。還有一種最新跡象表明，大型企業(yè)內(nèi)部審計部門也在大量招聘信息系統(tǒng)審計師，以加強(qiáng)對內(nèi)部的監(jiān)督和牽制。

 

　　對了迎接IT審計所帶來的挑戰(zhàn)，一個全新的行業(yè)IT審計師已經(jīng)誕生。CISA是國際注冊信息系統(tǒng)審計師的簡稱，又稱IT審計師，目前在全球有2萬人，在中國大陸不超過10人。，國家審計署的一位年青官員成為中國內(nèi)地通過考試獲取該資格的第一人。

 

　　據(jù)專家介紹，國際信息系統(tǒng)審計師（簡稱IT審計師）目前已經(jīng)成為全球范圍最搶手的高級人才，這些人才一般都具備全面的計算機(jī)軟硬件知識，對網(wǎng)絡(luò)和系統(tǒng)安全有獨特的敏感性，并且對財務(wù)會計和單位內(nèi)部控制有深刻的理解。隨著計算機(jī)技術(shù)在管理中的廣泛運用，傳統(tǒng)的控制、管理、檢查和審計技術(shù)都受到巨大的挑戰(zhàn)，國際會計公司、專業(yè)咨詢公司和高級管理顧問都將控制風(fēng)險，特別是控制計算機(jī)環(huán)境風(fēng)險和信息系統(tǒng)運行風(fēng)險作為管理咨詢和服務(wù)的重點。幾乎所有的大型跨國公司，由于普遍使用大型管理信息系統(tǒng)，都非常重視對信息系統(tǒng)安全和穩(wěn)定性的控制，常常高薪聘請IT審計師進(jìn)行內(nèi)部審計。

 

　　公司的流程需要E化，這是不容置疑的事實。但是當(dāng)今世界是信息化時代，信息系統(tǒng)受到各種各樣的威脅，如沒有安全對策，系統(tǒng)是相當(dāng)脆弱的。信息系統(tǒng)的可靠性、安全性與效率的確保是極其重要的，而這一切也是為企業(yè)的經(jīng)營者考慮。隨著信息化實施風(fēng)險的加大，計算機(jī)信息系統(tǒng)的安全性、穩(wěn)定性、有效性得到了人們越來越多關(guān)注。進(jìn)行獨立的、有效的IT審計成為了檢驗信息系統(tǒng)的一個必要手段。一些在海外上市的企業(yè)開始利用IT審計進(jìn)行風(fēng)險評估，加強(qiáng)對信息化投資的效益管理。在國外上市公司制度中，已經(jīng)把IT審計列入必要項目。所以，IT審計勢在必行，而且應(yīng)由具有信息技術(shù)與審計兩方面知識與能力的IT審計師對信息系統(tǒng)進(jìn)行檢查與評價，將其結(jié)果向企業(yè)經(jīng)營者報告。企業(yè)經(jīng)營者即使對信息系統(tǒng)不精通，按照IT審計報告也能像黑盒子一樣理解信息系統(tǒng)及與之相關(guān)聯(lián)的業(yè)務(wù)，使之間接把握信息系統(tǒng)成為可能。

 

　　目前，許多企業(yè)開始從投資的觀念看待信息化，把科學(xué)投資當(dāng)作信息化成功經(jīng)驗；發(fā)展趨勢表明，高風(fēng)險正成為信息化進(jìn)一步發(fā)展面對的難題，建設(shè)有效益的信息化，不僅要有效創(chuàng)造效益，還要有效控制風(fēng)險。