現(xiàn)代信息技術(shù)已普遍應用于商業(yè)銀行的所有機構(gòu)，并涵蓋其業(yè)務和過程。審計機關(guān)目前應用的主要金融審計模式是數(shù)據(jù)式審計，即對商業(yè)銀行靜態(tài)數(shù)據(jù)進行分析和測試。從審計實踐來看，這種審計方式由于缺乏對系統(tǒng)的控制而不能保障電子數(shù)據(jù)的唯一性、完整性和準確性，無法從根本上有效控制被審計單位的電子數(shù)據(jù)質(zhì)量；從發(fā)展趨勢來看，數(shù)據(jù)式審計方式由于過分關(guān)注數(shù)據(jù)本身而缺乏對系統(tǒng)整體的分析，難以控制總體審計風險，其局限性正逐漸顯露出來。為有效解決上述問題，審計機關(guān)應當盡快對商業(yè)銀行開展信息系統(tǒng)審計。

　　一、商業(yè)銀行信息系統(tǒng)的特點、架構(gòu)與一般業(yè)務流程

　　（一）商業(yè)銀行信息系統(tǒng)的特點

　　現(xiàn)代商業(yè)銀行的信息系統(tǒng)一般具有下列特點：系統(tǒng)結(jié)構(gòu)復雜，對硬件、軟件的質(zhì)量和安全性能要求高；數(shù)據(jù)量大（各行數(shù)據(jù)普遍實行總行大集中）；本外幣一體化的統(tǒng)一會計核算方式；以客戶為中心、面向服務的設(shè)計理念；衍生金融新產(chǎn)品多；業(yè)務實時性強，支持24小時服務等。目前，商業(yè)銀行系統(tǒng)中業(yè)務網(wǎng)操作系統(tǒng)基本是UNIX操作系統(tǒng)，辦公網(wǎng)基本是WINDOWS操作系統(tǒng)，并根據(jù)不同類型的操作系統(tǒng)配備相應的客戶端防病毒系統(tǒng)；網(wǎng)上銀行、電子商務、網(wǎng)上交易系統(tǒng)都是通過INTERNET公網(wǎng)。另外，銀行的中間代理業(yè)務需要同相關(guān)單位的局域網(wǎng)互聯(lián)。商業(yè)銀行業(yè)務系統(tǒng)基本采用Client/Server模式，并配備相應的備份與災難恢復系統(tǒng)。

　?。ǘ┥虡I(yè)銀行信息系統(tǒng)的框架結(jié)構(gòu)

　　商業(yè)銀行信息系統(tǒng)一般可分為信息管理類系統(tǒng)、渠道類系統(tǒng)和外部清算結(jié)算類系統(tǒng)。信息管理類系統(tǒng)與決策、管理和業(yè)務相關(guān)，以提高效率和規(guī)避風險為目的，主要有貸款系統(tǒng)、授權(quán)和授信系統(tǒng)、征信系統(tǒng)、客戶管理系統(tǒng)、數(shù)據(jù)倉庫系統(tǒng)、資產(chǎn)負債管理系統(tǒng)、辦公自動化系統(tǒng)、后督系統(tǒng)、檔案系統(tǒng)（票據(jù)影像縮微系統(tǒng)和光學字符識別OCR）、數(shù)字終端錄像系統(tǒng)、數(shù)字視頻監(jiān)控系統(tǒng)等。渠道類系統(tǒng)是商業(yè)銀行面向市場和客戶的窗口，也是對外服務使用的載體，包括人工渠道、電子渠道和第三方渠道。人工渠道有柜面服務和職能部門的業(yè)務終端（例如會計帳查詢系統(tǒng)、信貸審批系統(tǒng)等）；電子渠道分為自助服務系統(tǒng)（電話銀行、手機銀行、網(wǎng)上銀行和企業(yè)銀行）和自助服務終端（ATM和POS）；第三方渠道包括銀聯(lián)交易、區(qū)域性通存通兌和同城跨行通存通兌等。外部清算結(jié)算類系統(tǒng)是指有外部接口的系統(tǒng)，包括行間資金轉(zhuǎn)賬系統(tǒng)SHIFT（主要有大額清算系統(tǒng)、小額清算系統(tǒng)、區(qū)域性專項業(yè)務清算系統(tǒng)）、同城交換系統(tǒng)、央行往來清算系統(tǒng)、同業(yè)往來清算系統(tǒng)和第三方存管清算系統(tǒng)。

　?。ㄈ┥虡I(yè)銀行核心業(yè)務系統(tǒng)一般流程

　　商業(yè)銀行信息系統(tǒng)有業(yè)務核心系統(tǒng)和外圍系統(tǒng)兩部分。業(yè)務核心系統(tǒng)主要包括存款系統(tǒng)、貸款系統(tǒng)、國際業(yè)務系統(tǒng)、支付清算系統(tǒng)、資金交易系統(tǒng)和衍生業(yè)務系統(tǒng)等，其余為外圍系統(tǒng)，主要包括內(nèi)部后臺系統(tǒng)和連接外部系統(tǒng)兩部分。業(yè)務核心系統(tǒng)一般分為基礎(chǔ)支持、業(yè)務處理和管理分析三個部分，基礎(chǔ)支持是指依據(jù)核心業(yè)務支撐平臺（數(shù)據(jù)邏輯和數(shù)據(jù)），來完成基本指令（包括賬務體系、權(quán)限和機構(gòu)管理等）；業(yè)務處理是指商業(yè)銀行各應用系統(tǒng)完成核心業(yè)務邏輯，包括相關(guān)的各類銀行業(yè)務（如存款、信貸、結(jié)售匯和柜面服務等）；管理分析包括會計報表和資產(chǎn)負債管理系統(tǒng)。

　　商業(yè)銀行核心業(yè)務一般流程是由“客戶”依次到“柜面服務人員”、“中間業(yè)務平臺”和“銀行中心機房”，再由“銀行中心機房”依次返回到“客戶”的雙向循環(huán)。商業(yè)銀行通常以業(yè)務核心系統(tǒng)為中心，外圍系統(tǒng)可以直接與核心系統(tǒng)通訊，也可以通過中間代理系統(tǒng)與核心系統(tǒng)通訊。

　　二、傳統(tǒng)金融審計方式的局限性

　　由于受多種因素影響，傳統(tǒng)金融審計目前仍停留在查錯糾弊階段。隨著商業(yè)銀行信息化程度的普及和管理水平的提高，這種審計方式的缺陷和弊端逐漸顯露出來，難以適應形勢發(fā)展的客觀需要。

　?。ㄒ唬o法科學評價商業(yè)銀行總體經(jīng)營狀況的真實性、合法性和效益性

　　由于商業(yè)銀行信息系統(tǒng)的復雜性及海量數(shù)據(jù)在總行大集中等因素影響，審計機關(guān)現(xiàn)有的審計技術(shù)與方法尚無法對商業(yè)銀行的會計報表與原始電子數(shù)據(jù)的一致性作出準確地判斷，無法核實商業(yè)銀行整體經(jīng)營成果的真實性；由于受人力、時間、設(shè)備以及審計技術(shù)等因素影響，審計機關(guān)難以對商業(yè)銀行整體經(jīng)營的合法性和效益性進行科學評價。從審計實踐來看，審計機關(guān)對商業(yè)銀行的審計結(jié)果只能回答哪些方面存在問題，而無法保證是否遺漏重大違法違規(guī)問題。另外，審計署《審計機關(guān)審計質(zhì)量控制辦法（試行）》規(guī)定要求對被審計單位進行審計評價，而各級審計機關(guān)通常的做法是根據(jù)查出問題多少和嚴重程度來作為評價基礎(chǔ)，缺乏更加直接的審計證據(jù)支持，評價內(nèi)容比較籠統(tǒng)，評價依據(jù)缺乏嚴謹性和科學性。

　?。ǘo法保證所采集的電子數(shù)據(jù)的唯一性、完整性和準確性

　　由于商業(yè)銀行信息系統(tǒng)設(shè)計開發(fā)缺陷或者手工輸入錯誤等原因，系統(tǒng)中的數(shù)據(jù)質(zhì)量可能會存在問題，數(shù)據(jù)重復與冗余、數(shù)據(jù)不完整或缺失等現(xiàn)象會時有發(fā)生。這種情況在單數(shù)據(jù)源的情況下相對容易解決，但在多數(shù)據(jù)源集成時，如果不加以糾正會使數(shù)據(jù)失真情況放大。因此，直接采集的被審單位的審計數(shù)據(jù)不一定能夠完全滿足審計需求，要對存在質(zhì)量問題的電子數(shù)據(jù)進行清理。由于商業(yè)銀行數(shù)據(jù)過于龐大及其特殊的安全性要求，審計機關(guān)通常依賴于被審單位的設(shè)備和技術(shù)支持，無法關(guān)注程序中源代碼的邏輯錯誤，無法檢查信息系統(tǒng)的輸入輸出控制，無法解決非法嵌入舞弊程序而篡改數(shù)據(jù)問題。因此，就無法保證所采集電子數(shù)據(jù)的唯一性、完整性和準確性，“假電子數(shù)據(jù)真審”的現(xiàn)象就難以避免。近年來的審計中，被審單位提供數(shù)據(jù)時常不及時、不完整和不準確。例如，2007年在審計某商業(yè)銀行“××理財業(yè)務”時，該行會計和業(yè)務部門對同一業(yè)務提供的數(shù)據(jù)不一致、不準確且有明顯的篩選和過濾情況（最終通過比較數(shù)據(jù)差異發(fā)現(xiàn)賬外經(jīng)營問題），給審計工作的開展造成了很大的障礙。

　　（三）難以做到審計方法的全面性、統(tǒng)一性和系統(tǒng)性

　　審計機關(guān)對商業(yè)銀行的審計目標是全面性、統(tǒng)一性和系統(tǒng)性。通過對商業(yè)銀行信息系統(tǒng)的特點、架構(gòu)與一般業(yè)務流程的了解，我們會發(fā)現(xiàn)，審計機關(guān)目前對商業(yè)銀行的審計所涉及的范圍和內(nèi)容還比較狹窄，具有很大的局限性。在實施審計過程中，受人員少和時間短等因素影響，往往不能進行全面性、系統(tǒng)性審計，審計的內(nèi)容僅包括對公存款業(yè)務、信貸業(yè)務、中間業(yè)務、國際業(yè)務和會計管理業(yè)務等，并在此基礎(chǔ)上有選擇地進行重點抽查審計。在執(zhí)行具體審計實施方案時，因側(cè)重點不同也缺乏統(tǒng)一性。因此，現(xiàn)有審計技術(shù)與方法無法保證對商業(yè)銀行進行全面性、統(tǒng)一性和系統(tǒng)性的審計。

　　三、對商業(yè)銀行開展信息系統(tǒng)審計的必要性

　?。ㄒ唬┠軌蚯袑嵓訌妼ι虡I(yè)銀行內(nèi)控制度的監(jiān)管

　　內(nèi)部制度失控是商業(yè)銀行目前面臨的最大風險。商業(yè)銀行系統(tǒng)的合法使用者或系統(tǒng)管理人員由于誤操作或故意違規(guī)，以及利用系統(tǒng)缺陷非法攻擊等行為，致使系統(tǒng)數(shù)據(jù)篡改、泄露秘密、資產(chǎn)遭受損失。商業(yè)銀行內(nèi)部人員的主觀故意違法行為會給銀行經(jīng)營安全帶來巨大的災難。例如，2005年中國銀行哈爾濱分行河松街支行原行長高山內(nèi)外勾結(jié)金融詐騙客戶存款10億元；2001年中國銀行廣東開平分行前后三任行長在長達十年多的時間里向海外非法轉(zhuǎn)移資金近40億元等案件，均由于內(nèi)控完全失效給銀行造成了重大損失。在信息系統(tǒng)審計方式下，審計機關(guān)通過系統(tǒng)運行控制審計和系統(tǒng)訪問控制審計等技術(shù)方法，比較容易發(fā)現(xiàn)商業(yè)銀行內(nèi)控制度漏洞和管理存在的薄弱環(huán)節(jié)，能夠有針對性地加強對商業(yè)銀行內(nèi)控制度的監(jiān)管。

　?。ǘ┠軌蛴行У匕l(fā)現(xiàn)和防范金融審計風險

　　由于商業(yè)銀行的業(yè)務都要在信息系統(tǒng)中操作，故其所有的操作都會在系統(tǒng)中產(chǎn)生動態(tài)或靜態(tài)的痕跡，操作行為與痕跡之間必然會存在相應的關(guān)系。因此，對商業(yè)銀行開展信息系統(tǒng)審計，以操作行為的正常規(guī)律與規(guī)則為依據(jù)，對相關(guān)痕跡進行分析，可以識別和發(fā)現(xiàn)商業(yè)銀行在運行過程中存在的各種不當操作與非法操作，通過對一般具有顯著特征的不合理行為和重大異常點的有效甄別，能夠識別影響商業(yè)銀行生存與發(fā)展的重大異常和風險事件，最終也必然會發(fā)現(xiàn)違法違規(guī)問題和大案要案線索。與傳統(tǒng)的商業(yè)銀行審計方法相比，信息系統(tǒng)審計因為對應用過程能夠進行有效控制而能夠更廣泛、更有效地發(fā)現(xiàn)和防范金融風險。隨著審計技術(shù)水平的提高，甚至可以通過系統(tǒng)審計軟件對商業(yè)銀行的異常交易進行實時監(jiān)控審計，最大限度地降低審計風險。

　?。ㄈ┠軌驗閲液暧^經(jīng)濟政策提供更加有效的依據(jù)

　　隨著國內(nèi)金融市場完全對外開放，國家審計應當從更廣泛的角度關(guān)注國家金融穩(wěn)定與安全，為決策者提供更有說服力的審計報告。最近美國次貸風波和美元持續(xù)走軟，熱錢流入和股市暴漲暴跌，貨幣供應量增長與流動性過剩等，已經(jīng)對我國經(jīng)濟產(chǎn)生了重大的影響，CPI居高不下，國內(nèi)通脹趨勢越來越嚴重。審計機關(guān)通過開展信息系統(tǒng)審計，對重點地區(qū)相關(guān)金融機構(gòu)的信息進行分析與監(jiān)測，可以發(fā)現(xiàn)導致上述現(xiàn)象的深層次影響因素，為國家宏觀決策提供客觀依據(jù)。

　　綜上所述，審計機關(guān)對商業(yè)銀行開展信息系統(tǒng)審計已勢在必行。由于我國開展信息系統(tǒng)審計起步較晚，現(xiàn)階段對商業(yè)銀行開展信息系統(tǒng)審計要克服畏難情緒和畏懼心理，緊緊圍繞國家金融審計總體目標，結(jié)合實際情況，有選擇地開展信息系統(tǒng)生命周期審計、信息系統(tǒng)安全控制審計和信息系統(tǒng)應用控制審計等。通過不斷的審計探索與實踐，盡快完善和提高商業(yè)銀行信息系統(tǒng)審計的技術(shù)與方法，更好地履行憲法和法律賦予審計機關(guān)的職責，充分發(fā)揮劉家義審計長提出的審計機關(guān)應當作為經(jīng)濟社會運行“免疫系統(tǒng)”的作用。