商業銀行信息系統內部控制審計評價

【摘要】商業銀行業務經營管理的全面信息化，對商業銀行的公司治理、內部控制和風險管理提出了新的挑戰，也給商業銀行監督部門——內部審計部門提出了全新的要求，本文以某商業銀行實踐為基礎，全面地介紹了商業銀行信息系統內部控制審計評價存在的難點和問題，并對如何加強和完善信息系統內部控制審計評價提出了相應的政策建議。

【關鍵詞】內部控制 信息管理 商業銀行 審計評價

一、商業銀行信息系統內部控制審計評價面臨的難點與問題

目前商業銀行信息系統內部控制的審計評價尚不能滿足商業銀行對信息系統風險防范的要求，與發達國家商業銀行信息系統的審計評價相比還存在不少差距，在審計評價中還面臨不少難點和困難。

1.信息系統的開發、應用與內部審計評價工作脫節。一是長期以來，商業銀行業務部門和開發部門在實施業務電算化過程中，只重視“計算機如何完成任務”方面的程序設計，而對計算機完成任務過程中，有關部門如何檢查程序本身的運行等方面的程序沒有給予足夠重視，開發出來的軟件沒有給審計留下接口。二是在系統的開發、推廣應用以及內控約束機制的設立中沒有內審部門的提前介入和參與，這些都加大了今后信息系統內部控制審計評價工作的難度。

2.內審人員素質和內審部門的技術裝備還達不到信息技術審計評價的要求。信息系統內部控制審計評價的專業性強，要求審計人員具有管理、審計和計算機等多方面的知識，目前各級行內審部門計算機專業人才比較欠缺，現有的內審人員普遍對信息技術的知識掌握不夠。同時內審部門有關計算機輔助審計所需的設備配備不到位，這些問題都制約著商業銀行信息系統內部控制審計評價工作的有效開展。

3.信息系統內部控制審計評價過程中發現問題的難度加大。由于儲存在計算機磁性媒介上的數據容易被篡改，有時甚至能不留痕跡地篡改，同時數據庫技術的提高使數據高度集中，未經授權的人員有可能通過計算機和網絡瀏覽全部數據文件，復制、偽造和銷毀重要的數據。這些作案的隱蔽性和危害性，使審計中發現計算機舞弊的難度較之手工處理方式更大，造成的危害和損失也可能更大。

4.信息系統內部控制審計評價的手段落后。目前對信息系統現場檢查技術手段較為單一、落后，同時內審部門開發的現有內審業務處理系統還不夠完善，主要是為形成內審檔案資料而研究開發的，其只完成了內審人員形成的事實材料由手工操作到計算化的演變過程，還缺乏專門的一種對信息系統進行計算機輔助審計的應用工作平臺，以至在信息系統內部控制的審計評價中難以發現電子化業務處理中深層次的風險隱患。

5.商業銀行還沒建立有效的、可操作性強的信息系統內部控制測試和評價標準。內審部門目前對信息系統內部控制的測試還處在摸索階段，特別是基層商業銀行，大多數內審人員均沒有進行過業務系統的培訓，同時由于沒建立計算機信息測試評價標準，往往依靠本行科技人員來完成系統測試，給內審人員最后對信息系統內部控制進行有效的合規性審計評價造成一定的難度。

6.對信息系統內部控制還沒有做到全過程的動態審計評價。目前商業銀行內審部門對信息系統的審計僅僅停留在對其是否建立了相關的制度和執行上，對信息系統內部控制的風險和隱患的審計不夠深入和全面，審計中往往發現不了一些已經修改后的數據和原始記錄。同時由于內審部門對信息系統還沒有建立起有效的內審非現場監督管理系統，難以對信息系統內部控制進行動態的全過程的審計評價。

二、信息系統內部控制審計評價的對策和建議

1.在當前人們對信息系統內部控制的認識還不夠的情況下，由信息系統引起的各種風險產生的損失將是巨大的，這就要求我們商業銀行的各級領導需進一步的提高對信息系統監督評價的認識，不斷加強對信息系統內部控制審計評價工作的領導和支持，并積極為內審部門開展對信息系統內部控制的審計評價創造一個良好的軟、硬件環境。

2.吸收有一定工作經驗的計算機專業技術人才充實到各級商業銀行內審部門，改善現有內審干部隊伍的人員結構，以適應今后日益頻繁的信息系統審計對審計人才的需求。同時要通過業務培訓、交流和以查代訓的方式提高現有內審人員計算機應用水平和理論知識，并及時了解和借鑒國際上先進的信息系統審計理念、方式和方法。

3.內審部門要積極介入同級業務和技術部門的軟件開發全過程，整個軟件開發從業務需求的提出、數據結構和內部控制的設計、程序代碼的編寫、軟件測試、試運行到軟件驗收，審計人員都應站在內審部門的角度從信息系統的合法合規性、安全可靠性、可維護性、可審計性及內部控制機制的完善性等方面提出內審獨立的意見和建議，以便從軟件開發的源頭上防止系統出現漏洞和缺陷等安全隱患。

4.內審部門要抓緊建立計算機化的審計環境，信息系統審計專用計算機平臺能促進信息系統審計工作的規范化，提高信息系統審計工作效率和質量。

5.商業銀行應出臺相應法規，將信息系統開發時留有審計接口作為一條強制性規定明確下來，以推動計算機輔助審計方法的應用和信息系統內部控制審計的順利實施。借助信息系統的審計接口、網絡和一定的計算機審計輔助手段，審計人員就能通過非現場監督手段系統、全面和連續的對在信息系統中流動著的數據信息進行實時動態檢查，做到既能檢查數據的來源和結果，也能檢查數據的流動軌跡。

參考文獻

[1]李疆.商業銀行信息管理系統的設計與實現[D].成都：電子科技大學，2010.

[2]劉美升 商業銀行內部控制審計評價系統的開發與應用[D].濟南：山東大學，2011.

[3]孫凌宇.我國國有商業銀行內部控制研究[J].時代金融，2008（06）.

[4]張政航.淺談內部審計在商業銀行內部控制體系建設中的作用[J]科學與財富，2011（11）.

（編輯：陳岑）