借助内部审计信息化，提升风险防范能力

陆继军

摘 要：随着计算机和互联网技术的普及应用，农村商业银行系统电子化程度的日益提高以及数据集中处理系统建设力度的加大，计算机信息技术对农村商业银行内部审计带来了深刻的影响，内部审计方法和审计技术也随之发生了一系列的变革，有了新的突破。本文就通过技术的创新带动内部审计技术方法的改进和创新，充分发挥科技对管理提升、风险防控和内部审计的支撑和引领作用，提升审计的科技含量，将高效的计算机信息处理技术融入现行的审计工具中，把信息技术和创新的审计方法结合起来，借助计算机技术提升内审风险防范能力提出一些粗浅的看法。

关键词：内部审计；信息技术；风险防范

一、建设审计信息系统的必要性

近年来，农村商业银行的各项业务处理已逐步实现计算机自动处理，绝大多数的纸质资料打印正在淡化，审计所需要的大量信息都储存在只能通过计算机识别的存储器上，如光盘、U盘、移动硬盘等等，传统的一些审计线索也将随着计算机处理而中断、消失。同时农村商业银行内部控制也逐步从计算机控制作为手工补充的软约束转变为计算机自动控制的硬性控制，随着大数据大集中的推进，信息化进程中存在操作流程缺失、操作轨迹不可见、信息系统人为欺诈、生产系统故障等各种风险隐患。主要原因有：

1、计算机审计没有统一规范的程序、步骤和方法。数据的采集缺乏规范，导致在审前和审中采集了大量的银行电子数据，但真正得到有效分析利用的却很少，浪费了大量人力和财力。同时，数据验证及信息系统内部控制测试等关键环节缺失，数据分析带有较大的随意性和计算机数据分析人员的个人偏好。

2、农村商业银行开发的审计模块比较单一、零散不成体系，缺乏科学性和系统性，导致设备闲置与紧缺并存。银行内部审计信息化建设和发展是一个完整的系统，由于缺乏统一规划，农商行内部建立了较多的系统，而各系统之间数据结构不统一，一个系统产生的数据，另一个系统无法使用，各系统模块之间缺乏通用性。由于信息没有实现共享，造成各应用单位自成体系，重复投资开发，设备闲置和紧缺现象并存。

3、农村商业银行各项业务发展越来越快，金融产品创新步伐日益加快，为了适应业务发展的需要，农村商业银行内部审计范围也逐渐扩大，这使得内部审计部门快速获取各种业务发展数据变得困难。

4、在商业银行开展计算机审计的实践中，大多数情况下是以对方提供的数据真实完整、信息系统安全可靠为前提的，基本上是就数据审数据，并没有对系统内部控制进行分析、测试和评价。实际上，信息系统内部控制的合理性、健全性和有效性直接影响着数据的真实性、完整性和正确性。因此，信息系统审计内容的缺失使商业银行计算机审计始终徘徊在较低层次，也给审计人员带来一定的审计风险。

5、高素质“复合型”审计人才短缺，导致高投入与低产出并存，审计成本不断攀升。现有审计人员中真正具有较高计算机水平的人员不多，既精通计算机编程又熟悉审计业务的复合型人才更少，严重制约了计算机应用水平。

二、建设审计信息系统的主要风险

1、网络金融服务的发展带来的银行信息安全问题。近年来，网上银行、移动银行、电子商务等，已成为银行追逐的利润增长点。其中绝大部分的网络金融业务要通过Internet、无线网、电话网与银行相连。银行业务系统要顺应开放和互连的趋势，其信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统银行信息安全，在公网环境下防止黑客、病毒的破坏，在Internet上保证支付系统的安全性，是银行信息系统面临的挑战。

2、银行数据集中处理中的信息安全风险。目前农商行已经逐渐进行数据与业务的大集中处理，实现了银行账务数据与营业机构的分离，为银行管理集中和科学运营奠定了基础，帮助银行从以账务和产品为中心转变为以客户为中心。但是，数据集中后信息系统风险增大，系统一旦出现问题，就会影响到整个银行的正常运营。

3、审计信息系统本身固有的风险。因缺乏对信息化建设成熟度的有效测评，导致审计信息系统本身固有的风险在加大。银行业是信息化技术与产品相对密集的行业，由于信息化规模的不断扩大，信息技术迅速发展，银行信息系统所采用的IT技术与信息系统软硬件本身存在着很大的脆弱性，如果这些脆弱性被特定的威胁所利用，就会产生风险，从而对银行信息系统的机密性、完整性及可用性产生损害。

4、銀行内部员工的道德风险。随着对信息安全认识的加深，我们逐渐认识到“人”的风险其实是最大的风险。人，特别是银行内部员工，既可以是对信息系统的最大潜在威胁，也可以是最可靠的安全防线，单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。银行内部完备的安全管理政策、安全教育计划与健全的企业安全文化建设，才是降低人的安全风险的有效手段。

5、审计人员信息化水平较低带来的能力风险。审计人员因受制于自身的计算机审计水平，造成应发现而未发现的风险隐患，这是来自审计人员自身的风险。银行信息化建设的实施需要既懂银行业务，又懂信息技术和信息化项目管理的复合型人才，目前农商行系统这方面的人才非常匮乏。

三、海门农商银行借助计算机辅助审计系统提升风险防控能力

近年来，海门农村商业银行对信息技术的投入越来越大，设备规模和技术水平不断提高，数据大集中的实现，给金融创新带来了强劲动力，但也蕴含着巨大的风险，在这种形势下，海门农村商业银行审计信息系统内部审计必须以满足业务发展需要和有效控制风险为重点，以充分发挥内部审计作用，全面识别、评价系统的信息系统控制和风险水平，并根据评价结果，提出合理、可行的建议，以此进一步促进信息系统正常、安全、稳定运行。

（一）积极建立符合海门农村商业银行实际的信息系统审计机制。

为了更好的发挥信息系统审计作用，加大审计深度、拓宽审计范围和领域、规范审计信息系统审计，提高审计质量，积极建立涵盖审计信息系统详细审计方案、审计标准、审计范围、审计行为规范、审计程序、审计证据获取、评审考核等内容的信息系统审计机制，由独立的内部审计进行经常性风险评估，引入恰当控制，提出改进意见，出具审计报告，有效地、动态地建立合理的安全管理体系，形成对信息系统安全的客观评价。

（二） 加大审计信息系统审计人才的培养力度

审计信息系统审计与传统审计相比，在审计线索、审计内容、审计风险等方面都发生了变化，这就要求审计人员必须具有复合型知识结构，既具备全面的信息技术知识，又通晓经营管理核心要义，同时还要掌握信息技术条件下的审计方法技巧。目前海门农村商业银行审计人员与信息系统审计的要求存在一定的矛盾，加大信息系统审计人才的培养力度将在相当长的时期成为海门农商银行审计信息系统建设与审计的工作重点。

（三）建设审计信息系统，健全内部审计架构

1、审计数据信息中心

审计数据信息中心部署数据库服务器和存储设备，数据库服务器可采用双机备份，系统所有数据存放在高可用性存储设备上；审计数据信息中心部署WEB服务器，采用双机备份。

2、总行风险监管中心

总行风险监管中心系统管理人员和内审部门作业人员通过行内局域网络连接WEB逻辑应用服务器进行系统管理、预警监测、查询查证、内控评价、项目评价、审计计划、审计项目信息管理等作业和管理。

3、各业务部门、分支行机构

业务管理部门、分支行机构风险监管作业通过行内局域网连接WEB逻辑应用服务器进行风险线索确认、问题整改、信息查询等作业操作。

4、灾备中心

为了保证系统7X24小时连续不断运行，系统可部署远程灾备中心。远程灾备中心部署数据库服务器和存储设备、WEB服务器，采用数据拷贝方式实现风险监管中心到远程灾备中心的数据备份。在审计信息数据中心遭受灾难无法恢复时系统切换到远程灾备中心运行。

（四）整合行内各业务系统数据，实现资源共享和合理运用。

1、以风险审计理论为指导，建立风险监测和查证模型，提高审计工作的广度和深度；同时实现风险持续监测，及早化解行内金融风险。

2、规范审计工作流程，实现审计项目实施和风险查证模型相结合的工作模式，提高审计工作效率和质量。

3、通过对审计日常工作和风险内控所发现的问题和风险状况进行分析，及时调整审计工作重心和内控策略，充分识别特定风险、发现审计线索、确定审计范围和重点，真正实现以风险为导向的审计监督；同时也为行内经营和制度完善提供数据参考。

4、系统以总行集中部署，数据库服务器和WEB服务器部署在审计数据信息中心，总行风险监管中心和分行、支行、网点、业务管理部门通过内部网络连接WEB服务器，实现系统管理与非现场审计、现场审计、内控评价、风险监控等工作的各类操作，系统与行内或有的影像档案平台和数码监控录像平台相连接，实现风险监控工作中的业务数据与影像档案、数据录像的一体化应用。

（五）积极探索识别和规避信息系统审计风险的对策

在复杂的信息系统技术和管理环境下，实施信息系统审计具有一定的审计风险。要规避信息系统审计风险就必须识别信息系统审计的风险所在，以帮助审计人员确立信息系统审计风险意识。在控制信息系统审计质量的前提下，积极探索如何有效地识别和规避信息系统审计风险。

1、通过审计系统的监测预警功能，可以利用丰富的业务风险监测规则以及模型对业务流程中的风险点进行全面有效的自动化监测并给予预警提示。

2、通过审计系统的项目管理功能，可以帮助审计人员按T+1模式对银行全部的业务数据进行风险的排查，将可疑数据提交到审计人员的桌面，降低工作强度，提高风险排查力度。

3、借助审计系统，对可审计实体进行风险评估，审计人员可以快速、准确地确定审计重点，从而有效地利用我行有限的审计资源，做到有的放矢。

4、利用审计系统的成果管理功能，将非现场审计与现场审计的结果进行集中统一，形成一体化管理，为更高层次的评估提供支持。

5、利用审计系统实现审计过程的规范化和科学化，使我们可以充分利用系统提供的操作权限控制功能，在各审计环节设置控制点，并实现审计过程的电子化处理。

6、利用审计系统提高审计结果的准确性和科学性。采用信息技术可以使我们在前期调查的基础上，精心制定指标体系，从计算机系统的角度保证了数据的一致性、完整性。

7、通过审计系统，可以使审计项目工作相关的信息、成果以及经验在本行内部得到全面共享，降低审计工作人员之间的业务水平差异，整体提高我行审计工作的水平。

四、结论

建设审计综合工作平台，进一步提高审计工作的质量与效率，实现审计资源的合理共享和审计成果的有效運用，将先进的审计思想和复杂的金融审计工程学理论通过计算机加以实现，改进银行审计手段，同时全面管理审计资源，规范审计过程，提高审计工作质量，准确评估所辖机构风险，以现代信息科技理念深入诠释审计业务流程和管理方式，有效提高银行风险管理水平和风险监控能力，从而防范和化解金融风险。

参考文献：

[1] 柯星角，王恩英.勇创新：内部审计增值的新动力[J].中国农村金融，2013（04）.

[2]薛宏.内部审计对金融机构创新的作用[J].生产力研究，2012（08）.

[3]傅小梅.浅谈商业银行财务管理创新[J].财会通讯，2012（35）.