商业银行非现场审计系统介绍,本文主要内容关键词为:商业银行论文,现场论文,系统论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
计算机辅助审计系统分为现场(通常称审计信息管理系统)和非现场两个部分。审计信息管理系统支持无纸化现场作业流程,实现信息共享与交流以及工作底稿、法律法规等信息管理。非现场审计系统以IDEA(Interactive Data Extraction and Analysis,互动式数据提取及分析软件)为基础,不断开发监测程序。主要模式有三种:建立在传统审计方式基础上的辅助审计过程的应用系统;完全采用国外审计分析工具;建立在国外审计软件基础上的本地化系统。审计信息管理系统和非现场审计系统通过标准接口交换数据、程序可互相调用。近几年,商业银行积极开发、应用计算机辅助审计系统,尤其是非现场审计系统。现对商业银行非现场审计系统做个简单的介绍。
一。定位(如图1所示)
图1 非现场审计系统定位示意图
从图1中咨询、附加值、评估这三个关键词上可以看出:审计应深入地挖掘银行运营上的重大风险,才能与审计职责定位相吻合。非现场审计系统的重点应在于充分利用IT技术,深入挖掘重大风险。首先,审计应采用科学、系统性的方法,帮助企业评估并提高在风险管理、控制以及合规经营上的效率。其次,银行的风险管理、控制及合规体系是由银行的前台和后台系统进行综合管理的,审计作为内部监控体系的最后一道防线,应该对业务和业务部门未关注到的重大风险进行深入的挖掘和分析。
二、包含层面(如图2所示)
图2 非现场审计系统层面示意图
1、数据整理层。非现场审计系统是一个分析系统,它本身不产生数据,其数据源,来自于银行的业务系统和管理系统。数据整理层是将审计所需数据从后台系统导入到非现场审计系统,并进行进一步整理,供审计人员使用。数据整理层的逻辑结构如图3所示。在数据导入数据集市后,系统要对源数据做一系列复杂的映射、分区,产生审计系统的数据采集层和存储层,并与审计处理层、公共控制层和审计功能层对接。非现场审计系统载入数据不是一次性的,是一个根据源系统的变化尤其是审计思路的发展而不断变化的过程,审计思路的变化必然带来新的数据需求,需要系统有可随时导入数据的功能。同时,非现场审计系统是一个综合性的分析系统,从其他后台系统提取所需要的数据,从类别和时间上都远远超过其他系统。目前,一般的业务系统(报表)或管理系统与其他系统的数据接口较规范,从其他系统采集的数据量也比较小,因而通常数据接口比较固定。而在固定的数据接口模式下,是无法实现随时导入数据功能的,必须重新对接口进行开发才能实现。因此,数据整理层应保证非现场审计系统实现以下功能:(1)系统需要从核心、信贷、国际、资金等后台系统抽取审计所需数据,经过整理后导入非现场审计系统。这部分数据的导入在系统稳定的情况下,应可定期自动导入、抽取和导入过程不用人工干预。(2)在后台系统数据结构或流程发生调整、新的后台系统上线、新的审计思路需要新的数据,系统应能方便将这些数据导入并自动生成批量程序。(3)系统应能方便将社会数据、政府公开数据等外部数据导入系统。(4)系统应支持文本、数据库、报表以及PDF等各种格式的多种方式。(5)由于数据的来源多、结构复杂,因而数据格式并不统一,为了统一数据格式以方便审计人员使用,系统必须提供强大的整理功能,它包括字符、符号、字节、数字、日期、时间以及空格等处理功能。(6)系统的所有数据必须统一,以便审计人员可使用所有数据进行综合分析,分析程序也可调用所有数据。
图3 审计系统数据整理示意图
2、数据验证层。非现场审计系统需要的数据来源于业务系统和管理系统,而银行业务系统和管理系统的复杂性,决定其数据结构非常复杂;同时,各系统的数据库字典往往与系统的更新不同步,非现场审计系统从数据源获取的数据正确性不能保证,加大了审计风险。实践证明,如果建立在没有经过业务验证数据基础上的审计结果,大部分将是错误的。因此,从对业务数据等的正确性、完整性和统一性进行验证就特别必要。数据验证层提供了相应的模块,为用户提供数字、字符、日期及时间的统计分布,并提供了最大值、最小值、正值、负值、零值等一系列统计手段,帮助用户对业务数据的真实性、完整性和统一性作出判断。
表1 部分商业银行非现场审计系统比较
3、数据分析层。数据分析层提供可应用在所有库表和字段上的专业分析功能应包括关联、提取、函数、汇总、分区、账龄、查询、重复及抽样等,并且各个分析功能应能自由组合并随时调用,实现审计人员在这个层面能任意对所有的数据进行分析的目标。比如,如果在贷款汇总功能上只能对客户名称或客户号码进行操作,就极大地限制了审计人员的分析空间。为了能够深入挖掘问题线索,可能会对客户地址、电话、关联人、不同时间段甚至邮政编码等进行汇总,这样有可能从各个角度发现业务上的异常。系统要从计算机语言中抽取并组合成审计专用函数集,审计人员通过调用函数,可以完成通常需要编程才可以完成的复杂工作,并且可以共享其他审计人员的经验。由于审计的专业性以及深度挖掘风险的艰巨性,数据分析层的各个分析功能应能随时组合,随时调用。
4、系统应用层。在建立了可随时更新的数据渠道、数据质量的验证以及丰富的分析功能后,审计人员可以任意在该层面建立较为固化的模块,包括监测程序、查询查证、指标分析/预警、内部控制评价等应用功能模块。监测程序是集成各家银行的审计经验,并与实施银行的具体情况相结合,所设计出的各业务条线的监测程序,审计人员可直接使用该监测程序运行出的结果进行现场验证;查询查证是满足审计人员一般性的日常审计工作需要,可方便查询客户、业务以及机构等信息,深入的分析查证可使用分析层面上提供的工具进行;指标分析/预警是以问题为导向,而不应该是绩效或监管指标。新建、删除以及修改是必要的功能,预警程序的设定以系统性的风险为主,不应该替代事后监督系统或者风险管理系统。内部控制评价主要是对部分内部控制作业程序做量化的证据支持,以使得内部控制评价过程趋于合理和科学,而完整的内部控制评价模板应在审计管理信息平台实现。系统应用层的功能主要是满足审计的日常分析工作,整合目前已知的审计经验,核心应该是以业务为中心、以专业和准确为重点。用户可自主新增、修改或删除该层面的内容。需要注意的是,该层面的建设应以资深审计人员为主,切忌单纯从技术的角度去设计程序和模块,不能真正地挖掘风险和满足需求。
三、部分商业银行非现场审计系统比较(如表1所示)
1、中国工商银行。以省市分行为单位,开发了各自的非现场审计系统,其中北京、上海、广东、河南、河北以及江苏应用良好。审计局体制改革后,在2007年建立了审计数据集市,解决了审计人员获取数据的困难。早期开发了一些监测程序但缺乏更新,系统提供的分析功能审计特点不强且不易使用。
2、中国建设银行。非现场审计系统自2000年开发,一直到现在还在使用。系统每年更新、开发新的监测程序。由于SAS(Statistical Analysis System,统计分析软件)偏重一般性统计分析,一般审计人员使用起来难度较大。
3、中国银行。自2007年开始,在全行使用Caseware(快思维)的工具软件IDEA。在总行以及业务水平较高的分行,使用情况良好;少部分业务基础较差或获取数据有困难的分行,使用情况一般。随着统一的新核心系统上线,将进一步扩大IDEA的使用范围。
4、交通银行。2006年年底开始开发非现场审计系统。由于系统开发周期较长,同时采购了快思维的工具软件IDEA,在总行开始试用。所开发的系统数据接口完全固化,审计模板有一定程度的灵活性,分析功能不强。
5、民生银行。较早开发了非现场审计系统,其特色以预警程序和查证模块为主。数据接口、预警程序以及查证基本固化,每年都需要升级开发。随着民生银行后台系统转向统一的SAP系统,非现场审计系统将面临较大的改造投入。
6、招商银行。自2004年引入国外审计工具ACL,2005年又引入IDEA分析工具。
7、上海浦发银行。于2008年6月上线,非现场审计系统在应用层面上功能较丰富,包括指标、预警、程序审计、查证分析以及内部控制评价模块。系统具有一定程度的灵活性,用户在固定字段上可定义一定的规则。但是,由于系统数据导入和库表结构是固定的,系统分析功能不强。目前,已开始采购工具软件。
8、南京银行。于2007年年底上线,非现场审计系统在数据导入层面兼顾了批量和灵活的导入方式。在数据导入系统时,所有数据经过了完整性、真实性和统一性检查。分析查证功能丰富强大且不受库表限制。在应用层面上,包含了监测程序、指标分析、查证等功能。系统投入使用后,持续发现了计息,盗用客户资金,虚假个贷及违规授信等重大风险,引起行长及业务部门的重视。
9、宁波银行。于2008年上线,系统结构与功能和南京银行类似。所不同的是,宁波银行在系统刚上线时,对业务部门开放了部分功能,积极促进了内部控制体系的完善。
10、徽商银行。于2007年上线,系统结构与功能和南京银行类似,在审计项目的配合上发挥了较好的作用。随着业务水平的提高,使用人员已覆盖了全体审计人员。值得一提的是,徽商银行近几年系统调整和新增较多,由于系统的灵活数据导入功能,非现场审计系统的调整,没有花费任何投入。
标签:审计软件论文; 审计质量论文; 审计方法论文; 审计流程论文; 审计目标论文; 内部控制论文; 功能分析论文; 南京银行论文;