蒋峰

【摘要】从绩效的视角出发，积极探索与人民银行审计工作实际相适应的审计模式，是加快内部审计工作立体化转型的关键环节。随着人民银行信息化建设的不断深入，信息科技的作用已经从业务支持逐步走向与业务的融合，成为央行稳健运行与发展的有力保障。如何构建符合当前IT内部控制要求的审计评价体系，如何进一步发挥内审部门在提升IT管理水平中的咨询服务作用，值得关注和研究。本文通过剖析IT审计工作中的现实问题，借鉴国际上先进的关键绩效指标法（KPI），探索构建绩效视角下的IT审计模式及评价体系，力求从审计内容、审计方法等不同层面寻求突破，以此有效指导央行IT审计工作的开展，为央行有效履职保驾护航。

【关键词】绩效 IT审计 评价体系

关键绩效指标（KPI：Key Performance Indicator）是企业目前绩效管理较为常用的一种方法，通过具体分解组织的战略目标，将宏观的目标转变为具体可衡量的具体指标，进而帮助部门明确自身的主要责任。因此，关键绩效指标是用于衡量工作人员工作绩效表现的量化指标，是绩效计划的重要组成部分，这为央行IT审计绩效评价提供了一个新的思路和方法。

一、人民银行IT审计工作现状

近年来，人民银行转型工作不断深入，全系统分别开展了多层次的科技综合管理审计项目。总行也多次下发指导意见及实施方案，IT审计以风险为导向的思路已经明确，相关经验和做法也较为成熟。但是，合规性和风险防控为主导的传统审计模式仍然占据了主导地位，对科技管理工作的效率性、效果性、效益型关注程度仍有待提高。此外，随着央行服务职能不断提高，科技部门的责任也由原来的内部管理和服务转变为内外并重，扩展到了金融机构信息安全管理等相关领域。传统的审计模式的缺陷也逐渐暴露出来，如，未及时关注科技人员的知识技能的更新、履职效能的提高以及对外提供科技服务的质量等等。因此，构建科学的基于绩效的IT审计模式，在关注IT管理各类风险基础上，进一步关注IT管理的经济性、效率性、效果性已成为值得研究的重要课题。

二、探索构建绩效视角下的IT审计模式

（一）确立科技管理工作的四大核心目标

科技管理工作肩负保障业务系统正常运行的重任，是央行健康履职的基础。科技管理工作具有四个方面的核心目标：一是强化内部控制管理，从管理层面推动科技基础工作规范有序；二是加强机房、网络、系统等方面的安全检查，保障央行职能健康运行；三是提高科技服务水平，及时有效满足对象需求；四是与时俱进，不断提高科技人员的知识结构和水平，加强科技人才队伍建设。

（二）构建新型IT绩效审计模式

通过借鉴关键绩效指标（KPI：Key Performance Indicator）的思路，结合科技管理工作核心目标和履职特点，将核心目标分解细化“学习与发展”、“内部管理”、“服务对象”、“职能运行”四个核心环节，构建起绩效视角下的IT审计模式，如图1所示。

圖1 绩效视角下的IT审计模式

（三）建立绩效评价体系

1.利用关键绩效指标法原理，构建指标体系。在审计实践中，我们分别根据四个核心环节，细化了26项一级指标和35项二级指标，并分别制定了各个指标的含义以及计算方法，进而形成现场审计实施方案。如，“内部管理”指标中，我们设计了内控制度控制率、岗位设置控制有效率、风险控制有效率、应急管理控制有效率、信息与沟通有效率、监控有效率等6个一级指标，其他方面不再详述。

表1 IT审计评价指标体系及权重分配表（以内部管理为例）

2.定性与定量相结合，构建科学的评价方法。审计实践中，通过审计人的主观经验判断和客观审计数据，对指标进行“分级判断”及定量评价。每个核心环节的绩效得分为该核心环节每个绩效指标的评价值与该核心环节每个指标的权重之积，通过分数的高低进而形象生动的对IT管理绩效目标及其实现程度进行综合性评价。绩效级别按照分数高低可依次评为一级（90～100分）、二级（75～90分）、三级（60～75分）、四级（60分以下）。

三、IT绩效审计模型的现实运用

我们选择了某地市中心支行进行了实际应用和验证。审计共发现部分应急演练记录要素不齐全、机房进出控制制度执行不严格等10个不同程度的问题。同时，对26项一级关键指标、35项二级关键指标进行定量计算，各核心环节绩效得分为：学习与发展（权重15）12.23分、内部管理（权重35）32.95分、服务对象（权重20）17.81分、职能运行（30）26.82分，总绩效得分为89.81分。最终评定该中支科技工作较为扎实，有效促进了业务开展，提升了央行履职水平。

通过应用新型IT审计模式，一是实现了审计评价效果由“对与错”向“好不好”的转变。实践证明，建立的绩效评价体系，改变了以往绩效审计中设立的关键业绩指标之间互相孤立状况，为被审计部门绩效指标的设立找到了“平衡点”，实现了合理地评价被审计部门绩效管理的目标，推动了审计由原有只关注信息科技管理内控制度的充分性，机房和网络的安全性，运维、采购和保密等管理的规范性，向关注内控制度控制有效性、安全系统管理有效性、科技服务满意度、员工满意度、创新工作推广效果等效率、效果、效益目标转变。二是实现了传统的审计工作重点由“只关注风险隐患”向“全面关注履职效能”的转变。通过量化分数，可以有效确定被审计对象科技管理总体工作及各个细化工作所处的位次和水平，发现工作中仍然存在的薄弱环节，进一步提高管理工作的针对性和有效性，进而促进科技整体水平的提高。

参考文献

[1]周翔.人民银行绩效审计初探[J].财会月刊，2007（9）.

[2]杜栋，周娟.企业信息化的评价指标体系与评价方法研究[J].科技管理研究，2005，（l）.

[3]高伟.企业信息化绩效评价体系分析[D].北京交通大学专业硕士学位论文，2007.

[4]时现，李庭燎等.全球信息系统审计指南[M].中国时代经济出版社，2010.