1、 <商務文檔> 版本號：V1.0 -20070101面向現代商業銀行信息化的金融計算機審計 【內容提要】  以數據大集中、網絡電子銀行為主要特征的現代商業銀行信息化建設正在迅猛發展。面向這場信息化浪潮，政府金融計算機審計工作在審計數據處理、審計項目組織管理、信息系統審計等方面亟待加強和深化。本文采用對策分析的方法，總結了近幾年來金融計算機審計的情況，并結合國內商業銀行信息化的主要特征，探討目前金融計算機審計工作中存在的主要問題，并提出了相關的對策建議，以期推動金融審計工作進一步向前發展。【關鍵詞】  商業銀行 信息化 金融

2、計算機審計前    言20世紀80年代以來，全球范圍的金融服務業正面臨一場史無前例的創新化、自由化、全球化的大變革，這場金融大變革的技術基礎正是信息化。信息化使商業銀行業務會計處理高度依賴計算機系統，信息處理從單機走向網絡、會計業務信息存儲形式發生改變等等，這些情況對政府金融審計工作產生了巨大影響，不掌握計算機技術，金融審計工作將無從下手，審計人員將失去查賬資格。政府機構改革后，審計機關必須充分運用先進的信息技術和手段，從根本上提高工作效率，提高審計覆蓋面，全面履行審計法賦予職責。審計署的金融審計項目從1999年開始使用計算機，目前已經積累許多成功的經驗

3、和作法。但隨著國內商業銀行數據大集中、銀行網絡化等信息化進程突飛猛進，金融計算機審計工作面臨著更加突出的壓力和挑戰。1. 金融計算機審計開展的基本情況計算機審計的簡明概念就是對計算機系統的審計和利用計算機進行審計。對計算機系統的審計包括以下三個層次：·面向數據的審計·面向現行信息系統的審計 ·面向信息系統生命周期的審計金融計算機審計也就是計算機審計在金融審計業務中的開發和應用。審計署從1998年開始明確信息化建設，到2002年5月“金審工程”正式啟動為標志審計信息化建設進入飛速發展的階段。金融審計的目標和業務內容也隨著國民經濟發展情況在不斷變化

4、，從一開始的財務收支審計到資產負債全面審計，最近按照署領導提出的對商業銀行審計要從“風險、效益、管理”幾方面開展審計的要求，金融審計的目標和內容也逐漸向風險基礎審計理論為指導的風險制度基礎審計發展。在這個進程中，金融審計部門積極探索計算機審計和業務審計相結合的路子，取得了明顯的成效，得到了審計署領導的肯定。1.1  金融審計中數據采集技術日趨成熟。打開被審計單位電子帳是長期阻礙審計工作的“瓶頸”。1999年在對中國工商銀行審計中，審計署南京特派辦等單位通過開發審計數據采集接口軟件等手段下載轉換被審計單位的會計和業務數據，實現了“零的突破”。經過幾年的努力，審計機關對金融部門

5、數據采集方式已比較成熟，“進不了門、打不開帳”已成為歷史。目前數據采集主要方式有：·直接讀取數據庫的方式（如采取數據備份等方式對商業銀行在用的商用財務核算軟件的數據進行下載等）；·文件傳輸的方式（如采用磁盤、磁帶等方式下載儲存商業銀行信息系統的相關數據）；·使用ODBC等數據庫連接件的方式。1.2  金融審計軟件開發取得了較好的成效。隨著金融計算機審計工作的深入發展，審計署系統開發了各層次的審計軟件，這些軟件經過這幾年審計實踐檢驗功能日漸完善。目前在用的軟件主要有：·業務類審計軟件：如審計署南京辦開發的審計數據采集分析軟件、審計署計算

6、機中心聯合開發的通審軟件（各專業銀行版）等。·項目管理類軟件：各商業銀行審計匯總單項統計軟件、法規檢索查詢軟件等。1.3  積累了豐富的金融計算機審計案例和模型。在近幾年對商業銀行審計中，廣大審計人員在工作中人機結合，探索和積累了豐富的計算機審計經驗。經過總結和升華，一些成熟的經驗逐步形成了計算機審計模型（如審計署廣州辦開發的以風險審計為基礎的分析模型、審計署南京辦總結的信貸資產質量真實性審計模型），這為金融計算機審計中數據倉庫多維分析、以及今后審計人工智能化發展奠定了堅實的基礎。2002年審計署組織特派辦和地方審計機關的金融審計人員，舉辦了首屆金融計算機審計培訓

7、班，請有關專家和計算機審計能手，就實踐中研究開發的審計模塊進行交流；同時，還進一步加大了計算機審計經驗的總結和推廣力度，編輯了2002年計算機審計總結交流材料匯編、金融計算機審計模型匯編、商業銀行計算機審計模型思路，指導各地更好地開展金融計算機審計，為金融計算機審計理論研究奠定了一定基礎。1.4  審計內容從電子數據審計發展到嘗試對計算機系統的審計。·全面開展數據審計。由于商業銀行業務處理的特殊性，大量的業務和會計信息存儲在計算機當中。這為金融計算機審計提供了較好的基礎。經過這幾年發展，金融審計對被審計單位的電子數據依存度越來越高，而在審計實踐中，通過運用審計軟件

8、和其他數據分析工具檢索、關聯、計算等方法，發現了許多重要的問題，緩解了金融審計項目時間緊、人手少、任務重、要求高的矛盾。而且通過數據分析，減少了實質性測試階段的盲目性，提高了審計質量，降低了審計風險。·嘗試計算機系統審計。對處理、存儲電子數據的信息系統審計，是金融計算機審計內容的進一步深化。審計署南京辦先后于2001年對某商業銀行信用卡系統、2002年對某商業銀行消費信貸系統進行了系統審計，發現了這些銀行計算機系統在合法性、安全性等方面存在的各種問題，取得了很好的效果，受到審計署領導的高度關注和好評。1.5  嘗試開展網絡環境下的審計。網絡審計有利于整合審計資源、

9、提高計算機審計效率，目前網絡環境下的金融計算機審計分為兩個部分：·現場局域網審計。隨著金融計算機審計處理的數據量越來越大，過去現場單機的作業模式已經力不從心，在2002年對中國建設銀行審計中，部分審計機關開始嘗試在現場構建審計局域網，采用多點分布處理數據、審計分析結果共享的作業模式，取得較好的審計效果。·非現場聯網審計。網絡數據傳輸技術使審計工作不必親臨現場成為可能，這極大地提高了審計覆蓋面和審計工作效率。2002年審計署計算機中心、審計署廣州辦對某商業銀行進行了非現場聯網審計，并通過這次審計發現了一些重要的問題。相關審計案例曾向國務院領導匯報并受到好評。1.6 

10、 培養鍛煉了一支熟悉計算機審計技術的金融審計干部隊伍。經過這幾年的審計實踐，審計署金融審計部門培養和鍛煉了一批即精通金融審計又懂計算機審計的干部隊伍，這些審計人員基本達到了審計署領導提出的“五能”要求（即能打開被審計單位數據庫、能轉換審計數據、能運用審計軟件進行查詢分析、能在審計現場搭建臨時網絡、能排除常見的軟硬件故障）。難能可貴的是這些審計人員通過自己的工作實績，不斷推動著金融計算機進一步向前發展。2. 現代商業銀行的信息化建設的特征中國正式加入WTO后，作為國家重要經濟命脈之一的銀行業更是被推到了金融全球化競爭的最前沿。面對不斷涌入中國市場的外資銀行的強大壓力，中國銀行

11、業期待在入世后的五年內，在外資銀行取得完全國民待遇之前，取得信息化建設的突破性進展，與外資銀行在信息化建設水平上站在同一起跑線上。當前商業銀行信息化建設的模式，從網絡基礎設施、業務系統到管理信息系統，都在圍繞著“大集中”這條主線前進，其最明顯的特征是實現數據大集中，構筑網絡電子銀行，推行扁平式管理，走“大總行、小分行”的管理模式，走集約化經營道路。2.1  商業銀行的數據大集中。我國商業銀行信息化是從分散的、以發展微機為主起步，但隨著我們逐漸融入國際化金融競爭以及科技的迅猛發展，商業銀行信息化必須選擇數據大集中，這是因為：第一，有利于建立一級法人體制下的法人授權機制及分支機

12、構等級管理體系，實現集約化經營，進一步降低管理成本；第二，有利于實現規模效益和深度效益的挖掘，促進業務處理的標準化和規范化，縮短金融產品的創新周期，向客戶提供更為便捷、高效的現代化高品質的金融服務；第三，有利于保證經營數據的完整性、準確性和可訪問性，奠定建立客戶關系管理系統（CRM）的數據基礎，挖掘客戶關系及其價值，真正實現以客戶為中心的經營管理理念；第四，有利于集中、引進和保持優秀的技術資源，加強技術、業務和生產運營的統一規范管理。數據大集中主要是指銀行在建立全國性集中式計算機數據處理中心的基礎上，建成全國性集中式計算機網絡系統，從而實現“三大集中”，即所有營業網點集中聯網、所有會計賬務集中

13、處理、所有客戶基本信息集中管理。目前國內各家商業銀行數據大集中工作基本完成，總體架構都是在不同地理位置建設數據處理中心和災難備份中心并聯網，按地域區劃在下級分行設置前置系統，從而形成一個上聯總中心、下聯網點終端，地理位置不同、物理上相對獨立、邏輯上統一的全國性計算機綜合信息系統構架。·中國工商銀行的數據大集中：1995年工行300多個地市行的計算機通過大機延伸方式集中于49個數據中心；1999年又啟動了“9912工程”，并于2002年順利完成，全行數據集中于南北數據中心，各家一級分行已經掛接SYSPLEX系統工作，在國內率先實現了大規模并行系統耦合體等國際先進技術的應用，躋身于國際大

14、型數據銀行行列。·光大銀行的數據大集中： 2001年光大銀行已實現了業務電子化處理大集中模式，目前，全行37個中心城市的320個分、支機構的業務全部集中在北京的一個主機中心處理，數據庫完全統一，總分行的各類報表由總行產生，實現了綜合業務系統大集中，綜合信用信息管理系統等集中。2.2  網絡電子銀行。網絡電子銀行就是商業銀行以網上銀行、電話銀行、手機銀行、企業銀行、ATM、家用銀行軟件、呼叫中心等業務品種，構建電子化的金融自助服務體系。網絡電子銀行與傳統銀行相比有著巨大的優勢：第一、網絡電子銀行成本低、易于成本控制，由于網絡電子銀行無分支機構、人員少、無紙

15、化等特征，網上銀行的交易成本比比普通銀行低90。第二、網絡電子銀行提供了一站式24小時服務，使商業銀行任何時間(Anytime)、任何地點(Anywhere)、任何方式(Anyhow)的服務承諾成為可能。第三、利用互聯網資訊傳播優勢，推出新產品和為客戶提供全方位的個性化服務。目前網上電子銀行已成為商業銀行控制成本、增強競爭力和提高經營效益的重要手段，這也是現代商業銀行銀行業發展的重要方向。國內各家商業銀行目前在網絡電子銀行上投入極大的熱情和資源，并取得較好的成效，如截至2002年底，中國工商銀行網絡電子銀行實現交易額87665.98億元，其中網上銀行交易額53484.32億元，電話銀行交易額6

16、404.68億元，同時該行還推出了集團理財、網上結算新增貴賓室、網上收費站、支付結算代理等電子銀行新業務，其綜合競爭力得到進一步加強。3. 面向現代商業銀行信息化金融計算機審計存在的問題面對現代商業銀行信息化建設的新情況，金融計算機審計工作還存在著一些有待盡快解決的問題。3.1  面對數據大集中的海量數據，以往數據審計方法顯得力不從心。以往金融計算機審計中數據采集分析主要集中在一級分行一級，數據處理量相對較小，各審計單位可以針對審計實施方案確定的重點，有選擇地下載轉換和分析數據。現在商業銀行商業銀行數據大集中后，金融計算機審計直接面對的是總行一級以T為數量級存儲備

17、份的會計和業務數據。以往通過文件傳輸等方式等下載數據的模式，已經不適應大集中后海量原始數據的處理。而且審計機關現有的機器設備和常用的應用軟件已不適應對海量數據的處理，在數據下載、數據管理、數據分析等方面急待探索新的審計模式。3.2  金融計算機審計項目組織管理有待于進一步改進。以往金融審計項目是審計署金融司制定審計方案，各審計特派辦和審計廳局制定審計實施方案，數據分析和現場審計集中在省分行一級。針對目前商業銀行數據大集中，實行扁平化管理的“大總行、小分行”模式，以往“兵團式”的審計項目組織管理模式有待于改變。今后對于商業銀行審前準備應該重點集中于總行一級，應在總行下載整理數

18、據、并對整體數據進行系統分析后，才布置各分行審計組進行實質性審計，避免現場審計的盲目性。3.3  系統審計應作為商業銀行計算機審計的重點領域。商業銀行數據大集中后風險更加集中，其安全的影響范圍要成幾何倍數擴大。從目前各商業銀行大集中情況看，由于數據大集中沒有將數據與應用分離，真正的災難備份中心只有分離出來的數據的拷貝，應用是不跟著走的，這種模式潛在的風險是巨大的，如系統意外宕機、黑客入侵、不法分子直接利用系統的安全漏洞實施犯罪等等。所以，對大集中后商業銀行進行系統審計顯得尤為必要，而目前我們正是這方面的嘗試和探索剛剛起步。目前國內對系統審計還缺乏一套規范的標準和方法，給信息

19、系統審計實踐增加了難度。3.4  應開展對網絡電子銀行的審計。商業銀行網絡電子銀行的發展，使金融交易“虛擬化”，使銀行業務失去了時間和地域的限制，交易對象相對模糊，交易過程更加不透明，而且網絡電子銀行主要通過大量無紙化操作進行交易，不僅無憑證可查，而且一般都設有密碼，使審計機關在資料收集和事實認定上難以準確把握。同時，許多金融交易在網上進行，其電子記錄可以不留任何痕跡地加以修改，使確認該筆交易的過程復雜化，加大了審計機關對銀行業務核查的難度。傳統的事后檢查、集中管理的金融審計難以適應這一新變化，潛在的審計風險不容忽視。3.5  金融計算機審計的法律環境等

20、外部條件不容樂觀。· 計算機審計法規不健全。雖然國務院專門發布了關于利用計算機信息系統開展審計工作有關問題的通知（國辦發200188號）等文件，但相關的文件沒有法律的強制性和規范性。在審計實踐中，由于商業銀行目前正在構建以客戶為中心的經營機制（CRM），對客戶帳戶信息（特別是儲蓄帳戶信息）保密性尤為重視，加之對相關行政規定的不同理解，審計機關往往不能獲得完整的電子帳戶信息。· 與被審計單位還存在進一步溝通的過程。雖然商業銀行審計項目中，必須依靠電子數據進行審計已形成共識。而在具體操作時被審計單位的認知和配合在很大程度上影響著計算機審計的開展，特別是系統審

21、計、聯網審計更需要被審計單位理解和配合。但是由于各種原因，目前部分被審計單位配合并不理想。4. 面向現代商業銀行信息化開展金融計算機審計的對策建議4.1  全面提升計算機硬件裝備和審計軟件功能。面對大集中的海量數據，審計機關應該全面提升硬件存儲設備和審計軟件等方面的性能。審計現場聯網審計已成為必須的審計模式，相應的審計軟件應該支持網絡審計功能，并應在大數據的處理方面、系統的穩定性方面、以及可維護性方面有較大的提高。目前審計署正在研發的個性化的聯網審計系統，該系統主要應對實行數據大集中的金融、海關等部門的審計要求，在國家電子政務統一數據共享平臺的基礎上構建。由于該系

22、統實際應用尚須時日，目前關鍵是提升在用的如通審軟件、數據采集分析軟件等的功能。4.2  數據倉庫在金融計算機審計中的應用。數據倉庫（Data Warehouse）是面向主題的、集成的、穩定的、不同時間的數據集合，用以支持經營管理中的決策制訂過程。數據倉庫對于海量數據處理分析有著得天獨厚的優勢，在金融計算機審計中可以應用于以下幾方面：·審計數據的采集。數據倉庫系統中的數據集成工具，具備面向各種外部數據源的接口，具有數據抽取、轉換、裝載、刷新功能，能將被審信息系統中不一致的數據，根據數據一致性原則轉移到審計數據庫中，為審計數據采集提供了強有力的技術支持。&#

23、183;審計數據的組織和存儲。采用數據倉庫構建審計數據庫，則可以利用數據倉庫提供的機制，有效地提高數據存儲和訪問的性能。·審計數據的訪問和分析。數據倉庫系統中的前端數據訪問和分析挖掘工具，具備豐富強大的功能，能對審計數據作各種重組、計算、查詢、分析、挖掘工作。如我們在對商業銀行審計中可以進行以下分析：第一業績評價和成本管理應用主題，即根據商業銀行的風險收益原則，建立以資本金分配(如RAROC方法)、全面成本管理(如ABC方法)和綜合平衡計分卡(Balancedscorecard)等為基礎的成本推銷計算方法和利潤成本分析方法對其風險收益進行評價；第二資產負債管理應用主題，即通過對銀行資

24、金來源和資金運用信息的查詢分析，關注銀行利率風險和流動性風險；第三風險管理應用主題，即在微觀層次上，通過強大的數據倉庫查詢、分析和數據挖掘工具，幫助審計人員從大量的授信業務信息中發現規律，確定審計重點，發現相關業務的風險等。4.3  金融計算機審計項目的科學組織管理。面對現代商業銀行數據大集中、扁平式的管理模式，金融審計項目管理也應作相應的調整。·做好審前數據準備工作。審計項目立項后即集中力量進行為審計數據準備工作，審計數據下載轉換工作應與審計調查工作協調進行。·加大對總行一級的審計力度。改變以往對總行審計組重項目管理和組織實施，輕現場審計分析的作法，利

25、用數據大集中的優勢和條件，集中力量對總行進行系統審計分析。·形成“小快靈”的現場審計模式。根據總行系統分析的結果和要求，各審計組對直接負責經營業務二級分行進行重點和有針對性的審計。4.4  對商業銀行進行信息系統審計。信息系統審計（IS audit）是一個獲取并評價證據，以判斷計算機系統是否能夠保證資產的安全、數據的完整以及有效率地利用組織的資源并有效果地實現組織目標的過程。針對數據大集中后，商業銀行技術風險倍增的情況，系統審計尤為必要。·對商業銀行信息系統審計的目標是：審查和評價商業銀行業務處理和會計處理應用系統的合法性、正確性、有效性、可靠

26、性、安全性。·系統審計的內容：審查軟件開發管理過程；審計軟件開發、設計、發行、維護過程；審查軟件使用、運行情況；審查系統與其它系統的接口情況及系統的可擴大展性；在審計實施中應特別關注技術風險（包括集中化風險、數據風險、生產運行風險、通訊風險、交易量的峰值沖擊風險等）、系統風險（包括規劃與設計風險、安全產品的可信度風險）等。·系統審計的標準和執業規范。標準和規范化是推動信息系統審計發展的關鍵。目前審計部門應該和國家有關部門盡快制定信息系統審計的標準和規范。可以參照國際系統審計標準COBIT(信息及相關技術控制目標標準)，該框架也是信息系統審計與控制協會ISACA制訂的關于信息技術安全及控制的通用標準，它為企業管理人員、用戶、信息系統審計及安全控制人員提供可供參考的框架。它的目標是為企業管理人員和信息系統審計人員開發出及時、權威、通用的信息技術控制目標體系(IT Control Objective)。4.5  推動對商業銀行的