焦學文

一、引言

隨著證券行業(yè)信息化的快速發(fā)展，作為證券企業(yè)治理和風險管理重要組成部分的內部審計，面對數(shù)字化、信息化遍及的審計環(huán)境，不加快內部審計信息化建設的步伐，將難以勝任證券公司內部審計職責，難于發(fā)揮其在組織治理、風險管理、內部控制等方面的應有作用。因此，充分認識證券公司內部審計信息化發(fā)展趨勢，加快證券公司內部審計信息化建設步伐，對推進證券公司內部審計工作進一步發(fā)展，具有十分重要的現(xiàn)實意義。

二、證券公司信息化情況簡介

證券行業(yè)是我國信息技術利用最充分的行業(yè)之一，1998年以來，證監(jiān)會、證券業(yè)協(xié)會出臺了一系列剛性技術指導文件，如1998年發(fā)布了《證券經(jīng)營機構營業(yè)部信息系統(tǒng)技術管理規(guī)范（試行）》、2000年3月發(fā)布了《網(wǎng)上證券委托暫行管理辦法》、2005年4月發(fā)布了《證券期貨業(yè)信息安全保障管理暫行辦法》、2006年8月發(fā)布了《證券公司集中交易安全管理技術指引》、2008年9月發(fā)布了《證券期貨經(jīng)營機構信息技術治理工作指引》等等。這塊綱領性文件的頒布，推動證券行業(yè)實現(xiàn)了由“電子化”向“信息化”轉變。尤其是當前，在以云計算為代表不斷發(fā)展的信息技術和經(jīng)濟全球化的推動下，金融服務與創(chuàng)新成為現(xiàn)代社會經(jīng)濟的核心，證券業(yè)信息化建設實現(xiàn)了跨越式發(fā)展，證券行業(yè)構建了證券交易系統(tǒng)、辦公自動化系統(tǒng)、客戶關系管理系統(tǒng)、數(shù)據(jù)倉庫、電子商務系統(tǒng)、總部綜合管理系統(tǒng)、財務管理系統(tǒng)等眾多的IT系統(tǒng)，實現(xiàn)了發(fā)行、交易、清算以及管理、決策和風險控制的信息化和智能化。根據(jù)有效A股賬戶數(shù)的粗略統(tǒng)計，2010年A股賬戶的網(wǎng)上交易戶數(shù)比例已經(jīng)達到53.22%，國內的2 652家證券營業(yè)部均已不同程度地建立起營業(yè)部的內部局域網(wǎng)，實現(xiàn)了資源共享、電子郵件、網(wǎng)絡打印及財務結算等辦公事務的初步自動化，證券公司中ERP的使用率達到10%，CRM的使用率為5%。數(shù)據(jù)傳輸網(wǎng)絡化、業(yè)務電子商務化、管理電子化、服務數(shù)字化已成為證券行業(yè)信息的主要特征。

三、證券行業(yè)內部審計信息化發(fā)展現(xiàn)狀

1.內部審計信息化滯后于公司IT治理戰(zhàn)略規(guī)劃。

根據(jù)《證券期貨經(jīng)營機構信息技術治理工作指引（試行）》，證券行業(yè)各公司均研究制定了符合本公司發(fā)展的信息技術戰(zhàn)略規(guī)劃，從戰(zhàn)略方向和行動計劃兩方面，制定了信息技術戰(zhàn)略和信息技術行動計劃。對信息技術戰(zhàn)略如使命、遠景目標、中長期目標、策略路線與原則等，信息技術行動計劃如信息化項目進程、項目描述和投資收益分析、信息化實施保障措施與資源開發(fā)計劃等均有清晰明確的規(guī)劃。但內部審計信息化在其中占有份量卻較輕，甚至出現(xiàn)了一定程度的忽略，主要表現(xiàn)在：一是存在內部審計的“信息孤島”現(xiàn)象，在證券公司整體信息化戰(zhàn)略規(guī)劃中，較少考慮內部審計的需求，各業(yè)務系統(tǒng)間的數(shù)據(jù)“各自為政”，數(shù)據(jù)資源長期缺乏統(tǒng)籌管理、數(shù)據(jù)條塊分離、信息統(tǒng)計口徑不一致，部分業(yè)務板塊信息對審計來說，還處于封閉狀態(tài)，無法滿足內部審計工作的特定需求，從而導致資源共享程度明顯降低，在一定程度上影響到內部審計工作中信息技術的使用效果。二是內部審計信息系統(tǒng)建設的滯后，內部審計信息化只能服從于現(xiàn)有的業(yè)務系統(tǒng)架構和流程，在信息化推進過程中，只能通過利用業(yè)務系統(tǒng)直接查詢數(shù)據(jù)、嵌入式審計模塊、通用審計軟件等方式實現(xiàn)，但卻受到物資成本和人員培訓成本十分高昂的制約。

2.內部審計信息化目前尚缺乏必要的標準和規(guī)范。當前證券行業(yè)內部審計信息化所參考的標準，主要有國家審計署所頒布的《信息系統(tǒng)審計指南——計算機審計實務公告第34號》，ISACA信息系統(tǒng)審計準則體系。而內審協(xié)會至今未出臺適合內部審計信息化，緊扣當今信息技術發(fā)展，且指導性和操作性強的相關準則和指南，在一定程度上制約了內部審計信息化的進一步推進。

3.內部審計信息化方面管理層重視程度和投入給力不足。首先，從當前證券行業(yè)內部審計信息化推進情況來看，雖然絕大多數(shù)內部審計組織積極爭取“信息化”，但在實際前行中總碰到來自各方的阻力，困難重重，突出表現(xiàn)在公司管理層形成統(tǒng)一認識，對內部審計信息化建設往往重視喊在口上，支持寫在紙上，卻不落實在具體行動上。相比業(yè)務信息投入而言，審計信息化投入就是“短腿”，審計信息建設經(jīng)費投入打折扣，在硬件設備的配置中更多側重于PC終端的配備，在軟件設備的配置方面主要借助流行的辦公軟件，且內部審計工作必需的支持數(shù)據(jù)庫未構建，內部審計管理系統(tǒng)運營環(huán)境得不到應有的保障。

4.信息技術在內部審計工作的應用層級較低。當前大多數(shù)證券公司內部審計機構計算機信息技術的應用一直在低水平徘徊，普遍存在應用不廣泛、運用水平差、使用效率低、資源共享不高等問題，有些甚至還停留在“小作坊”、“小兒科”上。在內部審計管理工作方面的應用僅僅停留在簡單的文書運轉、網(wǎng)絡瀏覽、檢索資料等階段，運用計算機信息技術對審計信息資源進行歸集、整理、分析，為審計決策、審計實施提供強有力信息支撐的功能作用沒有得到很好的發(fā)揮；在業(yè)務工作方面的應用也僅僅停留在數(shù)據(jù)轉換、計算分析、查詢匯總等低水平上，停留在EXCEL、ACCESS等常用軟件的基本應用階段，在把計算機信息技術全方位運用于內部審計實務工作、加強全面審計質量控制，運用計算機信息技術創(chuàng)新內部審計技術方法、研制實用審計工具、探索信息系統(tǒng)審計等方面基本上沒有涉足。

5.精通信息技術和審計業(yè)務的復合型人才匱乏。審計信息化是一項科技與業(yè)務的融合工程，其人員既要精通相關的計算機信息技術，又要熟知必要的審計、財務、金融、法律等業(yè)務知識，如信息系統(tǒng)審計要求審計人員不僅要通曉信息系統(tǒng)的軟件、硬件、開發(fā)、運營、維護、管理，而且還必須能夠利用規(guī)范和先進的審計技術，對信息系統(tǒng)的安全性、穩(wěn)定性和有效性進行審計、檢查、評價和改造。而現(xiàn)實情況是，在信息化技術飛速發(fā)展的當今，內部審計人員素質與現(xiàn)實需求差距較大，真正具有較高計算機應用水平的人員并不多，既精通計算機應用又熟悉審計業(yè)務的復合型人才則更少。人才問題始終是制約計算機信息技術在內部審計工作中應用的核心問題：一是由于內部審計機構為后臺管理部門，員工的待遇偏低，高水平的專業(yè)技術人才引不進來。二是內部審計機構現(xiàn)有的骨干人員以點帶面的整體作用發(fā)揮不夠。三是現(xiàn)有內部審計人員固守傳統(tǒng)的觀念和定性的習慣，信息化意識不強；并且受知識結構和年齡結構限制，在審計實務中對復雜點的數(shù)據(jù)采集整理、數(shù)據(jù)結構分析、程序代碼復核等應用無從下手，往往繞過計算機而進行手工操作或僅僅運用計算機進行文字處理。四是未建立有效的內部審計信息化人才激勵機制。

6.內部審計信息化推進過程中面臨著新的審計風險。由于證券行業(yè)的相關業(yè)務信息絕大部分業(yè)務數(shù)據(jù)的機密性，在內部審計信息化推進過程中，由于內部審計人員信息安全技術掌握程度不同、使用不成熟的審計軟件、未安全采集和存儲數(shù)據(jù)等原因，均可能造成業(yè)務數(shù)據(jù)泄露；與此同時，證券業(yè)信息系統(tǒng)本身亦存在信息管理人員的道德水平低、信息系統(tǒng)的設計完善程度不夠、網(wǎng)絡黑客（病毒）的入侵等因素，這些都將給內部審計帶來新的風險。

四、證券行業(yè)內部審計信息化發(fā)展趨勢及對策

近年來，隨著金融創(chuàng)新的不斷推進，證券公司出現(xiàn)了差異化創(chuàng)新、特色化經(jīng)營、開放、多元的行業(yè)生態(tài)，經(jīng)營模式正逐步向“大財富管理”和“大資產(chǎn)管理”轉型，證券交易系統(tǒng)、門戶網(wǎng)站、行政辦公系統(tǒng)、客戶關系管理系統(tǒng)、數(shù)據(jù)倉庫、電子商務管理系統(tǒng)、總部綜合管理系統(tǒng)、財務管理系統(tǒng)等的持續(xù)構建和完善。引領著證券行業(yè)內部審計信息化發(fā)展：

一是內部審計信息化與證券公司ERP系統(tǒng)的高度協(xié)同。隨著各證券公司核心交易系統(tǒng)、電子商務系統(tǒng)、OA辦公系統(tǒng)、客戶關系管理系統(tǒng)等高度協(xié)同、高度智能化，為實現(xiàn)內部審計工作識別組織風險或評價公司經(jīng)營戰(zhàn)略、優(yōu)化組織運營為目標，對公司經(jīng)營管理和風險控制進行獨立、客觀確認和咨詢的內部審計工作，必將處于證券公司戰(zhàn)略管理的核心地位，并與所有信息化系統(tǒng)密切相關。而對其提供信息技術支持的審計管理系統(tǒng)、聯(lián)網(wǎng)審計業(yè)務系統(tǒng)、現(xiàn)場審計實施系統(tǒng)等信息系統(tǒng)也必須與證券公司的ERP系統(tǒng)進行高度的協(xié)同，才能實現(xiàn)對證券業(yè)務數(shù)據(jù)的采集、分析和實時監(jiān)控功能，才能真正實現(xiàn)內部審計工作促進公司優(yōu)化企業(yè)信息管理，增強企業(yè)的核心競爭能力的功效。

二是以信息系統(tǒng)審計為代表的IT審計將成為證券行業(yè)內部審計工作的重要職責。隨著數(shù)據(jù)庫技術、網(wǎng)絡技術、存儲技術的發(fā)展，證券行業(yè)各核心的業(yè)務管理系統(tǒng)呈數(shù)據(jù)大集中趨勢，為了更好地治理和控制風險，必須將其內控機制擴展到信息處理系統(tǒng)的各個方面，甚至存在業(yè)務數(shù)據(jù)互通合作其他金融機構等。在對于經(jīng)營管理的合規(guī)性、交易處理的完整性、數(shù)據(jù)的安全性等，需要內部審計機構對其進行必要的評估和評價，對其所產(chǎn)生信息的真實、合法性作出確認，以判斷信息系統(tǒng)是否能夠保證資產(chǎn)安全、數(shù)據(jù)完整及有效利用組織資源并實現(xiàn)組織目標。為此，證券行業(yè)監(jiān)管機構先后出臺相關法規(guī)提出IT審計要求，如《證券期貨業(yè)信息安全保障管理辦法》（證監(jiān)會82號令）要求，“核心機構和經(jīng)營機構應當建立信息安全內部審計制度，定期開展內部審計，對發(fā)現(xiàn)的問題進行整改”；《證券期貨經(jīng)營機構信息技術治理工作指引》亦提出“公司應建立內部IT 審計制度，至少每兩年進行一次IT 審計”。由此可斷言，以評價證券公司信息系統(tǒng)的安全、可靠、穩(wěn)定、有效、可信的IT審計必將成為證券行業(yè)內部審計機構的重要職責之一。

三是高效的數(shù)據(jù)遷移和數(shù)據(jù)審計技術將廣泛應用于內部審計工作實踐。內部審計工作的信息化實際就是在內部審計工作中，充分運用計算機信息技術，實現(xiàn)數(shù)據(jù)的采集、模型監(jiān)測、特征數(shù)據(jù)的提取、審計流程的控制以及審計項目管理等。從信息技術在內部審計工作之中實際應用來看，數(shù)據(jù)采集是基礎，審計分析評價模型體系以及審計方法庫的構建是核心，有效的審計信息化運作流程是手段。而數(shù)據(jù)采集的根本就是將證券公司各業(yè)務系統(tǒng)中的數(shù)據(jù)，高效、完整、安全地遷移至審計業(yè)務系統(tǒng)，并為審計業(yè)務系統(tǒng)所識別、使用；因此，成熟高效的數(shù)據(jù)遷移技術在內部審計工作中的應用成為必然。并且，伴隨之以系統(tǒng)內部控制測評為基礎，通過對電子數(shù)據(jù)的收集、轉換、整理、分析和驗證，以判斷一個計算機系統(tǒng)是否有效做到保護資產(chǎn)、維護數(shù)據(jù)完整、完成組織目標的數(shù)據(jù)審計模式，也將成為內部審計目標的有效實現(xiàn)方式。

四是聯(lián)網(wǎng)審計與遠程審計將在證券行業(yè)內部審計實踐中常態(tài)化。如前所述，隨著證券行業(yè)創(chuàng)新業(yè)務的層出不窮，諸如融資融券、新三板、直投、約定式回購等業(yè)務的相繼推出，要求內部審計機構切實提升審計的實時風險監(jiān)控能力，要求審計對風險的防控從“事后監(jiān)督”向“事前防御”和“事中監(jiān)控”轉移；而同時數(shù)據(jù)庫技術、網(wǎng)絡技術、存儲技術等信息技術高度集中的證券行業(yè)，各項業(yè)務處理呈現(xiàn)了扁平化態(tài)勢，證券公司諸多業(yè)務系統(tǒng)如CRM系統(tǒng)、財務系統(tǒng)、柜臺系統(tǒng)、投資管理系統(tǒng)等集成運行，形成了集客戶基本資料、交易信息等業(yè)務數(shù)據(jù)和財務數(shù)據(jù)在計算機網(wǎng)絡系統(tǒng)高度集成的數(shù)據(jù)平臺。從而為一種全新的非現(xiàn)場審計模式——遠程審計創(chuàng)造了條件、奠定了基礎，內部審計機構通過采集證券公司柜臺系統(tǒng)、財務系統(tǒng)、合規(guī)監(jiān)控系統(tǒng)以及對各營業(yè)部歷年審計的歷史數(shù)據(jù)等信息，借助公司內部網(wǎng)絡查詢、篩選、記錄、分析等信息技術平臺，實施非現(xiàn)場的遠程審計活動；將大大加快審計速度，提高審計效率，推動審計方法和審計流程創(chuàng)新，提升審計信息化觀念。并在此基礎上，進一步將審計方法體系等建成數(shù)據(jù)模型，構建以在線審計和實時審計為特征的集約型審計，即聯(lián)網(wǎng)審計，建立預警機制，進而實現(xiàn)審計關口前移，推動內部審計工作實現(xiàn)“三個轉變”。

五是物聯(lián)網(wǎng)及云計算等信息新技術將推動內部審計信息化新發(fā)展。據(jù)相關資料介紹，物聯(lián)網(wǎng)就是“物物相連的智能互聯(lián)網(wǎng)”，其通過射頻識別（RFID）、紅外感應器、全球定位系統(tǒng)、激光掃描器等信息傳感設備，按約定的協(xié)議把任何物品與互聯(lián)網(wǎng)連接起來，進行信息交換和通訊，以實現(xiàn)智能化識別、定位、跟蹤、監(jiān)控和管理的一種網(wǎng)絡。云計算（cloud computing）是基于互聯(lián)網(wǎng)的相關服務的增加、使用和交付模式，通常涉及通過互聯(lián)網(wǎng)來提供動態(tài)易擴展且經(jīng)常是虛擬化的資源；廣義云計算指服務的交付和使用模式，指通過網(wǎng)絡以按需、易擴展的方式獲得所需服務，這種服務可以是IT和軟件、互聯(lián)網(wǎng)相關，也可是其他服務；云計算意味著計算能力也可作為一種商品通過互聯(lián)網(wǎng)進行流通。有人形象地比喻：云計算是互聯(lián)網(wǎng)中的神經(jīng)系統(tǒng)的雛形，物聯(lián)網(wǎng)是互聯(lián)網(wǎng)正在出現(xiàn)的末梢神經(jīng)系統(tǒng)的萌芽。隨著云計算、物聯(lián)網(wǎng)等信息新技術的廣泛應用，作為金融機構的證券行業(yè)，在自主創(chuàng)新、市場多元化的進程里，云計算模式將成為其信息化整合的“關鍵武器”，如云計算、物聯(lián)網(wǎng)等信息技術的應用使證券行業(yè)的行情、交易、信息發(fā)布、客戶管理、股票池、投資者教育、研報服務等業(yè)務集中到統(tǒng)一的平臺成為現(xiàn)實。在物聯(lián)網(wǎng)、云計算推動證券行業(yè)金融服務模式顛覆性的創(chuàng)新過程中，承擔著防范內部風險、改善經(jīng)營管理、提高組織效益的內部審計工作，必須緊跟業(yè)務創(chuàng)新的步伐，運用物業(yè)網(wǎng)和云計算等信息技術實現(xiàn)審計創(chuàng)新，如建設云審計平臺、利用云存儲實現(xiàn)數(shù)據(jù)遷移、運用物聯(lián)網(wǎng)和云計算技術進行數(shù)據(jù)管理等。

面對計算機信息技術如此迅猛的發(fā)展和證券行業(yè)金融服務業(yè)務創(chuàng)新的態(tài)勢，內部審計機構和人員必須增強危機意識，進一步清醒認識，更新觀念，全力推進內部審計技術創(chuàng)新和管理創(chuàng)新。一要樹立信息化觀念，充分認識計算機信息技術對推動內部審計工作新發(fā)展的實際意義。要從關系內部審計事業(yè)發(fā)展的高度來認識計算機信息技術在內部審計工作中應用的實際意義，切實轉變思想、更新觀念，下大力氣把計算機信息技術在內部審計工作應用推向一個新的發(fā)展階段。二要推動有關機構頒發(fā)內部審計信息化相關的規(guī)章制度，研究制定與內部審計信息化有關的準則和實務指南，為計算機信息技術推廣在內部審計工作之中的應用創(chuàng)造良好的環(huán)境。三要創(chuàng)新計算機信息技術推廣應用考核辦法，建立激勵機制，為計算機信息技術在內部審計工作中應用創(chuàng)造一個充滿競爭與激勵的內部環(huán)境。四要進一步加大計算機信息技術培訓力度，提高內部審計人員整體信息化素質。要圍繞“培訓什么？拿什么培訓？怎樣培訓？”等核心問題，創(chuàng)造條件培養(yǎng)既精通審計業(yè)務，又掌握信息技術的高級人才。

（作者單位：中航證券有限公司）