提高内部审计在电子银行风险防控中作用的探讨.doc

提高内部审计在电子银行风险防控中作用的探讨工行浙江省分行内控合规部 郭益雷电子银行业务是指银行通过网络和电子终端为客户提供自助金融服务的离柜业务，它包括网上银行、电话银行、手机银行、多媒体自助服务终端等多个品种。由于电子银行业务操作简便，速度快捷，全天候，且节省资源，所以同时受到了银行和客户的青睐，各银行每年通过电子银行完成的业务量占总业务量比重也由2000年以前的不到5%发展到目前25%的平均水平。迅速发展的电子银行业务在给银行带来巨大机遇的同时，也带来了一系列新的风险。近年来，与电子银行业务相关的案件、客户纠纷呈持续上升趋势，对银行声誉和资金安产生了不良影响。作为银行内审部门，如何在电子银行业务方面发挥更大作用，帮助组织更有效控制各项风险，己成为我们必须面对的问题。一、电子银行业务的主要风险电子银行业务面临的主要风险按照产生原因不同可分为四类：1、系统风险。电子银行业务是建立在计算机网络、通讯等高科技基础上的新兴业务，与系统对外物理隔绝的银行传统业务不同，其对外由客户自助办理的相对开放模式使其一旦在硬件、软件上存在问题，更易引发故障或受到恶意入侵，这就是电子银行业务的系统风险。系统风险又分为三类。一是电子银行业务系统在设计上有缺陷而产生的风险。二是由于系统或设备存在技术漏洞而产生的风险。三是由于不可抗力的突发性事件导致的系统崩溃风险。2、客户操作风险。电子银行业务系统虽然操作简便快捷，但还是需要客户具有一定的知识和安全意识，按照银行规定步骤操作，不然就有可能引发风险。客户的操作风险可以分为客户因自身原因的误操作风险和客户因恶意欺诈而误操作的风险。前者是客户在电子银行自助操作中，因自身理解或操作上的错误，导致资金发生损失。如利用网上银行对外转账时，转账对象或转账金额输错。后者是客户在使用电子银行业务中遇到犯罪分子的恶意欺诈、干扰或陷井而受到损失。如犯罪分子通过设立虚假网站，散布木马程序等手段窃取客户资料和网银证书。3、内部控制风险。电子银行业务是一项发展迅速的新兴业务，银行相关的内控管理难免存在着一定的滞后性，而且因为管理水平的差异，己制定的控制措施在执行过程中也可能由于人为因素而打折扣。银行内控管理上的不完善，极易产生内部控制风险。主要有两种，一是犯罪分子利用电子银行业务管理上的漏洞进行舞弊。二是银行员工未按规定正确办理电子银行业务，给客户造成经济损失。如企业网银客户证书申领时，银行方未仔细核对对方印鉴，造成客户证书被冒领，客户资金被盗用等。4、法律风险。电子银行的法律风险主要分为两大类。一是由银行与客户纠纷引发的法律风险。二是由于电子银行业务中的部分交易违反相关监管法规而引发的法律风险。如由于电子银行业务大都是客户自助交易，存在着大量的大额交易和公转私交易，银行如何根据2007年1月1日起实施的反洗钱法对其中的可疑交易进行监控，及时上报数据，是当前管理中的一个薄弱环节。如果银行仍然象以前那样不作为，就可能违反反洗钱法中银行监控责任的相关条款，受到监管部门处罚。二、目前内部审计在电子银行业务风险防控中的局限性及原因分析我国各银行内审部门大都在2003年左右才开始将电子银行业务纳入审计范围。经过这几年来的努力，各银行电子银行业务在合规性方面有了明显的改观。如2003年工行浙江省分行第一次开展电子银行专项审计时，有90%左右的经办网点均存在关键岗位未实行分离、未经客户授权就开通网上银行对外转账功能、客户证书与密码由单人保管等违规操作问题。但到了2007年电子银行专项审计时，就只有5%左右的网点还存在以上一些问题。由于对电子银行的审计起步较晚，当前内部审计在电子银行业务的风险防控上还存在着局限性。首先是内部审计所涉及的电子银行业务风险集中在内部控制风险方面，所有检查的目的都是为了确保电子银行的制度和风险防范措施得到执行，减少内部工作人员舞弊的可能性。而对于电子银行业务的系统风险、客户操作风险、法律风险则几乎没有涉及。其次是内部审计在审计方法、方式上仍然局限于传统的人工审计手段，不能较好地适应信息化的电子银行业务。例如工行浙江省分行营业部企业网银2007年5月一个月的交易量就达到了63万笔。如果要对该行网银交易中的反洗钱制度执行情况进行审计，依靠传统的人工审计手段显然如大海捞针。内部审计在电子银行业务风险防范中的这些局限性，主要是由以下原因造成：一是对电子银行业务的风险认识不够全面。许多内审人员对电子银行业务的风险认识仅停留在防止银行内部人员舞弊方面。对制度中未涉及的系统风险、客户操作风险、法律风险则比较陌生或忽视。尤其对于客户操作风险，普遍认为电子银行业务为客户自助操作，客户操作风险应由客户自行承担，和银行并无关系。其实这种认识是片面的，客户操作风险固然有客户自身的责任，但如果银行未以谨慎尽责的态度，提示、协助客户进行防范，也会存在赔偿客户损失的风险。从国内几起与客户操作风险相关的诉讼案判决结果来看，尽管目前都因为客户无法举证银行过失而败诉，但银行信誉却受到了影响，信誉是银行的生命，从某种意义而言银行己经受到了损失。而作为一家对客户负责任的商业银行，更不应将客户操作风险置之度外，如2007年8月荷兰银行发言人针对前段时间网络犯罪分子使用电脑病毒通过“视窗”操作系统的缺陷进入其部分客户的电脑系统，然后欺骗客户和银行系统进行错误操作，盗走客户资金的事件表态说，这些客户的损失将得到银行的补偿。显然该银行对待客户操作风险的负责态度将使其在市场中更具竞争力。由此可见，任何一种电子银行业务的风险我们都不能忽视，对风险的片面认识必然导致实际审计工作的缺失。二是电子银行业务系统缺少相关的数据归集和查询分析等功能，给审计工作带来不便。由于电子银行业务系统的设计与投产要先于内审部门将其纳入审计范围，再加上各银行的内审部门缺乏可参与系统设计、测试的人员。所以目前运行的电子银行系统并未将审计部门的需求考虑在内。而内审人员也不清楚电子银行业务数据库的具体结构，无法将相关数据批量导出进行计算机处理。导致目前内审人员审计电子银行业务系统中的相关资料，大都依靠管理部门或前台的柜员进入系统，按照业务流水逐笔调阅，但面对一个月数十万笔的业务量，数以万计的客户资料，显然力不从心。三是从事电子银行业务审计的专家型人材不足。目前各银行从事电子银行业务审计的人员大都是通过到电子银行专业部门短期实习，从而掌握、熟悉电子银行业务的基本风险环节和风险控制措施。既使是一些从电子银行部门充实到内部审计部门的人员，也只是对电子银行的前台业务或后台管理情况有所了解。内审部门缺少那些熟悉电子银行整个业务流程，了解电子银行业务系统结构和程序控制，又掌握信息系统审计技术的专家型人材。因此无法对电子银行的系统风险展开审计。三、提高内部审计在电子银行业务风险防控中作用的措施内部审计在电子银行业务风险防控中的局限性，使得电子银行业务中潜在的一些系统风险、客户操作风险、法律风险不能被及时揭示出来。一旦这些潜在风险演化成现实问题，就会严重影响银行的业务发展乃至声誉。如：2006年一些因网银资金被盗而质疑某银行网银系统安全性、认为该行处理不当的客户在网上成立了维权联盟，建立了专门的网站，联名对银行提起诉讼，对该行声誉造成了严重影响，一定程度上影响了该行网上银行业务的发展。而这一事件围绕的焦点就是网银业务的系统风险与客户操作风险。所以，作为银行的内审部门，我们要尽快转变观念，采取措施，加强对电子银行业务的审计力度，有效防控业务中的风险。（一）扩大审计范围，针对电子银行业务的各种风险，开展专项审计。1、针对电子银行业务的系统风险开展专项审计，可以从以下几方面着手。一是运用信息系统的审计方法和流程对电子银行业务系统的用户管理、网络安全管理、开放平台系统管理、数据管理、变更管理、事件管理、操作管理、应急管理、验收及适应性测试情况进行审计。二是了解专业部门有无建立规范的系统故障登记、报告制度，检查制度是否得到有效执行。三是从专业部门调阅网上银行系统的故障记录，或通过现场、电话及网银系统的形式向客户发放故障调查问卷，收集网银故障信息。对故障种类、时间长短、原因、发生频率进行计算、分析、归纳，揭示其中的系统风险。如工行一次对电子银行的审计中，发现有许多客户反映某一时间段个人网银系统登陆存在出错信息。根据对故障时间段的分析和向专业部门了解，当时正值工行正式在个人网银中开通新发行基金的申购业务，又是股市升温，大量客户利用网银进行银证转账，网上银行业务量倍增，系统来不及处理业务数据，导致故障发生。内审部门在审计报告中指出了这一系统风险，建议专业部门应根据业务发展及时对系统硬件进行升级。四是调阅专业部门面对突发性事件的应急方案，检查方案的可行性和数据备份的有效性，实际测试应急方案的执行状况。五是在审计中关注电子银行系统版本升级或设备更新后是否出现异常或不兼容状况。如2006年8月某银行个人网银系统增设电子商务功能后，审计人员在一次合违性审计项目中就意外发现，当客户在前台只开通电话银行时，网上银行中的电子商务选择功能会在机打信息中默认显示为开通。虽然该功能实际不能使用，但由于机打信息是客户与银行协议的一部分，一旦就此产生纠纷，银行将处于不利地位。该问题显然是由于系统升级后的程序设置问题。六是关注网银系统和设备与客户计算机环境的适应性。如微软vista 操作系统上市后，部分银行未能及时对客户证书的驱动程序进行升级，导致一段时期内，证书在客户装有vista操作系统的电脑上无法使用。在一定程度上影响了电子银行业务的市场开拓。2、对电子银行客户操作风险开展专项审计。以网银系统的客户操作风险为例，可以调阅一段时期内专业部门有关客户资金损失的投诉报案记录，通过网银系统发放调查单或其他方式，采集有关客户操作风险的实际案例，对达到一定数量的案例样本进行统计归纳，分析引发这些操作风险的具体原因：如客户误上不良网站感染木马程序、客户计算机上杀毒软件未能及时更新、网银界面容易误导客户进行不正确的操作、客户误登假冒的网上银行网站等。分别计算因为这些原因引发客户损失的频率和大小。按威胁度进行排位。向上级或专业部门提示这些风险、提出相应的风险防范建议。并调阅前台录像、业务部门处理客户设诉报案的记录，检查前台柜员在为客户开办网上银行业务时，是否履行了风险提示的义务；业务部门处理客户投诉报案时，是否认真了解情况，及时采取措施控制客户损失，并积极展开调查，妥善处理银行与客户间的纠纷。3、针对电子银行业务中存在的法律风险开展专项审计。例如可以针对网上银行中客户交易违反反洗钱法的情况开展专项审计。先从系统内批量导入客户交易数据，根据事先设定的参数，运用计算机自动筛选出从对公账户转入私人账户的所有交易。统计交易笔数和金额，从中抽取交易量、交易额较大的账户，调阅相关的电子支付指令凭证，查看是否附有有效的转账证明、交易用途是否合规、银行经办人员是否履行了审查职责，对违反人行相关规定的交易是否退回，并将相关交易与银行定期的大额交易监测报告、反洗钱报告核对，检查是否履行了监测报告职责。对其中存在的违规情况，分析原因，找出管理上的不足，及时向上级行和管理部门报告。2007年6月某银行内审部门在对二级分行所作的电子银行专项审计中，首次尝试将法律风险纳入审计范围，结果发现2007年1月该二级分行网上银行交易中，有37户对公账户以化整为零方式，向私人账户划转资金1千多万元，逃避相关部门的监控；还有14户一般结算账户违规通过网上银行发放工资、奖金等本来应由基本账户支付的款项共2千多笔，累计金额4百多万元。经分析，产生问题的原因主要是：随着电子银行业务的发展，客户资金从传统的柜面处理渠道向电子支付渠道转移，相关的反洗钱监控报告制度和流程未及时调整，各级反洗钱职能部门之间职责不清，导致对电子银行交易中的大量可疑交易的监控出现空白。目前系统未对公转私业务按照账户管理、现金管理规定进行硬控制，也无法对电子银行交易数据进行有效和全面的分析，由于相关交易数据巨大，仅靠人工难以对大量的客户交易指令进行有效判别和管理。审计结果出来后，引起了上级行和专业管理部门的高度重视。目前该行总行也己重新调整了反洗钱办公室的组织结构，专门设立了电子银行业务反洗钱领导小组以加强管理。（二）加强非现场审计手段、工具的研发，提高对电子银行业务的审计效率。传统的审计手段和方法在效率上己不能满足对电子银行业务的审计需要，以计算机为主要辅助手段的非现场审计则能很好地弥补传统审计手段在面临大量信息数据时的不足。为此，我们要加强非现场审计工具、手段的研发，首先要建立一个通用的非现场审计工具平台，解决电子银行业务数据的批量导入导出问题，方便审计人员取得审计资料数据。其次要根据业务风险状况和相关部门的监管要求设立一系列的监测指标，运用计算机对电子银行业务数据自动分析归类，从中筛选出可疑的交易信息。最后再运用传统审计手段，根据可疑交易清单，调阅相关资料及原始凭证、询问当事人经办情况，确认问题，查找原因。（三）改进针对内部控制风险的审计模式，由制度合规性审计向操作流程审计转变。以往对内部控制风险的审计模式都是依据制度规定对业务开办情况进行检查。虽然也能发现问题，但由于业务环节繁多，而涉及某一项业务的制度往往政出多门，彼此交叉，可能存在空白点。仅以制度为依据开展审计，缺乏系统性和严密性，既容易造成风险环节的遗漏，也容易造成审计人员断章取意的情况。为此，2006年末工行推出了业务操作指南。该指南由业务流程图和风险控制描述两部分构成。其中，流程图按具体业务种类绘制。从每项业务受理环节开始，直至整个业务处理结束，反映每项业务的主要操作流程，并对流程中的风险环节进行标注。风险控制描述则是对流程图的文字补充，主要包括风险环节、风险点、控制措施及制度文件依据等内容。操作指南从业务流程的角度描述规范的业务操作步骤和应注意的风险点，将制度要求与业务操作有机的结合在一起，弥补了原先仅凭制度进行管理的缺陷，也为我们审计工作提供了一个新的思路。即我们日常对于内部控制风险的审计也应该向制度与操作流程相结合的审计模式转变。如按照工行业务操作指南，电子银行业务分为个人电子银行业务、企业电子银行业务、电话银行中心业务、综合业务四大块共28个子业务，84个业务流程，300多个业务风险点，我们对电子银行业务内部控制风险的审计可以按照业务流程，进行穿行式测试，即挑选一定数量有代表性的业务，跟踪办理全过程，检查柜员是否严格按照规定业务流程进行操作，是否严格执行规定的风险防范措施。从而更全面直观的反映电子银行业务的内部控制风险状况。（四）开展安全评价、效益评价及各项专项调查，为电子银行业务的风险防控提供增值服务。内审部门可以按照内控评价的形式评估电子银行业务运营的安全状况。首先根据电子银行业务的不同业务种类、业务流程和风险点制定一系列的指标，按照每个风险环节的风险大小，确定每项指标的分值。然后按指标随机抽取业务样本，评估是否存在风险，确定单项指标的得分。最后根据各个项目得分汇总评估出整个业务的风险等级，供组织领导层决策参考。运用这种评价方式，哪个业务种类、业务环节风险管理相对薄弱通过分项指标得分一目了然，也为业务部门改进工作指明了方向。此外，还可以对电子银行业务的效益情况开展评价或调查，如：目前各行电子银行业务都处在市场开拓阶段，盲目减免费用争夺客户的现象十分普遍。其中有些费用减免己经违反了组织规定，还导致了部分银行电子银行业务虽然发展较快，但效益不能与规模相匹配。从某种意义而言，银行