商業(yè)銀行信息系統(tǒng)內(nèi)部控制審計(jì)的探索

○賈蘭蘭

（中國(guó)銀行股份有限公司新疆分行稽核部 新疆 烏魯木齊 830000）

一、商業(yè)銀行信息系統(tǒng)內(nèi)部控制審計(jì)的現(xiàn)狀

目前，我國(guó)商業(yè)銀行信息系統(tǒng)內(nèi)部控制審計(jì)尚不能充分滿足商業(yè)銀行對(duì)信息系統(tǒng)風(fēng)險(xiǎn)防范的要求，在信息系統(tǒng)內(nèi)部控制審計(jì)工作開展中還面臨不少難點(diǎn)和困難。

一是商業(yè)銀行信息系統(tǒng)的開發(fā)、應(yīng)用與內(nèi)部審計(jì)工作長(zhǎng)期脫節(jié)。商業(yè)銀行實(shí)施業(yè)務(wù)信息化過程中，往往側(cè)重于“所搭建的信息系統(tǒng)如何出色地完成業(yè)務(wù)需要”方面的程序設(shè)計(jì)，而忽視了審計(jì)部門如何檢查程序本身的運(yùn)行問題，開發(fā)出來的軟件未給審計(jì)工作留有接口。

二是商業(yè)銀行審計(jì)人員業(yè)務(wù)素質(zhì)尚不能滿足對(duì)信息系統(tǒng)開展內(nèi)部控制審計(jì)的要求。信息系統(tǒng)內(nèi)部控制審計(jì)專業(yè)性較強(qiáng)，對(duì)審計(jì)人員要求極高，不僅要具備銀行業(yè)務(wù)知識(shí)及審計(jì)經(jīng)驗(yàn)，還要具備軟硬件、網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)、項(xiàng)目管理、系統(tǒng)維護(hù)及信息安全等信息化相關(guān)知識(shí)。

三是信息系統(tǒng)內(nèi)部控制審計(jì)發(fā)現(xiàn)問題的難度加大。一方面，儲(chǔ)存在信息系統(tǒng)的數(shù)據(jù)容易被篡改。另一方面，數(shù)據(jù)庫(kù)技術(shù)的提高使數(shù)據(jù)高度集中，未經(jīng)授權(quán)進(jìn)入數(shù)據(jù)庫(kù)，容易復(fù)制、偽造和銷毀重要的數(shù)據(jù)。這些作案手段的隱蔽性和危害性，使審計(jì)工作發(fā)現(xiàn)信息系統(tǒng)舞弊的難度較大，造成的危害和損失也可更大。

二、商業(yè)銀行信息系統(tǒng)內(nèi)部控制審計(jì)

1、商業(yè)銀行信息系統(tǒng)內(nèi)部控制概要

（1）商業(yè)銀行信息系統(tǒng)

商業(yè)銀行信息系統(tǒng)一般主要由信息管理類、外部結(jié)算類和渠道類三部分構(gòu)成。其中信息管理類系統(tǒng)與決策、管理和業(yè)務(wù)相關(guān)，以提高效率和規(guī)避風(fēng)險(xiǎn)為目的；渠道類系統(tǒng)是商業(yè)銀行面向市場(chǎng)和客戶的窗口，是對(duì)外服務(wù)使用的載體，包括人工渠道、電子渠道和第三方渠道；外部結(jié)算類系統(tǒng)是有外部接口的業(yè)務(wù)處理系統(tǒng)。

（2）商業(yè)銀行信息系統(tǒng)特點(diǎn)

商業(yè)銀行的信息系統(tǒng)一般具有系統(tǒng)結(jié)構(gòu)復(fù)雜，對(duì)硬件、軟件質(zhì)量和安全性能要求較高，信息系統(tǒng)結(jié)構(gòu)復(fù)雜，數(shù)據(jù)量大，實(shí)時(shí)性強(qiáng)等特點(diǎn)。

（3）商業(yè)銀行信息系統(tǒng)內(nèi)部控制

商業(yè)銀行信息系統(tǒng)的內(nèi)部控制一般可分為制度控制、應(yīng)用技術(shù)控制、檢查與監(jiān)督控制三個(gè)方面。其中，制度控制是商業(yè)銀行信息系統(tǒng)控制的重點(diǎn)，制度控制包括組織控制、管理控制、系統(tǒng)開發(fā)控制、操作控制、相關(guān)資料與數(shù)據(jù)的控制等若干個(gè)方面；應(yīng)用技術(shù)控制的目的是保證信息系統(tǒng)數(shù)據(jù)處理的及時(shí)性、準(zhǔn)確性和完整性，技術(shù)控制主要包括口令控制、權(quán)限控制和后臺(tái)監(jiān)控等；檢查與監(jiān)督控制是為了有效地監(jiān)督信息系統(tǒng)實(shí)現(xiàn)經(jīng)營(yíng)目標(biāo)、保證會(huì)計(jì)信息及時(shí)準(zhǔn)確而形成的一套風(fēng)險(xiǎn)控制與監(jiān)督系統(tǒng)。

2、商業(yè)銀行信息系統(tǒng)內(nèi)部控制審計(jì)的含義

商業(yè)銀行信息系統(tǒng)內(nèi)部控制審計(jì)，是對(duì)商業(yè)銀行信息系統(tǒng)內(nèi)部控制設(shè)計(jì)與運(yùn)行的完整性、合理性、有效性進(jìn)行審查和評(píng)價(jià)，對(duì)促進(jìn)加強(qiáng)信息系統(tǒng)內(nèi)部控制建設(shè)，防范潛在風(fēng)險(xiǎn)具有重要意義。

3、商業(yè)銀行信息系統(tǒng)內(nèi)部控制評(píng)價(jià)標(biāo)準(zhǔn)

商業(yè)銀行信息系統(tǒng)內(nèi)部控制評(píng)價(jià)的標(biāo)準(zhǔn)，是商業(yè)銀行信息系統(tǒng)內(nèi)部控制整體運(yùn)行應(yīng)遵循和達(dá)到的目標(biāo)，主要包括內(nèi)部控制的完整性、合理性及有效性。

三、商業(yè)銀行信息系統(tǒng)內(nèi)控制審計(jì)的應(yīng)用

1、信息系統(tǒng)內(nèi)部控制審計(jì)的主要內(nèi)容

（1）信息系統(tǒng)的內(nèi)部控制制度審查

一方面審查內(nèi)部控制制度在信息系統(tǒng)的取得途徑及未來風(fēng)險(xiǎn)評(píng)估方面的內(nèi)容。另一方面審查內(nèi)部控制制度是否能保證商業(yè)銀行在信息系統(tǒng)維護(hù)方面的權(quán)限。信息系統(tǒng)內(nèi)部控制制度要保證，商業(yè)銀行能夠?qū)π畔⑾到y(tǒng)進(jìn)行一般性的日常維護(hù)。

（2）信息系統(tǒng)操作運(yùn)行

首先，不相容職能相分離的控制措施是信息系統(tǒng)設(shè)置的基礎(chǔ)，并在信息系統(tǒng)內(nèi)部控制中處于核心地位。因此，要著重對(duì)商業(yè)銀行不相容職務(wù)的相關(guān)制度進(jìn)行審查，明確是否存在不相容職務(wù)方面的內(nèi)部控制制度。

其次，授權(quán)訪問控制措施是確保只有被授權(quán)的用戶才能實(shí)現(xiàn)對(duì)特定數(shù)據(jù)和資源的訪問。主要審查內(nèi)容包括：對(duì)數(shù)據(jù)庫(kù)的訪問是否有嚴(yán)格的授權(quán)限制，系統(tǒng)管理員、操作人員的系統(tǒng)用戶名的唯一性、密碼是否定期更換，是否存在易被破解的密碼。

（3）信息系統(tǒng)的數(shù)據(jù)存儲(chǔ)、備份和資源管理

商業(yè)銀行信息系統(tǒng)存儲(chǔ)的數(shù)據(jù)資源不同于傳統(tǒng)的一般意義上的數(shù)據(jù)，它基于電子手段，一旦信息系統(tǒng)在程序上崩潰，可能導(dǎo)致數(shù)據(jù)資源永久的消失。所以信息系統(tǒng)數(shù)據(jù)資源的定期備份是必要的，并且備份后的數(shù)據(jù)資源應(yīng)分開在不同的媒介存放，以防備份數(shù)據(jù)的丟失。

（4）關(guān)鍵控制環(huán)節(jié)

應(yīng)著重檢查輸入、處理和輸出這三個(gè)關(guān)鍵控制環(huán)節(jié)的實(shí)施情況。其中，輸入控制主要包括原始單證審查控制、輸入正確性校驗(yàn)、輸入完整性校驗(yàn)和輸入糾錯(cuò)控制；處理控制常見的控制措施有處理權(quán)限控制、業(yè)務(wù)時(shí)序控制、合理性校驗(yàn)、參照檢查控制、備份與恢復(fù)控制等；輸出控制主要包括數(shù)據(jù)的準(zhǔn)確性控制、權(quán)限控制、輸出數(shù)據(jù)審核控制、輸出差錯(cuò)更正控制等。

2、信息系統(tǒng)內(nèi)部控制審計(jì)的主要技術(shù)方法

目前，開展商業(yè)銀行信息系統(tǒng)內(nèi)部控制審計(jì)工作，可考慮采用的主要技術(shù)方法包括嵌入軟件測(cè)試法、快照法、數(shù)據(jù)處理技術(shù)和數(shù)據(jù)分析技術(shù)等。

（1）嵌入軟件測(cè)試法是在商業(yè)銀行信息系統(tǒng)中嵌入為執(zhí)行特定審查目標(biāo)而設(shè)計(jì)的測(cè)試程序，利用該嵌入的測(cè)試程序?qū)π畔⑾到y(tǒng)功能和控制進(jìn)行檢查的方法。該方法除了作為常用的測(cè)試技術(shù)外，還可用來實(shí)時(shí)監(jiān)督信息系統(tǒng)的日常處理，對(duì)異常處理進(jìn)行預(yù)警。

（2）快照法是關(guān)于指定數(shù)據(jù)集合的一個(gè)完全可用拷貝，拷貝包括相應(yīng)數(shù)據(jù)在某個(gè)時(shí)間點(diǎn)拷貝開始的時(shí)間點(diǎn)的映像?？煺湛梢允瞧渌硎镜臄?shù)據(jù)的一個(gè)副本，也可以是數(shù)據(jù)的一個(gè)復(fù)制品。快照的作用主要是能夠進(jìn)行在線數(shù)據(jù)恢復(fù)和測(cè)試性工作。

（3）數(shù)據(jù)處理技術(shù)主要用于對(duì)數(shù)據(jù)進(jìn)行采集、存儲(chǔ)和加工，形成審計(jì)數(shù)據(jù)平臺(tái)。當(dāng)商業(yè)銀行審計(jì)部門將若干信息系統(tǒng)的原始數(shù)據(jù)“復(fù)制”到一個(gè)數(shù)據(jù)庫(kù)時(shí)，這只是完成了數(shù)據(jù)的“集合”。要實(shí)現(xiàn)面向分析的“數(shù)據(jù)倉(cāng)庫(kù)”，往往還要根據(jù)“主題”目標(biāo)對(duì)原始數(shù)據(jù)進(jìn)行清洗、轉(zhuǎn)換，消除源數(shù)據(jù)間的不一致性，通過歸納、重組提高數(shù)據(jù)“集成度”。

（4）數(shù)據(jù)分析技術(shù)主要是基于采集的信息系統(tǒng)數(shù)據(jù)進(jìn)行具體分析的方法，常用的數(shù)據(jù)分析技術(shù)包括SQL技術(shù)、聯(lián)機(jī)分析處理和數(shù)據(jù)挖掘等。

3、信息系統(tǒng)內(nèi)部控制審計(jì)的主要步驟

（1）初步審查和評(píng)價(jià)信息系統(tǒng)內(nèi)部控制

初步審查的目的是了解計(jì)算機(jī)信息系統(tǒng)在商業(yè)銀行業(yè)務(wù)中的應(yīng)用程度，初步熟悉商業(yè)銀行信息系統(tǒng)的流程和內(nèi)部控制的基本狀況?？刹扇⊥ㄟ^問題調(diào)查表和初步評(píng)價(jià)表對(duì)信息系統(tǒng)內(nèi)部控制初步審查及評(píng)價(jià)。

（2）信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)評(píng)估

按照風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)原理，開展對(duì)信息系統(tǒng)內(nèi)部控制審計(jì)時(shí)應(yīng)當(dāng)以風(fēng)險(xiǎn)評(píng)估為基礎(chǔ)，選擇擬測(cè)試的信息系統(tǒng)內(nèi)部控制，確定測(cè)試所需要收集的證據(jù)。

同時(shí)，可考慮將商業(yè)銀行信息系統(tǒng)的數(shù)據(jù)輸入到風(fēng)險(xiǎn)與內(nèi)控評(píng)價(jià)系統(tǒng)中，通過對(duì)系統(tǒng)中所嵌入的評(píng)價(jià)模型的應(yīng)用，對(duì)被審計(jì)對(duì)象信息系統(tǒng)內(nèi)部控制整體風(fēng)險(xiǎn)控制情況做出評(píng)價(jià)。

（3）對(duì)內(nèi)部控制執(zhí)行情況進(jìn)行符合性測(cè)試

信息系統(tǒng)內(nèi)部控制符合性測(cè)試，主要是對(duì)商業(yè)銀行信息系統(tǒng)內(nèi)部控制設(shè)計(jì)、運(yùn)行的有效性進(jìn)行測(cè)試。對(duì)信息系統(tǒng)內(nèi)部控制設(shè)計(jì)有效性測(cè)試時(shí)，綜合運(yùn)用詢問相關(guān)人員、觀察經(jīng)營(yíng)活動(dòng)和檢查相關(guān)文件等方法。

（4）評(píng)價(jià)信息系統(tǒng)內(nèi)部控制缺陷

評(píng)價(jià)信息系統(tǒng)內(nèi)部控制缺陷，是對(duì)商業(yè)銀行信息系統(tǒng)內(nèi)部控制設(shè)計(jì)和執(zhí)行有效性方面存在的缺陷進(jìn)行分析和評(píng)價(jià)。評(píng)價(jià)時(shí)，應(yīng)當(dāng)充分考慮信息系統(tǒng)戰(zhàn)略規(guī)劃、未來發(fā)展的實(shí)際需要以及成本與效益相匹配的原則。

（5）撰寫信息系統(tǒng)內(nèi)部控制審計(jì)報(bào)告

對(duì)已發(fā)現(xiàn)的商業(yè)銀行信息系統(tǒng)內(nèi)部控制重大缺陷，應(yīng)當(dāng)及時(shí)與被查單位進(jìn)行溝通，核對(duì)測(cè)試結(jié)果和數(shù)據(jù)，確認(rèn)信息系統(tǒng)內(nèi)部控制缺陷事實(shí)。同時(shí)，撰寫信息系統(tǒng)內(nèi)部控制審計(jì)報(bào)告，對(duì)存在的問題以及可能導(dǎo)致的錯(cuò)誤，提出改進(jìn)建議。

四、有效提高商業(yè)銀信息系統(tǒng)內(nèi)部控制審計(jì)工作質(zhì)量的策略

目前，商業(yè)銀行信息系統(tǒng)內(nèi)部控制審計(jì)應(yīng)依托并借鑒先進(jìn)經(jīng)驗(yàn)與信息技術(shù)，逐步建立起內(nèi)部控制審計(jì)技術(shù)體系，在各類分析信息技術(shù)應(yīng)用的同時(shí)，也在不斷優(yōu)化審計(jì)工作模式，提高審計(jì)工作價(jià)值，促進(jìn)內(nèi)部控制審計(jì)技術(shù)與審計(jì)工作的深度融合。如何通過信息化審計(jì)技術(shù)進(jìn)一步提高商業(yè)銀行信息系統(tǒng)內(nèi)部控制審計(jì)的工作質(zhì)量，應(yīng)在以下幾個(gè)方面進(jìn)行一些探索和實(shí)踐。

1、加強(qiáng)信息化專業(yè)人才培養(yǎng)，優(yōu)化審計(jì)人員知識(shí)結(jié)構(gòu)

商業(yè)銀行的信息系統(tǒng)審計(jì)工作需要一支既精通審計(jì)業(yè)務(wù)又掌握信息技術(shù)的隊(duì)伍。采取多種措施促進(jìn)審計(jì)隊(duì)伍的知識(shí)結(jié)構(gòu)優(yōu)化：一是吸收計(jì)算機(jī)專業(yè)人員，把他們培養(yǎng)成審計(jì)人員，充實(shí)現(xiàn)有審計(jì)專業(yè)隊(duì)伍，提高信息化審計(jì)人員對(duì)商業(yè)銀行信息系統(tǒng)內(nèi)部控制審計(jì)項(xiàng)目的參與度；二是對(duì)現(xiàn)有審計(jì)人員開展信息系統(tǒng)知識(shí)培訓(xùn)和繼續(xù)教育，培養(yǎng)成信息系統(tǒng)審計(jì)師；三是建立激勵(lì)機(jī)制，推行信息系統(tǒng)審計(jì)師持證上崗制度，鼓勵(lì)內(nèi)審人員學(xué)習(xí)和鉆研計(jì)算機(jī)知識(shí)，考取國(guó)家計(jì)算機(jī)資格等級(jí)證書。

2、積極介入系統(tǒng)開發(fā)，系統(tǒng)設(shè)計(jì)須支持審計(jì)工作

商業(yè)銀行信息系統(tǒng)在系統(tǒng)開發(fā)時(shí)，從需求的提出、數(shù)據(jù)結(jié)構(gòu)和內(nèi)部控制的設(shè)計(jì)、程序代碼的編寫、軟件測(cè)試、試運(yùn)行到軟件驗(yàn)收等方面，審計(jì)人員都應(yīng)站在內(nèi)部控制的角度積極介入信息系統(tǒng)開發(fā)全過程，防止從信息系統(tǒng)開發(fā)源頭上可能出現(xiàn)的系統(tǒng)性漏洞或缺陷等安全隱患。

商業(yè)銀行的監(jiān)管部門應(yīng)出臺(tái)相應(yīng)法規(guī)，明確要求商業(yè)銀行在信息系統(tǒng)開發(fā)時(shí)留有審計(jì)接口，以推動(dòng)信息化審計(jì)方法的應(yīng)用和信息系統(tǒng)內(nèi)部控制審計(jì)的順利實(shí)施。

3、建立信息系統(tǒng)內(nèi)部控制監(jiān)控系統(tǒng)

信息化的審計(jì)環(huán)境可有效促進(jìn)信息系統(tǒng)內(nèi)部控制審計(jì)工作的規(guī)范化，提高審計(jì)工作的效率和質(zhì)量。為此，可考慮根據(jù)實(shí)際情況建立商業(yè)銀行信息系統(tǒng)內(nèi)部控制日常監(jiān)控系統(tǒng)，動(dòng)態(tài)監(jiān)控內(nèi)部控制現(xiàn)狀，及時(shí)準(zhǔn)確地發(fā)現(xiàn)信息系統(tǒng)內(nèi)部控制的異常情況，將商業(yè)銀行的風(fēng)險(xiǎn)和損失降低到最低限度。

綜上所述，面對(duì)日趨頻繁的信息系統(tǒng)內(nèi)部控制審計(jì)工作，商業(yè)銀行首先要建立完善科學(xué)的信息系統(tǒng)和相應(yīng)的內(nèi)部控制制度，并使兩者融為一體、相輔相成，科學(xué)有效的信息化審計(jì)方法與豐富的審計(jì)職業(yè)判斷相結(jié)合，方可把商業(yè)銀行信息系統(tǒng)潛在的風(fēng)險(xiǎn)水平降低到最低，為商業(yè)銀行的健康發(fā)展保駕護(hù)航。

[1]裴立公：關(guān)于商業(yè)銀行信息系統(tǒng)審計(jì)的必要性分析[J].實(shí)務(wù)·信息化論壇，2012（7）.

[2]黃景梅：企業(yè)信息系統(tǒng)內(nèi)部控制審計(jì)初探[J].廣西電業(yè)，2011（Z1）.

[3]李三喜：企業(yè)如何進(jìn)行信息系統(tǒng)內(nèi)部控制審計(jì)[N].財(cái)會(huì)信報(bào)，2014-12-25.

[4]劉美升：商業(yè)銀行內(nèi)部控制審計(jì)評(píng)價(jià)系統(tǒng)的開發(fā)與應(yīng)用[D].山東大學(xué)，2011.