农行上市需过内审关论文

摘要:中央银行业务信息化，必然需要内审技术信息化与之匹配。本文立足基层央行业务系统运行状况，对利用信息技术开展系统运行审计的紧迫性、面临的主要问题作一剖析，试图找到一些有利于基层央行利用信息技术开展业务系统审计的方法与途径。关键词计算机技术业务信息化内审手段信息化

一、引言

随着央行业务信息化的发展，数据信息系统成为内审部门新的必须开展的审计内容。国外许多中央银行的内审部门非常重视利用信息技术开展内部审计，并且取得了较大进展。他们拥有一批熟悉COBIT、SAC等国际上通行的信息技术管理和控制标准、具有丰富专业经验的信息技术审计人员，对信息系统审计已有十余年历史。我国审计机关利用计算机进行审计探索始于20世纪90年代初，探索开发了一系列审计软件。2001年，国家审计署提出了《信息化建设总体目标和构想》，即“金审工程”，极大地推动了审计技术的发展。我国中央银行利用信息技术对业务系统进行审计起步较晚，与业务系统电子化发展相比，审计信息技术的发展很不匹配，存在明显滞后。尽管人行总行为推动审计技术信息化制订了一系列制度，如《中国人民银行计算机信息系统内审监督检查工作暂行规定》、《关于加强计算机信息系统内部审计的指导意见》、《计算机信息系统内部审计规程》，但从实际运用来看，内审部门的信息技术手段仍很落后。特别是基层央行，对业务系统的审计仍以手工为主，检查的重点停留在制度执行层面，风险洞察水平不高，严重影响了审计质量。基于这一认识，本文立足基层央行业务系统运行状况，对利用信息技术开展系统运行审计的紧迫性、面临的主要困难与问题作一剖析，试图找到一些有利于基层央行利用信息技术开展系统审计的方法与途径。

二、信息技术在内审领域运用的紧迫性

国外央行审计技术信息化的实践和我国央行业务领域信息化的现实，催生了内审信息技术建设必要性这一共识，在共同认知下，迫切需要采取措施加快审计技术信息化的发展步伐，这种紧迫性至少表现在以下几方面：

1、适用业务信息化发展的需要。近几年来，基层央行业务信息化建设已经跃上了一个新台阶，央行主持开发的计算机信息系统基本涵盖了货币政策、宏观调控、金融稳定、金融服务各个领域，逐步形成了高效、规范的信息化服务体系。信息系统的广泛运用在提高央行管理水平的同时，也潜在着较大的安全和技术风险。基层央行业务系统操作员和管理员对系统运行的先进性与安全性的认识，由于长期的接触，难免有“不识庐山真面目，只缘身在此山中”的感觉。全面了解系统的运行状况、进一步改进系统运行质量，迫切需要审计信息技术这个通道，起到“横看成岭侧成峰”的作用。

2、提高内部控制水平的需要。《中国人民银行分支机构内部控制指引》指出，内部控制包括内部控制环境、风险评估、内部控制活动、内部控制的信息及其沟通、对内部控制的监控五个要素。面对央行业务系统信息化的发展，如果没有内审技术手段信息化的快速跟进并与之匹配，以落后的内审手段碰撞先进的业务系统，就无法对业务系统运行的可靠性、保密性、连续性、完整性、风险性作出准确的评估，内审部门“对内部控制的监控”作用无法有效发挥。

3、提升内审项目质量的需要。传统的手工审计，常常要面对杂乱无章的数据，进行大量乏味的计算工作。将信息技术运用于内审工作，不仅可以帮助内审人员解决这一问题，还可设定针对性的模块开展审计，扩大审计范围；可以规范审计业务管理，如“中国人民银行内审业务管理系统”，有内审项目管理、内审职责管理、辅助计算等功能，极大地规范了审计操作。再如武汉分行推出的“内控评审系统”，可以对分支机构的内控建设水平作出综合评价，促进了基层央行内控建设；可以迫使内审人员加强对计算机知识的学习，主动熟悉业务部门应用系统的操作流程。同时，可以通过计算机网络技术，建立内审业务后续教育平台，开展远程培训，使内审人员尽快跟上信息化发展的步伐。

4、创新内审手段的需要。信息技术在内审领域的运用，可以为创新内审方式打造直接平台。审计人员利用计算机，借助有效软件开展内审工作，实现由手工方式向电子方式转变；利用接口程序直接从业务系统采集数据，进行分析整理，实现适时审计；借助网络，远程访问被审计单位的系统数据，实现远程审计。通过审计信息化，能够实现内审监督从单一性的事后审计向事前、事中、事后相结合转变，从单一的静态审计向动态与静态相结合转变，克服传统的事后审计带来的不能及时发现问题、防范于未然的缺陷。

三、央行业务系统审计面临的现状与困境

随着基层中央银行电子化运用的广泛深入，内部审计环境也发生了深刻的变化，内控机制的改变、审计线索的隐蔽、审计手段的滞后、审计风险的凸现等带来的困境与压力，无时无刻不在挑战着内审人员的智慧与勇气。

1、业务系统可审性差。随着央行内审功能定位的清晰，内审工作的审计领域逐步拓宽，审计内容也日渐丰富，但对业务系统领域的审计，却始终是“雾里看花”，成为“审计壁垒”。目前，所有业务系统几乎都没有预置审计接口与审计用户，连简单的数据查询都需要通过被审计对象才能进行，同时由于信息量大，再加上内审部门缺乏相应的技术审计手段与审计力量，用有限人工的方法查找海量电子化信息，效率太低，要想筛选出有价值的线索无异于“大海捞针”；因没有设置系统“黑匣子”，没有设置监控点，最大限度保留、记录审计线索，各项违规操作、异常操作无从查找。

2、计算机辅助审计运用不广。由于应用系统开发各自为阵，各个系统由不同的开发单位开发，所采用的开发、应用平台不同、开发语言不同，数据库不同，没有一个统一的标准的数据化接口，加上内审部门没有专用的通用审计软件，使业务系统数据采集、转换、分析困难，另外，数据采集还涉及到数据导出后的保密问题，也成了数据采集困难的因素之一。加之内审部门计算机配备不足，能熟练掌握计算机专业知识及业务知识的人员偏少，计算机辅助审计仅停留在WORD、EXCEL文字处理和电子表格处理层面，更深层次的数据筛选、数据分析、函数计算、数据统计和图形分析应用不多。3、审计服务平台搭建不力。目前，央行内审业务尚未搭建起支持信息化审计的高效的服务平台，严重滞后于信息化审计工作的发展，成为难以突破的“瓶颈”。主要表现为：一是审计依据的非电子化，给依据的查找、问题的定性带来极大的不便，许多审计人员反映，在依据查找、问题定性方面投入的工作量占整个工作量的近三分之一。二是审计依据携带不便，查找不便。目前大部分内审人员仍然使用纸质依据，有些则是上网搜索，这样所得的审计依据难以保证其权威性、全面性、有效性，容易造成审计风险。三是审计成果难以利用，没有审计结果电子档案，审计部门难以及时了解、全面掌握审计对象的基本情况及其动态。四是审计分析难以深入，不便掌握内控运行趋势和找出内控薄弱环节轨迹。五是经验交流不实时，在审计实施中容易走弯路、重复审计，增加审计成本。

4、软件开发应用介入缺位。《中国人民银行关于加强计算机信息系统内部审计工作的指导意见》规定科技部门和系统应用部门,在组织系统开发时应当将有关情况通报内审部门，应当充分考虑设置和保留必要的审计线索，重要的系统,应当设立必要的审计接口。《中国人民银行分支机构内部控制指引》也作了相似的规定。但在实际中却很难得到有效执行。一是程序设计、开发、测试阶段审计部门参予不够。在电算化环境下，计算机系统处理成了业务处理的一个重要环节，而在目前的审计实践中，对业务系统的审计却往往绕过计算机审计，未能实现穿过计算机审计，仅对业务系统的运行环境、操作员控制、制度建设与管理等方面进行审计，对业务系统自身的可靠性、可行性审计这一关键环节却无能为力；二是业务系统培训、运用，审计人员缺少参与。各个业务系统在培训推广时，内审人员很少有机会参加，相应的制度及培训资料也难以获取。

5、审计风险规避更难。手工环境下，各项数据的勾对平衡、各个科目的对转使用，都有原始的凭证、帐簿、报表，有据可查，容易“顺藤摸瓜”，审计出来的结果较为可靠。但在电算化环境下，各项业务的上机运行，数据的集中存放，凭证的上收，审计线索大为减少；纸质数据的电磁化及其容易篡改的特性以及程序的“黑箱”处理，中断了追索途径；技防的薄弱如身份识别技术大部分采用登录口令的形式，UNIX系统未安装防病毒、防入侵软件等，极有可能导致黑客的入侵、病毒的感染，从而导致程序被修改、数据被窃甚至丢失的风险，极大增加了审计风险的规避难度。

四、央行业务系统信息化审计方法与途径探讨

面对业务系统审计中的种种困难，只有把审计信息化作为传统审计向现代审计转型的突破口来抓，在更大范围内和更深层次上推进计算机审计的应用，才能及时发现不足和解决问题，杜绝因业务信息化所带来的风险。

1、深化辅助审计软件的有效应用

辅助审计软件包括Word、Excel、数据库分析管理（通常使用常用的Access数据库）、图形分析程序、通用审计软件（GAS）等。在内部审计实施过程中，计算机不能仅作为文字处理工具，而要进一步深化辅助审计软件的有效应用。

在文字处理、电子表格、数据库分析管理和图形分析四个方面，可建立符合基层央行业务特点的审计数学模型，用数学模型进行数据提取、数据筛选、数据分析、函数计算、数据统计和图形分析；可建立方便快捷的审计依据文档库，通过系统自带的搜索引擎进行资料模糊查询，以便快速对审计定性提供依据；可建立审计实施各阶段的文档模板，使各阶段文档共性部分减少手工编制。

探索开发中央银行通用审计软件（PBC-GAS）。借助通用审计软件中相应的数据接口模块在不同的业务系统中采集数据，用转换工具，把取得的数据进行转换，从而有效地转换到审计软件中，形成统一的数据格式，以便进一步审计分析。

2、建立业务系统的嵌入式审计窗口（EAM）

《中国人民银行分支机构内部控制指引》中明确要求“系统开发时应考虑监督检查的需要，必要时应预留有关审计接口”。为此，笔者建议：一是对现有的业务系统进行补丁，建立起由内部审计人员登录并提供由系统本身自动产生有操作风险或较严重误操作的记录的嵌入式审计窗口，从而增加对审计对象的介入深度和改进审计方式；二是对今后开发的业务系统，审计部门要提前介入，提供切合实际、有针对性的系统控制、程序控制和风险点控制等方面的需求报告，供开发人员研究设计，未经审计部门介入的业务系统软件，不能擅自推广应用。

嵌入式审计窗口作为系统控制、程序控制和风险点控制模块，主要针对系统操作可能导致的风险进行监测和记录。记录内容可包括金额、资金流向、摘要；时间、操作员；保密资料的打印次数；操作员密码管理情况；主管授权情况；非工作时间开机登录情况；操作员签退情况；数据备份与恢复控制情况等。EAM的应用，可成为业务系统自动监控的“黑匣子”，提高系统的可审性。同时，内审员通过网络登录可开展非现场审计，通过业务系统的动态监测可开展动态审计，具有监督频率高、信息连续性强、审计成本低、动态反映及时等特点。

3、推进技防信息化建设

技防信息化在央行重要业务系统中的应用目前仅限于对机房的监控，直接对业务系统实施技防信息化还是空白。技防信息化是通过计算机外接设备对操作员指纹、掌纹、声音、人脸、虹膜等进行图形、声音数据采集，由计算机进行生物统计，以进行身份鉴别的计算机控制方法。技防信息化可在中央银行ABS、TBS等重要业务系统中应用，如建立指纹识别系统（HSS）或脸像识别系统（FSS），并对应用系统所在的机房进行数字化动态监控。从而为内部审计提供必要的、有力的证据，尤其易对一些违规操作、非法登录、恶意破坏行为追踪认定，使责任追究落实到人。4、加快建设信息化审计网络服务平台

信息化审计网络服务平台是为内部审计工作提供全方位的服务网络系统。网络服务平台可以包括：审计人才资源、审计对象与方法、审计依据法规、风险点及控制、审计成果转化与应用等，形成一个多层面、多角度、立体式的网络服务平台。

网络服务平台要通过做好信息收集、整理工作，建立健全分层次的审计数据库，包括财务管理、国库资金管理、发行基金管理、人民币账户管理、外汇业务管理、金融统计业务管理、反洗钱管理、金融法律法规以及审计人力资源、审计工作中形成的审计结果和审计专家经验、风险点及控制等为审计服务的信息。依靠有效的内联网络，分层次地形成信息共享。

5、规避信息化审计风险

规避信息化审计风险是审计人员面临的新课题。信息化系统所固有的特性，使审计风险再所难免。如何最大限度地降低审计风险，只有靠审计人员敏锐的嗅觉、实战经验和一定的计算机应用系统分析水平。在审计实战中，一要运用电子数据易快速分类、排序、统计的特性，对电子数据进行关联、抽样分析等，以发现审计线索；二要检查业务系统的操作员分工、权限设置是否合理、严密，职责是否明确，分析密码管理机制是否安全、有效，系统各个功能模块设计是否符合央行内控要求；三要检查业务系统本身是否具有合理的安全保护措施，如容错性和系统灾难恢复机制等；四要检查被审计单位所提供的数据资料的真实性、时效性、完整性和连续性，必要时应进行复核；五要采用灵活的审计方式，如可采用就地审计或突击审计的方式，事先不通知被审单位计算机管理员，先取得备份数据，以防操作员将数据篡改、删除等。

6、加快人才培养和技术培训

李金华审计长指出：审计信息化是一场革命，审计人员不掌握计算机技术,将失去审计资格。基层央行内部审计信息化建设的发展，人才培养是最大瓶颈。当务之急是要用计算机知识武装审计人员的头脑。首先，要拓宽育人、用人视野，要有目的的选择品学兼优的业务骨干充实到内审岗位。其次，要抓好计算机审计深层次应用培训，如审计业务与通用审计软件相关的针对性培训、计算机辅助审计技术培训、常用的Excel、Access数据库中如何进行数据处理、加工统计及图形分析培训等。

课题组组长:张庭旭

课题组副组长：吕遂生

课题组成员：康登栋、李书文、康中华、王晓东、王勇

参考文献

[1]、王洪章，《中国人民银行岗位风险防范指南》，中国金融出版社，2006年。

[2]、张静，《人民银行内审理论与实务研究》，湖北人民出版社，2004年。

[3]、刘德运，《内部审计原理与技术》，中国经济出版社，2006年。

[4]、陈自川，《探索创新发展中的央行内审工作—人民银行内审理论与实务研讨获奖论文集》，中国金融出版社，2004年。