■ 康丽
随着计算机和互联网技术的普及应用,计算机信息技术对商业银行内部审计带来了深刻的影响,内部审计方法和审计技术也随之发生了一系列的变革,有了新的突破。同时,也面临着不小的风险。本文拟从商业银行内部审计信息化建设中存在的主要问题及面临的主要风险入手,探讨信息化环境下银行业内部审计应对风险的一些方法和建议。
一、当前商业银行内部审计信息化建设存在的主要问题
1、计算机审计没有统一规范的程序、步骤和方法。数据的采集缺乏规范,导致在审前和审中采集了大量的银行电子数据,但真正得到分析利用的却很少,浪费了大量人力和财力。同时,数据验证及信息系统内部控制测试等关键环节缺失,数据分析带有较大的随意性和计算机数据分析人员的个人偏好。
2、商业银行各自开发的审计模块比较单一、零散不成体系,缺乏科学性和系统性,导致设备闲置与紧缺并存。银行内部审计信息化建设和发展是一个完整的系统。由于信息没有实现共享,造成各应用单位自成体系,重复投资开发,设备闲置和紧缺现象并存。加之各商业银行数据结构不统一,针对某一银行开发的审计模块,在另一商业银行无法使用,审计模块缺乏通用性。
3、以数据审计为主,对信息系统本身审计较少。在商业银行开展计算机审计的实践中,大多数情况下是以对方提供的数据真实完整、信息系统安全可靠为前提的,基本上是就数据审数据,并没有对系统内部控制进行分析、测试和评价。实际上,信息系统内部控制的合理性、健全性和有效性直接影响着数据的真实性、完整性和正确性。因此,信息系统审计内容的缺失使商业银行计算机审计始终徘徊在较低层次,也给审计人员带来一定的审计风险。
4、部分银行高管人员对内部审计的理念亟待进一步提高。个别人仍对由合规合法性审计向管理、风险、绩效审计转型的审计理念认识不足。导致高技术与低效益并存。审计信息化建设和发展不仅仅是信息技术和网络技术在审计工作中如何运用的问题,更重要的是审计方式方法如何转变的问题。近几年,有些商业银行重设备配置,而轻审计软件开发和推广应用,忽视了审计方式方法创新,远远没有充分发挥审计信息化建设的效益。
5、高素质“复合型”审计人才短缺,导致高投入与低产出并存,审计成本不断攀升。现有审计人员中真正具有较高计算机水平的人员不多,既精通计算机编程又熟悉审计业务的复合型人才更少,严重制约了计算机应用水平。
二、商业银行内部审计信息化建设面临的主要风险
1、信息系统本身固有的风险。因缺乏对信息化建设成熟度的有效测评,导致信息系统本身固有的风险在加大。银行业是信息化技术与产品相对密集的行业,由于信息化规模的不断扩大,信息技术迅速发展,银行信息系统所采用的IT技术与信息系统软硬件本身存在着很大的脆弱性,如果这些脆弱性被特定的威胁所利用,就会产生风险,从而对银行信息系统的机密性、完整性及可用性产生损害。
信息安全风险一是银行数据集中处理中的信息安全风险。目前工、农、中、建四大国有银行已陆续完成数据大集中,实现了银行账务数据与营业机构的分离,为银行管理集中和科学运营奠定了基础,帮助银行从以账务和产品为中心转变为以客户为中心。但是,数据集中后信息系统风险增大,系统一旦出现问题,就会影响到整个银行的正常运营。二是网络金融服务的发展带来的银行信息安全问题。近年来,网上银行、移动银行、电子商务等,已成为银行追逐的利润增长点。其中绝大部分的网络金融业务要通过Internet、无线网、电话网与银行相连。银行业务系统要顺应开放和互连的趋势,其信息安全范畴已经突破了以业务系统物理隔离和协议隔离为基础的传统银行信息安全,在公网环境下防止黑客、病毒的破坏,在Internet上保证支付系统的安全性,是银行信息系统面临的挑战。
2、银行内部员工的道德风险。随着对信息安全认识的加深,我们逐渐认识到“人”的风险其实是最大的风险。人,特别是银行内部员工,既可以是对信息系统的最大潜在威胁,也可以是最可靠的安全防线,单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。银行内部完备的安全管理政策、安全教育计划与健全的企业安全文化建设,才是降低人的安全风险的有效手段。
3、立法滞后带来的法律风险。银行的传统业务使用的是以纸质为代表的流通工具,与此相适应,传统法律也同样是建立在对纸质流通工具进行调整监控的基础之上。而电子信息化银行业务使用的是以电子信息为载体的流通工具,因此,电子信息化银行业务的快速发展使得传统的法律原则、法律规则显得相对滞后甚至无能为力。同时,基于互联网上金融业务没有地域限制,在互联网上达成的金融电子信息化合同通常难以确定合同的签订地和发行地,从而很难确定电子信息化合同纠纷的管辖权;而且即便确定了合同纠纷的管辖权但在选择法律依据时也会发生强烈的法律适用冲突,这就提出了互联网上交易发生纠纷时究竟适用哪个国家法律的问题,从而迫切需要立法加以明确。这也是涉外业务、互联网络金融业务审计时,内审人员面临的法律适用风险问题。
4、审计人员信息化水平较低带来的能力风险。审计人员因受制于自身的计算机审计水平,造成应发现而未发现的风险隐患,这是来自审计人员自身的风险。银行信息化建设的实施需要既懂银行业务,又懂信息技术和信息化项目管理的复合型人才,目前我国银行系统这方面的人才非常匮乏。
三、商业银行内部审计信息化风险应对措施
1、防范银行信息化风险必须建立信息系统审计机制。信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产安全、数据完整,以及有效利用组织资源并有效地实现组织目标的过程。
信息审计体系的健全和独立是有效的信息安全风险管理的基础。独立的信息审计体系制度,使得信息系统审计部门可以审计控制信息系统风险,用制度来保证安全比用人和技术来保证安全更可靠。
2、进一步加强审计人员的安全保密教育,加强电子资料的安全保管。审计人员获取的被审计单位数据经常涉及客户个人秘密或商业秘密等,负有保管和保密义务。由于信息化环境下,他人只要能访问电脑,就可以用不留明显痕迹的方式对文件进行复制并带走。因此,审计人员应对相关计算机及移动存储设备采取设置网络传输过程中的高强度密码、设置严密的安全防火墙及加强数据权限管理等必要的安全防范措施,并设计合理的数据管理岗位,专人专岗,落实专人保管,非相关人员不允许接触,以防止不法份子盗取审计保密资料。另一方面,从被审单位采集的各类电子数据及技术资料,在审计过程中形成或取得的资料、数据、文件,未经批准,不得向外泄露或向其他人提供。同时,要注意电子资料(证据、底稿等)的备份,以防由于软硬件故障导致资料丢失而使得前期工作毁于一旦。审计结束,各种数据文档等资料,属归档范围的应及时整理归档(如刻盘存储),不属归档范围的应定期销毁,切实消除信息失密造成的各种不安全隐患。
3、创新审计方式方法,大力采用新的规范的数据分析方法,即审计模型法。组建一支由审计业务骨干和计算机专业人员组成的计算机审计模型研究开发小组。本着“边审计,边研究,研究与审计相结合”的原则,利用大量真实的数据不断地对审计模型进行检验、完善和改进,使其不断地走向成熟和规范。大量运用成熟的审计模型不断地设计开发出实用性强的审计模块,力争使审计内容涵盖商业银行全部的经营业务。
4、加大国家对银行业信息安全的立法保护。鉴于我国电子信息化银行业务方面的立法相对滞后,存在较多空白,现行法律对电子信息化银行业务中的多数纠纷没有明确规定,在此情况下,应呼吁国家立法机关加大对银行业信息安全的立法保护,堵塞法律漏洞,为我国商业银行新型信息化业务的健康、快速发展和银行业内部审计信息化建设保驾护航。
5、加强审计队伍建设,培养一批优秀的“复合型”审计人才,满足内部审计信息化发展和审计转型的需要。
(作者单位:农行成都审计分局)
