商業銀行信息系統內部控制審計的探索

○賈蘭蘭

（中國銀行股份有限公司新疆分行稽核部 新疆 烏魯木齊 830000）

一、商業銀行信息系統內部控制審計的現狀

目前，我國商業銀行信息系統內部控制審計尚不能充分滿足商業銀行對信息系統風險防范的要求，在信息系統內部控制審計工作開展中還面臨不少難點和困難。

一是商業銀行信息系統的開發、應用與內部審計工作長期脫節。商業銀行實施業務信息化過程中，往往側重于“所搭建的信息系統如何出色地完成業務需要”方面的程序設計，而忽視了審計部門如何檢查程序本身的運行問題，開發出來的軟件未給審計工作留有接口。

二是商業銀行審計人員業務素質尚不能滿足對信息系統開展內部控制審計的要求。信息系統內部控制審計專業性較強，對審計人員要求極高，不僅要具備銀行業務知識及審計經驗，還要具備軟硬件、網絡、數據庫、項目管理、系統維護及信息安全等信息化相關知識。

三是信息系統內部控制審計發現問題的難度加大。一方面，儲存在信息系統的數據容易被篡改。另一方面，數據庫技術的提高使數據高度集中，未經授權進入數據庫，容易復制、偽造和銷毀重要的數據。這些作案手段的隱蔽性和危害性，使審計工作發現信息系統舞弊的難度較大，造成的危害和損失也可更大。

二、商業銀行信息系統內部控制審計

1、商業銀行信息系統內部控制概要

（1）商業銀行信息系統

商業銀行信息系統一般主要由信息管理類、外部結算類和渠道類三部分構成。其中信息管理類系統與決策、管理和業務相關，以提高效率和規避風險為目的；渠道類系統是商業銀行面向市場和客戶的窗口，是對外服務使用的載體，包括人工渠道、電子渠道和第三方渠道；外部結算類系統是有外部接口的業務處理系統。

（2）商業銀行信息系統特點

商業銀行的信息系統一般具有系統結構復雜，對硬件、軟件質量和安全性能要求較高，信息系統結構復雜，數據量大，實時性強等特點。

（3）商業銀行信息系統內部控制

商業銀行信息系統的內部控制一般可分為制度控制、應用技術控制、檢查與監督控制三個方面。其中，制度控制是商業銀行信息系統控制的重點，制度控制包括組織控制、管理控制、系統開發控制、操作控制、相關資料與數據的控制等若干個方面；應用技術控制的目的是保證信息系統數據處理的及時性、準確性和完整性，技術控制主要包括口令控制、權限控制和后臺監控等；檢查與監督控制是為了有效地監督信息系統實現經營目標、保證會計信息及時準確而形成的一套風險控制與監督系統。

2、商業銀行信息系統內部控制審計的含義

商業銀行信息系統內部控制審計，是對商業銀行信息系統內部控制設計與運行的完整性、合理性、有效性進行審查和評價，對促進加強信息系統內部控制建設，防范潛在風險具有重要意義。

3、商業銀行信息系統內部控制評價標準

商業銀行信息系統內部控制評價的標準，是商業銀行信息系統內部控制整體運行應遵循和達到的目標，主要包括內部控制的完整性、合理性及有效性。

三、商業銀行信息系統內控制審計的應用

1、信息系統內部控制審計的主要內容

（1）信息系統的內部控制制度審查

一方面審查內部控制制度在信息系統的取得途徑及未來風險評估方面的內容。另一方面審查內部控制制度是否能保證商業銀行在信息系統維護方面的權限。信息系統內部控制制度要保證，商業銀行能夠對信息系統進行一般性的日常維護。

（2）信息系統操作運行

首先，不相容職能相分離的控制措施是信息系統設置的基礎，并在信息系統內部控制中處于核心地位。因此，要著重對商業銀行不相容職務的相關制度進行審查，明確是否存在不相容職務方面的內部控制制度。

其次，授權訪問控制措施是確保只有被授權的用戶才能實現對特定數據和資源的訪問。主要審查內容包括：對數據庫的訪問是否有嚴格的授權限制，系統管理員、操作人員的系統用戶名的唯一性、密碼是否定期更換，是否存在易被破解的密碼。

（3）信息系統的數據存儲、備份和資源管理

商業銀行信息系統存儲的數據資源不同于傳統的一般意義上的數據，它基于電子手段，一旦信息系統在程序上崩潰，可能導致數據資源永久的消失。所以信息系統數據資源的定期備份是必要的，并且備份后的數據資源應分開在不同的媒介存放，以防備份數據的丟失。

（4）關鍵控制環節

應著重檢查輸入、處理和輸出這三個關鍵控制環節的實施情況。其中，輸入控制主要包括原始單證審查控制、輸入正確性校驗、輸入完整性校驗和輸入糾錯控制；處理控制常見的控制措施有處理權限控制、業務時序控制、合理性校驗、參照檢查控制、備份與恢復控制等；輸出控制主要包括數據的準確性控制、權限控制、輸出數據審核控制、輸出差錯更正控制等。

2、信息系統內部控制審計的主要技術方法

目前，開展商業銀行信息系統內部控制審計工作，可考慮采用的主要技術方法包括嵌入軟件測試法、快照法、數據處理技術和數據分析技術等。

（1）嵌入軟件測試法是在商業銀行信息系統中嵌入為執行特定審查目標而設計的測試程序，利用該嵌入的測試程序對信息系統功能和控制進行檢查的方法。該方法除了作為常用的測試技術外，還可用來實時監督信息系統的日常處理，對異常處理進行預警。

（2）快照法是關于指定數據集合的一個完全可用拷貝，拷貝包括相應數據在某個時間點拷貝開始的時間點的映像。快照可以是其所表示的數據的一個副本，也可以是數據的一個復制品。快照的作用主要是能夠進行在線數據恢復和測試性工作。

（3）數據處理技術主要用于對數據進行采集、存儲和加工，形成審計數據平臺。當商業銀行審計部門將若干信息系統的原始數據“復制”到一個數據庫時，這只是完成了數據的“集合”。要實現面向分析的“數據倉庫”，往往還要根據“主題”目標對原始數據進行清洗、轉換，消除源數據間的不一致性，通過歸納、重組提高數據“集成度”。

（4）數據分析技術主要是基于采集的信息系統數據進行具體分析的方法，常用的數據分析技術包括SQL技術、聯機分析處理和數據挖掘等。

3、信息系統內部控制審計的主要步驟

（1）初步審查和評價信息系統內部控制

初步審查的目的是了解計算機信息系統在商業銀行業務中的應用程度，初步熟悉商業銀行信息系統的流程和內部控制的基本狀況。可采取通過問題調查表和初步評價表對信息系統內部控制初步審查及評價。

（2）信息系統內部控制風險評估

按照風險導向審計原理，開展對信息系統內部控制審計時應當以風險評估為基礎，選擇擬測試的信息系統內部控制，確定測試所需要收集的證據。

同時，可考慮將商業銀行信息系統的數據輸入到風險與內控評價系統中，通過對系統中所嵌入的評價模型的應用，對被審計對象信息系統內部控制整體風險控制情況做出評價。

（3）對內部控制執行情況進行符合性測試

信息系統內部控制符合性測試，主要是對商業銀行信息系統內部控制設計、運行的有效性進行測試。對信息系統內部控制設計有效性測試時，綜合運用詢問相關人員、觀察經營活動和檢查相關文件等方法。

（4）評價信息系統內部控制缺陷

評價信息系統內部控制缺陷，是對商業銀行信息系統內部控制設計和執行有效性方面存在的缺陷進行分析和評價。評價時，應當充分考慮信息系統戰略規劃、未來發展的實際需要以及成本與效益相匹配的原則。

（5）撰寫信息系統內部控制審計報告

對已發現的商業銀行信息系統內部控制重大缺陷，應當及時與被查單位進行溝通，核對測試結果和數據，確認信息系統內部控制缺陷事實。同時，撰寫信息系統內部控制審計報告，對存在的問題以及可能導致的錯誤，提出改進建議。

四、有效提高商業銀信息系統內部控制審計工作質量的策略

目前，商業銀行信息系統內部控制審計應依托并借鑒先進經驗與信息技術，逐步建立起內部控制審計技術體系，在各類分析信息技術應用的同時，也在不斷優化審計工作模式，提高審計工作價值，促進內部控制審計技術與審計工作的深度融合。如何通過信息化審計技術進一步提高商業銀行信息系統內部控制審計的工作質量，應在以下幾個方面進行一些探索和實踐。

1、加強信息化專業人才培養，優化審計人員知識結構

商業銀行的信息系統審計工作需要一支既精通審計業務又掌握信息技術的隊伍。采取多種措施促進審計隊伍的知識結構優化：一是吸收計算機專業人員，把他們培養成審計人員，充實現有審計專業隊伍，提高信息化審計人員對商業銀行信息系統內部控制審計項目的參與度；二是對現有審計人員開展信息系統知識培訓和繼續教育，培養成信息系統審計師；三是建立激勵機制，推行信息系統審計師持證上崗制度，鼓勵內審人員學習和鉆研計算機知識，考取國家計算機資格等級證書。

2、積極介入系統開發，系統設計須支持審計工作

商業銀行信息系統在系統開發時，從需求的提出、數據結構和內部控制的設計、程序代碼的編寫、軟件測試、試運行到軟件驗收等方面，審計人員都應站在內部控制的角度積極介入信息系統開發全過程，防止從信息系統開發源頭上可能出現的系統性漏洞或缺陷等安全隱患。

商業銀行的監管部門應出臺相應法規，明確要求商業銀行在信息系統開發時留有審計接口，以推動信息化審計方法的應用和信息系統內部控制審計的順利實施。

3、建立信息系統內部控制監控系統

信息化的審計環境可有效促進信息系統內部控制審計工作的規范化，提高審計工作的效率和質量。為此，可考慮根據實際情況建立商業銀行信息系統內部控制日常監控系統，動態監控內部控制現狀，及時準確地發現信息系統內部控制的異常情況，將商業銀行的風險和損失降低到最低限度。

綜上所述，面對日趨頻繁的信息系統內部控制審計工作，商業銀行首先要建立完善科學的信息系統和相應的內部控制制度，并使兩者融為一體、相輔相成，科學有效的信息化審計方法與豐富的審計職業判斷相結合，方可把商業銀行信息系統潛在的風險水平降低到最低，為商業銀行的健康發展保駕護航。

[1]裴立公：關于商業銀行信息系統審計的必要性分析[J].實務·信息化論壇，2012（7）.

[2]黃景梅：企業信息系統內部控制審計初探[J].廣西電業，2011（Z1）.

[3]李三喜：企業如何進行信息系統內部控制審計[N].財會信報，2014-12-25.

[4]劉美升：商業銀行內部控制審計評價系統的開發與應用[D].山東大學，2011.