持续审计理论、技术及其在国内商业银行的应用

持续审计理论、技术及其在国内商业银行的应用

一、引言从20世纪80年代起，随着信息技术的快速发展，持续审计（ContinuousAuditing，也称为连续审计，简称CA），作为现代信息技术在内部审计和外部审计领域的创新性应用，开始了探索历程。在1990年AT&T的Bell实验室率先为公司成功研发设计完成连续处理的审计系统之后，西门子、IBM、HCA、Unibanco等许多组织也开展了持续审计。此外SOX法案404条款等法规的新要求①，ACL、IDEA、Approva和Oversight等审计软件供应商的发展成熟，都极大地推动了持续审计的发展。IIA在2005年7月的一项调查显示，47%的被调查者认为在SOX法案后内部审计应该实施CA，23%的企业已经建立了CA机制。根据普华永道的2006内部审计行业调查，在2006年参加调查的392家美国公司中有半数的公司正在使用持续审计技术，相比2005年的35%有了大幅提高，同时在尚未采用连续审计技术的公司中，也有31%的公司表示已经拟定了实施计划，只有19%称他们既没有也不打算建立持续审计程序（普华永道，2006）。持续审计的实践效果也得到了普遍认同，如国际内部审计师协会IIA技术实践主管HeriotPrentice认为，持续审计具有更大的穿透力和覆盖面，并可更合理地分配审计资源到组织的高风险领域；苏黎世金融服务集团审计技术总监Paulette.Keller认为，持续审计能及时甚至立即发现异常情况或控制缺口，提高审计的主动性。与外部审计相比，内部审计更关注组织的经营活动，因此更适合也更多地运用了持续审计（IIA，2005）。目前，许多金融机构包括纽约联邦储备银行、花旗银行、汇丰银行等在内的国际大型银行的内部审计部门都大量运用了持续审计技术。从我国银行持续审计的实务看，虽然部分银行如工行、交行的内审部门已开始尝试开展持续审计，但由于缺乏系统的理论指导，内审人员对持续审计的内涵、范围、运作方式缺乏清晰的认识与定位，另外，分析已运用持续审计技术的公司具体应用过程及问题的公开披露资料基本为零，缺乏可参考借鉴的经验。本文将先简单讨论持续审计相关理论和技术，然后以持续审计在某商业银行内审中的实施应用为例，对我国商业银行持续审计现状展开较深入的分析，指出其中存在的问题，并提出解决措施，以期为国内其他商业银行开展持续审计提供可操作的指导性建议。二、持续审计相关理论和支持技术（一）定义。持续审计由于其内涵不断发展，并没有完全统一的定义。AICPA和CICA将持续审计定义为能使独立审计师通过使用在委托项目出现相关事件的同时或短时间内生成的一系列审计报告，来对委托项目提供书面鉴证的一种审计方法。KPMG将持续审计定义为内部审计在一个固定时段内，经常或持续用来监控信息技术系统、交易和控制措施的自动反馈机制。认为该机制有助发现异常、例外、不一致和其他因素，以便集中审计资源，采用持续审计的企业可经常利用技术更有效地分析风险数据。有文献将持续审计定义为能在相关事件发生的同时或之后很短的时间内就产生审计结果的一种审计类型（Alexander等，1999）。IIA则采用了更为广义的定义，认为审计师在持续的基础上开展的审计活动都是持续审计，并将持续审计分为持续控制评估和持续风险评估两种方法，两种方法关注的重点、分析技术稍有差异，不过这两种方法可以应用于相同的审计活动和管理活动（参见表1）。（二）支持技术。持续审计是一种“技术驱动型审计方法”（Technology-enabledauditing），必须依托于信息技术来实现。实施持续审计一般应具备审计系统完全自动化和相关事件或结果能够即时被审计人员提取这两方面的技术条件（Alexander等，1999）。持续审计系统自动执行审计程序时，任何与初始设置不相符或者异常的记录都将引起报警，审计人员据此决定采取相应的措施。信息技术是持续审计成功的关键（IIA，2006），只有依靠信息技术，才可能自动识别例外、异常情况，分析关键数据特征，分析发展趋势，根据设定的基准分析具体交易，测试控制，比较类似实体的流程、系统。信息技术并非一定指庞大的系统或软件，专门开发持续审计系统当然好，但通用审计软件如A-CL、IDEA，甚至Excel也可以成为很好的工具，关键是要根据具体情况运用工具，即技术应“有弹性”。常用持续审计技术方法和工具包括连续与间歇模拟方法（ContinuousandIntermittentSimulation）、嵌入式审计模块技术（EmbeddedAuditModule）、持续处理审计系统（ContinuousProcessAuditingSystern）、审计数据仓库和审计数据集市等（阚京华，2008），综合测试法（IntegratedTestFacilities）、快照法、平行模拟法（ParallelSimulation）、基于XMI/XBRL的持续审计技术等等也是可以采用的持续审计技术。连续与间歇模拟方法是一种在线审计方法，该技术采用计算机系统模拟事务的执行，输入每个事务后，模拟机确定事物是否满足预定的条件并审计事务。如果事务被选择，则CIS进行处理，并将CIS标识的例外写入日志文件，CIS要求日志文件报告系统及时报告例外；如果不满足预定条件则模拟机等待，直到下一个满足条件的事务出现。嵌入式审计模块技术指在被审计系统中嵌入相应的程序模块（触发器、智能代理等），通过该程序模块不断地对被审计系统中的数据进行检测，从而完成持续监控。持续处理审计系统是大型系统审计问题的专用解决方案，将主要的计量指标和分析性程序引入工作站环境，并对重要运营指标进行监控，随时将监控值与标准值比较，在发现重大差异的情况下采取异常报警措施，必要时生成审计报告。审计数据仓库收集并储存那些被认为会影响审计风险的事项，审计数据集市本质工而言和数据仓库没有什么差异，但是比数据仓库要小，收集的是更为单一领域的审计数据。该技术可以在应用系统处理业务的同时收集证据，财务数据和相关审计证据只需采取一种格式就可以方便地应用于不同的审计工作中。（三）非技术认知。从方法看，它包括了持续控制评估与持续风险评估。从分析技术看，它既包括实时的详细交易测试，也包括相对较滞后的趋势分析。从运用范围看，既包括微观层面，如详细的交易测试以评估控制的有效性等，也包括中观层面，如具体审计目标的确定等，还包括宏观层面，如通过风险识别评估制定年度审计计划等。持续审计强调自上而下与自下而上的结合，IIA认为，要开展持续审计，内部审计人员和高级审计经理首先需要能够清楚认识持续审计，明确持续审计在内部审计工作中的定位。持续审计应根据被审计对象的管理情况（包括持续监控、全面风险管理等）而调整，两者呈反向关系。管理好，则可适当降低持续审计力度；管理差，则要提高持续审计力度。持续审计应循序渐进，从某领域开始，然后逐步增加分析范围、规模和频率。三、持续审计在国内商业银行的应用案例（一）案例银行——A行简介。A行是一家全国性的国有股份制商业银行，实行一级法人、分级授权、内部评级、集中授信等总分行管理机制，保障了各项业务和机构建设持续健康的发展。在全国经济发达地区和经济中心的大中城市设有分支行和营业网点，在主要国际金融中心城市纽约、东京、香港、新加坡、伦敦、法兰克福等地设有分行或代表处。A行率先在国内金融领域引入竞争机制，建立新型银企关系，借鉴国外商业银行先进的管理机制和经验，建立、完善和创新资产负债管理制度、信贷资产质量监控制度、财务指标分析体系制度等。A行始终以“一流的服务质量，一流的工作效率，一流的银行信誉”为办行宗旨，以发展为主旋律，极其注重银行业务的电子化建设，加强管理，防范风险，是国内一家具有先进国际经营管理水平的商业银行。（二）A行持续审计实务应用的主要措施。A行内审部门2005年即开始开展持续审计，主要目的就是填补现场审计之间的空白，加强监控。A行建立了比较完整的持续审计框架，从持续审计的定义、主体、客体、手段到反馈、考核机制，环环相扣，主要措施包括：1.明确持续审计的概念。A行将持续审计定义为：“在一次现场审计完成后至下一次现场审计开展前，对审计对象的业务经营活动实施动态监测，分析其经营绩效和风险状况，并对问题疑点进行查询，做出风险评价与预警，以防范两次现场审计间的风险，为下一次现场审计提供依据。”2.明确持续审计人员。确定与一个或几个分支行保持经常性工作联系的审计人员，称为“联系人”或“监管员”，由其开展持续审计。3.明确持续审计方式。A行持续审计采用远程审计方式，包括信息资料收集、持续监测分析、信息使用反馈三个阶段（参见图1）。随着A行数据大集中的实现，A行审计部门专门开发了审计支持系统，涵盖业务查询、审计管理、综合分析等三大模块，审计人员可登录该系统下载、查询大量业务数据，但目前业务数据多侧重于会计交易数据，而信贷、国际等其他业务信息较少。A行还设计了持续审计台账，要求审计人员定期将信息录入持续审计台账。4.明确持续审计获取的信息内容。信息分为基础信息、数据信息、监管信息三大类。基础信息主要包括审计对象考核指标完成情况、领导、员工概况等；数据信息主要包括业务发展、资产质量指标等；监管信息主要包括内外部检查及整改情况。5.设计持续审计反馈机制。规定审计人员持续监控，发现异常情况，应填写异常情况报告上报。对重大违法违规问题，可向审计对象直接发出整改建议书或处理建议书。6.设计持续审计的监督考核机制。主管行领导定期不定期检查持续审计工作，并将持续审计结果作为工作考核的主要依据之一。四、A行持续审计存在的问题分析A行虽建立了比较完整的持续审计框架，明确了持续审计的概念、主体、客体、方式、反馈与考核监督机制，也确实已经在监控分支行业务运行、尤其是跟踪整改措施落实情况方面发挥了较大的作用。但由于缺乏经验和对持续审计的透彻理解，A行持续审计还是存在不少明显的问题。（一）业务、信息重点不突出，缺乏有效抓手。普华永道（2006）调查发现，37%的企业认为持续审计最主要的挑战是“定义需审计的活动”。A行将两次现场审计之间的动态监测都视为持续审计，看似内容全面，但由于没有确定持续审计的重点，导致持续审计缺乏有效抓手，难以深入开展。第一，持续审计关注的业务重点不突出。A行将会计结算、公司信贷、个人金融等所有银行业务都列为持续审计的范围，而持续审计大量运用CAAT，适合在具有大量同质特征的业务中开展，对公司信贷等个性化特征明显的业务审计还需要大量判断，并非持续审计的理想对象。第二，持续审计的信息重点不突出。持续审计收集的数据应与风险、控制问题有密切的联系，同时又比较综合、全面且经过加工，只有这样，这些数据才能提供风险预警，体现审计价值。A行持续审计收集的信息均属于总体业务指标信息，虽然有助于内审部门了解审计对象业务发展基本状况，但还远远不够。这些数据是汇总的指标数据，而非细化、有针对性的业务数据，难以提供风险预警。而且数据来源于管理部门而非内审部门，一方面真实性、准确性未得到证实，另一方面也未发挥内审全局观强、对风险和控制问题更为敏感、数据分析能力强等优势。（二）缺乏有效的风险预警功能。持续审计需要大量运用信息技术，及时发现异常情况并发出风险预警。A行近年来开发了审计支持系统，该系统拥有较强大的业务查询功能，已成为审计人员准备审计方案的重要工具。但该系统也具有比较明显的缺陷，缺乏真正的风险预警，对审计的支持功能不足。1.缺乏简便的预警查询、通知功能。该系统开发了预警模块，比如“贷款户资金不足以偿还”预警模块，将账户余额与贷款金额进行比较，低于5%的贷款户被列入预警。但这些模块需要审计人员录入相关机构、设定时间并逐一点击才能查询，实际相当于定制查询，还是需要审计人员花费大量时间采集数据，影响了审计效率。这与持续审计的自动风险预警、通知功能有很大差距。2.对预警功能缺乏不断的试错调整。预警实际是审计经验的技术转化，将审计人员的判断标准转化成计算机可识别的参数。但审计人员的判断需要根据不同情况而调整，并非适用于所有情况。因此，预警功能需要不断试错调整。3.缺乏主要的审计数据。审计支持系统获取的数据主要为交易数据，对各管理信息系统，如会计操作风险系统、信贷管理系统、风险管理系统的数据还缺乏接口，审计数据存在较大空白。（三）持续审计的作用未充分发挥。持续审计强调自上而下与自下而上的结合，不仅可以用于具体交易测试，还可以被运用于具体审计目标的确定、年度审计计划的制定等审计活动中。但A行持续审计仅提供被审计对象主要信息（如主要业务发展指标、行领导分工、网点等信息），尚未运用于审计目标的确定与年度审计计划的制定。另外虽然审计支持系统设计了预警模块，但由于预警模块较多，且无法自动提供某个审计对象的所有预警信息，而需手工逐个点击查询，因此即使在具体交易测试审计中，某些业务领域被运用的情况仍旧较少。（四）分工不明确不合理。首先，各级审计部缺乏明确分工。各级审计部都在做持续审计，但内容相似，没有根据不同层次的特点确定不同持续审计重点，且被审计对象出现交叉重复，这既增加了审计成本，降低了审计效率，又增加了被审计对象的负担。其次，非现场审计功能未充分发挥。A行由现场审计人员开展持续审计，迫于现场审计时间压力，持续审计难以保证质量，而非现场审计完全脱离持续审计，既未充分发挥非现场审计的功能，也不符合持续审计远程审计的特点。五、改进持续审计的建议（一）确定持续审计重点领域。从持续审计的特点及国外大银行实践经验看，最适合开展持续审计的领域是大量、同质的业务。这些业务数量多，无法逐笔检查，最适合运用IT技术进行海量数据分析。从我国银行业务特点看，目前会计结算、个人贷款、信用卡等业务具有大量、同质特征，是开展持续审计的理想领域。当然，公司授信等业务也可以开展持续审计，但需要大量人工判断，且对审计独立性要求较高，更适合总行、地区审计部开展。（二）确定关键风险指标（KRI）及合理“阀值”。在确定重点领域后，最关键的问题就是确定持续审计的有效抓手。借鉴外资银行的先进经验，关键风险指标（KRI）可以成为持续审计的有效抓手，因为确定KRI之后，各级审计部就有了明确的工作方向，实现持续审计的标准化，提高可比性，既不过多陷入具体可疑业务的检查，又不过于宽泛而无法发现风险。总行审计部应该重视并集中力量研究确定KRI。KRI必须不同于一般的业务指标（如资产、利润、贷款质量等），否则持续审计无法提供超越管理部门的信息，实现审计增值。同时，KRI又必须与风险有密切的相关性，从而有效实现风险预警。这需要内审部门加强与业务部门的沟通，建立积累问题库，研究风险案例表现出的数据特征。根据审计经验，发生舞弊案件的营业网点往往都是发展迅猛、差错频繁、人员频繁离职的网点，因此，业务差错率、人员流动率、具体业务发展速度、异常开销户比率等指标就是很好的KRI。KRI的确定也并非一蹴而就，需要不断检验、修正。KRI确定后，还需要确定合理指标区间，即“阀值”。我们可模仿交通信号灯原理，以红黄绿三色代表高风险、潜在风险与正常三个不同区间，从而直观形象地向管理层反映风险与内控的薄弱环节。之后，根据持续审计结果确定现场审计重点领域、目标，并确定审计对象，制定年度审计计划。（三）系统性地安排持续审计活动。首先，各级审计部门明确分工。各级审计部门应分工明确，避免出现多人监管，标准不一，增加审计对象负担的情况。第一，总行审计部可侧重于持续审计研究，确定并不断调整KRI，更好地反映风险状况，指导地区与分行审计部开展持续审计；第二，地区审计部则开展具体的持续审计工作，但侧重于授信等需要分行审批的业务，并及时向总行审计部报告；第三，分行审计部则开展会计结算、安全保卫等支行业务的持续审计。除了分工明确，这样设计的一个好处在于可以提高分行审计部的独立性和专业性。其次，非现场审计应参与持续审计。非现场审计与持续审计相互融合，甚至成为同义词。在理想状态下，应安排非现场审计人员开展持续审计，这样既能明确非现场审计的目的，也能够提供专门人员专心开展持续审计，实现内部审计的专业分工，提高效率。当然，现场审计人员开展持续审计有利于持续审计与现场审计的互动，持续审计发现的问题可在现场审计中核实，现场审计的具体感知又有助于审计人员把握持续审计重点。因此，为了更好地结合两者优点，一个可行的选择是，将持续审计工作逐步移交非现场审计，同时非现场审计与现场审计人员形成一对多分工合作机制，并让非现场审计人员定期或不定期参加现场审计。（四）不断完善审计支持系统风险预警功能。持续审计是一个动态发展的概念，没有固定模式，但主要目标都是及时监测预警风险。我国银行的持续审计的许多内容、方法，如跟踪整改、了解基本信息是有效的，应该保留。同时我国银行审计支持系统侧重查询，风险预警作用远未发挥，因此必须高度重视，并将其作为系统的重中之重。但要真正实现风险预警并非易事，需要做好以下几点：1.认真研究预警参数设置。持续审计类似于“病毒扫描”，因此审计人员对预警参数的设定是风险预警成功与否的关键。参数设置过松，则预警交易非常多，限于审计资源，无法从中筛选，预警失去意义；参数设置过严，则预警交易过少，高风险交易未被发现的概率大大增加。这两种风险类似于统计学抽样中误拒、误受风险，存在此消彼长的关系，因此审计人员必须权衡