商业银行信息系统审计
商业银行IT审计势在必行
前 .随苻商业银 行信息化 建设的进
・ 步完
维 护 等 符 个
进i nf价 .确 仪 I 相 关 的 风 T
善 , 业 银行 对 【 统 的 依 赖 性 越 米 越 强 , l 商 T系 Jr’
义 为 : 收 集 井 评 估 证 骷 以便 判 断 一 1 计 算 机 的 乐 、
缆 l 否 有 效 做 到保 护 资 产 、 护 数 据 完 档 . 成 址 维 完 织 E 标 最 经 济 地 使 用 资 源 德 勤 华 水 会 计 帅 箭 l 所 有 限公 吲合 伙 人 P tr t ec K l o将 l T市 汁描 述 为 : 审 计 人 员 接 受 委托 ,收 集 , 1 估 “ 据 以 削 断 汁 荫 帆 E
州川 l 所 或 々 、 术 服 静提 供 商 完 成 的 外 部 审 舞 J 技
外 审 讣 洒 常 为 }市 、 蚴 年 终 检 雀 或 按 井 If 浊 规 的 篮求 Ⅲ址 I关 = 『 =
商 、 议 仃 } 邪{ } J 有 檄 划 、管 理 干 跟 踪 高 速 变 ¨ 化 的 f 技 水 . ’ 够 挺 息 能 u 支持 新 的 J 仙 金 融 ・
计 则 应 该 关 注 管 理 层 如 何 确 定 机 构 的 I 风 险 暴 T
系 统 是 番 有 效 做 刮 保 护 资 产 、维 护 数据 完 监 并 啦
有效 率 地 完 成 组 织 日标 帕 活 动 过 程 ・ 般 !. l i r ’
H 疔 化 迅 谜 . r’ 赖r l . 得 I'}讣 成 为 陵. 刈 l依 l 凡 使 很 ’r I r f 效 总 体 巾 汁 制 度 的 最 要 圭【 部 分 .市 汁制 度 成 | 【成 _
论商业银行内部审计信息化建设
论商业银行内部审计信息化建设商业银行内部审计是银行管理中的重要环节,它旨在帮助银行全面了解自身经营状况,发现问题和风险并及时采取措施加以解决。
随着信息化的发展,商业银行内部审计也在逐步实现信息化建设,以提高审计效率和质量。
本文将探讨商业银行内部审计信息化建设的重要性、现状和未来发展趋势,并提出建设信息化内部审计的相关建议。
一、内部审计信息化建设的重要性1. 提高审计效率信息化建设可以使审计人员通过电子化手段进行审计工作,避免繁琐的纸质文档处理和手工录入数据,从而大大提高审计效率。
信息化系统还能够自动化地整合、分析和汇总数据,为审计人员提供更加完整和准确的数据支持,提高审计工作的准确性和全面性。
2. 提升审计质量通过信息化系统的辅助,审计人员可以更加方便地进行数据分析和风险评估,快速发现问题和风险点;信息化系统也能够提供实时的监控和预警功能,帮助审计人员及时发现异常情况,提升审计工作的实效性和针对性,从而提升审计质量。
3. 降低审计成本信息化建设可以减少审计过程中的人力和物力资源投入,降低审计成本。
通过电子化手段进行数据处理和分析,可以减少大量的手工操作,节约审计人员的时间和精力;信息化系统还可以提供审计过程的自动化流程和规范化标准,降低审计工作的风险和误差,降低审计成本。
目前,国内外许多商业银行已经开始着手内部审计信息化建设工作,部分银行已经具备了一定的信息化审计系统和平台。
这些系统主要包括数据采集与整合、审计分析和风险监控等功能,能够有效支持审计工作的各个环节。
与此同时也存在一些问题和挑战。
在信息化建设方面,一些银行的内部审计系统仍然存在较大的技术差距,无法满足日益增长的审计需求;在系统使用和数据共享方面,一些银行的内部审计系统尚未实现与其他系统的无缝对接和数据共享,导致审计工作的协同性和效率不高;在人员培训和管理方面,一些银行还存在着审计人员信息化水平不高、系统使用不熟练等问题。
三、商业银行内部审计信息化建设的未来发展趋势随着信息化技术的不断发展和创新,商业银行内部审计信息化建设将会朝着更加智能化、数字化和网络化的方向发展。
银行信息科技专项审计报告
银行信息科技专项审计报告银行信息科技专项审计报告一、审计目标本次银行信息科技专项审计的主要目标是确保银行信息科技体系的安全稳定运行,提高系统性能与可靠性,降低技术风险,优化信息安全控制措施,提升科技管理水平,为银行业务的健康发展提供有力支撑。
二、审计范围本次审计的范围涵盖了银行信息科技的各个方面,包括但不限于:信息安全审计、系统性能与可靠性审计、技术风险评估等。
具体来说,审计范围包括但不限于以下几个方面:1. 信息安全审计:对银行信息科技体系的安全防护措施、数据加密、权限管理、安全事件处置等进行审计。
2. 系统性能与可靠性审计:对银行信息科技系统的性能、稳定性、可靠性、容灾能力等进行审计。
3. 技术风险评估:对银行信息科技体系面临的技术风险进行评估,包括硬件设备、软件系统、网络通信等方面。
三、审计方法本次审计采用以下方法进行:1. 实地考察:审计人员对银行信息科技部门的工作现场进行实地考察,了解科技部门的组织结构、职责分工、业务流程等。
2. 文档审查:审计人员对银行信息科技相关的文档进行审查,包括规章制度、技术手册、系统日志等。
3. 访谈调查:审计人员与银行信息科技部门的员工进行访谈调查,了解科技管理中的问题和建议。
4. 数据分析:审计人员对银行信息科技系统产生的数据进行分析,包括系统日志、流量数据等。
四、信息安全审计1. 安全防护措施:审计发现,银行信息科技体系的安全防护措施较为完善,包括防火墙、入侵检测、访问控制等,但存在一些配置不当的问题,如防火墙规则过于简单,容易受到攻击。
2. 数据加密:审计发现,银行对于重要数据进行了加密处理,但存在加密算法不一致、加密密钥管理不严格等问题,可能导致数据泄露。
3. 权限管理:审计发现,银行的权限管理较为严格,但对于某些特定权限的配置和使用存在不足,如某些用户拥有过大的权限,可能造成未经授权的访问。
4. 安全事件处置:审计发现,银行的信息安全事件处置流程不够完善,缺乏有效的应急响应机制,可能导致安全事件得不到及时解决,影响业务正常运行。
商业银行信息科技审计制度
商业银行信息科技审计制度
第一章总则
第一条商业银行股份有限公司(以下简称“本行”)针对信息科技运行管理,建立起相关的信息系统审计制度,信息科技的审计包括内部审计和外部审计,负责对信息科技运行中相关规章、制度,系统运行风险点进行全面审计、监测措施,规范信息系统运行,建立起良好的运行体制。
第二条本行内部审计部门应根据业务的性质、规模和复杂程度,对相关系统及其控制的适当性和有效性进行监测。
内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员,独立于本行的日常活动,具有适当的授权访问本行的记录。
第二章信息科技审计责任
第三条本行内部信息科技审计的责任包括:
(一)制定、实施和调整审计计划,检查和评估本行信息科技系统和内控机制的充分性和有效性。
(二)按照第(一)款规定完成审计工作,在此基础上提出整改意见。
1/ 4。
商业银行信息科技审计操作细则
XXX银行信息科技审计操作细则目录第一章总则 (1)第二章信息科技审计职责与权限 (1)第三章信息科技审计方法及内容 (2)第四章信息科技审计操作流程 (5)第五章附则 (6)第一章总则第一条为进一步明确XXX银行(以下简称本行)总行审计部对本行信息科技审计(以下简称IT审计)的职责,充分识别信息科技风险,完善控制措施,实现IT系统的可用性、安全性、完整性、有效性,监督审计全行的信息科技管控对各级监管政策法规的合规性,规范IT审计操作程序,持续提升工作效率,保障IT审计工作的指导性和规范性,依据《XXX银行内部审计章程》,特制定本细则。
第二条本细则为总行审计部对信息科技进行审计提供指导。
第二章信息科技审计职责与权限第三条总行审计部应设立专门的信息科技审计岗位,配备专业的信息科技审计人员,负责信息科技审计制度和流程的实施,执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。
第四条信息科技审计的职责包括:(一)实施和调整审计计划,检查本行信息科技系统和内控机制的充分性和有效性。
(二)按照本行规章制度完成IT审计工作,在此基础上提出整改意见。
(三)检查整改意见是否得到落实。
(四)实施信息科技专项审计。
信息科技专项审计,是指对信息科技安全事故进行的调查、分析,或审计部门根据风险结果对认为必要的特殊事项进行的审计。
第五条根据业务性质、规模和复杂程度,信息科技应用情况以及信息科技风险状况,决定信息科技内部审计范围和频率,至少应每三年进行一次IT全面审计。
第六条在进行大规模系统开发时,总行审计部应派人参与,保证系统开发符合本银行信息科技风险管理标准。
第七条审计人员具有适当的权限调阅或查看行内系统或审计相关资料。
第三章信息科技审计方法及内容第八条信息科技审计项目实施过程中需要搜集大量的信息,掌握多方面的证据。
搜集和取证需要运用多种方法和工具。
采用的方法有:(一)访谈:访谈信息科技和有关业务部门相关人员,了解项目现状。
当前商业银行系统内部审计存在的问题和对策
审计与理财2018.7商业银行是现代经济发展的核心,是宏观调控政策的重要杠杆。
在当前日益复杂的金融环境下,由于商业银行内部控制或内部监管缺失引发的风险事件层出不穷,内部审计工作对完善商业银行内部控制、强化内部监督的作用日渐突出,是金融公司治理结构和内部控制的主要环节,在完善银行治理结构中发挥着重要的作用,银行内部审计工作不仅是提升内部审计职能和提高内部审计业务水平的需要,也是建立现代内部审计体系和商业银行业务发展国际化的需要。
因此,提高商业银行内部审计的有效性,对于完善银行公司治理无疑具有特殊重要的意义。
笔者参加几次商业银行审计,通过思考,本文就商业银行内部审计存在的问题,结合当前实际,进行有效性分析探讨,希望能以此为契机,带动更多读者与我们建立真诚而理性的互动。
商业银行内部审计存在的问题:国际金融危机后,商业银行改进公司治理、强化风险控制的要求越来越高,也对内审工作提出了新的要求。
但从目前的情况来看,我国商业银行内部审计工作还存在不少问题,这些问题影响内部审计的有效性。
1.内部审计独立性不足。
现行体制下,我国商业银行内部审计部门普遍面向经营管理层而不是直接向“三会”负责并报告工作,审计人员与被审计单位的各种利益有着密切的联系,审计人员独立性较差,所做出的审计意见和处理决定也因管理体制上的影响而得不到有效的执行。
2.内部审计制度化、规范化进展缓慢。
审计工作的计划制定、目标确立、报告渠道、程序设计、审计质量监督等缺乏专业而完善的标准;对审计发现的问题,缺少清晰的报告路线和通畅的沟通制度。
同时,未赋予审计部门足够的处罚权或处罚建议权,审计执行效果不理想。
3.内部审计人员力量不足,审计质量有待提高。
内审配备人员占全银行员工总数比例不足1%,与发达国家5%的比例差距较大,内审人员素质也有待提高。
内部审计还以事后监督为主,对事前分析和事中监控重视不够,工作内容覆盖面也不够,无法满足商业银行强化内控、提高效益和防范风险的内在需要。
商业银行信息科技风险审计
商业银行信息科技风险审计北京时代新威信息技术有限公司王连杰为了适应当前社会形势的变化,开展商业银行信息科技风险审计项目是应对信息化条件下审计工作全新挑战的必然选择。
本文结合北京时代新威信息技术有限公司与数家银行合作的众多案例,总结出商业银行科技风险审计的价值所在。
理清信息科技风险审计基本概念与内涵,明确信息科技风险审计分类标准,掌握信息科技风险审计常用方法与思路十分重要。
并且将理论研究与经验分析相结合,总结商业银行信息科技审计的实际价值,并对如何提升商业银行信息科技风险审计工作水平提出了建议。
首先解析一下商业银行信息科技风险审计的基本概念与内涵。
商业银行信息科技风险审计是评判一个信息系统是否真正安全的重要标准之一。
通过安全审计收集、分析、评估安全信息、掌握安全状态,制定安全策略,确保整个安全体系的完备性、合理性和适用性,才能将系统调整到“最安全”和“最低风险”的状态。
安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段,也是威慑、打击内部计算机犯罪的重要手段。
依据银监会颁发的《商业银行信息科技风险管理指引》对商业银行的信息科技及其风险管理工作进行全面的审计,内容包括信息科技治理、信息科技风险管理、信息安全管理、信息系统开发测试管理、信息科技运行维护和业务连续性等方面。
信息科技治理层面:商业银行信息科技风险审计工作内容的重点就是信息科技治理,下面是它的基本构架以及管理方案。
一、信息科技治理架构1、信息科技治理机构的建立与履职(信息科技管理委员会)2、首席信息官的设立与履职3、是否指定信息科技风险的管理部门与管理职责二、信息科技战略管理1、是否建立了与企业战略相匹配的信息科技战略2、信息科技战略是否经董事会审批三、信息科技风险管理1、是否制定全面的信息科技风险管理策略2、是否制定持续的风险识别和评估流程3、是否制定了信息科技风险管理制度、技术规范、操作规程等,并且定期进行更新和公示4、是否建立了持续的信息科技风险计量和检测机制5、是否把信息科技风险纳入全行全面风险管理框架,并且明确牵头管理部门四、信息科技的资源管理1、信息科技的投资管理2、信息科技的人力资源管理3、信息科技的信息资产管理信息科技风险管理层面:商业银行信息科技风险审计的信息科技风险管理具体体现在构成管理体系的每个细节上,北京时代新威信息技术有限公司针对商业银行科技风险审计将其分为四个部分:管理者的素质、组织结构、企业文化、管理过程。
商业银行信息科技风险审计
商业银行信息科技风险审计北京时代新威信息技术有限公司王连杰为了适应当前社会形势的变化,开展商业银行信息科技风险审计项目是应对信息化条件下审计工作全新挑战的必然选择。
本文结合北京时代新威信息技术有限公司与数家银行合作的众多案例,总结出商业银行科技风险审计的价值所在。
理清信息科技风险审计基本概念与内涵,明确信息科技风险审计分类标准,掌握信息科技风险审计常用方法与思路十分重要。
并且将理论研究与经验分析相结合,总结商业银行信息科技审计的实际价值,并对如何提升商业银行信息科技风险审计工作水平提出了建议。
首先解析一下商业银行信息科技风险审计的基本概念与内涵。
商业银行信息科技风险审计是评判一个信息系统是否真正安全的重要标准之一。
通过安全审计收集、分析、评估安全信息、掌握安全状态,制定安全策略,确保整个安全体系的完备性、合理性和适用性,才能将系统调整到“最安全”和“最低风险”的状态。
安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段,也是威慑、打击内部计算机犯罪的重要手段。
依据银监会颁发的《商业银行信息科技风险管理指引》对商业银行的信息科技及其风险管理工作进行全面的审计,内容包括信息科技治理、信息科技风险管理、信息安全管理、信息系统开发测试管理、信息科技运行维护和业务连续性等方面。
信息科技治理层面:商业银行信息科技风险审计工作内容的重点就是信息科技治理,下面是它的基本构架以及管理方案。
一、信息科技治理架构1、信息科技治理机构的建立与履职(信息科技管理委员会)2、首席信息官的设立与履职3、是否指定信息科技风险的管理部门与管理职责二、信息科技战略管理1、是否建立了与企业战略相匹配的信息科技战略2、信息科技战略是否经董事会审批三、信息科技风险管理1、是否制定全面的信息科技风险管理策略2、是否制定持续的风险识别和评估流程3、是否制定了信息科技风险管理制度、技术规范、操作规程等,并且定期进行更新和公示4、是否建立了持续的信息科技风险计量和检测机制5、是否把信息科技风险纳入全行全面风险管理框架,并且明确牵头管理部门四、信息科技的资源管理1、信息科技的投资管理2、信息科技的人力资源管理3、信息科技的信息资产管理信息科技风险管理层面:商业银行信息科技风险审计的信息科技风险管理具体体现在构成管理体系的每个细节上,北京时代新威信息技术有限公司针对商业银行科技风险审计将其分为四个部分:管理者的素质、组织结构、企业文化、管理过程。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
商业银行信息系统审计[摘要]巴塞尔委员会指定的《有效银行监管的核心原则》指出:“银行监管体系应包括某种形式的现场和非现场监督”。
因此,依靠信息系统审计实现现场与非现场相结合的内部审计体系,是商业银行提高内部审计,内部控制质量和效率的必然选择。
[关键词]信息系统审计;商业银行;信息化在信息化大潮中,信息技术不断改变人们工作生活的行为方式和思维方式。
现代信息技术已经在各行各业及其机构和业务中普遍开来,因此审计这个以鉴证财务信息的真实、公允为核心的行业不可避免地受到信息技术飞速发展所带来的冲击与挑战。
传统审计暴露出了很大的弊端,已不能满足人们的需求,不能适应新形势的发展需要,这就使得信息系统审计在商业银行中的应用成为必然。
一、信息系统审计的概念及其对商业银行审计的影响1985年日本通产省情报处理开发协会信息系统审计委员会认为: 信息系统审计是由独立于审计对象的信息系统审计师, 站在客观的立场上, 对以计算机为核心的信息系统进行综合的检查、评价, 向有关人员提出问题与劝告, 追求系统的有效利用和故障排除, 使系统更加健全。
国际信息系统审计领域的权威专家Ron Weber将它定义为“收集并评估证据以判断一个计算机系统(信息系统)是否有效做到保护资产、维护数据完整、完成组织目标, 同时最经济的使用资源”。
这一定义既包括信息系统的外部审计的鉴证目标,即对被审计单位的信息系统保护资产安全及数据完整的鉴证, 又包含内部审计的管理目标) ) ) 即不仅包括被审计信息系统保护资产安全及数据完整而且包括信息系统的有效性目标。
审计是在信息系统下执行财务会计报表审计,并不改变审计的总体目标和范围。
但是,计算机的使用改变了财务资料的处理和存储,并可能影响被审计银行为达到适当的内部控制而采用的组织和程序。
1.对审计对象的载体产生的影响。
在手工操作下,作为审计对象的载体是会计凭证、账簿、报表和其他各种经营资料,都是可见性的文字、数字记录,并且要求严格按照统一规程来填写和登记。
但在计算机信息系统下,除了部分原始凭证和打印出来的账表外,大量会计数据都是以电、磁信号的形式被存录在计算机中的。
若不经显示或输出是看不见、摸不着的,它们既容易销毁也容易伪造,而且可以不留痕迹。
审计中及时发现可疑之处,要想进一步追查也是有困难的。
2.对审计线索的影响。
审计师必须跟踪审计线索来审核有关经济业务,以搜索审计证据。
会计核算电算化使审计线索发生了很大的变化。
在手工操作下,从原始凭证到记账凭证再到财务会计报表的编制,每一步都有文字记录,都有经手人签字,审计线索十分清楚。
审计时进行审查时,完全可以根据需要进行顺查、逆查或采用抽样的方法进行审查。
但在计算机信息系统环境下,制作凭证、登账及报表编制,全部由计算机系统按一定的程序指令完成,存有会计资料的大多是磁带和磁盘,这些磁性介质上的信息是以机器可读的形式存在的。
除了制定一些规章制度外,还必须在会计软件系统的设计和开发中提出审计要求,以便这些系统在会计核算中能留下新的审计线索。
3.对审计技术和审计方法的影响。
计算机信息系统的特点决定了审计技术应当相应改变,手工审计技术仍是有效和必要的,但是,计算机辅助审计技术效率则更高,有时甚至是必不可少的审计技术。
计算机信息系统环境下被审计商业银行内部控制的变化,是审计方法也产生较大变化。
对会计资料所进行的实质性测试包括:(1)不处理数据文件的实质性测试方法;(2)处理实际数据文件的实质性测试方法;(3)处理模拟数据文件的实质性测试方法。
二、商业银行实施信息系统审计的必要性1.商业银行自身的信息化程度日益加剧,审计资源有限的矛盾日益突出随着国民经济的快速发展,商业银行近年来资产规模增长迅速,业务量急剧膨胀,特别是在沿海发达地区,日交易量达数十万笔;同业竞争日趋激烈,新的金融产品和服务不断推出,银行业务的复杂程度大大提高;商业银行具有机构地区跨度广、网点众多的特点。
因而,在现有的资源下,依靠传统的审计方式已难以保证内部审计的质量和全面性。
商业银行信息化就是全面发展和应用现代信息技术, 以创新智能技术工具, 改造更新和装备商业银行各个部门和业务领域, 从而极大地提高商业银行的运作效率和创新能力, 最终实现由商业银行向信息银行的转变。
随着商业银行业务信息化程度的提高, 银行的业务和信息系统之间的联系不断加强, 信息系统需要不断的修改和完善以适应业务发展的要求。
当信息系统跟不上业务发展的需要时, 就会造成一系列系统故障、错误, 使得商业银行面临的战略性、名誉性、操作性的风险越来越大。
为减少这些风险, 这就需要信息系统审计对系统进行严格的规范控制, 对信息系统进行综合的检查和评价以保证信息系统适应银行业务发展的需要。
同时需要对信息系统的开发过程进行跟踪审计, 及时发现并改正错误, 保证信息系统的质量, 降低系统后期的维护成本。
2. 金融审计方式的局限性审计机关目前对商业银行的主要金融审计模式是数据式审计, 从审计实践来看, 这种审计方式由于缺乏对系统的控制而不能保障电子数据的唯一性、完整性和准确性, 无法对商业银行的会计报表与原始电子数据的一致性做出准确地判断, 无法核实商业银行整体经营成果的真实性。
从发展趋势来看, 数据式审计方式由于过分关注数据本身而缺乏对系统整体的分析, 难以控制总体审计风险, 其局限性正逐渐显露出来。
由于审计机关人员少、时间短等因素影响, 目前金融审计的内容仅包括对公存款业务、信贷业务、中间业务、国际业务和会计管理业务等, 并在此基础上有选择地进行重点抽查审计。
在执行具体审计实施方案时, 因侧重点不同也缺乏统一性,审计范围和内容均比较狭窄。
总之, 现有审计技术与方法无法保证对商业银行进行全面性、统一性和系统性的审计, 为有效解决上述问题, 审计机关应当尽快对商业银行开展信息系统审计。
3. 传统的审计线索发生重大变化。
国有商业银行主要业务过程和业务信息已基本实现了电子化,作为审计工作直接对象的账务、管理数据的生成和存储都发生了改变。
尤其是近年来网上银行、电话银行、自助银行、手机银行等业务的出现,使传统的纸质账簿被磁性介质取代,审计人员已无法得到有形的审计线索。
4. 金融科技的发展为审计信息化提供了机遇。
随着科技战略的实施,国有商业银行的网络基础设施建设已取得了阶段性成果,业务系统和数据已实现了区域性的集中,电子数据的规范性和可用性进一步提高,为实现审计信息化创造了条件。
5. 信息系统审计的优越性信息系统审计有利于商业银行信息系统项目的风险控制。
为了有效保持和提高竞争力, 商业银行持续地维持更新现有的信息系统, 并积极开发和应用新的信息系统。
而在日益激烈的市场环境中, 由于银行应对策略的调整, 往往导致信息项目的频繁变更。
一些信息建设项目应用风险凸现。
信息系统审计的目标和任务, 就是通过评价信息系统项目管理过程中内部控制的适当性, 确保项目风险控制在合理水平。
信息系统审计有利于商业银行业务运营风险的防范。
商业银行的发展过程, 实际上是信息系统和业务运营模式不断更新的过程。
商业银行的各项业务经营几乎都涵盖在信息系统的支撑之下。
基于此, 商业银行业务经营风险的控制, 很大程度上已经转移到信息系统的风险控制上。
信息系统审计在信息安全方面的任务和使命, 就是通过评价相关的内部控制的适当性, 确保信息资产的安全, 包括保密性、完整性和可用性, 从而保证银行业务的正常高效运营。
三、信息系统审计在商业银行审计中的开展审计信息化是指审计人员在实施审计监督时, 利用计算机进行辅助审计, 并对有关审计业务信息和审计程序采用计算机进行管理, 从而达到有效提高审计工作质量和效率的目的。
信息系统审计过程与一般审计过程一样, 分为准备阶段、实施阶段和报告阶段。
其中, 准备阶段和报告阶段所涉及的技术方法与财务审计所运用的技术方法区别不大, 而实施阶段所涉及的技术方法则具有信息技术的特色。
即针对商业银行的信息系统, 基于风险导向的审计思路, 信息系统审计的具体内容包括审查软件开发、设计、发行、维护过程; 审查软件使用、运行情况; 审查系统与其它系统的接口情况及系统的可扩展性; 在审计实施中应特别关注技术风险(包括集中化风险、数据风险、生产运行风险、通讯风险、交易量的峰值冲击风险等)、系统风险(包括规划与设计风险、安全产品的可信度风险)等。
目前,国有商业银行主要通过各类现场和非现场的审计管理信息系统的运用,来实现内部审计的信息化。
(一)非现场审计管理信息系统的运用针对内部审计的管理模式和业务流程,国有商业银行通过使用不同的审计管理信息系统来实现一定的工作目标。
在开展远程审计或进行现场审计的前期准备阶段时,运用的是非现场审计系统。
该系统是一个针对业务数据的调集和分析系统,它获取业务数据的方式主要是通过审计接口从银行的总账传输系统中卸载总账、从历史数据服务系统中卸载明细账和登记簿数据、从信贷信息系统中卸载信贷数据。
审计人员根据审计目标在非现场审计系统中设定合理的监控指标,建立问题查找模型,然后对模型筛选出来的业务数据运用Excel、Access 等应用软件进行连续、全面的分析,发现审计对象业务经营过程中存在的问题、疑点和异常,评估审计对象的风险状况,为现场审计提供数据资料和线索。
非现场审计系统的运用,加大了审计覆盖面,使1 0 0 %抽样审计成为现实,减少了审计抽样风险;经非现场分析,为现场审计提供可靠、详实的依据,使现场审计针对性强,纠正违规、违法的效果明显,提高了现场审计的质量;依据非现场分析掌握的情况,能对现场审计的人员多少、时间长短进行科学、合理地安排,提高了审计工作效率,降低了审计成本。
对于国有商业银行内部的重要风险点,非现场审计也可以进行连续监控,发挥动态监控、预警作用。
但需要强调的是,对有些问题,通过非现场审计并不能直接定性,还须结合现场审计,依靠审计人员的职业判断来完成。
(二)现场审计管理信息系统的运用对于日常各个审计项目的信息管理工作,则是通过审计项目管理系统来完成,它能实现全行审计业务信息和管理信息的有效归集和利用。
为分别适应审计项目实施和审计工作管理这两个方式、内容截然不同的任务,审计项目管理系统一般分为相对独立的前后台系统两部分,前后台的数据以专用数据文件形式进行导出导入。
前台系统为单机版的应用程序,审计人员可在该系统中进行工作底稿、问题台账和审计报告初稿的编制,以及审计发现统计分析等工作。
从数据流角度看,前台系统可以视为后台系统的审计项目数据采集器。
后台系统则将诸如审计机构、被审单位、审计项目和审计发现问题等审计管理和业务信息进行全行集中存储,各审计机构用户可对存储的信息进行多角度的查询、分析和统计,为全面掌握各业务和机构存在的问题和风险状况提供支持。