建设银行非现场审计工作若干问题的思考

建设银行非现场审计工作若干问题的思考黄红/莫红燕【专题名称】审计文摘【专 题 号】V3【复印期号】2009年09期【原文出处】中国审计：特区版(深圳)2009年3期第3335页【作者简介】黄红莫红燕中国建设银行海南总审计室建设银行内部综合业务网络系统和各类信息系统的建设以及数据大集中战略的实施，既为审计部门运用计算机技术进行非现场审计提供了数据基础，也为计算机技术在非现场审计中的应用提出了新的课题。一、建设银行非现场审计工作的特色及优势2005年8月，建设银行正式启动了“非现场审计二期系统”项目，系统包括数据调集、指标定义与生成、问题查找、风险评估、审计监测、数据查询以及城综网数据分析等功能模块，因在“问题查找专家系统机制”等方面的重大突破，不仅受到业内专家的高度评价，更在防范违规违纪行为的发生、确保经营规范性方面起到了积极的作用，被业界誉为“打造风险防范的新利器”，自2006年4月全面上线，已经在8个审计分部、38个总审计室投入运行，为审计人员提供了一个灵活、强大的业务数据查询、统计和挖掘的工具平台，使非现场审计工作呈现出以下巨大优势：（一）实现了复杂的异构数据源的整合功能，构建了畅通的非现场审计数据获取渠道。由于在系统建设之初，审计专家们强调了系统的数据加载功能，并依据会计制度标准，制定和发布了审计数据接口规范，从而使得审计部门可以从建行千差万别的管理信息系统、柜面业务系统中，卸载出格式统一的电子化账务数据，对电子数据的直接利用，使得审计人员即使不到现场实地查看，也能利用非现场审计二期系统提取数据，通过分析、监测，发现存在的问题和线索，有效拓展了审计的广度和深度。（二）实现了专家经验的积累、复用和推广。非现场审计二期系统的问题查找模块引进了专家系统机制，这是整个系统的最大创新点也是其最大价值所在。系统利用组合步骤表方式，将审计人员的经验提炼为量化的数学模型，以问题查找模型库的形式存储在系统中。审计时，可以针对指定机构和时间范围的业务数据运行该模型库，模仿审计专家对数据进行自动分析，筛选出符合条件的数据记录，查找出被审计机构存在的疑点、异常和问题。目前，系统中已经收集了1000多个审计专家模型。此外模型数量还将随着业务的发展不断扩充、完善，好的审计思路和分析逻辑随时可以形成新的模型并加载到系统中。同时，每一个模型的参数都是动态可变的，可以根据实际情况进行调整。系统的这种可持续发展的能力，使其在某种程度上具备了“智能化”的特征，实现了“专家经验的积累、复用和推广”，更加方便审计人员从整体的、宏观的角度进行分析，使审计人员的思维模式逐渐由传统审计条件下形成的由点到面，转变到由面到点上来，在审计方法上由过去粗放型转变到质量效益型，有助于开展效益和管理审计，特别适用于建设银行这样地域跨度大的机构。（三）减省了审计人员外出的人力、物力及时间成本。由于非现场审计二期系统可以非常快速、便捷地处理海量数据，解决了复杂的指标算子定义和计算、与高级统计分析工具的有机结合等关键技术与难点，使审计人员能迅速取得大量的、来自不同系统的最新的业务数据，使得审计查询工作等步骤可以达到自动化，从而使审计人员可以集中精力注意于那些需要专业判断的部分，缩短审计时间，增大了发现问题的可能，既提高了审计工作的正确性与准确性，也使审计人员从冗长乏味的计算工作、舟车劳顿中解脱出来，十分有效地减省审计人员外出的人力、物力及时间成本，有力地支撑了建设银行非现场审计业务的开展。二、建设银行非现场审计工作中存在的不足非现场审计系统二期的应用，为建设银行带来了较大的管理效益的同时，其自身的局限性以及在推广过程中出现的一些新的问题，还需要我们去研究、去探索：（一）关于非现场审计的时效性。随着计算机对建设银行各个业务环节的影响越来越大，建行的管理者、客户及相关利益者对信息的需求不再满足于年度和季节报表，他们希望能及时获取相关业务信息以做出决策，为了进一步防范风险，需要审计部门采取联网等技术随时对业务进行审查，及时收集被审计单位的最新业务信息，使审计从静态走向动态，从事后审计转变为实时审计。利用计算机技术开展非现场实时审计是非现场审计的主要特征和衡量非现场审计成熟程度的主要尺度。所谓实时审计，就是利用计算机和网络传输技术实施经常性、即时性审计。审计中，作为审计主体的审计部门在被审计单位的积极配合下，享有充分的审计主动权。审计人员可以在审计部门内即时自由的查询、检索、整理、下载和打印审计所需要的各种数据和资料，完成大部分在审计现场所做的工作。实时审计具有两个特点，一是可以实施远距离审计操作；二是可以满足经常性、即时性审计的需要。发达国家早在上个世纪就对非现场实时审计进行了开发研究和大胆尝试，并且有了一些成功经验。如瑞典国家审计署设立的“梦想蓝图”工程，要求被审计单位以审计人员可以访问的方式存储数据，实现了审计人员无论身处何地，都可以通过访问被审计单位的中央数据库信息进行实时监控和审计，目前这一工程已成功地开发了相关审计支持软件系统；一直以来，位列“四大”会计师事务所之首的普华永道坚信利用信息技术开展审计等业务是一个重要增长点，为此安排了众多优秀的人才和大量的资金，来实现其面向信息技术而进行的战略变革、流程优化和最佳技术解决方案。最近三年，普华永道耗资数千万美元研发了实时审计技术，借此可以实现“实时审计、降低风险、提高满意度、提高效率、增加透明性、提升公众信心”等理念。而目前建设银行利用非现场审计系统开展的计算机辅助审计，虽然解决了电子数据的取得、分析、计算等数据处理过程，但仍然是一种事后审计，和真正意义上的实时审计还是有一定差距的。（二）关于非现场审计数据源的真实可靠。电子数据的完整性与可靠性，信息系统的置信程度，是发挥非现场审计二期系统优势的前提，对审计监测目标的实现至关重要。在建设银行电算化处理系统中，由于各类业务的处理由计算机自动进行，经常发生在手工处理中的错误几乎不会发生，由于内部控制的环境和形成发生了改变，审计线索和证据的可靠性主要来源于系统、网络的相关控制是否健全有效，因此，系统的应用程序若有错误或被非法篡改，后果是不堪设想的。而建设银行信息的共享性和开放性，外部环境的不安全性，使得计算机病毒和黑客对信息的真实性和可靠性产生了威胁，这些都加大了审计的风险。如：网络传输和数据存储存在故障或软件不完善的可能；电子化会计数据存在篡改和丢失的可能；原始数据的录入存在错漏的可能；设置权限密码实现职责分工的约束机制失效的可能等。因此，目前西方国家一般要求信息系统管理部门在进行系统开发、购买、转让、重大修改和退出使用时要通知内审部门。例如在美国有58%的内审部门参与了系统检测；35%被要求在系统运行前对新系统签字批准；19%有权参与修改程序的审批；64%检查了程序编码；73%参与了系统研制阶段的审核。而当我们绕过信息系统，只对系统处理过后的数据利用非现场二期系统进行非现场分析，是无法保证审计数据的真实可靠的。（三）关于非现场审计数据和非现场审计信息。数据与信息是不同的概念。数据是未经加工和修饰的原始记录，而信息则是具有明确意义的数据或消息。若形象化地比喻为一座金字塔，那么数据就处于最底层，它体积最大；信息处于第二层，融合了分析人员的业务知识和观点，是经过提炼、分选、加工后有明确含义的数据。在建设银行的日常经营中，每天都会产生大量的可管理、可重复使用的结构化数据。把这些离散、杂乱、无序的数据提炼、分类、加工，形成管理活动中可用的信息，将对建设银行客户关系管理、资产负债管理、风险管理、财务与绩效管理、产品管理等决策分析提供有说服力的数据支持。同理，非现场审计也需要大量的数据信息和非数据信息，涉及经营管理的各个方面，如内控制度的有效性、经营的合规性、管理能力情况等监督内容，除了需要大量的数据信息支撑外，还必须用经营管理计划、管理制度、管理报告等文字资料来说明。而目前建设银行非现场审计数据源结构较单一，仍以磁介质为主，对于现行管理信息系统的运用非常有限，数据源远远小于非现场审计业务所要求的数据，加上信息传递过程中人工干预环节较多，缺乏应有的透明度，不但影响了收集效率，加大了整理难度及工作量，也不利于保证信息的真实性、完整性，也造成审计模型设计缺乏深度和针对性，直接影响了审计工作质量。三、建设银行非现场审计工作的改进措施上述问题在一定程度上影响了建设银行非现场审计工作今后的发展。因此，如何解决好这些问题，对于非现场审计在建设银行中的发展至关重要。（一）利用计算机网络传输进行联网审计或开发植入式的审计软件实现非现场实时审计1.利用计算机网络传输进行联网审计。网络系统既为业务部门多机连接实施业务处理奠定了基础，也使审计部门能与业务部门使用的计算机联成网络，审计人员只需通过操作本部门联网的计算机便可随时对各业务实施审计，发现审计疑点和线索，可以随时检查业务处理的正确性、合法性，可以检测业务部门计算机处理业务的全过程。这一方法具有不受时间限制，提高效率的特点，但无法完全取代现场审计，在运作时还需要对审计人员做出权限规定。2.开发植入式的审计软件，把审计软件短期或长期植入被审计单位的信息系统里。如中石化股份公司实施了EPR系统，审计部门根据系统的业务特点和审计需要开发了AIS审计软件系统，在企业局域网里，经过授权的审计人员可以随时进入系统，使用AIS对系统处理的数据进行采集、分析。这种审计吸收了联网审计的优点，在审计轨迹不充分或资料不断被更新的情况尤其适用。3.实时非现场审计工作的原理是：利用计算机病毒的机理编制实时审计监控软件嵌入在被审计的电算化业务系统的审计线索敏感点中，也可做成标准化的实时审计监控黑匣子，嵌接在被审计的计算机里。像电算化会计软件中的“加密狗”一样，没有接入审计黑匣子的电算业务系统不能够正常使用。黑匣子本身的安全性，可以由两方面保证。一是像飞机黑匣子一样做得坚固不易损坏，另一是黑匣子上装有卫星全球定位跟踪。黑匣子内主要有几个子系统组成：实时监控报警子系统：实现在被审系统敏感点的实时监控；黑匣子卫星定位系统：实现实时远程监控黑匣子是否被移动拆去；审计数据自动实时采集子系统和数据处理加工子系统，这是黑匣子核心部分，完成对被审对象中审计线索的实时抓取、保存；由有线无线网络通信子系统通过有线无线网络接口装置借助于INTERNET/INTERNET向审计部门传送实时采集的被审系统有关数据。（二）利用计算机信息技术开展信息系统的审计，保证数据信息的真实可靠。该项审计的主要目标是：发现并揭示计算机信息系统设计、运行、管理和维护中存在的问题与风险，明确置信程度，促使其安全有效运行，正确处理业务，提供可靠的业务信息。其内容主要包括以下方面：1.开展对系统环境安全性的审计评价。主要是审查系统的运行环境、所配置的各项硬件设备、数据网络通道等是否安全与有效，审计人员可了解系统的硬件设备环境，包括各部件的兼容性，查看有无多余的接口，可抽取一组数据进行传输，检查由于路线所导致数据失真的可能性，发送测试信息，检查信息通道上各个不同点上的信息是否有安全控制，检查数据系统是否有足够的备份，是否存在配置漏洞，可通过实体安全、防护系统、使用记录、防火墙检测等方面来测试硬件的控制，确定实物安全控制措施是否恰当，以此来发现和纠正设备的失灵导致的数据丢失或失真情况，评价系统环境的安全风险等。2.开展对系统组织管理控制的审计评价。主要是审查系统运行实施的工作规章制度等管理制度的有效性和适当性。审计人员可以首先了解系统运行的有关操作规程、权限制定、管理制度，然后通过符合性测试，审查规程、制度的运行实施情况，是否严格按照权限执行，各个相关控制点是否进行了有效的控制，有无未经授权的个人存取数据等，操作员是否做出了适当的记录与定期分析，是否需要完善相关的操作规程，以此来对系统的管理制度情况进行评价等。3.开展对系统软件程序控制的审计。主要是评审系统软件的程序是否合规、有效。审计人员可分别从两方面进行，一方面是对系统的取得或设计的审查。无论购买、委托设计或自己开发系统，都要花费大量的人力、物力和财力，而且对应用系统的修改也将花费时间和资金，审计部门应该从一开始就介入系统的决策、购买或设计开发阶段。如对于购买的系统软件，我们可以检验系统是否经过了有关部门的审查和鉴定，是否安全可靠，是否符合经营管理的基本要求；而对于委托开发或自行设计的系统，则需要对开发过程审计监督，不仅可以对信息系统的开发、购买、重点修改、委托运营、转让和退出使用等进行监督，还可以对项目的概算、项目的必要性、招投标情况、建设工期执行情况、系统的“可审计性”等进行监督，以保证系统的合理投资、合理设计开发和有效运行，及早发现系统在风险控制、质量保证和成本效益等方面存在的问题。另一方面，当系统实施运行时，审计人员可以通过对程序的编码和运行记录进行检查。查看其是否存在不符合法律规章的程序、是否有便于舞弊的指令或子程序、是否有设定的控制功能及其效果等，以此来核实系统程序，是否有合法性、完整性和程序逻辑的正确性。而且审计人员还可以针对一般管理系统本身对登录系统的用户及其使用系统的情况进行的监控，实时检查系统存放这些信息的审计追踪表和系统文件，并充分利用这些线索进行跟踪和分析。（三）密切关注银行内部各项信息系统的开发，拓展非现场审计的数据来源。建设银行目前已有不少功能强大、较为成熟的管理信息系统，如：抵债资产管理信息系统、人力资源管理信息系统、对公信贷流程系统、会计稽核系统、企业财务资源规划系统、客户关系管理系统、行长查询系统，其共同特点都在于信息容量大，数据挖掘、加工程度深，可为非现场审计提供翔实的数据资料，是非现场审计的首选目标，审计人员要研究这些系统的数据结构、数据存取方式并了解其功能特点、运行模式，根据审计工作和非现场审计系统的特点提出审计需求，建立审计接口，拓宽资料来源，丰富信息种类。除总账传输、信息统计、城市综合网及财务、人事等基础数据以外，还应将经营管理计划、管理制度、业务检查报告等非数据信息纳入非现场审计的视野，占有的信息越多，就越有发言权。此外，审计部门不仅要关注核心业务系统与管理信息系统的技术成果与信息资源，而且还要关注电子影像技术在会计档案、信贷档案、信用卡档案及国际业务档案等档案信息系统的应用。NU1DA20091221