1、商业银行信息系统内部控制审计的探索【摘要】 本文从商业银行信息系统内部控制审计现状出发,讨论了信息系统内部控制审计的主要内容、步骤及方法,对新形势下的商业银行信息系统内部控制审计进行了探讨,这些议题或能为提高内部审计工作质量提供参考。 【关键词】 商业银行 信息系统 内部控制审计 一、商业银行信息系统内部控制审计的现状 目前,我国商业银行信息系统内部控制审计尚不能充分满足商业银行对信息系统风险防范的要求,在信息系统内部控制审计工作开展中还面临不少难点和困难。 一是商业银行信息系统的开发、应用与内部审计工作长期脱节。商业银行实施业务信息化过程中,往往侧重于“所搭建的信息系统如何出色地完成业务需要
2、”方面的程序设计,而忽视了审计部门如何检查程序本身的运行问题,开发出来的软件未给审计工作留有接口。 二是商业银行审计人员业务素质尚不能满足对信息系统开展内部控制审计的要求。信息系统内部控制审计专业性较强,对审计人员要求极高,不仅要具备银行业务知识及审计经验,还要具备软硬件、网络、数据库、项目管理、系统维护及信息安全等信息化相关知识。 三是信息系统内部控制审计发现问题的难度加大。一方面,储存在信息系统的数据容易被篡改。另一方面,数据库技术的提高使数据高度集中,未经授权进入数据库,容易复制、伪造和销毁重要的数据。这些作案手段的隐蔽性和危害性,使审计工作发现信息系统舞弊的难度较大,造成的危害和损失也
3、可更大。 二、商业银行信息系统内部控制审计 1、商业银行信息系统内部控制概要 (1)商业银行信息系统 商业银行信息系统一般主要由信息管理类、外部结算类和渠道类三部分构成。其中信息管理类系统与决策、管理和业务相关,以提高效率和规避风险为目的;渠道类系统是商业银行面向市场和客户的窗口,是对外服务使用的载体,包括人工渠道、电子渠道和第三方渠道;外部结算类系统是有外部接口的业务处理系统。 (2)商业银行信息系统特点 商业银行的信息系统一般具有系统结构复杂,对硬件、软件质量和安全性能要求较高,信息系统结构复杂,数据量大,实时性强等特点。 (3)商业银行信息系统内部控制 商业银行信息系统的内部控制一般可分
4、为制度控制、应用技术控制、检查与监督控制三个方面。其中,制度控制是商业银行信息系统控制的重点,制度控制包括组织控制、管理控制、系统开发控制、操作控制、相关资料与数据的控制等若干个方面;应用技术控制的目的是保证信息系统数据处理的及时性、准确性和完整性,技术控制主要包括口令控制、权限控制和后台监控等;检查与监督控制是为了有效地监督信息系统实现经营目标、保证会计信息及时准确而形成的一套风险控制与监督系统。2、商业银行信息系统内部控制审计的含义 商业银行信息系统内部控制审计,是对商业银行信息系统内部控制设计与运行的完整性、合理性、有效性进行审查和评价,对促进加强信息系统内部控制建设,防范潜在风险具有重
5、要意义。 3、商业银行信息系统内部控制评价标准 商业银行信息系统内部控制评价的标准,是商业银行信息系统内部控制整体运行应遵循和达到的目标,主要包括内部控制的完整性、合理性及有效性。 三、商业银行信息系统内控制审计的应用 1、信息系统内部控制审计的主要内容 (1)信息系统的内部控制制度审查 一方面审查内部控制制度在信息系统的取得途径及未来风险评估方面的内容。另一方面审查内部控制制度是否能保证商业银行在信息系统维护方面的权限。信息系统内部控制制度要保证,商业银行能够对信息系统进行一般性的日常维护。 (2)信息系统操作运行 首先,不相容职能相分离的控制措施是信息系统设置的基础,并在信息系统内部控制中
6、处于核心地位。因此,要着重对商业银行不相容职务的相关制度进行审查,明确是否存在不相容职务方面的内部控制制度。其次,授权访问控制措施是确保只有被授权的用户才能实现对特定数据和资源的访问。主要审查内容包括:对数据库的访问是否有严格的授权限制,系统管理员、操作人员的系统用户名的唯一性、密码是否定期更换,是否存在易被破解的密码。 (3)信息系统的数据存储、备份和资源管理 商业银行信息系统存储的数据资源不同于传统的一般意义上的数据,它基于电子手段,一旦信息系统在程序上崩溃,可能导致数据资源永久的消失。所以信息系统数据资源的定期备份是必要的,并且备份后的数据资源应分开在不同的媒介存放,以防备份数据的丢失。
7、 (4)关键控制环节 应着重检查输入、处理和输出这三个关键控制环节的实施情况。其中,输入控制主要包括原始单证审查控制、输入正确性校验、输入完整性校验和输入纠错控制;处理控制常见的控制措施有处理权限控制、业务时序控制、合理性校验、参照检查控制、备份与恢复控制等;输出控制主要包括数据的准确性控制、权限控制、输出数据审核控制、输出差错更正控制等。 2、信息系统内部控制审计的主要技术方法 目前,开展商业银行信息系统内部控制审计工作,可考虑采用的主要技术方法包括嵌入软件测试法、快照法、数据处理技术和数据分析技术等。 (1)嵌入软件测试法是在商业银行信息系统中嵌入为执行特定审查目标而设计的测试程序,利用该
8、嵌入的测试程序对信息系统功能和控制进行检查的方法。该方法除了作为常用的测试技术外,还可用来实时监督信息系统的日常处理,对异常处理进行预警。 (2)快照法是关于指定数据集合的一个完全可用拷贝,拷贝包括相应数据在某个时间点拷贝开始的时间点的映像。快照可以是其所表示的数据的一个副本,也可以是数据的一个复制品。快照的作用主要是能够进行在线数据恢复和测试性工作。 (3)数据处理技术主要用于对数据进行采集、存储和加工,形成审计数据平台。当商业银行审计部门将若干信息系统的原始数据“复制”到一个数据库时,这只是完成了数据的“集合” 。要实现面向分析的“数据仓库” ,往往还要根据“主题”目标对原始数据进行清洗、
9、转换,消除源数据间的不一致性,通过归纳、重组提高数据“集成度” 。 (4)数据分析技术主要是基于采集的信息系统数据进行具体分析的方法,常用的数据分析技术包括 SQL 技术、联机分析处理和数据挖掘等。3、信息系统内部控制审计的主要步骤 (1)初步审查和评价信息系统内部控制 初步审查的目的是了解计算机信息系统在商业银行业务中的应用程度,初步熟悉商业银行信息系统的流程和内部控制的基本状况。可采取通过问题调查表和初步评价表对信息系统内部控制初步审查及评价。 (2)信息系统内部控制风险评估 按照风险导向审计原理,开展对信息系统内部控制审计时应当以风险评估为基础,选择拟测试的信息系统内部控制,确定测试所需
10、要收集的证据。 同时,可考虑将商业银行信息系统的数据输入到风险与内控评价系统中,通过对系统中所嵌入的评价模型的应用,对被审计对象信息系统内部控制整体风险控制情况做出评价。 (3)对内部控制执行情况进行符合性测试 信息系统内部控制符合性测试,主要是对商业银行信息系统内部控制设计、运行的有效性进行测试。对信息系统内部控制设计有效性测试时,综合运用询问相关人员、观察经营活动和检查相关文件等方法。 (4)评价信息系统内部控制缺陷 评价信息系统内部控制缺陷,是对商业银行信息系统内部控制设计和执行有效性方面存在的缺陷进行分析和评价。评价时,应当充分考虑信息系统战略规划、未来发展的实际需要以及成本与效益相匹
11、配的原则。(5)撰写信息系统内部控制审计报告 对已发现的商业银行信息系统内部控制重大缺陷,应当及时与被查单位进行沟通,核对测试结果和数据,确认信息系统内部控制缺陷事实。同时,撰写信息系统内部控制审计报告,对存在的问题以及可能导致的错误,提出改进建议。 四、有效提高商业银信息系统内部控制审计工作质量的策略 目前,商业银行信息系统内部控制审计应依托并借鉴先进经验与信息技术,逐步建立起内部控制审计技术体系,在各类分析信息技术应用的同时,也在不断优化审计工作模式,提高审计工作价值,促进内部控制审计技术与审计工作的深度融合。如何通过信息化审计技术进一步提高商业银行信息系统内部控制审计的工作质量,应在以下
12、几个方面进行一些探索和实践。 1、加强信息化专业人才培养,优化审计人员知识结构 商业银行的信息系统审计工作需要一支既精通审计业务又掌握信息技术的队伍。采取多种措施促进审计队伍的知识结构优化:一是吸收计算机专业人员,把他们培养成审计人员,充实现有审计专业队伍,提高信息化审计人员对商业银行信息系统内部控制审计项目的参与度;二是对现有审计人员开展信息系统知识培训和继续教育,培养成信息系统审计师;三是建立激励机制,推行信息系统审计师持证上岗制度,鼓励内审人员学习和钻研计算机知识,考取国家计算机资格等级证书。 2、积极介入系统开发,系统设计须支持审计工作 商业银行信息系统在系统开发时,从需求的提出、数据
13、结构和内部控制的设计、程序代码的编写、软件测试、试运行到软件验收等方面,审计人员都应站在内部控制的角度积极介入信息系统开发全过程,防止从信息系统开发源头上可能出现的系统性漏洞或缺陷等安全隐患。 商业银行的监管部门应出台相应法规,明确要求商业银行在信息系统开发时留有审计接口,以推动信息化审计方法的应用和信息系统内部控制审计的顺利实施。 3、建立信息系统内部控制监控系统 信息化的审计环境可有效促进信息系统内部控制审计工作的规范化,提高审计工作的效率和质量。为此,可考虑根据实际情况建立商业银行信息系统内部控制日常监控系统,动态监控内部控制现状,及时准确地发现信息系统内部控制的异常情况,将商业银行的风
14、险和损失降低到最低限度。 综上所述,面对日趋频繁的信息系统内部控制审计工作,商业银行首先要建立完善科学的信息系统和相应的内部控制制度,并使两者融为一体、相辅相成,科学有效的信息化审计方法与丰富的审计职业判断相结合,方可把商业银行信息系统潜在的风险水平降低到最低,为商业银行的健康发展保驾护航。 【参考文献】 1 裴立公:关于商业银行信息系统审计的必要性分析J.实务?信息化论坛,2012(7). 2 黄景梅:企业信息系统内部控制审计初探J.广西电业,2011(Z1). 3 李三喜:企业如何进行信息系统内部控制审计N.财会信报,2014-12-25. 4 刘美升:商业银行内部控制审计评价系统的开发与应用D.山东大学,2011. (责任编辑:赵小茜)
