信息大爆炸冲击着社会的各行各业，对金融行业的影响尤其深远，随着计算机技术、网络技术、数据库技术、云计算等新技术的迅猛发展,大型信息系统在金融行业的应用越来越普及和深入。从业务处理的自动化、业务经营的多样化、金融产品创新到内部综合管理信息化,都毋庸置疑地表明,金融业的发展越来越依赖于信息系统。金融行业除了面临传统意义上的经营、控制等风险外,伴随着信息技术的发展,操作、环境和管理风险也日益增长。因此,了解和评价信息系统的完整性、有效性、可靠性和安全性就显得尤其重要。信息系统审计,是适应当今社会信息化发展的需要而产生的新的审计分支。

　　信息系统审计是指根据相关法律法规及标准规范，获得与评估审计证据，对信息系统的安全性、有效性和经济型进行专业判断的过程。信息系统审计是控制信息化风险，提升信息化投资价值的重要手段，审计对象包括计算机硬件、软件、网络、数据和人。金融信息系统审计的诞生与发展是金融行业信息化发展到一定程度的必然结果，也是审计现代化转型的必由之路。

　　金融行业包括银行业、保险业、信托业、证券业和租赁业，计算机技术、数据库技术、网络技术在这些行业里得到广泛的应用，改变了这些行业的信息交换方式和各种信息存储方式，从而导致风险环节的转移，与之相对应的风险防范和控制方法、手段也随之改变。

　　金融行业对信息系统的依赖程度越来越强，从最早核算系统到现在的金融衍生工具的各种模型系统，各类信息系统不管是规模还是复杂程度都是其他行业所不能比拟的。各类的信息系统管理着巨额的资金往来，重要程度不言而喻，如果信息系统存在漏洞或者安全性、可靠性出现问题，将对国家和社会产生巨大影响。

　　在这样的背景环境下，金融审计的模式也发生了重大变革，传统的审计模式已经被信息化时代所抛弃，审计的重点、目标、技术手段也必然产生重大的改变。

　　（一）审计工作内容的变化。金融业的各类信息系统代替了手工账册、和人工管理，各种决策通过各种信息系统来进行执行，各类风险控制也依赖信息系统自身的约束条件。在信息系统自动化处理代替人工操作后，虽然信息系统本身能够避免人工操作的低级错误，但是各类信息系统开发商在信息系统开发过程中程序设计漏洞或风控程序不完善的情况无法避免。对于一些隐藏的错误,由于信息系统只能按照错误的程序或数据进行处理,最终将导致错误的结果。这种错误结果造成的危害和损失程度更大、涉及范围更广。

　　例如最近发生的某证券公司策略投资部套利策略系统缺陷事件，导致特定情况下生成预期外的订单，由于此缺陷的存在，导致在2秒内，瞬间生成巨量订单，上述预期外的巨量市价委托订单被直接发送至交易所，对产生了巨大影响。

　　因此,信息系统审计工作的内容应该是对业务处理过程的合法性、正确性和适用性进行审查,对网络的安全性、管理的可靠性进行检查。

　　（二）审计线索的改变。传统金融业审计线索来源于书面账册、会议纪要、原始凭证等等。在现在的金融审计项目中，问题的线索往往隐藏在海量的数据和信息系统多个控制程序中，线索往往来源于对信息系统数据的深入挖掘和分析，通过计算机技术手段的处理更能发现隐藏很深的问题，同时对信息系统本身的一般控制和应用控制的审计，能发现更加隐蔽的利用信息系统漏洞犯罪的案件线索。

　　（三）审计方式的变化。传统的审计工作需要审计组手工收集大量业务资料,再通过审计人员依靠审计经验判断和取证调查得到可靠的审计结果。

　　信息系统审计的对象是以网络和计算机技术为基础的信息系统。为此,审计工作必须依靠开展信息系统审计来实现。

　　可以看出,传统的审计工作主要依赖于人的经验和劳动,虽然经验的复用可以通过培训实现,但的劳动效率的提高毕竟是有限的。而计算机技术的应用,可以实现人的业务经验横向(地点)和纵向(时间)的复用,从而大大节约了人力资源,提高了管理效率。尽管对信息系统审计需要复合性知识结构的智力投入和计算机系统建设所必须的财力投入,但加强信息审计系统是金融审计必然的出路。

　　金融信息系统审计应该紧扣金融业务，定位于“安全性、有效性、经济性”，核查信息系统能否按照金融政策实现既定目标、系统的各项业务处理是否符合国家有关法律法规的要求，是否做到真实、完整、准确反映业务处理过程和处理结果，同时应该重点关注信息系统存在的问题或隐患对于被审计金融单位主要经济活动和财务指标有何重大影响。

　　按照金融行业的特点，信息系统的所有组成部分都是信息系统审计的实体对象，借鉴总体控制、一般控制、应用控制的分类体系，金融行业信息系统审计内容可以进行如下分类：

　　金融行业信息系统审计方法与其他行业信息系统审计方法较为类似，就像我国传统医学中的中医问诊，其方法不外乎“望、闻、问、切”。进驻被审计单位后，首先要“望”，就是常说的观察法，通过观察，了解被审计单位信息系统运行所处的环境，审阅各种与之相关的规章制度，查看信息系统运维人员和用户的行为等。然后是“闻”，即听取被审计单位相关人员关于信息系统情况的介绍和报告。注意将之前看到的和听到的各种信息进行关联、对比，获得审计证据并证其真伪。之后是“问”，通常称之为面谈法，或者访谈法。审计人员需要根据审计内容和目标设计访谈问题，需要时编制调查问卷，要求当事人面谈或填写调查问卷，以获取审计证据。最后是“切”，就是动手操作，包括进行系统测试、漏洞扫描、数据测试、日志审计、代码审计、模拟（仿真）测试等。

　　(一）从问题揭露型向风险导向型发展。金融行业的核心在于风险控制，信息系统审计不同于以往的业务，以往的业务审计往往以发现已经发生的损失，已经实施的舞弊和违规为目的，属于以损失为基础的审计，而信息系统审计则具有一定的事前性，其目的在于发现信息系统潜在的风险和漏洞以及可能发生的损失。这种目的上的变化要求信息系统审计不可能以损失为基础，而应该以风险为基础，因此，开展金融信息系统审计必须借鉴风险评估的方法，由对信息系统运行的合规性审计逐渐转变为风险导向型审计，这种以风险为基础的审计也是当前国际审计界通行的观念和做法，也是今后我国审计的发展方向。

　　（二）从特定时间段审计到信息系统生命周期审计。信息系统的生命周期可分为系统总体规划、系统分析、系统设计、系统实施与测试和系统运行维护几个阶段。金融行业信息系统往往“体积庞大、结构复杂”，立项时间长，投资额度大，测试运行时间久，生命周期比较漫长，信息系统生命周期直接关系着信息系统的质量，因此对信息系统的生命周期和相关文档进行审计也是金融信息系统的发展方向。（金统）