农村信用社信息系统建设的发展历程及其风险防范的内部审计对策初探

1/15农村信用社信息系统建设的发展历程及其风险防范的内部审计对策初探农村信用社信息系统建设的发展历程及其风险防范的内部审计对策初探【内容摘要】现代商业银行的生存和发展在很大程度上依赖于金融创新，而信息系统的普及程度及其使用范围则直接制约着金融创新的手段。农村信用社信息系统从无到有、从弱到强，在一定程度上促进了农村金融体制改革的顺利进行，但同时也带来了更多的风险，并对农村信用社的内部审计工作提出了更高的要求。本文主要就农村信用社信息系统建设的发展历程及其风险防范的内部审计对策进行探讨。【关键词】农村信用社信息系统建设风险防范内部审计2016年，十堰市农村信用社信息系统建设连续迈出了三大步所有营业网点加入湖北省农村信用社综合业务系统；公开发行带有银联标记的“福卡”借记卡；24小时自助银行正式运行。信息系统在促进各项业务迅猛发展的同时，也对农村信用社的内部审计工作提出了更高的要求如何充分利用现有网络资源更好地规范审计行为，提高审计工作质量，以及如何适应新形势下对内部审计工作的新要求，已经成为农村信用社迫切需要解决的难题。笔者试2/15图结合十堰市农村信用社信息系统建设的发展历程和信息系统审计方面存在的问题，以及自己所能够掌握的信息系统审计理论研究成果，为寻求切实可行的解决方案，提出个人的看法。一、农村信用社信息系统建设的发展历程21世纪将是信息的时代，其竞争也将集中地表现在信息的竞争上，农村信用社的发展同样如此。农村信用社信息系统建设的发展历程，结合湖北省的情况并以十堰市为例，大体分为以下四个时期。（一）农业银行管理时期自中国农业银行恢复设置以来一直到1996年行、社分家，农村信用社一直作为农业银行的附属机构存在，这一时期又可以分为两个不同的阶段1、农业银行直接管理时期在这一阶段，农业银行与农村信用社曾对外挂两块牌子，同处一屋办公，共用一锅吃饭。此时农村信用社信息系统建设工作由农业银行统一规划，与农业银行基层处所享受同等待遇，从而保证了农村信用社门柜储蓄业务系统与农业银行的同步发展。这一时期基本处于DOS低版本操作系统时代，数据库以DBASE为基础，以单机储蓄门柜业务为主，在一定程度上起到了以计算机替代手工方式，减轻临柜人员工作强度的作用。随着营业网点业务量的不断增加以及计算机知3/15识的逐步普及，系统的处理能力及安全性问题逐渐暴露了出来，主要表现在以下方面一是当业务繁忙时，由于是单用户处理模式，只能够由一名操作人员办理业务，直接影响网点的工作效率和服务质量。二是数据库的容量有限，当业务数据达到一定规模以后将直接影响系统的安全运行。如系统定义的总帐帐页为45行，一旦操作人员忘记做月终处理，在次月中旬系统将无法进行日终处理，只能通过人工方式修改总帐数据库，加大人为操作风险。三是存在系统管理上的安全隐患。虽然系统通过批处理方式直接进入登录界面，避免了操作人员对系统数据进行破坏的可能，但是只要具有初步的计算机基础知识即可通过中断方式进入操作系统，直接对数据库进行操作，造成了安全隐患。2、农业银行间接管理时期随着中国农村金融体制改革步伐的逐步加快，先是农业发展银行政策性业务的分离，接着是农村信用社如何改革的问题也提到了议事日程。农村信用社县级联社的成立，标志着农村信用社的发展将逐步走向自治阶段。此时农业银行只对县级农村信用联社进行直接管理，而各基层农村信用社的管理则几乎不再过问，农村信用社的信息系统管理工作则主要由县级联社负责。为了迅速解决农村信用社信息系统真空管理的现状，为行、社脱钩提前做好技术上的准备，农业银行湖北省分行信用合作管理处与华中理工大学计算机科学与工程系于4/151995年和1996年连续两年，联合举办了两期为期一年的计算机应用专业培训班，基本达到了每个县级联社有两名技术人员的要求，他们成为农村信用社的第一批信息系统管理人员。这一时期的门柜业务普遍以XENIX作为操作系统，以COBOL作为编写语言。由于操作系统对多用户的支持，一台主机可以挂接多台终端，使得多人同时对计算机进行操作成为可能，业务范围相应地由单纯的储蓄业务扩展到了对公系统，基本实现了对所有门柜业务的处理能力。但由于此时农村信用社与农业银行已经由兄弟关系逐渐转变为竞争对手，再想从农业银行信息管理部门取得正常渠道的技术支持已经不再可能，而农村信用社凭借自己的力量开发或者引进新的业务系统又存在技术以及财力上的困难，在这种极其尴尬的境地，只能够得过且过，继续使用农业银行已经淘汰了的单机门柜业务系统，只是简单地将操作界面上的“中国农业银行”字样更改为“农村信用社”标记。（二）人民银行直管时期1996年，农村信用社与农业银行正式脱离行政隶属关系，由县级联社负责对基层农村信用社的管理，县以上先是由政府牵头成立各级农村金融体制改革领导小组及其办公室，之后与人民银行农金科合并实行一套班子两块牌子的管理模式。5/15这一时期在人民银行总行的统一组织下，以招投标的方式，分别从几家软件公司引进了几套不同版本的门柜业务系统，打算在全国逐步推广，湖北省于1998年选择了山东中创软件，十堰联社有幸成为第一批试点单位。该系统采用UNIX操作系统和INFORMIX数据库作为操作平台，门柜业务系统前后台分别控制的管理理念，将系统管理员和临柜操作人员从登录界面上就直接进行了严格的区分，为后续的网络系统建设做好了铺垫。但此时的系统仍然停留在单机业务系统阶段，虽然系统同时支持储蓄和对公业务，但是储蓄和对公业务的数据无法达到共享，即将储蓄柜组和对公柜组作为两个营业网点来对数据进行分别处理，同时对公系统中的贷款及费用帐户也只是起到了记帐的作用。（三）行业自治管理时期为了保证中国金融体制改革的顺利进行，人民银行暂时接管了对农村信用社的领导工作，但是，农村信用社今后的道路应该如何走下去，仍然是个值得探讨的问题。人民银行不可能既当运动员又当裁判员的呼声越来越高，人民银行的改革议题也日渐浮出水面，此时对农村信用社实行行业自治的方案应运而生，即以省为单位分别成立行业管理协会，人民银行专事其监管职能。各地、市、州依照实际情况分别成立行业管理协会或者申请组建地市级联社负责对所辖县级联社进行行业6/15管理。地市级联社由各县级联社参股组建，具有独立法人地位。同时人民银行总行也相应地将其对农村信用社信息系统建设的直接控制权适当下放，只是公布了8家经其认证的系统集成商供各地自行选择。得此东风，农村信用社的信息系统如雨后春笋般地纷纷涌现，而且是起点高直接开发网络系统，功能全综合业务系统，并将储蓄、对公、大额支付、同城清算等业务整合为一体。十堰联社作为全省试点单位，通过与湘计华成公司的全面合作，于2001年顺利通过CBS系统实现了全市农村信用社范围内储蓄业务的通存通兑，并通过进一步的合作开发了信贷管理系统。（四）省政府管理时期随着中国金融体制改革大盘的基本敲定，即国有商业银行向股份制商业银行的转变，国家专门成立汇金公司负责对国有商业银行的投资事宜，并先期推出中国银行和中国建设银行的上市方案，2016年10月，中国工商银行也成功改组。而农村信用社则最终决定交给省级人民政府管理，在8省市试点的基础上于2016年在全国29个省市区全面铺开。2016年7月8日，湖北省联社在武汉洪山宾馆召开创立大会，2016年9月，FEB综合业务系统管理员培训班在东湖之滨举行，2016年，FEB系统在全省农村信用社正式运行。二、农村信用社内部审计的现状及其在信息系统审7/15计方面存在的问题一农村信用社内部审计的现状目前湖北省农村信用社内部审计架构为各级联社机关设置稽核监察部门，负责辖区内的内部审计工作。下级联社稽核监察部门接受上级联社稽核监察部门的指导、监督和业务管理。设立稽查大队，履行行业内部审计职能，根据职权范围对辖内农村信用社进行审计。各级联社根据需要配备与业务量相适应的审计人员，原则上以辖内信用社个数进行配备。各级联社配备的专职审计人员不占机关编制。（二）农村信用社信息系统审计方面存在的问题1、审计手段落后，无法适应新形势下对高科技犯罪的防范及查处。国内外的事实说明，虽然信息系统中出现错误和舞弊的次数有所减少，但每次所造成的损失程度则有所增加。如美国一项研究表明一般的银行舞弊案，每次造成的损失约万美元，但信息系统下平均每次造成的损失约万美元，约合一般手工系统的6倍。目前农村信用社的内部审计工作仍然主要处于纯手工事后监督阶段，虽然各级审计部门根据工作需要配备了台式机及笔记本电脑，但基本只是进行文字输入及表格处理，仅起到辅助手工操作的功能，所有数据处于脱机状态，无法达到资源共享。审计人员的审计对象也仅限于眼看手8/15摸得到的输入凭证以及计算机输出的帐簿资料，而对于计算机内部的处理是否合法合规，有无空做帐务处理而不打印相关凭证及日终帐簿资料的情况，则无法准确予以审计和评价。2、信息系统审计人员奇缺，面对各种各样的信息系统违规违纪操作行为却无法识别。计算机替代手工操作以后的一个显著特点就是掩盖了操作的中间环节，操作人员只是进行相关凭证的录入，而后续工作的处理则完全由计算机来进行，操作人员是无法观察到的。而且随着业务的发展，免填单、柜员制的纷纷出现，在没有其他人员监督的情况下，针对操作人员操作风险的防范就显得尤为重要。而农村信用社目前的内部审计人员大多从基层信用社抽调和选拔，其选拔对象也主要限于业务技能方面的测试，对于信息系统方面的知识要求则相对较弱，甚至部分审计人员对于目前农村信用社使用的信息系统的了解程度还比不上具体操作人员，对于操作风险的防范就更是无能为力。3、信息系统管理知识欠缺，无法应对各种突发事件的紧急避险。现代审计除了要求审计人员对信用社的内部控制制度进行评审以外，更重要的是要对突发事件的应急预案进行综合评定，以确保农村信用社信息系统一旦发生意外，能够及时采取必要的补救措施，以最大限度地减少信用社的经济损失和控制金融风险，防止引发社会风险，9/15保持社会对金融系统的信任和信心。由于目前信用社信息系统审计人员的缺位，对于信息系统的风险控制主要依靠外包的方式和通过对实践中发生问题的信息反馈来进行，无法做到提前预防，一旦发生意外，由于时间上的迟滞性，相对风险也会较大。4、人们对信息系统，特别是审计信息系统的认识不足，不能够充分认识到审计信息系统对现代企业风险防范的重要程度。目前大多数人对信息系统的认识主要存在两种极端，一种是工具论观点，即认为信息系统就象算盘、计算器和纸笔一样，只是采用了计算机这种特殊的工具替代了手工操作而已，从而忽视了计算机能够做到手工所不能或者很难做到的工作。持有这种观点的直接后果将造成资金投入的严重不足，直接制约着信息系统审计工作的开展。另一种观点则认为计算机无所不能，既然投入了大笔资金配备了计算机这种先进的生产工具，就应能得到自己所需要的一切资料和信息，而完全忽视了信息系统也是需要一定的基础和环境，才能够输出有用信息的现实条件。持有这种观点的直接后果将导致资金的盲目投入，完全将成本效益原则置之不顾，认为投资越高回报就应该越大。5、信息系统功能单一，信息资源独立，无法及时满足系统用户的服务需求。虽然农村信用社已经建立了比较先进的信息系统，但由于各子系统功能的相对独立性，使10/15得信息资源目前尚无法或无法全部实现共享。内部审计人员的数据需求只能够建立在现有系统固有的输出模式，而后根据需要进行人工筛选和补充，数据处理结果因为各次检查的要求及时间界限问题，也基本上无法达到共享，或者即使共享，也要额外增加更多的工作量，而且也相应地增加了数据的差错风险。三、农村信用社信息系统风险防范的内审对策针对农村信用社信息系统风险防范问题，笔者结合自己多年的工作实践以及所掌握的信息系统风险防范知识，认为内部审计部门应当采取下列方面的基本对策（一）提高内部审计人员对信息系统风险防范工作的认识。郭道扬教授在他的会计史研究第一卷历史现时未来一书中指出一定历史阶段的会计环境制约着这一历史阶段人们的会计思想认识水平，而这一历史阶段人们的思想认识水平又制约着这一历史阶段的会计组织、制度、理论、方法的发展，以及会计工作水平。作为内部审计工作者，将这一段话中的“会计”转换为“内部审计”同样适用。审计人员只有提高了对信息系统风险防范的思想意识，才会主动地去接受和吸收新的理论知识，也才能在实践中不断地总结经验，在提高自身审计技能水平的同时，提高农村信用社信息系统审计的整体水平。（二）加强对内部审计人员信息系统风险防范技能11/15的培训。一项工作的成败，除了受到外部环境的影响外，更多地取决于内部资源的整合程度，而其中人力资源状况则起着决定性作用。随着农村信用社信息系统建设的发展，必将对审计人员在风险防范方面提出更高的要求。除了要求具备常规的审计基础知识以外，还须掌握信息技术以及计算机管理方面的专业知识和专业技能。这些知识和能力的拥有，除了需要长期的工作实践以外，更重要的还在于通过不断地学习来获得。一是通过聘请外部专业技术人员组织培训的方式提高审计人员的综合素质。二是注重内部审计人员的传帮带作用，通过具体的审计案例组织审计人员进行分析、讨论和讲解，激发审计人员的工作热情。（三）建立内部审计信息管理系统，实现信息资源的实时共享。审计人员在审计过程中，往往需要通过获取大量的数据信息，加上其职业判断能力，作出相应的审计结论。而目前数据信息的取得，在一定程度需要依赖于其他管理部门，由于工作性质的不同，其他管理部门往往无法提供出审计部门所确切需要的数据。通过建立审计信息管理系统，其重要作用主要体现在下列几个方面一是审计部门通过网络或数据接口，使用中间软件，可以从其他信息管理系统自主获取相关信息，并通过独立分析，及时提出相应的审计意见。二是促进和加强审计部门内部的协调和管理，实现从方案设计到处理决定各环节之间的相互12/15监督，不仅有利于提高工作效率，而且也为审计质量考核提供了极大的方便。三是通过相应的权限设置，可以实现审计工作所需要的各类法律法规、规章制度、审计方法、审计操作规程、审计报告、工作底稿、审计最新研究成果等资源的共享，不仅有利于提高审计工作质量，而且也为审计人员提供了比较切合实际的网络培训平台。（四）引进计算机并行审计技术，加强对信息系统的实时监控。有效的信息系统控制需要企业管理层的重视。许多人认为信息系统控制是一个技术问题，应当由技术人员负责。而事实上从控制手段和特点来看，信息系统控制仍需要人工控制，需要企业上下各级组织机构和各类员工的参与，制定并实施严格的规章制度。目前内部审计加强对信息系统的监控及其风险防范，可利用下列技术手段1、规范传统的人工控制程序，保证信息系统处理前的数据资料的合法性以及处理后的帐表资料的正确性。更重要的是加强对各环节操作程序的合规性进行监督，切实防范操作风险。2、引进和强化计算机自动控制系统，通过计算机审计程序对人工及计算机系统处理的数据资料进行监督和复核，保证计算机业务系统的合法性、安全性以及数据处理的正确性。传统的计算机审计技术多为事后监督，即在前台业务处理完毕以后，将所有原始及记帐凭证交事后监督13/15人员按业务发生的先后顺序将所有凭证在事后监督程序中重新录入一遍，然后由计算机或人工对处理结果进行核对。这种处理模式对于集中式事后监督来说，主要存在下列问题一是存在时间上的滞后性，无法及时发现问题并予以纠正。二是重复劳动的工作量较大，加大了人力资本，造成了人力资源的极大浪费。因此，当前有必要引进计算机并行审计技术。计算机并行审计技术，是指在应用系统对其业务系统进行处理的同时，及时采集审计证据的技术。即计算机审计