厦门农行审计处

一、问题的提出

金融电子化又称银行电子化，反映银行内部业务处理的自动化、业务监督的电子化和信息管理的自动化。近几年来，随着我国商业银行电子信息技术应用水平迅速提高，金融电子化业务迅速发展，网上银行业务交易量逐年增加。金融电子化带来了银行工作的高效和巨大收益的同时也带来了业务电子化风险。由于信息科技和电子银行方面的风险是系统风险，一旦出现问题将造成全局性的影响，对一个银行的商誉和形象都将带来极大损害，所以世界各国商业银行都十分重视信息科技和电子业务风险的控制，相应地银行内部审计也越来越引起人们的重视。

因此，我国商业银行的内部审计手段要向电子化、网络化、实时化和规范化转变。充分利用电子计算机、网络、信息等现代技术手段，替代原先传统的手工操作办法，加快内部网络建设，积极探索利用计算机进行审计的途径。通过对内部审计手段的创新，不断提高工作效率，增强内部审计功效，保证审计增值目标的实现。本文通过分析在金融业务电子化所带来的风险及对内部审计的影响，强调了加快内部审计手段创新的必要性，并提出一些建议。

二、金融业务电子化背景下内部审计手段创新的必要性

（一）金融业务电子化本身存在风险

在金融电子化的推动下，现代金融业已发展成为一个规模庞大、业务产品繁多的产业体系，在技术运用、业务扩展、空间范围、服务对象、外部性等方面达到了前所未有的广度与深度，金融体系内部及金融与其他产业的利益相关性更加明显，放大了金融体系发展的波动性和安全的脆弱性，蕴涵着巨大的潜在风险。

1．电子化业务系统本身存在技术缺陷带来的风险

计算机操作系统本身存在的漏洞，是风险存在的一项重要方面。信息技术的进步，引发了多形式的新安全威胁手段与途径。商业银行在进行业务改造时所选择的信息技术不能保证完全成熟和完善，存在安全隐患，从而影响了计算机系统运行的稳定性。由于技术漏洞的存在，导致恶意攻击风险不断。在实际工作中，电脑应用程序的开发往往注重便利性、实用性，而忽略了系统管理制度和安全措施的建设。一些电脑业务处理程序，特别是一些较早开发的电脑程序，大都存在遗漏安全防范的制约设计或者应用系统的安全级别设计不严密等情况，使得“黑客”很容易入侵，为业务的运行留下了风险隐患。

2．存在内部控制风险

由于我国商业银行内部控制制度建设滞后于金融信息化的发展，信息系统安全管理的基本框架、管理机制、策略方法和工作流程还不完善，一些制度得不到认真执行，导致银行内部人员违规操作或伺机作案，给电子化业务安全运行造成了一定的风险。从经营运作层面上看，电子化业务分散在多个部门之中，如果银行战略的规划和执行出现无效或不当，飞速的技术变革，激烈的同业竞争都暴露出银行的巨大风险。

（二）传统的内部审计手段已无法适应金融业务电子化的发展要求

与传统的银行业务相比，在电子化环境下的金融业务，在数据处理流程和方式、内部控制和组织机构设置等方面都表现出一些新的特点，传统的审计技术和手段已无法继续适应新的环境。

1．审计线索的变化。实行金融业务电子化后，业务数据的存储介质和形式、业务数据的生成和传递方式都发生了变化，不仅存在着有形的审计线索，如输入的原始凭证、记账凭证等原始文件，打印出的业务账簿、业务报表等，还存在着另一种无形的审计线索，如存储在软盘或硬盘上的业务数据库资料等。这两种审计线索相互交叉，相互补充，共同构成业务系统的数据库。审计人员很难甚至根本无法单独通过有形的线索跟踪业务的处理，也无法用传统的方法考查业务数据的安全性、有效性、完整性和准确性。

2．内部控制的变化。实行金融业务电子化后，内部控制的重点由业务人员和业务部门转移到电子数据处理部门，业务人员对交易活动的直接监督减少了，原内部控制体系难以适应这一变化。计算机数据处理的集中性、连贯性，使大部分职权分割的控制作用近于消失，数据库存储载体的改变及其共享程度的提高，又使业务中的账簿控制体系失去作用。在此情况下，内部控制不仅要加强，而且要采用新的方式。

3．加大了现场监管和审计的难度。电子化的银行业务活动方式具有鲜明的网络特色，与传统的银行业务活动方式有着明显的差异。例如，银行网上业务的开展，使得业务对象难以确定，传统的监管方法和审计制度很难适应。在互联网上，交易都是“虚拟化”的，交易对象变得难以明确，交易过程也更加不透明。由于交易双方地域的不确定，银行对客户的了解往往是不够的，对贷款的监测也变得更加困难。金融电子化业务的延伸，使得金融业务的营业空间得以扩大，使金融监管范围变得更大，从而削弱了审计力度。同时，网上银行的电子化无纸化操作，其电子记录可以不留任何痕迹地加以修改，使得确认该笔交易的过程复杂化，审计部门对银行业务难以核查，造成监管数据不能准确反映银行实际经营情况，也使得现场审计的难度更大了。

4．缺乏既懂专业知识又懂计算机的复合型审计人才。我国金融业务电子化开展时间相对较短，而原有审计骨干大都老龄化，且多数不熟悉计算机技术，实践中很难把专业知识与计算机手段有机地结合起来，严重影响了对各种信息的分析和处理能力。

三、内部审计手段创新的几点建议

（一）尽快建立较为完善的全面风险管理体系，加强风险预警能力。 

    我国商业银行内审工作正处于改革发展阶段，主要采用以查错纠弊为主的真实性审计和以对照制度检查为主的合规性审计方法。审计人员往往把精力主要集中在经营活动事后的检查上，而对事前分析和事中监控重视不够，内部审计对增强银行风险控制能力作用十分有限。随着竞争的日益加剧，商业银行纷纷将产品创新及业务运作的电子化、网络化作为提高竞争力的主要手段。这就迫切需要建立具有风险预警能力的非现场稽核系统，通过对日常业务数据的检测分析做出风险预报，然后进行现场的稽核检查，使稽核方式由过去的事后检查型向风险预警型转变。

（二）充分利用科技与信息技术提升内部审计品质。

伴随着科技和信息技术的迅猛发展，信息系统越来越多地应用到致富结算、会计财务等各项业务活动中。传统的审计技术方法和作业手段已不能适应信息技术快书发展的需要，充分运用现代化信息技术工具——计算机辅助审计迫在眉睫。

运用计算机辅助审计系统，具有以下优势：首先，利用计算机辅助审计可以对财务数据进行实时监控。审计人员可以运用审计软件数据借口程序，凭借内部网络平台，将被审计单位财务管理系统中的数据导入计算机审计软件系统，随时获取相关的财务数据信息。其次，利用计算机辅助审计可以提供审计线索。由于金融业务电子化使得审计线索更具隐蔽性，审计人员很难通过肉眼跟踪业务的处理，也无法用传统方法检查会计数据的安全性，一些新的舞弊手段，如修改计算机操作程序、篡改数据等手段的出现，采用传统的手工审计难以发现上述问题。利用计算机财务审计系统，可对采集的数据进行计算分析、归纳和整理，对发现的疑点问题随时筛选备份到“疑点库”，然后再对“疑点库”的纪录进行重点分析，从而尽快发现审计线索。第三，利用计算机辅助审计可以有效延伸审计范围。面对日趋复杂的财务信息，传统审计方式将难以保证审计结果的完整性和准确性，从而使审计风险大大增加。而利用计算机高速运算的审计系统，可以应用条件分析和检索功能对多年数据进行分析、核对、比较及快速处理的优势，拓宽审计检查的覆盖面，把审计取证范围由原来对被审计单位的抽取部分数据样本扩大到全部数据并进行检测，避免了人为因素对审计质量的影响。第四，提高了审计工作的质量和效率。计算机辅助审计系统可对数据进行高质、快速、大量的处理，并自动生成审计工作底稿，免去了取证、摘抄等大量环节，简化了审计取证和资料的汇总程序，把审计人员从繁琐的数字运算中解放出来，提高了审计工作的效率与质量。

（三）结合现场审计，大力开展非现场审计。

但随着金融全球一体化的发展，金融业务不断创新，面对金融风险日趋复杂的环境，商业银行的内部审计单纯依靠传统的现场审计方式已不能适应现代化金融业的要求。因此，金融机构内部审计方式要有转变和创新，必须走现场审计与非现场审计相结合的路子。广泛利用现代通信和电算技术，不断细化和补充非现场审计系统需求，扩大非现场审计范围，提高非现场审计的质量和效率，并为现场审计提供重点和方向，为商业银行保驾护航。

（四）建立专业化、高素质的内部审计队伍。

随着金融市场细分程度的不断提高及电子化、网络化在银行业务中的不断应用，越来越需要一支懂审计、懂计算机的复合型的专业化审计队伍。在坚持传统的翻阅会计凭证、查看信贷档案等具体业务事项审计的基础上，要进一步加强对决策过程及业务执行流程的审计工作。内部审计工作在加强具体业务审计的同时，必须加强对决策人员及操作人员的业务行为的审计。同时加强对现有审计人员计算机知识培训，提高队现代信息技术的人士和掌握水平，促使审计人员具备数据借口和转换能力；熟练运用审计软件进行数据采集、查询、核对、比较和分析的能力。此外，可以采取有针对性地安排审计人员到审计现场加强锻炼的方法，在实践中摸索，熟练掌握审计技巧和方法，以促进审计队伍整体素质的全面提高。