现代信息技术已普遍应用于商业银行的所有机构,并涵盖其业务和过程。审计机关目前应用的主要金融审计模式是数据式审计,即对商业银行静态数据进行分析和测试。从审计实践来看,这种审计方式由于缺乏对系统的控制而不能保障电子数据的唯一性、完整性和准确性,无法从根本上有效控制被审计单位的电子数据质量;从发展趋势来看,数据式审计方式由于过分关注数据本身而缺乏对系统整体的分析,难以控制总体审计风险,其局限性正逐渐显露出来。为有效解决上述问题,审计机关应当尽快对商业银行开展信息系统审计。
现代商业银行的信息系统一般具有下列特点:系统结构复杂,对硬件、软件的质量和安全性能要求高;数据量大(各行数据普遍实行总行大集中);本外币一体化的统一会计核算方式;以客户为中心、面向服务的设计理念;衍生金融新产品多;业务实时性强,支持24小时服务等。目前,商业银行系统中业务网操作系统基本是UNIX操作系统,办公网基本是WINDOWS操作系统,并根据不同类型的操作系统配备相应的客户端防病毒系统;网上银行、电子商务、网上交易系统都是通过INTERNET公网。另外,银行的中间代理业务需要同相关单位的局域网互联。商业银行业务系统基本采用Client/Server模式,并配备相应的备份与灾难恢复系统。
商业银行信息系统一般可分为信息管理类系统、渠道类系统和外部清算结算类系统。信息管理类系统与决策、管理和业务相关,以提高效率和规避风险为目的,主要有贷款系统、授权和授信系统、征信系统、客户管理系统、数据仓库系统、资产负债管理系统、办公自动化系统、后督系统、档案系统(票据影像缩微系统和光学字符识别OCR)、数字终端录像系统、数字视频监控系统等。渠道类系统是商业银行面向市场和客户的窗口,也是对外服务使用的载体,包括人工渠道、电子渠道和第三方渠道。人工渠道有柜面服务和职能部门的业务终端(例如会计帐查询系统、信贷审批系统等);电子渠道分为自助服务系统(电话银行、手机银行、网上银行和企业银行)和自助服务终端(ATM和POS);第三方渠道包括银联交易、区域性通存通兑和同城跨行通存通兑等。外部清算结算类系统是指有外部接口的系统,包括行间资金转账系统SHIFT(主要有大额清算系统、小额清算系统、区域性专项业务清算系统)、同城交换系统、央行往来清算系统、同业往来清算系统和第三方存管清算系统。
(三)商业银行核心业务系统一般流程
商业银行信息系统有业务核心系统和外围系统两部分。业务核心系统主要包括存款系统、贷款系统、国际业务系统、支付清算系统、资金交易系统和衍生业务系统等,其余为外围系统,主要包括内部后台系统和连接外部系统两部分。业务核心系统一般分为基础支持、业务处理和管理分析三个部分,基础支持是指依据核心业务支撑平台(数据逻辑和数据),来完成基本指令(包括账务体系、权限和机构管理等);业务处理是指商业银行各应用系统完成核心业务逻辑,包括相关的各类银行业务(如存款、信贷、结售汇和柜面服务等);管理分析包括会计报表和资产负债管理系统。
商业银行核心业务一般流程是由“客户”依次到“柜面服务人员”、“中间业务平台”和“银行中心机房”,再由“银行中心机房”依次返回到“客户”的双向循环。商业银行通常以业务核心系统为中心,外围系统可以直接与核心系统通讯,也可以通过中间代理系统与核心系统通讯。
二、传统金融审计方式的局限性
由于受多种因素影响,传统金融审计目前仍停留在查错纠弊阶段。随着商业银行信息化程度的普及和管理水平的提高,这种审计方式的缺陷和弊端逐渐显露出来,难以适应形势发展的客观需要。
(一)无法科学评价商业银行总体经营状况的真实性、合法性和效益性
由于商业银行信息系统的复杂性及海量数据在总行大集中等因素影响,审计机关现有的审计技术与方法尚无法对商业银行的会计报表与原始电子数据的一致性作出准确地判断,无法核实商业银行整体经营成果的真实性;由于受人力、时间、设备以及审计技术等因素影响,审计机关难以对商业银行整体经营的合法性和效益性进行科学评价。从审计实践来看,审计机关对商业银行的审计结果只能回答哪些方面存在问题,而无法保证是否遗漏重大违法违规问题。另外,审计署《审计机关审计质量控制办法(试行)》规定要求对被审计单位进行审计评价,而各级审计机关通常的做法是根据查出问题多少和严重程度来作为评价基础,缺乏更加直接的审计证据支持,评价内容比较笼统,评价依据缺乏严谨性和科学性。
(二)无法保证所采集的电子数据的唯一性、完整性和准确性
由于商业银行信息系统设计开发缺陷或者手工输入错误等原因,系统中的数据质量可能会存在问题,数据重复与冗余、数据不完整或缺失等现象会时有发生。这种情况在单数据源的情况下相对容易解决,但在多数据源集成时,如果不加以纠正会使数据失真情况放大。因此,直接采集的被审单位的审计数据不一定能够完全满足审计需求,要对存在质量问题的电子数据进行清理。由于商业银行数据过于庞大及其特殊的安全性要求,审计机关通常依赖于被审单位的设备和技术支持,无法关注程序中源代码的逻辑错误,无法检查信息系统的输入输出控制,无法解决非法嵌入舞弊程序而篡改数据问题。因此,就无法保证所采集电子数据的唯一性、完整性和准确性,“假电子数据真审”的现象就难以避免。近年来的审计中,被审单位提供数据时常不及时、不完整和不准确。例如,2007年在审计某商业银行“××理财业务”时,该行会计和业务部门对同一业务提供的数据不一致、不准确且有明显的筛选和过滤情况(最终通过比较数据差异发现账外经营问题),给审计工作的开展造成了很大的障碍。
(三)难以做到审计方法的全面性、统一性和系统性
审计机关对商业银行的审计目标是全面性、统一性和系统性。通过对商业银行信息系统的特点、架构与一般业务流程的了解,我们会发现,审计机关目前对商业银行的审计所涉及的范围和内容还比较狭窄,具有很大的局限性。在实施审计过程中,受人员少和时间短等因素影响,往往不能进行全面性、系统性审计,审计的内容仅包括对公存款业务、信贷业务、中间业务、国际业务和会计管理业务等,并在此基础上有选择地进行重点抽查审计。在执行具体审计实施方案时,因侧重点不同也缺乏统一性。因此,现有审计技术与方法无法保证对商业银行进行全面性、统一性和系统性的审计。
内部制度失控是商业银行目前面临的最大风险。商业银行系统的合法使用者或系统管理人员由于误操作或故意违规,以及利用系统缺陷非法攻击等行为,致使系统数据篡改、泄露秘密、资产遭受损失。商业银行内部人员的主观故意违法行为会给银行经营安全带来巨大的灾难。例如,2005年中国银行哈尔滨分行河松街支行原行长高山内外勾结金融诈骗客户存款10亿元;2001年中国银行广东开平分行前后三任行长在长达十年多的时间里向海外非法转移资金近40亿元等案件,均由于内控完全失效给银行造成了重大损失。在信息系统审计方式下,审计机关通过系统运行控制审计和系统访问控制审计等技术方法,比较容易发现商业银行内控制度漏洞和管理存在的薄弱环节,能够有针对性地加强对商业银行内控制度的监管。
由于商业银行的业务都要在信息系统中操作,故其所有的操作都会在系统中产生动态或静态的痕迹,操作行为与痕迹之间必然会存在相应的关系。因此,对商业银行开展信息系统审计,以操作行为的正常规律与规则为依据,对相关痕迹进行分析,可以识别和发现商业银行在运行过程中存在的各种不当操作与非法操作,通过对一般具有显著特征的不合理行为和重大异常点的有效甄别,能够识别影响商业银行生存与发展的重大异常和风险事件,最终也必然会发现违法违规问题和大案要案线索。与传统的商业银行审计方法相比,信息系统审计因为对应用过程能够进行有效控制而能够更广泛、更有效地发现和防范金融风险。随着审计技术水平的提高,甚至可以通过系统审计软件对商业银行的异常交易进行实时监控审计,最大限度地降低审计风险。
随着国内金融市场完全对外开放,国家审计应当从更广泛的角度关注国家金融稳定与安全,为决策者提供更有说服力的审计报告。最近美国次贷风波和美元持续走软,热钱流入和股市暴涨暴跌,货币供应量增长与流动性过剩等,已经对我国经济产生了重大的影响,CPI居高不下,国内通胀趋势越来越严重。审计机关通过开展信息系统审计,对重点地区相关金融机构的信息进行分析与监测,可以发现导致上述现象的深层次影响因素,为国家宏观决策提供客观依据。
综上所述,审计机关对商业银行开展信息系统审计已势在必行。由于我国开展信息系统审计起步较晚,现阶段对商业银行开展信息系统审计要克服畏难情绪和畏惧心理,紧紧围绕国家金融审计总体目标,结合实际情况,有选择地开展信息系统生命周期审计、信息系统安全控制审计和信息系统应用控制审计等。通过不断的审计探索与实践,尽快完善和提高商业银行信息系统审计的技术与方法,更好地履行宪法和法律赋予审计机关的职责,充分发挥刘家义审计长提出的审计机关应当作为经济社会运行“免疫系统”的作用。