《信息系统审计在商业银行中的应用》由会员分享,可在线阅读,更多相关《信息系统审计在商业银行中的应用(6页珍藏版)》请在金锄头文库上搜索。
1、信息系统审计在商业银行中的应用摘要巴塞尔委员会指定的有效银行监管的核心原则指出:“银行监管体系应包括某种形式的现场和非现场监督” 。因此,依靠信息系统审计实现现场与非现场相结合的内部审计体系,是商业银行提高内部审计,内部控制质量和效率的必然选择。关键词信息系统审计;商业银行;信息化Application of information system audit in commercial banksAbstractThe core principles for effective banking supervision that the Basel Committee specifies poi
2、nted that: the banking supervision system should include some kind of scene and non spot supervision. Therefore, to rely on information system audit implementation of on-site and off-site audit system, is the inevitable choice that the commercial banks could improve the internal audit, internal cont
3、rol quality and efficiency.Keywords information system audit; commercial bank,;information在信息化大潮中,信息技术不断改变人们工作生活的行为方式和思维方式。现代信息技术已经在各行各业及其机构和业务中普遍开来,因此审计这个以鉴证财务信息的真实、公允为核心的行业不可避免地受到信息技术飞速发展所带来的冲击与挑战。传统审计暴露出了很大的弊端,已不能满足人们的需求,不能适应新形势的发展需要,这就使得信息系统审计在商业银行中的应用成为必然。一、 信息系统审计的概念及其对商业银行审计的影响1985 年日本通产省情报处理
4、开发协会信息系统审计委员会认为: 信息系统审计是由独立于审计对象的信息系统审计师, 站在客观的立场上, 对以计算机为核心的信息系统进行综合的检查、评价, 向有关人员提出问题与劝告, 追求系统的有效利用和故障排除, 使系统更加健全。国际信息系统审计领域的权威专家Ron Weber 将它定义为“收集并评估证据以判断一个计算机系统 (信息系统)是否有效做到保护资产、维护数据完整、完成组织目标, 同时最经济的使用资源” 。这一定义既包括信息系统的外部审计的鉴证目标,即对被审计单位的信息系统保护资产安全及数据完整的鉴证, 又包含内部审计的管理目标) ) ) 即不仅包括被审计信息系统保护资产安全及数据完整
5、而且包括信息系统的有效性目标。审计是在信息系统下执行财务会计报表审计,并不改变审计的总体目标和范围。但是,计算机的使用改变了财务资料的处理和存储,并可能影响被审计银行为达到适当的内部控制而采用的组织和程序。1对审计对象的载体产生的影响。在手工操作下,作为审计对象的载体是会计凭证、账簿、报表和其他各种经营资料,都是可见性的文字、数字记录,并且要求严格按照统一规程来填写和登记。但在计算机信息系统下,除了部分原始凭证和打印出来的账表外,大量会计数据都是以电、磁信号的形式被存录在计算机中的。若不经显示或输出是看不见、摸不着的,它们既容易销毁也容易伪造,而且可以不留痕迹。审计中及时发现可疑之处,要想进一
6、步追查也是有困难的。2.对审计线索的影响。审计师必须跟踪审计线索来审核有关经济业务,以搜索审计证据。会计核算电算化使审计线索发生了很大的变化。在手工操作下,从原始凭证到记账凭证再到财务会计报表的编制,每一步都有文字记录,都有经手人签字,审计线索十分清楚。审计时进行审查时,完全可以根据需要进行顺查、逆查或采用抽样的方法进行审查。但在计算机信息系统环境下,制作凭证、登账及报表编制,全部由计算机系统按一定的程序指令完成,存有会计资料的大多是磁带和磁盘,这些磁性介质上的信息是以机器可读的形式存在的。除了制定一些规章制度外,还必须在会计软件系统的设计和开发中提出审计要求,以便这些系统在会计核算中能留下新
7、的审计线索。3.对审计技术和审计方法的影响。计算机信息系统的特点决定了审计技术应当相应改变,手工审计技术仍是有效和必要的,但是,计算机辅助审计技术效率则更高,有时甚至是必不可少的审计技术。计算机信息系统环境下被审计商业银行内部控制的变化,是审计方法也产生较大变化。对会计资料所进行的实质性测试包括:(1)不处理数据文件的实质性测试方法;(2)处理实际数据文件的实质性测试方法;(3)处理模拟数据文件的实质性测试方法。二、 商业银行实施信息系统审计的必要性1.商业银行自身的信息化程度日益加剧,审计资源有限的矛盾日益突出随着国民经济的快速发展,商业银行近年来资产规模增长迅速,业务量急剧膨胀,特别是在沿
8、海发达地区,日交易量达数十万笔;同业竞争日趋激烈,新的金融产品和服务不断推出,银行业务的复杂程度大大提高;商业银行具有机构地区跨度广、网点众多的特点。因而,在现有的资源下,依靠传统的审计方式已难以保证内部审计的质量和全面性。商业银行信息化就是全面发展和应用现代信息技术, 以创新智能技术工具, 改造更新和装备商业银行各个部门和业务领域, 从而极大地提高商业银行的运作效率和创新能力, 最终实现由商业银行向信息银行的转变。随着商业银行业务信息化程度的提高, 银行的业务和信息系统之间的联系不断加强, 信息系统需要不断的修改和完善以适应业务发展的要求。当信息系统跟不上业务发展的需要时, 就会造成一系列系
9、统故障、错误, 使得商业银行面临的战略性、名誉性、操作性的风险越来越大。为减少这些风险, 这就需要信息系统审计对系统进行严格的规范控制, 对信息系统进行综合的检查和评价以保证信息系统适应银行业务发展的需要。同时需要对信息系统的开发过程进行跟踪审计, 及时发现并改正错误, 保证信息系统的质量, 降低系统后期的维护成本。2. 金融审计方式的局限性审计机关目前对商业银行的主要金融审计模式是数据式审计, 从审计实践来看, 这种审计方式由于缺乏对系统的控制而不能保障电子数据的唯一性、完整性和准确性, 无法对商业银行的会计报表与原始电子数据的一致性做出准确地判断, 无法核实商业银行整体经营成果的真实性。从
10、发展趋势来看, 数据式审计方式由于过分关注数据本身而缺乏对系统整体的分析, 难以控制总体审计风险, 其局限性正逐渐显露出来。由于审计机关人员少、时间短等因素影响, 目前金融审计的内容仅包括对公存款业务、信贷业务、中间业务、国际业务和会计管理业务等, 并在此基础上有选择地进行重点抽查审计。在执行具体审计实施方案时, 因侧重点不同也缺乏统一性,审计范围和内容均比较狭窄。总之, 现有审计技术与方法无法保证对商业银行进行全面性、统一性和系统性的审计, 为有效解决上述问题, 审计机关应当尽快对商业银行开展信息系统审计。3. 传统的审计线索发生重大变化。国有商业银行主要业务过程和业务信息已基本实现了电子化
11、,作为审计工作直接对象的账务、管理数据的生成和存储都发生了改变。尤其是近年来网上银行、电话银行、自助银行、手机银行等业务的出现,使传统的纸质账簿被磁性介质取代,审计人员已无法得到有形的审计线索。4. 金融科技的发展为审计信息化提供了机遇。随着科技战略的实施,国有商业银行的网络基础设施建设已取得了阶段性成果,业务系统和数据已实现了区域性的集中,电子数据的规范性和可用性进一步提高,为实现审计信息化创造了条件。5. 信息系统审计的优越性信息系统审计有利于商业银行信息系统项目的风险控制。为了有效保持和提高竞争力, 商业银行持续地维持更新现有的信息系统, 并积极开发和应用新的信息系统。而在日益激烈的市场
12、环境中, 由于银行应对策略的调整, 往往导致信息项目的频繁变更。一些信息建设项目应用风险凸现。信息系统审计的目标和任务, 就是通过评价信息系统项目管理过程中内部控制的适当性, 确保项目风险控制在合理水平。信息系统审计有利于商业银行业务运营风险的防范。商业银行的发展过程, 实际上是信息系统和业务运营模式不断更新的过程。商业银行的各项业务经营几乎都涵盖在信息系统的支撑之下。基于此, 商业银行业务经营风险的控制, 很大程度上已经转移到信息系统的风险控制上。信息系统审计在信息安全方面的任务和使命, 就是通过评价相关的内部控制的适当性, 确保信息资产的安全, 包括保密性、完整性和可用性, 从而保证银行业
13、务的正常高效运营。三、 信息系统审计在商业银行审计中的开展审计信息化是指审计人员在实施审计监督时, 利用计算机进行辅助审计, 并对有关审计业务信息和审计程序采用计算机进行管理, 从而达到有效提高审计工作质量和效率的目的。信息系统审计过程与一般审计过程一样, 分为准备阶段、实施阶段和报告阶段。其中, 准备阶段和报告阶段所涉及的技术方法与财务审计所运用的技术方法区别不大, 而实施阶段所涉及的技术方法则具有信息技术的特色。即针对商业银行的信息系统, 基于风险导向的审计思路, 信息系统审计的具体内容包括审查软件开发、设计、发行、维护过程; 审查软件使用、运行情况; 审查系统与其它系统的接口情况及系统的
14、可扩展性; 在审计实施中应特别关注技术风险(包括集中化风险、数据风险、生产运行风险、通讯风险、交易量的峰值冲击风险等)、系统风险(包括规划与设计风险、安全产品的可信度风险)等。目前,国有商业银行主要通过各类现场和非现场的审计管理信息系统的运用,来实现内部审计的信息化。(一)非现场审计管理信息系统的运用针对内部审计的管理模式和业务流程,国有商业银行通过使用不同的审计管理信息系统来实现一定的工作目标。在开展远程审计或进行现场审计的前期准备阶段时,运用的是非现场审计系统。该系统是一个针对业务数据的调集和分析系统,它获取业务数据的方式主要是通过审计接口从银行的总账传输系统中卸载总账、从历史数据服务系统
15、中卸载明细账和登记簿数据、从信贷信息系统中卸载信贷数据。审计人员根据审计目标在非现场审计系统中设定合理的监控指标,建立问题查找模型,然后对模型筛选出来的业务数据运用Excel、 Access 等应用软件进行连续、全面的分析,发现审计对象业务经营过程中存在的问题、疑点和异常,评估审计对象的风险状况,为现场审计提供数据资料和线索。非现场审计系统的运用,加大了审计覆盖面,使 1 0 0 抽样审计成为现实,减少了审计抽样风险;经非现场分析,为现场审计提供可靠、详实的依据,使现场审计针对性强,纠正违规、违法的效果明显,提高了现场审计的质量;依据非现场分析掌握的情况,能对现场审计的人员多少、时间长短进行科
16、学、合理地安排,提高了审计工作效率,降低了审计成本。对于国有商业银行内部的重要风险点,非现场审计也可以进行连续监控,发挥动态监控、预警作用。但需要强调的是,对有些问题,通过非现场审计并不能直接定性,还须结合现场审计,依靠审计人员的职业判断来完成。(二)现场审计管理信息系统的运用对于日常各个审计项目的信息管理工作,则是通过审计项目管理系统来完成,它能实现全行审计业务信息和管理信息的有效归集和利用。为分别适应审计项目实施和审计工作管理这两个方式、内容截然不同的任务,审计项目管理系统一般分为相对独立的前后台系统两部分,前后台的数据以专用数据文件形式进行导出导入。前台系统为单机版的应用程序,审计人员可在该系统中进行工作底稿、问题台账和审计报告初稿的编制,以及审计发现统计分析等工作。从数据流角度看,前台系统可以视为后台系统的审计项目数据采集器。后台系统则将诸如审计机构、被审单位、审计项目和审计发现问题等审计管理和业务信息进行全行集中存储,各审计机构用户可对存储的信息进行多角度的查询、分析和统计,为全面掌握各业务和机
