商业银行数据式审计模式探析

摘要：商业银行审计在各国金融风险监管活动中起着重要作用。金融全球化的发展和银行混业经营，特别是计算机技术在银行业的广泛运用，造成审计环境、审计目标、审计对象和审计方法等基本审计要素的巨大变化，给商业银行传统审计模式提出了挑战。适应银行信息化的趋势创新商业银行审计模式运用到审计实践，具有十分重要的理论意义和实际意义。因此，本文探讨的是信息化背景下开展商业银行数据式审计模式，并对该模式下的特点和内容进行分析，为尝试开展商业银行数据式审计提供借鉴。

关键词：审计模式；数据式审计；银行电子数据

审计模式是审计导向性目标、范围、方式等的集合，由于社会经济环境是个不断变化的过程，审计目标也是变化的，因而为实现审计目标而采用的审计模式也不是固定不变的。根据审计目标以及所采用的审计方法，审计模式的发展主要经历了账项基础审计、制度基础审计和风险基础审计三个阶段。

我国商业银行审计以国家审计为主，由国家审计署及各级审计机关承担，主要经历了三个阶段：第一阶段是1983年至1994 年，以银行业务和账目为基础，以收入和支出为审计内容，以核实商业银行盈亏的真实性和财务收支的合规性，规范财经纪律为审计目标，这一阶段基本属于账项基础审计模式。第二阶段是1995年至2000年，审计内容扩展到检查银行的经营内容、信贷资产质量和关注银行风险，审计手段从手工审计发展到计算机辅助审计，开始对商业银行内控实效性进行测试评价。2001年以来为第三阶段，围绕风险、效益、管理，深化审计内容，对与商业银行有关的经济活动内容进行全面审计，制度基础审计模式得到更广泛的运用，风险导向的审计思想开始显现。从总体上看，我国商业银行审计尚处在账项基础审计向制度基础审计和风险基础审计过渡的阶段。

信息技术的发展和计算机在银行业的广泛运用，改变了银行传统的会计核算、内部管理和业务流程，也使审计环境、审计目标和审计技术发生重大变化，传统的审计方法和模式已经满足不了新的审计需求，寻求新的审计模式以适应信息化进程成为银行审计发展的方向。因此，我们应尝试以信息系统和电子数据为对象的商业银行数据式审计，具体来说，就是以评价商业银行内部控制制度为基础，对银行电子数据（包括会计数据和业务数据）的收集、转换、整理和分析，运用数据式审计方法进行数据分析，对银行会计信息系统运行的有效性，银行电子数据完整性和准确性，银行会计报表的真实性、公允性进行审计评价的审计模式。

一、商业银行数据式审计模式的发展背景

1.审计环境和审计内容的变化需要新的审计模式

信息技术在银行业的广泛运用，不仅深刻改变了审计内外部环境，也极大丰富了审计内容。一方面，商业银行的各项业务交易、会计核算和内部控制与管理全部通过计算机来完成，产生海量数据，审计工作的对象从传统的纸制账目转变成种类繁多的电子数据和生成这些电子数据的信息系统，新的信息数据的审计技术也逐渐代替了传统的手工审计方法；另一方面，商业银行信息系统变得也愈加重要，信息系统的安全性和有效性、银行电子数据的真实性和完整性也成为了商业银行重要审计内容。这一切变化都“呼唤”新的审计模式，也为数据式审计奠定了基础。

2．审计风险的不断加大渴求新的审计模式

信息化背景下的商业银行审计理论和实践取得了一定成果，与此同时，信息化技术环境下的银行审计风险也越来越受到人们的关注，但数据式审计模式还处于摸索探讨阶段，相对应的审计准则还没有完全建立，审计风险研究和控制尚未有完善系统的理论总结，审计环境等审计基本要素的改变又使得审计风险随之加大且难以控制。因此，对数据式审计模式的探讨是规避和控制审计风险的必然要求。

3．审计法规的不断完善为开展数据式审计提供了基本的法律依据

我国最早有关计算机审计的法规是1993年9月审计署颁布的《审计署关于计算机审计的暂行规定》，确定了计算机审计的内容包括信息系统内部控制、记录在各种载体的会计信息和电算系统的应用软件与文档等。2001年末，国务院颁布《关于利用计算机系统开展审计工作的通知》，强调审计机关有权检查被审计单位运用计算机管理财政、财务收支的信息系统，规定被审计单位必须提供审计机关所需信息系统和电子数据。直至2006年6月，《审计法》明确规定审计机关有权要求银行按照审计机关的要求提供运用电子计算机储存、处理的财政收支、财务收支电子数据和必要的电子计算机技术文档，为开展商业数据式审计提供了基本的法律依据。

二、商业银行数据式审计模式的特点

一是审计对象发生变化。商业银行数据式审计的最大特点就是对电子数据的直接利用，审计对象不再是纸质环境下的会计账簿或者电子账套，而是银行的计算机信息系统及其处理的电子数据。在新模式下，审计人员深入银行计算机信息系统的底层数据库，获取更多、更广泛的内部数据，既包括传统的财务信息，还包括业务信息、财务数据与业务数据组合的混合型信息。这样可以根据商业银行特点和需求来设计和存储的电子数据，成为构建模型、开展审计分析的对象，结合从其他单位采集的外部数据进行关联对比分析，来获取审计所需的各种证据。

二是审计范围发生变化。数据式审计模式扩展了审计人员的视野，丰富了审计人员的信息，扩大了审计范围。凡是银行数据库中所包含的数据，不管其类型如何，只要与审计相关，对审计人员有用，皆可纳入收集和分析范围。尤其是大量的银行业务数据和外部数据在传统账套中是无法轻易取得的，但计算机强大的数据处理能力，可以迅速而准确地处理海量数据，提供了有力的技术支持，解决了在手工条件下，审计人员因人力和时间有限想做而不可能做的事情。

三是审计效率得到了提高。对商业银行这样地域跨度大、业务复杂、信息量大的单位，通过数据式审计方法，审计人员可快速取得审计所需要的基础资料。由于这些数据未经加工，来源可靠，审计人员可以从整体和宏观的角度进行把握，审计过程也具有针对性和持续性。此外，还可对数据进行整理分析、构建数据模型等工作，使审计人员可以集中精力注意于专业判断，从而缩短审计时间，增大了发现问题的可能，提高了审计工作的正确性与准确性，有效地提高了工作效率。

四是审计方法发生变化。通常来说，审计人员一般使用建立在概率论和数理统计原理之上的审计抽样技术，通过对样本的审查测试来实现对总体的监督和评价，测试法成为审计的核心方法。在数据式审计模式下，审计人员面对的是如何对信息系统中的数据进行有效的分析，数据分析方法成为审计的核心方法。建立在数据式审计基础上的数据分析方法不同于传统的分析性测试。分析性测试的对象是会计信息，这些信息具有特定的格式和确定的内容，对其只能进行有限的再利用。而数据分析的对象是数据库中的底层数据，可以直接对其进行各种数据处理，形成满足审计目标的多种多样的信息。

三、商业银行数据式审计的主要流程和方法

一是调查银行信息和业务系统、采集电子数据。开展数据式审计的前提是对商业银行信息和业务系统进行内部控制测评，评估信息和业务系统安全性和可靠性，以及系统产生的信息数据的完整性和真实性，决定是否依赖信息系统及相关信息数据。接着是对银行信息系统产生的数据进行采集，数据采集是数据式审计的基础，具有明确的选择性、目的性和可操作性。数据采集可以通过计算机系统终端查询下载，也可以从信息系统后台数据库直接取得。在近几年的商业银行审计实践中，我们所接触的后台数据库存储数据形式多为ORACLE、SYBASE、INFORMIX 和SQLSERVER，一般是通过系统软件的后台数据库取得电子数据来开展审计。

二是清理、验证银行电子数据。审计人员采集到的银行原始数据，可能存在的数据质量问题，包括不完整的数据、不准确的数据、不一致的数据、重复的数据、与审计无关的数据等。数据的清理和验证的目的就是提高数据质量，剔除无用信息，验证数据真伪，确保所采集数据的真实性、完整性、可靠性。

数据清理和验证是对采集数据进行选择、判断和释义，然后按照审计需求，既进行语法层次的转换(将不同的数据结构转换成统一的数据形式)，又通过语义上的转换，根据不同的字段含义和数据表间的关系，将原始的数据表自由重新组合，转换成审计所能利用的数据。由于审计软件或审计系统的不同要求，这些数据一些表的字段格式或内容要进行一些改变，可能表现为各种不同的格式，最终会转换成系统或软件可识别的数据集合，为审计人员建立了进行数据分析的对象、资源和平台，也为下一步建立数据分析模型和开展审计奠定基础。

三是构建数据分析模型、分析电子数据，确定审计重点。在这个阶段，审计人员可以充分利用经过清理和验证的数据，构建数据分析模型，进行数据分析从而确定审计重点。审计分析模型是审计人员按照审计事项具有的性质或数量关系，由审计人员通过设定计算、判断或限制条件而建立，对银行经济活动的真实、合法及效益情况做出科学的判断。数据分析主要从总体分析和个体分析两个方面入手。总体分析通过多种分析方法，把握总体和趋势，分析异常，锁定重点；个体分析是对总体分析确定的项目，利用法律法规之间的规定和数据之间的勾稽关系、审计经验和专业判断建立个体分析模型，通过内部数据和外部数据关联，从而确定审计重点和线索。

四是确定重点，落实取证。确定审计重点后，验证阶段主要通过延伸审计、外部调查等传统审计方式对分析的数据结果进行分析验证，落实审计重点和线索。

四、开展商业银行数据式审计模式建议

1.注重提高审计人员开展数据审计的能力。在新的审计模式下，审计人员不仅要对银行财务会计、内部控制和业务流程有深刻的理解，还要通晓信息系统软硬件的开发和管理，对网络和信息系统安全等具有高度的敏感性，而且还要能利用规范和先进的审计技术，对信息系统的安全性、稳定性和有效性进行审计、检查、评价。因此，培养既熟悉财务会计业务，又具有数据式审计专业知识和专业能力的复合型人才是当务之急。

2.逐步推荐数据式审计的立法规范。数据式审计工作目前还处于探索阶段，审计规范和标准体系不完善，法制建设相对滞后。《审计法》仅就电子数据和信息系统的审计权限做了规定，但是对审计文档包括哪些内容、对信息系统的检查应包括哪些内容、审前调查的性质和实施等详细规定，需要在审计法实施细则中加以明确。此外，数据式审计是审计法规没有明确规定的审计方式，其法律地位在审计立法中应当予以明确，以利于数据式审计工作开展。