信息化环境下银行业内部审计面临的问题与对策
当前,我国信息化事业已发展到一个新的阶段,各行各业都在利用电子计算机不断进行信息化系统的整合与升级。银行业更是首当其首,而且是我国计算机应用较早,信息化水平较高的行业,所有业务均进行信息化、系统化计算机管理,平均每年相关业务系统、管理系统等达到2次以上升级,在这种情况下银行业内部审计向信息化审计发展已成必然。
一、信息化快速发展下银行业内部审计工作遇到的问题
1 、当代银行业无纸化数据和无纸化交易减少了数据的重复输入、重复处理,也使银行存取款、贷款、转账等各项业务处理程序化。业务发生后只要业务人员轻轻敲入代码,系统自动执行相应的功能,如款项自动记录到相应的账户上、自动冻结某结算账户等,业务依靠系统自动完成。反之,如果敲入代码错误,则无法执行。原有手工处理环境下的一些内部控制措施因失去了作用而被取消,相应的这些内部控制措施被程序化后通过软件程序的执行而发挥作用,可见银行业内部控制从原来过多依靠人转变为更多依靠系统自身的控制,包括了手工处理、计算机系统处理、人与计算机交互处理这几部分。
随之带来的各业务及管理系统内部控制状况、系统安全性、系统数据的可靠性、原有纸制账本的减少成为内部审计必须面对的问题之一。
2、行业内局域网络应用和全面信息化使得银行业已按照高效原则进行业务流程重构。业务数据、财务数据、业务处理、财务处理集成在一起,并在一定范围内共享。系统集成化使得业务处理与原来处理流程有很大变化,财务数据、业务数据、业务明细数据间关系变得模糊,复杂,再加上数据的覆盖和网络化,从报表、账簿结果追查到原始一笔业务变得比较困难。
随之带来的银行业内部管理审计和银行会计、财务、信贷等业务审计相互融合、各数据间关系复杂,即审计范围与审计难度的提高成为内部审计必须面对的问题之二。
3、我国四大国有银行即将全部成为股份制公司,信息化下银行业业务及管理数据较以前几百倍的增长,而且数据时刻在变化;网银、银行卡、代理基金、代理保险、外币理财等新业务,全部使用计算机系统操作业务,而且这些业务成为以后银行业务发展的主流。在这种情况下,原始单纯手工审计满足不了工作的量与质的要求,庞大的数据量及在线、实时信息披露的工作要求,迫使审计人员必须不断采用新的审计技术和手段,比如采用测试程序嵌入系统完成对计提应付息、利息计算等重要业务处理的审计;利用审计软件采集所需的如一般分户账、账余额表、大额贷款明细等审计样本并进行分析;采用审计软件动态跟踪如大客户存贷款、联行资金等重要数据的变化。
随之带来的如何掌握并运用新的审计技术和手段无疑成为内部审计人员工作中遇到的问题之三。
二、信息化快速发展下银行业内部审计工作应采取的措施
可以看出,银行业内部审计工作的现状急需改变,以适应银行业健康、快速、有序发展的需要,银行业审计界必须加强审计理论和实务的研究,加大审计软件的研制力度以及利用计算机进行审计工作的规范化研究,同时强化审计人员的信息技术的教育,从各个方面提高审计工作水平,促进行业内部审计向着信息化方向发展。针对上述现实工作中存在的问题,建议采取以下措施:
(一)培养信息环境下的审计人员
当前,各家银行均有科技部门,就是对行内计算机硬件、软件、系统运行等提供技术支持与保证。但审计部门的专业计算机人员很少,建议补充配备计算机专业人才,能掌握计算机知识及其应用技术,掌握数据处理和管理技术,掌握现代信息技术的应用,会操作审计软件,而且要能根据需要编写出各种测试审查程序模块;同时对专业计算机人员与其他审计人员进行交互培训,逐步使传统审计人员达到除了掌握传统审计的基本知识外,还应掌握计算机知识及其应用技术,掌握数据处理和管理技术,掌握现代信息技术的应用;而计算机专业者除了专业知识外,又能掌握行内业务及管理、审计等知识;总之,使所有审计人员逐步都成为适应并胜任信息环境下的审计人员。
(二)加强业务系统本身内部控制审计
当前,绝大多数单位在内部审计时是绕过信息系统的,银行业也是如此。但是,在信息化高速发展的情况下,如果专业高手通过在财务、信贷等系统中嵌入非法程序块转移了数据,而打印出虚假数据提供给审计人员,这种行为必然加大审计风险。内部审计人员要想了解系统提供的数据的可信赖程度,必须对系统本身进行审计,这是内部审计不可能回避的。
首先,内部审计人员要对本单位计算机信息系统、业务软件及其相关运行情况有所了解,包括:①系统的硬件信息和软件信息。比如信息系统的结构、所使用主机的型号、内存容量、输入及输出设备、通讯设备、辅助存储设备,所使用的操作系统、通信软件、数据库管理系统和应用系统等。②系统进行业务处理的具体情况。比如业务核算系统、信贷管理系统、财务系统等处理业务的过程、发生错误的多少等。③各系统间接口情况,如财务系统、信贷管理系统、外币业务系统等接口情况;
其次,加强银行业务系统内部控制中的一般控制审计。一般控制是对系统中组织、开发、操作、管理等系统运行环境所进行的控制,通常以制定规章制度、网络安全软件和程序控制形式体现,如系统平台结构的合理与规范,有多层防范黑客或病毒侵扰的措施,在数据的接收与发送上有措施防止非法窃取、篡改,有密码、密锁、签名认证技术确保数据安全,有备用系统保证原系统在硬件物理损坏的情况下正常运行,有备用能源保证在主动力系统异常状态下系统正常运行;
再次,加强银行业务系统内部控制中的应用控制审计。应用控制是对信息系统的某一具体处理过程施加的控制,主要以程序的形式体现。审计时,应该在对系统—般控制做出评价的基础上,通过读原程序、模拟数据上机测试、上机处理实际业务、采用审计软件等方式测试系统的安全性、控制程序的正确性和有效性。 如对会计信息系统程序的审计包括业务系统及接口程序的审计。会计业务系统审计主要是对会计信息处理的准确性、及时性、完整性和可靠性的确认,查看其是否具有容错能力、纠错能力及控制能力,处理过程及方法是否符合财务制度、会计准则与法规。接口程序的审计是基于在信息化环境,会计数据大部分将直接来源于其他信息系统,接口程序的正确与否将直接影响接受与传递到其他系统的数据的正确性。
(三)进一步加强银行各项业务内部审计
在高度信息化环境下,银行业审计范围与难度提高了,如组织管理审计、系统操作管理审计、系统数据管理审计、系统岗位责任审计、财务、信贷、电子银行等专项业务审计等不是截然分开,而是融合在一起。针对信息环境引发的银行业务变化,建议:
1、区别运用手工审计和计算机辅助审计。信息化系统下,内部审计人员可以对手工填制的原始单据、简单业务的处理、非程序控制制度和措施如存款挂失、内部主任职责履行情况等审计采用原来手工审计的有效方法,而对于某些特定业务的处理过程、重要数据、复杂的处理过程及程序化的控制措施则应该充分利用计算机辅助审计技术和工具进行审计。如银行机构设置较多,系统内往来对账审计是项十分重要的审计内容。以前全部是手工核对,定期进行,量大且易错,而使用计算机审计运行一个小程序,即可随时对行内所有往来账务进行一一核对,准确、高效。
2、关注银行业务管理系统与财务信贷系统的数据转换环节。集成化系统中,业务管理系统与财务信贷系统之间的数据传递可以实时进行,也可以分批完成,极易出现数据不一致,如果信贷系统和财务系统数据接口有问题,数据不衔接,会导致所有报表数字均为不真实,所以系统之间的数据转换应该是审计的重点之一。如果业务系统与财务系统之间的数据传递需要借助外存(如磁盘)或局域网上不同数据文件之间转换等方式来完成,对这样的系统一定要防止并及时发现转换过程中的错弊。
3、加强授权、信贷、账户发生额等重要业务动态在线审计。信息化系统中,银行业账务处理是实时进行的。尤其是网络化系统,在同一时间可能有多个用户执行同一项功能、调用同一个账户,而系统只记录下最终的结果。若审计时只对静态系统进行审查,不进行有关运行程序、数据文件的联机实时审计,有时就难以发现存在的问题。因此对于重要业务的处理、关键的处理程序,如业务人员的上机操作记录、授权交易、红字交易等应成为动态审计关注的重点。
当前,银行信贷业务全部上系统,单纯依靠系统时点数据不能保证业务规范,要加强动态在线审计,同时一定要适时实施现场审计;授权是银行业一项重要审计内容,单纯从纸质档案查看不一定能发现问题,因为纸质材料较容易补制,一定要对其管理系统在线审计,而系统一般本身都提供了一定的审计功能,一旦发现非法的或有超越网络授权的操作行为,就会记录入侵者的登录用户名、IP地址、登录日期、时间等信息,并寻找到非法用户曾经潜入系统内部的痕迹。利用大型数据库管理系统开发的应用软件也能对登录系统的用户及其使用系统的情况进行一定的监控,如哪些用户使用了系统、进行了哪些操作、操作的次数、登录及退出系统时间等。审计人员可以实时检查系统存放这些信息的审计踪迹表和系统日志文件,充分利用这些线索。同时,还可以利用专门软件进行重要数据的动态跟踪,比如利用Ex cel软件就可以实现一些简单的跟踪和分析。
4、加强行内科技等与信息系统有关的部门及人员的监督管理。与信息系统相关的部门包括信息系统管理部门、维护部门和使用部门。相关人员包括网络管理员、系统管理员、数据库管理员、软硬件维护人员、系统操作人员、档案保管人员及机房保安人员等,这些部门与人员与平常业务人员相比,不仅懂银行业务知识而且懂计算机知识,熟悉运行软件,对这些部门和人员进行安全意识教育及监督管理不可忽视,这对于降低审计风险是至关重要的。
(四)不断创新并有效应用审计技术
在信息化环境下,银行业内部审计技术较之传统的审计工作必须有其独到之处。
1、充分发挥信息技术在审计中的作用。 将审计底稿、审计证据、审计档案也全部电子化,审计工作将从定期的现场审计转向实时的“在线网络审计”;通过网络实时并连续地抽取证据,根据需要编写出各种测试审查程序,用于解释和预测多种审计现象,由计算机辅助审计转为信息系统审计与决策。运用现代信息技术与审计高度融合,提高审计的工作质量和效率,降低审计风险。
2、可逆法重点审计数据的真实。财务审计工作重点在于验证其真实可靠性,以及内部明细数据的安全性。企业报表的数据真实性是可追溯的,根据可逆规则编写出程序自动追溯数据真实性。如原始凭证与记账凭证不一致,表明记账凭证有被修改的风险,记账凭证与账表不一致时,账表有被修改的痕迹。
3、多位专家共同参与的审计。 审计工作所面临的信息系统非常复杂,要求审计人员必须掌握计算机、网络通讯、信息管理等多方面的专业技术,这对一个审计专家是非常困难的事。我们要充分利用各类专家的专业能力参与审计工作,以充分利用专家的工作结果进行审计判断。
4、多种审计方式综合运用。通常的审计方法有系统日志审计法、审计软件审计法、随机抽检法。系统操作日志审计法是指跟踪会计信息系统软件中的操作日志记录。日志真实记录了操作者代号、姓名、操作的日期、时间、处理数据动作等,是系统进行维护、审计工作的重要线索,对会计信息化软件中反复核、反登账、反结账的手段进行账户调整是十分有效的;审计软件审计法是与会计信息化相适应的审计方法,常用的方法有数据模拟检测法、整体检测法、平行模拟中嵌入审计程序法、程序追踪法等。随机抽检审计法是不定期地从网络中下载数据进行审计,克服定期检查及数据更改,确保数据的真实性。这些方法在内部审计工作综合运用,能增强审计人员业务灵活性与敏感性,提高审计效率。
(五)加强信息化环境下银行内部审计风险防范
信息化的环境下审计风险是指审计人员利用计算机、网络通讯技术对信息系统进行审计后发表不恰当的意见的可能性,主要包括以下几个方面:
一是不留痕迹的篡改数据。在网络环境中,对舞弊者或非恶意攻击者进行数据非法修改和删除,均可不留篡改痕迹,此时无法保证数据的完整性和真实性,给银行内部审计监督带来了风险。二是不确定性的信息损坏。有多种情况会造成信息丢失或损坏,其中包括运行期间的掉电、机器故障或磁介质物理损坏、病毒攻击破坏、黑客侵入和数据失窃、有目的的人为毁损、备份丢失等。三是不明确的职责分工。在会计信息环境下,利用网络的漏洞作有目的的数据修改、舞弊或窃取秘密信息,从中捞取利益。四是似有若无的防范措施。防火墙不能有效阻止病毒与黑客的入侵,系统的登录与访问密码失窃。
为了有效地降低信息化下银行内部审计风险,必须采取相应的防范和控制措施:
1、建立互动审计信息库。审计人员通过网络建立被审计单位的信息库,供审计时查阅和运用,这样可减少工作时间,提高工作效率。需提出的是信贷、会计等业务审计仍然离不开现场审计,查阅到疑点,一定要认真分析并实施现场审计。
2、利用原始数据再现处理结果,并与收集结果作对比分析。对有差异的数据进行详细审查,确定差异的数据产生的原因,通过网络进行预警提示,以降低审计风险。
3、加强对被审计单位系统的安全性和保密性的审计。可对业务及管理系统进行模拟攻击与模拟访问,以检测网络系统保护措施的有效性与安全级别,系统的可靠性和保密性始终是审计风险防范和控制的重点。如员工一定要凭密凭卡才能进入业务核算系统,超出授权范围的不能进入操作。
4、遵循不相容原则,加强被审单位职责分离审计。加强对系统数据输入、输出、系统维护及程序修改的管理等方面的审查,确认防范黑客侵入的能力及数据异常损坏后的修复能力,以评价软件系统安全性的等级,从而有效地控制审计风险。特别是财务系统、网银系统等系统中录入、复核一定要分离。
5、建立新的审计法律环境。由于法律在规范经济的运作、控制社会的不确定性上具有无可替代的功能优势,因此,银行行业内需要构建一套符合自身发展规律的审计法规与审计准则,以利于在国内尝试开展并普及银行业信息系统审计,为我国银行业信息化建设保驾护航。