中国农业银行湖北省分行审计处课题组


人类社会进入21世纪以来，由现代信息技术所引发的全球信息化浪潮冲击着传统社会生活的每一个角落。中国的大型商业银行作为现代经济金融的核心，借助资金、人才、技术等多方面的领先优势，走在了我国企业信息化的前列。信息化的飞速发展在极大地提高了商业银行的经营效率与效益的同时，也给传统的公司治理、风险管理与内部控制提出了严竣的挑战，对内部审计的理念、方式、方法提出了全新的要求。

一、我国商业银行的信息化进程

改革开放以来，我国宏观经济快速发展带动了主要商业银行的资金融通业务飞速增长，同时也对金融运行效率提出了越来越高的要求，从而推动了这些银行成为我国企业信息化的先行者。早在20世纪八十年代，工、农、中、建等四大银行就开始在部分领域应用计算机（主要是单机）技术，九十年代会计电算化取得了快速发展，21世纪以来已经初步实现了主要业务经营管理的电子化、网络化、信息化。以中国农业银行为例，该行已在全行推广了能够兼容存款、贷款、结算、汇兑、银行卡等绝大部分面向客户业务的综合应用系统（英文简称ABIS），实现了全国数据的大联网、大集中。同时，以ABIS系统为核心，向外延伸开发、联通了ATM机、POS机、电话银行、网上银行等系统，建立了相对独立于银行物理网点的无形服务网络，实现了主要业务的电子化、网络化、自助化，使客户能够不进银行、甚至足不出户就能随时、随地、随意地办理存款、汇款、转账、缴费等业务。在信贷业务领域，开发应用了信贷综合管理系统（英文简称CMS），在内部大联网的基础上，实现了与人民银行企业征信系统的对接。基于ABIS、CMS这两大系统，农行还开发了会计监控系统、会计报表系统、信贷在线监测系统等子系统，实现了对这两大系统主要业务的在线、实时、全面监督与控制。在管理领域，农业银行推广应用了经营管理信息网、电子公文网（LOTUS NOTES）等局域网，实现了办公自动化、信息化。通过全面推进信息化建设，有效地提高了业务运行效率和企业经营效益，近十年来，农业银行业务总量增长十余倍而员工总数却下降了三分之一，多次被评为全国企业信息化建设先进单位。

二、信息化对商业银行内部控制的影响

（一）信息化对商业银行的内部控制产生影响的主要方面
信息化对商业银行内部各个方面，特别市对其内部控制产生了很大的影响。首先分析信息化对商业银行内部控制是如何产生影响的，其影响主要表现在哪几个方面：
1、信息技术在商业银行中的应用提高了商业银行业务流程的自动化程度，业务流程中的一些环节被省略或合并。而且随着网上银行等电子商务的发展，银行与客户之间、银行与银行之间交易的自动化程度也得到不断提高。内部控制的具体实施是根据业务流程的各个环节以及交易方式来进行的，因此，业务流程的自动化不可避免地对内部控制的各个要素以及控制理念等产生不同程度的影响。
　　2、信息化改变了商业银行获取数据和信息的方式。传统方式下，原始数据的获取靠的是员工肉眼观察、手工计数或使用仪器测量。在信息化条件下，可以利用传感设备全自动地获取所需数据或信息。利用自动传感设备具有高度自动化、准确性高、24小时不间断、数据实时获取、不受恶劣环境影响等优点，为银行实施更有效的内部控制提供了基础。
　　3、信息化改变了信息存储的方式，存储介质由纸变为磁盘或光盘。与纸介质相比，磁介质或光介质具有存储密度大、擦写不留痕迹的特点，对商业银行内部控制的影响是双方面的。存储密度大使得商业银行可以集中保存数据和信息资源，便于对其加以保护，但一旦毁损或被盗将使商业银行遭受更大的损失。擦写不留痕迹使得数据被篡改的可能性增大，需要加强内部控制。
　　4、信息化提高了信息处理的效率。在信息化环境下，借助计算机的高速处理能力，能够使得信息处理的速度大为加快，效率大为提高。然而，这对内部控制的影响也是双方面的。一方面，信息处理效率的提高有利于商业银行实施更复杂更有效的控制措施和控制方法，提高内部控制的效果和效率。另一方面，借助高速的信息处理能力，商业银行员工或管理当局造假的能力也能得到提高，例如：利用随机数据产生程序伪造应收款项或存贷的金额、利用报表编制程序快速编制多份虚假财务报表等等。这又要求商业银行加强内部控制。
　　5、信息化改变了信息的传递方式。信息化环境下的信息传递，改变了手工环境下的传票、报告、电话等方式，利用电缆、光缆、无线电波等以光速传递信息，而且传递的信息量远非传统方式可比，为商业银行加强内部控制提供了基础。但如果信息传递过程中受到了阻碍或破坏，也将给商业银行带来更大的损失。
　　6、信息化提高了信息的集成性。在完善的信息系统的支持下，商业银行领导足不出户，就能够在电脑屏幕前对遍布世界的跨国公司了如指掌。轻点几下鼠标就能成交业务、调动资金、指挥员工。信息系统为商业银行加强内部控制提供了基础，同时也对商业银行的内部控制提出了更高的要求。
　　7、信息化提高了信息的价值。在信息时代，人们对信息资源的利用能力得到提高。人们已经认识到商业银行的数据和信息资源，是其最宝贵的资产之一。而信息是无形的，与有形的资产相比，对信息的窃取更为隐蔽，更不易被发现。这要求内部控制不但要保护有形资产，更要对商业银行的数据和信息资产加以保护。同时应当针对信息的特点，采用有效的保护措施。
　　8、信息化将对人造成一定的影响。在信息化环境下，人们可能越来越多地通过计算机网络进行联系和沟通，人与人之间的直接接触将有所减少。网络世界的无形性和匿名性将对人的心理造成一定的影响，从而影响控制环境。

（二）信息化对商业银行内部控制构成五要素的主要影响
　　1、信息化对控制环境的影响。控制环境的构成因素是多方面的，主要包括：商业银行的治理机制、组织结构与权责分派体系、管理者的素质、品行与管理哲学、企业文化、信息系统、人力资源政策及实务等等。
银行信息化对其治理机制产生影响：通过完善的信息系统，董事会、监事会可以更及时更全面地了解银行的全面信息，因而可以更好地进行战略制定、经理人员选择和绩效评价、银行运营情况监控等等，对公司进行更好的治理。小股东可以以较低的成本通过网络在线参加股东大会，而不必因为路途遥远等原因放弃自己的权利，可以更好地维护自身的利益。信息化将使商业银行组织结构趋向扁平化，管理层次减少。
　　信息化对商业银行管理者的素质提出了更高的要求。商业银行所面临的商务环境竞争加剧、变化加速，管理者所能获得的信息量倍增，信息技术和信息系统在银行中的作用日益重要，这些都要求管理者不但要有更强的把握信息、利用信息的能力，在运营管理中利用好信息资源，而且要有对信息、信息技术和信息系统重要性和风险的认识和理解，制定良好的IT战略和IT规划。
　　在网络环境下，人与人之间的直接接触将有所减少。网络世界的无形性和匿名性将对人的心理造成一定的影响，使部分人误以为借助网络为非作歹不容易被抓住，从而可能降低犯罪的心理阀值。信息资产价值的提高，可能诱使掌握它的管理人员会将其卖给竞争对手而产生犯罪行为，而且由于信息的无形性、可拷贝性，信息的泄密不易被发现，再者网络的远程接入性也给犯罪分子提供了方便，他们只要获得一个登录密码就可能通过网络侵入系统，窃取银行重要的信息资产，或是使信息系统崩溃，而不必像盗窃有形资产那样需要翻墙入室、避开警卫等麻烦之举。这些均对管理人员的品行和道德水平提出了更高的要求。同时也需要商业银行加强对信息资产、信息技术和信息系统的内部控制，通过良好的管理手段和技术手段降低风险。
　　2、信息化对风险评估的影响。在信息化环境下，商业银行业务流程的自动化降低了业务处理过程中源于人员疏漏或舞弊的风险。但是另一方面，商业银行的运营管理越来越依赖于信息系统，信息的作用日趋重要，信息化环境促使信息存储高度集中、单位时间传递的信息量大为提高，这些都增加了与信息资产和信息系统相关的风险。信息化环境下，如果信息系统失灵或崩溃，重要信息被窃，都将给企业带来不可估量的损失。因此，商业银行应当作好有关信息资产和信息系统方面的风险评估，建立良好的IT治理机制，减少灾难的发生以及灾难发生时的损失。
　　3、信息化对控制活动的影响。商业银行控制活动必须根据业务流程的情况和具体的控制点进行设置，因此，控制活动受到信息化的直接影响。信息化环境下的控制活动分为两部分：自动化业务控制和信息系统控制。一是自动化业务控制其控制对象仍然是生产经营过程，但其形式和控制手段发生了很大变化。它以计算机程序的形式嵌入于银行信息系统之中，对业务的控制由计算机自动完成。二是信息系统控制：它是商业银行为了保证信息系统正确性、完整性和安全性而采取的控制措施，其控制对象是商业银行信息系统，包括计算机软硬件资源、应用系统、数据和相关人员等等信息系统的所有组成要素。随着网络技术和电子商务的发展，信息系统控制还必须考虑网络安全和电子商务控制的问题。自动化业务控制和信息系统控制对控制活动有着不同要求，使得传统的六种控制活动都有一定的变化。信息化环境下的交易授权可以由计算机程序自动完成，使得授权过程不明显，控制的失效往往在发生损失后才被察觉。因此，管理者对交易授权的关注应该转移到对相关计算机程序的正确性和完整性的检查上。在信息化环境下，计算机能够避免人类通常会犯的错误或舞弊，手工环境下的一些不相容的职责可以由计算机来执行，所以部分传统的职责分离和员工的相互检查成为不必要的控制活动。同样，也没有必要针对这部分自动业务流程进行监管和审计。然而，对于信息系统的开发、实施、维护和操作等活动，职责分离、监管以及独立审计仍然是重要的控制措施。在信息化环境下，业务记录不再是书面的签章、编码、交叉索引等，而是通过登录密码、操作日志等技术手段进行业务记录，其有效性受信息系统的正确性、完整性和安全性的影响。在信息化环境下，对计算机硬件设备的接触控制与传统方式下并无太大的区别，主要通过实物防护措施来进行。但对于信息资产的接触控制，由于网络的远程接入性，应当通过防火墙、操作员权限设置、登录密码安全策略、信息系统审计等技术手段和管理措施加以实现。
　　4、信息化对信息和沟通的影响。商业银行信息化对内部控制的信息和沟通这一要素产生了有利的影响。在完善的信息系统的支持下，银行员工能够更好地取得他们在执行、管理和控制企业经营过程中所需的信息，使员工顺利履行其职责。当然，也要警惕信息技术可能带来的信息过量的问题，以及借助高速信息处理能力造假的问题。
　　5、信息化对监督的影响。借助信息技术，可以使一部分的监督过程自动完成，并且可能实现实时监督，从而提高监督的效果和效率。应当注意的是，对信息系统的开发、实施和维护过程所进行的监督应当成为监督的重点。同时，“控制自我评估（CSA，Control Self Appraisal）”仍然是很有益的作法。“控制自我评估”是企业不定期或定期地对自己的内部控制系统进行评估，评估内部控制的有效性及其实施的效率效果，以期能更好地达成内部控制的目标。“控制自我评估”有助于提高组织内部控制的自我意识，帮助人们了解哪里存有缺陷以及可能引至的后果，然后采取行动改进这种状况，对于一个企业加强管理、提高劳动生产率、改进内部审计程序和业务经营程序以及控制风险等都有着积极的作用。

三、商业银行内部审计信息化建设中的突出问题及其基本对策

商业银行业务经营管理的全面信息化，对商业银行的公司治理、内部控制和风险管理提出了新的挑战，也给作为商业银行相对较独立、权威的综合性监督部门——内部审计部门提出了全新的要求，实现内部审计信息化已是大势所趋、迫在眉睫。当前银行内部审计信息化建设中的突出问题主要有以下几个方面：一是高技术与低效益并存。审计信息化建设和发展不仅仅是信息技术和网络技术在审计工作中如何运用的问题，更重要的是审计方式方法如何转变的问题。近几年，有些商业银行重设备配置，而轻审计软件开发和推广应用，忽视了审计方式方法创新，远远没有充分发挥审计信息化建设的效益。二是高投入与低产出共存，审计成本不断攀登升。部分银行内审计部门近年来不断增加投入来购置和更新信息设备，但是有一些审计人员的计算机应用水平仅停留在办公自动化和收集存储信息上，没有充分发挥计算机网络管理、分析、数据处理等功能，造成资源浪费。三是审计业务与信息化发展不一致。由于部分银行内审部门在审计实践中对计算机应用要求不到位，软件开发滞后，加之不少审计人员年龄偏大、业务老化、知识结构单一，对开发应用计算机兴趣不大、能力不济，仍是以传统的手工审计方式为主，审计信息化建设严重滞后于业务信息化进程。四是设备闲置与紧缺并存。银行内部审计信息化建设和发展是一个完整的系统。由于信息没有实现共享，造成各应用单位自成体系，重复投资开发，设备闲置和紧缺现象并存。五是人才短缺。现有审计人员中真正具有较高计算机水平的人员不多，既精通计算机编程又熟悉审计业务的复合型人才更少，严重制约了计算机应用水平。针对上述问题，我们认为应当从下列几个方面来加强内部审计信息化建设，以全面适应金融信息化飞速发展的需要。

(一)提高思想认识，统筹规划内部审计信息化建设。
内部审计信息化是建立在现代信息化环境基础上，运用信息化技术方法开展内部审计工作的一种有效的技术方法。内部审计信息化是内审工作的革命性变革,是传统内部审计向现代内部审计转变的重要标志，是内部审计现代化的重要特征，它对于内部审计工作的方式、程序、质量、管理，乃至审计人员的思维方式和自身素质都会带来深刻的影响。内部审计信息化既是一种技术手段，又是一种行之有效的管理方法，对于提高内审工作效率，降低审计成本，提升工作质量具有十分重要的意义。李金华审计长曾指出：“我们要从关系审计工作前途命运的高度来认识审计信息化建设的重大意义。要破除神秘感，克服‘恐高症’，下大力气把这项工作搞上去。”各商业银行董事会、监事会、高级管理层及内部审计部门都必须高度重视内部审计信息化建设，组织专班制定全面、科学、详细、可行的审计信息化建设中长期规划，将其与商业银行公司治理、内部控制和风险管理统筹安排，各部门通力合作，确保规划目标的如期实现。

(二)加强信息系统控制，实施信息系统审计。
在企业信息化环境下，对信息系统的有效控制是商业银行开展正常的业务经营活动的前提和保障。有效的信息系统控制是技术与制度相结合的体系，决不仅仅是一个技术问题，不能仅由技术人员负责，而应当受到企业最高管理层的高度重视。内部审计部门是信息系统控制最重要的执行者之一。内部审计部门在信息系统的开发、实施、维护和操作过程中应当进行严格的独立审查，并定期对信息系统加以检查，以保证信息系统的正确性、完整性和安全性。内部审计部门应当将发现的问题及时报告给银行管理当局，提高管理当局对信息系统控制的重视程度，帮助管理当局弥补信息系统控制中的缺陷。
　　有条件的银行还应当开展信息系统审计。信息系统审计是独立信息系统审计师，为了信息系统的安全、可靠与有效，以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价，向被审计单位的最高管理当局，提出问题与建议的一系列活动。信息系统审计综合运用IT技术与审计理论和方法为信息系统的使用者提供合理的保证。
　　信息系统审计的内容，主要包括以下几个方面：（1）评价信息系统的管理、规划与组织方面的策略、政策、标准、程序和相关实务。（2）评价商业银行在信息系统技术基础设施与操作实务的管理和实施方面的有效性及效率，以确保其充分支持企业的商业目标。（3）对逻辑、环境与信息技术基础设施的安全性进行评价，确保其能支持企业保护信息资产的需要，防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失。（4）评价灾难恢复与业务持续计划，这些计划保证在发生灾难时，能够使企业持续处理业务。（5）对应用系统的开发、获得、实施与维护方面所采用的方法和流程进行评价，以确保其满足企业的业务目标。（6）评估业务系统与处理流程，确保根据企业的业务目标对相应风险实施管理。

(三)大力推广计算机辅助审计，创新审计方式方法。
目前，大部分银行已经实现了主要业务经营管理的信息化。但是由于软硬件投入不足及科技人才匮乏，一些银行计算机审计应用面还比较狭窄，仍然是以现场审计和手工操作为主，导致审计效率低、审计覆盖面窄、风险控制能力不强、审计质量难以保证。因而必须实现计算机审计的实时化、经常化、全面化。同时，实行“计算机审计首审计制”，在每个审计项目实施前，都要运用计算机辅助审计系统进行全面深入的分析，确定主要的风险点，并结合其他部门检查资料和现有的审计资料来确定现场审计的重点单位、重点业务和重点环节，提高审计的针对性、效率性。
　　1、加快计算机非现场审计系统的升级改造和推广应用。以农业银行为例，目前全行已构建了较为完善安全的内部局域网络，并且开发应用了信贷、财务信息、报表管理系统，监管部门也开发了反洗钱、会计在线监控、1104监管报表系统，这些系统为非现场审计系统的构建和应用提供了大量的信息来源，而目前审计机构的信息化建设和非现场审计手段远远落后于各业务部门和县域营业机构。因此必须尽快对现有审计系统进行升级改造，组织骨干力量编写审计方法，建立各项业务风险识别、衡量、评估分析模型，并将非现场审计系统网络延伸到基层审计机构，从而为基层审计机构的审计计划、审计方案直至现场审计工作更加高效、准确。
2、确定计算机辅助审计的重点内容。审计的重点是评价操作风险、市场风险、信用风险的管理薄弱环节，开展诸如经营决策、激励机制、营销策略、网络安全等新的审计，提出管理新思路和对策，为管理层决策提供咨询服务。当前计算机辅助审计的重点内容包括：（1）将各项业务经营考评指标和评价标准设计成计算机审计模型，通过计算机系统进行监测分析，重点审核临近会计期末发生的异常和复杂交易。如会计年度即将结束时贷款、存款金额的异常增长、发生大量的关联方交易，分析有无人为调节经营成果现象。（2）将中文（ABIS）系统中留痕的内控措施如授权、冲正抹账、凭证销号、现金管理、大额交易等导入非现场审计系统，由审计人员进行监控，分析其操作合规性。（3）对贷款等资产类业务进行非现场审计分析，重点关注借款主体资格、关联方贷款、借款投向、利率执行、贷款利息收支、风险分类等情况。（4）对中间业务如代理业务、网银业务交易量的真实性和中间业务收入配比分析，开展中间业务效益审计。（5）对高息吸收存款、违规开立结算账户等合规风险进行非现场审计分析。（6）对财务管理如固定资产购置与处置、大宗费用支出等核算的合规性及支出的合规性进行审计分析等。

（四）开展内部控制综合评价及业务部门自律监管审计。
鉴于信息化给商业银行内部控制提出了一系列新的挑战，各家银行必须相应地不断完善并执行信息化条件下的各项内部控制制度，并由内部审计部门每年对各单位、各部门进行内部控制综合评价。在各家银行中，中国农业银行从2000年起率先在县级支行开展了内部控制综合评价，随后又进一步对二级分行、省级分行开展了此项工作。中国银行业监督管理委员会也于2004底颁发了《商业银行内部控制综合评价试行办法》（以下简称办法）。当务之急是各银行内部审计部门要根据上述办法，结合信息化的最新进程，制定出具有较强针对性、科学性和可操作性的内部控制综合评价办法和操作规程，定期对各级经营管理单位全面开展评价。同时，内部审计部门要定期开展对各业务管理部门（重点是财务会计、信贷、科技等部门）的自律监管审计，督促这些部门加强对相关业务的日常检查监督，从而构建业务一线员工岗位自我监督、业务管理部门对口监督、审计部门再监督的三道风险防线，把风险控制到最低程度。

（五）加强银行内部审计与内外部监督部门的合作交流，实现监管信息的共享。
在实施效益审计、风险审计、内控综合评价、非现场审计等审计时，应创造条件让基层审计人员与内部其他业务主管部门、外部审计专业人员、监管当局或信息工程师等充分合作，弥补基层审计人员在部分审计领域的职业能力缺陷。要建立审计部门与银行其他业务管理部门检查监管信息定期交流机制，实现监管信息的共享。同时激励和保护基层审计人员充分使用内查外调审计权利，发动员工向审计机构举报重大违规行为或问题线索，提高审计的效能。

（六）加强内审信息化基础建设，为推广信息化审计提供有力保障。
审计信息化是一个新生事物，各家银行还处在初创阶段，普遍存在不系统、不规范、不经常的问题，建议应当从以下几个方面着手加强基础建设。一是加强制度建设。各家银行总行应该统一制定计算机辅助审计系统操作管理办法及其实施细则，实现有章可依。二是加强设施建设。要加大投入，配备足够的审计服务器（用于存储审计数据的专用设备）、计算机辅助审计系统（英文简称CAS）和安装有CAS的电子设备。三是要加强软件系统建设。各银行要按照全行统一规划、统一开发、统一模型、统一实施的原则，建立综合的CAS系统，并调动全体审计人员的积极性，根据项目审计需要，不断创造新审计方法应用模块，建立丰富的审计方法库。四是要加强机构建设。各银行内部审计部门应自上而下设立专司计算机辅助审计的非现场审计部门。五是加强队伍建设。要采取对外引进与对内培训相结合的办法，培养一批既懂银行业务又熟悉计算机技术的复合型审计人才，以满足审计信息化的需要。