一、資訊化下中小商業銀行的內部審計現狀
2006年6月銀監會制訂了《銀行業金融機構內部審計指引》,規定商業銀行應建立內部審計作爲內部控制的重要組成部分,內部審計工作旨在審查評價並改善商業銀行經營活動、內部控制、風險活動以及公司的治理效果,推動商業銀行的穩健經營與發展。迅速發展的網上銀行、手機銀行等業務在給中小商業銀行帶來發展機遇的同時,也給銀行帶來了一系列新的風險。與網上銀行、手機銀行相關的案件、客戶糾紛持續上升,對銀行的資產安全、聲譽產生了不良影響,同時也給內審部門帶來了新的課題。2013年,銀監會將資訊科技納入監管評級體系,正式印發了《商業銀行資訊科技監管評級內部規程》和《銀行業金融機構資訊科技外包風險監管指引》,以評級約束強化資訊科技監管效能,提升商業銀行資訊科技風險管控意識。從相關披露來看,對於資訊化程度較高的中小商業銀行,均將“資訊科技”風險納入到內部審計的重點工作領域,透過風險評估、內部專項審計、專項檢查等手段深挖資訊科技風險隱患,並針對發現的問題積極整改,同時加強基礎設施建設、資訊系統建設,強化內部管理。
二、資訊化下中小商業銀行內部審計面臨的風險
1.資訊系統本身帶來的審計風險
資訊化提高了銀行業務處理的速率,加快了銀行數據處理、集中、縫隙的速度,但同時也存在着銀行數據或者審計數據被盜用、泄露的可能性。資訊系統本身的某些特定程序被惡意修改、不法分子攻擊網站套取利益、利用非法手段進行資金轉移等案件屢見不鮮,這些給客戶和銀行帶來了巨大損失,如果審計人員沒在第一時間審計出系統本身的固有風險,將會使審計工作走入誤區,給出不恰當的審計意見。由此可見,資訊系統本身的穩定性和安全性是內部審計工作所要面對的困難之一。
2.創新金融產品、金融電子化帶來的審計風險
如上所說,商業銀行創新金融產品、網上銀行、手機銀行等業務給內部審計工作帶來了新的挑戰,主要原因在於:
(1)創新金融產品很多都是針對不同的客戶開發的,產品不具有同質性,審計起來耗時巨大;很多金融產品的結構複雜,內部審計人員沒有專門的知識,無法進行深入審計。
(2)對網上銀行、手機銀行等網絡風險認識不夠,對其風險僅停留在對內部人員舞弊的審計方面,忽視外部客戶操作風險、系統本身風險以及法律風險。
(3)網上銀行、手機銀行等電子銀行業務缺乏專業人才。內部審計人員可能只是在整體業務流程層面有所瞭解,對於資訊系統結構、程序等方面的知識能力不足。
三、對策和建議
1.防控系統風險,建立風險防控體系
首先,及時完善資訊技術風險監管方面的法律法規。商業銀行資訊技術風險相關的法律法規的建立落後於資訊技術的發展及金融產品的更新。其次,建立完整的資訊技術監管指標體系及風險預警系統。透過建立監管指標體系及風險性預警系統來加強資訊科技審計力度,逐步實現資訊科技內部審計常態化。最後,規範科技外包服務管理與建設獨立的項目開發與測試團隊並重,有效降低資訊科技風險。
2.加強內部審計部門建設
中小商業銀行應提升內審人員培訓及人才引進、人才儲備,保證資訊科技審計的開展。提升內審人員素質是資訊科技審計的.關鍵,只有具備較高的會計理論水平、實踐工作能力、過硬的技術手段才能發現問題、得出恰當的審計結論,解決問題。加強中小銀行內部審計資訊系統的構建,強化內控制度建設。一方面加強一般控制,對系統的有效運營提供支援和維護,透過相關專家級內審人員配合,審查資訊系統中的操作控制、系統軟件的控制;另一方面,加強系統的操作控制,對相關資訊的輸入、執行、輸出進行控制,建立嚴密的內控控制制度,對系統的執行做出評價,保證審計數據的準確性。利用內部審計資訊系統,提高內審現場檢查的質量;在非現場審計中,縮短內審機構與分支機構、基層網點的距離,做到實時監控,有效控制風險。