高伟

摘 要：本文从发展审计信息化的目的及动因出发，介绍了如何构建新疆农村信用社信息化审计平台，剖析了实现信息化审计面临的困难。

关键词：新疆；农村信用社；审计信息化

一、如何构建适合新疆农信社的信息化审计平台

（一）审计管理系统

新疆农村信用社管理全疆84家独立法人的县市级金融机构，管理跨度大，对基层审计工作指导、审计质量管理都存在一定的难度。

笔者认为拟构建的审计管理系统应涵盖审计项目管理模块、审计人员管理模块、审计业务统计报表管理模块、审计整改管理模块、知识库模块5部分内容。应按照“县市联社到自治区联社”的树形结构进行权限设置及数据汇总，县市联社只能登陆本联社的审计管理系统，自治區联社可以登陆各家联社的审计管理系统。

审计项目管理模块，至少包括审计准备及方案审核流程管理模块、现场审计流程管理模块、审计报告及问题汇总模块，通过对项目立项、方案审核、现场审计程序执行及信息录入、报告生成修改及审核、全疆问题汇总及管理建议书生成等审计程序模式化控制，进行应用式执行，实现审计项目作业电子化，规范审计作业质量，提高报告质量。同时设置审计项目查询功能，根据需要查询任一项目电子文档信息。

审计人员管理模块，主要包括全疆审计人员基本信息管理（含职称、学历、从业经历、奖惩、职级等）、审计人员变动管理、审计人员持证上岗管理、审计人员后续教育培训管理、审计人员参与项目统计管理及审计人员项目工作质量评价考核管理等。

审计业务统计报表管理模块，主要包括审计工作计划执行情况统计、项目开展情况统计、审计整改情况统计、审计处罚情况统计，揭示内部审计工作对企业健康发展的贡献度。

审计整改管理模块，主要是为有效利用审计成果，避免查而不用单另设定。系统自动产生审计项目管理模块的审计问题信息，审计人员将整改检查结果输入系统，在系统内选择整改标准（包括已整改、部分整改、未整改3种状态），随时掌握审计问题整改情况。

知识库模块，主要包括国家金融法律法规、税收法规、内部规章制度、审计知识等。设立目的是便于审计人员及时掌握规章制度，在审计实践中运用好法律规章，使审计发现问题有据可依、有章可查。

（二）非现场审计科技平台

非现场审计是介于事中审计与事后审计的一种重要的科技审计手段，通过有重点地监测及时筛出风险信息，缩短发现审计问题的时间，通过现场审计及时查明原因。非现场审计为现场审计提供了方向，使现场审计更有重点及针对性。

拟构架的非现场审计科技平台，主要原理是通过传输门柜系统、票据影像系统、影像识别系统及信贷系统等数据源，按照设定的规则引擎，对风险经营指标及财务会计、信贷等业务合规性进行风险监测，对监测出的符合条件的信息及异常信息进行风险预警，通过系统自动下发风险信息。每日登陆查询信息，通过检查、询问等形式对结果进行风险识别，建立违规问题库。

非现场审计科技平台，一是引入风险导向审计方法，紧密结合业务监控、风险预警、分析透彻、操作简便、管理规范的要求，整合资源，系统规划、科学设计、严密分析，通过数据平台以及信息分析，辅助决策，实现自动分析、统计查询、在线支持等诸多功能；二是系统通过自动采集各类业务运行数据，对数据进行归集、汇总、评价、分析、监测，自动产生各类预测和预警信息，增强对金融机构经营管理风险监控的科学性、严密性、及时性、有效性，避免和防范局部及系统性的经营管理风险；三是有利于内审部门积极利用对各类机构、各项业务风险评估的成果，确定审计重点和检查频率，科学组织和规划年度审计计划，将有限的审计资源配置到管理层最为关注及对组织而言风险较高的领域，实现审计管理的科学化；四是以全面风险管理为目标，为构建数据中心以及决策支持系统提供基础，为内部评级、行内风险配置管理打基础。

（三）信息系统安全性审计

信息系统安全性审计，是为了信息系统的安全、可靠和有效，由独立于审计对象的IT审计师，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查、评价，并提出问题与建议的一系列活动。

信息系统审计的对象是以计算机为核心的信息系统，覆盖了信息系统从规划、分析、设计到维护的全生命周期的各种业务；包含了对软硬件审计、应用程序审计、安全审计等，其实质是审计对象及内容的拓展。

笔者认为，新疆农信社拟开展的信息系统安全性审计包括信息系统数据真实性审计和信息系统安全性审核。

信息系统数据真实性审计，是对信息系统数据的真实完整性进行审计，防止“错”账真审。一是审计信息系统在购买、使用、开发、更新、维护、转移等过程中是否符合相关法律、法规、准则、行规以及企业内部的规定等；二是通过数字签名和保留不可更改记录等一系列技术手段，定期审计信息管理手段是否有效控制，是否做到信息不被偶然或蓄意的删除、修改、伪造、乱序、重放、插入等破坏和丢失，是否保持信息的正确生成、存储和传输，确保系统数据的真实性和完整性。

信息系统安全性审核，是对威胁信息系统安全的因素进行审核，防止因信息系统造成攻击或破坏而产生的经营风险，优化并提高安全防范措施，确保信息系统在遭受非人为因素破坏或人为差错影响的情况下仍然能够正常运行。威胁信息系统安全的因素包括内外部两种，外部因素主要是黑客的入侵、病毒的攻击、线路的侦听、自然灾害对硬件和环境的破坏等；内部因素主要是被授权的用户访问和修改、删除及误操作对软硬件的破坏等。通过审核评价企业的防火墙技术、网络系统的防病毒功能、数据加密措施、身份认证和授权的应用实施情况，防止计算机病毒破坏、黑客攻击网络系统、内部人员计算机舞弊、数据丢失等。新疆农村信用社已开办电子银行业务，网络电子交易数据的安全是计算机网络安全审计的首要问题。

二、新疆农信社实现信息化审计面临的困难

（一）存在着技术困难和理念困惑

计算机审计对新疆农村信用社来说，是个全新的开始，对计算机审计领域及操作均存在着迷茫和困惑。一是观念上需转变，计算机审计专业性太强，认为计算机审计还很遥远，从上到下都存在计算机审计的畏难思想和困惑。二是目前企业经营发展较快，人力资源紧张，计算机专业的审计人员匮乏，开展计算机审计存在着人力资源的现实障碍。三是由于涉及商业秘密，借鉴他行成熟的信息审计经验较困难，全新开发和探索使得计算机审计进程变得缓慢。

（二）培养计算机审计人才需要时间

计算机审计效果如何，关键在于审计人员是否具备计算机技术与审计思路结合的能力。目前，新疆农村信用社的审计人员有丰富的财会、审计知识和经验，但欠缺计算机专业知识，仅掌握浅层次的计算机基础知识和运用技能，缺乏深层次计算机系统设计、程序编译检测技能，还不能有效分析信息系统结构。对计算机审计人员来说，既要掌握软件支撑环境和信息化技术，又要娴熟掌握操作技巧和流程；既要具备信息化思维能力，还要熟悉审计及业务知识；专业胜任能力要求非常高，培养专业胜任的计算机审计人员需要一定的时间和功夫。

（三）审计信息化工作需要在实践中不断发展完善

实现审计信息化，需要研发和运用计算机软件，将传统的审计技术方法转换为计算机可以操作的语言，有一定的难度，需要一个磨合和完善的过程，方能将计算机审计与审计实务有机结合。同时推广审计信息化工作需要取得高管层的支持，建立健全信息化审计制度、计算机审计推广应用奖励制度和设立特殊审计岗位津贴等，鼓励和提高计算机审计的积极性。

尽管开展审计信息化工作存在现实的困难和问题，但是推进信息化审计工作是时代所赋予的使命和革新创新的动力源泉，作为21世纪的审计人员，必须接受和学习计算机知识，做好迎接和挑战计算机审计的准备。（作者单位：新疆维吾尔自治区农村信用社联合社）