现代信息技术已普遍应用于商业银行的所有机构,并涵盖其业务和过程。审计机关目前应用的主要金融审计模式是数据式审计,即对商业银行静态数据进行分析和测试。从审计实践来看,这种审计方式由于缺乏对系统的控制而不能保障电子数据的唯一性、完整性和准确性,无法从根本上有效控制被审计单位的电子数据质量;从发展趋势来看,数据式审计方式由于过分关注数据本身而缺乏对系统整体的分析,难以控制总体审计风险,其局限性正逐渐显露出来。为有效解决上述问题,审计机关应当尽快对商业银行开展信息系统审计。
现代商业银行的信息系统一般具有下列特点:系统结构复杂,对硬件、软件的质量和安全性能要求高;数据量大(各行数据普遍实行总行大集中);本外币一体化的统一会计核算方式;以客户为中心、面向服务的设计理念;衍生金融新产品多;业务实时性强,支持24小时服务等。目前,商业银行系统中业务网操作系统基本是UNIX操作系统,办公网基本是WINDOWS操作系统,并根据不同类型的操作系统配备相应的客户端防病毒系统;网上银行、电子商务、网上交易系统都是通过INTERNET公网。另外,银行的中间代理业务需要同相关单位的局域网互联。商业银行业务系统基本采用Client/Server模式,并配备相应的备份与灾难恢复系统。
商业银行信息系统一般可分为信息管理类系统、渠道类系统和外部清算结算类系统。信息管理类系统与决策、管理和业务相关,以提高效率和规避风险为目的,主要有贷款系统、授权和授信系统、征信系统、客户管理系统、数据仓库系统、资产负债管理系统、办公自动化系统、后督系统、档案系统(票据影像缩微系统和光学字符识别OCR)、数字终端录像系统、数字视频监控系统等。渠道类系统是商业银行面向市场和客户的窗口,也是对外服务使用的载体,包括人工渠道、电子渠道和第三方渠道。人工渠道有柜面服务和职能部门的业务终端(例如会计帐查询系统、信贷审批系统等);电子渠道分为自助服务系统(电话银行、手机银行、网上银行和企业银行)和自助服务终端(ATM和POS);第三方渠道包括银联交易、区域性通存通兑和同城跨行通存通兑等。外部清算结算类系统是指有外部接口的系统,包括行间资金转账系统SHIFT(主要有大额清算系统、小额清算系统、区域性专项业务清算系统)、同城交换系统、央行往来清算系统、同业往来清算系统和第三方存管清算系统。
(三)商业银行核心业务系统一般流程
商业银行信息系统有业务核心系统和外围系统两部分。业务核心系统主要包括存款系统、贷款系统、国际业务系统、支付清算系统、资金交易系统和衍生业务系统等,其余为外围系统,主要包括内部后台系统和连接外部系统两部分。业务核心系统一般分为基础支持、业务处理和管理分析三个部分,基础支持是指依据核心业务支撑平台(数据逻辑和数据),来完成基本指令(包括账务体系、权限和机构管理等);业务处理是指商业银行各应用系统完成核心业务逻辑,包括相关的各类银行业务(如存款、信贷、结售汇和柜面服务等);管理分析包括会计报表和资产负债管理系统。
商业银行核心业务一般流程是由“客户”依次到“柜面服务人员”、“中间业务平台”和“银行中心机房”,再由“银行中心机房”依次返回到“客户”的双向循环。商业银行通常以业务核心系统为中心,外围系统可以直接与核心系统通讯,也可以通过中间代理系统与核心系统通讯。
二、传统金融审计方式的局限性
由于受多种因素影响,传统金融审计目前仍停留在查错纠弊阶段。随着商业银行信息化程度的普及和管理水平的提高,这种审计方式的缺陷和弊端逐渐显露出来,难以适应形势发展的客观需要。
(一)无法科学评价商业银行总体经营状况的真实性、合法性和效益性
由于商业银行信息系统的复杂性及海量数据在总行大集中等因素影响,审计机关现有的审计技术与方法尚无法对商业银行的会计报表与原始电子数据的一致性作出准确地判断,无法核实商业银行整体经营成果的真实性;由于受人力、时间、设备以及审计技术等因素影响,审计机关难以对商业银行整体经营的合法性和效益性进行科学评价。从审计实践来看,审计机关对商业银行的审计结果只能回答哪些方面存在问题,而无法保证是否遗漏重大违法违规问题。另外,审计署《审计机关审计质量控制办法(试行)》规定要求对被审计单位进行审计评价,而各级审计机关通常的做法是根据查出问题多少和严重程度来作为评价基础,缺乏更加直接的审计证据支持,评价内容比较笼统,评价依据缺乏严谨性和科学性。
(二)无法保证所采集的电子数据的唯一性、完整性和准确性
由于商业银行信息系统设计开发缺陷或者手工输入错误等原因,系统中的数据质量可能会存在问题,数据重复与冗余、数据不完整或缺失等现象会时有发生。这种情况在单数据源的情况下相对容易解决,但在多数据源集成时,如果不加以纠正会使数据失真情况放大。因此,直接采集的被审单位的审计数据不一定能够完全满足审计需求,要对存在质量问题的电子数据进行清理。由于商业银行数据过于庞大及其特殊的安全性要求,审计机关通常依赖于被审单位的设备和技术支持,无法关注程序中源代码的逻辑错误,无法检查信息系统的输入输出控制,无法解决非法嵌入舞弊程序而篡改数据问题。因此,就无法保证所采集电子数据的唯一性、完整性和准确性,“假电子数据真审”的现象就难以避免。近年来的审计中,被审单位提供数据时常不及时、不完整和不准确。例如,2007年在审计某商业银行“××理财业务”时,该行会计和业务部门对同一业务提供的数据不一致、不准确且有明显的筛选和过滤情况(最终通过比较数据差异发现账外经营问题),给审计工作的开展造成了很大的障碍。
(三)难以做到审计方法的全面性、统一性和系统性
审计机关对商业银行的审计目标是全面性、统一性和系统性。通过对商业银行信息系统的特点、架构与一般业务流程的了解,我们会发现,审计机关目前对商业银行的审计所涉及的范围和内容还比较狭窄,具有很大的局限性。在实施审计过程中,受人员少和时间短等因素影响,往往不能进行全面性、系统性审计,审计的内容仅包括对公存款业务、信贷业务、中间业务、国际业务和会计管理业务等,并在此基础上有选择地进行重点抽查审计。在执行具体审计实施方案时,因侧重点不同也缺乏统一性。因此,现有审计技术与方法无法保证对商业银行进行全面性、统一性和系统性的审计。