商業(yè)銀行信息系統(tǒng)內(nèi)部控制審計評價

楊益紅

（長春職業(yè)技術(shù)學(xué)院，吉林 長春 130033）

一、商業(yè)銀行信息系統(tǒng)內(nèi)部控制審計評價面臨的難點與問題

目前商業(yè)銀行信息系統(tǒng)內(nèi)部控制的審計評價尚不能滿足商業(yè)銀行對信息系統(tǒng)風(fēng)險防范的要求，與發(fā)達國家商業(yè)銀行信息系統(tǒng)的審計評價相比還存在不少差距，在審計評價中還面臨不少難點和困難。

1.信息系統(tǒng)的開發(fā)、應(yīng)用與內(nèi)部審計評價工作脫節(jié)。一是長期以來，商業(yè)銀行業(yè)務(wù)部門和開發(fā)部門在實施業(yè)務(wù)電算化過程中，只重視“計算機如何完成任務(wù)”方面的程序設(shè)計，而對計算機完成任務(wù)過程中，有關(guān)部門如何檢查程序本身的運行等方面的程序沒有給予足夠重視，開發(fā)出來的軟件沒有給審計留下接口。二是在系統(tǒng)的開發(fā)、推廣應(yīng)用以及內(nèi)控約束機制的設(shè)立中沒有內(nèi)審部門的提前介入和參與，這些都加大了今后信息系統(tǒng)內(nèi)部控制審計評價工作的難度。

2.內(nèi)審人員素質(zhì)和內(nèi)審部門的技術(shù)裝備還達不到信息技術(shù)審計評價的要求。信息系統(tǒng)內(nèi)部控制審計評價的專業(yè)性強，要求審計人員具有管理、審計和計算機等多方面的知識，目前各級行內(nèi)審部門計算機專業(yè)人才比較欠缺，現(xiàn)有的內(nèi)審人員普遍對信息技術(shù)的知識掌握不夠。同時內(nèi)審部門有關(guān)計算機輔助審計所需的設(shè)備配備不到位，這些問題都制約著商業(yè)銀行信息系統(tǒng)內(nèi)部控制審計評價工作的有效開展。

3.信息系統(tǒng)內(nèi)部控制審計評價過程中發(fā)現(xiàn)問題的難度加大。由于儲存在計算機磁性媒介上的數(shù)據(jù)容易被篡改，有時甚至能不留痕跡地篡改，同時數(shù)據(jù)庫技術(shù)的提高使數(shù)據(jù)高度集中，未經(jīng)授權(quán)的人員有可能通過計算機和網(wǎng)絡(luò)瀏覽全部數(shù)據(jù)文件，復(fù)制、偽造和銷毀重要的數(shù)據(jù)。這些作案的隱蔽性和危害性，使審計中發(fā)現(xiàn)計算機舞弊的難度較之手工處理方式更大，造成的危害和損失也可能更大。

4.信息系統(tǒng)內(nèi)部控制審計評價的手段落后。目前對信息系統(tǒng)現(xiàn)場檢查技術(shù)手段較為單一、落后，同時內(nèi)審部門開發(fā)的現(xiàn)有內(nèi)審業(yè)務(wù)處理系統(tǒng)還不夠完善，主要是為形成內(nèi)審檔案資料而研究開發(fā)的，其只完成了內(nèi)審人員形成的事實材料由手工操作到計算化的演變過程，還缺乏專門的一種對信息系統(tǒng)進行計算機輔助審計的應(yīng)用工作平臺，以至在信息系統(tǒng)內(nèi)部控制的審計評價中難以發(fā)現(xiàn)電子化業(yè)務(wù)處理中深層次的風(fēng)險隱患。

5.商業(yè)銀行還沒建立有效的、可操作性強的信息系統(tǒng)內(nèi)部控制測試和評價標(biāo)準(zhǔn)。內(nèi)審部門目前對信息系統(tǒng)內(nèi)部控制的測試還處在摸索階段，特別是基層商業(yè)銀行，大多數(shù)內(nèi)審人員均沒有進行過業(yè)務(wù)系統(tǒng)的培訓(xùn)，同時由于沒建立計算機信息測試評價標(biāo)準(zhǔn)，往往依靠本行科技人員來完成系統(tǒng)測試，給內(nèi)審人員最后對信息系統(tǒng)內(nèi)部控制進行有效的合規(guī)性審計評價造成一定的難度。

6.對信息系統(tǒng)內(nèi)部控制還沒有做到全過程的動態(tài)審計評價。目前商業(yè)銀行內(nèi)審部門對信息系統(tǒng)的審計僅僅停留在對其是否建立了相關(guān)的制度和執(zhí)行上，對信息系統(tǒng)內(nèi)部控制的風(fēng)險和隱患的審計不夠深入和全面，審計中往往發(fā)現(xiàn)不了一些已經(jīng)修改后的數(shù)據(jù)和原始記錄。同時由于內(nèi)審部門對信息系統(tǒng)還沒有建立起有效的內(nèi)審非現(xiàn)場監(jiān)督管理系統(tǒng)，難以對信息系統(tǒng)內(nèi)部控制進行動態(tài)的全過程的審計評價。

二、信息系統(tǒng)內(nèi)部控制審計評價的對策和建議

1.在當(dāng)前人們對信息系統(tǒng)內(nèi)部控制的認(rèn)識還不夠的情況下，由信息系統(tǒng)引起的各種風(fēng)險產(chǎn)生的損失將是巨大的，這就要求我們商業(yè)銀行的各級領(lǐng)導(dǎo)需進一步的提高對信息系統(tǒng)監(jiān)督評價的認(rèn)識，不斷加強對信息系統(tǒng)內(nèi)部控制審計評價工作的領(lǐng)導(dǎo)和支持，并積極為內(nèi)審部門開展對信息系統(tǒng)內(nèi)部控制的審計評價創(chuàng)造一個良好的軟、硬件環(huán)境。

2.吸收有一定工作經(jīng)驗的計算機專業(yè)技術(shù)人才充實到各級商業(yè)銀行內(nèi)審部門，改善現(xiàn)有內(nèi)審干部隊伍的人員結(jié)構(gòu)，以適應(yīng)今后日益頻繁的信息系統(tǒng)審計對審計人才的需求。同時要通過業(yè)務(wù)培訓(xùn)、交流和以查代訓(xùn)的方式提高現(xiàn)有內(nèi)審人員計算機應(yīng)用水平和理論知識，并及時了解和借鑒國際上先進的信息系統(tǒng)審計理念、方式和方法。

3.內(nèi)審部門要積極介入同級業(yè)務(wù)和技術(shù)部門的軟件開發(fā)全過程，整個軟件開發(fā)從業(yè)務(wù)需求的提出、數(shù)據(jù)結(jié)構(gòu)和內(nèi)部控制的設(shè)計、程序代碼的編寫、軟件測試、試運行到軟件驗收，審計人員都應(yīng)站在內(nèi)審部門的角度從信息系統(tǒng)的合法合規(guī)性、安全可靠性、可維護性、可審計性及內(nèi)部控制機制的完善性等方面提出內(nèi)審獨立的意見和建議，以便從軟件開發(fā)的源頭上防止系統(tǒng)出現(xiàn)漏洞和缺陷等安全隱患。

4.內(nèi)審部門要抓緊建立計算機化的審計環(huán)境，信息系統(tǒng)審計專用計算機平臺能促進信息系統(tǒng)審計工作的規(guī)范化，提高信息系統(tǒng)審計工作效率和質(zhì)量。

5.商業(yè)銀行應(yīng)出臺相應(yīng)法規(guī)，將信息系統(tǒng)開發(fā)時留有審計接口作為一條強制性規(guī)定明確下來，以推動計算機輔助審計方法的應(yīng)用和信息系統(tǒng)內(nèi)部控制審計的順利實施。借助信息系統(tǒng)的審計接口、網(wǎng)絡(luò)和一定的計算機審計輔助手段，審計人員就能通過非現(xiàn)場監(jiān)督手段系統(tǒng)、全面和連續(xù)的對在信息系統(tǒng)中流動著的數(shù)據(jù)信息進行實時動態(tài)檢查，做到既能檢查數(shù)據(jù)的來源和結(jié)果，也能檢查數(shù)據(jù)的流動軌跡。

[1]李疆.商業(yè)銀行信息管理系統(tǒng)的設(shè)計與實現(xiàn)[D].成都：電子科技大學(xué)，2010.

[2]劉美升 商業(yè)銀行內(nèi)部控制審計評價系統(tǒng)的開發(fā)與應(yīng)用[D].濟南：山東大學(xué)，2011.

[3]孫凌宇.我國國有商業(yè)銀行內(nèi)部控制研究[J].時代金融，2008（06）.

[4]張政航.淺談內(nèi)部審計在商業(yè)銀行內(nèi)部控制體系建設(shè)中的作用[J]科學(xué)與財富，2011（11）.