（工商管理专业论文）商业银行内部审计电子化及其在国际业务审计中的应用.pdf

摘要 信息技术的应用和金融市场的激烈竞争，加快了银行业务电子化建设的步 伐，也给银行内部审计部门带来了新的挑战。如何积极应对，探索一条新时期内 部审计工作的新路子，确实是摆在所有商业银行审计部门面前的问题。 本文首先介绍了c 银行审计系统的发展过程和现状，通过分析c 银行内部 审计的实际案例，引出传统审计方式的缺陷与不足，说明内部审计电子化的必要 性。在分析了传统审计流程的基础上，提出审计流程改造的思路，寻求以计算机 网络为基础的审计取代传统审计；提出电子审计系统的一般构建方法，探讨电子 化审计系统实施过程中的问题及对策。在介绍了国际业务的发展趋势之后，提出 了建立预警机制、远程审计进而实现国际业务内部审计电子化的设想。最后，总 结了本文研究的成果与不足，进一步阐述了研究的现实意义。 本文在研究方式上采用规范研究方法，其主要贡献在于它的实践价值。作者 从c 银行内部审计的实际出发，结合在复旦大学学习的心得体会，提出了一些 切实可行的、在实际工作中具有应用价值的改进策略。在国际业务内部审计电子 化方面，作者探讨了建立国际业务预警机制和实施远程审计的构想，希望对商业 银行内部审计电子化工作有所借鉴与启发。 关键词：商业银行内部审计电子化国际业务 3 a b s t r a c t t h ea p p l i c a t i o no fi n f o r m a t i o nt e c h n o l o g ya n dt h ei n c r e a s i n g c o m p e t i t i o no ff i n a n c em a r k e t ，a c c e l e r a t et h ec o m p u t e r i z a t i o no f b a n k i n gb u s i n e s s ，w h i c h i sa g r e a tc h a l l e n g e f o rt h ea u d i t d e p a r t m e n t so fc o m m e r c i a lb a n k s a si n t e r n a ia u d i t o r s ，w ea l ih a v et o a n s w e rs u c haq u e s t i o n ：h o wc a nw ed e a la c t i v e l yw i t ht h i sp r o b l e m a n de x p l o r ean e ww a yo fi n t e r n a ia u d i ti nt h en e wp e r i o d ? a 代e rat h o r o u g h l ys t u d yo ft h ei a t e s tr e s u l t s o fi n t e r n a ia u d i t r e s e a r c hh o m ea n da b r o a d ，t h i sa r t i c l e f i r s t l yi n t r o d u c e st h ec u r r e n t s i t u a t i o no ft h ea u d i ts y s t e mo fcc o m m e r c i a lb a n k ，a n dd i s c u s s e s c a r e f u l l yt h em a i np r o b l e m sa n dw e a k n e s s e so fa u d i tp r o c e s s t h e t r a d i t i o n a ia u d i t p r o c e s sc a n n o t m e e tt h e r e q u i r e m e n to ft h e c o m p u t e r i z a t i o no fc o m m e r c i a ib a n k s b a s e do nt h ea n a l y s i so ft h e n e c e s s i t yo ft h ec o m p u t e r i z a t i o no fa u d i tp r o c e s s ，t h i sp a p e rp u t s f o r w a r da na p p r o a c ht or e a l i z et h ea u d i tc o m p u t e r i z a t i o na n dt o i n t e g r a t et h ea u d i tp r o c e s sa n da u d i to r g a n i z a t i o n a is t r u c t u r e a sa r e s u l t ，t h et r a d i t i o n a ia u d i tp r o c e s sw i l ib er e p l a c e db yo n eb a s e do n t h ei n t e r n e t a f t e re x p l a i n i n gt h en e wt r e n do fi n t e r n a t i o n a lb u s i n e s s o fcc o m m e r c i a i b a n k ，t h ep a p e rd i s c u s s e st h ef e a s i b i l i t yo f e s t a b l i s h m e n to fe a r l y w a r n i n gs y s t e ma n dr e m o t ea u d i ts y s t e m a t t h ee n do ft h ep a p e r , w es u mu pt h ec o n t r i b u t i o na n d d e f i c i e n c yo f o u r w o r k ，a n dc l a r i f yt h er e a l i s t i cs i g n i f i c a n c eo ft h er e s e a r c h t h i sa r t i c l ea d o p t ss t a n d a r d i z e d r e s e a r c hm e t h o d s i t sm a i n c o n t r i b u t i o ni i e si ni t sv a l u el np r a c t i c e s ：t h ea u t h o r , a ni n t e r n a ia u d i t w i t hs e v e r a iy e a r so fi n t e r n a ia u d i te x p e r i e n c ea n dam b af r o mf u d a n u n i v e r s i t y , b yp u t t i n gt h e o r i e si n t op r a c t i c e s ，i n t e n d st op u tf o r w a r d s o m ef e a s i b l ea p p r o a c h e sf o r i m p r o v i n gt h ec o m p u t e r i z a t i o no f i n t e r n a la u d i t t h ea p p r o a c ht oe s t a b l i s ht h ee a r l y - w a r n i n gs y s t e m a n dr e m o t ea u d i ts y s t e mi ni n t e r n a t i o n a ib u s i n e s sm a yb eu s e f u it o s o m e o n ef a c i n gt h es a m ed i f f i c u l t i e s t h ea u t h o rh o p e st h a tt h i s a r t i c l ew o u l db eo fag r e a th e l pa sak i n do fr e f e r e n c eo r 4 e n l i g h t e n m e n tt oi m p r o v et h ec o m p u t e r i z a t i o n o fi n t e r n a la u d i t s y s t e m k e y w o r d s ：c o m m e r c i a lb a n k i n t e r n a la u d i tc o m p u t e r i z a t i o n i n t e r n a t i o n a ib u s i n e s s 5 第一章绪论 1 1 商业银行内部审计理论的研究现状 审计理论的发展走过了萌芽阶段、探索阶段、形成阶段和发展创新阶段。莫 茨和夏拉夫的审计哲理、美国会计学会的基本审计概念说明与尚德儿的 审计理论一评价、调查和判断并称为审计理论发展史上的三座里程碑。在商 业银行内部审计方面，巴塞尔银行监管委员会的研究成果目前最受世人瞩目。 1 1 1 巴塞尔银行监管委员会对内部审计理论的研究 1 9 9 8 年9 月，巴塞尔银行监督委员会发布银行组织内部控制系统框架， 系统地提出了评价商业银行内部控制体系的指导原则，这是商业银行内部控制研 究历史性的突破。2 0 0 1 年8 月，巴塞尔银行监督委员会发布银行内部审计及监 管当局与审计师的关系，对内部审计在银行中的地位、权力、责任等方面进 行了明确界定。 1 、内部审计的定义：“内部审计是一项独立、客观的咨询活动，用于改善机 构的运作并增加其价值。通过引入一种系统的、有条理的方法去评价和改善风险 管理、控制和公司治理流程的有效性，内部审计可以帮助一个机构实现其目标。 2 、董事会和管理层与内部审计的关系： 原则1 、银行董事会对确保高级管理层建立和实施以下方面负有最终责任： 适当而有效的内部控制体系；评估银行各种业务风险的检测体系；风险与银行资 本的联系机制；监测合规性的恰当方法。董事会应至少每年对内控体系和资本评 估程序进行一次审查。 原则2 、银行的高级管理层应负责建立一套流程，用于识别、计量、监测、 控制银行承担的风险。高级管理层应至少每年向董事会报告一次内部控制体系和 资本评价程序的覆盖范围和运行情况。 原则3 、内部审计是持续监测银行内控体系及内部资本评估程序的一部分， 因为内部审计可以为银行制定的政策及流程是否适当和合规提供独立的评估。这 样，内部审计才能支持高级管理层和董事会高效地履行他们的上述职责，并取得 成效。 3 、内部审计的工作内容： 银行内部审计及监管当局与审计师的关系巴塞尔银行监督委员会，2 0 0 1 年8 月 6 检查和评价内控体系的适当性和有效性； 审查风险管理流程和风险评估方法的适用性和有效性； 审查管理和财务信息系统，包括电子信息系统和电子银行业务； 审查会计记录和财务报告的准确性和可靠性； 审查妥善保管资产的措施； 审查与预期风险相关的银行资本评估系统； 评价业务活动的经济性和效率； 测试各种交易及其内控程序的运行情况； 审查应合规要求和政策程序的执行要求而建立的各项制度； 监测向监管当局提交报告的可靠性和及时性； 执行特别调查。 原则9 、银行的所有业务和所有实体都应纳入内部审计的范围。 所有银行业务和实体( 包括分支机构和子公司以及外包的业务活动) 都应受 到内审部门的审查。只要与分派的任务有关，内审部门就应当有权获得银行的任 何记录、档案和数据，包括管理信息及咨询和决策主体的会议记要。 4 、对独立性和公正性的要求 原则5 、银行内部审计必须独立于被审计的活动，也必须独立于日常的内部 控制程序。这意味着内部审计应在银行内部具有恰当的地位，以便客观、公正地 执行任务。 内审部门必须能够对银行的所有部门、制度和职能自主地采取审计行为，必 须自由地报告发现的问题和做出的评价，并在内部进行披露。根据公司治理结构 的不同，独立性原则要求内审部门在银行首席执行官或董事会或其审计委员会 ( 如果有的话) 的直接控制下开展工作。 原则7 、内部审计应当具有客观性和公正性，这意味着它应当可以不带偏见 且不受干扰地执行任务。 客观性和公正性要求内审部门自身力求避免一切利益冲突。为达到这一目 的，内审部门的工作人员在可行的情况下应定期进行轮换。内聘审计师不应审计 其在最近1 2 个月内从事过的业务活动和工作过的部门。 公正性要求内审部门不介入银行的业务，也没有对内部控制方式的选择权和 实施权，否则它不得不承担责任，这会损害内审部门做出判断的独立性。 专业能力 5 、审计的工作方式和类型 内部审计有不同的类型，包括下列但不限于： 财务审计，其目的是评估会计体系、会计信息和形成财务报告的可靠性； 7 合规性审计，其目的是评估合规体系的质量和合理性； 操作审计，其目的是评估其他系统和程序的质量和合理性，以批判性的态 度分析组织结构，评价与任务相关的资源是否充分、方法是否恰当； 管理审计，其目的是评估管理层在实现银行目标过程中采用的风险控制手 段的质量。 1 1 2 国内商业银行内部审计方面的实务研究 对于商业银行内部审计制度，国内学者一般采用了比较研究的方法，对我国 银行内部审计制度变革与西方发达市场经济国家商业银行内审制度进行比较，进 而描述我国内部审计管理制度安排、具体实施措施。 耿建新、续芹、李跃然( 2 0 0 6 ) 对内审部门设立的动机及其效果进行研究， 认为单设内审部门对改善公司的治理效果具有一定的作用，但设立时公司主要还 是基于管理层面的考虑，并没有上升至公司治理的高度。李祥( 2 0 0 3 ) 从制度进 化角度研究了我国商业银行内部审计制度目前存在的问题：( 1 ) 审计管理体制落 后：审计机构设置分散、人员不足、水平低、不能发挥整体优势；我国商业银行 审计部门设置在各级分、支行( 被审计对象) 内，在人员编制上审计工作没有独 立性和权威性；审计部门实质在同级分行，审计工作不具有处罚权，造成审计报 告没有强制力和约束力。( 2 ) 审计工作流程不规范：目前，我国商业银行的内部 审计工作各自为政，操作上没有统一规范，没有完善规范的审计工作流程常常使 审计人员在审计工作中无所适从，严重影响审计工作效率与工作质量。( 3 ) 没有 建立规范的非现场审计体系、非现场监督预警系统：由于我国商业银行的非现场 审计手段比较落后，没有非现场分析系统，无法依据非现场审计情况进行现场审 计分析研究，削弱了风险控制能力。 王苏凌( 2 0 0 3 ) 认为我国银行审计制度实际上承担负责内部控制的综合管理、 对业务操作进行合规性检查、对银行高级经营管理人员的责任制进行审计三项职 能。商业银行的有效性运作依赖于内部控制的有效性，而内部控制的有效性依赖 于内部审计的有效性。银行内部审计制度是作为对该组织的活动进行审查和评价 的一种服务，目的在于协助该组织的管理成员有效地履行它们的职责。 李来儿和周宇( 2 0 0 4 ) 探讨了银行审计在银行股份制改革中的作用，认为内 部审计是确保国有商业银行股份制改革顺利进行的条件。对于股份制银行而言， 总分行母子关系结构和经营方式的多样性，需要内部审计参与，通过参与银行决 策过程、执行过程等来获取各类信息；管理体制和经营风险的多重性，需要明确 内部审计的地位的独立性，无论形式和实质都应该独立于公司经营管理层。股份 制银行的内部治理需要内部审计，而内部审计也需要在股份制银行的发展中得到 8 完善。 由于国有商业银行股份制改革是我国金融业的一次全新改革实践，中国银行 业监督管理委员会于2 0 0 4 年3 月1 1 日出台了关于中国银行、中国建设银行公司 治理改革与监管指引，为确保我国银行业改革试点成功提供制度支持，明确指 出国有商业银行股份制改革的总目标是：紧紧抓住改革管理体制、完善治理结构、 转换经营机制、改善经营绩效这几个中心环节，用3 年左右的时间将两家试点 银行改造成资本充足、内控严密、运营安全、服务和效益良好、具有国际竞争力 的现代化股份制商业银行。同时，指引要求试点银行根据现代公司治理结构 要求，按照“三会分设、三权分开、有效制约、协调发展 的原则设立股东大会、 董事会、监事会、高级管理层。按照公司法等法律法规的有关规定，建立规 范的股份制商业银行组织机构，以科学、高效的决策、执行和监督机制，确保各 方独立运作、有效制衡。在此基础上，以市场为导向，建立科学的决策体系、内 部控制机制和风险管理体制，包括信用风险、市场风险、操作风险等在内的风险 管理体系，有效地识别、计量、监测、控制风险。 1 2 商业银行内部审计电子化的研究现状 a l v i n a a r e n s 等在审计学一整合方法一书中，对信息技术对内部控 制、审计过程的影响进行了系统阐述。姜玉泉( 2 0 0 1 ) 详细分析了会计电算化对 审计内容、审计线索、审计技术方法和审计准则产生的重大影响。 计算机和网络技术的迅速发展和广泛应用，加速了银行审计的电子化和综合 化( 张一平，贾伊宾，2 0 0 0 ) ，不仅使审计摆脱以手工操作为主的局面，还能突 破时空的限制，实现全面审计与专项审计结合，以及现场审计与非现场审计结合 的综合稽核模式( 胡冰，2 0 0 4 ) 。根据现代银行票据业务的重要性及其衍生的风 险多样性，运用高科技技术实现银行票据审计流程电子化的重要性，逐渐在我国 银行电子化改革中被认识( 张丽莹，2 0 0 4 ) 。 刘正光和粟青( 1 9 9 7 ) 考察了世界银行的审计方式，认为世界银行主要采用 计算机审计和绕过计算机审计相结合的方式。对于困难的程序设计审计，首先强 调审计师明确其使用的语言，然后再审查程序设计是否正确，程序运行是否有效 及相关的控制措施。基于世界银行审计电子化的经验，他们认为我国商业银行计 算机审计应用存在许多问题，例如有的程序设计存在着不少缺陷，而且有些行处 利用审计人员不谙计算机技术，故意采取计算机帐和手工帐不符、随意调整计算 机帐等方法来逃避监督检查。因此，需要加强现有审计人员的计算机审计能力， 实践中将计算机应用审计和其他业务审计有效结合。 e l l i o t ( 1 9 9 2 ) 预言信息时代将极大地改变商务模式、组织结构和商业信息 9 需求。为了满足信息时代商业决策的需要，会计和审计必然也需要改变咆括 内部和外部报告。e l l i o t 相信广域网和关系数据库将成为会计和审计应对信息时 代转变的两个关键技术。 m a n s o n 等( 2 0 0 1 ) 等探讨了审计自动化对审计公司业务工作的影响。对五 大审计公司中的两家进行了实证研究，然后用g i d d c n s 的结构理论和分析框架 分析了结果，显示审计自动化不能简单地看作用来提高审计过程质量和效率的一 种结束，它还是市场竞争力的一种标志。另外，审计自动化为监督和控制提供了 很多机会，同时也促进更少的等级和更多的非正式组织结构。 银行网络审计是指在银行审计从手工走向电算化进而发展到网络化，其内涵 包括：( 1 ) 对作为会计信息系统组成部分的网络的审计；( 2 ) 利用网络技术对会 计信息系统进行审计两个方面。即被审计对象运用网络技术进行财务工作及经营 时，审计人员为实现审计目的，收集必要证据，对企业的网络信息系统合规性以 及利用计算机网络生成的财务信息进行审计( 陈婉玲，韦沛文，2 0 0 0 ) 。唐淑玲 和黄胜( 2 0 0 2 ) 认为银行进行网络审计具有一定的必要性：( 1 ) 审计中电子数据 大量取代书面证据。在电子商务环境中，客户定单、支票、发票电子货币或收付 款凭证，都以电磁信息的形式在网上传递并存储于磁介质中。而且计算机信息根 据确认的经济业务自动编制记账凭证、登记账簿、编制报表，实现核算自动化。 会计的确认、计量、报告都由计算机按程序指令执行，以磁介质的形式存在。( 2 ) 由于电子数据易于修改而不易于发现的特点，数据处理的内部控制及系统的可靠 性、安全性、效率性处于突出地位。而且，网络环境下虚拟数据的运行会改变客 户数据记录并给系统带来差错。 对于网上银行业务，除了需要防范互联网引起的技术风险，包括基于信息技 术导致的技术风险和基于虚拟金融服务形成的业务风险，相对于传统银行的风险 具有扩散速度快、风险监管难度高、交叉传染的可能性增加、金融危机的突发性 和破坏性加大等特点( 李成，袁溥) 。另外，由于网上银行系统处于渠道服务层， 业务处理是在核心系统中完成，而且所有交易都没有客户凭证，因此网上银行事 后稽核需要从两个方面来完成。首先，网上银行系统向核心系统下传交易的时候， 要采用编核压机制，以便核心系统在审计的时候能确认该交易确实是从网上银行 发出。其次，要对网上银行的流水进行检查，这种检查应该是基于计算机程序进 行的，可以有效发现潜在的问题，避免风险的发生( 周乐，2 0 0 3 ) 。美国对网络 银行风险的监管主要通过补充金融法律法规，使原有监管规则适应于网络电子环 境要求，确保资金安全的原则。美国银行机密法( b a n ks e c r e c y a c t ) 规定， 所有准备通过互联网为客户开立新账户的银行应当建立严格的开户标准，银行还 应建立监控系统来识别非正常活动，并在必要时填报“可疑活动报告 。 1 0 结合我国商业银行内部审计的现状，王兆峰认为有效控制员工、加强会计控 制和设立高效、有序的控制机制，以及进行风险预警控制能够改善我国商业银行 审计的现状和提高其管理水平。强化内部审计的独立性，采取国际先进审计方法 和标准制定科学合理的审计准则，审计手段由传统的手工操作向现代化、电子化 操作转变，发展网络和计算机业务监控系统，是主要的实现途径，从而形成统一 的审计网络体系，使银行审计全过程审计以及现场与非现场审计相结合转变，提 高预警控制系统的快速反映能力。 杨小虎和刘汝焯( 2 0 0 0 ) 等对数据仓库在审计方面的应用进行研究。他们认 为，面向数据的审计工作存在三个关键环节：审计数据的采集和获取、审计数据 在审计数据库中的组织和存储、实现审计业务功能的审计数据的访问和分析( 杨 小虎，刘汝焯，2 0 0 0 ) 。其中，审计数据的采集和获取可以使用e t l 工具，从 数据源中抽取数据，对其进行检验和整理，并根据数据仓库的设计要求，对数据 进行重新组织和加工，装载到数据仓库的目标数据库中，并且周期性地刷新数据 仓库以反映数据源的变化，并将数据仓库中的数据转储；审计数据存放于目标数 据库中，可以是关系型数据库( r d b m s ) 或多维数据库( m d b m s ) ，其内部存 放了数据建模的数据和元数据( m e t ad a t a ) ，突出特点是对大量数据的快速检索 技术。 胡冰( 2 0 0 4 ) 提出审计数据模型的设计步骤是：( 1 ) 抽象出业务必须的实体 及其关联关系，划分主题域，识别事实表；( 2 ) 选择粒度；( 3 ) 具体分析每一个 实体，选择属性，识别维表；( 4 ) 确定慢速变化维规则。 李小庆( 2 0 0 1 ) 认为银行数据仓库系统设计应采取与传统的系统生命周期法 相反的方法：数据驱动法( c l d s ) 。c l d s 从已有的数据开始，对数据进行有 效集成，生成各个主题域，然后根据各个主题域来建立数据仓库。用户根据决策 分析结果，将需求反馈给开发人员。 杨俊生( 2 0 0 4 ) 认为在银行数据仓库系统的逻辑数据模型设计中，应坚持“业 务驱动和数据驱动相结合 的方法。在数据仓库的逻辑数据模型设计中，可以使 用第三范式、星型模式或雪花模式。在商业银行中，数据仓库采用哪一种模型设 计模式设计逻辑数据模型，取决于多种因素，如数据粒度与层次、数据分割策略、 可扩展能力、数据仓库系统性能、投资成本、数据挖掘和知识探索能力等等。张 青和何艳丽( 2 0 0 2 ) 提出开发数据仓库的流程为：( 1 ) 启动工程，建立开发数据 仓库工程的目标及制定工程计划；( 2 ) 建立技术环境：( 3 ) 确定主题进行仓库结 构设计；( 4 ) 数据仓库的物理设计；( 5 ) 数据抽取、精炼和分布；( 6 ) 对数据仓 库的联机分析处理；( 7 ) 数据仓库的管理。 但是，在实施数据仓库时，还需要注意以下问题( 蒋瑶，2 0 0 4 ) ：( 1 ) 必须 有企业决策层的参与；( 2 ) 在了解数据仓库应用需求时，主要的对象应该是企业 的决策部门和管理部门，而不是信息系统部门；( 3 ) 在对待原始数据的问题上， 应该坚持不拘泥于业务现状的原则，数据仓库的实施应以管理层需要的分析决策 为主线，在设计中可以为不确定数据预留空间；( 4 ) 在系统实施过程中，建议成 立专l - j d 组负责数据抽取的工作；( 5 ) 系统的实施需要明确的计划和时间表，新 的技术和产品可以分阶段加入，但要避免无休止的测试和选型。 1 3 研究的目的和意义 2 0 世纪9 0 年代后，信息技术在金融领域的应用蓬勃发展，这对商业银行的 经营和管理产生了深远的影响。在国际业务方面，业务创新带来产品的多样化和 个性化，流程改造给传统的国际业务带来活力和效率。我们为此欣喜的同时，也 应该清醒地看到信息技术给商业银行带来的风险。 在银行业务电子化环境下，银行体系的稳定性下降，明显的标志就是银行机 构破产数量上涨和不良资产数量迅速增加。当代银行创新最为活跃的美国，银行 破产数量也居西方国家之首。 银行业务电子化为传统银行业带来了更高的效率，也给银行业带来了许多新 问题，审计风险的增大首当其冲。在银行经营电子化环境下，内部审计工作面临 的审计任务、审计环境、审计线索、审计范围、审计对象等诸多方面都有所改变： 1 、审计监管环境电子化。伴随电子商务的发展和信息技术的广泛应用，在 传统银行机构的经营中，财务收支无纸化、处理过程抽象化、机构网点虚拟化、 业务内容大幅度增加。现有监管方式在效率、质量、辐射等方面都不能满足要求， 监管信息的真实性、全面性及权威性面临严峻挑战。 2 、审计线索模糊化。对银行传统经营活动的审计，法律上最有效的证据是 记录业务发生的原件，即凭证、账册和报表，并以此作为审计依据。在手工会计 环境下，企业从原始凭证到报表每一步都有文字记录，都有经手人签字，整套账 务系统都保存在纸介质中，以便审阅，这些纸质原件的数据若被修改很容易辨别 出修改的线索和痕迹。对于传统银行业务而言，每笔交易都在账册凭证形成一个 完整的轨迹，交易的每一个环节都有文字记录。对于网络银行，这些特征还存在 吗? 3 、审计范围扩大化。审计范围是指针对特定审计对象所开展的审计活动在 空间上所达到的广度。电子环境下，审计对象不仅包括传统审计内容，还需要对 系统开发以及控制、运行环境进行审查。电子化经营的特点和固有的风险决定了 审计内容的扩大。此外，网络银行跨越了地理界限，银行无需在其他国家建立实 体分支机构，就可以对顾客提供服务。实际上，如果银行在网上提供产品和服务， 1 2 就无法限制其所达到的地理范围。 与银行业务电子化的进程相比，审计工作明显滞后于业务发展，特别是审计 手段的落后表现更为突出。因此，研究银行内部审计电子化，对于加强商业银行 内部控制、防范和化解风险、促进我国银行业健康快速发展，无疑具有深远而重 大的意义。 1 4 本文的结构和主要内容 第一章，分别介绍商业银行内部审计理论的研究现状、银行审计电子化方面 的研究现状，说明本文的研究意义。 第二章，首先介绍c 银行内部审计的现状。从河南分行常规审计案例引出审 计手段落后的缺陷分析，进而提出传统审计方式难以适应银行业务电子化的要 求。 第三章，阐述c 银行内部审计电子化改革的主要内容。在审计业务流程改造 方面，并行审计流程和基于网络平台的审计流程将成为c 银行内部审计采用的主 要流程。在审计信息系统电子化方面，主要从审计信息系统的设计目标、内容和 一般结构三层次进行了逐步阐述。作为审计信息系统的组成部分，本文提出了审 计业务子系统设计原理的构想。最后，论述了内部审计电子化对银行审计体制和 审计业务本身带来的影响。 1 3 第四章，简单介绍c 银行国际业务审计的主要手段和局限性，说明了国际业 务流程改造对审计的影响，重点阐述国际业务内部审计系统的设计思路、基本条 件和应注意的问题。国际业务流程改造后单据处理从经办行分离出来，这为预警 系统的构建创造了条件；审计人员需要的资料几乎全部可以从数据库中调出，这 为远程审计的构建创造了条件。在此基础上，分析预警系统和远程审计实现的可 行性，探讨了国际业务审计电子化的应用前景。 第五章，总结本文的结论 1 4 第二章c 商业银行内部审计的现状和面临的问题 2 1c 银行审计工作的发展过程 随着金融体制改革的不断深化，c 银行审计工作的发展历程大致可分为三个 阶段： 第一阶段( 8 0 年代中期以前) ，业务处理手工操作。当时，c 银行刚从中国 人民银行分离出来，没有形成系统的业务审计操作制度，审计手段完全依赖手工 操作，满足于账平表对、钱账相符。 第二阶段( 8 0 年代中后期) ，业务处理单机操作。专业审计操作制度逐步建 立。借助计算机在银行业务中的应用，c 银行开发了事后监督系统，采取现场采 集数据、模拟记账、比较验算结果的做法，开始建立集中式的事后监督中心。 第三阶段( 9 0 年代末至今) ，业务处理联网操作。银行业务出现数据集中、 终端分散、通存通兑等发展形态。借助网络通讯的迅猛发展，a t m 、c d m 、p o s 、 电话银行、网络银行、自助终端等各种金融产品广泛应用。经营业务逐渐打破时 间和地点的限制，内部控制的主要对象由单一的柜台业务扩展到开放式终端。审 计管理制度和操作技术日臻完善，强调实时监控、审计分析和风险预警，各种电 子化审计系统成为必不可少的审计工具。各阶段主要特征如表2 - 1 所示。 表2 - 1 审计工作的发展过程 阶段业务特征工作原理审计重点主要审计方式 第一阶段手工记账简单验算帐平表对调档审计 账款相符 第二阶段单机记账采集数据模拟账务处理规范集中式非现场 电脑记账记账比较结果性的事后监督审计 第三阶段联网记账联网实时监控事前控制非现场审计与 通存通兑审计分析预警实时综合监督 现场审计结合 实时支付 1 5 2 2c 银行审计系统的组织结构 2 0 0 0 年之前，c 银行实行层级审计体制。总行设立稽核部，主管全行审计 工作；省分行设立稽核处，地市分行设立稽核科，县( 市、区) 支行也相应设立 稽核机构，各自负责辖内的审计工作。这种审计组织结构可用图2 - 1 表示如下。 臣囹臣圃臣圃 图2 - 12 0 0 0 年前c 银行实行的审计体制结构 在商业银行经营业务电子化浪潮之前，由于数据分散且传输困难，审计工作 只能与银行的业务体制相适应，采用就近审计的方式，形成这种层级式审计体制， 以节省银行经营成本。 2 0 0 0 年后，c 银行提出了完善公司治理、尽快整体上市的工作目标。为强 化内部管理和约束、提高内部控制的专业水平，针对以前体制存在的弊端，c 银 行开始大力改革审计体制，增强审计的独立性、专业性、权威性和有效性，增加 审计检查的频度、力度和强度。为此，c 银行决定采用垂直管理的审计体制，整 合稽核部和监察部，成立监察稽核部，审计结构也相应改变。 在c 银行新的监察稽核体制中，总行设立监察审计部，主管全行监察稽核 工作；一级分行设立监察稽核处，负责辖内的监察审计工作。在业务审计方面， 稽核处一般配备财会业务、公司业务、零售业务、国际业务、资金业务、信息技 术等专业技术人员，各自负责主管业务的专项审计工作。目前，c 银行审计系统 组织结构可以用图2 2 所示如下。 1 6 1r i 监鬻外 1p i 监鬻内i 图2 - 2c 银行目前采用的审计体制结构 新的监察稽核体制突出对全行经营活动、内控建设、各级管理人员履行职责 和职业操守情况的综合监督与评价，致力于加强和改善党风廉政建设，促进内部 控制水平的提高，改善内控文化，推动良好公司治理机制建设。整合后的中国监 察稽核体制确实具有较大优势：一是形成监督稽查与尽职问责相结合的监督防范 体系，二是赋予监察稽核机构检查权和处罚建议权，及时对违规机构和人员提出 处罚建议，三是适度集中监察稽核资源，有利于提高监督效率，四是有利于建设 更加专业的监督队伍，五是有利于稽查职能逐步向国际内部审计标准接轨。 在国内审计系统管理上，现有审计体制仍然难以根除旧体制的某些弊病。 一是审计机构按下审一级的原则设定，稽核部负责实施对总行各部门、一级 分行、海外机构的监督稽查，省分行稽核处负责对辖内各机构的检查任务。总行 稽核部审计资源有限，对总行、省行本部的检查次数和检查深度差强人意，“灯 下黑”的现象难以避免。 二是具有双重领导的特点：一级分行成立的稽核处要向本级党委报告，业务 受总行监察稽核部的垂直领导；稽核处主要负责人的任免和调动，要由本级分行 党委和总行稽核部共同研究决定。这种双重领导体制对审计独立性的影响短时间 内难以消除。 2 3c 银行对河南分行常规审计的具体案例 下面简述c 银行总行对河南分行常规审计的实际操作程序，以此分析实际审 1 7 计工作与现代内控理论要求的差距。 c 银行总行以审计三处为主、抽调山东、河北审计人员共3 2 人，组成财会 业务、信贷业务、零售业务、国际业务四个检查小组，对河南省分行本部进行常 规审计。 检查组总人数：3 2 人 检查天数：2 9 天 检查业务范围：财会业务、信贷业务、零售业务、国际业务 主要审计手段：手工查帐为主，事前也没有进行非现场审计。 审计的主要内容：业务操作程序、财务状况、内部和外部审计情况等。 审计工作流程： 现场审计的程序主要包括审计准备、审计实施、审计报告、审计处理和审计 档案整理五个阶段，如图2 3 所示： 1 、准备阶段。委派行选定审计人员，组建审计组，分配审计任务；审计组 发出“审计前问卷 开始收集审计依据；在收到被审计单位报送的“审计前问卷 反馈材料后，审计组对反馈材料的报送质量进行审核和评价；分析反馈材料，查 阅审计、审计、内审档案，了解被审计单位的近期概况，明确审计的重点，制定 审计的方案；向被审计单位发送审计通知书。 2 、实施阶段。审计组在审计通知书指定的日期进入被审计单位，与被审计 单位法定代表人或主要负责人举行进点会谈，进一步掌握被审计单位的整体运作 情况、存在的主要问题和风险；调阅原始凭证、会计帐薄、管理报表等有关资料， 根据审计方案和检查需要逐次调阅，审计组应对被审计单位帐表数据的真实性、 完整性和合法性进行现场审查；各小组按照分工，完成各自负责部分的内部控制 问卷测试；审计组根据被审计单位的规模、业务范围和业务的复杂程度，选择相 应的检查程序，对有关业务资料进行检查；审计人员实施审计时，应当对审计工 作进行记录，编制“银行现场审计工作底稿”；审计组在审计方案规定的时间退 出被审计单位。 3 、审计报告阶段。各工作小组将审计实施阶段查实的各种问题和事实分类 整理，初步认定问题的性质，形成各检查项目的分项目小组；主审计人对各小组 提交的问题分析和认定材料进行讨论，进行综合分析、判断，形成“审计事实和 评价，之后审计组应当与被审计单位进行总结会谈；会谈结束或被审计单位对 “审计事实与评价 反馈书面意见后，审计组应当向派出行领导提交审计报告。 4 、审计处理阶段。派出行出具审计监督意见书和审计监督决定，被审计单 位应当在收到审计监督意见书4 0 个工作日内将执行审计监督意见书的情况书面 报告审计行；派出行行长或主管审计工作的行领导签发审计监督决定，该决定的 1 8 内容包括违法违规事实、对违法违规事实的判断和评价、进行处罚的法律依据、 行政处罚和行政强制措施、责令被审计单位立即或限期纠正违法违规行为。 5 、档案处理阶段。凡记录审计过程、反映审计结果、证实审计结论的文件、 数据资料及工作底稿都应由审计组立卷归档；归档的案卷应该编写案卷目录、制 作卷皮并立档。 稽 核 小 组 组 发 进 调 审 内 执 总 形 稽 档 建稽核组 出调查问卷和稽核通知 。 反馈 1 点会谈 会谈被 阅资料 稽 查资料 核 机 控测试 构 行检查程序 结会谈异议和说明 成报告 核处理意见和决定 案整理 r 图2 - 3c 银行现场审计流程 2 4 案例分析与传统审计方式面临的问题 从2 3 节中介绍的对河南分行常规审计案例可以看出，c 银行现阶段的审计 手段还停留在传统的审计方式，即以手工为主，定期或不定期的到审计现场，通 过翻阅帐表、凭证及有关资料，进行查对核实，从而发现问题，纠错防弊。这种 传统的审计方式已经不能适应当前商业银行各项业务电子化进程。目前，各商业 银行大部分业务均已实现或正推行电子化，但内部审计却仍停留在手工查帐的阶 段。 受手工处理效率的制约，传统的审计方式一次只能针对某项业务或某个专题 进行审计。如果审计部门想加强对各项业务的“点 的监督，只能通过增加审计 频率，而无法做到在一个时点上，对各项业务的全面监督。在手工作业的条件下， 现场审计既费时费力、浪费宝贵的审计资源，也给被查行的接待工作带来许多不 必要的麻烦，不符合集约化监督管理的要求。 1 9 其实，对河南分行的常规审计方式是c 银行的通常做法。银行业务电子化没 有普及之前，审计部门难以集中数据进行非现场审计，大量采用现场审计是打破 信息不对称局面、获取第一手资料的必要手段。在银行业务电子化广泛普及的今 天，这种审计方式面临的问题越来越多，也越来越难以适应商业银行现代化的要 求。 2 4 1 传统审计方式与现代内部控制理论的要求不相适应 巴塞尔银行监管委员会1 9 9 8 年发表的“银行内部控制框架 提出，控制活动 应该是银行日常工作中不可分割的一部分，内控应该渗透在各业务过程和各个操 作环节中，覆盖所有部门、人员、岗位，体现全过程、全方位、全员风险观念。 ( 杨海泳论内部控制) 在2 0 0 4 年巴塞尔银行监管委员会发布的“内审、监管当局 与审计师的关系 中，明确提出内审部门的主要作用在于对内部控制系统的评价、 找出内控体系中存在的薄弱环节并提出改进意见。 显然，传统的内部审计业务难以担负起这一新的使命，这主要体现在以下几 个方面： ( 1 ) 传统审计方式仍是以业务流程为主要内容的平面控制模式，过于聚焦 于具体环节上的纠错防弊，而现代内控理论更强调从内控五要素的角度评价内控 系统的有效性。 ( 2 ) 传统审计方式与内控的动态、连续性不相适应。银行业务的发展是动 态的、连续的，内控监督也应该是动态、连续的。但传统的审计方式主要通过手 工处理，难以实现事前、事中检测，不可能做到连续动态监控业务活动。即使加 大审计频率，也只是时点数的增多，做不到对各项业务动态连续的监督。 ( 3 ) 传统审计方式与审计监督的及时性不相适应。目前的传统审计方式一 般都是跨年度的，至少也在一个季度或一个月以后。虽然查出了问题，但时间上 的滞后性造成事过境迁、难以挽回损失，这极大削弱了审计工作的风险防范功能。 实际上，现在的审计部门仍然扮演着事后监督的角色，难以满足“全过程控制 的内部审计要求。 ( 4 ) 传统审计方式对银行的信息管理系统、业务操作系统的检查不足，不 能体现“全方位控制 的现代内控精神。在c 银行，员工利用信息管理系统的漏 洞、贪污挪用银行资金的案例很多，但审计部门很少对信息管理系统的审计进行 审计。笔者在c 银行审计系统工作近五年，从未见过该银行开展对信息系统的专 项审计。 依赖于手工查帐的传统审计业务必然效率相对低下。如果单纯依靠现场审计 达到“全过程、全方位 监控的目的，商业银行需要耗费的人力、物力资源可想 而知。 2 4 2 传统审计方式难以满足银行业务电子化的要求 金融理论的发展、信息技术的发展导致了银行业务电子化的蓬勃发展。新技 术的应用为产品创新提供了条件，电子银行、手机银行等新业务层出不穷：基于 信息技术的业务流程改造方兴未艾，许多传统业务因此重新焕发了青春；信息技 术的引入，为银行扁平化管理提供了条件，这给银行的运营管理带来了革命性的 变革。银行业务电子化的益处不言而喻，但它也给银行内部审计工作带来了新的 挑战。 ( 1 ) 审计环境电子化。伴随电子商务的发展和信息技术的广泛应用，在传 统银行机构的经营中，财务收支无纸化、处理过程抽象化、机构网点虚拟化、业 务内容大幅度增加，现有监管方式在效率、质量、辐射等方面都不能满足要求， 监管信息的真实性、全面性及权威性面临严峻挑战。 ( 2 ) 审计线索模糊化。对银行传统经营活动的审计，法律上最有效的证据 是记录业务发生的原件，即凭证、账册和报表，并以此作为审计依据。在手工会 计环境下，企业从原始凭证到报表每一步都有文字记录，都有经手人签字，整套 账务系统都保存在纸介质中，以便审阅，这些纸质原件的数据若被修改很容易辨 别出修改的线索和痕迹。但在现代银行中，传统的单据、纸质记录正被磁盘、磁 带、光盘等电子数据取而代之，完全丧失了传统的审计轨迹。这些线索容易被无 痕删改，这增加了审计调查取证的难度，而且也给审计人员造成了心理上压力。 ( 3 ) 审计范围空间扩大化。审计范围是指针对特定审计对象所开展的审计 活动在空间上所达到的广度。电子环境下，除了对传统审计内容进行审计外，还 需要对系统开发以及控制、运行环境进行审查。电子化经营系统特点及其固有的 风险决定了审计内容必须包括对网络信息系统处理和控制功能的审查，以证实其 业务处理是否真实、合法及安全可靠。此外，网络银行等业务跨越了地域限制， 这也为审计取证增加了难度。 ( 4 ) 审计人员素质的不匹配。银行传统审计一般进行账账核对、账证核对、 帐表核对等重要的审计实践活动，通常由具有丰富财会知识和经验的审计人员完 成。银行业务的电子化，带来了审计线索、审计内容、审计程序等方面的改变， 这要求审计人员不仅具有丰富的财会知识，还要计算机操作和软件系统方面的相 关知识。显然，从这个角度来看，适应传统银行业务的审计人员未必能够满足银 行业务电子化的要求。 2 1 2 4 3 传统审计方式难以满足控制审计成本的要求 传统审计方式的审计手段主要是手工查帐，这必然造成效率低下、审计资源 浪费现象严重。随着商业银行经营规模的不断扩大，执行现场审计的人力、物