略论金融操作风险与金融机构信息系统审计体系之构建,本文主要内容关键词为:信息系统论文,金融机构论文,体系论文,风险论文,操作论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、金融操作风险的挑战
金融管制的放松、金融全球化、金融服务产品的日益丰富以及金融技术的日益复杂,使得金融机构的活动花样繁多、日趋复杂。与信用风险、市场风险相比,操作风险在金融实践中地位日趋彰显,操作风险多发成为我国金融风险中一种较突出的表现形式。因此,不论是金融监管部门还是金融从业机构,都前所未有地加大了对操作风险的管理和控制的力度。2007年6月初,中国银监会发布的《商业银行操作风险管理指引》强调:进一步强化风险管理,提高识别、控制操作风险的能力和风险管理水平,建立操作风险管理的长效机制,提升银行业的整体国际竞争力。
操作风险具有不同于其他风险的显著特征是商业银行的基础性风险,主要表现在以下几个方面:(1)大部分操作风险具有内生性、可控性和可降低性。从操作风险的引发因素看,主要是内部因素作用为甚,如内部程序、人员和系统的不完备或失效,因此操作系统具有很强的内生性。(2)操作风险的覆盖面范围广。操作风险几乎覆盖银行经营活动的所有方面,既包括发生频率高、潜在损失相对较低的日常业务流程上的名义风险,也包括发生频率低,但潜在损失极大甚至危及银行存亡安全的大规模欺诈、自然灾害等。(3)操作风险对应的收益是银行的整体收益。大部分的风险都具有风险与收益的一一对应关系,但操作风险不存在与其对应的收益,商业银行承担的操作风险的对价实际上是银行整体的收益。(4)操作风险对新业务领域的冲击较大。比如内部控制、信息技术、人力资源、法律环境等,由于具有更多的风险来源和风险因子,故更容易引发操作风险。(5)既定业务领域操作风险的发生事件具有周期性特征。
除了技术开发和产品设计本身的固有缺陷外,技术的安全性和稳定性也是相对的。随着IT技术的日益升级进步,技术的不完善和不断改进也是一个必然趋势,由此会产生一系列的技术问题,进而引致操作风险。当前由于银行系统漏洞或缺陷导致的操作风险事件呈现出上升趋势。如2006年发生的一起利用中国建设银行的网址来对美国大通银行以及eBay的客户进行网络钓鱼(Net Fishing)诈骗的案例,就是一起典型的利用银行网络缺陷由外部实施的技术性操作风险。虽然如巴林银行、大和银行、国民威斯敏斯特银行和住友银行等发生的各种各样的操作损失事件引起了银行业的关注,但相对于信用风险和市场风险,操作风险导致的损失数据的搜集明显滞后。我国近年来有关金融操作风险的损失情况见表1所示。
二、金融审计在金融风险防范中的独特作用
金融审计是国家审计的重要组成部分,是对中央银行财政预算收支和国家政策性银行、国有商业银行、其他商业银行以及非银行金融机构财务收支与有联系的资产、负债、损益的真实性、合法性、效益性进行审计监督的行为。国家审计依据《宪法》和《审计法》,以其超然的地位和特有的独立性、强制性、权威性,不仅可以对企业、政府、金融机构的所有业务进行监督,而且可以对中央银行、银监会的职能履行情况进行再监督,保证宏观经济监督职能的整体发挥,而有效防范和化解源自于各方的金融风险。
金融审计在金融风险防范中具有独特作用。金融审计的总体目标是:依法维护金融市场公开公平,促进健全法律法规,规范金融秩序,保护金融机构、存款人、投资者和被保险人的合法权益,促进金融机构强化内部管理、提高效益、加快发展、有效防范系统性风险。国家审计署署长刘家义从五个方面客观分析了金融审计的重大作用:一是推进金融法律法规的健全完善;二是促使金融秩序的整顿和规范;三是揭露和查处重大违法违纪问题,维护国家财经法纪,促进严格金融执法;四是促进加强内部监督和控制;五是积极服务于国家宏观决策和加强金融监管。
金融监管是人民(中央)银行对所有金融机构在执行货币政策、信贷政策,遵守各项金融法规等进行监督管理的行为。从理论上讲,金融监管最主要的目标是要尽可能防止或遏制系统性金融风险、金融危机甚至金融市场崩溃的发生,从而尽可能地保护投资者或消费者的合法权益。金融监管的理论基础是不确定性、信息不完备和信息不对称导致的“市场失灵”。金融创新已经成为当今全球经济发展不可或缺的润滑油和驱动器,但它同时也带来巨大的风险,金融创新要求加强金融监管。
我国对金融机构实施监管的部门很多,主要包括一行三会(人民银行、银监会、证监会、保监会),财政部、国家审计、社会审计组织以及金融机构内部稽核等。这些监管部门根据监管主体的性质可分为内部监管机构和外部监管机构,金融机构内部审计属于内部监管,也称稽核,一行三会和国家审计等其他监管部门都属于外部监管机构。当前,以机构监管、分业监管为基本的分工思路,中国的银行、证券和保险的监管部门已经建立起来,这对于提高监管效率可能会发挥一定的积极作用,但是,随着中国金融市场的快速发展、以及不同领域金融机构向其他领域的渗透,不同监管机构之间的协调机制还有待进一步完善(巴曙松,2004)。
金融审计与金融监管之间存在密切联系(张文莉,2004),主要表现在以下方面:二者目标一致,二者作用的对象都是金融机构和金融活动;工作内容有交叉;工作执行标准基本一致;工作手段和方法相似;工作结果基本一致。但二者又有所区别(赵劲松,2005)。银监会主要对银行和非银行金融机构的市场准入、市场退出、日常业务及风险状况等进行审批检查;国家审计则对金融机构资产负债表中和表外各个会计科目的真实性、合规性和效益性进行审计。此外,金融审计与银监会在对金融机构进行监管时在报表与业务的处理上方向不同。与银监会相比,金融审计在金融监管方面更具有法律权威性、会计专业性、再监管性、监管对象广泛性和延伸性、超然独立性等优势。从我国国有经济和国有金融机构占主体的国情出发,从金融审计在金融监管方面发挥作用的特点和优势来看,金融审计不应当被当作监管当局进行金融监管的补充手段,而仍然是我国金融监管体系中的重要组成部分。金融审计与银监会在金融监管方面应优势互补,共同筑牢我国金融安全网的第一道防线。
三、金融信息系统审计的方式
信息系统审计是信息化发展到一定程度的必然结果。它既有传统审计条件下的审计内容,又有与信息技术紧密联系的审计内容。从计算机审计发展来看,初期是电子数据处理,尔后逐步发展到数据式审计,现在又发展到信息系统审计。
1.IT审计与内部控制
信息技术(IT)审计侧重于企业信息系统的计算机应用方面,它包括对适当的实施、操作过程和计算机资源控制的评估。由于金融机构信息系统高度集成化,因此IT审计构成了外部与内部审计的一个重要组成部分。IT审计的对象涵盖信息系统从规划、分析、设计、编程、测试、运行维护到系统停运为止的生命周期各个阶段和业务。IT审计一般分为三个阶段:审计计划阶段、控制测试阶段以及实质性测试阶段。控制测试中常见的计算机辅助审计工具和技术有:测试数据、基本案例系统评估、追踪、综合测试工具和平行模拟等。
内部控制作为一个防护屏障用以保护金融机构资产防范操作风险。这些风险包括未经授权接触金融机构资产(包括信息);机构内部或外部人员实施的舞弊;由于员工不称职造成的失误;有瑕疵的计算机程序和输入数据被篡改,如计算机黑客的非法访问、那些破坏程序和数据库的计算机病毒的威胁等。COSO委员会认为:“全面风险管理是一个受到该实体的董事会、管理层和其他个人的影响,并应用在整个机构战略设定的过程。它被设计用于识别整个实体的潜在重大风险。它能根据组织的具体情况提供一个风险管理框架,并为组织目标的实现提供合理的保证。”在所有的金融风险防范和金融监管中,金融机构的内部控制是整个市场健康运行的基础和前提。世界监管经验证明,如果没有金融机构的内部控制配合,即使是再细致周密的监管,其效果也会大打折扣,单个金融机构的内部控制和内部管理对其自身业务乃至整个金融体系的影响越来越大(巴曙松,2004)。
2.常规审计与专项审计
信息系统审计也可分为常规审计和专项审计。常规审计为例行的全面审计,即对信息系统进行全面审计,包括管理流程、技术平台、项目开发和运行、维护等工作的审计,对信息系统做出全面的评估、鉴证,提出管理建议。专项审计可以针对信息系统管理的某一方面进行专门的审计,可以视实际情况选择进行,如人民银行的专项审计。《局域网运行管理专项审计方案(2006)》指出,专项审计即是“通过实施局域网运行管理专项审计,对局域网运行、维护和管理等情况进行检查和评价,针对发现的问题和风险隐患提出意见和建议,促进局域网安全、有效运行”。《信息系统应急管理专项审计方案(2008)》则指出,审计的目的旨在“通过实施信息系统(包括IT系统和业务系统)应急预案管理专项审计,对人民银行信息系统应急管理情况进行检查和评价,针对发现的问题提出意见和建议,促进人民银行信息系统应急管理工作规范、有效开展”。
3.现场审计与非现场审计
非现场审计是通过对审计对象相关业务数据和资料的连续调集、整理和分析,查找经营管理中存在的问题和疑点,评价经营管理状况和风险程度,为现场审计提供线索和资料,为制定审计计划、安排审计资源提供支持。与现场审计相比,非现场审计具有全面性、时效性以及成本低、效率高等方面的优势,如建设银行研发的“非现场审计项目”,系统包括数据调集、指标定义与生成、问题查找、风险评估、审计监测、数据查询以及城综网数据分析等功能模块。非现场审计解决了六个方面的关键技术与难点:一是实现了复杂的异构数据源的整合功能;二是实现了复杂的指标算子定义和计算;三是建立了问题查找的专家系统机制;四是建立了审计风险评估模型体系;五是实现了与高级统计分析工具的有机结合;六是建立了一套审计数据提取环境。
四、金融机构信息系统审计体系之构建
1.探索风险导向金融信息系统审计模式
风险管理审计是建立在全面风险管理基础上的一种审计技术方法,这种方法认为在研究风险过程中,既要对金融业务及相关资料的真实合法性进行考察,又要对企业生存、发展和经济效益进行分析;在分析性检查过程中,不仅重视会计信息,而且重视行业信息和业务信息。这与强调金融审计的宏观意识,从分析金融风险入手,找准审计定位的思路是不谋而合的。
在金融业务量大且日益复杂,金融审计风险逐渐加大的情况下,风险基础审计将控制审计风险放在首位的做法也符合现实需要。其重要性在于可使审计人员重点关注重大的和异常的金融业务,突出审计重点,避免审计人员陷于大量繁杂的金融业务而失去审计目标。为此,审计人员应以风险评估为基础,对选择关键的信息系统予以重点关注。
2.规范金融信息系统审计程序
传统审计模式中,审计过程一般可分为审计准备、审计实施和审计报告三个阶段。在账目基础审计模式下,审计人员经常要执行诸如以原始凭证核对记账凭证或以记账凭证核对会计账簿等审计程序;在制度基础审计模式下,审计人员经常要执行诸如观察某业务循环中某项内部控制的执行情况等审计程序;在信息系统审计模式下,审计人员则要利用数据库技术、数据挖掘技术等方法,建立某种业务的审计中间表或审计分析模型,并进行相应的数据分析等。而目前,构建规范化的信息系统审计程序则是亟待深入研究的问题。
3.创新金融信息系统审计方法
从本质上讲审计是一个信息系统,审计的本质在于客观公正地为受托责任关系双方提供判断是否继续这种关系的信息依据。为了达到此目标,审计信息应具有相应的质量特征。金融信息系统从功能、应用平台到开发方式等方面存在着多样性和复杂性,信息系统审计的难度很大。现在,常规审计方法、技术和工具以及专用审计软件、数据采集与分析软件等计算机辅助审计技术和工具CAATs(Computer Assisted Audit techniques)的应用越来越普遍。面对错综复杂的信息系统和审计环境,金融审计还需要强大的计算机方法、技术和工具来支持。近年来,数据挖掘、OLAP分析、人工智能等技术的探索为审计提供了新的方法和思路,并在逐步克服传统的手工审计手段已不能适应审计工作需求的缺陷,为解决审计系统的动态监督提供了便利,因而有利于提高审计质量,降低审计风险。
标签:金融论文; 操作风险论文; 金融机构论文; 银行风险论文; 审计计划论文; 银行监管论文; 审计软件论文; 审计质量论文; 审计方法论文; 会计与审计论文; 管理审计论文; 审计目标论文; 业务管理论文; 技术风险论文; 审计流程论文; 管理风险论文; 金融监管论文; 金融风险论文; 银行论文; 银监会论文;