审计的灵魂是独立

　　前不久，某国有商业银行发生较长时间、较大范围的信息系统事故，给这家银行的业务和信誉带来了损害。这使得信息系统的高效安全稳定运行，再次成为人们关注的焦点。业内专家普遍认为，现在迫切需要运用IT审计，对我国银行业信息化建设的各环节进行评价，以确保与IT相关的风险被控制在可接受的水平。有专家进一步指出，审计的灵魂是独立，发挥IT审计作用的关键是确保审计工作的独立地位。

　　经过10几年高强度的持续投入，我国银行业信息化建设取得了有目共睹的成效，彻底改变了业务运作模式和管理方式。目前我国规模较大的商业银行的信息化装备水平已跻身世界先进水平，但显然，银行业信息系统的规划、开发、采购、实施、运行和维护等环节的运作效率和效果还有待提高。在发达国家，独立的IT审计是解决IT“超额预算”、“投资黑洞”、“服务品质低劣”、“可靠性差”等问题的必要手段，在帮助实现IT控制、IT风险管理及公司治理的有效性方面发挥着不可替代的作用。相对于银行业每年高额的IT投资，引入IT审计就像引入会计、常规审计对资产和经营进行监督一样意义重大。

　　为保证效果，IT审计需要独立于信息系统本身，信息系统相关采购、开发、使用人员，以及银行的业务管理人员。道理很简单，运动员不能兼任裁判员。银行信息系统建设、运行工作的评估需要确保客观、公正，而任何自我评价都不具备充分的说服力，往往还存在利益冲突，这就要求独立或相对独立的第三方出具IT审计报告。在发达国家银行界，IT审计工作可以分为两大类:一类是银行自行完成的内部审计，主要目的是检查各有关部门在信息化建设和运行中的工作成效以及遵章守纪情况，要保证内部审计师的独立地位，使他们能够自由和客观地开展工作，提出公正的、不偏不倚的判断意见。IT审计执行主管应该向审计委员会、董事会或其他治理机构报告业务工作，向机构的首席执行官报告行政工作。另一类是由会计师事务所或专业技术服务提供商完成的外部审计。外部审计通常因为上市、并购、年终检查或其它法规的要求而进行，一般都很正规，也非常深入。

　　在美国，主要是由于监管者对IT审计的严格监管，促使金融企业普遍外包内部IT审计。一般通过采取三个方面的措施来降低外包IT内审的风险:一是保证外包者的独立性。2002年的《萨班斯-奥克斯莱法案》禁止公众公司外部审计人员在实施财务报告审计的同时外包该公司内审业务。二是对IT内审外包者实行一定的控制。比如，明确指出任何关于本企业的信息都应被保密、审计工作底稿的保存时间、变更服务合同的条件、向董事会和高级管理者报告的方式和频率、具体审计人员的技术水平等。三是管理部门要做好充分准备，应付合同执行的意外情况，以防出现审计缺口，如合同的突然终止引起的外包安排的结束等。市场调查表明，由于远离了内部人员关系，利益相对超脱，外包内部IT审计效果明显好于由内部人员进行的审计。

　　无庸讳言，我国银行业在信息系统采购中存在着不同程度的操作不够规范的情况，甚至营私舞弊、损公肥私的“黑洞”。我国银行业还处在体制改革的进程之中，公司治理结构还有待进一步规范、完善，在这种背景条件下，引进IT审计，并确保其独立性就显得更为重要，需要引起银行业高层管理人员以及监管部门的高度重视。