金融机构数据式信息系统审计风险分析模型

刘璐　刘苗苗　李梦超

摘要： [JP]作为现代经济的核心，城市商业银行多年来对金融电子化、信息化建设非常关注。在加快实现银行信息化建设的过程中，保证信息技术应用的合理性、有效性和经济性以及确保信息系统的可操作性和安全性是商业银行关注的重点。

关键词： 金融机构三大风险；数据式审计；信息系统审计风险分析模型

1项目研究背景及研究的目的和意义

商业银行风险管控“三道防线”成为目前金融机构风险管理体系的成熟做法，在这样的背景下，发挥第三道防线作用的信息系统审计成为了商业银行风险管理与IT治理的重要组成部分。

与国有大型商业银行相比较，城市商业银行、农村商业银行以及地方股份制银行等在信息系统审计领域处于起步阶段，审计风险分析能力与方法尚不完备，存在缺少分析模型或者模型应用不当等问题，在适应监管要求和完善银行内部审计体系方面还有进一步提高的空间。

因此本文通过理论研究和实证相结合的方法，探索城市商业银行等中小金融机构风险导向信息系统审计分析模型，并针对当前金融信息化和风险管理的现状，提出改进金融机构信息系统审计工作的实质性建议，促进中小金融机构风险管理与内部审计健康有序的发展。

2商业银行基于数据式审计下的风险模型

现代风险导向审计以被审计单位的战略经营风险分析为导向进行审计。因此又被称为经营风险审计，或被称为风险基础战略系统审计：

审计风险=重大错报风险×检查风险

其中：审计风险=会计报表存在重大错报而注册会计师发表不恰当审计意见的可能性；重大错报风险=会计报表在审计前存在重大错报的可能性；检查风险=某一认定存在错报，该错报单独或连同其他错报是重大的，但审计人员没有发现风险的可能性。

3基于现代审计风险模型下商业银行的审计风险

31 重大错报风险

重大错报风险简而言之就是指会计报表在审计前存在重大错报的可能性。在信息化环境下我们应着重考虑商业银行内部计算机硬件系统的应用、操作和管理规范等安全控制制度不够健全、有效，导致无法恰当地防止、发现和及时纠正会计信息系统可能出现的各种错误的风险。

32 检查风险

检查风险是指商业银行内部计算机软硬件系统的相关安全措施未能及时防止、发现和纠正会计信息系统出现的错误，审计人员也未能合理地运用相关技术进行实质性测试以发现该错误的风险。

4信息系统审计风险分析模型中的各风险影响因素

41 重大错报风险影响因素

411 金融机构操作风险对重大错报风险的影响

目前，商业银行所面临的首要任务是防范和控制经营过程中产生的风险，这就要求实施全面风险管理战略，而实施该战略又使得商业银行必须在利润和风险之间做出适当的选择。若在商业银行中引入信息系统审计风险分析，则可以将传统的合规性审计转变为以风险预警和防范为目标的风险审计。

引起高度关注的银行业金融机构三大风险中与信息系统审计的关系最为密切的是第三项中的操作风险。这些风险包括银行内部或外部人员实施的舞弊；未经授权接触金融机构资产包括信息）；有瑕疵的计算机程序和输入数据被篡改等。

防范和降低金融机构的操作风险则可通过内部控制则作为一个防护屏障用以保护金融机构资产来防范其中的操作风险。

412 重大错报风险影响因素总结

通过资料的查询总结得出重大错报风险影响因素有以下十点：

1）商业银行管理层舞弊的可能性和收监管部门的检查效果；

2）商业银行内部沟通的有效性；

3）商业银行内部控制制度的健全程度；

4）商业银行控制系统及控制程序是否恰当；

5）商业银行信息系统的可靠性；

6）商业银行会计政策的选择和应用；

7）商业银行商业银行数据的完整性与真实性；

8）商业银行的财务状况及财务业绩的衡量和评价；

9）商业银行的目标、战略以及相关经营风险；

10）行业状况、经济环境、法律环境和监管环境以及其他外部因素。

42 检查风险影响因素

421 审计师数据式审计流程

检查风险中，对于审计师来说，数据风险影响应当受到较大的关注，下面是审计师进行数据式审计时应当执行的操作，若审计师忽略了或者错误执行某个操作，可能会导致检查风险。