仰巍巍

一、研究問題的提出

2008年金融危機以后，商業(yè)銀行會計信息系統(tǒng)運行的安全問題引起了國務院、銀監(jiān)會和商業(yè)銀行的高度重視。在不斷高速發(fā)展的信息化時代，會計核算手段和環(huán)境發(fā)生了重大變化，風險產(chǎn)生及形成的原因更加復雜和隱蔽，并且由于計算機軟硬件成為會計人員的操作平臺，增加了風險因素，同時，由于網(wǎng)上業(yè)務的迅速發(fā)展，使風險的控制難度進一步加大。

國際上，從1995年的巴林銀行案，到2002年的愛爾蘭聯(lián)合銀行案，再到2008年的法國興業(yè)銀行案，引起了國際社會的高度關注。再看國內，從2001年中國銀行開平支行的40億人民幣監(jiān)守自盜案、浦發(fā)銀行虛假抵押案到中行四馬路支行的內外勾結案，再到深圳發(fā)展銀行違法放貸案。涉案金額之大，令人觸目驚心，表相下面隱藏的就是真相，那就是銀行的風險管理漏洞以及員工的職業(yè)道德問題。

針對國內外經(jīng)濟金融環(huán)境的變化，2008年我國監(jiān)管機構向國內銀行提出了預警。但是，在2009年3月發(fā)生的寧波銀行案又一次震驚了監(jiān)管層，導致了銀監(jiān)會17個檢查小組全國撒網(wǎng)普查。鑒于此，有必要對我國商業(yè)銀行的風險管理進行重新審視和研究。

二、商業(yè)銀行風險問題分析

1.制度建設和流程改造

隨著信息化程度的提高，制度建設也需要較快的更新，雖然各家商業(yè)銀行都在不斷地更新相應的會計信息系統(tǒng)風險控制制度，但由于種種原因，制度的建設一直落后于系統(tǒng)發(fā)展，影響制度建設和執(zhí)行主要有以下原因：

一是制度設計思想上缺乏創(chuàng)新，制度的設計主要是在套用手工條件下的相關會計制度，而在計算機條件下，制度創(chuàng)新非常重要，其設計理念思想不能沿用原有手工會計制度，應該開創(chuàng)計算機環(huán)境下會計制度制定的新思路。

二是制度多為原則性規(guī)定，可操作性不強，要不就是操作規(guī)定特別繁雜，這兩種情況均影響制度的執(zhí)行，制度的制定需要既了解計算機又了解業(yè)務并具有實際工作經(jīng)驗的人制定，缺乏高素質綜合性的人才也影響了有效制度的制定。近年來，商業(yè)銀行間的競爭加劇，特別是隨著網(wǎng)點柜員逐漸由偏重于會計向偏重于營銷的轉型以及經(jīng)營任務的壓力，再加上系統(tǒng)自動化處理逐漸淡薄了各級會計人員對會計業(yè)務的認識。

三是IT審計缺位。雖然現(xiàn)在各商業(yè)銀行內部逐步樹立了IT審計的概念，但也僅是停留在概念階段，無論是內審局、內控部門還是專業(yè)會計檢查人員，一般是懂業(yè)務而不懂技術，而從技術部門轉型到上述專業(yè)的人員，一方面對業(yè)務理解不透，另一方面脫離技術的應用，也難以起到真正的IT審計職能，而目前主要采用的方法是技術部門的自查與互查。

2.計算機軟硬件建設

商業(yè)銀行會計引入信息化后，與信息系統(tǒng)相關的軟硬件安全控制成為會計業(yè)務風險的重要來源。

巴林銀行倒閉的案例發(fā)人深省，同時也從側面給了另外一種啟示。雖然里森的職業(yè)道德問題是巴林銀行倒閉的直接原因，但不能忽略這樣一個細節(jié)，巴林銀行當時使用的會計信息系統(tǒng)落后，系統(tǒng)的運行存在問題，信息交流不暢，也無法及時發(fā)現(xiàn)“88888”這個錯誤賬戶。當時，里森看好日本股市，并投資于日經(jīng)指數(shù)期貨，期間用于清算記錄的電腦故障頻繁，無數(shù)筆的交易記賬工作都積壓起來，系統(tǒng)無法正常工作，導致大額的損失。最后，由于衍生金融產(chǎn)品的復雜性和風險性，以及外部環(huán)境的難以預測性，最終葬送了巴林銀行。可見，對會計信息系統(tǒng)的基礎建設必須慎重。

計算機硬件風險隱患主要有兩方面，一是物理安全，如防水、防火、防震、濕度、溫度及人為破壞等方面，二是硬件產(chǎn)品的質量控制。

計算機軟件的風險層面較多，從支持硬件的操作系統(tǒng)到應用到商業(yè)銀行的應用系統(tǒng)，都有可能存在風險隱患，軟件需求、開發(fā)人員的資質、軟件的適用性測試等各方面均對軟件質量形成一定的影響。

計算軟硬件的建設需要一定的成本，這個成本有時會很大，各商業(yè)銀行對會計信息化建設的重視程度決定了資金的投入，而資金的投入在很大程度上影響著軟硬件的質量。

另外，來源于外部環(huán)境的威脅主要是計算機病毒，目前計算機病毒數(shù)量多，傳播快，且不斷地升級，它對計算機有極大的破壞性，特別是針對網(wǎng)上銀行業(yè)務，計算機病毒已成為威脅商業(yè)銀行會計信息系統(tǒng)的重要安全隱患。

3.賬務核算體系的變化

在賬務核算體系上，引入計算機網(wǎng)絡后，商業(yè)銀行會計業(yè)務的處理程序、處理方法和賬務核對發(fā)生了很大的變化，日常賬務登記已不是嚴格意義上的平行登記，所謂的平行登記，日終是由計算自動根據(jù)業(yè)務流水登記總賬和發(fā)生額，因此不論計算機內數(shù)據(jù)是否與原始憑證數(shù)據(jù)相符，明細賬與總賬總是相等，同時，由于大量賬務處理由計算機自動處理，一般會計人員已不清楚賬務的來朧去脈，只是在柜面進行業(yè)務數(shù)據(jù)的錄入，賬務的核對集中到了少數(shù)人手中，在網(wǎng)點甚至集中到一到兩個人身上，這帶來諸多風險隱患，一是如果網(wǎng)點缺乏對賬務透徹理解的人員，對賬務的核對形同虛設，二是如果僅個別人精通賬務且負責核賬，增加了人為舞弊的風險。三是由于會計信息系統(tǒng)之間相互關聯(lián)，模糊了會計人員與非會計人員的界限，比如信貸業(yè)務經(jīng)審批后可以直接到核心系統(tǒng)進行賬務處理，則信貸人員成為潛在會計人員。

4.授權與責任體系

權限管理是對商業(yè)銀行會計信息系統(tǒng)操作權限的控制，雖然電子化盡量減少人為干預，但人員操作仍是會計信息系統(tǒng)中最重要的因素，人員的權限管理顯得非常重要。

眾所周知，會計差錯及失誤等的發(fā)生頻率很高，但其造成的損失較小，會計舞弊與欺詐發(fā)生的頻率較低，但其造成的損失很大。這就是著名的“巴雷多原則”，即20%的管理漏洞會給企業(yè)帶來損失的80%，而會計風險所具有的正是這種“高頻低損，低頻高損”的特征。究其原因，是由于銀行決策層權限管理的失控。因為后臺管理崗位大多擁有一定的資源權或話語權，在風險形成過程中起到了關鍵作用，很多大案也是在管理權限失控的情況下才發(fā)生的。所以權限管理就顯得很重要，會計系統(tǒng)風險管理的重點領域應是對后臺管理崗位，尤其是關鍵崗位的管理。

三、會計信息系統(tǒng)的風險管理措施

1.風險預測系統(tǒng)的“云安全”策略

在金融領域，商業(yè)銀行應該建設適合自己的風險預測系統(tǒng)?！霸瓢踩北緛硎且粋€防網(wǎng)絡病毒的定義，病毒查殺軟件存在于后臺的服務器端，它像云一樣虛無縹緲，客戶端感覺不到它的存在，但它確實時時刻刻在起著監(jiān)督作用。這個模式對商業(yè)銀行風險預測系統(tǒng)的構建很有啟發(fā)。

首先，應該建立健全商業(yè)銀行信息系統(tǒng)會計風險控制制度，更新風險控制理念。引進在信息系統(tǒng)條件下的風險控制模型與風險控制體系，而不是在原有制度基礎上修修補補。

其次，針對風險產(chǎn)生的關鍵領域進行評估，合理運用量化指標，識別和評估所有銀行產(chǎn)品、活動流程（如賬戶管理，貸款，銀行承兌匯票，網(wǎng)上銀行，自助設備等）中易發(fā)的操作風險，研究急需制定的風險評估問題清單，由風險管理部門和行內專家舉辦研討會，對風險戰(zhàn)略涉及的技術細節(jié)提出明確的解決方案和行動指南。

最后，由開發(fā)部門建立相應的數(shù)據(jù)倉庫，取得相關數(shù)據(jù)，如賬戶交易活動，柜員操作紀錄和各種授信業(yè)務發(fā)生紀錄。管理層在服務器端，通過與內部會計信息系統(tǒng)的順暢連接，從一線高效提取、積累數(shù)據(jù)，向后臺的監(jiān)督層和決策層提供各種自動整理加工后的綜合信息。一旦數(shù)據(jù)庫網(wǎng)絡技術（SQL，ORACLE等）與奔德福定律等統(tǒng)計科學相結合，就可以提高風險的預測效率和質量，同時減少風險預測時間和成本。

目前，我國的各商業(yè)銀行已經(jīng)普遍建立了自己的數(shù)據(jù)倉庫，實行業(yè)務數(shù)據(jù)的集中，在技術上已經(jīng)具備了對業(yè)務信息數(shù)據(jù)進行實時監(jiān)控的條件。如果能建立這樣一個風險預測系統(tǒng)，將有助于幫助那些實際經(jīng)驗不夠豐富，會計專業(yè)知識較為薄弱的管理者和監(jiān)督者提高風險預測的能力和對風險識別的概率。

2.計算機軟硬件的更新與維護

巴林銀行案例給出了明確的啟示，首先要加強商業(yè)銀行電算化信息系統(tǒng)的硬件建設。不僅對硬件所處的物理環(huán)境進行充分重視，對計算機硬件本身的質量也必須充分重視，選擇信譽良好質量過硬并有完善售后服務的廠家，對硬件有后續(xù)更新?lián)Q代的能力。

其次，要加強商業(yè)銀行電算化信息系統(tǒng)的軟件安全控制。軟件質量控制主要在研發(fā)和測試部門，這就要求商業(yè)銀行一定要規(guī)范軟件的開發(fā)和應用，軟件開發(fā)需經(jīng)歷可行性分析、立項、需求分析、編碼處理和測試驗收等階段，軟件的需求不僅要符合產(chǎn)品的需要，也需要滿足風險控制的需要，需求人員要了解一定的計算機知識，以提高需求的質量。研發(fā)與測試人員需要了解一定的業(yè)務和會計知識，使軟件開發(fā)的結果既實現(xiàn)業(yè)務需求又符合風險控制的需要，業(yè)務人員和技術人員要密切配合，將業(yè)務要求與計算機技術相融合，使軟件發(fā)揮出最大的效用并進行有效的風險控制。

3.控制環(huán)境，以人為本

從文化環(huán)境角度而言，要努力培養(yǎng)良好的合規(guī)機制與合規(guī)文化，以人為本，常抓不懈。這是一種無形的力量，也是商業(yè)銀行非常需要的一種手段。

2006年，注冊舞弊審計師協(xié)會（ACFE）的調查表明，內部審計師發(fā)現(xiàn)侵占性舞弊的概率只有20.2%，舞弊由于揭發(fā)而被發(fā)現(xiàn)的概率最高，達到34.2%；Lawrence B.Sawyer（1988）認為，審計人員直接查出舞弊比例為29%，內部相關人員核對發(fā)現(xiàn)舞弊為11%，管理當局發(fā)現(xiàn)為16%，他人告密發(fā)現(xiàn)為36%（曹軍等，2010）。這表明，風險識別的線索有可能來自同事，客戶舉報，內部審計，外部審計和偶然發(fā)現(xiàn)等。一方面，管理當局要從多方面對風險進行識別，另一方面，更說明了會計人文環(huán)境的重要性，要拓寬對風險識別的人文理解。對舞弊者的發(fā)現(xiàn)和檢舉，往往是其朝夕相處的同事，所以說人的因素是相當重要的。從這一意義講，一旦能確定舞弊線索，風險管理部門就可以立即有針對性地實施突擊檢查，從而在節(jié)省時間的情況下，提高發(fā)現(xiàn)問題的概率。因此，我國的四大商業(yè)銀行可以從人文環(huán)境角度探索會計風險管理模式，而中小商業(yè)銀行也要結合自身特點，在人力資源的選擇上，采取簡便有效，符合本行特點的管理措施。

4.流程標準化

第一，建立健全風險控制機構。風險控制機構一般有以下幾項原則：開發(fā)與應用部門分離，業(yè)務辦理事前審批、事中授權、事后監(jiān)督，部門相互約束等。

第二，使各項業(yè)務和管理的流程標準化、精細化。從數(shù)據(jù)處理的角度看，會計業(yè)務流程中的各項活動都體現(xiàn)為一個有序的數(shù)據(jù)處理和信息生成過程，這一過程可以細分為若干部分，每一部分都相對完整，從而構成流程節(jié)點，形成會計崗位，每個會計崗位都有明確的職責要求，所有部分相互聯(lián)系，互相配合，服從于一個統(tǒng)一的目標，形成一個會計活動的有機整體，避免因流程設計不合理而誘發(fā)風險。

第三，注重制度的執(zhí)行力，特別在是前臺柜員人力資源釋放，柜面人員由會計向營銷人員轉型過程中，不能忽視會計操作的風險，各級領導要加強重視，一是避免重任務輕風險控制，二是避免完全依賴計算機處理或過分相信計算機的風險控制能力。

第四，加強人員培訓，提高操作人員素質。銀行的會計操作員一般由金融、會計等專業(yè)的人員構成，對財務專業(yè)知識相對比較了解，對計算機知識存在一定的缺陷，注重商業(yè)銀行業(yè)務人員素質的不斷提高，關鍵是在加強業(yè)務知識培訓的同時，加強計算機相關知識的培訓，使從業(yè)人員具有一定的計算機專業(yè)知識。