商业银行信息系统审计

商业银行信息系统审计

[摘要]巴塞尔委员会指定的《有效银行监管的核心原则》指出：“银行监管体系应包括某种形式的现场和非现场监督”。因此，依靠信息系统审计实现现场与非现场相结合的内部审计体系，是商业银行提高内部审计，内部控制质量和效率的必然选择。

[关键词]信息系统审计；商业银行；信息化

在信息化大潮中，信息技术不断改变人们工作生活的行为方式和思维方式。现代信息技术已经在各行各业及其机构和业务中普遍开来，因此审计这个以鉴证财务信息的真实、公允为核心的行业不可避免地受到信息技术飞速发展所带来的冲击与挑战。传统审计暴露出了很大的弊端，已不能满足人们的需求，不能适应新形势的发展需要，这就使得信息系统审计在商业银行中的应用成为必然。

一、 信息系统审计的概念及其对商业银行审计的影响

1985年日本通产省情报处理开发协会信息系统审计委员会认为: 信息系统审计是由独立于审计对象的信息系统审计师, 站在客观的立场上, 对以计算机为核心的信息系统进行综合的检查、评价, 向有关人员提出问题与劝告, 追求系统的有效利用和故障排除, 使系统更加健全。国际信息系统审计领域的权威专家Ron Weber将它定义为“收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标, 同时最经济的使用资源”。这一定义既包括信息系统的外部审计的鉴证目标，即对被审计单位的信息系统保护资产安全及数据完整的鉴证, 又包含内部审计的管理目标) ) ) 即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。

审计是在信息系统下执行财务会计报表审计，并不改变审计的总体目标和范围。但是，计算机的使用改变了财务资料的处理和存储，并可能影响被审计银行为达到适当的内部控制而采用的组织和程序。

1．对审计对象的载体产生的影响。在手工操作下，作为审计对象的载体是

会计凭证、账簿、报表和其他各种经营资料，都是可见性的文字、数字记录，并且要求严格按照统一规程来填写和登记。但在计算机信息系统下，除了部分原始凭证和打印出来的账表外，大量会计数据都是以电、磁信号的形式被存录在计算机中的。若不经显示或输出是看不见、摸不着的，它们既容易销毁也容易伪造，而且可以不留痕迹。审计中及时发现可疑之处，要想进一步追查也是有困难的。

2.对审计线索的影响。审计师必须跟踪审计线索来审核有关经济业务，以搜索审计证据。会计核算电算化使审计线索发生了很大的变化。在手工操作下，从原始凭证到记账凭证再到财务会计报表的编制，每一步都有文字记录，都有经手人签字，审计线索十分清楚。审计时进行审查时，完全可以根据需要进行顺查、逆查或采用抽样的方法进行审查。但在计算机信息系统环境下，制作凭证、登账及报表编制，全部由计算机系统按一定的程序指令完成，存有会计资料的大多是磁带和磁盘，这些磁性介质上的信息是以机器可读的形式存在的。除了制定一些规章制度外，还必须在会计软件系统的设计和开发中提出审计要求，以便这些系统在会计核算中能留下新的审计线索。

3.对审计技术和审计方法的影响。计算机信息系统的特点决定了审计技术应当相应改变，手工审计技术仍是有效和必要的，但是，计算机辅助审计技术效率则更高，有时甚至是必不可少的审计技术。计算机信息系统环境下被审计商业银行内部控制的变化，是审计方法也产生较大变化。对会计资料所进行的实质性测试包括：（1）不处理数据文件的实质性测试方法；（2）处理实际数据文件的实质性测试方法；（3）处理模拟数据文件的实质性测试方法。

二、 商业银行实施信息系统审计的必要性

1.商业银行自身的信息化程度日益加剧，审计资源有限的矛盾日益突出 随着国民经济的快速发展，商业银行近年来资产规模增长迅速，业务量急剧膨胀，特别是在沿海发达地区，日交易量达数十万笔；同业竞争日趋激烈，新的金融产品和服务不断推出，银行业务的复杂程度大大提高；商业银行具有机构地区跨度广、网点众多的特点。因而，在现有的资源下，依靠传统的审计方式已难以保证内部审计的质量和全面性。商业银行信息化就是全面发展和应用现代信息技术, 以创新智能技术工具, 改造更新和装备商业银行各个部门和业务领域, 从而极大地提高商业银行的运作效率和创新能力, 最终实现由商业银行向信息银

行的转变。随着商业银行业务信息化程度的提高, 银行的业务和信息系统之间的联系不断加强, 信息系统需要不断的修改和完善以适应业务发展的要求。当信息系统跟不上业务发展的需要时, 就会造成一系列系统故障、错误, 使得商业银行面临的战略性、名誉性、操作性的风险越来越大。为减少这些风险, 这就需要信息系统审计对系统进行严格的规范控制, 对信息系统进行综合的检查和评价以保证信息系统适应银行业务发展的需要。同时需要对信息系统的开发过程进行跟踪审计, 及时发现并改正错误, 保证信息系统的质量, 降低系统后期的维护成本。

2. 金融审计方式的局限性

审计机关目前对商业银行的主要金融审计模式是数据式审计, 从审计实践来看, 这种审计方式由于缺乏对系统的控制而不能保障电子数据的唯一性、完整性和准确性, 无法对商业银行的会计报表与原始电子数据的一致性做出准确地判断, 无法核实商业银行整体经营成果的真实性。从发展趋势来看, 数据式审计方式由于过分关注数据本身而缺乏对系统整体的分析, 难以控制总体审计风险, 其局限性正逐渐显露出来。由于审计机关人员少、时间短等因素影响, 目前金融审计的内容仅包括对公存款业务、信贷业务、中间业务、国际业务和会计管理业务等, 并在此基础上有选择地进行重点抽查审计。在执行具体审计实施方案时, 因侧重点不同也缺乏统一性,审计范围和内容均比较狭窄。总之, 现有审计技术与方法无法保证对商业银行进行全面性、统一性和系统性的审计, 为有效解决上述问题, 审计机关应当尽快对商业银行开展信息系统审计。

3. 传统的审计线索发生重大变化。

国有商业银行主要业务过程和业务信息已基本实现了电子化，作为审计工作直接对象的账务、管理数据的生成和存储都发生了改变。尤其是近年来网上银行、电话银行、自助银行、手机银行等业务的出现，使传统的纸质账簿被磁性介质取代，审计人员已无法得到有形的审计线索。

4. 金融科技的发展为审计信息化提供了机遇。

随着科技战略的实施，国有商业银行的网络基础设施建设已取得了阶段性成果，业务系统和数据已实现了区域性的集中，电子数据的规范性和可用性进一步提高，为实现审计信息化创造了条件。

5. 信息系统审计的优越性

信息系统审计有利于商业银行信息系统项目的风险控制。为了有效保持和提高竞争力, 商业银行持续地维持更新现有的信息系统, 并积极开发和应用新的信息系统。而在日益激烈的市场环境中, 由于银行应对策略的调整, 往往导致信息项目的频繁变更。一些信息建设项目应用风险凸现。信息系统审计的目标和任务, 就是通过评价信息系统项目管理过程中内部控制的适当性, 确保项目风险控制在合理水平。信息系统审计有利于商业银行业务运营风险的防范。商业银行的发展过程, 实际上是信息系统和业务运营模式不断更新的过程。商业银行的各项业务经营几乎都涵盖在信息系统的支撑之下。基于此, 商业银行业务经营风险的控制, 很大程度上已经转移到信息系统的风险控制上。信息系统审计在信息安全方面的任务和使命, 就是通过评价相关的内部控制的适当性, 确保信息资产的安全, 包括保密性、完整性和可用性, 从而保证银行业务的正常高效运营。

三、 信息系统审计在商业银行审计中的开展

审计信息化是指审计人员在实施审计监督时, 利用计算机进行辅助审计, 并对有关审计业务信息和审计程序采用计算机进行管理, 从而达到有效提高审计工作质量和效率的目的。信息系统审计过程与一般审计过程一样, 分为准备阶段、实施阶段和报告阶段。其中, 准备阶段和报告阶段所涉及的技术方法与财务审计所运用的技术方法区别不大, 而实施阶段所涉及的技术方法则具有信息技术的特色。即针对商业银行的信息系统, 基于风险导向的审计思路, 信息系统审计的具体内容包括审查软件开发、设计、发行、维护过程; 审查软件使用、运行情况; 审查系统与其它系统的接口情况及系统的可扩展性; 在审计实施中应特别关注技术风险(包括集中化风险、数据风险、生产运行风险、通讯风险、交易量的峰值冲击风险等)、系统风险(包括规划与设计风险、安全产品的可信度风险)等。目前，国有商业银行主要通过各类现场和非现场的审计管理信息系统的运用，来实现内部审计的信息化。

（一）非现场审计管理信息系统的运用

针对内部审计的管理模式和业务流程，国有商业银行通过使用不同的审计管理信息系统来实现一定的工作目标。在开展远程审计或进行现场审计的前期准备阶段时，运用的是非现场审计系统。该系统是一个针对业务数据的调集和分析系