陳媛

〔內(nèi)容提要〕 當前，銀行業(yè)務(wù)范圍迅猛發(fā)展和業(yè)務(wù)種類的不斷創(chuàng)新以及風險防控的需要，使得銀行內(nèi)部審計工作面臨更大的挑戰(zhàn)。因此，開發(fā)建設(shè)一套包括非現(xiàn)場審計、現(xiàn)場審計的審計管理系統(tǒng)已成為當務(wù)之急。本文針對銀行審計系統(tǒng)的開發(fā)與設(shè)計進行了闡述和探討，并提出相關(guān)改進思路。

〔關(guān)鍵詞〕 審計系統(tǒng) 開發(fā)設(shè)計 銀行

一、審計系統(tǒng)概述

審計系統(tǒng)是外部審計機構(gòu)和內(nèi)部審計機構(gòu)及其從業(yè)人員通過計算機遠程訪問、采集被審計單位的相關(guān)業(yè)務(wù)數(shù)據(jù)資料，按照一定的方法、步驟和程序，利用現(xiàn)代輔助審計工具檢查和評價被審計單位相關(guān)資料及其所反映的經(jīng)濟活動的真實性、合規(guī)性、合法性、效益性以及內(nèi)部控制的合規(guī)性、完整性、健全性和有效性。

審計系統(tǒng)可以通過獲取被審計單位原始數(shù)據(jù)，實現(xiàn)以“實時預(yù)警（T+0）”、事中、事后非現(xiàn)場審計與現(xiàn)場審計相結(jié)合的指標監(jiān)測與分析、風險預(yù)警監(jiān)測、預(yù)警處置、業(yè)務(wù)追蹤、審計查詢查證、審計項目管理、審計流程控制、審計問題整改與追責管理、風險評估、內(nèi)部控制審計、審計事項審批管理、審計質(zhì)量評估與控制等審計工作的全面輔助應(yīng)用功能，能夠有效提高金融機構(gòu)風險管理水平和風險監(jiān)控能力，從而防范和化解各類風險隱患。

二、開發(fā)設(shè)計審計系統(tǒng)的現(xiàn)實意義

1.對審計工作的影響。一是規(guī)范審計流程。促使審計人員操作規(guī)范化、專業(yè)化，彌補一線審計人員專業(yè)能力不足的弊端。二是海量擴充審計廣度。由現(xiàn)場隨機抽樣變?yōu)榉乾F(xiàn)場系統(tǒng)自動詳查，篩選出風險樣本作為現(xiàn)場審計的重點。三是持續(xù)性擴充審計深度。通過不間斷地建立和更新風險模型，自動跑批，持續(xù)性發(fā)掘重大風險點作為現(xiàn)場審計的重點。

2.對內(nèi)部控制績效考核的影響。一是對經(jīng)營機構(gòu)內(nèi)部控制績效評價及考核更加全面。操作層面、條線層面、合規(guī)風險管理層面、審計層面都可以通過同一個內(nèi)部控制評價平臺實施檢查，全方位對經(jīng)營機構(gòu)進行內(nèi)部控制績效評價，評價的全面性得到有效提升。二是對管理部門內(nèi)部控制績效評價及考核更加科學。條線層面、合規(guī)風險管理層面自查及審計層面檢查也都可以通過同一個內(nèi)部控制評價平臺實施，系統(tǒng)整合各方結(jié)果，對管理部門和管理人員進行全面內(nèi)部控制績效評價。三是實現(xiàn)內(nèi)部控制績效評價違規(guī)處理的強制性。實現(xiàn)強制性形成評價結(jié)果、強制性扣款、強制性評級等，減少人為干擾因素。

3.對經(jīng)營機構(gòu)和管理部門的影響。該系統(tǒng)不僅是負責第三道防線的審計系統(tǒng)，同時也是一道防線、二道防線內(nèi)部控制管理系統(tǒng)。系統(tǒng)負責篩選風險點，一道防線、二道防線負責處理這些風險點，大幅度地減少了一道防線、二道防線排查這些風險點的工作量，將風險及時、有效地控制在萌芽狀態(tài)，使經(jīng)營機構(gòu)集中精力開展經(jīng)營工作。

4.對商業(yè)銀行信用風險的影響。深入了解貸款客戶資金和經(jīng)營動態(tài)，通過外部數(shù)據(jù)引用建立客戶關(guān)聯(lián)關(guān)系網(wǎng)絡(luò)，增加銀行風險控制信息來源，實現(xiàn)信息對稱，實質(zhì)性提高對重大風險的預(yù)警能力，有效降低貸款客戶的道德風險。

三、審計系統(tǒng)的建設(shè)目標

1.積極推動信息技術(shù)國家標準的廣泛應(yīng)用。

2.為組織和實施IT審計國家標準奠定基礎(chǔ)。

3.有助于傳統(tǒng)審計人員及IT從業(yè)人員的職業(yè)轉(zhuǎn)型及能力提升，全面實現(xiàn)IT審計的標準化、專業(yè)化及規(guī)范化。

4.培養(yǎng)審計從業(yè)人員熟練掌握IT審計內(nèi)容，成為具有IT審計專業(yè)技能的人才。

5.規(guī)范IT審計組織及從業(yè)人員按標準實施IT審計業(yè)務(wù)，規(guī)范組織的IT治理與管理，完善IT內(nèi)部控制，降低因IT引發(fā)的各種風險。

四、審計系統(tǒng)開發(fā)設(shè)計的功能

通過對系統(tǒng)建設(shè)目標和用戶業(yè)務(wù)需求的理解，可將系統(tǒng)分為三大類功能，共九大平臺。

1.基礎(chǔ)支持應(yīng)用。一是系統(tǒng)管理平臺。前臺功能正常運行的必要基礎(chǔ)并提供系統(tǒng)管理員前臺運行維護功能，使用對象主要是信息技術(shù)人員或系統(tǒng)管理員。二是知識管理平臺。主要實現(xiàn)與審計工作有關(guān)的各類信息的匯集并支持查詢。

2.審計業(yè)務(wù)應(yīng)用。一是非現(xiàn)場審計平臺。實現(xiàn)風險指標、事件線索自動化預(yù)警，利用查證工具結(jié)合審計工作人員的業(yè)務(wù)經(jīng)驗，多角度、多層次對風險線索進行排查及追蹤分析，支持設(shè)計、測試、投產(chǎn)等規(guī)則的全生命周期的管理，包括數(shù)據(jù)采集管理、指標監(jiān)測與分析、模型定制管理、風險監(jiān)測、查詢查證分析等核心功能。二是現(xiàn)場審計平臺。包括審計（檢查）流程管理、審計（檢查）項目管理、審計（檢查）流程設(shè)置、程序?qū)徲嫞z查）管理、項目評價及檔案管理等功能。三是問題管理平臺和風險評估平臺。能夠?qū)Ψ乾F(xiàn)場審計監(jiān)控、現(xiàn)場審計（檢查）和外部審計（檢查）發(fā)現(xiàn)的問題進行下發(fā)、整改、跟蹤，并進行匯總、梳理、比較、分析和問責處理。主要提供問題詞條管理、問題庫管理、問題整改跟蹤、違規(guī)積分管理、定期風險評估報告、后續(xù)審計等功能。四是內(nèi)部控制評價平臺。根據(jù)監(jiān)管機構(gòu)要求以及銀行自身風險內(nèi)部控制目標，建立全行范圍的（包括總行、分行、支行三個層面）內(nèi)部控制審計體系，提供靈活制定內(nèi)部控制審計規(guī)范與標準，自動實現(xiàn)各個被評價機構(gòu)及被審計對象的的量化評級，展現(xiàn)銀行各機構(gòu)的風險分布和趨勢，促進全面風險管理目標的實現(xiàn)。

3.輔助辦公應(yīng)用。一是審計質(zhì)量評估與控制平臺。主要運用問卷調(diào)查、訪談、現(xiàn)場查閱文檔等方法對內(nèi)部審計工作質(zhì)量進行評估。主要包括評估準備、現(xiàn)場評估、評估報告及評估要素維護等。二是統(tǒng)計分析平臺。可為商業(yè)銀行審計工作人員提供各類業(yè)務(wù)信息、審計結(jié)果信息、審計管理信息等的信息的綜合查詢與分析功能。系統(tǒng)在完成風險監(jiān)測預(yù)警、查證識別、跟蹤處理及確認之后，可支持商業(yè)銀行對業(yè)務(wù)風險類型和分布進行歸類分析。三是個人審計工作臺。待辦事項、信息查詢、個人信息管理、信息展現(xiàn)、日程記事、審批流程等。打造每個用戶的個人辦公平臺，并與行內(nèi)OA系統(tǒng)、短信平臺關(guān)聯(lián)使用。

五、項目總體設(shè)計要求

1.建設(shè)原則。項目總體設(shè)計應(yīng)堅持統(tǒng)一性和先進性相結(jié)合、標準化和開放性相結(jié)合、靈活性和可維護性相結(jié)合、兼容性和安全性相結(jié)合。

2.邏輯架構(gòu)。整個系統(tǒng)的邏輯架構(gòu)如下：一是應(yīng)用管理中心。應(yīng)用控制的一個后臺管理平臺，包括應(yīng)用管理控制系統(tǒng)和數(shù)據(jù)處理控制工具兩部分。二是審計應(yīng)用。系統(tǒng)對外的核心部分，提供審計人員進行一系列審計及其相關(guān)活動的接口。三是元數(shù)據(jù)。描述數(shù)據(jù)信息的數(shù)據(jù)，用于建立、管理、維護和使用系統(tǒng)。

3.審計系統(tǒng)安全設(shè)計要求。審計系統(tǒng)的持續(xù)、安全運行對其功效和目標的實現(xiàn)起著決定性作用，因此審計系統(tǒng)的應(yīng)用安全設(shè)計應(yīng)重點關(guān)注以下六個方面：一是訪問安全。系統(tǒng)禁止未經(jīng)認證和授權(quán)的訪問行為。二是控制安全。用戶在系統(tǒng)內(nèi)的所有操作行為都受到安全體系的嚴格控制，防止用戶超越自身權(quán)限行為的發(fā)生。三是數(shù)據(jù)安全。系統(tǒng)內(nèi)的業(yè)務(wù)數(shù)據(jù)受到全面的保護，防止敏感數(shù)據(jù)泄露的事件發(fā)生。四是后追蹤。用戶在系統(tǒng)內(nèi)的所有操作和數(shù)據(jù)訪問行為都會留下痕跡，以便追蹤和監(jiān)控整個系統(tǒng)的使用情況。五是管理層安全。對人員的管理和對安全制度的管理。六是系統(tǒng)運維安全。包括對登錄用戶的監(jiān)控、ETL處理的監(jiān)控、審計任務(wù)監(jiān)控，系統(tǒng)提供豐富的權(quán)限控制機制和完備的權(quán)限控制體系。

（作者單位：海城市騰鰲鎮(zhèn)農(nóng)村經(jīng)營管理站）

責任編輯：梁 欣