當前,我國信息化事業已發展到一個新的階段,各行各業都在利用電子計算機不斷進行信息化系統的整合與升級。銀行業更是首當其首,而且是我國計算機應用較早,信息化水平較高的行業,所有業務均進行信息化、系統化計算機管理,平均每年相關業務系統、管理系統等達到2次以上升級,在這種情況下銀行業內部審計向信息化審計發展已成必然。
一、信息化快速發展下銀行業內部審計工作遇到的問題
1 、當代銀行業無紙化數據和無紙化交易減少了數據的重復輸入、重復處理,也使銀行存取款、貸款、轉賬等各項業務處理程序化。業務發生后只要業務人員輕輕敲入代碼,系統自動執行相應的功能,如款項自動記錄到相應的賬戶上、自動凍結某結算賬戶等,業務依靠系統自動完成。反之,如果敲入代碼錯誤,則無法執行。原有手工處理環境下的一些內部控制措施因失去了作用而被取消,相應的這些內部控制措施被程序化后通過軟件程序的執行而發揮作用,可見銀行業內部控制從原來過多依靠人轉變為更多依靠系統自身的控制,包括了手工處理、計算機系統處理、人與計算機交互處理這幾部分。
隨之帶來的各業務及管理系統內部控制狀況、系統安全性、系統數據的可靠性、原有紙制賬本的減少成為內部審計必須面對的問題之一。
2、行業內局域網絡應用和全面信息化使得銀行業已按照高效原則進行業務流程重構。業務數據、財務數據、業務處理、財務處理集成在一起,并在一定范圍內共享。系統集成化使得業務處理與原來處理流程有很大變化,財務數據、業務數據、業務明細數據間關系變得模糊,復雜,再加上數據的覆蓋和網絡化,從報表、賬簿結果追查到原始一筆業務變得比較困難。
隨之帶來的銀行業內部管理審計和銀行會計、財務、信貸等業務審計相互融合、各數據間關系復雜,即審計范圍與審計難度的提高成為內部審計必須面對的問題之二。
3、我國四大國有銀行即將全部成為股份制公司,信息化下銀行業業務及管理數據較以前幾百倍的增長,而且數據時刻在變化;網銀、銀行卡、代理基金、代理保險、外幣理財等新業務,全部使用計算機系統操作業務,而且這些業務成為以后銀行業務發展的主流。在這種情況下,原始單純手工審計滿足不了工作的量與質的要求,龐大的數據量及在線、實時信息披露的工作要求,迫使審計人員必須不斷采用新的審計技術和手段,比如采用測試程序嵌入系統完成對計提應付息、利息計算等重要業務處理的審計;利用審計軟件采集所需的如一般分戶賬、賬余額表、大額貸款明細等審計樣本并進行分析;采用審計軟件動態跟蹤如大客戶存貸款、聯行資金等重要數據的變化。
隨之帶來的如何掌握并運用新的審計技術和手段無疑成為內部審計人員工作中遇到的問題之三。
二、信息化快速發展下銀行業內部審計工作應采取的措施
可以看出,銀行業內部審計工作的現狀急需改變,以適應銀行業健康、快速、有序發展的需要,銀行業審計界必須加強審計理論和實務的研究,加大審計軟件的研制力度以及利用計算機進行審計工作的規范化研究,同時強化審計人員的信息技術的教育,從各個方面提高審計工作水平,促進行業內部審計向著信息化方向發展。針對上述現實工作中存在的問題,建議采取以下措施:
(一)培養信息環境下的審計人員
當前,各家銀行均有科技部門,就是對行內計算機硬件、軟件、系統運行等提供技術支持與保證。但審計部門的專業計算機人員很少,建議補充配備計算機專業人才,能掌握計算機知識及其應用技術,掌握數據處理和管理技術,掌握現代信息技術的應用,會操作審計軟件,而且要能根據需要編寫出各種測試審查程序模塊;同時對專業計算機人員與其他審計人員進行交互培訓,逐步使傳統審計人員達到除了掌握傳統審計的基本知識外,還應掌握計算機知識及其應用技術,掌握數據處理和管理技術,掌握現代信息技術的應用;而計算機專業者除了專業知識外,又能掌握行內業務及管理、審計等知識;總之,使所有審計人員逐步都成為適應并勝任信息環境下的審計人員。
(二)加強業務系統本身內部控制審計
當前,絕大多數單位在內部審計時是繞過信息系統的,銀行業也是如此。但是,在信息化高速發展的情況下,如果專業高手通過在財務、信貸等系統中嵌入非法程序塊轉移了數據,而打印出虛假數據提供給審計人員,這種行為必然加大審計風險。內部審計人員要想了解系統提供的數據的可信賴程度,必須對系統本身進行審計,這是內部審計不可能回避的。
首先,內部審計人員要對本單位計算機信息系統、業務軟件及其相關運行情況有所了解,包括:①系統的硬件信息和軟件信息。比如信息系統的結構、所使用主機的型號、內存容量、輸入及輸出設備、通訊設備、輔助存儲設備,所使用的操作系統、通信軟件、數據庫管理系統和應用系統等。②系統進行業務處理的具體情況。比如業務核算系統、信貸管理系統、財務系統等處理業務的過程、發生錯誤的多少等。③各系統間接口情況,如財務系統、信貸管理系統、外幣業務系統等接口情況;
其次,加強銀行業務系統內部控制中的一般控制審計。一般控制是對系統中組織、開發、操作、管理等系統運行環境所進行的控制,通常以制定規章制度、網絡安全軟件和程序控制形式體現,如系統平臺結構的合理與規范,有多層防范黑客或病毒侵擾的措施,在數據的接收與發送上有措施防止非法竊取、篡改,有密碼、密鎖、簽名認證技術確保數據安全,有備用系統保證原系統在硬件物理損壞的情況下正常運行,有備用能源保證在主動力系統異常狀態下系統正常運行;
再次,加強銀行業務系統內部控制中的應用控制審計。應用控制是對信息系統的某一具體處理過程施加的控制,主要以程序的形式體現。審計時,應該在對系統—般控制做出評價的基礎上,通過讀原程序、模擬數據上機測試、上機處理實際業務、采用審計軟件等方式測試系統的安全性、控制程序的正確性和有效性。 如對會計信息系統程序的審計包括業務系統及接口程序的審計。會計業務系統審計主要是對會計信息處理的準確性、及時性、完整性和可靠性的確認,查看其是否具有容錯能力、糾錯能力及控制能力,處理過程及方法是否符合財務制度、會計準則與法規。接口程序的審計是基于在信息化環境,會計數據大部分將直接來源于其他信息系統,接口程序的正確與否將直接影響接受與傳遞到其他系統的數據的正確性。
(三)進一步加強銀行各項業務內部審計
在高度信息化環境下,銀行業審計范圍與難度提高了,如組織管理審計、系統操作管理審計、系統數據管理審計、系統崗位責任審計、財務、信貸、電子銀行等專項業務審計等不是截然分開,而是融合在一起。針對信息環境引發的銀行業務變化,建議:
1、區別運用手工審計和計算機輔助審計。信息化系統下,內部審計人員可以對手工填制的原始單據、簡單業務的處理、非程序控制制度和措施如存款掛失、內部主任職責履行情況等審計采用原來手工審計的有效方法,而對于某些特定業務的處理過程、重要數據、復雜的處理過程及程序化的控制措施則應該充分利用計算機輔助審計技術和工具進行審計。如銀行機構設置較多,系統內往來對賬審計是項十分重要的審計內容。以前全部是手工核對,定期進行,量大且易錯,而使用計算機審計運行一個小程序,即可隨時對行內所有往來賬務進行一一核對,準確、高效。
2、關注銀行業務管理系統與財務信貸系統的數據轉換環節。集成化系統中,業務管理系統與財務信貸系統之間的數據傳遞可以實時進行,也可以分批完成,極易出現數據不一致,如果信貸系統和財務系統數據接口有問題,數據不銜接,會導致所有報表數字均為不真實,所以系統之間的數據轉換應該是審計的重點之一。如果業務系統與財務系統之間的數據傳遞需要借助外存(如磁盤)或局域網上不同數據文件之間轉換等方式來完成,對這樣的系統一定要防止并及時發現轉換過程中的錯弊。
3、加強授權、信貸、賬戶發生額等重要業務動態在線審計。信息化系統中,銀行業賬務處理是實時進行的。尤其是網絡化系統,在同一時間可能有多個用戶執行同一項功能、調用同一個賬戶,而系統只記錄下最終的結果。若審計時只對靜態系統進行審查,不進行有關運行程序、數據文件的聯機實時審計,有時就難以發現存在的問題。因此對于重要業務的處理、關鍵的處理程序,如業務人員的上機操作記錄、授權交易、紅字交易等應成為動態審計關注的重點。
當前,銀行信貸業務全部上系統,單純依靠系統時點數據不能保證業務規范,要加強動態在線審計,同時一定要適時實施現場審計;授權是銀行業一項重要審計內容,單純從紙質檔案查看不一定能發現問題,因為紙質材料較容易補制,一定要對其管理系統在線審計,而系統一般本身都提供了一定的審計功能,一旦發現非法的或有超越網絡授權的操作行為,就會記錄入侵者的登錄用戶名、IP地址、登錄日期、時間等信息,并尋找到非法用戶曾經潛入系統內部的痕跡。利用大型數據庫管理系統開發的應用軟件也能對登錄系統的用戶及其使用系統的情況進行一定的監控,如哪些用戶使用了系統、進行了哪些操作、操作的次數、登錄及退出系統時間等。審計人員可以實時檢查系統存放這些信息的審計蹤跡表和系統日志文件,充分利用這些線索。同時,還可以利用專門軟件進行重要數據的動態跟蹤,比如利用Ex cel軟件就可以實現一些簡單的跟蹤和分析。
4、加強行內科技等與信息系統有關的部門及人員的監督管理。與信息系統相關的部門包括信息系統管理部門、維護部門和使用部門。相關人員包括網絡管理員、系統管理員、數據庫管理員、軟硬件維護人員、系統操作人員、檔案保管人員及機房保安人員等,這些部門與人員與平常業務人員相比,不僅懂銀行業務知識而且懂計算機知識,熟悉運行軟件,對這些部門和人員進行安全意識教育及監督管理不可忽視,這對于降低審計風險是至關重要的。
(四)不斷創新并有效應用審計技術
在信息化環境下,銀行業內部審計技術較之傳統的審計工作必須有其獨到之處。
1、充分發揮信息技術在審計中的作用。 將審計底稿、審計證據、審計檔案也全部電子化,審計工作將從定期的現場審計轉向實時的“在線網絡審計”;通過網絡實時并連續地抽取證據,根據需要編寫出各種測試審查程序,用于解釋和預測多種審計現象,由計算機輔助審計轉為信息系統審計與決策。運用現代信息技術與審計高度融合,提高審計的工作質量和效率,降低審計風險。
2、可逆法重點審計數據的真實。財務審計工作重點在于驗證其真實可靠性,以及內部明細數據的安全性。企業報表的數據真實性是可追溯的,根據可逆規則編寫出程序自動追溯數據真實性。如原始憑證與記賬憑證不一致,表明記賬憑證有被修改的風險,記賬憑證與賬表不一致時,賬表有被修改的痕跡。
3、多位專家共同參與的審計。 審計工作所面臨的信息系統非常復雜,要求審計人員必須掌握計算機、網絡通訊、信息管理等多方面的專業技術,這對一個審計專家是非常困難的事。我們要充分利用各類專家的專業能力參與審計工作,以充分利用專家的工作結果進行審計判斷。
4、多種審計方式綜合運用。通常的審計方法有系統日志審計法、審計軟件審計法、隨機抽檢法。系統操作日志審計法是指跟蹤會計信息系統軟件中的操作日志記錄。日志真實記錄了操作者代號、姓名、操作的日期、時間、處理數據動作等,是系統進行維護、審計工作的重要線索,對會計信息化軟件中反復核、反登賬、反結賬的手段進行賬戶調整是十分有效的;審計軟件審計法是與會計信息化相適應的審計方法,常用的方法有數據模擬檢測法、整體檢測法、平行模擬中嵌入審計程序法、程序追蹤法等。隨機抽檢審計法是不定期地從網絡中下載數據進行審計,克服定期檢查及數據更改,確保數據的真實性。這些方法在內部審計工作綜合運用,能增強審計人員業務靈活性與敏感性,提高審計效率。
(五)加強信息化環境下銀行內部審計風險防范
信息化的環境下審計風險是指審計人員利用計算機、網絡通訊技術對信息系統進行審計后發表不恰當的意見的可能性,主要包括以下幾個方面:
一是不留痕跡的篡改數據。在網絡環境中,對舞弊者或非惡意攻擊者進行數據非法修改和刪除,均可不留篡改痕跡,此時無法保證數據的完整性和真實性,給銀行內部審計監督帶來了風險。二是不確定性的信息損壞。有多種情況會造成信息丟失或損壞,其中包括運行期間的掉電、機器故障或磁介質物理損壞、病毒攻擊破壞、黑客侵入和數據失竊、有目的的人為毀損、備份丟失等。三是不明確的職責分工。在會計信息環境下,利用網絡的漏洞作有目的的數據修改、舞弊或竊取秘密信息,從中撈取利益。四是似有若無的防范措施。防火墻不能有效阻止病毒與黑客的入侵,系統的登錄與訪問密碼失竊。
為了有效地降低信息化下銀行內部審計風險,必須采取相應的防范和控制措施:
1、建立互動審計信息庫。審計人員通過網絡建立被審計單位的信息庫,供審計時查閱和運用,這樣可減少工作時間,提高工作效率。需提出的是信貸、會計等業務審計仍然離不開現場審計,查閱到疑點,一定要認真分析并實施現場審計。
2、利用原始數據再現處理結果,并與收集結果作對比分析。對有差異的數據進行詳細審查,確定差異的數據產生的原因,通過網絡進行預警提示,以降低審計風險。
3、加強對被審計單位系統的安全性和保密性的審計。可對業務及管理系統進行模擬攻擊與模擬訪問,以檢測網絡系統保護措施的有效性與安全級別,系統的可靠性和保密性始終是審計風險防范和控制的重點。如員工一定要憑密憑卡才能進入業務核算系統,超出授權范圍的不能進入操作。
4、遵循不相容原則,加強被審單位職責分離審計。加強對系統數據輸入、輸出、系統維護及程序修改的管理等方面的審查,確認防范黑客侵入的能力及數據異常損壞后的修復能力,以評價軟件系統安全性的等級,從而有效地控制審計風險。特別是財務系統、網銀系統等系統中錄入、復核一定要分離。
5、建立新的審計法律環境。由于法律在規范經濟的運作、控制社會的不確定性上具有無可替代的功能優勢,因此,銀行行業內需要構建一套符合自身發展規律的審計法規與審計準則,以利于在國內嘗試開展并普及銀行業信息系統審計,為我國銀行業信息化建設保駕護航。(魏巖)
參考文獻:
[1]柳岸青、管亞梅 《試析中外計算機信息系統環境下審計準則差異》《商業會計》2003/4 20-25
[2]陳婉玲、韋沛文 《網絡經營與網絡財會條件下的審計初探》《會計研究》2003 31-34
