论银行审计系统的开发与设计

陈媛

〔内容提要〕 当前，银行业务范围迅猛发展和业务种类的不断创新以及风险防控的需要，使得银行内部审计工作面临更大的挑战。因此，开发建设一套包括非现场审计、现场审计的审计管理系统已成为当务之急。本文针对银行审计系统的开发与设计进行了阐述和探讨，并提出相关改进思路。

〔关键词〕 审计系统 开发设计 银行

一、审计系统概述

审计系统是外部审计机构和内部审计机构及其从业人员通过计算机远程访问、采集被审计单位的相关业务数据资料，按照一定的方法、步骤和程序，利用现代辅助审计工具检查和评价被审计单位相关资料及其所反映的经济活动的真实性、合规性、合法性、效益性以及内部控制的合规性、完整性、健全性和有效性。

审计系统可以通过获取被审计单位原始数据，实现以“实时预警（T+0）”、事中、事后非现场审计与现场审计相结合的指标监测与分析、风险预警监测、预警处置、业务追踪、审计查询查证、审计项目管理、审计流程控制、审计问题整改与追责管理、风险评估、内部控制审计、审计事项审批管理、审计质量评估与控制等审计工作的全面辅助应用功能，能够有效提高金融机构风险管理水平和风险监控能力，从而防范和化解各类风险隐患。

二、开发设计审计系统的现实意义

1.对审计工作的影响。一是规范审计流程。促使审计人员操作规范化、专业化，弥补一线审计人员专业能力不足的弊端。二是海量扩充审计广度。由现场随机抽样变为非现场系统自动详查，筛选出风险样本作为现场审计的重点。三是持续性扩充审计深度。通过不间断地建立和更新风险模型，自动跑批，持续性发掘重大风险点作为现场审计的重点。

2.对内部控制绩效考核的影响。一是对经营机构内部控制绩效评价及考核更加全面。操作层面、条线层面、合规风险管理层面、审计层面都可以通过同一个内部控制评价平台实施检查，全方位对经营机构进行内部控制绩效评价，评价的全面性得到有效提升。二是对管理部门内部控制绩效评价及考核更加科学。条线层面、合规风险管理层面自查及审计层面检查也都可以通过同一个内部控制评价平台实施，系统整合各方结果，对管理部门和管理人员进行全面内部控制绩效评价。三是实现内部控制绩效评价违规处理的强制性。实现强制性形成评价结果、强制性扣款、强制性评级等，减少人为干扰因素。

3.对经营机构和管理部门的影响。该系统不仅是负责第三道防线的审计系统，同时也是一道防线、二道防线内部控制管理系统。系统负责筛选风险点，一道防线、二道防线负责处理这些风险点，大幅度地减少了一道防线、二道防线排查这些风险点的工作量，将风险及时、有效地控制在萌芽状态，使经营机构集中精力开展经营工作。

4.对商业银行信用风险的影响。深入了解贷款客户资金和经营动态，通过外部数据引用建立客户关联关系网络，增加银行风险控制信息来源，实现信息对称，实质性提高对重大风险的预警能力，有效降低贷款客户的道德风险。

三、审计系统的建设目标

1.积极推动信息技术国家标准的广泛应用。

2.为组织和实施IT审计国家标准奠定基础。

3.有助于传统审计人员及IT从业人员的职业转型及能力提升，全面实现IT审计的标准化、专业化及规范化。

4.培养审计从业人员熟练掌握IT审计内容，成为具有IT审计专业技能的人才。

5.规范IT审计组织及从业人员按标准实施IT审计业务，规范组织的IT治理与管理，完善IT内部控制，降低因IT引发的各种风险。

四、审计系统开发设计的功能

通过对系统建设目标和用户业务需求的理解，可将系统分为三大类功能，共九大平台。

1.基础支持应用。一是系统管理平台。前台功能正常运行的必要基础并提供系统管理员前台运行维护功能，使用对象主要是信息技术人员或系统管理员。二是知识管理平台。主要实现与审计工作有关的各类信息的汇集并支持查询。

2.审计业务应用。一是非现场审计平台。实现风险指标、事件线索自动化预警，利用查证工具结合审计工作人员的业务经验，多角度、多层次对风险线索进行排查及追踪分析，支持设计、测试、投产等规则的全生命周期的管理，包括数据采集管理、指标监测与分析、模型定制管理、风险监测、查询查证分析等核心功能。二是现场审计平台。包括审计（检查）流程管理、审计（检查）项目管理、审计（检查）流程设置、程序审计（检查）管理、项目评价及档案管理等功能。三是问题管理平台和风险评估平台。能够对非现场审计监控、现场审计（检查）和外部审计（检查）发现的问题进行下发、整改、跟踪，并进行汇总、梳理、比较、分析和问责处理。主要提供问题词条管理、问题库管理、问题整改跟踪、违规积分管理、定期风险评估报告、后续审计等功能。四是内部控制评价平台。根据监管机构要求以及银行自身风险内部控制目标，建立全行范围的（包括总行、分行、支行三个层面）内部控制审计体系，提供灵活制定内部控制审计规范与标准，自动实现各个被评价机构及被审计对象的的量化评级，展现银行各机构的风险分布和趋势，促进全面风险管理目標的实现。

3.辅助办公应用。一是审计质量评估与控制平台。主要运用问卷调查、访谈、现场查阅文档等方法对内部审计工作质量进行评估。主要包括评估准备、现场评估、评估报告及评估要素维护等。二是统计分析平台。可为商业银行审计工作人员提供各类业务信息、审计结果信息、审计管理信息等的信息的综合查询与分析功能。系统在完成风险监测预警、查证识别、跟踪处理及确认之后，可支持商业银行对业务风险类型和分布进行归类分析。三是个人审计工作台。待办事项、信息查询、个人信息管理、信息展现、日程记事、审批流程等。打造每个用户的个人办公平台，并与行内OA系统、短信平台关联使用。

五、项目总体设计要求

1.建设原则。项目总体设计应坚持统一性和先进性相结合、标准化和开放性相结合、灵活性和可维护性相结合、兼容性和安全性相结合。

2.逻辑架构。整个系统的逻辑架构如下：一是应用管理中心。应用控制的一个后台管理平台，包括应用管理控制系统和数据处理控制工具两部分。二是审计应用。系统对外的核心部分，提供审计人员进行一系列审计及其相关活动的接口。三是元数据。描述数据信息的数据，用于建立、管理、维护和使用系统。

3.审计系统安全设计要求。审计系统的持续、安全运行对其功效和目标的实现起着决定性作用，因此审计系统的应用安全设计应重点关注以下六个方面：一是访问安全。系统禁止未经认证和授权的访问行为。二是控制安全。用户在系统内的所有操作行为都受到安全体系的严格控制，防止用户超越自身权限行为的发生。三是数据安全。系统内的业务数据受到全面的保护，防止敏感数据泄露的事件发生。四是后追踪。用户在系统内的所有操作和数据访问行为都会留下痕迹，以便追踪和监控整个系统的使用情况。五是管理层安全。对人员的管理和对安全制度的管理。六是系统运维安全。包括对登录用户的监控、ETL处理的监控、审计任务监控，系统提供丰富的权限控制机制和完备的权限控制体系。

（作者单位：海城市腾鳌镇农村经营管理站）

责任编辑：梁 欣