績效視角下人民銀行IT審計研究

蔣峰

【摘要】從績效的視角出發，積極探索與人民銀行審計工作實際相適應的審計模式，是加快內部審計工作立體化轉型的關鍵環節。隨著人民銀行信息化建設的不斷深入，信息科技的作用已經從業務支持逐步走向與業務的融合，成為央行穩健運行與發展的有力保障。如何構建符合當前IT內部控制要求的審計評價體系，如何進一步發揮內審部門在提升IT管理水平中的咨詢服務作用，值得關注和研究。本文通過剖析IT審計工作中的現實問題，借鑒國際上先進的關鍵績效指標法（KPI），探索構建績效視角下的IT審計模式及評價體系，力求從審計內容、審計方法等不同層面尋求突破，以此有效指導央行IT審計工作的開展，為央行有效履職保駕護航。

【關鍵詞】績效 IT審計 評價體系

關鍵績效指標（KPI：Key Performance Indicator）是企業目前績效管理較為常用的一種方法，通過具體分解組織的戰略目標，將宏觀的目標轉變為具體可衡量的具體指標，進而幫助部門明確自身的主要責任。因此，關鍵績效指標是用于衡量工作人員工作績效表現的量化指標，是績效計劃的重要組成部分，這為央行IT審計績效評價提供了一個新的思路和方法。

一、人民銀行IT審計工作現狀

近年來，人民銀行轉型工作不斷深入，全系統分別開展了多層次的科技綜合管理審計項目。總行也多次下發指導意見及實施方案，IT審計以風險為導向的思路已經明確，相關經驗和做法也較為成熟。但是，合規性和風險防控為主導的傳統審計模式仍然占據了主導地位，對科技管理工作的效率性、效果性、效益型關注程度仍有待提高。此外，隨著央行服務職能不斷提高，科技部門的責任也由原來的內部管理和服務轉變為內外并重，擴展到了金融機構信息安全管理等相關領域。傳統的審計模式的缺陷也逐漸暴露出來，如，未及時關注科技人員的知識技能的更新、履職效能的提高以及對外提供科技服務的質量等等。因此，構建科學的基于績效的IT審計模式，在關注IT管理各類風險基礎上，進一步關注IT管理的經濟性、效率性、效果性已成為值得研究的重要課題。

二、探索構建績效視角下的IT審計模式

（一）確立科技管理工作的四大核心目標

科技管理工作肩負保障業務系統正常運行的重任，是央行健康履職的基礎。科技管理工作具有四個方面的核心目標：一是強化內部控制管理，從管理層面推動科技基礎工作規范有序；二是加強機房、網絡、系統等方面的安全檢查，保障央行職能健康運行；三是提高科技服務水平，及時有效滿足對象需求；四是與時俱進，不斷提高科技人員的知識結構和水平，加強科技人才隊伍建設。

（二）構建新型IT績效審計模式

通過借鑒關鍵績效指標（KPI：Key Performance Indicator）的思路，結合科技管理工作核心目標和履職特點，將核心目標分解細化“學習與發展”、“內部管理”、“服務對象”、“職能運行”四個核心環節，構建起績效視角下的IT審計模式，如圖1所示。

圖1 績效視角下的IT審計模式

（三）建立績效評價體系

1.利用關鍵績效指標法原理，構建指標體系。在審計實踐中，我們分別根據四個核心環節，細化了26項一級指標和35項二級指標，并分別制定了各個指標的含義以及計算方法，進而形成現場審計實施方案。如，“內部管理”指標中，我們設計了內控制度控制率、崗位設置控制有效率、風險控制有效率、應急管理控制有效率、信息與溝通有效率、監控有效率等6個一級指標，其他方面不再詳述。

表1 IT審計評價指標體系及權重分配表（以內部管理為例）

2.定性與定量相結合，構建科學的評價方法。審計實踐中，通過審計人的主觀經驗判斷和客觀審計數據，對指標進行“分級判斷”及定量評價。每個核心環節的績效得分為該核心環節每個績效指標的評價值與該核心環節每個指標的權重之積，通過分數的高低進而形象生動的對IT管理績效目標及其實現程度進行綜合性評價。績效級別按照分數高低可依次評為一級（90～100分）、二級（75～90分）、三級（60～75分）、四級（60分以下）。

三、IT績效審計模型的現實運用

我們選擇了某地市中心支行進行了實際應用和驗證。審計共發現部分應急演練記錄要素不齊全、機房進出控制制度執行不嚴格等10個不同程度的問題。同時，對26項一級關鍵指標、35項二級關鍵指標進行定量計算，各核心環節績效得分為：學習與發展（權重15）12.23分、內部管理（權重35）32.95分、服務對象（權重20）17.81分、職能運行（30）26.82分，總績效得分為89.81分。最終評定該中支科技工作較為扎實，有效促進了業務開展，提升了央行履職水平。

通過應用新型IT審計模式，一是實現了審計評價效果由“對與錯”向“好不好”的轉變。實踐證明，建立的績效評價體系，改變了以往績效審計中設立的關鍵業績指標之間互相孤立狀況，為被審計部門績效指標的設立找到了“平衡點”，實現了合理地評價被審計部門績效管理的目標，推動了審計由原有只關注信息科技管理內控制度的充分性，機房和網絡的安全性，運維、采購和保密等管理的規范性，向關注內控制度控制有效性、安全系統管理有效性、科技服務滿意度、員工滿意度、創新工作推廣效果等效率、效果、效益目標轉變。二是實現了傳統的審計工作重點由“只關注風險隱患”向“全面關注履職效能”的轉變。通過量化分數，可以有效確定被審計對象科技管理總體工作及各個細化工作所處的位次和水平，發現工作中仍然存在的薄弱環節，進一步提高管理工作的針對性和有效性，進而促進科技整體水平的提高。

參考文獻

[1]周翔.人民銀行績效審計初探[J].財會月刊，2007（9）.

[2]杜棟，周娟.企業信息化的評價指標體系與評價方法研究[J].科技管理研究，2005，（l）.

[3]高偉.企業信息化績效評價體系分析[D].北京交通大學專業碩士學位論文，2007.

[4]時現，李庭燎等.全球信息系統審計指南[M].中國時代經濟出版社，2010.