面向现代商业银行信息化的金融计算机审计

1、面向现代商业银行信息化的金融计算机审计 【内容提要】  以数据大集中、网络电子银行为主要特征的现代商业银行信息化建设正在迅猛发展。面向这场信息化浪潮，政府金融计算机审计工作在审计数据处理、审计项目组织管理、信息系统审计等方面亟待加强和深化。本文采用对策分析的方法，总结了近几年来金融计算机审计的情况，并结合国内商业银行信息化的主要特征，探讨目前金融计算机审计工作中存在的主要问题，并提出了相关的对策建议，以期推动金融审计工作进一步向前发展。【关键词】  商业银行 信息化 金融计算机审计前    言2

2、0世纪80年代以来，全球范围的金融服务业正面临一场史无前例的创新化、自由化、全球化的大变革，这场金融大变革的技术基础正是信息化。信息化使商业银行业务会计处理高度依赖计算机系统，信息处理从单机走向网络、会计业务信息存储形式发生改变等等，这些情况对政府金融审计工作产生了巨大影响，不掌握计算机技术，金融审计工作将无从下手，审计人员将失去查账资格。政府机构改革后，审计机关必须充分运用先进的信息技术和手段，从根本上提高工作效率，提高审计覆盖面，全面履行审计法赋予职责。审计署的金融审计项目从1999年开始使用计算机，目前已经积累许多成功的经验和作法。但随着国内商业银行数据大集中、银行网络化等信息化进程突飞

3、猛进，金融计算机审计工作面临着更加突出的压力和挑战。1. 金融计算机审计开展的基本情况计算机审计的简明概念就是对计算机系统的审计和利用计算机进行审计。对计算机系统的审计包括以下三个层次：·面向数据的审计·面向现行信息系统的审计 ·面向信息系统生命周期的审计金融计算机审计也就是计算机审计在金融审计业务中的开发和应用。审计署从1998年开始明确信息化建设，到2002年5月“金审工程”正式启动为标志审计信息化建设进入飞速发展的阶段。金融审计的目标和业务内容也随着国民经济发展情况在不断变化，从一开始的财务收支审计到资产负债全面审计，最近按照署领导提出的

4、对商业银行审计要从“风险、效益、管理”几方面开展审计的要求，金融审计的目标和内容也逐渐向风险基础审计理论为指导的风险制度基础审计发展。在这个进程中，金融审计部门积极探索计算机审计和业务审计相结合的路子，取得了明显的成效，得到了审计署领导的肯定。1.1  金融审计中数据采集技术日趋成熟。打开被审计单位电子帐是长期阻碍审计工作的“瓶颈”。1999年在对中国工商银行审计中，审计署南京特派办等单位通过开发审计数据采集接口软件等手段下载转换被审计单位的会计和业务数据，实现了“零的突破”。经过几年的努力，审计机关对金融部门数据采集方式已比较成熟，“进不了门、打不开帐”已成为历史。目前数

5、据采集主要方式有：·直接读取数据库的方式（如采取数据备份等方式对商业银行在用的商用财务核算软件的数据进行下载等）；·文件传输的方式（如采用磁盘、磁带等方式下载储存商业银行信息系统的相关数据）；·使用ODBC等数据库连接件的方式。1.2  金融审计软件开发取得了较好的成效。随着金融计算机审计工作的深入发展，审计署系统开发了各层次的审计软件，这些软件经过这几年审计实践检验功能日渐完善。目前在用的软件主要有：·业务类审计软件：如审计署南京办开发的审计数据采集分析软件、审计署计算机中心联合开发的通审软件（各专业银行版）等。·项目管理

6、类软件：各商业银行审计汇总单项统计软件、法规检索查询软件等。1.3  积累了丰富的金融计算机审计案例和模型。在近几年对商业银行审计中，广大审计人员在工作中人机结合，探索和积累了丰富的计算机审计经验。经过总结和升华，一些成熟的经验逐步形成了计算机审计模型（如审计署广州办开发的以风险审计为基础的分析模型、审计署南京办总结的信贷资产质量真实性审计模型），这为金融计算机审计中数据仓库多维分析、以及今后审计人工智能化发展奠定了坚实的基础。2002年审计署组织特派办和地方审计机关的金融审计人员，举办了首届金融计算机审计培训班，请有关专家和计算机审计能手，就实践中研究开发的审计模块进行交

7、流；同时，还进一步加大了计算机审计经验的总结和推广力度，编辑了2002年计算机审计总结交流材料汇编、金融计算机审计模型汇编、商业银行计算机审计模型思路，指导各地更好地开展金融计算机审计，为金融计算机审计理论研究奠定了一定基础。1.4  审计内容从电子数据审计发展到尝试对计算机系统的审计。·全面开展数据审计。由于商业银行业务处理的特殊性，大量的业务和会计信息存储在计算机当中。这为金融计算机审计提供了较好的基础。经过这几年发展，金融审计对被审计单位的电子数据依存度越来越高，而在审计实践中，通过运用审计软件和其他数据分析工具检索、关联、计算等方法，发现了许多重要的问题，

8、缓解了金融审计项目时间紧、人手少、任务重、要求高的矛盾。而且通过数据分析，减少了实质性测试阶段的盲目性，提高了审计质量，降低了审计风险。·尝试计算机系统审计。对处理、存储电子数据的信息系统审计，是金融计算机审计内容的进一步深化。审计署南京办先后于2001年对某商业银行信用卡系统、2002年对某商业银行消费信贷系统进行了系统审计，发现了这些银行计算机系统在合法性、安全性等方面存在的各种问题，取得了很好的效果，受到审计署领导的高度关注和好评。1.5  尝试开展网络环境下的审计。网络审计有利于整合审计资源、提高计算机审计效率，目前网络环境下的金融计算机审计分为两个部分：

9、·现场局域网审计。随着金融计算机审计处理的数据量越来越大，过去现场单机的作业模式已经力不从心，在2002年对中国建设银行审计中，部分审计机关开始尝试在现场构建审计局域网，采用多点分布处理数据、审计分析结果共享的作业模式，取得较好的审计效果。·非现场联网审计。网络数据传输技术使审计工作不必亲临现场成为可能，这极大地提高了审计覆盖面和审计工作效率。2002年审计署计算机中心、审计署广州办对某商业银行进行了非现场联网审计，并通过这次审计发现了一些重要的问题。相关审计案例曾向国务院领导汇报并受到好评。1.6  培养锻炼了一支熟悉计算机审计技术的金融审计干部队伍。

10、经过这几年的审计实践，审计署金融审计部门培养和锻炼了一批即精通金融审计又懂计算机审计的干部队伍，这些审计人员基本达到了审计署领导提出的“五能”要求（即能打开被审计单位数据库、能转换审计数据、能运用审计软件进行查询分析、能在审计现场搭建临时网络、能排除常见的软硬件故障）。难能可贵的是这些审计人员通过自己的工作实绩，不断推动着金融计算机进一步向前发展。2. 现代商业银行的信息化建设的特征中国正式加入WTO后，作为国家重要经济命脉之一的银行业更是被推到了金融全球化竞争的最前沿。面对不断涌入中国市场的外资银行的强大压力，中国银行业期待在入世后的五年内，在外资银行取得完全国民待遇之前，取得信息

11、化建设的突破性进展，与外资银行在信息化建设水平上站在同一起跑线上。当前商业银行信息化建设的模式，从网络基础设施、业务系统到管理信息系统，都在围绕着“大集中”这条主线前进，其最明显的特征是实现数据大集中，构筑网络电子银行，推行扁平式管理，走“大总行、小分行”的管理模式，走集约化经营道路。2.1  商业银行的数据大集中。我国商业银行信息化是从分散的、以发展微机为主起步，但随着我们逐渐融入国际化金融竞争以及科技的迅猛发展，商业银行信息化必须选择数据大集中，这是因为：第一，有利于建立一级法人体制下的法人授权机制及分支机构等级管理体系，实现集约化经营，进一步降低管理成本；第二，有利于

12、实现规模效益和深度效益的挖掘，促进业务处理的标准化和规范化，缩短金融产品的创新周期，向客户提供更为便捷、高效的现代化高品质的金融服务；第三，有利于保证经营数据的完整性、准确性和可访问性，奠定建立客户关系管理系统（CRM）的数据基础，挖掘客户关系及其价值，真正实现以客户为中心的经营管理理念；第四，有利于集中、引进和保持优秀的技术资源，加强技术、业务和生产运营的统一规范管理。数据大集中主要是指银行在建立全国性集中式计算机数据处理中心的基础上，建成全国性集中式计算机网络系统，从而实现“三大集中”，即所有营业网点集中联网、所有会计账务集中处理、所有客户基本信息集中管理。目前国内各家商业银行数据大集中工

13、作基本完成，总体架构都是在不同地理位置建设数据处理中心和灾难备份中心并联网，按地域区划在下级分行设置前置系统，从而形成一个上联总中心、下联网点终端，地理位置不同、物理上相对独立、逻辑上统一的全国性计算机综合信息系统构架。·中国工商银行的数据大集中：1995年工行300多个地市行的计算机通过大机延伸方式集中于49个数据中心；1999年又启动了“9912工程”，并于2002年顺利完成，全行数据集中于南北数据中心，各家一级分行已经挂接SYSPLEX系统工作，在国内率先实现了大规模并行系统耦合体等国际先进技术的应用，跻身于国际大型数据银行行列。·光大银行的数据大集中： 2

14、001年光大银行已实现了业务电子化处理大集中模式，目前，全行37个中心城市的320个分、支机构的业务全部集中在北京的一个主机中心处理，数据库完全统一，总分行的各类报表由总行产生，实现了综合业务系统大集中，综合信用信息管理系统等集中。2.2  网络电子银行。网络电子银行就是商业银行以网上银行、电话银行、手机银行、企业银行、ATM、家用银行软件、呼叫中心等业务品种，构建电子化的金融自助服务体系。网络电子银行与传统银行相比有着巨大的优势：第一、网络电子银行成本低、易于成本控制，由于网络电子银行无分支机构、人员少、无纸化等特征，网上银行的交易成本比比普通银行低90。第二、网络电子银

15、行提供了一站式24小时服务，使商业银行任何时间(Anytime)、任何地点(Anywhere)、任何方式(Anyhow)的服务承诺成为可能。第三、利用互联网资讯传播优势，推出新产品和为客户提供全方位的个性化服务。目前网上电子银行已成为商业银行控制成本、增强竞争力和提高经营效益的重要手段，这也是现代商业银行银行业发展的重要方向。国内各家商业银行目前在网络电子银行上投入极大的热情和资源，并取得较好的成效，如截至2002年底，中国工商银行网络电子银行实现交易额87665.98亿元，其中网上银行交易额53484.32亿元，电话银行交易额6404.68亿元，同时该行还推出了集团理财、网上结算新增贵宾室、

16、网上收费站、支付结算代理等电子银行新业务，其综合竞争力得到进一步加强。3. 面向现代商业银行信息化金融计算机审计存在的问题面对现代商业银行信息化建设的新情况，金融计算机审计工作还存在着一些有待尽快解决的问题。3.1  面对数据大集中的海量数据，以往数据审计方法显得力不从心。以往金融计算机审计中数据采集分析主要集中在一级分行一级，数据处理量相对较小，各审计单位可以针对审计实施方案确定的重点，有选择地下载转换和分析数据。现在商业银行商业银行数据大集中后，金融计算机审计直接面对的是总行一级以T为数量级存储备份的会计和业务数据。以往通过文件传输等方式等下载数据的模式，已经

17、不适应大集中后海量原始数据的处理。而且审计机关现有的机器设备和常用的应用软件已不适应对海量数据的处理，在数据下载、数据管理、数据分析等方面急待探索新的审计模式。3.2  金融计算机审计项目组织管理有待于进一步改进。以往金融审计项目是审计署金融司制定审计方案，各审计特派办和审计厅局制定审计实施方案，数据分析和现场审计集中在省分行一级。针对目前商业银行数据大集中，实行扁平化管理的“大总行、小分行”模式，以往“兵团式”的审计项目组织管理模式有待于改变。今后对于商业银行审前准备应该重点集中于总行一级，应在总行下载整理数据、并对整体数据进行系统分析后，才布置各分行审计组进行实质性审计

18、，避免现场审计的盲目性。3.3  系统审计应作为商业银行计算机审计的重点领域。商业银行数据大集中后风险更加集中，其安全的影响范围要成几何倍数扩大。从目前各商业银行大集中情况看，由于数据大集中没有将数据与应用分离，真正的灾难备份中心只有分离出来的数据的拷贝，应用是不跟着走的，这种模式潜在的风险是巨大的，如系统意外宕机、黑客入侵、不法分子直接利用系统的安全漏洞实施犯罪等等。所以，对大集中后商业银行进行系统审计显得尤为必要，而目前我们正是这方面的尝试和探索刚刚起步。目前国内对系统审计还缺乏一套规范的标准和方法，给信息系统审计实践增加了难度。3.4  应开展对网

19、络电子银行的审计。商业银行网络电子银行的发展，使金融交易“虚拟化”，使银行业务失去了时间和地域的限制，交易对象相对模糊，交易过程更加不透明，而且网络电子银行主要通过大量无纸化操作进行交易，不仅无凭证可查，而且一般都设有密码，使审计机关在资料收集和事实认定上难以准确把握。同时，许多金融交易在网上进行，其电子记录可以不留任何痕迹地加以修改，使确认该笔交易的过程复杂化，加大了审计机关对银行业务核查的难度。传统的事后检查、集中管理的金融审计难以适应这一新变化，潜在的审计风险不容忽视。3.5  金融计算机审计的法律环境等外部条件不容乐观。· 计算机审计法规不健全。

20、虽然国务院专门发布了关于利用计算机信息系统开展审计工作有关问题的通知（国办发200188号）等文件，但相关的文件没有法律的强制性和规范性。在审计实践中，由于商业银行目前正在构建以客户为中心的经营机制（CRM），对客户帐户信息（特别是储蓄帐户信息）保密性尤为重视，加之对相关行政规定的不同理解，审计机关往往不能获得完整的电子帐户信息。· 与被审计单位还存在进一步沟通的过程。虽然商业银行审计项目中，必须依靠电子数据进行审计已形成共识。而在具体操作时被审计单位的认知和配合在很大程度上影响着计算机审计的开展，特别是系统审计、联网审计更需要被审计单位理解和配合。但是由于各种原因，目前部

21、分被审计单位配合并不理想。4. 面向现代商业银行信息化开展金融计算机审计的对策建议4.1  全面提升计算机硬件装备和审计软件功能。面对大集中的海量数据，审计机关应该全面提升硬件存储设备和审计软件等方面的性能。审计现场联网审计已成为必须的审计模式，相应的审计软件应该支持网络审计功能，并应在大数据的处理方面、系统的稳定性方面、以及可维护性方面有较大的提高。目前审计署正在研发的个性化的联网审计系统，该系统主要应对实行数据大集中的金融、海关等部门的审计要求，在国家电子政务统一数据共享平台的基础上构建。由于该系统实际应用尚须时日，目前关键是提升在用的如通审软件、数据采集分析

22、软件等的功能。4.2  数据仓库在金融计算机审计中的应用。数据仓库（Data Warehouse）是面向主题的、集成的、稳定的、不同时间的数据集合，用以支持经营管理中的决策制订过程。数据仓库对于海量数据处理分析有着得天独厚的优势，在金融计算机审计中可以应用于以下几方面：·审计数据的采集。数据仓库系统中的数据集成工具，具备面向各种外部数据源的接口，具有数据抽取、转换、装载、刷新功能，能将被审信息系统中不一致的数据，根据数据一致性原则转移到审计数据库中，为审计数据采集提供了强有力的技术支持。·审计数据的组织和存储。采用数据仓库构建审计数据库，则可以

23、利用数据仓库提供的机制，有效地提高数据存储和访问的性能。·审计数据的访问和分析。数据仓库系统中的前端数据访问和分析挖掘工具，具备丰富强大的功能，能对审计数据作各种重组、计算、查询、分析、挖掘工作。如我们在对商业银行审计中可以进行以下分析：第一业绩评价和成本管理应用主题，即根据商业银行的风险收益原则，建立以资本金分配(如RAROC方法)、全面成本管理(如ABC方法)和综合平衡计分卡(Balancedscorecard)等为基础的成本推销计算方法和利润成本分析方法对其风险收益进行评价；第二资产负债管理应用主题，即通过对银行资金来源和资金运用信息的查询分析，关注银行利率风险和流动性风险；第

24、三风险管理应用主题，即在微观层次上，通过强大的数据仓库查询、分析和数据挖掘工具，帮助审计人员从大量的授信业务信息中发现规律，确定审计重点，发现相关业务的风险等。4.3  金融计算机审计项目的科学组织管理。面对现代商业银行数据大集中、扁平式的管理模式，金融审计项目管理也应作相应的调整。·做好审前数据准备工作。审计项目立项后即集中力量进行为审计数据准备工作，审计数据下载转换工作应与审计调查工作协调进行。·加大对总行一级的审计力度。改变以往对总行审计组重项目管理和组织实施，轻现场审计分析的作法，利用数据大集中的优势和条件，集中力量对总行进行系统审计分析。

25、83;形成“小快灵”的现场审计模式。根据总行系统分析的结果和要求，各审计组对直接负责经营业务二级分行进行重点和有针对性的审计。4.4  对商业银行进行信息系统审计。信息系统审计（IS audit）是一个获取并评价证据，以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。针对数据大集中后，商业银行技术风险倍增的情况，系统审计尤为必要。·对商业银行信息系统审计的目标是：审查和评价商业银行业务处理和会计处理应用系统的合法性、正确性、有效性、可靠性、安全性。·系统审计的内容：审查软件开发管理过程；审

26、计软件开发、设计、发行、维护过程；审查软件使用、运行情况；审查系统与其它系统的接口情况及系统的可扩大展性；在审计实施中应特别关注技术风险（包括集中化风险、数据风险、生产运行风险、通讯风险、交易量的峰值冲击风险等）、系统风险（包括规划与设计风险、安全产品的可信度风险）等。·系统审计的标准和执业规范。标准和规范化是推动信息系统审计发展的关键。目前审计部门应该和国家有关部门尽快制定信息系统审计的标准和规范。可以参照国际系统审计标准COBIT(信息及相关技术控制目标标准)，该框架也是信息系统审计与控制协会ISACA制订的关于信息技术安全及控制的通用标准，它为企业管理人员、用户、信息系统审计及安全控制人员提供可供参考的框架。它的目标是为企业管