中國(guó)農(nóng)業(yè)銀行湖北省分行審計(jì)處課題組
人類(lèi)社會(huì)進(jìn)入21世紀(jì)以來(lái),由現(xiàn)代信息技術(shù)所引發(fā)的全球信息化浪潮沖擊著傳統(tǒng)社會(huì)生活的每一個(gè)角落。中國(guó)的大型商業(yè)銀行作為現(xiàn)代經(jīng)濟(jì)金融的核心,借助資金、人才、技術(shù)等多方面的領(lǐng)先優(yōu)勢(shì),走在了我國(guó)企業(yè)信息化的前列。信息化的飛速發(fā)展在極大地提高了商業(yè)銀行的經(jīng)營(yíng)效率與效益的同時(shí),也給傳統(tǒng)的公司治理、風(fēng)險(xiǎn)管理與內(nèi)部控制提出了嚴(yán)竣的挑戰(zhàn),對(duì)內(nèi)部審計(jì)的理念、方式、方法提出了全新的要求。
一、我國(guó)商業(yè)銀行的信息化進(jìn)程
改革開(kāi)放以來(lái),我國(guó)宏觀經(jīng)濟(jì)快速發(fā)展帶動(dòng)了主要商業(yè)銀行的資金融通業(yè)務(wù)飛速增長(zhǎng),同時(shí)也對(duì)金融運(yùn)行效率提出了越來(lái)越高的要求,從而推動(dòng)了這些銀行成為我國(guó)企業(yè)信息化的先行者。早在20世紀(jì)八十年代,工、農(nóng)、中、建等四大銀行就開(kāi)始在部分領(lǐng)域應(yīng)用計(jì)算機(jī)(主要是單機(jī))技術(shù),九十年代會(huì)計(jì)電算化取得了快速發(fā)展,21世紀(jì)以來(lái)已經(jīng)初步實(shí)現(xiàn)了主要業(yè)務(wù)經(jīng)營(yíng)管理的電子化、網(wǎng)絡(luò)化、信息化。以中國(guó)農(nóng)業(yè)銀行為例,該行已在全行推廣了能夠兼容存款、貸款、結(jié)算、匯兌、銀行卡等絕大部分面向客戶(hù)業(yè)務(wù)的綜合應(yīng)用系統(tǒng)(英文簡(jiǎn)稱(chēng)ABIS),實(shí)現(xiàn)了全國(guó)數(shù)據(jù)的大聯(lián)網(wǎng)、大集中。同時(shí),以ABIS系統(tǒng)為核心,向外延伸開(kāi)發(fā)、聯(lián)通了ATM機(jī)、POS機(jī)、電話(huà)銀行、網(wǎng)上銀行等系統(tǒng),建立了相對(duì)獨(dú)立于銀行物理網(wǎng)點(diǎn)的無(wú)形服務(wù)網(wǎng)絡(luò),實(shí)現(xiàn)了主要業(yè)務(wù)的電子化、網(wǎng)絡(luò)化、自助化,使客戶(hù)能夠不進(jìn)銀行、甚至足不出戶(hù)就能隨時(shí)、隨地、隨意地辦理存款、匯款、轉(zhuǎn)賬、繳費(fèi)等業(yè)務(wù)。在信貸業(yè)務(wù)領(lǐng)域,開(kāi)發(fā)應(yīng)用了信貸綜合管理系統(tǒng)(英文簡(jiǎn)稱(chēng)CMS),在內(nèi)部大聯(lián)網(wǎng)的基礎(chǔ)上,實(shí)現(xiàn)了與人民銀行企業(yè)征信系統(tǒng)的對(duì)接。基于ABIS、CMS這兩大系統(tǒng),農(nóng)行還開(kāi)發(fā)了會(huì)計(jì)監(jiān)控系統(tǒng)、會(huì)計(jì)報(bào)表系統(tǒng)、信貸在線(xiàn)監(jiān)測(cè)系統(tǒng)等子系統(tǒng),實(shí)現(xiàn)了對(duì)這兩大系統(tǒng)主要業(yè)務(wù)的在線(xiàn)、實(shí)時(shí)、全面監(jiān)督與控制。在管理領(lǐng)域,農(nóng)業(yè)銀行推廣應(yīng)用了經(jīng)營(yíng)管理信息網(wǎng)、電子公文網(wǎng)(LOTUS NOTES)等局域網(wǎng),實(shí)現(xiàn)了辦公自動(dòng)化、信息化。通過(guò)全面推進(jìn)信息化建設(shè),有效地提高了業(yè)務(wù)運(yùn)行效率和企業(yè)經(jīng)營(yíng)效益,近十年來(lái),農(nóng)業(yè)銀行業(yè)務(wù)總量增長(zhǎng)十余倍而員工總數(shù)卻下降了三分之一,多次被評(píng)為全國(guó)企業(yè)信息化建設(shè)先進(jìn)單位。
二、信息化對(duì)商業(yè)銀行內(nèi)部控制的影響
(一)信息化對(duì)商業(yè)銀行的內(nèi)部控制產(chǎn)生影響的主要方面
信息化對(duì)商業(yè)銀行內(nèi)部各個(gè)方面,特別市對(duì)其內(nèi)部控制產(chǎn)生了很大的影響。首先分析信息化對(duì)商業(yè)銀行內(nèi)部控制是如何產(chǎn)生影響的,其影響主要表現(xiàn)在哪幾個(gè)方面:
1、信息技術(shù)在商業(yè)銀行中的應(yīng)用提高了商業(yè)銀行業(yè)務(wù)流程的自動(dòng)化程度,業(yè)務(wù)流程中的一些環(huán)節(jié)被省略或合并。而且隨著網(wǎng)上銀行等電子商務(wù)的發(fā)展,銀行與客戶(hù)之間、銀行與銀行之間交易的自動(dòng)化程度也得到不斷提高。內(nèi)部控制的具體實(shí)施是根據(jù)業(yè)務(wù)流程的各個(gè)環(huán)節(jié)以及交易方式來(lái)進(jìn)行的,因此,業(yè)務(wù)流程的自動(dòng)化不可避免地對(duì)內(nèi)部控制的各個(gè)要素以及控制理念等產(chǎn)生不同程度的影響。
2、信息化改變了商業(yè)銀行獲取數(shù)據(jù)和信息的方式。傳統(tǒng)方式下,原始數(shù)據(jù)的獲取靠的是員工肉眼觀察、手工計(jì)數(shù)或使用儀器測(cè)量。在信息化條件下,可以利用傳感設(shè)備全自動(dòng)地獲取所需數(shù)據(jù)或信息。利用自動(dòng)傳感設(shè)備具有高度自動(dòng)化、準(zhǔn)確性高、24小時(shí)不間斷、數(shù)據(jù)實(shí)時(shí)獲取、不受惡劣環(huán)境影響等優(yōu)點(diǎn),為銀行實(shí)施更有效的內(nèi)部控制提供了基礎(chǔ)。
3、信息化改變了信息存儲(chǔ)的方式,存儲(chǔ)介質(zhì)由紙變?yōu)榇疟P(pán)或光盤(pán)。與紙介質(zhì)相比,磁介質(zhì)或光介質(zhì)具有存儲(chǔ)密度大、擦寫(xiě)不留痕跡的特點(diǎn),對(duì)商業(yè)銀行內(nèi)部控制的影響是雙方面的。存儲(chǔ)密度大使得商業(yè)銀行可以集中保存數(shù)據(jù)和信息資源,便于對(duì)其加以保護(hù),但一旦毀損或被盜將使商業(yè)銀行遭受更大的損失。擦寫(xiě)不留痕跡使得數(shù)據(jù)被篡改的可能性增大,需要加強(qiáng)內(nèi)部控制。
4、信息化提高了信息處理的效率。在信息化環(huán)境下,借助計(jì)算機(jī)的高速處理能力,能夠使得信息處理的速度大為加快,效率大為提高。然而,這對(duì)內(nèi)部控制的影響也是雙方面的。一方面,信息處理效率的提高有利于商業(yè)銀行實(shí)施更復(fù)雜更有效的控制措施和控制方法,提高內(nèi)部控制的效果和效率。另一方面,借助高速的信息處理能力,商業(yè)銀行員工或管理當(dāng)局造假的能力也能得到提高,例如:利用隨機(jī)數(shù)據(jù)產(chǎn)生程序偽造應(yīng)收款項(xiàng)或存貸的金額、利用報(bào)表編制程序快速編制多份虛假財(cái)務(wù)報(bào)表等等。這又要求商業(yè)銀行加強(qiáng)內(nèi)部控制。
5、信息化改變了信息的傳遞方式。信息化環(huán)境下的信息傳遞,改變了手工環(huán)境下的傳票、報(bào)告、電話(huà)等方式,利用電纜、光纜、無(wú)線(xiàn)電波等以光速傳遞信息,而且傳遞的信息量遠(yuǎn)非傳統(tǒng)方式可比,為商業(yè)銀行加強(qiáng)內(nèi)部控制提供了基礎(chǔ)。但如果信息傳遞過(guò)程中受到了阻礙或破壞,也將給商業(yè)銀行帶來(lái)更大的損失。
6、信息化提高了信息的集成性。在完善的信息系統(tǒng)的支持下,商業(yè)銀行領(lǐng)導(dǎo)足不出戶(hù),就能夠在電腦屏幕前對(duì)遍布世界的跨國(guó)公司了如指掌。輕點(diǎn)幾下鼠標(biāo)就能成交業(yè)務(wù)、調(diào)動(dòng)資金、指揮員工。信息系統(tǒng)為商業(yè)銀行加強(qiáng)內(nèi)部控制提供了基礎(chǔ),同時(shí)也對(duì)商業(yè)銀行的內(nèi)部控制提出了更高的要求。
7、信息化提高了信息的價(jià)值。在信息時(shí)代,人們對(duì)信息資源的利用能力得到提高。人們已經(jīng)認(rèn)識(shí)到商業(yè)銀行的數(shù)據(jù)和信息資源,是其最寶貴的資產(chǎn)之一。而信息是無(wú)形的,與有形的資產(chǎn)相比,對(duì)信息的竊取更為隱蔽,更不易被發(fā)現(xiàn)。這要求內(nèi)部控制不但要保護(hù)有形資產(chǎn),更要對(duì)商業(yè)銀行的數(shù)據(jù)和信息資產(chǎn)加以保護(hù)。同時(shí)應(yīng)當(dāng)針對(duì)信息的特點(diǎn),采用有效的保護(hù)措施。
8、信息化將對(duì)人造成一定的影響。在信息化環(huán)境下,人們可能越來(lái)越多地通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行聯(lián)系和溝通,人與人之間的直接接觸將有所減少。網(wǎng)絡(luò)世界的無(wú)形性和匿名性將對(duì)人的心理造成一定的影響,從而影響控制環(huán)境。
(二)信息化對(duì)商業(yè)銀行內(nèi)部控制構(gòu)成五要素的主要影響
1、信息化對(duì)控制環(huán)境的影響。控制環(huán)境的構(gòu)成因素是多方面的,主要包括:商業(yè)銀行的治理機(jī)制、組織結(jié)構(gòu)與權(quán)責(zé)分派體系、管理者的素質(zhì)、品行與管理哲學(xué)、企業(yè)文化、信息系統(tǒng)、人力資源政策及實(shí)務(wù)等等。
銀行信息化對(duì)其治理機(jī)制產(chǎn)生影響:通過(guò)完善的信息系統(tǒng),董事會(huì)、監(jiān)事會(huì)可以更及時(shí)更全面地了解銀行的全面信息,因而可以更好地進(jìn)行戰(zhàn)略制定、經(jīng)理人員選擇和績(jī)效評(píng)價(jià)、銀行運(yùn)營(yíng)情況監(jiān)控等等,對(duì)公司進(jìn)行更好的治理。小股東可以以較低的成本通過(guò)網(wǎng)絡(luò)在線(xiàn)參加股東大會(huì),而不必因?yàn)槁吠具b遠(yuǎn)等原因放棄自己的權(quán)利,可以更好地維護(hù)自身的利益。信息化將使商業(yè)銀行組織結(jié)構(gòu)趨向扁平化,管理層次減少。
信息化對(duì)商業(yè)銀行管理者的素質(zhì)提出了更高的要求。商業(yè)銀行所面臨的商務(wù)環(huán)境競(jìng)爭(zhēng)加劇、變化加速,管理者所能獲得的信息量倍增,信息技術(shù)和信息系統(tǒng)在銀行中的作用日益重要,這些都要求管理者不但要有更強(qiáng)的把握信息、利用信息的能力,在運(yùn)營(yíng)管理中利用好信息資源,而且要有對(duì)信息、信息技術(shù)和信息系統(tǒng)重要性和風(fēng)險(xiǎn)的認(rèn)識(shí)和理解,制定良好的IT戰(zhàn)略和IT規(guī)劃。
在網(wǎng)絡(luò)環(huán)境下,人與人之間的直接接觸將有所減少。網(wǎng)絡(luò)世界的無(wú)形性和匿名性將對(duì)人的心理造成一定的影響,使部分人誤以為借助網(wǎng)絡(luò)為非作歹不容易被抓住,從而可能降低犯罪的心理閥值。信息資產(chǎn)價(jià)值的提高,可能誘使掌握它的管理人員會(huì)將其賣(mài)給競(jìng)爭(zhēng)對(duì)手而產(chǎn)生犯罪行為,而且由于信息的無(wú)形性、可拷貝性,信息的泄密不易被發(fā)現(xiàn),再者網(wǎng)絡(luò)的遠(yuǎn)程接入性也給犯罪分子提供了方便,他們只要獲得一個(gè)登錄密碼就可能通過(guò)網(wǎng)絡(luò)侵入系統(tǒng),竊取銀行重要的信息資產(chǎn),或是使信息系統(tǒng)崩潰,而不必像盜竊有形資產(chǎn)那樣需要翻墻入室、避開(kāi)警衛(wèi)等麻煩之舉。這些均對(duì)管理人員的品行和道德水平提出了更高的要求。同時(shí)也需要商業(yè)銀行加強(qiáng)對(duì)信息資產(chǎn)、信息技術(shù)和信息系統(tǒng)的內(nèi)部控制,通過(guò)良好的管理手段和技術(shù)手段降低風(fēng)險(xiǎn)。
2、信息化對(duì)風(fēng)險(xiǎn)評(píng)估的影響。在信息化環(huán)境下,商業(yè)銀行業(yè)務(wù)流程的自動(dòng)化降低了業(yè)務(wù)處理過(guò)程中源于人員疏漏或舞弊的風(fēng)險(xiǎn)。但是另一方面,商業(yè)銀行的運(yùn)營(yíng)管理越來(lái)越依賴(lài)于信息系統(tǒng),信息的作用日趨重要,信息化環(huán)境促使信息存儲(chǔ)高度集中、單位時(shí)間傳遞的信息量大為提高,這些都增加了與信息資產(chǎn)和信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn)。信息化環(huán)境下,如果信息系統(tǒng)失靈或崩潰,重要信息被竊,都將給企業(yè)帶來(lái)不可估量的損失。因此,商業(yè)銀行應(yīng)當(dāng)作好有關(guān)信息資產(chǎn)和信息系統(tǒng)方面的風(fēng)險(xiǎn)評(píng)估,建立良好的IT治理機(jī)制,減少災(zāi)難的發(fā)生以及災(zāi)難發(fā)生時(shí)的損失。
3、信息化對(duì)控制活動(dòng)的影響。商業(yè)銀行控制活動(dòng)必須根據(jù)業(yè)務(wù)流程的情況和具體的控制點(diǎn)進(jìn)行設(shè)置,因此,控制活動(dòng)受到信息化的直接影響。信息化環(huán)境下的控制活動(dòng)分為兩部分:自動(dòng)化業(yè)務(wù)控制和信息系統(tǒng)控制。一是自動(dòng)化業(yè)務(wù)控制其控制對(duì)象仍然是生產(chǎn)經(jīng)營(yíng)過(guò)程,但其形式和控制手段發(fā)生了很大變化。它以計(jì)算機(jī)程序的形式嵌入于銀行信息系統(tǒng)之中,對(duì)業(yè)務(wù)的控制由計(jì)算機(jī)自動(dòng)完成。二是信息系統(tǒng)控制:它是商業(yè)銀行為了保證信息系統(tǒng)正確性、完整性和安全性而采取的控制措施,其控制對(duì)象是商業(yè)銀行信息系統(tǒng),包括計(jì)算機(jī)軟硬件資源、應(yīng)用系統(tǒng)、數(shù)據(jù)和相關(guān)人員等等信息系統(tǒng)的所有組成要素。隨著網(wǎng)絡(luò)技術(shù)和電子商務(wù)的發(fā)展,信息系統(tǒng)控制還必須考慮網(wǎng)絡(luò)安全和電子商務(wù)控制的問(wèn)題。自動(dòng)化業(yè)務(wù)控制和信息系統(tǒng)控制對(duì)控制活動(dòng)有著不同要求,使得傳統(tǒng)的六種控制活動(dòng)都有一定的變化。信息化環(huán)境下的交易授權(quán)可以由計(jì)算機(jī)程序自動(dòng)完成,使得授權(quán)過(guò)程不明顯,控制的失效往往在發(fā)生損失后才被察覺(jué)。因此,管理者對(duì)交易授權(quán)的關(guān)注應(yīng)該轉(zhuǎn)移到對(duì)相關(guān)計(jì)算機(jī)程序的正確性和完整性的檢查上。在信息化環(huán)境下,計(jì)算機(jī)能夠避免人類(lèi)通常會(huì)犯的錯(cuò)誤或舞弊,手工環(huán)境下的一些不相容的職責(zé)可以由計(jì)算機(jī)來(lái)執(zhí)行,所以部分傳統(tǒng)的職責(zé)分離和員工的相互檢查成為不必要的控制活動(dòng)。同樣,也沒(méi)有必要針對(duì)這部分自動(dòng)業(yè)務(wù)流程進(jìn)行監(jiān)管和審計(jì)。然而,對(duì)于信息系統(tǒng)的開(kāi)發(fā)、實(shí)施、維護(hù)和操作等活動(dòng),職責(zé)分離、監(jiān)管以及獨(dú)立審計(jì)仍然是重要的控制措施。在信息化環(huán)境下,業(yè)務(wù)記錄不再是書(shū)面的簽章、編碼、交叉索引等,而是通過(guò)登錄密碼、操作日志等技術(shù)手段進(jìn)行業(yè)務(wù)記錄,其有效性受信息系統(tǒng)的正確性、完整性和安全性的影響。在信息化環(huán)境下,對(duì)計(jì)算機(jī)硬件設(shè)備的接觸控制與傳統(tǒng)方式下并無(wú)太大的區(qū)別,主要通過(guò)實(shí)物防護(hù)措施來(lái)進(jìn)行。但對(duì)于信息資產(chǎn)的接觸控制,由于網(wǎng)絡(luò)的遠(yuǎn)程接入性,應(yīng)當(dāng)通過(guò)防火墻、操作員權(quán)限設(shè)置、登錄密碼安全策略、信息系統(tǒng)審計(jì)等技術(shù)手段和管理措施加以實(shí)現(xiàn)。
4、信息化對(duì)信息和溝通的影響。商業(yè)銀行信息化對(duì)內(nèi)部控制的信息和溝通這一要素產(chǎn)生了有利的影響。在完善的信息系統(tǒng)的支持下,銀行員工能夠更好地取得他們?cè)趫?zhí)行、管理和控制企業(yè)經(jīng)營(yíng)過(guò)程中所需的信息,使員工順利履行其職責(zé)。當(dāng)然,也要警惕信息技術(shù)可能帶來(lái)的信息過(guò)量的問(wèn)題,以及借助高速信息處理能力造假的問(wèn)題。
5、信息化對(duì)監(jiān)督的影響。借助信息技術(shù),可以使一部分的監(jiān)督過(guò)程自動(dòng)完成,并且可能實(shí)現(xiàn)實(shí)時(shí)監(jiān)督,從而提高監(jiān)督的效果和效率。應(yīng)當(dāng)注意的是,對(duì)信息系統(tǒng)的開(kāi)發(fā)、實(shí)施和維護(hù)過(guò)程所進(jìn)行的監(jiān)督應(yīng)當(dāng)成為監(jiān)督的重點(diǎn)。同時(shí),“控制自我評(píng)估(CSA,Control Self Appraisal)”仍然是很有益的作法。“控制自我評(píng)估”是企業(yè)不定期或定期地對(duì)自己的內(nèi)部控制系統(tǒng)進(jìn)行評(píng)估,評(píng)估內(nèi)部控制的有效性及其實(shí)施的效率效果,以期能更好地達(dá)成內(nèi)部控制的目標(biāo)。“控制自我評(píng)估”有助于提高組織內(nèi)部控制的自我意識(shí),幫助人們了解哪里存有缺陷以及可能引至的后果,然后采取行動(dòng)改進(jìn)這種狀況,對(duì)于一個(gè)企業(yè)加強(qiáng)管理、提高勞動(dòng)生產(chǎn)率、改進(jìn)內(nèi)部審計(jì)程序和業(yè)務(wù)經(jīng)營(yíng)程序以及控制風(fēng)險(xiǎn)等都有著積極的作用。
三、商業(yè)銀行內(nèi)部審計(jì)信息化建設(shè)中的突出問(wèn)題及其基本對(duì)策
商業(yè)銀行業(yè)務(wù)經(jīng)營(yíng)管理的全面信息化,對(duì)商業(yè)銀行的公司治理、內(nèi)部控制和風(fēng)險(xiǎn)管理提出了新的挑戰(zhàn),也給作為商業(yè)銀行相對(duì)較獨(dú)立、權(quán)威的綜合性監(jiān)督部門(mén)——內(nèi)部審計(jì)部門(mén)提出了全新的要求,實(shí)現(xiàn)內(nèi)部審計(jì)信息化已是大勢(shì)所趨、迫在眉睫。當(dāng)前銀行內(nèi)部審計(jì)信息化建設(shè)中的突出問(wèn)題主要有以下幾個(gè)方面:一是高技術(shù)與低效益并存。審計(jì)信息化建設(shè)和發(fā)展不僅僅是信息技術(shù)和網(wǎng)絡(luò)技術(shù)在審計(jì)工作中如何運(yùn)用的問(wèn)題,更重要的是審計(jì)方式方法如何轉(zhuǎn)變的問(wèn)題。近幾年,有些商業(yè)銀行重設(shè)備配置,而輕審計(jì)軟件開(kāi)發(fā)和推廣應(yīng)用,忽視了審計(jì)方式方法創(chuàng)新,遠(yuǎn)遠(yuǎn)沒(méi)有充分發(fā)揮審計(jì)信息化建設(shè)的效益。二是高投入與低產(chǎn)出共存,審計(jì)成本不斷攀登升。部分銀行內(nèi)審計(jì)部門(mén)近年來(lái)不斷增加投入來(lái)購(gòu)置和更新信息設(shè)備,但是有一些審計(jì)人員的計(jì)算機(jī)應(yīng)用水平僅停留在辦公自動(dòng)化和收集存儲(chǔ)信息上,沒(méi)有充分發(fā)揮計(jì)算機(jī)網(wǎng)絡(luò)管理、分析、數(shù)據(jù)處理等功能,造成資源浪費(fèi)。三是審計(jì)業(yè)務(wù)與信息化發(fā)展不一致。由于部分銀行內(nèi)審部門(mén)在審計(jì)實(shí)踐中對(duì)計(jì)算機(jī)應(yīng)用要求不到位,軟件開(kāi)發(fā)滯后,加之不少審計(jì)人員年齡偏大、業(yè)務(wù)老化、知識(shí)結(jié)構(gòu)單一,對(duì)開(kāi)發(fā)應(yīng)用計(jì)算機(jī)興趣不大、能力不濟(jì),仍是以傳統(tǒng)的手工審計(jì)方式為主,審計(jì)信息化建設(shè)嚴(yán)重滯后于業(yè)務(wù)信息化進(jìn)程。四是設(shè)備閑置與緊缺并存。銀行內(nèi)部審計(jì)信息化建設(shè)和發(fā)展是一個(gè)完整的系統(tǒng)。由于信息沒(méi)有實(shí)現(xiàn)共享,造成各應(yīng)用單位自成體系,重復(fù)投資開(kāi)發(fā),設(shè)備閑置和緊缺現(xiàn)象并存。五是人才短缺。現(xiàn)有審計(jì)人員中真正具有較高計(jì)算機(jī)水平的人員不多,既精通計(jì)算機(jī)編程又熟悉審計(jì)業(yè)務(wù)的復(fù)合型人才更少,嚴(yán)重制約了計(jì)算機(jī)應(yīng)用水平。針對(duì)上述問(wèn)題,我們認(rèn)為應(yīng)當(dāng)從下列幾個(gè)方面來(lái)加強(qiáng)內(nèi)部審計(jì)信息化建設(shè),以全面適應(yīng)金融信息化飛速發(fā)展的需要。
(一)提高思想認(rèn)識(shí),統(tǒng)籌規(guī)劃內(nèi)部審計(jì)信息化建設(shè)。
內(nèi)部審計(jì)信息化是建立在現(xiàn)代信息化環(huán)境基礎(chǔ)上,運(yùn)用信息化技術(shù)方法開(kāi)展內(nèi)部審計(jì)工作的一種有效的技術(shù)方法。內(nèi)部審計(jì)信息化是內(nèi)審工作的革命性變革,是傳統(tǒng)內(nèi)部審計(jì)向現(xiàn)代內(nèi)部審計(jì)轉(zhuǎn)變的重要標(biāo)志,是內(nèi)部審計(jì)現(xiàn)代化的重要特征,它對(duì)于內(nèi)部審計(jì)工作的方式、程序、質(zhì)量、管理,乃至審計(jì)人員的思維方式和自身素質(zhì)都會(huì)帶來(lái)深刻的影響。內(nèi)部審計(jì)信息化既是一種技術(shù)手段,又是一種行之有效的管理方法,對(duì)于提高內(nèi)審工作效率,降低審計(jì)成本,提升工作質(zhì)量具有十分重要的意義。李金華審計(jì)長(zhǎng)曾指出:“我們要從關(guān)系審計(jì)工作前途命運(yùn)的高度來(lái)認(rèn)識(shí)審計(jì)信息化建設(shè)的重大意義。要破除神秘感,克服‘恐高癥’,下大力氣把這項(xiàng)工作搞上去。”各商業(yè)銀行董事會(huì)、監(jiān)事會(huì)、高級(jí)管理層及內(nèi)部審計(jì)部門(mén)都必須高度重視內(nèi)部審計(jì)信息化建設(shè),組織專(zhuān)班制定全面、科學(xué)、詳細(xì)、可行的審計(jì)信息化建設(shè)中長(zhǎng)期規(guī)劃,將其與商業(yè)銀行公司治理、內(nèi)部控制和風(fēng)險(xiǎn)管理統(tǒng)籌安排,各部門(mén)通力合作,確保規(guī)劃目標(biāo)的如期實(shí)現(xiàn)。
(二)加強(qiáng)信息系統(tǒng)控制,實(shí)施信息系統(tǒng)審計(jì)。
在企業(yè)信息化環(huán)境下,對(duì)信息系統(tǒng)的有效控制是商業(yè)銀行開(kāi)展正常的業(yè)務(wù)經(jīng)營(yíng)活動(dòng)的前提和保障。有效的信息系統(tǒng)控制是技術(shù)與制度相結(jié)合的體系,決不僅僅是一個(gè)技術(shù)問(wèn)題,不能僅由技術(shù)人員負(fù)責(zé),而應(yīng)當(dāng)受到企業(yè)最高管理層的高度重視。內(nèi)部審計(jì)部門(mén)是信息系統(tǒng)控制最重要的執(zhí)行者之一。內(nèi)部審計(jì)部門(mén)在信息系統(tǒng)的開(kāi)發(fā)、實(shí)施、維護(hù)和操作過(guò)程中應(yīng)當(dāng)進(jìn)行嚴(yán)格的獨(dú)立審查,并定期對(duì)信息系統(tǒng)加以檢查,以保證信息系統(tǒng)的正確性、完整性和安全性。內(nèi)部審計(jì)部門(mén)應(yīng)當(dāng)將發(fā)現(xiàn)的問(wèn)題及時(shí)報(bào)告給銀行管理當(dāng)局,提高管理當(dāng)局對(duì)信息系統(tǒng)控制的重視程度,幫助管理當(dāng)局彌補(bǔ)信息系統(tǒng)控制中的缺陷。
有條件的銀行還應(yīng)當(dāng)開(kāi)展信息系統(tǒng)審計(jì)。信息系統(tǒng)審計(jì)是獨(dú)立信息系統(tǒng)審計(jì)師,為了信息系統(tǒng)的安全、可靠與有效,以第三方的客觀立場(chǎng)對(duì)以計(jì)算機(jī)為核心的信息系統(tǒng)進(jìn)行綜合的檢查與評(píng)價(jià),向被審計(jì)單位的最高管理當(dāng)局,提出問(wèn)題與建議的一系列活動(dòng)。信息系統(tǒng)審計(jì)綜合運(yùn)用IT技術(shù)與審計(jì)理論和方法為信息系統(tǒng)的使用者提供合理的保證。
信息系統(tǒng)審計(jì)的內(nèi)容,主要包括以下幾個(gè)方面:(1)評(píng)價(jià)信息系統(tǒng)的管理、規(guī)劃與組織方面的策略、政策、標(biāo)準(zhǔn)、程序和相關(guān)實(shí)務(wù)。(2)評(píng)價(jià)商業(yè)銀行在信息系統(tǒng)技術(shù)基礎(chǔ)設(shè)施與操作實(shí)務(wù)的管理和實(shí)施方面的有效性及效率,以確保其充分支持企業(yè)的商業(yè)目標(biāo)。(3)對(duì)邏輯、環(huán)境與信息技術(shù)基礎(chǔ)設(shè)施的安全性進(jìn)行評(píng)價(jià),確保其能支持企業(yè)保護(hù)信息資產(chǎn)的需要,防止信息資產(chǎn)在未經(jīng)授權(quán)的情況下被使用、披露、修改、損壞或丟失。(4)評(píng)價(jià)災(zāi)難恢復(fù)與業(yè)務(wù)持續(xù)計(jì)劃,這些計(jì)劃保證在發(fā)生災(zāi)難時(shí),能夠使企業(yè)持續(xù)處理業(yè)務(wù)。(5)對(duì)應(yīng)用系統(tǒng)的開(kāi)發(fā)、獲得、實(shí)施與維護(hù)方面所采用的方法和流程進(jìn)行評(píng)價(jià),以確保其滿(mǎn)足企業(yè)的業(yè)務(wù)目標(biāo)。(6)評(píng)估業(yè)務(wù)系統(tǒng)與處理流程,確保根據(jù)企業(yè)的業(yè)務(wù)目標(biāo)對(duì)相應(yīng)風(fēng)險(xiǎn)實(shí)施管理。
(三)大力推廣計(jì)算機(jī)輔助審計(jì),創(chuàng)新審計(jì)方式方法。
目前,大部分銀行已經(jīng)實(shí)現(xiàn)了主要業(yè)務(wù)經(jīng)營(yíng)管理的信息化。但是由于軟硬件投入不足及科技人才匱乏,一些銀行計(jì)算機(jī)審計(jì)應(yīng)用面還比較狹窄,仍然是以現(xiàn)場(chǎng)審計(jì)和手工操作為主,導(dǎo)致審計(jì)效率低、審計(jì)覆蓋面窄、風(fēng)險(xiǎn)控制能力不強(qiáng)、審計(jì)質(zhì)量難以保證。因而必須實(shí)現(xiàn)計(jì)算機(jī)審計(jì)的實(shí)時(shí)化、經(jīng)常化、全面化。同時(shí),實(shí)行“計(jì)算機(jī)審計(jì)首審計(jì)制”,在每個(gè)審計(jì)項(xiàng)目實(shí)施前,都要運(yùn)用計(jì)算機(jī)輔助審計(jì)系統(tǒng)進(jìn)行全面深入的分析,確定主要的風(fēng)險(xiǎn)點(diǎn),并結(jié)合其他部門(mén)檢查資料和現(xiàn)有的審計(jì)資料來(lái)確定現(xiàn)場(chǎng)審計(jì)的重點(diǎn)單位、重點(diǎn)業(yè)務(wù)和重點(diǎn)環(huán)節(jié),提高審計(jì)的針對(duì)性、效率性。
1、加快計(jì)算機(jī)非現(xiàn)場(chǎng)審計(jì)系統(tǒng)的升級(jí)改造和推廣應(yīng)用。以農(nóng)業(yè)銀行為例,目前全行已構(gòu)建了較為完善安全的內(nèi)部局域網(wǎng)絡(luò),并且開(kāi)發(fā)應(yīng)用了信貸、財(cái)務(wù)信息、報(bào)表管理系統(tǒng),監(jiān)管部門(mén)也開(kāi)發(fā)了反洗錢(qián)、會(huì)計(jì)在線(xiàn)監(jiān)控、1104監(jiān)管報(bào)表系統(tǒng),這些系統(tǒng)為非現(xiàn)場(chǎng)審計(jì)系統(tǒng)的構(gòu)建和應(yīng)用提供了大量的信息來(lái)源,而目前審計(jì)機(jī)構(gòu)的信息化建設(shè)和非現(xiàn)場(chǎng)審計(jì)手段遠(yuǎn)遠(yuǎn)落后于各業(yè)務(wù)部門(mén)和縣域營(yíng)業(yè)機(jī)構(gòu)。因此必須盡快對(duì)現(xiàn)有審計(jì)系統(tǒng)進(jìn)行升級(jí)改造,組織骨干力量編寫(xiě)審計(jì)方法,建立各項(xiàng)業(yè)務(wù)風(fēng)險(xiǎn)識(shí)別、衡量、評(píng)估分析模型,并將非現(xiàn)場(chǎng)審計(jì)系統(tǒng)網(wǎng)絡(luò)延伸到基層審計(jì)機(jī)構(gòu),從而為基層審計(jì)機(jī)構(gòu)的審計(jì)計(jì)劃、審計(jì)方案直至現(xiàn)場(chǎng)審計(jì)工作更加高效、準(zhǔn)確。
2、確定計(jì)算機(jī)輔助審計(jì)的重點(diǎn)內(nèi)容。審計(jì)的重點(diǎn)是評(píng)價(jià)操作風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)的管理薄弱環(huán)節(jié),開(kāi)展諸如經(jīng)營(yíng)決策、激勵(lì)機(jī)制、營(yíng)銷(xiāo)策略、網(wǎng)絡(luò)安全等新的審計(jì),提出管理新思路和對(duì)策,為管理層決策提供咨詢(xún)服務(wù)。當(dāng)前計(jì)算機(jī)輔助審計(jì)的重點(diǎn)內(nèi)容包括:(1)將各項(xiàng)業(yè)務(wù)經(jīng)營(yíng)考評(píng)指標(biāo)和評(píng)價(jià)標(biāo)準(zhǔn)設(shè)計(jì)成計(jì)算機(jī)審計(jì)模型,通過(guò)計(jì)算機(jī)系統(tǒng)進(jìn)行監(jiān)測(cè)分析,重點(diǎn)審核臨近會(huì)計(jì)期末發(fā)生的異常和復(fù)雜交易。如會(huì)計(jì)年度即將結(jié)束時(shí)貸款、存款金額的異常增長(zhǎng)、發(fā)生大量的關(guān)聯(lián)方交易,分析有無(wú)人為調(diào)節(jié)經(jīng)營(yíng)成果現(xiàn)象。(2)將中文(ABIS)系統(tǒng)中留痕的內(nèi)控措施如授權(quán)、沖正抹賬、憑證銷(xiāo)號(hào)、現(xiàn)金管理、大額交易等導(dǎo)入非現(xiàn)場(chǎng)審計(jì)系統(tǒng),由審計(jì)人員進(jìn)行監(jiān)控,分析其操作合規(guī)性。(3)對(duì)貸款等資產(chǎn)類(lèi)業(yè)務(wù)進(jìn)行非現(xiàn)場(chǎng)審計(jì)分析,重點(diǎn)關(guān)注借款主體資格、關(guān)聯(lián)方貸款、借款投向、利率執(zhí)行、貸款利息收支、風(fēng)險(xiǎn)分類(lèi)等情況。(4)對(duì)中間業(yè)務(wù)如代理業(yè)務(wù)、網(wǎng)銀業(yè)務(wù)交易量的真實(shí)性和中間業(yè)務(wù)收入配比分析,開(kāi)展中間業(yè)務(wù)效益審計(jì)。(5)對(duì)高息吸收存款、違規(guī)開(kāi)立結(jié)算賬戶(hù)等合規(guī)風(fēng)險(xiǎn)進(jìn)行非現(xiàn)場(chǎng)審計(jì)分析。(6)對(duì)財(cái)務(wù)管理如固定資產(chǎn)購(gòu)置與處置、大宗費(fèi)用支出等核算的合規(guī)性及支出的合規(guī)性進(jìn)行審計(jì)分析等。
(四)開(kāi)展內(nèi)部控制綜合評(píng)價(jià)及業(yè)務(wù)部門(mén)自律監(jiān)管審計(jì)。
鑒于信息化給商業(yè)銀行內(nèi)部控制提出了一系列新的挑戰(zhàn),各家銀行必須相應(yīng)地不斷完善并執(zhí)行信息化條件下的各項(xiàng)內(nèi)部控制制度,并由內(nèi)部審計(jì)部門(mén)每年對(duì)各單位、各部門(mén)進(jìn)行內(nèi)部控制綜合評(píng)價(jià)。在各家銀行中,中國(guó)農(nóng)業(yè)銀行從2000年起率先在縣級(jí)支行開(kāi)展了內(nèi)部控制綜合評(píng)價(jià),隨后又進(jìn)一步對(duì)二級(jí)分行、省級(jí)分行開(kāi)展了此項(xiàng)工作。中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)也于2004底頒發(fā)了《商業(yè)銀行內(nèi)部控制綜合評(píng)價(jià)試行辦法》(以下簡(jiǎn)稱(chēng)辦法)。當(dāng)務(wù)之急是各銀行內(nèi)部審計(jì)部門(mén)要根據(jù)上述辦法,結(jié)合信息化的最新進(jìn)程,制定出具有較強(qiáng)針對(duì)性、科學(xué)性和可操作性的內(nèi)部控制綜合評(píng)價(jià)辦法和操作規(guī)程,定期對(duì)各級(jí)經(jīng)營(yíng)管理單位全面開(kāi)展評(píng)價(jià)。同時(shí),內(nèi)部審計(jì)部門(mén)要定期開(kāi)展對(duì)各業(yè)務(wù)管理部門(mén)(重點(diǎn)是財(cái)務(wù)會(huì)計(jì)、信貸、科技等部門(mén))的自律監(jiān)管審計(jì),督促這些部門(mén)加強(qiáng)對(duì)相關(guān)業(yè)務(wù)的日常檢查監(jiān)督,從而構(gòu)建業(yè)務(wù)一線(xiàn)員工崗位自我監(jiān)督、業(yè)務(wù)管理部門(mén)對(duì)口監(jiān)督、審計(jì)部門(mén)再監(jiān)督的三道風(fēng)險(xiǎn)防線(xiàn),把風(fēng)險(xiǎn)控制到最低程度。
(五)加強(qiáng)銀行內(nèi)部審計(jì)與內(nèi)外部監(jiān)督部門(mén)的合作交流,實(shí)現(xiàn)監(jiān)管信息的共享。
在實(shí)施效益審計(jì)、風(fēng)險(xiǎn)審計(jì)、內(nèi)控綜合評(píng)價(jià)、非現(xiàn)場(chǎng)審計(jì)等審計(jì)時(shí),應(yīng)創(chuàng)造條件讓基層審計(jì)人員與內(nèi)部其他業(yè)務(wù)主管部門(mén)、外部審計(jì)專(zhuān)業(yè)人員、監(jiān)管當(dāng)局或信息工程師等充分合作,彌補(bǔ)基層審計(jì)人員在部分審計(jì)領(lǐng)域的職業(yè)能力缺陷。要建立審計(jì)部門(mén)與銀行其他業(yè)務(wù)管理部門(mén)檢查監(jiān)管信息定期交流機(jī)制,實(shí)現(xiàn)監(jiān)管信息的共享。同時(shí)激勵(lì)和保護(hù)基層審計(jì)人員充分使用內(nèi)查外調(diào)審計(jì)權(quán)利,發(fā)動(dòng)員工向?qū)徲?jì)機(jī)構(gòu)舉報(bào)重大違規(guī)行為或問(wèn)題線(xiàn)索,提高審計(jì)的效能。
(六)加強(qiáng)內(nèi)審信息化基礎(chǔ)建設(shè),為推廣信息化審計(jì)提供有力保障。
審計(jì)信息化是一個(gè)新生事物,各家銀行還處在初創(chuàng)階段,普遍存在不系統(tǒng)、不規(guī)范、不經(jīng)常的問(wèn)題,建議應(yīng)當(dāng)從以下幾個(gè)方面著手加強(qiáng)基礎(chǔ)建設(shè)。一是加強(qiáng)制度建設(shè)。各家銀行總行應(yīng)該統(tǒng)一制定計(jì)算機(jī)輔助審計(jì)系統(tǒng)操作管理辦法及其實(shí)施細(xì)則,實(shí)現(xiàn)有章可依。二是加強(qiáng)設(shè)施建設(shè)。要加大投入,配備足夠的審計(jì)服務(wù)器(用于存儲(chǔ)審計(jì)數(shù)據(jù)的專(zhuān)用設(shè)備)、計(jì)算機(jī)輔助審計(jì)系統(tǒng)(英文簡(jiǎn)稱(chēng)CAS)和安裝有CAS的電子設(shè)備。三是要加強(qiáng)軟件系統(tǒng)建設(shè)。各銀行要按照全行統(tǒng)一規(guī)劃、統(tǒng)一開(kāi)發(fā)、統(tǒng)一模型、統(tǒng)一實(shí)施的原則,建立綜合的CAS系統(tǒng),并調(diào)動(dòng)全體審計(jì)人員的積極性,根據(jù)項(xiàng)目審計(jì)需要,不斷創(chuàng)造新審計(jì)方法應(yīng)用模塊,建立豐富的審計(jì)方法庫(kù)。四是要加強(qiáng)機(jī)構(gòu)建設(shè)。各銀行內(nèi)部審計(jì)部門(mén)應(yīng)自上而下設(shè)立專(zhuān)司計(jì)算機(jī)輔助審計(jì)的非現(xiàn)場(chǎng)審計(jì)部門(mén)。五是加強(qiáng)隊(duì)伍建設(shè)。要采取對(duì)外引進(jìn)與對(duì)內(nèi)培訓(xùn)相結(jié)合的辦法,培養(yǎng)一批既懂銀行業(yè)務(wù)又熟悉計(jì)算機(jī)技術(shù)的復(fù)合型審計(jì)人才,以滿(mǎn)足審計(jì)信息化的需要。
