计算机辅助审计系统分为现场(通常称审计信息管理系统)和非现场两个部分。审计信息管理系统支持无纸化现场作业流程,实现信息共享与交流以及工作底稿、法律法规等信息管理。非现场审计系统以IDEA(Interactive Data Extraction and Analysis,互动式数据提取及分析软件)为基础,不断开发监测程序。主要模式有三种:建立在传统审计方式基础上的辅助审计过程的应用系统;完全采用国外审计分析工具;建立在国外审计软件基础上的本地化系统。审计信息管理系统和非现场审计系统通过标准接口交换数据、程序可互相调用。近几年,商业银行积极开发、应用计算机辅助审计系统,尤其是非现场审计系统。现对商业银行非现场审计系统做个简单的介绍。 一。定位(如图1所示) 图1 非现场审计系统定位示意图
从图1中咨询、附加值、评估这三个关键词上可以看出:审计应深入地挖掘银行运营上的重大风险,才能与审计职责定位相吻合。非现场审计系统的重点应在于充分利用IT技术,深入挖掘重大风险。首先,审计应采用科学、系统性的方法,帮助企业评估并提高在风险管理、控制以及合规经营上的效率。其次,银行的风险管理、控制及合规体系是由银行的前台和后台系统进行综合管理的,审计作为内部监控体系的最后一道防线,应该对业务和业务部门未关注到的重大风险进行深入的挖掘和分析。 二、包含层面(如图2所示) 图2 非现场审计系统层面示意图
1、数据整理层。非现场审计系统是一个分析系统,它本身不产生数据,其数据源,来自于银行的业务系统和管理系统。数据整理层是将审计所需数据从后台系统导入到非现场审计系统,并进行进一步整理,供审计人员使用。数据整理层的逻辑结构如图3所示。在数据导入数据集市后,系统要对源数据做一系列复杂的映射、分区,产生审计系统的数据采集层和存储层,并与审计处理层、公共控制层和审计功能层对接。非现场审计系统载入数据不是一次性的,是一个根据源系统的变化尤其是审计思路的发展而不断变化的过程,审计思路的变化必然带来新的数据需求,需要系统有可随时导入数据的功能。同时,非现场审计系统是一个综合性的分析系统,从其他后台系统提取所需要的数据,从类别和时间上都远远超过其他系统。目前,一般的业务系统(报表)或管理系统与其他系统的数据接口较规范,从其他系统采集的数据量也比较小,因而通常数据接口比较固定。而在固定的数据接口模式下,是无法实现随时导入数据功能的,必须重新对接口进行开发才能实现。因此,数据整理层应保证非现场审计系统实现以下功能:(1)系统需要从核心、信贷、国际、资金等后台系统抽取审计所需数据,经过整理后导入非现场审计系统。这部分数据的导入在系统稳定的情况下,应可定期自动导入、抽取和导入过程不用人工干预。(2)在后台系统数据结构或流程发生调整、新的后台系统上线、新的审计思路需要新的数据,系统应能方便将这些数据导入并自动生成批量程序。(3)系统应能方便将社会数据、政府公开数据等外部数据导入系统。(4)系统应支持文本、数据库、报表以及PDF等各种格式的多种方式。(5)由于数据的来源多、结构复杂,因而数据格式并不统一,为了统一数据格式以方便审计人员使用,系统必须提供强大的整理功能,它包括字符、符号、字节、数字、日期、时间以及空格等处理功能。(6)系统的所有数据必须统一,以便审计人员可使用所有数据进行综合分析,分析程序也可调用所有数据。 图3 审计系统数据整理示意图
2、数据验证层。非现场审计系统需要的数据来源于业务系统和管理系统,而银行业务系统和管理系统的复杂性,决定其数据结构非常复杂;同时,各系统的数据库字典往往与系统的更新不同步,非现场审计系统从数据源获取的数据正确性不能保证,加大了审计风险。实践证明,如果建立在没有经过业务验证数据基础上的审计结果,大部分将是错误的。因此,从对业务数据等的正确性、完整性和统一性进行验证就特别必要。数据验证层提供了相应的模块,为用户提供数字、字符、日期及时间的统计分布,并提供了最大值、最小值、正值、负值、零值等一系列统计手段,帮助用户对业务数据的真实性、完整性和统一性作出判断。 表1 部分商业银行非现场审计系统比较
3、数据分析层。数据分析层提供可应用在所有库表和字段上的专业分析功能应包括关联、提取、函数、汇总、分区、账龄、查询、重复及抽样等,并且各个分析功能应能自由组合并随时调用,实现审计人员在这个层面能任意对所有的数据进行分析的目标。比如,如果在贷款汇总功能上只能对客户名称或客户号码进行操作,就极大地限制了审计人员的分析空间。为了能够深入挖掘问题线索,可能会对客户地址、电话、关联人、不同时间段甚至邮政编码等进行汇总,这样有可能从各个角度发现业务上的异常。系统要从计算机语言中抽取并组合成审计专用函数集,审计人员通过调用函数,可以完成通常需要编程才可以完成的复杂工作,并且可以共享其他审计人员的经验。由于审计的专业性以及深度挖掘风险的艰巨性,数据分析层的各个分析功能应能随时组合,随时调用。 4、系统应用层。在建立了可随时更新的数据渠道、数据质量的验证以及丰富的分析功能后,审计人员可以任意在该层面建立较为固化的模块,包括监测程序、查询查证、指标分析/预警、内部控制评价等应用功能模块。监测程序是集成各家银行的审计经验,并与实施银行的具体情况相结合,所设计出的各业务条线的监测程序,审计人员可直接使用该监测程序运行出的结果进行现场验证;查询查证是满足审计人员一般性的日常审计工作需要,可方便查询客户、业务以及机构等信息,深入的分析查证可使用分析层面上提供的工具进行;指标分析/预警是以问题为导向,而不应该是绩效或监管指标。新建、删除以及修改是必要的功能,预警程序的设定以系统性的风险为主,不应该替代事后监督系统或者风险管理系统。内部控制评价主要是对部分内部控制作业程序做量化的证据支持,以使得内部控制评价过程趋于合理和科学,而完整的内部控制评价模板应在审计管理信息平台实现。系统应用层的功能主要是满足审计的日常分析工作,整合目前已知的审计经验,核心应该是以业务为中心、以专业和准确为重点。用户可自主新增、修改或删除该层面的内容。需要注意的是,该层面的建设应以资深审计人员为主,切忌单纯从技术的角度去设计程序和模块,不能真正地挖掘风险和满足需求。