金融企业是IT（信息技术）运用最广泛的领域，IT已从传统的后台支持转变为业务竞争的筹码，由于处于国民经济中的特殊地位，其安全性尤其受到各方面的重视，作为监督部门的审计如何为其保驾护航？在此，笔者就美国金融企业IT的审计的特点及其背景作一分析，以期对我们有所启示。

一、美国金融企业IT审计的主要特点

1、信息技术专项审计明显增多。上世纪90年代中期，美国从事金融企业IT审计的人员有55％—70％的工作都是协助财务审计人员，到2000年这一比例下降到了50％以下。尤其是计算机“千年虫”事件使人们深刻地意识到信息技术自身安全的重要性，在处理这一事件中，信息技术专项审计发挥了重要作用，得到了监管者、董事会及管理者的高度重视。IT审计已不是财务审计的配角，它已成为风险管理的重要工具，成为金融企业有效实行IT治理的保证。

2、采用以风险为基础的审计方法。实行以风险为基础的审计前提是建立风险评分系统，即参照美国注册会计师协会、信息系统审计与控制协会（1SACA）、内部审计协会（IIA）等组织所发布的业界标准或自身的经验，使用统一的方法对信息技术每个方面的风险大小进行评估打分，评出低、中、高或从1—5的数字风险等级，一般为一年一次，但如果金融企业在IT方面经历了明显的变化则需增加评估的次数。对每一领域审计的频率与深度都由评估结果决定。从一个审计周期来看，高风险、中等风险、低风险领域一般分别不超过12、24、36个月。以风险为基础的IT审计使审计人员能够在对风险全面监控的基础上集中审计资源于高风险领域，确保了审计对风险的控制质量。

3、外包内部IT审计比较常见。合理的IT审计外包既可以保证审计质量又可以充分利用外部资源，解决内部IT审计人员不足问题。美国金融企业通过采取三个方面的措施来降低外包IT内审的风险：一是保证外包者的独立性。2002年的《萨班斯—奥克斯莱法案》禁止上市公司外部审计人员在实施财务报告审计的同时外包该公司内审业务，联邦存款保险公司要求总资产在5亿以上的成员机构，不管它们是否是上市公司均应遵守该法案的这项规定，并鼓励其他的金融企业遵守。二是对IT内审外包者实行一定的控制。明确指出任何关于本企业的信息都必须保密，如审计工作底稿的保存时间、变更服务合同的条件、向董事会和高级管理者报告的方式和频率等。三是管理部门要做好充分准备应付合同执行的意外情况，以防出现审计缺口。如合同的突然终止引起外包安排的结束等。

4、IT审计是金融企业控制技术服务提供商（TSP）的重要手段。金融企业的特长是经营货币而不是信息技术，出于利用外部技术专家、降低成本、专注于发展自己的核心业务、解决IT人员不足等原因，美国金融企业外包部分或全部IT业务给TSP比较常见。对于有外包的金融企业，局限于内部的IT审计已不能满足安全需要，为了防止由于TSP内部控制不善、技术竞争力不强、不能有效保护客户信息等原因而带给自己风脸，企业要对TSP的信息技术及相关控制等实施严格的监控，对TSP进行IT审计是其重要手段。一般在合同中就应明确对TSP有审计的权利，可以采用金融企业内审人员直接审计、接受并审查由TSP审计人员提供的审计报告的方法，但最常用的是聘请独立于金融企业与TSP的第三方审计人员实施对TSP的审计，要求第三方审计人员同时向TSP、本企业的管理层及内部审计人员提供根据美国注册会计师协会的SAS70标准提出的审计报告。

5、IT审计功能是否健全是金融监管当局决定监管关注程度的重要因素。负责制定对金融机构实施联邦检查统一原则、标准和报告的联邦金融机构检查委员会（FFIEC）早在1978年就制定了信息系统评级体系，1999年调整并更名为信息技术统一评级体系（URSIT），由综合等级和四个成份等级构成。综合等级的评定基础是四个成份等级，审计从1978年到现在一直排在四个成份等级之首，而且在1999年的调整中得到了进一步加强。如果审计作用不充分，那么不管其他成份等级如何，其综合等级只能是在3—5之间，需引起特别监管注意。同时IT审计的情况还可通过CAMELS评级体系中的管理等因素影响到监管当局对金融企业安全性与可靠性监管关注程度。监管的压力迫使金融企业在IT内审人员不足的情况下外包内部审计以提高审计质量。

6、IT审计与公司治理形成了良性互动关系。良好的公司治理为IT审计的发展提供了控制环境和制度基础。董事会、高级管理者、审计管理部门、内外部审计人员在审计过程中分工细致、责任明确。并保证了审计的独立性。随着金融企业对IT的依赖性越来越大，IT控制的作用越来越大，IT治理机制已成为落实公司治理的重要手段，IT审计也就成为实现IT与业务的匹配管理、IT价值贡献管理、IT风险管理、IT绩效管理等的重要保证，花旗银行等美国大金融企业已经引进或正在引进IT治理机制，日益彰显IT审计的重要性。

二、特点形成的背景分析

1、有关各方都十分重视IT审计尤其是专项IT审计在IT发展中的作用。IT审计是解决IT“超额预算”、“投资黑洞”、“服务品质低劣”等问题的必要手段，它可以维持IT控制、IT风险管理及公司治理的有效性，对于金融企业每年高额的IT投资来说，引入IT审计就像引入会计、审计对企业资产和经营进行监督一样意义重大。早在上世纪60年代，美国金融企业内部就设立了电子数据处理审计及安全办公室，在计算机“千年虫”事件中，IT专项审计发挥了重要作用，使人们深刻地意识到信息技术自身安全的重要性，引起了金融企业、监管当局等有关方面的高度重视。其直接表现就是：IT专项审计加速发展，已不再是财务审计的配角，同时监管当局也加大了对金融企业IT审计的监管。安然等事件后出台的《萨班斯—奥克斯莱法案》也清楚地表明了国会希望在财务报告中包含信息技术审计的可靠性。

2、审计人员可利用的资源丰富。主要包括：

（1）美国注册会计师协会、ISACA、内部审计协会、ISO等组织所发布的标准或研究成果在美国都得到了充分运用。

（2）国会颁布的涉及IT的法律较全。（3）FFIEC等金融监管机构颁布的部门规章更是及时而全面。

（4）专业审计软件的水平较高。

3、外部IT人才相对充足，使IT专项审计与外包成为可能。美国IT人才相对其他国家来说，比较充足，加之金融业发达，与之相关的其他业务也比较成熟。