高博

摘要：中国人民银行肩负着国家宏观经济调控、保障金融安全与稳定、提供金融服务等职责。近年来，随着央行新业务的拓展、新系统的使用，人民银行信息科技面临的风险呈现出多样性和复杂性的特点。如何防范并有效化解各类风险，提升信息安全管理水平，已经成为亟待解决的重要课题。本文通过阐述基层央行信息技术审计现状，风险导向审计模式，分析基层央行开展信息技术审计工作存在的现实问题，研究对策措施，探索构建风险导向视角下的IT绩效审计模式。

关键词：信息技术审计；风险导向；绩效审计

一、信息技术审计研究现状

1.信息技术审计

在人民银行，信息技术审计的目的是通过实施信息技术审计工作，对组织是否达到信息技术管理目标进行综合评价，并基于评价意见提出管理建议，协助组织信息技术管理人员有效地履行其受托责任以达成组织的信息技术管理目标，从而提高信息系统运行的效果与效率。2000年8月在贵阳召开首届央行信息技术审计工作座谈会，标志着央行的信息技术审计工作在摸索中逐步推进。2011年总行制定了《人民银行内审工作转型2011-2013年规划》，明确提出：“在审计方法上，逐步由手工审计手段向更多运用计算机辅助审计手段转变”。近年来，在内审转型与发展的大环境下，信息技术审计有了长足的发展。

2. 风险导向审计

在人民银行，总行于2005年出台《中国人民银行内审工作制度》，将风险管理的理念纳入内部审计准则体系。2011年，内审司成立了风险评估攻关小组，初步构建了风险量化评估方法体系。在2013年内审工作会议上，人民银行行长助理郭庆平在讲话中明确指出：风险导向是内审的逻辑起点，风险引导审计、审计关注风险是审计工作性质和规律的要求。

3. 绩效审计

在人民银行，1998 年内审部门设立之初，人民银行总行党委就明确提出了“由易到难，逐步提高，先抓财务资金内审，逐步加强行政执法内审，在此基础上审查运行效率”的内审工作总体思路。2013年内审工作会上，总行内审司杨立杰司长在讲话中指出：“绩效审计既是一种审计类型，也是一种审计理念，在离任履职审计和各类专项审计中，都要增强关注绩效的意识，围绕投入与产出、成本与效益、措施与效果，深入开展审计和评估分析，更好地发挥内审的建设性作用”。

二、基层央行信息技术审计工作中存在的现实问题

1.内控环境并不理想。尽管近些年央行在加强内部控制方面做了积极探索和实践，取得了一些成绩，但受其传统审计的思路和模式的影响，部分内审人员对于风险导向审计、绩效审计等先进理念理解深度不够。风险识别、评估、应对工作尚处探索阶段，系统化、标准化水平并不高。

2.审计力量不足。信息技术风险导向审计对审计人员的素质要求较高，不但需要精通审计知识，而且要熟悉信息化环境下各个层面的风险评估和分析方法。但目前审计人员缺乏足够的风险管理与控制的实践经验，对风险导向审计的运用不够，难以很好的实现各类风险的科学评估。

3.审计方法需更新。风险导向模式下信息技术审计的理论研究和实践还处在摸索阶段，可参考的标准数据库尚未建立，风险导向的信息技术审计标准框架还未建立。计算机辅助审计手段不足，对各业务系统在业务操作过程中隐形的风险关注不多，很难在海量数据中分析出潜在的风险。

三、探索构建风险导向视角下IT绩效审计模式

风险导向视角下IT绩效审计是基于审计风险模型的绩效审计模式，对被审计单位在信息化管理过程中可能发生的各种风险进行系统分析，从而确定审计范围和审计重点。期间，风险的防范贯穿于整个审计过程。同时，关注信息化管理的效果。因此，将风险导向审计与绩效审计引入基层央行信息技术审计体系，不仅具有一定的理论研究意义，对于基层央行提升风险防范能力、风险管理和信息化管理水平也具有十分重要的现实意义。

“四位一体”风险导向视角下IT绩效审计模式框架，是本文的重点创新内容。通过将信息技术审计、风险导向审计、绩效审计三种审计模式有机融为一体，探索出“风险导向、关注绩效、服务治理”信息技术审计新思路，为促进健全风险防范机制，提升信息化管理水平提供有力支撑。“四位一体”审计模式框架由四个主要环节组成，第一步：以风险为导向，做好审前调查工作。首先，根据被审计单位填报的“风险评估赋值表”（风险描述、影响程度、损失的影响结果等）、“内部控制有效性赋值表”（评价对象、控制因素、控制有效性描述等），利用德尔菲法，运用风险矩阵，通过权重加总法得出审计对象的风险评估值，确定风险等级，判断重要风险可能发生的领域，制定审计对象清单；其次，以“审计对象清单”为基础，将信息科技管理中需要关注的风险进行细化，建立“风险指标知识库”；最后，通过询问、发放调查问卷等方式，进一步明确审计重点，并动态调整各领域风险权重及风险级别，完成审前评估报告。第二步：根据审前评估报告，确定审计重点、制定审计方案、优化配置审计资源。第三步：集中优势力量，重点关注重要风险及绩效情况，实施现场审计。第四步：综合分析审计发现的问题，按照风险大小和影响程度将问题进行归纳总结，分析问题形成的原因和可能存在的风险隐患。综合分析报告上报行领导，为领导决策、强化管理提供参谋。“四位一体”的审计框架，既能从宏观层面较准确地引领审计方向，又能从微观角度确定审计的重点，并能随时根据实际情况做出调整，真正体现了“风险引导审计，审计关注风险”的理念。

1. 风险导向视角下IT绩效审计模式的重要意义

一是通过开展风险导向审计，审计重点从检查和监督向分析和评价方面转变，可以增强对关键风险点的判断力，尽早发现风险易发区域和环节，对其实施针对性的控制，提升管理水平，增强组织治理。二是引入绩效评价，有助于提升信息化管理效能。使用统一的评价指标和标准，运用科学、规范的绩效评价方法，对信息化系统绩效目标及其实现程度进行综合性评价。三是构建“两个知识库”，即风险指标知识库及绩效指标知识库，为深化信息技术审计奠定基础。通过重点对知识信息进行科学准确的描述，归纳整理出方法详尽、操作简单的评价检查方法。可以解决目前信息技术专业人员缺乏、审计经验不足、范围不宽、深度不够的现实困境，并为将来借助信息技术开展高效的非现场审计提供重要支撑。

2. “四位一体”IT绩效审计新模式基本框架

（1）审前调查评估。

构建“三步走”的审前风险量化评估体系，实现风险引导审计、突出审计重点的目标。审前风险量化评估体系：首先，通过综合评估判断重要风险发生的领域，其次，通过细化重要风险指标，建立相应的风险指标知识库。最后，通过询问、发放调查问卷等多种方式，进一步明确审计重点，并动态调整权重及风险级别。

第一步，首先对被审计单位信息科技管理方面的情况进行风险量化评估。即从“信息技术基础设施管理”、“信息科技管理”、“应用系统管理”三个方面评估，经综合分析，制定《可审计对象清单》以确定审计重点和审计频率。

首先，填制“风险评估赋值表”。“风险评估赋值表”分“信息技术基础设施管理、信息科技管理、应用系统管理”三张分表，分别对上述三个方面风险的基础数据进行了赋值（根据实际情况评价资金损失、声誉损失、连续性损失影响结果）。利用风险矩阵（如图1所示），通过分析风险影响程度及风险发生可能性，确定风险等级，风险等级由低到高分为1-4级。

其次，填制“内部控制有效性赋值表”，从审计和整改的角度（最近一次审计结果、上次审计以来内部控制变化情况）对控制的有效性进行评估，确定风险级别。

第三，将“风险评估赋值表”和“内部控制有效性赋值表”中的相关数据通过风险量化评估的公式（风险级别=[（∑固有风险权重×风险级别+∑内部控制有效性权重×风险级别）÷∑A、B两部分权重]）进行计算，并填制“风险评估表”，以下图为例。

最后，对分项的“风险评估表”进行综合分析，填制“可审计对象清单”。通过分析固有风险和剩余风险的大小，发现风险较大的领域，确定审计重点和审计频率。以下以“信息技术基础设施管理可审计对象清单”为例。

第二步，以“审计对象清单”为基础，从“信息技术基础设施管理、信息科技管理、应用系统管理”三大类风险的角度，将需要特别关注的风险进行细化，建立“风险指标知识库”。主要包括：风险点的描述，统一的评价标准等，从而引导审计人员进入现场时知道查什么、怎么查、如何评价等。

第三步，收集风险信息，动态调整审计重点，确保审计质量与效率。主要关注的风险信息包括：上级及同级审计和监管部门报告、内部审计报告、内部控制评价报告、突发事件处理报告、重大事故报告、人员变动及业务变化情况报告等。通过电话咨询、邮件等方式，了解被审计单位其关注的重点风险内容。一是通过与管理层交谈，了解管理层对风险管理工作的实施情况，如突发事件应急管理、重要岗位风险点排查情况。二是了解管理层及科室负责人关注哪些重要风险，如人员交接、重要网络设备的更换、系统的升级维护等情况。审计组收到被审计单位答复后，再根据实际情况对审计的关键环节进行微调，把握审计重点。

（2）根据审前综合分析评估结果，制定审计方案、分配审计资源

充分利用综合分析结果，制定配套的审计方案，指导新建软硬件、业务系统、网络设备、计算机机房环境及设施的升级改造等重点风险控制及管理的现场审计。并按照风险等级的大小，合理分配审计力量，提升审计效率。

（3）现场审计以风险控制为主、注重绩效评价

一是突出审计重点、量化风险大小、动态调整风险等级及权重。围绕审前分析出的重要风险，制定重要风险控制指标。依据风险损失程度建立了风险影响程度等级表，按照较小、中等、较大、重大影响程度，划分为1-4级。依据风险出现的频率建立风险发生可能性等级表，按照较小可能、可能、较大可能、基本确定，划分为1-4级。运用风险矩阵，结合风险的发生可能性及影响程度确定风险等级，风险等级由低到高分为1-4级。风险量化评价总分赋值为100分。风险等级1：比重为25%；风险等级2：比重为50%；风险等级3：比重为75%；风险等级4：比重为100%；风险分值=审前确定的权重 风险等级所占相应的比重。风险值越高，表明风险越大，关注度越高。最后，按照综合考评得分结果评价风险管理情况。风险管理情况从高到低依次为优秀（60分及以下）、良好（60-75分）、一般（75-90分）、较差（90～100分）。审后，依据审计结果，重新调整权重及风险等级，为下一次审前分析提供重要的参考数据，有效提升审计效率。

二是关注绩效评价，提升信息化管理效能。绩效审计是内审工作转型与发展中需要重点攻克的课题。本文通过深入分析信息化系统建设、升级改造及运用过程中的“3E”，初步构建信息化系统的绩效评价体系。确定了以“统一指导、分类管理、客观公正、科学规范、社会、经济效益相结合”为原则，运用科学、规范的绩效评价方法，依据统一的评价指标和标准，对信息化系统绩效目标及其实现程度进行综合性评价。首先，通过借鉴COBIT等国内外先进的绩效指标体系，结合基层央行实际，构建了人力资源管理、信息化系统立项情况、采购管理、信息化系统建设升级改造质量、经济效益、社会效益九大类绩效指标。其次，绩效评价采取定性与定量相结合的方式。采用比较法、公众评价法等绩效评价方法，对指标进行“分级判断”及定量评价，重点评价项目实施全过程管理效能、使用效果。评价值总分100分，每项绩效指标细分为四级，分为A、B、C、D四项，得分依次为1分、0.7分、0.35分、0分。最后，按照综合考评得分结果确定绩效级别。绩效级别从高到低依次为优秀（90～100分）、良好（75～90分）、一般（60～75分）、较差（60分以下）。被评价单位可以利用绩效考评结果，进一步总结经验，关注信息化建设的资金成本控制，强化成果的充分运用。

参考文献：

[1] 周欢.风险导向审计与央行风险管理.中国集体经济[J].2010，（1l）.

[2] 于丹.浅谈风险导向审计在基层人民银行内审工作中的运用.理论界.2010，（12）.

[3] 张金隆，于本海.面向项目绩效评价的软件过程改进模型与决策支持研究[J].计算机应用研究，2008，（6）.

[4] 时现，李庭燎等.全球信息系统审计指南[M].中国时代经济出版社，2010.

[5] 陈耿.信息系统审计.清华大学出版社，2009.06.