人民銀行信息技術審計中風險導向審計模式的應用研究

摘要：近年來，人民銀行特別重視內審工作的轉型與發展，在轉型的切入點以及方式、方法上都進行了有益的探索。目前，將風險導向審計模式運用到人民銀行內部審計中已成為一種共識。但是風險導向模式運用理論研討居多，如何在實踐中具體指導審計工作的研究卻寥寥無幾。本文以風險導向為切入點，結合目前信息技術審計面臨的新情況、新挑戰，分析了人民銀行科技工作面臨的內外部風險，嘗試在現場審計中貫徹風險導向理念、構建風險評價模型，通過對各類風險及其權重賦值，結合現場審計結果，量化被審計單位的剩余風險水平，從而為審計評價工作提供了一些參考。

關鍵詞：人民銀行；風險導向審計；信息技術審計；應用研究

中圖分類號：F239.65 文獻標識碼：Ａ文章編號:１００３－９０３１(２０11)05－００09－０5DOI:10.3969/j.issn.1003-9031.2011.05.03

近年來，人民銀行特別重視內審工作的轉型與發展。楊立杰副司長更是在2010年人民銀行內審工作會議指出：“人民銀行內審部門要圍繞人民銀行的職能和業務，切實由單純的合規性審計向風險管理審計轉變，通過審計轉型，促進人民銀行全面風險管理體系的健全和完善”。人民銀行內部審計，尤其是信息技術審計如何在順應央行職能的轉換中進一步發揮審計職能，豐富審計手段，完善審計評價，是本文值得我們認真研究和探討的內容。

一、構建風險導向審計模式是人民銀行內部審計發展的必然選擇

風險導向審計是指內審人員在審計過程中，自始至終都以組織機構風險分析評估為導向，根據量化的分析水平排定審計項目優先次序，依據風險確定審計范圍與重點，對組織機構的風險管理、內部控制和治理程序進行評價，進而提出建設性意見和建議，協助組織機構管理風險，實現組織機構價值增值的獨立、客觀的確認和咨詢活動。其審計報告可以作為提示風險、防范風險以及信息交流的預警信號。因此，風險導向審計既是基于降低審計風險，又是為降低組織機構運行風險而進行風險管理的一種有效工具。

（一）構建風險導向審計模式是人民銀行內部審計工作的現實選擇

作為中國的中央銀行，人民銀行職能調整后，在執行貨幣政策、維護金融穩定和提供金融服務的過程中，面臨諸多不確定因素和風險隱患，如外部環境影響帶來的聲譽風險、履行職責中的法律風險、宏觀調控中的決策風險、業務活動中的資金風險、信息技術風險和操作風險等[1]。人民銀行風險管理狀況如何，直接關系到履職效果和整個社會經濟金融能否正常運行。因此，中央銀行內部審計必須綜合考慮人民銀行地位的特殊性，從源頭上加強風險管理，運用風險導向審計，確保風險管理目標與履行央行職責目標的一致性。

（二）風險導向審計模式是人民銀行內部審計工作適應國內外發展趨勢的客觀要求

一是國際內部審計最新發展趨勢的要求?！秲炔繉徲媽嵨飿藴省纷允贾两K都貫穿著風險審計的主導思想，突出內部審計工作應該以風險為導向，以滿足機構經營管理的需要[2]。二是《中國內部審計準則》的要求?！吨袊鴥炔繉徲嬀唧w準則第1號——審計計劃》、《第16號——風險管理審計》和《第17號——重要性和審計風險》都對組織風險、風險管理和審計風險等做出了明確規范，明確對于風險的監控應成為內部審計的職責。三是有效貫徹《中國人民銀行分支機構內部控制指引》的要求。該指引將人民銀行分支機構的基本風險進行了詳細的劃分，為內部審計實施風險導向審計提供了制度基礎和操作依據。

（三）構建風險導向審計模式是人民銀行內審工作提高審計質量、降低審計成本的現實要求

人民銀行內審部門成立以來，各級行領導給予了高度重視，為內審部門充實了一大批業務精通、素質優秀的內審人員。但是，隨著內審部門承擔的監督任務逐漸增多，內審資源還是呈現出相對不足的現象。風險導向審計以被審計單位風險評估為基礎，通過綜合分析被審計單位經營活動風險及其所處的宏觀、微觀環境和可能引發風險的內外部因素來確定審計的范圍和重點，可以做到有的放矢、節約內審資源，有利于人民銀行各級內審部門應對不斷增長的內審需求。

（四）實施風險導向審計是人民銀行內審工作規避審計風險的有效手段

由于內審人員與被審計對象角色定位不同，客觀程度上存在一定對立，內審人員無法完全避免被蒙蔽甚至欺詐。內審人員受自身素質、主觀意識、審計內容的復雜性及有關審計法律法規相對滯后等因素的影響，可能存在未及時發現被審計單位（部門）在經營活動及內部控制中的重大缺陷而做出不恰當的審計結論，產生審計風險。實施風險導向審計，內審人員從審計準備階段就開始考慮審計風險并把它控制在最低水平，從而減輕審計人員的法律責任，降低審計風險。

二、信息技術的發展向風險評價提出的新挑戰

隨著信息技術的發展，人民銀行業務基本上實現了手工登記向電子登記的轉變，審計人員由原來的賬薄等紙質媒介審計也隨之轉變為以系統數據庫為基礎的系統審計，審計內容日益復雜，審計風險也進一步加大。

（一）固有風險復雜化

在信息技術環境下，原始憑證從搜集、輸入、加工到報表自動生成這一過程幾乎無須人工干涉，由于計算機系統多數不能做合理、合法和數據真實性的分析，原始數據的搜集與輸入就會存在錯漏的可能性。另外，由于所產生的電子數據儲存在以磁盤、光盤為主的磁性存儲介質上，極易被不留痕跡地破壞修改，機器故障、操作失誤、程序處理和網絡傳輸故障、計算機病毒和黑客攻擊等存在的可能性，使得內部審計固有風險的變數增加，進一步擴大了審計風險。

（二）控制風險復雜化

在手工系統下，內部控制是通過職責、職權分工，規定標準的業務處理流程及加強崗位人員的相互制約來實現，并與憑證、賬簿、報表之間的對應關系形成的內部控制體系相輔相成，以保證數據的真實、完整和安全，也使內部控制的測試和檢查透明化。而在信息技術環境下，數據的處理集中由電腦自動實現，原有的內部控制轉變為通過系統設計的輸入控制、數據處理過程控制、輸出控制等來達到控制目的，要求審計人員在評價內部控制時，必須采用新的審計程序和評價方法，以適應內部控制的變化。

（三）檢查風險復雜化

在手工系統下，信息記錄在紙質介質上有明顯的審計線索。而在信息技術環境下，電子化數據儲存在磁性介質上，從而使傳統的審計線索不復存在，致使內部審計人員需借助計算機及相應的內部審計軟件才能進行審計工作。目前，人民銀行許多計算機系統實行24小時不間斷運行，數據集中異地存儲，新數據在運行中逐步覆蓋舊數據，系統缺乏應有的審計接口，審計人員無法提取有效的審計證據。同時，由于計算機系統本身的復雜性，各軟件數據庫結構差別大，網絡傳輸和數據存儲故障或軟件的不完善可能導致數據出現異常的錯誤，錯誤的指令（程序）一旦嵌入計算機中，審計人員受審計軟件缺失等審計手段和環境的影響，可能無法審出所有的問題和錯誤，而且很多應用程序出于安全原因已被加密，審計人員難以審讀。

三、人民銀行信息技術審計中風險導向內審模式的構建思路

人民銀行科技部門系統多，涉及面廣，系統能夠正常運轉既需要科技部門加強安全管理，也需要到外部技術部門的密切配合，其風險表現形式基本上涵蓋了《人民銀行分支機構內部控制指引》所劃分的六種風險。因此，本文以科技部門業務審計為例，運用風險導向審計模型，按照風險分析、風險識別、風險評估和風險判定的流程計算剩余風險的控制狀況，探索建立人民銀行運用風險導向審計的模式。

（一）明確信息技術審計的指導思想和目標，準確審計定位

隨著信息化的迅猛發展，信息技術已經滲透到各個金融管理和服務領域。中央銀行的業務工作對信息技術的依賴程度不斷提高，信息安全和技術風險問題也日益關注，在人民銀行系統全面開展信息技術審計應得到各部門的高度重視。信息技術審計是面對計算機信息系統的審計，其目標是通過對信息系統的開發建設、運行環境、使用和維護、內部控制等領域進行全方位的監督、檢查和評價，查處有關違規問題，特別是發現和識別系統的風險點和控制薄弱環節，提出有針對性的意見和建議，促進和維護計算機系統的合規性、安全性、可靠性及有效性。

（二）構建人民銀行信息技術審計風險評估指標體系

1．信息化環境促使內審人員加快建立新的審計標準 具體到人民銀行來講，由于信息環境下的審計的對象、線索、方法、流程、結果等各方面相對于傳統審計都發生了變化，以往的審計標準和準則已不能完全適用，所以應加快建立一套符合信息化特性的新審計標準和準則——信息系統審計準則。要在立足人民銀行實情的基礎上，參照發達國家的做法，對目前已有的不適應信息系統審計的相關制度規章應及時地進行修改，制定與信息系統審計有關的制度準則，如信息系統審計人員的一般要求，信息系統安全可靠性評價標準、信息系統內部控制準則等。制度規章的重點除對憑證、賬簿、報表等數據文件的完整性、真實性審查規定外，更要對被審計系統的健全符合性，系統控制功能的有效性，各項初始化工作的準確性加以規定。使審計人員在開展信息系統審計工作時，尤其是進行系統合法、合規性審計時有法可依、有章可循。不僅減少了審計人員的工作量，也降低了計算機審計的風險。

2．科學識別和界定風險

人民銀行科技部門風險是指人民銀行科技部門履職行為在沒有實施內部控制或者內部控制不到位的前提下，發生重要錯誤或弊端的可能性。人民銀行科技部門風險的評估可以從以下三個方面進行：一是根據被審計業務的流程和特點，確定容易發生風險的業務環節；二是根據人民銀行有關業務管理制度的變遷，確定內部控制測試方向；三是對影響風險水平的內外因素進行評估，如管理人員的誠信、管理水平等[3]。

（1）科技部門風險管理環境分析。目前，人民銀行科技部門的內外部風險因素主要如表1所示。

（2）科技部門業務風險點分析。目前，人民銀行科技部門業務流程中風險點主要如表2所示。

3．準確評價風險

（1）風險賦值。結合審計現場風險排查結果，以列表的方法逐項列示科技部門業務風險指標，根據業務的重要程度、風險易發程度和歷年的審計結果劃分風險級次，配之以相應的風險分值進行定量評估。目前，人民銀行對各類風險點的級別還沒有權威的界定，因此需要內審人員憑借經驗判斷，賦予各類風險分值以進行量化計算和比較。審計人員可以根據收集的文件依據、數據資料以及自身的經驗判斷來識別、判斷風險事件發生的可能性。根據不同的發生概率和損失程度將風險分別定為高風險、中風險和低風險三個級別。為了便于量化，現分別將高風險、中風險和低風險對應的量化風險值設定為30分、20分和10分。

（2）建立風險量化矩陣

內審人員通過考慮人民銀行科技部門的工作重心和部門特點，對高風險、中風險、低風險分別進行相關測試和合理抽樣。為了便于直觀比較，對科技部門業務風險控制評估結果進行矩陣量化（見表3）。風險值設為N/6，其中，完全不合理且完全不執行風險最高，設為6/6=1；完全合理且完全執行風險最低，設為0/6=0；其他類推。

4．計算科技部門業務剩余風險平均值

根據風險導向審計的定義，固有風險、控制風險二者相互作用和綜合效應構成了剩余風險，數學模型為RR=IR×CR（其中RR為剩余風險，IR為固有風險，CR為控制風險）。首先，要對不同風險級別的剩余風險實質不同的風險權重（見表4）；其次，計算科技部門業務的剩余風險平均值，計算公式為：單個業務風險點的剩余風險值RR=固有風險值IR×控制風險值CR，部門業務平均風險值RR=∑單個風險點的剩余風險值×相應權重。

（三）客觀評價風險管理效果

1．計算出風險對照表

根據風險量化矩陣（見表3）及風險權重列表（見表4），風險量化利用層次分析法AHP判斷法對計算出的剩余風險平均值進行劃分，判斷剩余風險控制狀況，并根據剩余風險值的大小提出相應的關注重點、審計頻率等應對策略（見表5）。

2．結合現場案例分析

根據2010年人民銀行十堰市中心支行現場審計情況（見表6），將科技部門的主要風險點分成了14種（其中高風險9種、中風險3種、低風險2種）。經現場測試，剩余風險為零（風險完全控制）的有7種，其他或多或少存在控制不到位的情況。根據部門剩余風險平均值=高風險點剩余風險平均值+中風險點剩余風險平均值+低風險點剩余風險平均值=∑單個高風險點的剩余風險值×相應權重+∑單個中風險點的剩余風險值×相應權重+∑單個低風險點的剩余風險值×相應權重，經計算，該中心支行科技部門剩余風險平均值為4.83（見表6）。

3．風險管理效果評價

經過比照風險對照表，該中心支行科技部門剩余風險值為4.83分，屬于“0-8.6”層次，風險控制較好，無重大風險。因此，可以根據《人民銀行總行2010年信息技術應用和系統運行管理專項審計方案》“利用3~5年時間覆蓋一輪地市中心支行”的要求，將審計頻率定為3~5年。

四、人民銀行信息技術審計中應注意的問題

在信息技術審計中如何堅持風險導向審計是一個不斷摸索、不斷總結提高的過程。筆者認為，只有不斷積累風險數據信息，持之以恒的加強人才培養，新舊審計模式互為補充，才能更進一步發揮好內部審計職能。因此，應注意以下幾點。

（一）建立動態的風險信息數據庫，為運用現代風險導向審計模式提供信息基礎

由于內部審計時間資源有限，不可能對所有的監督內容和所有的環節進行全面監督，比較科學的辦法是建立一個完整的審計風險模型，對造成審計風險的多種因素進行全面分析和評估，發現被審計單位內部控制中的薄弱環節，確定審計的重點和范圍，從而制定更具有針對性的審計策略。

（二）新型審計模式的運用并不意味著舊審計模式的消亡

風險導向審計是在傳統審計模式基礎上發展起來的新型審計模式，立足于對被審計對象整體風險管理進行系統審查、分析和評價，并以此確定審計策略及審計計劃。因此，必須注重新舊審計模式的有機結合。將風險導向審計理念融入傳統審計模式，可以使傳統審計項目內容得以擴展，審計更加靈活，更好地堅持全面審計、突出重點的原則。

（三）重視信息技術審計人才的培養，為風險導向審計提供智力支持

人民銀行運用風險導向審計方法，不僅要求內部審計人員熟練掌握有關規章制度，還要求審計人員利用審計職業獨特的判斷力，在實際運用中對審計風險點加以判斷。因此，復合型人才培養與儲備是運用風險導向審計方法必不可少的前提條件。要通過各類后續教育及培訓，進一步更新內部審計人員業務知識，提升專業勝任能力，逐步建立起具有現代知識素養和職業水平的內部審計干部隊伍[4]。

（四）加快輔助審計軟件的開發及應用，為風險導向審計提供技術支持

隨著信息技術的發展，審計技術手段日新月異。在風險導向模式下，加強審計信息化建設十分重要。通過搭建信息收集和監測平臺，開發和應用計算機輔助審計軟件，迅速有效地完成各項審計信息的審核工作，將內部審計人員從機械性檢查中解放出來，把主要精力用在對重要業務系統、重要業務環節的監控和評價上，從而減少審計成本、提升審計效率。

參考文獻：

[1]中國人民銀行福州中心支行內審處.借鑒風險導向型審計拓展央行內審新領域[J].福建金融，2007（10）.

[2]羅伯特·莫勒爾.布林克現代內部審計學[M].北京：中國時代經濟出版社，2005.

[3]李帆，駱鈺.風險導向審計模式在人民銀行內部審計中的運用研究[J].武漢金融，2009(9).

[4]林久榮.中央銀行風險導向審計模式探討[J]，審計監督，2009(2).