数据式审计模式在商业银行的应用探索,本文主要内容关键词为:商业银行论文,模式论文,数据论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
数据式审计不同于以往任何一种审计模式,它将电子数据作为直接的审计对象,而不必将其转换成电子账套。
广义来说,数据式审计是强调利用计算机手段,“足不出户”,利用计算机网络远距离抽取审计数据进行分析。以商业银行为例,一方面,在计算机中心主机系统内建立数据专区INC(Information Center),各业务系统每日批处理后将业务数据传送到INC中;另一方面,在审计部门建立主机系统终端,审计人员可以通过终端,编写SQL程序,运用ETL手段从上述数据库中抽取自己需要的数据进行统计分析。
狭义来说,其定义为:在现代信息处理和传递方式下迅速发展起来的一种审计监督方式,它通过连续地调集审计对象的数据和资料,依据预定的程序,进行连续、全面地分析、评价和监测审计对象的相关数据及其所反映的现状、发展趋势、经济活动和内部控制,及时发现审计对象存在的问题,评估审计对象所处的风险状况,为现场审计提供线索和资料,为制定审计计划提供支持。
一、商业银行数据式审计模式产生的背景
(一)传统的审计线索发生重大变化
随着银行业务计算机化比重日趋加大,计算机应用已不仅仅是过去的仿真手工阶段,覆盖范围也不再局限于柜面、结算等操作层次,而是提升到整个业务流程的各个方面,如ERP、HRM、CRM,应用了如INTRANET、广域网、网格计算等现代网络技术,体现了多学科的交叉,账务、管理数据的生成、存储、传递模式的改变,导致商业银行内部审计对象在表现形式和信息含量上发生了变化,尤其是近年来网上银行业务的出现,使得一些传统纸质账簿和文字记录被磁性介质取代,审计人员已经无法得到传统的审计线索。面对审计对象发生的革命性变化,传统的审计方法和工具在功能、效率、质量等方面已不能保证按期、按审计目的完成审计任务;面对错综复杂的业务及海量、异构、有别于传统信息表现形式的电子信息、愈来愈专业、细化的审计理论及目标,不断推陈出新的审计分析和评价方法,审计人员使用传统的审计方法和工具已经力不从心。审计人员只有善于利用计算机工具而不局限于操作层面,才能适应发展的要求。在领先的国际化大银行,这一趋势已十分明显,如汇丰银行,审计人员共70多人,其中数据式审计分析人员已占到约一半,其中有10人专责数据式审计软件的开发工作。
(二)审计资源有限的矛盾日益突出
商业银行近年来资产规模增长迅速,业务量急剧膨胀,数据量的累积惊人,仅以日总账为例,在不到一年的时间里,日总账数据的记录条数就达到一亿几千万条;在一些发达地区,日交易量达数十万笔;同时,同业竞争日趋激励,新的金融产品和服务不断推出,银行业务的复杂程度大大提高;商业银行虽然在机构压缩方面取得了很大的进展,但仍然具有机构地区跨度广、网点众多的特点。在现有审计资源的条件下,单纯依靠传统的审计方式和手工作业模式,难以保障审计监督所必需的广度和深度。
(三)内部审计的独特作用越来越受到投资者和外部监管当局的高度关注
随着商业银行公司治理结构的逐步完善,作为公司治理和内部控制的重要方面,内部审计的独特作用受到投资者和外部监管当局的高度关注,使得审计部门作为值得信任的、体现公正监督职能的角色作用越来越大,这就不仅要求审计部门对安全经营情况进行监督,还要能提供提高经营效益和管理方面的意见,提供增值服务,同时还要尽最大可能规避审计风险。目前商业银行致力发展的数据仓库,其提供的多维数据,不仅在数据量上超出一般数据库的概念,更重要的是提供了更大时间跨度、更多系统联系、更多银行外部的市场数据,并融入专家系统等人工智能概念,提供更多更灵活的处理和输出工具,审计人员只有利用好这些工具才能更好地发挥其“顾问”角色,促进审计工作向效益、管理审计发展。
(四)舞弊审计乃至合规审计与绩效审计,是一个永远不会过时的课题
源于商业银行鲜明的行业特点和不可替代的经济枢纽地位,注定了商业银行相较其他行业而言,所要面对的舞弊之痛更切、舞弊之途更广、舞弊之源更深。站在理论实务前沿的社会审计即注册会计师们,也将银行业划入高审计风险领域,战战兢兢,如履薄冰。而今,桩桩触目惊心的金融舞弊大案,更是将商业银行内部审计推到了风口浪尖。面对海量数据,传统的手工分析性复核,不可避免地受到数据处理能力有限性的制约,不但分析结果有欠精确,而且多数局限在账务信息方面,只能作为进一步测试的线索,不宜直接作为审计证据。而数据式审计,将计算机强大的数据处理能力与严谨的审计实战分析技术融为一体,利用计算机强大的筛选、查询和计算功能,不但可以实现精确复核,还可以运行各类问题疑点查找模型,成功实现风险预警与重点样本的筛选,甚至某些情况下,计算出的差异数据本身,就可以直接作为审计证据。
二、商业银行数据式审计模式的特点及优势
(一)数据式审计的对象是电子数据
数据式审计的大特点就是对电子数据的直接利用,这种特点使其可以发挥出其他任何审计模式都无法比拟的巨大优势:
1.扩大了审计人员的视野,丰富了审计人员的可用信息
在数据式审计模式下,审计人员可以摆脱传统的电子账套及其所反映的财务信息,深入到计算机信息系统的底层数据库,获取更多更广泛的数据,然后通过对底层数据的分析处理,获得大量的多种类型的有用信息。这些信息不但包括传统的财务信息,而且还包括非财务信息、自行组合的新财务信息、财务数据与非财务数据组合的混合型信息。这些类型的信息在传统账套中是无法轻易取得的。
2.扩大了审计范围和内容
由于数据式审计摆脱了传统账套和传统财务信息,因此审计人员可以将审计的范围和内容做出必要的扩大,凡是数据库中所包含的数据,不管其类型如何,只要与审计相关,对审计人员有用,皆可纳入收集和分析范围,尤其是大量的业务数据和外部数据。因此,数据式审计方法的运用,使思维模式由传统审计条件下形成的由点到面,转变到由面到点上来,在审计方法上由过去粗放型转变到质量效益型。
3.减省审计人员外出的人力、物力及时间成本
由于运用了先进的信息化手段,数据式审计可以非常快速、便捷地处理海量数据,使审计人员能迅速取得大量的、来自不同系统的最新的业务数据,解决了在纸质和手工条件下,审计人员想做而不可能做的事情。现场审计工作要求审计人员做大量的查询工作,运用数据式审计方法可使这些步骤达到自动化,从而使审计人员可以集中精力注意于那些需要专业判断的部分,缩短审计时间,增大了发现问题的可能,既提高了审计工作的正确性与准确性,也使审计人员从冗长乏味的计算工作、舟车劳顿中解脱出来,十分有效地减省审计人员外出的人力、物力及时间成本。另外,审计工作需要查阅大量的业务基础资料,以便从中发现有关的违规违纪的线索和疑点,但目前由于核心业务系统的上线,在基层营业单位的许多基础资料已无法获得,而利用数据式审计,通过计算机技术可以帮助现场审计人员快速有效地取得审计所需的基础资料,而且数据未经加工,来源可靠,审计过程更具针对性和持续性,审计人员更加方便从整体的、宏观的角度进行分析,有助于开展效益和管理审计,特别适用于商业银行这样地域跨度大的机构。
(二)数据式审计改变了审计的核心方法
在账目基础审计模式中,审计的核心方法是详查法,在详查法的基础上,审计人员逐步开发了逆查法和顺查法。19世纪末、20世纪初,随着审计事项规模的不断扩大和日益复杂,审计人员开始使用测试法,产生了真正意义上的审计方法即“测试审计”。在制度基础审计模式中,由于大量运用了统计方法,测试法得到了长足发展,并最终取代详查法,成为审计的核心方法。当制度基础审计模式发展到风险基础审计时,测试的类型没有发生实质性变化,但分析性测试的作用更加突出,运用的范围更加广泛,成为核心中的核心。
在数据式审计模式中,详查法和测试法已经不再是审计的关键问题,因为计算机手段既可以解决详查问题,也可以解决测试问题(实际上是解决抽查问题)。面对众多数量和类型的数据,关键的问题在于,审计人员是否能够对数据进行有效的分析,并使各种各样的原生态数据转化为对审计人员有用的信息。只有完成数据转化为信息的过程,审计人员才能实施审计程序,审计目标才能最终实现。因此,审计的核心方法是数据分析方法。
数据分析方法不同于传统的分析性测试。首先,数据分析是对数据的处理,并试图使数据转化为有用信息。分析性测试则是对信息的处理,是对信息的再利用。明确这种区别至关重要,因为数据是底层的、元素性的,它可以有多种多样的组合,在用途上可以做多种多样的拓展,从而形成多种多样的信息;信息则是上层的,具有明确的表现形态,也有具体而又确定的内容,在用途上具有一定的限制,因而只能做有限的再利用,不能做深度的挖掘。其次,在理论上,分析性测试只是实质性测试的一种,数据分析则可以完全不限定于某一种测试,可以用于多种测试工作。
(三)数据式审计需要创建大量的新型审计技术
数据式审计模式是一种全新的审计模式。相对于账目基础审计模式、制度基础审计模式、风险基础审计模式之间的传承关系而言,数据式审计模式更具革命性。既然是全新的模式,当然需要革新传统的技术方法,更需要创建全新的技术方法。数据式审计模式的诸多新技术方法中,比较突出的两种是审计中间表方法和审计分析模型方法。
审计中间表是利用被审计单位数据库中的基础电子数据,按照审计人员的审计要求,由审计人员构建,可供审计人员进行数据分析的新型审计工具。它是实现数据式审计的关键技术。审计中间表按照目的不同,可分为基础性审计中间表和分析性审计中间表。前者可以帮助审计人员选定审计所需的基础性数据;后者可以帮助审计人员实现对数据的模型分析。
审计分析模型是审计人员用于数据分析的技术工具,它是按照审计事项应该具有的时间或空间状态(例如趋势、结构、关系等),由审计人员通过设定判断和限制条件来建立起数学的或逻辑的表达式,并用于验证审计事项实际的时间或空间状态的技术方法。目前,常见的审计分析模型有以下几种:根据法律规定的状态来建立;根据业务的逻辑关系来建立;根据不同类型数据之间的对应关系来建立;根据审计人员的符合客观实际的经验来建立;根据审计人员的科学合理的预测来建立等。
(四)数据式审计需要重塑审计程序和审计管理模式
新的审计模式需要新的审计程序。数据式审计模式当然也不会例外在账目基础审计模式下,审计人员经常要执行诸如以原始凭证核对记账凭证或以记账凭证核对会计账簿等审计程序;在制度基础审计模式下,审计人员经常要执行诸如观察某业务循环中某项内部控制的执行情况等审计程序;在数据式审计模式下,审计人员则要经常执行建立某种业务的审计中间表或审计分析模型,并进行某种类型的数据分析等审计程序。
(五)变事后审计为事中审计、静态审计为动态审计
在传统审计中,必须深入到现场,实地查看账务和业务处理过程,才能发现问题,而数据式审计,即使不到现场实地查看,也能利用计算机网络提取数据,通过分析、监测,发现存在的问题和线索,并且现场审计很难或无法发现的问题,利用数据式审计可以快速、准确地予以暴露,因此使用数据式审计,可以有效地堵塞漏洞,从源头上防范事故隐患。
(六)保留现场审计痕迹
数据式审计由于大量采用新的审计理论和计算机技术,因此,审计过程具有可重复性和不变性,减少了偶然性,保证了从审计方法到应用软件层、数据库层、网络环境层、操作系统层等能有效地保留现场审计痕迹,整个审计过程流程清晰、日志完备。
三、商业银行数据式审计技术应用制约因素
(一)审计线索隐蔽性
1.数据式审计是利用计算机技术进行的审计,在数据集中信息系统中,由于数据存储介质的磁性化和数据处理过程的自动化,业务数据进入计算机系统之后,由计算机按程序自动进行处理,逻辑关系复杂,并且开发者、操作者、使用者在业务流程上脱节,造成某些审计线索模糊。
2.在一些自助或外接系统中,如网上银行,由于操作是由客户完成的,没有纸质凭证,商业银行是通过电子文件对操作进行记录的,这个过程存在非法侵入及传输错误的风险,造成虚假数据藏匿其中。
(二)应用平台的缺陷
数据式审计的开展依托于不同的计算机平台,由于平台自身的缺陷会导致数据的缺失或结果的不确定性。如:由于磁盘分区格式的不同,在不同操作系统间进行数据传输时,可能造成大于4G容量的文件内容部分丢失,如果没有进行认真核对将造成审计结果的不正确。
(三)数据质量
审计数据一般是取自于银行信息系统后台数据库。目前,数据质量主要存在5个方面的问题:
1.信息系统自身的缺陷。如设计缺陷、业务发生变化而系统未及时优化,系统数据不能准确反映业务的关键流程、关键要素等。
2.数据采集人员(前台录入员)数据录入缺陷。未能规范、准确录入业务信息,导致该项业务部分数据失真或严重失真。这种情况在非核心业务处理系统中较为常见。
3.各系统间数据兼容性和一致性缺陷。系统之间存在的数据不一致,二者无法有效关联。
4.数据转换中的缺陷。商业银行信息系统使用数据库一般是SQL,INOFRMIX,LOTUS DOMINO(CMIS、信贷审批系统等)等数据库系统,而审计系统采用的是SAS数据库系统,因此需要将银行信息系统的数据转换成纯文本文件,然后加载到审计系统的SAS数据集中。数据转换过程中容易出现乱码、异常换行、数据丢失等情况。
5.审计系统自身的缺陷。数据式审计软件系统是数据式审计最基本的审计工具,数据式审计软件系统的质量决定数据式审计结果的质量,所以有效的数据式审计依赖于功能强大、完备、成熟的数据式审计软件系统。但目前商业银行开发使用的数据式审计软件系统上线时间短,数据式审计软件系统的应用还不成熟,程序设计和系统功能上还难免存在着瑕疵和纰漏。
(四)审计人员的知识结构,尚不能充分满足新技术应用的要求
1.审计人员缺乏对银行管理系统及后台数据结构的了解
审计系统分析的直接对象是银行信息系统的后台数据,如果审计人员缺乏对银行信息处理系统功能、逻辑结构,后台数据的分布、结构、特点,前台业务处理流程和后台数据的关联性等的了解,就无法准确运用审计系统提供的数据分析工具,科学、合理地透过数据的表面特征分析和判断业务的实质。
2.审计人员信息技术熟练程度不够,对审计系统分析工具的运用还很不熟练
一笔完整的业务在后台数据库的存储形式比较复杂,一般会分散在多个数据集中。审计系统中每张表代表不同数据信息。因此,做数据分析不可避免要大量反复使用关联、排序、筛选等技术工具。如何合理、灵活地运用二期系统的技术工具,高效编制审计模型是审计人员面临的技术性难题。
(五)业务系统的特性
商业银行业务系统后台处理较为复杂,其业务处理模式与审计人员传统理念中的会计分录处理方式差异较大,系统中还存在大量自动批处理业务,以及审计人员尚不甚熟悉的各种客观情况,审计人员难以全面理解业务系统的业务处理机制,在利用审计系统作分析时对有些业务往往感觉无从入手,或者分析出来的数据与实际情况有出入。
(六)数据式审计系统应用情况、成果总结及经验交流方面存在不足
目前虽然一些审计项目实施了数据式审计,但是由于前面所提到的数据质量、系统功能、人员素质及缺乏数据式审计经验等方面原因,数据式审计的结果不够理想。具体审计项目实施过程中,缺乏对数据式审计的工作总结、经验交流,对于数据式审计系统应用过程中遇到的问题以及好的经验、做法、审计模型思路没有很好的交流共享。特别是任期经济责任审计,基本没用应用数据式审计系统。据统计每年任期经济责任审计项目的工作量占商业银行全年审计工作量的50%左右,耗费了大量的审计资源,但是审计手段基本上还是按传统的审计套路去审,基本没有应用审计系统,也没有充分进行审前相关的数据信息搜集、整理、分析,审计抽样方法还停留在随即抽样、判断抽样,审计效率效果较低。
四、商业银行数据式审计分析技术应用心得
(一)加强审计内外部信息交流与沟通,提高协同作战能力
对外建立与商业银行各部门的定期数据采集制度,要求分行相关部门按月或季提供相关数据。尤其对信息技术部要求如果后台数据库发生较大变化,应及时通知审计部门。同时及时了解各业务系统的变动情况,充分收集系统的业务手册、技术手册等。及时了解新上线系统的功能特点,注意收集新系统的资料,及时跟进掌握新上线IT系统信息,研究新型IT系统在审计领域的利用价值。
对内要强化与现场审计项目的信息交流与沟通,指导审计人员编制审计模型,通过现场项目组对数据的反复锤炼、反复检查,不断沟通交流数据的检查、分析及应用情况,及时解决数据中存在的各种缺陷。
(二)科学、规范管理审计系统服务器
按照审计工作要求,审计系统服务器中一般要存储2-3个年度的海量数据,并承担海量数据的计算、分析工作。为保证审计数据的安全性、连续性,必须重视服务器系统的科学管理。
1.采用Raid技术增强服务器磁盘的容错能力。将多块硬盘组建磁盘阵列,采用Raid1或Raid5可以大大提高服务器数据的安全性。
2.选用磁带机定期定时做数据备份。有条件的可配合专业备份软件作相对完善的备份方案。
3.合理分配、使用磁盘空间。虽然商业银行总行下达的配置要求中服务器存储容量可多达1.4T,但如果不能合理划分磁盘分区,仍然会影响非现场审计系统的运行效率。经审计实践认为最好的分区为2个分区,其中操作系统区可划分40-100G,剩余空间为审计系统应用区,以充分满足审计系统数据存储和运算的要求。审计系统服务器上只安装必要的系统软件和杀毒软件,严禁存放无关的数据和文件。
4.定期维护审计系统。建立系统运行日志,定期清理系统临时文件,定期更换系统密码,不定期备份重要数据,记录系统运行的异常情况,做好服务器的防尘、除尘,启用不间断电源,定期给系统打补丁,更新病毒库等。
(三)对数据采集、检查、数据源定义和数据加载坚持“三心”标准
对数据的管理坚持贯彻“三心”标准,即“责任心、细心、小心”。“责任心”是数据管理的基本要求,数据管理人员要主动查找数据缺陷,及时弥补错误;同时虚心听取现场审计人员反馈的意见,及时更正数据中的问题。“细心”是全面、及时发现数据的各种缺陷,并采取有效措施加以弥补。除业务系统数据通过技术手段基本规避数据乱码问题,其他类别的数据或多或少会存在数据乱码等缺陷,在加载数据时要仔细核对数据和数据源结构是否吻合,只有在排除问题的情况下才加载数据,力争做到数据不缺、不漏、不错列、不错行、无乱码。审计人员不能迷信审计系统中的数据都是绝对正确的,也不要轻易相信审计数据分析、筛选出的数据就是疑点,而是要仔细甄别,正确判断数据和分析的有效性;“小心”是做好数据的备份和应急处理工作。对数据采集、检查和数据加载的每一步,都坚持做好备份工作和应急措施,避免发生数据丢失和损坏。
(四)利用审计系统的强大功能,深度检查数据存在的问题
利用审计系统搭建强大的数据平台后,就可通过审计系统的功能来实现数据之间的一致性、总分平衡性检查。主要的途径是利用“总账关联查询”功能和建立模型实现数据检查。
“总账关联查询”可实现一级分行总账、二级行总账、支行总账、网点总账直到该总账下的账户交易明细的逐级钻取。适合对单一机构、单一科目总账和明细账的平衡性检查。该项功能对单位存款类科目分析较为准确。
建立模型实现数据检查。其思路可以参照总账关联查询来设计,对内部账作分析检查时注意选者正确的账务日期(GL-DATE);也可设计模型对主档、资金档、明细档三者之间数据的一致性作检查。如果检查结果数据的差异性较小,则表明数据质量较高,反之数据质量较差。
(五)合理运用系统功能,提高审计分析的效率
审计系统中各数据集的大小差异较大,在运用审计分析工具时,要对数据集的大小有一个初步的了解,有针对性地合理使用筛选、排序、数据关联、指标计算等工具。审计系统中数据集较大的表有客户信息档(个人)、内部明细账、存款明细账(单位和个人),活期存款主档(单位和个人)、活期存款资金档(单位和个人)、银行卡主档、定期存款主档。上述表的记录数一般都在几百万以上,甚至多达上亿条记录,对这些表的分析要特别慎重。
(六)针对审计项目的个性化需求,补充必要的数据源
具体的审计项目,往往会有个性化的审计分析、报表统计的要求。因此要根据项目的特殊要求,适当补充必要的数据源,以提高数据分析的效率。
在非信贷资产审计项目、财务审计项目中,都需要按大类事项、小类事项来统计相关科目的数据,如商业银行非信贷资产审计项目涉及100余个科目,财务管理审计项目涉及200余个科目。如果直接使用审计系统来做统计分析,甚至数据导出后结合excel等工具来做统计都是比较困难的,应编制非信贷资产审计科目对照表和财务类科目对照表,把这两张表定义到审计系统中,加载数据,然后再去做相关的统计分析,统计结果才能比较准确。
在基层网点内控审计中,还需在系统中专门导入操作员信息,并考虑到每个柜员的身份证号码存在15位和18位两种情况,根据操作员的身份证号码、姓名等要素,去分析操作员个人账号的交易情况、前台柜员以虚存虚取方式进行现金调剂和利用柜员个人账户周转客户大额代发资金,办理一次性代发业务等重要风险隐患。
(七)开发信息平台,科学组建问题库。
开发信息平台,扩大信息收集范围,具备全面完整的信息,是实施有效数据式审计的前提。数据搜集日常化管理,充分搜集所辖机构的各项数据,包括所辖各机构基本状况、当地金融环境情况及机构排名、内外部审计及业务检查问题库、各年度指标数据及计划完成情况等。信息平台的构建必须基于先进的数据库管理技术,要通过查询、报表、统计图形、多维展现、分析挖掘等方式实现对问题库中数据的快速查找、动态排序及深度加工,借此向审计人员提供经过整合的审计线索,揭示发现问题分布规律,以利于进一步明确现场审计重点。信息平台的搭建并结合数据式审计系统的应用尤其适合提高任期经济责任等审计项目。
标签:商业银行论文; 大数据论文; 审计软件论文; 审计计划论文; 审计方法论文; 总账科目论文; 审计质量论文; 审计目标论文; 审计流程论文; 项目分析论文; 缺陷管理论文; 总账论文;