商业银行内部审计信息化的风险管控
高岳锋
中国农业银行太仓分行
摘要:信息化的飞速发展带来了商业银行内部审计的革命。商业银行审计对象和审计手段的信息化在提高内部审计效率的同时,也带来了新的风险。本文将从内审信息系统、内审人员以及内审制度建设等几个主要要素着手,探讨各要素中所存在风险,并从整体上把握风险,实现风险管控。
关键词:内部审计 信息化 风险 管控
一、引言
商业银行是经营货币的信用机构,这也决定了商业银行具有高风险的特征。为了能有效防范风险,加强内部控制,提高商业银行的经营效益,同时依照相关法律以及国际惯例,我国商业银行都加强了内部审计部门的建设,而且随着信息化渗透到社会发展的各个领域,内部审计的信息化已成为一种必然趋势。与此同时,商业银行业务规模急剧增长、金融产品不断推陈出新,内部审计的强度和难度也在不断加大,再加上商业银行各项业务已基本实现信息化、网络化和集中化,利用信息化建设来提高审计质量和效率已成为我国各商业银行内审部门的迫切需求。
1
在审计过程中,信息化的作用尤为明显:可以利用相关信息系统的数据集成特性,随时调出审计所需的各种资料数据;可以利用信息系统的运算识别功能对被审计单位提供的数据以及报表进行快速鉴定;还可以通过远程视频监控,调出实时或之前任一时点的录像,对审计目标的真实性进行有效控制等。这些措施不仅提高了审计效率,而且使商业银行能偶对业务操作的各项环节进行全面监测,及时发现经营管理过程中出现的问题,为管理层的决策提供重要依据。
但商业银行必须清醒的认识到内部审计信息化自身也存在一些风险。商业银行必须针对这些风险采取一定的措施加以防范,才能真正发挥内部审计信息化的作用
二、内部审计信息化存在风险的必然性。
我们必须知道什么是内审信息化的风险。企业在实现其目标的经营活动中,会遇到各种不确定性事件,这些事件发生的概率及其影响程度是无法事先预知的,这些事件将对经营活动产生影响,从而影响企业目标实现的程度。这种在一定环境下和一定期限内客观存在的、影响企业目标实现的各种不确定性事件就是风险。而我们就可以将内部审计信息化风险定义为在信息化条件下、一个特定的时间内,内部审计工作所期望的目标与实际结果之间的差异程度,它具有客观性、必然性、普遍性、可控性、不确定性等特点。
2
传统模式下的一些内审人员认为,商业银行的内部审计工作不存在什么风险,首先审计人员不需要操作业务,不会因为业务的操作过失而对商业银行造成影响;其次审计人员也不会因为业务部门的过错而承担责任。而在信息化环境下,内审工作所扮演的角色也在悄然发生变化,它的作用不仅仅是事后对相关问题进行监督整改、责任追究,而是以提高商业银行的经营效益、优化商业银行的内控管理为最终目的。这种转变使得审计部门承担了更多的责任,同时也意味着内审工作将承担更多风险。
另外,我国商业银行内部审计信息化起步较晚,上世纪90年代后期,国内学术界才开始着手研究适用于我国商业银行内部审计信息技术系统的理论研究。因此,与国外先进的商业银行相比,我国商业银行内部审计信息化存在着较大的差距。这些差距主要体现在内审信息化的人员配备、制度建设、信息系统建设与管理等方面,而这几方面作为内部审计信息化的关键要素,决定了内部审计信息化必然存在风险。
三、内部审计信息化所存在的风险
内部审计信息化是一把“双刃剑”,自身存在的风险会随时对审计工作的质量、效率以及审计结果的真实性产生直接影响。要想对这些风险进行有效控制,我们就必须将内审工作中的主要要素分解出来,逐一分析各要素中存在的风
3
险,然后再针对这些风险产生的原因以及这些风险的特性,分别采取相应的措施进行管控,最终达到从整体上有效管控内审信息化风险的目的。
(一)系统风险。
审计系统是在信息化的大环境下应运而生的,它有效的整合了审计资源、实现了信息共享、改进了审计手段、强化了内审的深度与广度。然而作为内部审计信息化的主要工具,我们有必要对其进行风险分析。
1、数据传输风险。由于信息化使商业银行实现了信息共享,内审人员也可以通过这些共享信息来提高审计效率。但是这些信息都是相互衔接的,当其中一个环节的数据或信息出现差错时,会影响其他环节信息的准确性,对审计的真实性、有效性会造成极大的影响。
2、病毒风险。电脑病毒的入侵将导致相关系统的数据资料被篡改,严重的将造成商业信息的泄露以及系统的瘫痪。病毒感染有多种形式:一是网络病毒感染。在信息共享的要求下,操作系统的网络化成为必然,但是网络的开放性使得商业银行各信息系统存在被病毒入侵的风险;二是携带式病毒感染。由于审计资料的电子化,使得审计人员通过移动储存设备来传输审计资料成为一种必然手段,而移动储存设备很可能会将从其他终端上感染的病毒再传染到审计操作设备中;三是黑客攻击。商业银行储存了大量的客户信息
4
与商业信息,不法分子会通过黑客手段来攻击商业银行的各操作系统,从这些系统中窃取商业机密,从而谋取暴利。 3、伪造信息风险。内部审计信息化的到来,使得审计资料趋向于无纸化,各项报表凭证都以数据或扫描件的形式录入到系统中去,审计人员可以随时在系统中进行调阅。但是审计系统对被审计资料的真伪甄别能力还不足,电子储存的审计信息资料更容易无痕修改,而且手段更为隐蔽,同时也无法按照传统的审计方法来评价系统数据的安全性、完整性和准确性。
4、信息资料被遗失和泄露的风险。信息化使得审计资料的保管存在两种方式:电子数据的磁性介质储存和网络储存。利用磁性介质储存器可以更多、更久的来保管审计的相关资料,而且方便调阅与管理。但是一旦相关储存介质遭到损坏不能修复,也就意味着大量审计资料遗失如果审计资料是用移动设备储存,一旦丢失,会直接造成审计资料的泄露,若这些资料中有机密信息,会给商业银行带来极大的损失。 5、运行风险。我国商业银行内审信息化的建设比较晚,系统功能还不完善,稳定性有待提高。系统运行的不稳定将直接影响审计结果的准确性与有效性,例如,审计系统出现漏洞,与之对接的财务运行系统更新的数据不能够及时的在审计系统中反映,最终导致审计结论出现偏差,而管理层采用了错误的审计结果,造成了决策上的偏差,结果给商业银
5