COBIT在工商銀行信息系統(tǒng)審計(jì)工作中應(yīng)用的探討

1、COBIT在工商銀行信息系統(tǒng)審計(jì)工作中應(yīng)用的探討導(dǎo)讀： 第一篇：COBIT在工商銀行信息系統(tǒng)審計(jì)工作中應(yīng)用的探討 COBIT在工商銀行信息系統(tǒng)審計(jì)工作中應(yīng)用的探討 作者：時(shí)間：202x-06-06 Hits: 1193 COBIT在工商銀行信息系統(tǒng)審計(jì)工作中應(yīng)用的探討 在商業(yè)銀行數(shù)據(jù)大集中的形勢(shì)下，銀行信息系統(tǒng)面臨著兩種威脅：一是利 第一篇：COBIT在工商銀行信息系統(tǒng)審計(jì)工作中應(yīng)用的探討 COBIT在工商銀行信息系統(tǒng)審計(jì)工作中應(yīng)用的探討 作者：時(shí)間：202x-06-06 Hits: 1193 COBIT在工商銀行信息系統(tǒng)審計(jì)工作中應(yīng)用的探討 在商業(yè)銀行數(shù)據(jù)大集中的形勢(shì)下，銀行信息系統(tǒng)面臨著兩

2、種威脅：一是利用計(jì)算機(jī)舞弊，二是災(zāi)難性破壞。計(jì)算機(jī)舞弊現(xiàn)象不僅存在于系統(tǒng)開發(fā)階段，更容易發(fā)生在維護(hù)階段?？傂袛?shù)據(jù)中心一旦發(fā)生災(zāi)難性破壞，受到影響的將是全行范圍的所有分支機(jī)構(gòu)和所有業(yè)務(wù)，經(jīng)濟(jì)%信譽(yù)和法律的損失將無法估量。為此，工商銀行的行領(lǐng)導(dǎo)非常重視，除了進(jìn)一步加強(qiáng)信息科技部門自身的內(nèi)部控制和采取必要的措施之外， 還于202x年在內(nèi)審部門成立了專職的IT 審計(jì)處， 重點(diǎn)對(duì)IT風(fēng)險(xiǎn)進(jìn)行檢查和控制，在IT審計(jì)方面做了一些有益的探索，取得了一些經(jīng)驗(yàn)。 商業(yè)銀行在應(yīng)用COBIT的具體過程中，要注意以下幾點(diǎn)： 1從審計(jì)目的看，IT審計(jì)不僅包含對(duì)信息系統(tǒng)安全運(yùn)行的狀況提出評(píng)價(jià)， 規(guī) 避操作風(fēng)險(xiǎn)， 更應(yīng)該使組

3、織中的IT戰(zhàn)略符合企業(yè)的戰(zhàn)略目標(biāo)， 規(guī)避由于信息技術(shù)發(fā)展給企業(yè)帶來的戰(zhàn)略風(fēng)險(xiǎn)。在這一方面，COBIT的審計(jì)范圍幾乎涵蓋了所有與IT相關(guān)的活動(dòng)。而其他幾個(gè)國際標(biāo)準(zhǔn)則各有不同，BS7799 側(cè)重于與信息系統(tǒng)安全相關(guān)的活動(dòng)，COSO 則側(cè)重于企業(yè)自身內(nèi)部控制，ITIL則是著重IT系統(tǒng)的交付和支持。更為重要的是，COBIT就如何進(jìn)行IT審計(jì)，給出了詳盡的指導(dǎo)性建議。就其適用的對(duì)象而言， 只有COBIT的適用用戶包含審計(jì)師，是從審計(jì)人員的角度來全面闡述了如何對(duì)企業(yè)面臨的IT戰(zhàn)略風(fēng)險(xiǎn)和操作運(yùn)行風(fēng)險(xiǎn)進(jìn)行審計(jì)和規(guī)避。因此，應(yīng)該按照COBIT要求的控制目標(biāo)，盡早對(duì)銀行相關(guān)的IT過程進(jìn)行審計(jì)。 2在應(yīng)用COBIT

4、標(biāo)準(zhǔn)時(shí)，應(yīng)以COBIT為主，還要參照其他國際標(biāo)準(zhǔn)。COBIT 作為一個(gè)IT治理的通用標(biāo)準(zhǔn)和信息系統(tǒng)審計(jì)的框架體系，與其他的國際IT標(biāo)準(zhǔn)并不沖突。審計(jì)師在以COBIT作為主要參照標(biāo)準(zhǔn)的同時(shí)，針對(duì)信息系統(tǒng)審計(jì)的不同方面，可以借鑒不同的國際標(biāo)準(zhǔn)。如在對(duì)商業(yè)銀行數(shù)據(jù)中心安全方面進(jìn)行審計(jì)時(shí)， 可以參照BS7799中的相應(yīng)內(nèi)容， 也可以參照SSECMM的標(biāo)準(zhǔn)來進(jìn)行; 在涉及信息系統(tǒng)的交付和支持時(shí)，則可以采用 ITIL 中的內(nèi)容來對(duì)數(shù)據(jù)中心的相關(guān)活動(dòng)進(jìn)行評(píng)價(jià)和審計(jì);在對(duì)數(shù)據(jù)中心內(nèi)控機(jī)制的建設(shè)情況進(jìn)行評(píng)價(jià)時(shí)，就可參照COSO中的相應(yīng)條款來比照評(píng)估。 3對(duì)COBIT標(biāo)準(zhǔn)的采用，應(yīng)結(jié)合商業(yè)銀行自身的實(shí)際情況有選擇

5、地實(shí)施。 COBIT作為一個(gè)國際標(biāo)準(zhǔn)，比較強(qiáng)調(diào)其通用性，而對(duì)企業(yè)的具體情況有所忽視。在具體運(yùn)用過程中，可依據(jù)自身特點(diǎn)，結(jié)合信息系統(tǒng)生命周期各個(gè)階段的不同特點(diǎn)，有選擇分階段地來實(shí)施COBIT中所要求的內(nèi)容。 4在運(yùn)用COBIT實(shí)施IT審計(jì)時(shí)，可從COBIT有關(guān)過程中的控制目標(biāo)入手， 進(jìn)行風(fēng)險(xiǎn)分析， 得出與該過程相關(guān)的風(fēng)險(xiǎn)控制目標(biāo)，再從風(fēng)險(xiǎn)控制目標(biāo)中導(dǎo)出與該目標(biāo)相關(guān)的風(fēng)險(xiǎn)控制點(diǎn)。針對(duì)每個(gè)風(fēng)險(xiǎn)控制點(diǎn)，結(jié)合商業(yè)銀行自身的技術(shù)特色，找出其所包含的風(fēng)險(xiǎn)檢查點(diǎn)，風(fēng)險(xiǎn)檢查點(diǎn)又可以組成對(duì)相關(guān)部分的檢查表。針對(duì)檢查的結(jié)果，與COBIT相關(guān)部分中的要求相比照，找出相關(guān)的薄弱點(diǎn)，并就此提出相應(yīng)的改進(jìn)意見。風(fēng)險(xiǎn)控制目標(biāo)

6、和風(fēng)險(xiǎn)檢查點(diǎn)之間的推導(dǎo)方式主要有兩種，一種是自下而上，即從具體的管理過程或技術(shù)實(shí)施措施入手，從中得出相應(yīng)的風(fēng)險(xiǎn)控制點(diǎn)，對(duì)相應(yīng)的風(fēng)險(xiǎn)控制點(diǎn)進(jìn)行提煉，最后得到風(fēng)險(xiǎn)控制目標(biāo); 一種是自上而下，從風(fēng)險(xiǎn)控制目標(biāo)出發(fā)，將其進(jìn)行分解，得到相應(yīng)的風(fēng)險(xiǎn)控制點(diǎn)并對(duì)其進(jìn)行細(xì)分，直到能夠直接得出檢查點(diǎn)為止。最后將得到的風(fēng)險(xiǎn)控制目標(biāo)與COBIT相關(guān)過程的控制目標(biāo)相比較，以確保整個(gè)信息系統(tǒng)審計(jì)目標(biāo)的完整性。 七、我國商業(yè)銀行IT審計(jì)發(fā)展的幾點(diǎn)思考 商業(yè)銀行IT 審計(jì)應(yīng)審時(shí)度勢(shì), 緊密聯(lián)系經(jīng)營的新形勢(shì)、新特點(diǎn), 遵循先進(jìn)的國際審計(jì)標(biāo)準(zhǔn), 突出技術(shù)特色和風(fēng)險(xiǎn)導(dǎo)向, 大力開展非現(xiàn)場(chǎng)IT 審計(jì)。 1. 緊密圍繞銀行的經(jīng)營需求,

7、推動(dòng)銀行的公司治理及IT 治理。目前金融市場(chǎng)的競爭進(jìn)一步加劇, 需要進(jìn)行全面的風(fēng)險(xiǎn)管理, 對(duì)內(nèi)部控制和內(nèi)部治理也應(yīng)進(jìn)行徹底性的變革。IT 審計(jì)在這場(chǎng)變革中, 要把握方向, 加快體系建設(shè), 提高審計(jì)層次, 促進(jìn)IT 治理, 推動(dòng)公司治理。因此，一方面，商業(yè)銀行要切實(shí)落實(shí)金融機(jī)構(gòu)計(jì)算機(jī)安全保護(hù)工作暫行規(guī)定要求，合理安排基礎(chǔ)設(shè)施和安全防范措施。要充分重視IT內(nèi)部審計(jì)的作用，發(fā)揮審計(jì)對(duì)安全管理的內(nèi)控作用，在引入IT 審計(jì)后，加快完善公司治理機(jī)制，并保證內(nèi)審的獨(dú)立性。成立信息系統(tǒng) 風(fēng)險(xiǎn)控制委員會(huì)，定期對(duì)信息系統(tǒng)風(fēng)險(xiǎn)管理情況進(jìn)行研究，推進(jìn)IT審計(jì)中的故障發(fā)現(xiàn)、評(píng)估和風(fēng)險(xiǎn)控制措施的落實(shí)，督促指導(dǎo)IT 審計(jì)組

8、的工作。另一方面，監(jiān)管部門應(yīng)加強(qiáng)對(duì)金融企業(yè)的IT 審計(jì)的監(jiān)管，將IT 安全作為監(jiān)管的重要內(nèi)容，將IT 審計(jì)作為評(píng)價(jià)其安全性的重要因素，通過現(xiàn)場(chǎng)及非現(xiàn)場(chǎng)檢查對(duì)商業(yè)銀行等金融企業(yè)進(jìn)行督促。同時(shí)，國家審計(jì)在金融計(jì)算機(jī)審計(jì)方面發(fā)展迅速，電子數(shù)據(jù)的采集分析等方面已有相當(dāng)高的水平，但在對(duì)針對(duì)金融企業(yè)信息技術(shù)本身的審計(jì)方面，還應(yīng)予以加強(qiáng)。 2. 建立商業(yè)銀行IT 審計(jì)規(guī)劃。恰當(dāng)?shù)腎T 審計(jì)方案與規(guī)劃是IT 審計(jì)工作的核心基礎(chǔ)，是保證審計(jì)目標(biāo)實(shí)現(xiàn)，以及達(dá)到相關(guān)審計(jì)效果的關(guān)鍵。商業(yè)銀行在引入IT 審計(jì)后，應(yīng)對(duì)全系統(tǒng)信息系統(tǒng)建設(shè)設(shè)計(jì)整體的專業(yè)審計(jì)規(guī)劃，制定年度工作目標(biāo)及三年、五年風(fēng)險(xiǎn)控制目標(biāo)，并與信息化建設(shè)發(fā)展相

9、適應(yīng)，形成IT 審計(jì)標(biāo)準(zhǔn)方案和計(jì)劃。商業(yè)銀行IT 審計(jì)方案與計(jì)劃應(yīng)包括：商業(yè)銀行的信息系統(tǒng)現(xiàn)狀分析、商業(yè)銀行的內(nèi)部控制現(xiàn)狀初步評(píng)價(jià)、IT 審計(jì)的性質(zhì)與范圍、審計(jì)工作的組織安排、審計(jì)風(fēng)險(xiǎn)評(píng)估、審計(jì)費(fèi)用與成本、實(shí)施時(shí)間計(jì)劃、IT 審計(jì)方法、審計(jì)協(xié)調(diào)與溝通機(jī)制等。IT 審計(jì)實(shí)施的過程要求對(duì)審計(jì)計(jì)劃確定的范圍、要點(diǎn)、步驟、方法等內(nèi)容，進(jìn)行取證、測(cè)試與評(píng)價(jià)，最終形成IT 審計(jì)報(bào)告。 3. 遵循國際通行準(zhǔn)則, 建立國際標(biāo)準(zhǔn)框架下具有各行特色的標(biāo)準(zhǔn)和規(guī)范體系。從國際同業(yè)的實(shí)踐看, 國際大型商業(yè)銀行大多都在自己的IT 審計(jì)體系下, 遵循國際標(biāo)準(zhǔn)或規(guī)范, 按照國際通行的做法, 結(jié)合實(shí)際情況, 確立自己的IT 審

10、計(jì)標(biāo)準(zhǔn)和規(guī)范。因而, 我國商業(yè)銀行也可應(yīng)把目前國際上公認(rèn)的最先進(jìn)、最權(quán)威的IT 審計(jì)標(biāo)準(zhǔn)COBIT 作為核心標(biāo)準(zhǔn), 同時(shí)借鑒巴塞爾協(xié)議、BS779 9、COSO (Committee of Sponsoring Organizations of the Treadway Commision)、薩班斯奧克斯利法案等其他國際標(biāo)準(zhǔn)和原則, 進(jìn)而確立適合各行的IT 審計(jì)目標(biāo)、對(duì)象、范圍、方法、流程等, 具體指導(dǎo)IT 審計(jì)工作。同時(shí)，應(yīng)進(jìn)一步明確IT 審計(jì)的技術(shù)角色，突出IT 審計(jì)的技術(shù)特色，根據(jù)商業(yè)銀行信息系統(tǒng)的技術(shù)架構(gòu)和特點(diǎn)，結(jié)合審計(jì)資源條件，確立IT 審計(jì)對(duì)應(yīng)的技術(shù)角色架構(gòu)?？梢钥紤]將IT 審計(jì)的

11、技術(shù)角色劃分為應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)及硬件三個(gè)大類。不同的技術(shù)角色分別負(fù)責(zé)信息系統(tǒng)生命周期中不同階段的不同技術(shù)領(lǐng)域的控 制、分析和評(píng)價(jià)，確立控制風(fēng)險(xiǎn)分布和控制重點(diǎn)，建立相應(yīng)的風(fēng)險(xiǎn)評(píng)估指標(biāo)，制定有效的控制檢查表和檢查點(diǎn)，提高商業(yè)銀行IT 審計(jì)的專業(yè)化水平。 4.建立合理的IT 審計(jì)管理模式?，F(xiàn)階段，商業(yè)銀行開展IT 審計(jì)應(yīng)將現(xiàn)場(chǎng)審計(jì)與非現(xiàn)場(chǎng)審計(jì)有效結(jié)合，并利用好不同審計(jì)模式下取得的成果，形成互補(bǔ)。通過考察國際銀行業(yè)界的IT 審計(jì)技術(shù)和手段，可以斷定，借助先進(jìn)技術(shù)實(shí)施非現(xiàn)場(chǎng)審計(jì)已是大勢(shì)所趨。IT 審計(jì)可以通過采用靈活的、可配置的審計(jì)模型及數(shù)據(jù)分析探測(cè)工具，構(gòu)筑起科學(xué)、有效的風(fēng)險(xiǎn)分析、監(jiān)測(cè)、評(píng)價(jià)體系，進(jìn)一

12、步加強(qiáng)商業(yè)銀行IT 審計(jì)的非現(xiàn)場(chǎng)審計(jì)，推動(dòng)商業(yè)銀行的審計(jì)信息化建設(shè)。但在審計(jì)開展過程中，要注意加強(qiáng)風(fēng)險(xiǎn)管理，規(guī)避IT 審計(jì)風(fēng)險(xiǎn)。在關(guān)注重要性的同時(shí)，要力求效益性，防止因?qū)徲?jì)不當(dāng)導(dǎo)致銀行新的風(fēng)險(xiǎn)發(fā)生。 5.加強(qiáng)注冊(cè)信息系統(tǒng)審計(jì)師（Certified Information System Auditor，簡稱CISA）和IT 審計(jì)專業(yè)人才的培養(yǎng)。從當(dāng)前商業(yè)銀行審計(jì)人員素質(zhì)來看，還不大適應(yīng)IT 審計(jì)的要求。這主要?dú)w結(jié)于在IT 環(huán)境下商業(yè)銀行內(nèi)部審計(jì)人員工作發(fā)生的一系列重大變化，對(duì)內(nèi)部審計(jì)人員素質(zhì)要求進(jìn)一步提高。首先，內(nèi)部審計(jì)人員需要以內(nèi)部控制專家的身份參與開發(fā)小組并監(jiān)督計(jì)算機(jī)信息系統(tǒng)開發(fā)過程中的各項(xiàng)

13、活動(dòng)。其次，內(nèi)部審計(jì)人員應(yīng)及早參與到計(jì)算機(jī)系統(tǒng)的實(shí)施過程，提出寶貴意見和建議。因此，內(nèi)部審計(jì)人員必須不斷地注視信息技術(shù)的發(fā)展，掌握新方法與新技能，了解現(xiàn)代信息技術(shù)的用途及其對(duì)企業(yè)管理與信息處理的影響，使信息技術(shù)成為實(shí)施審計(jì)監(jiān)督和加強(qiáng)控制的有力工具，并在現(xiàn)有的基礎(chǔ)上掌握經(jīng)營方面的重要知識(shí)和技能，以增強(qiáng)在經(jīng)營領(lǐng)域的運(yùn)作。目前雖然外包IT 內(nèi)審的條件不成熟，但I(xiàn)T 業(yè)務(wù)外包是社會(huì)化分工的趨勢(shì)，從長遠(yuǎn)來看，商業(yè)銀行應(yīng)增加IT技術(shù)尤其是通用技術(shù)的外包，將各系統(tǒng)行大批內(nèi)部IT 開發(fā)人員適當(dāng)轉(zhuǎn)化為固定的IT 內(nèi)部審計(jì)人員，從而進(jìn)一步提高內(nèi)審質(zhì)量。 6. 進(jìn)行IT 審計(jì)人員的技術(shù)角色劃分, 突出IT 審計(jì)的技

14、術(shù)特色。根據(jù)各商業(yè)銀行自己的信息系統(tǒng)技術(shù)體系及IT 審計(jì)資源, 劃分不同的IT 審計(jì)技術(shù)角色, 突出IT審計(jì)的技術(shù)特色, 提升IT 審計(jì)層次。首先應(yīng)分析掌握信息系統(tǒng)的技術(shù)和管理架構(gòu)的特點(diǎn), 然后結(jié)合現(xiàn)有的審計(jì)資源, 根據(jù)一般控制、應(yīng)用控制和信息安全審計(jì)的要求,確立IT 審計(jì)對(duì)應(yīng)的技術(shù)角色架構(gòu)?？梢猿醪綄⒓夹g(shù)角色劃分 為三個(gè)大類, 即應(yīng)用類技術(shù)角色、系統(tǒng)類技術(shù)角色、信息和網(wǎng)絡(luò)安全類技術(shù)角色。不同角色審計(jì)人員負(fù)責(zé)對(duì)信息系統(tǒng)中不同技術(shù)領(lǐng)域進(jìn)行審計(jì), 建立各自的控 制風(fēng)險(xiǎn)分布和重點(diǎn)的模型, 并制定相應(yīng)的風(fēng)險(xiǎn)評(píng)估指標(biāo), 確定有效的風(fēng)險(xiǎn)控制檢查表和檢查點(diǎn)。形成以三大技術(shù)分類為主線, 全面覆蓋全行信息系統(tǒng)各

15、個(gè)部門和信息系統(tǒng)發(fā)展生命周期全過程的IT 審計(jì)的技術(shù)體系。 7. 推行風(fēng)險(xiǎn)管理, 突出IT 審計(jì)的風(fēng)險(xiǎn)導(dǎo)向。現(xiàn)階段, 在復(fù)雜的信息系統(tǒng)技術(shù)和管理環(huán)境下的IT 審計(jì)無疑是有一定審計(jì)風(fēng)險(xiǎn)的。因此, IT 審計(jì)更要重視風(fēng)險(xiǎn)管理, 規(guī)避審計(jì)風(fēng)險(xiǎn), 在注重重要性的同時(shí), 要講究效益性, 這也是在今后相當(dāng)長的時(shí)間里要充分重視的。 在目前商業(yè)銀行的環(huán)境下, 信息系統(tǒng)的審計(jì)應(yīng)該是以風(fēng)險(xiǎn)管理為基礎(chǔ), 按照重要性原則, 對(duì)信息系統(tǒng)進(jìn)行的一般控制審計(jì)和應(yīng)用控制審計(jì),并且貫穿了信息系統(tǒng)生命周期的全過程。商業(yè)銀行IT審計(jì)工作應(yīng)該按照先進(jìn)的國際標(biāo)準(zhǔn)的要求, 本著科學(xué)、獨(dú)立、審慎的精神, 依據(jù)各商業(yè)銀行的實(shí)際情況來進(jìn)行,只

16、有這樣, 才能達(dá)到IT 審計(jì)真正目的。通過信息系統(tǒng)審計(jì)（IT 審計(jì)），及時(shí)識(shí)別風(fēng)險(xiǎn)，完善控制措施，是商業(yè)銀行構(gòu)建全面風(fēng)險(xiǎn)管理體系的現(xiàn)實(shí)需求.實(shí)施IT 審計(jì)有力于商業(yè)銀行信息系統(tǒng)項(xiàng)目的風(fēng)險(xiǎn)控制。加強(qiáng)對(duì)商業(yè)銀行業(yè)務(wù)運(yùn)營風(fēng)險(xiǎn)的防范。促進(jìn)商業(yè)銀行業(yè)務(wù)流程再造BPR（Business Process Reengineering,）。總之，在銀行系統(tǒng)開展信息系統(tǒng)審計(jì)工作，是銀行控制風(fēng)險(xiǎn)的的重要手段，在新形勢(shì)下，銀行要健康發(fā)展，就要積極迎接挑戰(zhàn)、應(yīng)對(duì)不斷出現(xiàn)的新風(fēng)險(xiǎn)，防患于未然，才能抓住網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代給銀行帶來的新機(jī)遇, 迎來銀行業(yè)的新發(fā)展。 第二篇：COBIT在工商銀行信息系統(tǒng)審計(jì)工作中應(yīng)用的探討COBIT

17、在工商銀行信息系統(tǒng)審計(jì)工作中應(yīng)用的探討 作者：時(shí)間：202x-06-06 Hits: 1193 COBIT在工商銀行信息系統(tǒng)審計(jì)工作中應(yīng)用的探討 在商業(yè)銀行數(shù)據(jù)大集中的形勢(shì)下，銀行信息系統(tǒng)面臨著兩種威脅：一是利用計(jì)算機(jī)舞弊，二是災(zāi)難性破壞。計(jì)算機(jī)舞弊現(xiàn)象不僅存在于系統(tǒng)開發(fā)階段，更容易發(fā)生在維護(hù)階段?？傂袛?shù)據(jù)中心一旦發(fā)生災(zāi)難性破壞，受到影響的將是全行范圍的所有分支機(jī)構(gòu)和所有業(yè)務(wù)，經(jīng)濟(jì)%信譽(yù)和法律的損失將無法估量。為此，工商銀行的行領(lǐng)導(dǎo)非常重視，除了進(jìn)一步加強(qiáng)信息科技部門自身的內(nèi)部控制和采取必要的措施之外， 還于202x年在內(nèi)審部門成立了專職的IT 審計(jì)處， 重點(diǎn)對(duì)IT風(fēng)險(xiǎn)進(jìn)行檢查和控制，在IT審

18、計(jì)方面做了一些有益的探索，取得了一些經(jīng)驗(yàn)。 商業(yè)銀行在應(yīng)用COBIT的具體過程中，要注意以下幾點(diǎn)： 1從審計(jì)目的看，IT審計(jì)不僅包含對(duì)信息系統(tǒng)安全運(yùn)行的狀況提出評(píng)價(jià)， 規(guī) 避操作風(fēng)險(xiǎn)， 更應(yīng)該使組織中的IT戰(zhàn)略符合企業(yè)的戰(zhàn)略目標(biāo)， 規(guī)避由于信息技術(shù)發(fā)展給企業(yè)帶來的戰(zhàn)略風(fēng)險(xiǎn)。在這一方面，COBIT的審計(jì)范圍幾乎涵蓋了所有與IT相關(guān)的活動(dòng)。而其他幾個(gè)國際標(biāo)準(zhǔn)則各有不同，BS7799 側(cè)重于與信息系統(tǒng)安全相關(guān)的活動(dòng)，COSO 則側(cè)重于企業(yè)自身內(nèi)部控制，ITIL則是著重IT系統(tǒng)的交付和支持。更為重要的是，COBIT就如何進(jìn)行IT審計(jì)，給出了詳盡的指導(dǎo)性建議。就其適用的對(duì)象而言， 只有COBIT的適用用

19、戶包含審計(jì)師，是從審計(jì)人員的角度來全面闡述了如何對(duì)企業(yè)面臨的IT戰(zhàn)略風(fēng)險(xiǎn)和操作運(yùn)行風(fēng)險(xiǎn)進(jìn)行審計(jì)和規(guī)避。因此，應(yīng)該按照COBIT要求的控制目標(biāo)，盡早對(duì)銀行相關(guān)的IT過程進(jìn)行審計(jì)。 2在應(yīng)用COBIT標(biāo)準(zhǔn)時(shí)，應(yīng)以COBIT為主，還要參照其他國際標(biāo)準(zhǔn)。COBIT 作為一個(gè)IT治理的通用標(biāo)準(zhǔn)和信息系統(tǒng)審計(jì)的框架體系，與其他的國際IT標(biāo)準(zhǔn)并不沖突。審計(jì)師在以COBIT作為主要參照標(biāo)準(zhǔn)的同時(shí)，針對(duì)信息系統(tǒng)審計(jì)的不同方面，可以借鑒不同的國際標(biāo)準(zhǔn)。如在對(duì)商業(yè)銀行數(shù)據(jù)中心安全方面進(jìn)行審計(jì)時(shí)， 可以參照BS7799中的相應(yīng)內(nèi)容， 也可以參照SSECMM的標(biāo)準(zhǔn)來進(jìn)行; 在涉及信息系統(tǒng)的交付和支持時(shí)，則可以采用 IT

20、IL 中的內(nèi)容來對(duì)數(shù)據(jù)中心的相關(guān)活動(dòng)進(jìn)行評(píng)價(jià)和審計(jì);在對(duì)數(shù)據(jù)中心內(nèi)控機(jī)制的建設(shè)情況進(jìn)行評(píng)價(jià)時(shí)，就可參照COSO中的相應(yīng)條款來比照評(píng)估。 3對(duì)COBIT標(biāo)準(zhǔn)的采用，應(yīng)結(jié)合商業(yè)銀行自身的實(shí)際情況有選擇地實(shí)施。 COBIT作為一個(gè)國際標(biāo)準(zhǔn)，比較強(qiáng)調(diào)其通用性，而對(duì)企業(yè)的具體情況有所忽視。在具體運(yùn)用過程中，可依據(jù)自身特點(diǎn)，結(jié)合信息系統(tǒng)生命周期各個(gè)階段的不同特點(diǎn)，有選擇分階段地來實(shí)施COBIT中所要求的內(nèi)容。 4在運(yùn)用COBIT實(shí)施IT審計(jì)時(shí)，可從COBIT有關(guān)過程中的控制目標(biāo)入手， 進(jìn)行風(fēng)險(xiǎn)分析， 得出與該過程相關(guān)的風(fēng)險(xiǎn)控制目標(biāo)，再從風(fēng)險(xiǎn)控制目標(biāo)中導(dǎo)出與該目標(biāo)相關(guān)的風(fēng)險(xiǎn)控制點(diǎn)。針對(duì)每個(gè)風(fēng)險(xiǎn)控制點(diǎn)，結(jié)合商

21、業(yè)銀行自身的技術(shù)特色，找出其所包含的風(fēng)險(xiǎn)檢查點(diǎn)，風(fēng)險(xiǎn)檢查點(diǎn)又可以組成對(duì)相關(guān)部分的檢查表。針對(duì)檢查的結(jié)果，與COBIT相關(guān)部分中的要求相比照，找出相關(guān)的薄弱點(diǎn)，并就此提出相應(yīng)的改進(jìn)意見。風(fēng)險(xiǎn)控制目標(biāo)和風(fēng)險(xiǎn)檢查點(diǎn)之間的推導(dǎo)方式主要有兩種，一種是自下而上，即從具體的管理過程或技術(shù)實(shí)施措施入手，從中得出相應(yīng)的風(fēng)險(xiǎn)控制點(diǎn)，對(duì)相應(yīng)的風(fēng)險(xiǎn)控制點(diǎn)進(jìn)行提煉，最后得到風(fēng)險(xiǎn)控制目標(biāo); 一種是自上而下，從風(fēng)險(xiǎn)控制目標(biāo)出發(fā)，將其進(jìn)行分解，得到相應(yīng)的風(fēng)險(xiǎn)控制點(diǎn)并對(duì)其進(jìn)行細(xì)分，直到能夠直接得出檢查點(diǎn)為止。最后將得到的風(fēng)險(xiǎn)控制目標(biāo)與COBIT相關(guān)過程的控制目標(biāo)相比較，以確保整個(gè)信息系統(tǒng)審計(jì)目標(biāo)的完整性。 七、我國商業(yè)銀行IT

22、審計(jì)發(fā)展的幾點(diǎn)思考 商業(yè)銀行IT 審計(jì)應(yīng)審時(shí)度勢(shì), 緊密聯(lián)系經(jīng)營的新形勢(shì)、新特點(diǎn), 遵循先進(jìn)的國際審計(jì)標(biāo)準(zhǔn), 突出技術(shù)特色和風(fēng)險(xiǎn)導(dǎo)向, 大力開展非現(xiàn)場(chǎng)IT 審計(jì)。 1. 緊密圍繞銀行的經(jīng)營需求, 推動(dòng)銀行的公司治理及IT 治理。目前金融市場(chǎng)的競爭進(jìn)一步加劇, 需要進(jìn)行全面的風(fēng)險(xiǎn)管理, 對(duì)內(nèi)部控制和內(nèi)部治理也應(yīng)進(jìn)行徹底性的變革。IT 審計(jì)在這場(chǎng)變革中, 要把握方向, 加快體系建設(shè), 提高審計(jì)層次, 促進(jìn)IT 治理, 推動(dòng)公司治理。因此，一方面，商業(yè)銀行要切實(shí)落實(shí)金融機(jī)構(gòu)計(jì)算機(jī)安全保護(hù)工作暫行規(guī)定要求，合理安排基礎(chǔ)設(shè)施和安全防范措施。要充分重視IT內(nèi)部審計(jì)的作用，發(fā)揮審計(jì)對(duì)安全管理的內(nèi)控作用，在引

23、入IT 審計(jì)后，加快完善公司治理機(jī)制，并保證內(nèi)審的獨(dú)立性。成立信息系統(tǒng) 風(fēng)險(xiǎn)控制委員會(huì)，定期對(duì)信息系統(tǒng)風(fēng)險(xiǎn)管理情況進(jìn)行研究，推進(jìn)IT審計(jì)中的故障發(fā)現(xiàn)、評(píng)估和風(fēng)險(xiǎn)控制措施的落實(shí)，督促指導(dǎo)IT 審計(jì)組的工作。另一方面，監(jiān)管部門應(yīng)加強(qiáng)對(duì)金融企業(yè)的IT 審計(jì)的監(jiān)管，將IT 安全作為監(jiān)管的重要內(nèi)容，將IT 審計(jì)作為評(píng)價(jià)其安全性的重要因素，通過現(xiàn)場(chǎng)及非現(xiàn)場(chǎng)檢查對(duì)商業(yè)銀行等金融企業(yè)進(jìn)行督促。同時(shí)，國家審計(jì)在金融計(jì)算機(jī)審計(jì)方面發(fā)展迅速，電子數(shù)據(jù)的采集分析等方面已有相當(dāng)高的水平，但在對(duì)針對(duì)金融企業(yè)信息技術(shù)本身的審計(jì)方面，還應(yīng)予以加強(qiáng)。 2. 建立商業(yè)銀行IT 審計(jì)規(guī)劃。恰當(dāng)?shù)腎T 審計(jì)方案與規(guī)劃是IT 審計(jì)工作

24、的核心基礎(chǔ)，是保證審計(jì)目標(biāo)實(shí)現(xiàn)，以及達(dá)到相關(guān)審計(jì)效果的關(guān)鍵。商業(yè)銀行在引入IT 審計(jì)后，應(yīng)對(duì)全系統(tǒng)信息系統(tǒng)建設(shè)設(shè)計(jì)整體的專業(yè)審計(jì)規(guī)劃，制定工作目標(biāo)及三年、五年風(fēng)險(xiǎn)控制目標(biāo)，并與信息化建設(shè)發(fā)展相適應(yīng)，形成IT 審計(jì)標(biāo)準(zhǔn)方案和計(jì)劃。商業(yè)銀行IT 審計(jì)方案與計(jì)劃應(yīng)包括：商業(yè)銀行的信息系統(tǒng)現(xiàn)狀分析、商業(yè)銀行的內(nèi)部控制現(xiàn)狀初步評(píng)價(jià)、IT 審計(jì)的性質(zhì)與范圍、審計(jì)工作的組織安排、審計(jì)風(fēng)險(xiǎn)評(píng)估、審計(jì)費(fèi)用與成本、實(shí)施時(shí)間計(jì)劃、IT 審計(jì)方法、審計(jì)協(xié)調(diào)與溝通機(jī)制等。IT 審計(jì)實(shí)施的過程要求對(duì)審計(jì)計(jì)劃確定的范圍、要點(diǎn)、步驟、方法等內(nèi)容，進(jìn)行取證、測(cè)試與評(píng)價(jià)，最終形成IT 審計(jì)報(bào)告。 3. 遵循國際通行準(zhǔn)則, 建立國

25、際標(biāo)準(zhǔn)框架下具有各行特色的標(biāo)準(zhǔn)和規(guī)范體系。從國際同業(yè)的實(shí)踐看, 國際大型商業(yè)銀行大多都在自己的IT 審計(jì)體系下, 遵循國際標(biāo)準(zhǔn)或規(guī)范, 按照國際通行的做法, 結(jié)合實(shí)際情況, 確立自己的IT 審計(jì)標(biāo)準(zhǔn)和規(guī)范。因而, 我國商業(yè)銀行也可應(yīng)把目前國際上公認(rèn)的最先進(jìn)、最權(quán)威的IT 審計(jì)標(biāo)準(zhǔn)COBIT 作為核心標(biāo)準(zhǔn), 同時(shí)借鑒巴塞爾協(xié)議、BS779 9、COSO (Committee of Sponsoring Organizations of the Treadway Commision)、薩班斯奧克斯利法案等其他國際標(biāo)準(zhǔn)和原則, 進(jìn)而確立適合各行的IT 審計(jì)目標(biāo)、對(duì)象、范圍、方法、流程等, 具體指導(dǎo)I

26、T 審計(jì)工作。同時(shí)，應(yīng)進(jìn)一步明確IT 審計(jì)的技術(shù)角色，突出IT 審計(jì)的技術(shù)特色，根據(jù)商業(yè)銀行信息系統(tǒng)的技術(shù)架構(gòu)和特點(diǎn)，結(jié)合審計(jì)資源條件，確立IT 審計(jì)對(duì)應(yīng)的技術(shù)角色架構(gòu)?？梢钥紤]將IT 審計(jì)的技術(shù)角色劃分為應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)及硬件三個(gè)大類。不同的技術(shù)角色分別負(fù)責(zé)信息系統(tǒng)生命周期中不同階段的不同技術(shù)領(lǐng)域的控 制、分析和評(píng)價(jià)，確立控制風(fēng)險(xiǎn)分布和控制重點(diǎn)，建立相應(yīng)的風(fēng)險(xiǎn)評(píng)估指標(biāo)，制定有效的控制檢查表和檢查點(diǎn)，提高商業(yè)銀行IT 審計(jì)的專業(yè)化水平。 4.建立合理的IT 審計(jì)管理模式?，F(xiàn)階段，商業(yè)銀行開展IT 審計(jì)應(yīng)將現(xiàn)場(chǎng)審計(jì)與非現(xiàn)場(chǎng)審計(jì)有效結(jié)合，并利用好不同審計(jì)模式下取得的成果，形成互補(bǔ)。通過考察國際銀行

27、業(yè)界的IT 審計(jì)技術(shù)和手段，可以斷定，借助先進(jìn)技術(shù)實(shí)施非現(xiàn)場(chǎng)審計(jì)已是大勢(shì)所趨。IT 審計(jì)可以通過采用靈活的、可配置的審計(jì)模型及數(shù)據(jù)分析探測(cè)工具，構(gòu)筑起科學(xué)、有效的風(fēng)險(xiǎn)分析、監(jiān)測(cè)、評(píng)價(jià)體系，進(jìn)一步加強(qiáng)商業(yè)銀行IT 審計(jì)的非現(xiàn)場(chǎng)審計(jì)，推動(dòng)商業(yè)銀行的審計(jì)信息化建設(shè)。但在審計(jì)開展過程中，要注意加強(qiáng)風(fēng)險(xiǎn)管理，規(guī)避IT 審計(jì)風(fēng)險(xiǎn)。在關(guān)注重要性的同時(shí)，要力求效益性，防止因?qū)徲?jì)不當(dāng)導(dǎo)致銀行新的風(fēng)險(xiǎn)發(fā)生。 5.加強(qiáng)注冊(cè)信息系統(tǒng)審計(jì)師（Certified Information System Auditor，簡稱CISA）和IT 審計(jì)專業(yè)人才的培養(yǎng)。從當(dāng)前商業(yè)銀行審計(jì)人員素質(zhì)來看，還不大適應(yīng)IT 審計(jì)的要求。這主

28、要?dú)w結(jié)于在IT 環(huán)境下商業(yè)銀行內(nèi)部審計(jì)人員工作發(fā)生的一系列重大變化，對(duì)內(nèi)部審計(jì)人員素質(zhì)要求進(jìn)一步提高。首先，內(nèi)部審計(jì)人員需要以內(nèi)部控制專家的身份參與開發(fā)小組并監(jiān)督計(jì)算機(jī)信息系統(tǒng)開發(fā)過程中的各項(xiàng)活動(dòng)。其次，內(nèi)部審計(jì)人員應(yīng)及早參與到計(jì)算機(jī)系統(tǒng)的實(shí)施過程，提出寶貴意見和建議。因此，內(nèi)部審計(jì)人員必須不斷地注視信息技術(shù)的發(fā)展，掌握新方法與新技能，了解現(xiàn)代信息技術(shù)的用途及其對(duì)企業(yè)管理與信息處理的影響，使信息技術(shù)成為實(shí)施審計(jì)監(jiān)督和加強(qiáng)控制的有力工具，并在現(xiàn)有的基礎(chǔ)上掌握經(jīng)營方面的重要知識(shí)和技能，以增強(qiáng)在經(jīng)營領(lǐng)域的運(yùn)作。目前雖然外包IT 內(nèi)審的條件不成熟，但I(xiàn)T 業(yè)務(wù)外包是社會(huì)化分工的趨勢(shì)，從長遠(yuǎn)來看，商業(yè)銀

29、行應(yīng)增加IT技術(shù)尤其是通用技術(shù)的外包，將各系統(tǒng)行大批內(nèi)部IT 開發(fā)人員適當(dāng)轉(zhuǎn)化為固定的IT 內(nèi)部審計(jì)人員，從而進(jìn)一步提高內(nèi)審質(zhì)量。 6. 進(jìn)行IT 審計(jì)人員的技術(shù)角色劃分, 突出IT 審計(jì)的技術(shù)特色。根據(jù)各商業(yè)銀行自己的信息系統(tǒng)技術(shù)體系及IT 審計(jì)資源, 劃分不同的IT 審計(jì)技術(shù)角色, 突出IT審計(jì)的技術(shù)特色, 提升IT 審計(jì)層次。首先應(yīng)分析掌握信息系統(tǒng)的技術(shù)和管理架構(gòu)的特點(diǎn), 然后結(jié)合現(xiàn)有的審計(jì)資源, 根據(jù)一般控制、應(yīng)用控制和信息安全審計(jì)的要求,確立IT 審計(jì)對(duì)應(yīng)的技術(shù)角色架構(gòu)?？梢猿醪綄⒓夹g(shù)角色劃分 為三個(gè)大類, 即應(yīng)用類技術(shù)角色、系統(tǒng)類技術(shù)角色、信息和網(wǎng)絡(luò)安全類技術(shù)角色。不同角色審計(jì)人員

30、負(fù)責(zé)對(duì)信息系統(tǒng)中不同技術(shù)領(lǐng)域進(jìn)行審計(jì), 建立各自的控 制風(fēng)險(xiǎn)分布和重點(diǎn)的模型, 并制定相應(yīng)的風(fēng)險(xiǎn)評(píng)估指標(biāo), 確定有效的風(fēng)險(xiǎn)控制檢查表和檢查點(diǎn)。形成以三大技術(shù)分類為主線, 全面覆蓋全行信息系統(tǒng)各個(gè)部門和信息系統(tǒng)發(fā)展生命周期全過程的IT 審計(jì)的技術(shù)體系。 7. 推行風(fēng)險(xiǎn)管理, 突出IT 審計(jì)的風(fēng)險(xiǎn)導(dǎo)向?，F(xiàn)階段, 在復(fù)雜的信息系統(tǒng)技術(shù)和管理環(huán)境下的IT 審計(jì)無疑是有一定審計(jì)風(fēng)險(xiǎn)的。因此, IT 審計(jì)更要重視風(fēng)險(xiǎn)管理, 規(guī)避審計(jì)風(fēng)險(xiǎn), 在注重重要性的同時(shí), 要講究效益性, 這也是在今后相當(dāng)長的時(shí)間里要充分重視的。 在目前商業(yè)銀行的環(huán)境下, 信息系統(tǒng)的審計(jì)應(yīng)該是以風(fēng)險(xiǎn)管理為基礎(chǔ), 按照重要性原則, 對(duì)信

31、息系統(tǒng)進(jìn)行的一般控制審計(jì)和應(yīng)用控制審計(jì),并且貫穿了信息系統(tǒng)生命周期的全過程。商業(yè)銀行IT審計(jì)工作應(yīng)該按照先進(jìn)的國際標(biāo)準(zhǔn)的要求, 本著科學(xué)、獨(dú)立、審慎的精神, 依據(jù)各商業(yè)銀行的實(shí)際情況來進(jìn)行,只有這樣, 才能達(dá)到IT 審計(jì)真正目的。通過信息系統(tǒng)審計(jì)（IT 審計(jì)），及時(shí)識(shí)別風(fēng)險(xiǎn)，完善控制措施，是商業(yè)銀行構(gòu)建全面風(fēng)險(xiǎn)管理體系的現(xiàn)實(shí)需求.實(shí)施IT 審計(jì)有力于商業(yè)銀行信息系統(tǒng)項(xiàng)目的風(fēng)險(xiǎn)控制。加強(qiáng)對(duì)商業(yè)銀行業(yè)務(wù)運(yùn)營風(fēng)險(xiǎn)的防范。促進(jìn)商業(yè)銀行業(yè)務(wù)流程再造BPR（Business Process Reengineering,）?？傊?，在銀行系統(tǒng)開展信息系統(tǒng)審計(jì)工作，是銀行控制風(fēng)險(xiǎn)的的重要手段，在新形勢(shì)下，銀行要

32、健康發(fā)展，就要積極迎接挑戰(zhàn)、應(yīng)對(duì)不斷出現(xiàn)的新風(fēng)險(xiǎn)，防患于未然，才能抓住網(wǎng)絡(luò)經(jīng)濟(jì)時(shí)代給銀行帶來的新機(jī)遇, 迎來銀行業(yè)的新發(fā)展。 第三篇：風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)理論在人民銀行內(nèi)部審計(jì)中的應(yīng)用探討風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)理論在人民銀行內(nèi)部審計(jì)中的應(yīng)用探討 風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)是在賬項(xiàng)基礎(chǔ)審計(jì)和制度基礎(chǔ)審計(jì)上發(fā)展起來的一種審計(jì)模式，是指審計(jì)人員在對(duì)被審計(jì)單位的內(nèi)部控制充分了解和評(píng)價(jià)的基礎(chǔ)上，分析、判斷被審計(jì)單位的風(fēng)險(xiǎn)所在及其風(fēng)險(xiǎn)程度，把審計(jì)資源集中于高風(fēng)險(xiǎn)的審計(jì)領(lǐng)域，針對(duì)不同風(fēng)險(xiǎn)因素狀況、程度采取相應(yīng)的審計(jì)策略，加強(qiáng)對(duì)高風(fēng)險(xiǎn)點(diǎn)的實(shí)質(zhì)性測(cè)試，將內(nèi)部審計(jì)的剩余風(fēng)險(xiǎn)降低到最低水平。人民銀行自成立內(nèi)審部門以來所開展的各項(xiàng)審計(jì)，已經(jīng)延用了風(fēng)

33、險(xiǎn)導(dǎo)向?qū)徲?jì)理論，但是在實(shí)際應(yīng)用中，仍以合規(guī)性審計(jì)為主，風(fēng)險(xiǎn)導(dǎo)向性審計(jì)沒有形成系統(tǒng)的理論和操作程序。隨著金融業(yè)的不斷發(fā)展，實(shí)行風(fēng)險(xiǎn)管理，防范和化解金融風(fēng)險(xiǎn)已成為人民銀行的指導(dǎo)思想，人民銀行內(nèi)部審計(jì)部門如何將審計(jì)方法由傳統(tǒng)的合規(guī)性審計(jì)向以加強(qiáng)和改善組織風(fēng)險(xiǎn)管理為目標(biāo)的風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)轉(zhuǎn)變，已成為一個(gè)亟須解決的問題。 一、風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)在人民銀行審計(jì)工作中應(yīng)用的必要性 （一）金融風(fēng)險(xiǎn)的存在，要求將風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)方法應(yīng)用在人民銀行審計(jì)工作中 隨著金融全球化趨勢(shì)的逐步加深，金融風(fēng)險(xiǎn)也不斷加劇和分散，如何制定正確的貨幣政策和管理決策，防范和化解金融風(fēng)險(xiǎn)，保證金融業(yè)健康穩(wěn)定發(fā)展，傳統(tǒng)的審計(jì)理論與方法已不能完全適應(yīng)形

34、式發(fā)展需要。人民銀行內(nèi)部審計(jì)工作必須適應(yīng)金融形勢(shì)的發(fā)展和變化，應(yīng)用風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)方法，在深入分析判斷不同層面和業(yè)務(wù)領(lǐng)域風(fēng)險(xiǎn)狀況的基礎(chǔ)上，確定審計(jì)重點(diǎn)。并使內(nèi)部審計(jì)能夠通過風(fēng)險(xiǎn)評(píng)估的結(jié)果、建議，直接影響人民銀行管理政策的制定，確保人民銀行風(fēng)險(xiǎn)管理目標(biāo)與業(yè)務(wù)發(fā)展目標(biāo)的一致性，力求從源頭上憂咳嗣褚械姆縵展芾懟?SPAN lang=EN-US style=“COLOR: red”> （二）實(shí)施風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)是完善人民銀行內(nèi)部控制機(jī)制的需要 在人民銀行現(xiàn)行管理模式中，風(fēng)險(xiǎn)的管理與控制是人民銀行內(nèi)部控制的重要組成部分，若要建立健全風(fēng)險(xiǎn)管理機(jī)制并使之有效運(yùn)行，則需要內(nèi)審部門通過對(duì)風(fēng)險(xiǎn)適當(dāng)性和有效性的審計(jì)評(píng)

35、價(jià)，來改善風(fēng)險(xiǎn)管理機(jī)制及運(yùn)行中不完善部分，促進(jìn)各職能部門更好履行職能，實(shí)現(xiàn)人民銀行的各項(xiàng)目標(biāo)。近期出臺(tái)的中國人民銀行分支機(jī)構(gòu)內(nèi)部控制指引指出：“內(nèi)部控制是指中國人民銀行上海總部、各分支行通過制定和執(zhí)行一系列具體的制度程序和方法，對(duì)相關(guān)風(fēng)險(xiǎn)進(jìn)行識(shí)別、分析和應(yīng)對(duì)的機(jī)制和動(dòng)態(tài)過程” 。因此，實(shí)施風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)是完善人民銀行內(nèi)部控制機(jī)制的需要。 （三）央行個(gè)案危害的具大性，使風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)在審計(jì)實(shí)務(wù)中越來越重要 人民銀行擔(dān)負(fù)著制定和執(zhí)行貨幣政策、發(fā)行人民幣、經(jīng)理國庫和聯(lián)行資金清算等到職責(zé)。每個(gè)職責(zé)領(lǐng)域發(fā)生了舞弊案件，都會(huì)給國家造成了具大損失，如202x年人民銀行建湖縣支行沈建等人挪用聯(lián)行資金6350萬元案

36、、202x年人民銀行西寧中心支行陳志清貪污國庫款1549萬余元等。這些案件的發(fā)生，反映了人民銀行內(nèi)部控制存在著重大缺陷，要求內(nèi)審部門關(guān)口前移, 從以合規(guī)審計(jì)為主到以風(fēng)險(xiǎn)評(píng)估和控制為主，加強(qiáng)風(fēng)險(xiǎn)評(píng)估程序，及時(shí)發(fā)現(xiàn)控制弱點(diǎn)和舞弊苗頭，實(shí)施風(fēng)險(xiǎn)控制。 二、風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)在人民銀行內(nèi)部審計(jì)中應(yīng)用的設(shè)想 （一）以中國人民銀行分支機(jī)構(gòu)內(nèi)部控制指引、中國人民銀行內(nèi)審工作制度和風(fēng)險(xiǎn)預(yù)警制度等為指導(dǎo)，運(yùn)用風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的模式，建立人民銀行審計(jì)操作程序。 中國人民銀行分支機(jī)構(gòu)內(nèi)部控制指引指出：“風(fēng)險(xiǎn)評(píng)估指識(shí)別和分析相關(guān)風(fēng)險(xiǎn)并確定應(yīng)對(duì)策略，是選擇恰當(dāng)?shù)目刂苹顒?dòng)的關(guān)鍵。分支機(jī)構(gòu)應(yīng)通過科學(xué)、有效、可行的風(fēng)險(xiǎn)識(shí)別、分析和應(yīng)對(duì)

37、，對(duì)相關(guān)風(fēng)險(xiǎn)進(jìn)行持續(xù)監(jiān)控和有效管理，將相關(guān)風(fēng)險(xiǎn)控制在合理的范圍內(nèi)”。一是在編制審計(jì)計(jì)劃時(shí)，應(yīng)該在對(duì)可能影響被審計(jì)單位的風(fēng)險(xiǎn)進(jìn)行評(píng)估的基礎(chǔ)上，制定審計(jì)計(jì)劃，確定審計(jì)項(xiàng)目。二是確定審計(jì)范圍時(shí)，要考慮并反映轄區(qū)人民銀行整體性工作目標(biāo)，并每年對(duì)審計(jì)范圍進(jìn)行一次評(píng)估，確定高風(fēng)險(xiǎn)范圍。三是編制審計(jì)方案時(shí)，應(yīng)突出風(fēng)險(xiǎn)評(píng)估的內(nèi)容，不僅要注重現(xiàn)實(shí)的風(fēng)險(xiǎn)，更要注重風(fēng)險(xiǎn)隱患。四是在審計(jì)實(shí)施過程中，通過評(píng)價(jià)內(nèi)部控制制度，查找其中的疏漏和薄弱環(huán)節(jié)。五是以風(fēng)險(xiǎn)大小作為確定追蹤審計(jì)范圍的重要因素，風(fēng)險(xiǎn)越大，追蹤審計(jì)的范圍就越廣。六是在編制審計(jì)報(bào)告時(shí)，應(yīng)對(duì)風(fēng)險(xiǎn)管理狀況進(jìn)行評(píng)價(jià)，指出風(fēng)險(xiǎn)管理中存在的漏洞和不足之處，提出加強(qiáng)管理

38、的建議。 （二）準(zhǔn)確確定審計(jì)的重點(diǎn)和范圍，提高審計(jì)效率，有效地降低審計(jì)風(fēng)險(xiǎn) 從人民銀行的現(xiàn)狀來看，經(jīng)濟(jì)犯罪案件和重大違法違規(guī)問題是危害嚴(yán)重、影響廣泛的金融風(fēng)險(xiǎn)，近年來暴露的系統(tǒng)內(nèi)多起經(jīng)濟(jì)犯罪案件都證實(shí)了這一點(diǎn)。因此，審計(jì)重點(diǎn)一是要對(duì)內(nèi)部控制制度的健全性和有效性進(jìn)行評(píng)審。針對(duì)人民銀行規(guī)模大、地域分布廣、分支機(jī)構(gòu)眾多、潛在操作風(fēng)險(xiǎn)較高的情況，應(yīng)以檢查內(nèi)部控制和風(fēng)險(xiǎn)管理作為審計(jì)的切入點(diǎn)，對(duì)內(nèi)部控制制度的健全性和有效性進(jìn)行測(cè)評(píng)，以揭露問題，堵塞漏洞，促進(jìn)人民銀行完善內(nèi)部控制機(jī)制，加強(qiáng)內(nèi)部管理，防范風(fēng)險(xiǎn)。二是將財(cái)務(wù)會(huì)計(jì)、支付結(jié)算、發(fā)行、國庫業(yè)務(wù)等高風(fēng)險(xiǎn)領(lǐng)域列為審計(jì)重點(diǎn)。對(duì)上述業(yè)務(wù)的政策、制度、操作程序；

39、重要憑證、印章、密押（鑰）；內(nèi)外對(duì)賬，及定期查庫、查賬情況進(jìn)行嚴(yán)格規(guī)范，保證內(nèi)部控制制度覆蓋所有風(fēng)險(xiǎn)點(diǎn)，及時(shí)發(fā)現(xiàn)潛在的風(fēng)險(xiǎn)，迅速采取措施予以消除。 （三）實(shí)現(xiàn)審計(jì)手段電子化，提高審計(jì)工作水平 人民銀行電子化、網(wǎng)絡(luò)化發(fā)展迅速，數(shù)據(jù)集中程度較高，基本形成了以計(jì)算機(jī)網(wǎng)絡(luò)為中心的業(yè)務(wù)處理系統(tǒng)，因此，內(nèi)部審計(jì)應(yīng)提高電子化運(yùn)用范圍及運(yùn)用水平。一是要在業(yè)務(wù)處理系統(tǒng)和管理信息系統(tǒng)中設(shè)臵審計(jì)接口，并建立包括有關(guān)金融法律法規(guī)、業(yè)務(wù)處理、市場(chǎng)信息的數(shù)據(jù)資料庫，使審計(jì)人員在對(duì)固有風(fēng)險(xiǎn)的評(píng)估時(shí)，能夠及時(shí)獲得必要的審計(jì)線索。二是運(yùn)用計(jì)算機(jī)技術(shù)，進(jìn)行內(nèi)部控制風(fēng)險(xiǎn)的評(píng)估，確定標(biāo)準(zhǔn)內(nèi)控的模型，并經(jīng)常調(diào)整、完善，以提高內(nèi)部控制風(fēng)

40、險(xiǎn)的評(píng)估效率及其準(zhǔn)確性，加強(qiáng)分析性測(cè)試，提高分析的速度和準(zhǔn)確性，擴(kuò)展分析的范圍。三是構(gòu)架完整的審計(jì)信息系統(tǒng)，推進(jìn)風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)與非現(xiàn)場(chǎng)審計(jì)有機(jī)結(jié)合，提高內(nèi)部審計(jì)的質(zhì)量和效率。 三、人民銀行全面實(shí)施風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的制約因素 （一）缺乏專門的審計(jì)理論和比較標(biāo)準(zhǔn)、規(guī)范的審計(jì)方法 風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的應(yīng)用，要求審計(jì)人員通過了解測(cè)試，形成對(duì)被審計(jì)單位管理經(jīng)營風(fēng)險(xiǎn)、財(cái)務(wù)風(fēng)險(xiǎn)整體評(píng)價(jià)，在此基礎(chǔ)上，確認(rèn)發(fā)生重大錯(cuò)報(bào)可能的領(lǐng)域與方向，評(píng)估預(yù)期的審計(jì)風(fēng)險(xiǎn)水平。然而，我國目前還沒有專門的理論框架或指南為確定期望的審計(jì)風(fēng)險(xiǎn)提供科學(xué)的依據(jù)，審計(jì)人員很難對(duì)審計(jì)風(fēng)險(xiǎn)進(jìn)行合理恰當(dāng)?shù)墓罍y(cè)，同時(shí)風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)還沒有一套比較標(biāo)準(zhǔn)、規(guī)范的審計(jì)方

41、法，所以風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的正常實(shí)施效果會(huì)大打折扣。 （二）制度局限性 風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)模式允許審計(jì)人員在其認(rèn)為能承受的風(fēng)險(xiǎn)水平下，省略部分常規(guī)的實(shí)質(zhì)性測(cè)試程序。當(dāng)前上級(jí)人民銀行考核下級(jí)內(nèi)部審計(jì)部門審計(jì)質(zhì)量的一個(gè)重要方面，就是看在項(xiàng)目審計(jì)過程中是否嚴(yán)格執(zhí)行了內(nèi)審操作程序。這種只注重審計(jì)程序形式上完整性的檢查思路和方法，勢(shì)必制約風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)模式的推行。因此，要推行風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)模式，內(nèi)審制度必須要進(jìn)行適當(dāng)?shù)母母铩?（三）人員素質(zhì)障礙 實(shí)行風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)，在實(shí)質(zhì)性測(cè)試階段，運(yùn)用分析性測(cè)試程序作為主要的獲取審計(jì)證據(jù)的手段，它要求審計(jì)人員具有較高的素質(zhì)，要運(yùn)用分析性測(cè)試程序，根據(jù)被審計(jì)單位的具體情況，尋求數(shù)據(jù)間的內(nèi)

42、在關(guān)系來構(gòu)建模型。按照國際會(huì)計(jì)師事務(wù)所的經(jīng)驗(yàn)，為了使其運(yùn)用分析性測(cè)試程序具有合理和可驗(yàn)證性，大多數(shù)程序是以數(shù)理統(tǒng)計(jì)的廣泛運(yùn)用為前提的，在要求依據(jù)數(shù)理統(tǒng)計(jì)估算出可接受的風(fēng)險(xiǎn)水平時(shí)，應(yīng)具有相應(yīng)規(guī)模的審計(jì)證據(jù)。目前人民銀行相當(dāng)多的審計(jì)人員不具備運(yùn)用數(shù)理統(tǒng)計(jì)方法的能力，對(duì)風(fēng)險(xiǎn)的預(yù)測(cè)尤其是對(duì)有關(guān)信息、證據(jù)的判斷多是憑工作經(jīng)驗(yàn)作出的推理，具有較強(qiáng)的主觀臆斷性，不具數(shù)理性。這必然妨礙分析性程序成為實(shí)質(zhì)性測(cè)試的重要手段。 （四）程序軟件的限制 在歐美發(fā)達(dá)國家具有大量運(yùn)用分析性程序的有利條件，大量審計(jì)程序軟件的開發(fā)和運(yùn)用為審計(jì)人員實(shí)施風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)提供了條件。西方各國財(cái)務(wù)數(shù)據(jù)的電子化已經(jīng)非常普遍，因此，在審計(jì)中可

43、以直接對(duì)數(shù)據(jù)庫進(jìn)行加工分析，依據(jù)軟件構(gòu)建模型并由電腦自行檢驗(yàn)和核對(duì)；而我國不具有財(cái)務(wù)數(shù)據(jù)庫及軟件構(gòu)建模型，人民銀行也尚未建立完整的科學(xué)體系，對(duì)風(fēng)險(xiǎn)的管理與控制尚沒有完整可行的軟件程序，因此實(shí)施風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)受到了限制。 （五）審計(jì)人員信息來源渠道狹窄，影響風(fēng)險(xiǎn)評(píng)估和實(shí)質(zhì)性測(cè)試 由于內(nèi)審人員并不直接參與管理層的決策，一些與被監(jiān)督對(duì)象相關(guān)的、甚至起決定性作用的重要信息的知曉范圍有非常有限，內(nèi)審人員不能全方位掌握各個(gè)被監(jiān)督對(duì)象的全面情況，因此評(píng)估出的風(fēng)險(xiǎn)也不全面。這一局限在一些應(yīng)用系統(tǒng)的立項(xiàng)、研制開發(fā)、推廣方面體現(xiàn)更為突出。由于內(nèi)審人員不能“全程介入”，很難了解在系統(tǒng)推廣應(yīng)用前的各個(gè)環(huán)節(jié)是否存在風(fēng)險(xiǎn)，

44、因此在進(jìn)行測(cè)試性階段往往造成被動(dòng)或遺漏。 四、風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)在人民銀行運(yùn)用的幾點(diǎn)建議 一是制定統(tǒng)一的風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的模式，開發(fā)統(tǒng)一的風(fēng)險(xiǎn)管理與控制軟件程序，建立人民銀行審計(jì)操作程序。建立信息收集的框架和統(tǒng)一收集模式，規(guī)范分析標(biāo)識(shí)。在系統(tǒng)內(nèi)部建立對(duì)組織的信息進(jìn)行系統(tǒng)收集、定期分析制度，如季度、半分析，提供分析報(bào)告，從而形成組織信息動(dòng)態(tài)數(shù)據(jù)檔案。 二是建立信息的共享、傳輸系統(tǒng)。中支以上組織應(yīng)建立內(nèi)審共享系統(tǒng)，實(shí)現(xiàn)內(nèi)審資源的共享，及時(shí)掌握所審計(jì)范圍的組織信息，建立組織信息檔案，否則只是在確定審計(jì)項(xiàng)目后或?qū)嵤徲?jì)項(xiàng)目時(shí)才收集、分析、整理組織信息，就不是風(fēng)險(xiǎn)導(dǎo)向下的內(nèi)部審計(jì)，仍只是制度基礎(chǔ)下的審計(jì)。 三是結(jié)

45、合實(shí)際工作，切實(shí)引入風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)理念。 風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)理論的精髓就是始終關(guān)注風(fēng)險(xiǎn)、提出處臵建議。在現(xiàn)場(chǎng)審計(jì)項(xiàng)目中要引入風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)理念，其審計(jì)思路就是：以突出風(fēng)險(xiǎn)管理與風(fēng)險(xiǎn)控制為目的，以項(xiàng)目的預(yù)計(jì)風(fēng)險(xiǎn)確定審計(jì)方向和審計(jì)質(zhì)量控制的依據(jù)。結(jié)合人民銀行內(nèi)審工作制度將現(xiàn)場(chǎng)審計(jì)過程劃分為六個(gè)階段的實(shí)際，在具體操作中可將其分為三個(gè)階段實(shí)施： 1、第一階段為審前風(fēng)險(xiǎn)評(píng)估及審計(jì)導(dǎo)向分析階段。內(nèi)審人員在日常工作中要注重通過各種渠道、利用各種合理合法手段收集與轄內(nèi)監(jiān)督對(duì)象相關(guān)的信息（或證據(jù)），并對(duì)收集到的信息（或證據(jù)）進(jìn)行綜合分析，判斷其可信度，合理預(yù)測(cè)被審計(jì)對(duì)象的潛在風(fēng)險(xiǎn)，評(píng)估風(fēng)險(xiǎn)的等級(jí)，以此確定現(xiàn)場(chǎng)審計(jì)關(guān)注等級(jí)

46、，確定開展審計(jì)時(shí)的主方向。 2、第二階段是現(xiàn)場(chǎng)查實(shí)及新發(fā)現(xiàn)可疑點(diǎn)風(fēng)險(xiǎn)分析階段。內(nèi)審人員一方面根據(jù)審前分析的風(fēng)險(xiǎn)點(diǎn)進(jìn)行格外關(guān)注并逐項(xiàng)核實(shí)，另一方面要對(duì)現(xiàn)場(chǎng)審計(jì)過程中新發(fā)現(xiàn)的可疑點(diǎn)或可疑資金去向進(jìn)行風(fēng)險(xiǎn)分析，然后根據(jù)具體情況，適時(shí)調(diào)整審計(jì)方向與重點(diǎn)； 3、第三階段為風(fēng)險(xiǎn)確定及后續(xù)風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)分析階段。在現(xiàn)場(chǎng)審計(jì)結(jié)束前，內(nèi)部審計(jì)人員應(yīng)就查出的問題與被審計(jì)單位相關(guān)人員及時(shí)進(jìn)行溝通，共同分析存在問題的原因及潛在風(fēng)險(xiǎn)隱患。與被審計(jì)對(duì)象共同探討整改方式方法，督促被審計(jì)單位盡早完善內(nèi)控制度，強(qiáng)化具體操作人員風(fēng)險(xiǎn)意識(shí)，落實(shí)整改責(zé)任，防范資金風(fēng)險(xiǎn)?，F(xiàn)場(chǎng)審計(jì)結(jié)束后，內(nèi)審部門還要及時(shí)向行領(lǐng)導(dǎo)報(bào)告審查和評(píng)價(jià)風(fēng)險(xiǎn)管理過程

47、的結(jié)果，出具專項(xiàng)審計(jì)報(bào)告，提出整改建議，最后根據(jù)有關(guān)領(lǐng)導(dǎo)批示擬定對(duì)查實(shí)風(fēng)險(xiǎn)的防范措施，要求被審計(jì)對(duì)象貫徹落實(shí)，最后在現(xiàn)場(chǎng)審計(jì)結(jié)束后，內(nèi)部審計(jì)人員要根據(jù)本次發(fā)現(xiàn)問題，分析風(fēng)險(xiǎn)程度及等級(jí)，及時(shí)確定后續(xù)審計(jì)重點(diǎn)，并于規(guī)定的時(shí)間內(nèi)進(jìn)行后續(xù)審計(jì)。 雖然風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)理論在人民銀行提出還屬于初期, 現(xiàn)階段全面實(shí)施尚有局限性，但我們?nèi)钥梢晕怙L(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)模式的基本理念和一些重要的做法，將風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的特點(diǎn)融入到人民銀行現(xiàn)有制度導(dǎo)向?qū)徲?jì)模式中，強(qiáng)調(diào)和提倡審計(jì)風(fēng)險(xiǎn)意識(shí)，將審計(jì)風(fēng)險(xiǎn)貫穿至審計(jì)的全過程，并在實(shí)際工作中及時(shí)總結(jié)經(jīng)驗(yàn)和不足，逐步使其完善推廣。 風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)在人民銀行內(nèi)部審計(jì) 工作中的應(yīng)用 德州市中心支

48、行內(nèi)審科 風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)，是指內(nèi)部審計(jì)人員在對(duì)被審計(jì)單位的內(nèi)部控制充分了解和評(píng)價(jià)的基礎(chǔ)上，分析、判斷被審計(jì)單位的風(fēng)險(xiǎn)所在及其風(fēng)險(xiǎn)程度，把審計(jì)資源集中于高風(fēng)險(xiǎn)的審計(jì)領(lǐng)域，針對(duì)不同的風(fēng)險(xiǎn)因素狀況、程度采取相應(yīng)的審計(jì)策略，加強(qiáng)對(duì)高風(fēng)險(xiǎn)點(diǎn)的實(shí)質(zhì)性測(cè)試，將內(nèi)部審計(jì)的剩余風(fēng)險(xiǎn)降低到最低水平。它是在賬項(xiàng)審計(jì)和制度審計(jì)的基礎(chǔ)上發(fā)展起來的一種審計(jì)模式。 作為加強(qiáng)風(fēng)險(xiǎn)管理的需要，人民銀行內(nèi)部審計(jì)部門如何將傳統(tǒng)的審計(jì)模式向加強(qiáng)和改善以風(fēng)險(xiǎn)管理為目標(biāo)的風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)轉(zhuǎn)變，已成為一個(gè)亟待解決的問題。 一、風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)在人民銀行內(nèi)部審計(jì)工作中應(yīng)用的必要性 (一)內(nèi)控機(jī)制的發(fā)展與完善，要求人民銀行將風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)應(yīng)用到審計(jì)工作中

49、 風(fēng)險(xiǎn)的管理與控制是人民銀行內(nèi)部控制的重要組成部分，將風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)理論應(yīng)用到內(nèi)部控制機(jī)制中，可以使內(nèi)審人員通過對(duì)風(fēng)險(xiǎn)的分析與評(píng)價(jià),判斷哪些控制對(duì)風(fēng)險(xiǎn)而言是最重要的，哪些是潛在的風(fēng)險(xiǎn)點(diǎn)，來更好地控制風(fēng)險(xiǎn)。而且通過對(duì)風(fēng)險(xiǎn)的評(píng)估，還可以改善風(fēng)險(xiǎn)管理機(jī)制及運(yùn)行中不完善的部分，從而使內(nèi)控系統(tǒng)更具完備性、審慎性和有效性。 （二）傳統(tǒng)審計(jì)方法的缺陷，需要人民銀行內(nèi)部審計(jì)采用風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)理論和方法 傳統(tǒng)的審計(jì)模式不論是詳細(xì)審計(jì)、抽樣審計(jì)（賬項(xiàng)審計(jì)）、還是制度基礎(chǔ)審計(jì)，都有其一定的局限性，如目前普遍使用的制度基礎(chǔ)審計(jì)，是在不對(duì)被審計(jì)單位進(jìn)行風(fēng)險(xiǎn)分析、評(píng)價(jià)的情況下直接決定審計(jì)執(zhí)行程序。控制只為風(fēng)險(xiǎn)而存在，不分析風(fēng)

50、險(xiǎn)而想控制風(fēng)險(xiǎn)是不可能的，風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)正好彌補(bǔ)了這一缺陷，它不僅可以對(duì)被審計(jì)單位建立與執(zhí)行內(nèi)部控制制度的情況進(jìn)行檢查與評(píng)價(jià)，而且也對(duì)管理決策層是否誠信是否有舞弊造假的動(dòng)機(jī)等做出評(píng)估，將審計(jì)視野擴(kuò)大到被審計(jì)單位所處的經(jīng)營環(huán)境（微觀、中觀、宏觀）中，捕捉潛在的風(fēng)險(xiǎn)點(diǎn)，將風(fēng)險(xiǎn)評(píng)估與控制貫穿于審計(jì)工作全過程。因此，風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)可以彌補(bǔ)傳統(tǒng)審計(jì)方式所產(chǎn)生的缺陷。 （三）審計(jì)風(fēng)險(xiǎn)的存在，迫使審計(jì)人員尋求更好地控制風(fēng)險(xiǎn)的方法 從1999年成立內(nèi)審部門以來，初期主要以查錯(cuò)糾弊為審計(jì)目標(biāo)，內(nèi)審人員通過詳細(xì)審查，基本能達(dá)到審計(jì)目標(biāo)的需要。但是隨著人們對(duì)審計(jì)重要性認(rèn)識(shí)的不斷加大，審計(jì)人員來自自身以外的壓力也隨之加大

51、，如受到人民銀行通報(bào)的梨樹縣支行攜款潛逃案件，審計(jì)人員就受到了質(zhì)疑，說明內(nèi)審人員風(fēng)險(xiǎn)觀念淡薄，在審計(jì)工作中沒有很好地對(duì)風(fēng)險(xiǎn)進(jìn)行綜合分析，預(yù)測(cè)審計(jì)對(duì)象的潛在風(fēng)險(xiǎn)，來確定審計(jì)的重點(diǎn)，控制風(fēng)險(xiǎn)的發(fā)生，或者將風(fēng)險(xiǎn)降到可以接受的水平。一旦被審計(jì)單位（部門）出現(xiàn)風(fēng)險(xiǎn)，內(nèi)審人員就要作為第三責(zé)任人追究一定的責(zé)任。因此，審計(jì)風(fēng)險(xiǎn)的加大，促使內(nèi)審人員尋求一種新的審計(jì)方式、方法，來解決為一問題，而實(shí)施風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)不僅可以評(píng)價(jià)被審計(jì)單位（部門）的風(fēng)險(xiǎn)，使重大的差錯(cuò)的舞弊揭露出來，同時(shí)還可以提高審計(jì)效率與質(zhì)量規(guī)避審計(jì)風(fēng)險(xiǎn)。 （四）內(nèi)部審計(jì)準(zhǔn)則及其內(nèi)審的發(fā)展趨勢(shì)，要求內(nèi)審部門采用風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)理論和方法 202x年新頒布的

52、中國內(nèi)部審計(jì)具體準(zhǔn)則第一號(hào)審計(jì)計(jì)劃和第十六號(hào)風(fēng)險(xiǎn)管理審計(jì)，分別就制定風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)計(jì)劃和規(guī)范內(nèi)審人員風(fēng)險(xiǎn)管理狀況的審查與評(píng)價(jià)，制定了具體的準(zhǔn)則。這對(duì)指導(dǎo)央行在強(qiáng)化控制、防范風(fēng)險(xiǎn)管理、完善組織治理結(jié)構(gòu)、促進(jìn)央行目標(biāo)的實(shí)現(xiàn)，具有一定的促進(jìn)作用。因此實(shí)施風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)不僅是中國內(nèi)部審計(jì)準(zhǔn)則的要求，也是央行內(nèi)部審計(jì)發(fā)展的方向。 二、風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)在人民銀行內(nèi)部審計(jì)中的應(yīng)用 風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)理論的提出雖然還屬于初期，但是在人民銀行內(nèi)部審計(jì)中已經(jīng)有所體現(xiàn)。 （一） 確立了風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)理念 如德州中支在工作安排及其內(nèi)審工作會(huì)議中多次強(qiáng)調(diào)，內(nèi)審人員要調(diào)整工作思路，轉(zhuǎn)變內(nèi)審工作思維方式，認(rèn)真做好內(nèi)審工作思維方式由側(cè)重微觀

53、向微觀與宏觀并重的方向轉(zhuǎn)變，把過去以監(jiān)督為主的 “大復(fù)核”式審計(jì)方式調(diào)整到對(duì)各部門內(nèi)控制度健全情況的分析和評(píng)價(jià)，對(duì)資金安全、決策正誤“風(fēng)險(xiǎn)點(diǎn)”的監(jiān)督檢查上來。 （二）制訂風(fēng)險(xiǎn)點(diǎn)的控制和管理辦法 202x年以來，人民銀行濟(jì)南分行組織人員對(duì)人民銀行內(nèi)部重點(diǎn)崗位、要害部位和關(guān)鍵環(huán)節(jié)的風(fēng)險(xiǎn)進(jìn)行了排查，將人民銀行易發(fā)案件分為三個(gè)大類即案件高發(fā)部位、多發(fā)部位和易發(fā)部位，將62個(gè)重點(diǎn)部位確定為風(fēng)險(xiǎn)點(diǎn)，并就其潛在風(fēng)險(xiǎn)、防范措施、責(zé)任主體及責(zé)任追究進(jìn)行了系統(tǒng)分析。在此基礎(chǔ)上，德州中心支行也根據(jù)自身的業(yè)務(wù)特點(diǎn)和變化情況，制訂了風(fēng)險(xiǎn)點(diǎn)的控制和管理辦法。一是找準(zhǔn)風(fēng)險(xiǎn)點(diǎn)。根據(jù)相關(guān)制度規(guī)定和風(fēng)險(xiǎn)程度高低、風(fēng)險(xiǎn)可能出現(xiàn)頻率

54、的多少，圍繞國庫、票據(jù)交換、會(huì)計(jì)核算、密押、重要空白憑證、計(jì)算機(jī)等風(fēng)險(xiǎn)點(diǎn)，從內(nèi)控的建設(shè)與執(zhí)行、業(yè)務(wù)管理等方面查找風(fēng)險(xiǎn)點(diǎn)；二是開展內(nèi)控體系健全性和有效性的評(píng)價(jià)活動(dòng)。我們開展了對(duì)內(nèi)控制度的檢查與評(píng)價(jià)，檢查的內(nèi)容主要是看風(fēng)險(xiǎn)點(diǎn)的分布是否遍及各項(xiàng)業(yè)務(wù)、各個(gè)管理層次，風(fēng)險(xiǎn)點(diǎn)的控制落實(shí)的質(zhì)量和效果如何，并對(duì)存在的問題從風(fēng)險(xiǎn)點(diǎn)的制訂、執(zhí)行等方面進(jìn)行分析。通過對(duì)風(fēng)險(xiǎn)點(diǎn)的控制和管理，完善了內(nèi)控制度、消滅了潛在風(fēng)險(xiǎn)，為實(shí)施風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)提供了一定的基礎(chǔ)。 （三）在審計(jì)項(xiàng)目的實(shí)施中引入風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)理念 如我們?cè)趯?duì)某支行行長實(shí)行領(lǐng)導(dǎo)干部履行職責(zé)審計(jì)時(shí)，根據(jù)在審計(jì)期內(nèi)該支行國庫會(huì)計(jì)科有多次外出學(xué)習(xí)的現(xiàn)象，分析該行由于人員

55、緊張，在內(nèi)控和內(nèi)部管理方面可能存在不按規(guī)定辦理交接手續(xù)，業(yè)務(wù)上存在“一手清”、不合理兼崗等的問題，因此確定將內(nèi)部控制方面的審計(jì)列為一級(jí)風(fēng)險(xiǎn)，作為審計(jì)的主方向。因此在現(xiàn)場(chǎng)審計(jì)時(shí)特別關(guān)注人員的崗位設(shè)臵、人員交接、印押證等的管理，通過對(duì)風(fēng)險(xiǎn)的分析與評(píng)估，使我們抓住了審計(jì)的重點(diǎn)，有效地提高了審計(jì)質(zhì)量和審計(jì)效率、規(guī)避了審計(jì)風(fēng)險(xiǎn)。 三、對(duì)如何在人民銀行開展風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的思考 （一）提高人民銀行內(nèi)審人員的素質(zhì)，是開展風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的前提 風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的目標(biāo)就是集中在評(píng)價(jià)和改善被審計(jì)單位的風(fēng)險(xiǎn)管理，同時(shí)降低自身的審計(jì)風(fēng)險(xiǎn)。要求內(nèi)審人員要有較強(qiáng)的發(fā)現(xiàn)風(fēng)險(xiǎn)、識(shí)別風(fēng)險(xiǎn)的能力，如果不能及時(shí)發(fā)現(xiàn)和識(shí)別風(fēng)險(xiǎn)，就談不上評(píng)價(jià)和

56、改善風(fēng)險(xiǎn)。以目前來看，基層央行的內(nèi)審人員的素質(zhì)還很難達(dá)到上述要求。因此，內(nèi)審部門要制定長遠(yuǎn)的培訓(xùn)計(jì)劃，加大培訓(xùn)力度，把具有政治、業(yè)務(wù)素質(zhì)高的人才充實(shí)到內(nèi)審部門，同時(shí)對(duì)現(xiàn)有的內(nèi)審人員采用靈活多樣的形式，進(jìn)一步加強(qiáng)后續(xù)教育和培訓(xùn)工作，保證后續(xù)教育的時(shí)間，提高內(nèi)審人員的綜合素質(zhì)，從而達(dá)到主動(dòng)控制風(fēng)險(xiǎn)的目的。 （二）改變現(xiàn)有的審計(jì)模式和工作思路，是開展風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的的關(guān)鍵 目前人民銀行內(nèi)審方法模式主要是以制度基礎(chǔ)審計(jì)為主，即以評(píng)價(jià)單位內(nèi)部控制制度為審計(jì)基礎(chǔ)，以此決定抽樣的重點(diǎn)和規(guī)模。但是在審計(jì)中它容易使內(nèi)審人員將審計(jì)的重點(diǎn)偏向于單位內(nèi)部的控制系統(tǒng)，在沒有檢查組織目標(biāo)和所處的風(fēng)險(xiǎn)的情況下而直接評(píng)估控制程

57、序。在衡量一個(gè)審計(jì)項(xiàng)目質(zhì)量的高低時(shí),也主要是看在項(xiàng)目審計(jì)過程中是否嚴(yán)格執(zhí)行了內(nèi)審操作程序,這種只注重審計(jì)程序形式上的完整性的檢查思路和方法,勢(shì)必制約風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的推行。因此要推行風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)模式，必須要沖破傳統(tǒng)的審計(jì)模式和審計(jì)思路、方法的束縛。開展審計(jì)時(shí)，以風(fēng)險(xiǎn)的分析與控制為出發(fā)點(diǎn)，統(tǒng)籌運(yùn)用實(shí)質(zhì)性測(cè)試、分析性檢查等方法，綜合各種審計(jì)證據(jù)，以控制風(fēng)險(xiǎn)。以風(fēng)險(xiǎn)評(píng)估決定審計(jì)程序、時(shí)間、范圍以及審計(jì)證據(jù)的質(zhì)量及數(shù)量，允許內(nèi)審人員在其認(rèn)為能承受的風(fēng)險(xiǎn)水平下，省略部分常規(guī)的實(shí)質(zhì)性測(cè)試程序。 （三）以內(nèi)部審計(jì)準(zhǔn)則為指導(dǎo)，執(zhí)行風(fēng)險(xiǎn)導(dǎo)向的內(nèi)部審計(jì)程序 一是在編制審計(jì)計(jì)劃時(shí)，應(yīng)綜合考慮組織風(fēng)險(xiǎn)、管理需求和有效利用

58、資源三個(gè)因素；二是確定審計(jì)范圍和審計(jì)重點(diǎn)時(shí)，要以防范風(fēng)險(xiǎn)為主，審計(jì)重點(diǎn)要對(duì)內(nèi)部控制制度的健全性和有效性以及風(fēng)險(xiǎn)管理進(jìn)行評(píng)審；三是編制審計(jì)方案時(shí)，應(yīng)該在評(píng)估風(fēng)險(xiǎn)優(yōu)先次序的基礎(chǔ)上安排審計(jì)工作；四是在審計(jì)實(shí)施過程中，通過評(píng)價(jià)內(nèi)部控制制度，查找其中的疏漏和薄弱環(huán)節(jié)；五是在選擇檢測(cè)、證實(shí)風(fēng)險(xiǎn)的技術(shù)與方法時(shí)，應(yīng)該能夠反映出風(fēng)險(xiǎn)的重大性與發(fā)生的可能性；六是在編制審計(jì)報(bào)告時(shí)，應(yīng)對(duì)風(fēng)險(xiǎn)管理狀況進(jìn)行評(píng)價(jià)，指出風(fēng)險(xiǎn)管理中存在的漏洞和不足之處，提出加強(qiáng)管理的建議；七是以風(fēng)險(xiǎn)大小作為確定追蹤審計(jì)范圍的重要因素，風(fēng)險(xiǎn)越大，追蹤審計(jì)的范圍就越廣。 (四) 實(shí)現(xiàn)審計(jì)手段電子化，提高審計(jì)工作水平 一是隨著人民銀行電子化、網(wǎng)絡(luò)化的發(fā)展，基本上形成了以計(jì)算機(jī)網(wǎng)絡(luò)為中心的業(yè)務(wù)處理系統(tǒng)，但是內(nèi)審部門還停留在以查看會(huì)計(jì)憑證、報(bào)表等實(shí)物載體的審計(jì)方式，審計(jì)手段的缺乏明顯；二是由于內(nèi)審人員對(duì)一些新業(yè)務(wù)、新系統(tǒng)的應(yīng)用不能一開始推廣和使用就介入，在對(duì)其審計(jì)時(shí)，很難了解系統(tǒng)的各個(gè)環(huán)節(jié)是否存在風(fēng)險(xiǎn)，以及無法對(duì)其進(jìn)行測(cè)試、檢查和分析研究，造成風(fēng)險(xiǎn)防范的滯后性。因此，人民銀行的內(nèi)部審計(jì)電子化運(yùn)用范圍也應(yīng)隨著人民銀行電子化、網(wǎng)絡(luò)化發(fā)展進(jìn)一步擴(kuò)大。首先，內(nèi)審部門要參與新系統(tǒng)、新業(yè)務(wù)的規(guī)章制度、操作流程的推廣和使用，把事先控制和