摘 要
目前,商业银行的信息系统是其稳健运营和发展的关键成功因素,并且普遍个体业务的运行和庞大金融体系的稳定都依托其信息系统的安全性和有效性,引入区块链技术至信息系统审计中能够有效提升其各个方面的效率。本文通过了解汇丰银行(中国)的业务流程、公司治理结构、内部控制环境、数据的收集整理传输过程;结合其商业银行拥有的各种主营业务导致的数据的庞杂性、传输的安全性、审批的复杂性等问题;最后提出运用区块链技术提升审计结果的真实性、完整性、优化审计过程、降低审计费用,对银行业的其他企业具有借鉴意义。
关键词:信息系统审计;区块链技术;商业银行审计
一、引言
近几年来,审计行业由于日渐成熟的区块链技术而发生诸多变化,尤其是在信息系统审计方面,有望实现实时的“T0=T1”审计过程。凭借区块链技术的“去中心化”特征,运用其工具本身拥有的公开性、公正性,在信息系统审计的三大重要环节“数据环节”、“内部控制环节”、“数据传输转移环节”推进更安全、更完整、更快捷的审计过程。
信息系统审计着重真实完整性,通过数据的真实完整性定义审计信息系统的安全可靠性,而区块链技术的工具特性与审计目标相一致、相契合。但是伴随着银行业对于信息化管理水平的要求不断更新,隐含的信息系统风险造成越来越多的运行错误和影响越来越多的数据存储。为了强化信息系统的管理控制,必须规律性开展信息系统审计工作,将信息系统审计“常态化”,才能保证信息系统达到总体控制目标。
二、国内外文献综述
(一)国外文献综述
Liu Mei long(2013)。[26]本文致力于分析如何去建立信息系统审计风险模型,以及分析公司组织和公司流程的范式。介绍了许多针对信息系统审计风险评估的方法和应用。
Information Technology – Data Systems(2019)。[27]本文作者通过数据的来源、传输、应用等方面探索关于信息系统审计的方法、应用。
Robertson Lesley J,Szabo Christopher P(2017)。[28]基于社区公共卫生健康系统的数据,运用信息系统审计与传统的医疗行业进行整合,探究关于数据的存储和运用。
(二)国内文献综述
黄力(2019)[1]作者阐明商业银行需要对全行信息系统建设情况进行调研,全面摸清不同信息系统需要解决的风险隐患;信息系统审计人员综合的专业能力需要企业进一步加强,以便提高信息系统的审计效率。
蔺亚利(2017)[2]总结了大数据环境下商业银行信息系统审计的思维转变、审计风险特点的改变、缺乏的信息系统审计专业人才。
雷娟(2016)[3]探究银行业信息系统的复杂程度高、系统性能高、运行风险大等特点;建议审计人员采用测试数据法、数据分析审计法、合测试工具法、以及分布式审计软件。
袁瑾(2016)[4]笔者通过总结传统审计信息化的必然趋势出发,对信息系统的涵义进行界定。基于中国邮政公司的案例,主要探究应用控制审计和一般控制审计两个方向。
林忠华(2016)[5]从“联网审计的特征,联网审计的关键技术和机制、联网审计的程序、联网审计的若干范例、当前联网审计中存在的困难与问题、完善联网审计制度的对策和措施”六个角度阐述。
贾兰兰(2015)[6]依据商业银行的发展,论述商业银行信息系统内部控制审计、商业银行信息系统内控制审计的应用、以及有效提高商业银行信息系统内部控制审计工作质量的策略。
方祺(2015)[7]探究我国商业银行信息系统审计的发展策略,试图从制度与准则、人才培养、软件开发三个方面改善我国信息系统审计环境
杨益红(2013)[8]提出解决信息系统审计问题的方法,包括吸收具有计算机经验的人才、内审部门积极介入软件开发的全过程、抓紧建立计算机化的环境、对商业银行出台相应法规保留审计接口。
张洪斌,张琪(2011)[9]针对信息系统审计证据生成的非及时性进行改进,添加“时间戳”这样的小程序保证证据的实时性。
孟大耿(2009)[10]归纳总结了银行业信息技术审计的方法,包括“调查问卷法”、“访谈法”、“观察法”、“书面文档检查法”、“开发环境测试法”、“穿透测试法”、“计算机辅助审计”。
张立华(2005)[11]信息系统审计是社会全面信息化发展的产物,在商业银行的业务营运众起到支撑性的作用,其管理风险已然成为商业银行运营风险的重要组成部分。
葛晓华(2009)[12]作者详细阐述计算机信息系统内部控制审计的必要性和紧迫性,对如何进行央行计算机信息系统审计工作的重点进行阐释,提出必要的解决方法和途径。
周云松(2017)[13]本文着力提倡全员参与的具有信息系统风险防范机制的信息系统审计,基于现有的案例建立内部控制体系,采用借助外力的方式抓住审计重点。
闫治国(2016)[14]针对财险公司,建立核心业务系统内部控制专项审计,有利于推动体系建设,提升管理水平,规避企业损失,增加公司价值。
何若云,王小波,陈志鹏,周歆.(2016)[15]借助对具体审计业务应用场景进行分析,论证了信息安全测试技术在商业银行信息系统的内部控制审计中的可行性。
易观潮(2008)[16]信息系统审计主要有三种内部控制审计、效益审计和安全审计三种表现形式。
朱瑶(2019)[17] 本文通过研究自2003年推行审计结果公告制度以来的针对金融业的审计公告, 着力于探究信息系统审计的发展现状, 识别信息系统审计内容和影响的关键因素。
肖晓(2019)[18] 本文深入了解上海农商银行信息系统审计状况, 着力从审计的标准、审计的范围和审计的流程等五个方面进行分析。
刘国城(2017)[19]结合商业银行信息系统运营风险的递阶层次结构, 理论指导为“审计免疫”,关键技术为“信息熵”,构建能够估计安全风险的“信息熵”模型。
雷智军(2016)[20]根据案例银行的内部审计要求为指标,分析审计项目的具体需求,从而根据需求来设计其整体和模块项目,最后通过Java来实现这些需求,并进行测试。
乔哲(2015)[21] 本文从信息系统审计理论认识、实施信息系统审计必要性逐步展开,结合农业银行实际,总结、提炼了信息系统审计思路,并设想了一些审计方法。
李勤(2013)[22]提出信息系统安全性审计目前面临的问题:一是审计内容凌乱、二是审计数据分割、三是对信息系统前瞻评价困难、四是整改困难。
张莉(2012)[23] 作者运用信息系统审计方法, 探究如何在商业银行信息系统审计中建立商业银行信息系统控制测试的模型和审计方案, 设计应用控制和一般控制的测试底稿
吴克森,杨荣本(2011)[24]专注于对信息系统审计数据库的建立,从理论、内容、应用等方面进行探讨。
李懋(2007)[25]作者详细阐述信息系统审计如何发展,并且从商业银行信息系统审计的必要性、审计内容、标准体系、组织实施等方面探讨信息系统审计相关内容。
(三)区块链技术和信息系统审计的先行研究
1、区块链技术的应用前景
原本具有“去中心化、公开透明、信息不可篡改”等工具类特性的区块链技术契合审计人员对完整性、准确性的要求。因此,提高工作效率和降低交易成本都是区块链技术的前景优势。当前商业银行面临其业务量大、交易量多的难题,并衍生出来由于审计技术的限制,导致审计成本居高不下等一系列矛盾。各个会计师事务所为了能够承接到审计业务,在竞争压力下,开始尽可能地降低审计的费用。所以,事务所为了节约审计成本,通常会简化审计流程,过度信赖被审单位的内部控制系统,缩小实质的审计范围,导致审计检查风险加大。“去中心化”的特点使得区块链技术能够实现分布式记账,“时间节点不可逆性”能够帮助减少被审计单位的财务舞弊可能性,使得“信息源”更加公开透明,从而降低非现场审计状况下搭建临时储存系统所付出的成本代价,同时交易信息全部都能记录在区块链中,实现实时查询,还缩小了收集底层数据和进行被审计单位函证的成本。
2、信息系统审计的证据链条
(1)数据环节
区块链技术帮助降低由于中心数据库故障导致的数据丢失可能性。对比传统数据库存储模式,中心数据库承担保存所有数据的责任,如果中心数据库遭到不法分子攻击、出现难以修复的系统Bug、或者突发“黑天鹅事件”,所有历史用户数据被摧毁无法恢复,而会计、审计行业对于历史数据的依赖程度不言而喻,因而中心数据库模式下大量的人力、物力、财力需要用来保障其安全。而反观区块链技术下的存储模式,每一个独立区块均含有整个网链的数据,因此即便其中某节点被攻击或出现无法修复的故障,数据依然能从其他节点中找到。现代商业银行都拥有不同种类的独立信息系统,随着相关信息技术日新月异的发展,信息化方面的投资呈现逐年上升的态势,传统的管理方式和滞后的人才能力不能匹配信息技术的飞速发展和全球化的市场经济。媒体曝光的因信息系统故障引起的银行业务操作失误事件,一直以来引起公众的广泛关注,正是因为银行业务的特殊性使信息系统故障带来很大的潜在风险,其社会影响和危害性较大。
(2)内部控制环节
区块链技术将影响现代审计由最初的谨防舞弊的风险导向,转移到最终的优化企业的内部控制上。区块链中,每个区块之间的哈希值都是相互关联的,他人非法恶意的篡改将导致下端链条的区块哈希值发生变化,从而不被其他区块承认。因此,在区块链中录入伴随着数字签名和哈希值的数据,很难再进行篡改。这种特征全面应用于财务记账将很大程度上杜绝舞弊的行为,尤其是针对商业银行这样的业务量。虽然区块链技术能够降低在“环节舞弊”的可能性,但不能确保初始录入的数据同样不被“源头污染”。因此,在运用区块链技术后,审计人员的重心将转移到如何正确评价、信赖企业内部控制上。在保证内部控制有效性的基础上适当依赖,从而达到区块链技术的合理运用,佐证原始录入数据的准确性、真实性。
(3)数据传输环节
区块链技术能够大大减少数据传输中耗费的时间。反观传统联网审计运作流程,审计单位发出请求数据采集的申请,被审计单位的数据采集器接收后开始采集企业内部的审计所需的数据,然后再返回到审计单位的数据存储系统种,最终作为审计人员提供独立审计报告的证据之一。
审计预警机制是审计软件不可或缺的一个组成部分,是审计软件最基础的功能之一。它是“半自动化”的模块功能,辅助审计人员查找财务信息中的错报,等待审计人员进行进一步的人工介入处理环节,并和管理层进行适当的沟通。
因此,传统的联网审计技术对于审计单位的数据存储量和带宽具有较高的要求,增加审计成本的同时,还会影响审计信息的完整,造成审计信息的损耗。预警机制的功能是协助审计人员进行初步的判断,但也使得审计传输效率的降低,并且由于没有对各个行业通用的审计软件预警机制,面对非常规的商业银行的业务数据难以处理。
区块链技术中的“智能合同功能”,能够被应用于实时审计中。其与审计软件预警机制相类似,但由财务人员在事前将业务认定标准或条件录入,之后的各项交易都必须完全对应和符合条件,有关财务交易事项最终才能被授权人录入。但二者不同的是,审计预警机制着重于事后审计人员的处理,并且还需要审计人员与管理层的频繁沟通。而区块链技术着重于事前财务人员的处理,不符条件的数据是没有办法被录入,通过对数据源的录入进行限制,保证了独立、实时、全程审计,最终提高了审计效率。
三、研究理论基础
(一)区块链技术的运用
达成降低传统审计中对审计人员职业判断的依赖程度,进一步明确审计责任是我们的目标。合理的职业判断、恰当的重要性水平、完善的审计计划是审计人员的“三大经验法宝”。然而,审计经验需要多年参与大量的相关行业审计实务来积累,对审计人员的从业时间、审计人员的职业道德有近乎苛刻的要求。而将区块链技术应用于日常的会计、审计工作中,既提高记账准确性,还能实现全程、实时审计。审计人员只需要从性质上区分风险上的主次、重要性水平,而无须在年末集中对数额、性质、关键目标等多因素进行职业判断来确定可接受的错误水平,同时明确了审计和被审计单位各自的责任,加强了对会计师本身职业判断的公众可信度,拥有了更多评价其结论的独立材料,从而保护从业者不遭受不公正的法律诉讼。
(二)信息系统审计的审计目标
信息系统审计是旨在审计人员合理依赖被审计单位内部控制系统的基础上,运用和整理相关可信审计证据,证明其信息系统能够承担保护企业高价值资产、维护数据安全完整等方面的过程。
银行业的审计准则目标是尽可能多地披露其存在的系统性风险或者非系统性风险,因为银行业具有对不特定人群吸纳存款、并且对不特定人群发放授信贷款的行为。交易量多、信息化程度高、表内外种类多等因素促成其需要良好的内部控制环境,较高的审计效率,以及较低的舞弊风险。
国内仅有对计算机审计的一般指导,并没有具体的操作准则,处于较低的辅助审计阶段。“计算机审计≠信息系统审计”,其概念、审计目标、审计内容、审计适用准则或审计技术存在很大的差别,前者是工具性概念、后者是系统性概念,前者是服务于后者的概念,且前者并不能完全适应和规范商业银行信息系统审计的实践。想要加快我国信息系统审计的发展,必须厘清二者之间的区别,结合要达成的目标,不断加强我国有关方面的立法。
(三)银行业信息系统的主要板块
银行业信息系统一般采取3层开发结构,即数据库层、业务逻辑层、界面层,数据输出模式通常经过数据存储层、业务逻辑层、服务层、表现层。电子商务、网上银行需要接入互联网运行,核心业务系统、中间业务、办公系统等需采取VPN专线与局域网互联。能够统一存储和管理海量的数据,实施统一化的财务核算模式,支持业务连续性运转要求,具备备份与灾难恢复能力。
图1:银行业信息系统的主要模块和数据存储、转移流程图
资料来源:中国邮政银行分析报告
相对于信息系统审计的证据来源,用户系统与业务数据库之间通常是数据源产生的地方,是直接的审计证据;而业务数据库与中心数据仓库之间经由财务系统的参与,进行有条理、有筛选的系统性数据采集过程,是间接的审计证据;最终审计人员应当明确自身的审计目标是否与委托人的审计目标相一致,在中心数据仓库中辨清与审计目标相关的审计证据,排查企业的运营风险,达成审计目标。
四、汇丰银行(中国)案例介绍
(一)案例背景
汇丰集团是全球最大银行金融服务机构之一。其总部设在伦敦,在76个国家常驻10000个办事处,服务超过232000名顾客,并将客户区分为五类。本质上其是外商完全控股的独资银行。截止到2014年,它拥有上百个网点,庞大的分行网络奠定了其强大的基石。其善于将国内特点和国际经验互惠互补,主营业务可分为两类:其一是工商银行业务、其二是零售银行业务。
(二)案例分析
1.治理结构
汇丰银行的治理层由核数师、企业管治、董事会、独立非执行董事、xx及行政总裁。其中董事会由执行委员会、资产负债管理委员会、风险管理会议、金融犯罪风险管理委员会、监察委员会、xx委员会等若干组成。
2.业务范围
依据汇丰银行的收益来源,我们将它的业务收益划分为八大类:净利息收益、费用收益净额、交易收益净额、指定以公允价值列账之金融工具净收益、金融投资减除亏损后增益、股息收益、保费收益、其他营业收益。
五、基于汇丰银行(中国)案例的问题分析
(一)数据环节
1.数据的真实性、可靠性缺乏
汇丰银行来源于用户的数据经由层层审批,很容易存在权责不一致、权责不明晰的情形,这种情况给予经手数据的人员篡改信息的可能性。数据的真实性建立在企业合理分配给不同层级人员权限的基础上,既要防范“蚂蚁搬家”式的舞弊行为,又要防范“凌驾险”等重大审计风险。银行业迫切需要多节点、多审查的数据网络,需要更可靠、更准确的数据存储。
2.数据的完整性、及时性缺乏
在传统审计中, 受纸质账册资料的限制, 审计人员在现场审计时间和审计范围内可以查阅的资料是有限的。即便现场能够进行数据的采集、分析, 审计人员利用计算机辅助审计的情况下,物理存储的有限性、现场组网的耗时性都将不同程度地影响审计进度。由于数据来源有限,审计人员只能依据行业经验和职业判断,倾向于在现有的被审计单位的数据上摸索证据,根据现有的数据源构建并不完整的数据间的逻辑关系。
3.数据的安全性缺乏
在大数据模式下,银行业信息系统对业务、数据、网络实施集中管控,这使得风险控制较为集中,一旦爆发集中性问题,便会严重影响到银行的正常业务运作。另外,信息系统本身所具有的特性,不可避免地存在着固有风险,例如:系统漏洞、硬件故障、意外灾害等。如果数据的集中物理存储受到破坏,而企业也没有建立有效的“容灾备份”,企业持续经营的业务数据、成千上万的用户资料难以恢复将给企业带来不可估量的损失。
(二)内部控制环节
1.审批的流程分化、公开不完全
汇丰银行在保证部分企业商业机密的前提下,对于主要的信贷审批及其他个人业务需求的审批并未做到充分的公开透明。这样不仅滋生银行产生不符合公司章程、管理条例和信贷条件等违规行为,而且可能导致分公司参与“洗钱”等违法行为,甚至是不利于未来银行业之间建立大数据环境下的贷款人联网资信系统。所以,在不损害企业核心利益和商业机密的前提下,审批流程做到充分的公开透明将降低银行的坏账率和舞弊行为。
2.审计过程的独立性缺失
银行业都需要内部审计人员和外部审计人员拥有充分的业务审计能力和经验。其次,银行与外部审计的事务所通常会保持长期的审计业务合作,连续审计的情况下很容易造成审计人员的独立性缺失,再加上对于金融行业的不熟悉,调查取证的样本量不充足等情况,对银行业的检查风险会陡然增高。
3.数据的拷贝记录不完全
银行业的用户审批流程通常长达数页、审计证据纷繁复杂,数据的拷贝经常没有记录痕迹。这样的情况不仅侵犯用户的个人隐私,同时也增加了银行面临的法律诉讼风险,还造成审计证据存在被覆盖和篡改的可能性,最终归结到审计过程将会影响审计证据的完整性和准确性。
(三)数据传输环节
1.数据的传输效率不足
在网络互联的方式下,由自然人、计算机软件硬件、业务处理软件和用户数据源构造,承担信息采集、存储加工、传递互联和提供管理层决策所需信息的信息系统,它是原始财务数据源的最终载体,是从始至终审计关注的对象。过去的审计模式下,审计人员通过对企业的内控进行测评,判断对会计和其他相关经济信息的可依赖性。在审计平台的相互串联形成的“大平台”下,审计人员通过收集和评价审计证据,独立判断与被审单位进行网络互联的信息系统是否达成它应有的目标。联网审计是网络互联互通的时代产物,网络环境的安全性、数据的真实完整性、重要资产的安全性、经营活动的有效性和审计过程的成本效益组成了在网络互联环境下信息系统审计的五个重要目标。
但联网审计的弊端在于其面对商业银行这样的业务体量,数据传输的效率大大降低,最后集中于审计单位的数据必然是小样本、是不充分不完整的证据,只有通过区块链建立多节点的大数据审计平台才能够同时缓解其存储压力、提高其传输效率。
2.数据的可传输性不足
传统的纸质审计模式下,作为审计证据的数据只有唯一的数据源,数据的可传输性极低。尽管发展到今天的扫描文件和联网审计存储,但因为存储量有限而且占用存储空间巨大,所以传输的便捷性依然很低。加上数据的调用权限不明晰,数据传输仍然不能做到实时、便捷。
这样的信息系统其实对审计人员的调查取证造成了一定的障碍,增加了对管理层的沟通成本,同时也增大了企业持续经营活动的内部阻力。
六、基于汇丰银行(中国)案例的解决方法
信息系统审计是利用计算机技术、通信网络技术、数据库等工具,按照审计标准与准则,对企业信息系统及其主营业务运行效率水平进行监督、监测,以确保信息系统运行目标得以实现的一种审计方法。信息系统审计要想实现对大数据的实时监测,避免信息系统出现运行错误,就应当采取分布式的处理方式,对审计数据进行实时处理。这些系统为提高审计数据分析效率提供了技术支撑,能够增强数据处理的实效性。
(一)运用区块链技术优化数据验证过程
1.区块链自身的工具特性
区块链技术本身的工具性造就其数据具有“天然的”不可更改特性,因为多方对透明交易的“背书”,使得任何想要篡改和遗漏证据的行为都不被允许。通过这种方式,能够有效达成T0=T1=T2的证据链条目标,证据是准确、真实审计证据。
并且,联、公、私三链组成区块链的主要种类,企业可以选择针对审计单位的联盟链,达到在一定数据公开透明的情况下,还不危及其商业机密;针对自身内部控制环境的私有链,确保企业内部持续经营的关键成功因素不受影响;针对不特定人群的公有链,保障普遍的相关利益人及时掌握企业运营信息。
2.无中心化网状审计平台
建立在区块链基础上的信息系统审计是计算机审计发展到高等阶段的产物,是匹配信息化审计环境所应运而生的审计方法,是审计业务逐步趋向信息化的关键方向。集中实时审计、远程审计、高效率数据采集和分析等一系列特征的信息系统审计是不在场审计的深入发展产物。相较于传统现场审计,区块链技术审计最主要的功能是实现远程实时或者亚实时采集被审计单位数据资料,达到动态预警、实时核查的目的。
不在现场的审计是指审计人员能够不间断地收集、整理被审计单位主营业务管理的数据和资料,采用适当的方法论分析的高质量远距离审计活动。它具有的全面性、及时性以及审计成本低、资料利用率高和业务规范性强等方面是社会整体信息化造就的审计监督方式,也是与传统现场审计相比的优势所在。
并且在成熟的区块链技术下,信息系统审计的审计证据能够多节点保存,避免遇到灾难时候的证据遗失,也节省了设立“灾难备份”企业的费用。基于区块链技术的信息系统审计是建立无中心化网状的审计平台从而进行实时、安全、高效的联网审计。
3.远程实时审计
我们不难发现联网审计的联网方式,可分为以下两种:一是审计机关与进行会计核算的信息系统集成进行联网,可以称为“大联网”。二是负责预算等财务活动的单位和审计单位进行的联网,称之为“点间互联”。对比传统现场审计,联网审计具有以下特征:针对具体财务收支事项,审计机关既可以进行“事后审计”,也可以进行“事中审计”。未来审计人员获取的证据资料不仅是已过去的、某一个阶段的、相对静态的,而且可以是正发生的、某一个时点的、相对动态的资料。
其次,发展到大数据时代,审计单位可以与相关税务部门、海关等组织审计平台联网,审计单位借助私有链进行网络远程访问,达成实时监控,并应用审计软件进行数据整理和审计,一旦遇到违法行为,可以直接报告有权部门。
(三)设计合理的内部信息系统
1.开设独立信息系统内部审计平台监督审批流程
在区块链的运用中,作为私密链的内部信息系统控制环境可以通过高效率的内部审计平台进行不定时的抽样调查。因此确保信息系统内部审计平台的相对独立性变得尤为重要,商业银行的数据庞杂性从其主营业务的种类和净利息收益可见一斑。内部审计平台不需要单独集中收集数据,只需要不定时授权进入其他信息系统节点抽样采集即可。区块链技术有利于改善内部审计的数据存储问题,以及保留不同信息系统中的商业机密。
2.培养兼具数据可视化和审计逻辑思维的复合型人才
风险管理是商业银行的重点工作,在大数据时代背景下开展商业银行信息系统审计的过程中商业银行的风险特点发生了显著变化。与商业银行原有的信用风险、市场风险等传统风险相比,大数据环境下商业银行面临的数据纷繁复杂、数量庞大,数据安全问题日益突出。
基于区块链技术的信息系统审计充分摆脱了审计证据不充分、不完整、不安全的局面。虽然解决了数据收集的问题,但我们仍然缺少能够通过整理大量数据并将数据可视化,从而洞察企业经营风险、帮助企业进行经营决策的内部审计人才。这样的审计人员必须精通计算机结构和数据可视化软件,企业需要长期对审计人员进行系统地培训。
(三)结合计算机辅助审计技术和区块链技术
1.“样本=总体”模式
以往的审计流程当中“数据收集”转化为“规范表处理”的过程总会因为审计人员的“填补、修改、删除”造成不必要的信息损耗,但 “样本=总体”模式作为数据时代的先进产物有效弥补了这一缺陷。现如今,大部分审计人员借助计算机技术不再依靠大量的手工审计技术,但依然需要到现场收集审计证据,往返的“差旅费”和不可抗力因素将大大降低审计效率。通过引入区块链技术形成串联审计平台,将实现实时跟踪企业的每次交易活动,使得审计更关注企业未来的决策发展。
传统审计不得不考虑成本效益问题,证据收集的局限性导致只能采取抽样审计的方式,样本选取的有限性容易忽视被审计单位重要的业务活动,被审计单位的舞弊行为容易通过“蚂蚁搬家”等舞弊形式进行隐藏,这些不易察觉的手段加大了审计单位的检查风险。“样本=总体”模式利用大数据技术可以建立在收纳整体数据的基础之上,辅助审计人员得出客观的审计结论。此外,大数据时代将由“局部”、“高成本”向“全体”、“高效率”进行转变,着重强调数据及时性和利用率,容忍不相关因素的不确定性和模糊性,采纳来源广泛的海量有效数据帮助审计人员认清事物的真相。因此,在大数据时代背景下,强调用高度相关关系代替单一因果关系,通过审计人员对海量数据的抓取与分析掌握问题与数据的相关性,揭示事物的潜在规律和大致发展方向。
2.明确审计单位与被审计单位责任
被审计单位作为数据的提供方,是审计证据的“源头活水”,是对数据的真实完整性有着不可推卸的责任;审计单位作为数据的整理方是审计证据的“加工工厂”,其最终出具的审计报告对利益相关的不特定第三人承担不可推卸的责任。我们通过实时的审计平台能够依照数据、依照审计证据明确出三方的责任,尤其是像商业银行这样分公司众多的行业。
七、结论
(一)区块链技术是信息系统数据与信息系统审计的桥梁
综合以上分析,我国商业银行基本还停留在信息系统环境下,对会计资料进行信息化的审计阶段,没有发挥出大数据时代的独特优势,针对杂乱无章的审计数据没有探索出一条系统化、规范化的采集、分析、筛选的方法论。面对这样的状况,组建公共的审计数据平台和完整的审计数据体系就显得尤为迫在眉睫,我们应该构造符合我国国情的系统性的大数据环境、相应的庞大审计数据库和呈体系化的审计方法。
处在大数据环境下,相关从业人员能够积极扩充相关行业只是,针对受委托的具体审计目标构建更为完整、全面、准确的审计数据模型,再根据审计需求,对自己获取的数据进行集中处理,保证了审计的公允性和客观性,优化审计质量。联合不同平台的审计数据资源建设,不断提升审计系统证据链的业务协同和资源共享。审计师存在获取所有交易数据的可能性,能够从上游企业追溯到下游企业,也可以从下游企业回溯到上游企业进行审查,甚至可以和税务部门通力合作;还能够将从有权部门取得的数据与被审计单位提供的保险薪酬等成本数据进行核对。为大数据时代达成多平台证据串联的新审计工作开创一个完全崭新的局面。
信息系统数据的本质概念是完成企业对主营业务活动的真实反映和记录,任何与企业内部事实不相符合的错误记录都会形成有关电子记录数据项之间的逻辑相悖。万一系统原本的数据输出与数据输入违背了依赖关系,则推导出系统必然存在不合乎规范的业务处理环节,但在我国尚且缺乏建立数据项之间关系依赖的系统方法,而区块链技术将会是解决这个问题的突破口。我们在大数据环境下开展信息系统审计工作,是一项复杂的、综合的、多角度的系统工程,需要技术创新、知识融合和管理理念的创新,真正实现全面的信息化和实时化还需要更多复合型人才的艰苦奋斗。
(二)基于汇丰银行(中国)案例对于银行业的改进和建议
目前国内审计队伍严重缺乏精通现代风险导向审计理论,且潜心钻研计算机技能的特殊复合型人才,不能及时将大数据技术融会贯通至信息系统审计中。同时我国未出台明确的信息系统审计准则也是痛点之一,严重打击信息系统审计的发展和降低其效率。
银行业应该制定培养复合型审计人才的系统性方案,能够在大数据环境下,运用R语言、Python等编程语言达成数据可视化,帮助管理层进行经营性决策。通过针对审计数据进行图形、图像的处理,进而将数据分析结果转变为表格、图形、图像等形式,从多个侧面出发准确描述数据,提高信息记录的全面性,从而帮助审计人员快速审查出数据中体现的企业风险。
参考文献
[1]黄力.基于COBIT视角的商业银行信息系统审计研究[J].金融纵横,2019(06):41-49.
[2]蔺亚利.大数据对商业银行信息系统审计的影响研究[J].时代金融,2017(24):78+87.
[3]雷娟.银行业信息系统审计思路与方法[J].电子技术与软件工程,2016(17):170.
[4]袁瑾. 中国邮政信息系统审计案例研究[D].中国财政科学研究院,2016.
[5]林忠华.联网审计:非现场审计的思考[J].财政科学,2016(04):75-87.
[6]贾兰兰.商业银行信息系统内部控制审计的探索[J].当代经济,2015(26):30-31.
[7]方祺.浅析我国商业银行的信息系统审计[J].现代营销(下旬刊),2015(02):69.
[8]杨益红.商业银行信息系统内部控制审计评价[J].时代金融,2013(15):28.
[9]张洪斌,张琪.信息系统审计证据生成技术研究[J].电子商务,2011(12):44-45+49.
[10]孟大耿.商业银行信息系统的风险与审计研究[J].中国商界(下半月),2009(08):56-57.
[11]张立华.论商业银行信息系统审计的实施[J].企业经济,2005(12):185-187.
[12]葛晓华.中央银行计算机信息系统内部控制审计初探[J].西部金融,2009(02):78-79.
[13]周云松.城商行内部审计实施信息系统内部控制的实践探讨[J].时代金融,2017(06):200-201.
[14]闫治国.财险公司核心业务系统内部控制审计重点和方法浅析[J].现代经济信息,2016(13):169.
[15]何若云,王小波,陈志鹏,周歆.论信息安全测试技术在商业银行信息系统内部控制审计中的运用[J].中国内部审计,2016(10):16-21.
[16]易观潮.信息系统审计案例(一)银行信息系统审计试点经验及思考[J].中国审计,2008(03):18-19.
[17]朱瑶.基于审计结果公告的信息系统审计现状及建议——以商业银行为例[J].江苏商论,2019(05):86-88.
[18]肖晓.基于COBIT5.0的商业银行信息系统审计改进研究[J].财会通讯,2019(10):110-114.
[19]刘国城.商业银行信息系统安全审计免疫体系的构建——基于信息系统安全风险的实证估计[J].审计与经济研究,2017,32(05):42-51.
[20]雷智军.国有商业银行内部审计项目管理信息系统的设计[J].中国管理信息化,2016,19(03):57-61.
[21]乔哲.关于商业银行IT审计的思考——以业务为核心、风险为导向开展信息系统审计[J].农银学刊,2015(03):25-27.
[22]李勤.信息系统安全性审计应重点关注的几点实务探讨[J].审计与理财,2013(07):14-16.
[23]张莉.商业银行信息系统审计中的控制测试底稿设计[J].北京信息科技大学学报(自然科学版),2012,27(04):17-20.
[24]吴克森,杨荣本.基于数据库建设与运用的会计信息系统审计[J].财会通讯,2011(16):123-124.
[25]李懋. 试论商业银行信息系统审计[C]. 中国内部审计协会.中国内部审计协会2007年度全国“信息化环境下的内部审计”理论研讨暨经验交流会一二等奖论文汇编.中国内部审计协会:中国内部审计协会,2007:135-139.
[26]Liu Meilong. Research of Information System Auditing Risk Evaluation[C]. Hong Kong Education Society.Proceedings of 2013 International Conference on Management Innovation and Business Innovation(ICMIBI 2013 V15).Hong Kong Education Society:智能信息技术应用学会,2013:459-463.
[27]. Information Technology – Data Systems; Reports from University of Pisa Highlight Recent Findings in Data Systems (Process-mining-enabled Audit of Information Systems: Methodology and an Application)[J]. Computers, Networks & Communications,2019.
[28]Robertson Lesley J,Szabo Christopher P. Community mental health services in Southern Gauteng: An audit using Gauteng District Health Information Systems data.[J]. The South African journal of psychiatry : SAJP : the journal of the Society of Psychiatrists of South Africa,2017,23.
1、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“文章版权申述”(推荐),也可以打举报电话:18735597641(电话支持时间:9:00-18:30)。
2、网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
3、本站所有内容均由合作方或网友投稿,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务。
原创文章,作者:1158,如若转载,请注明出处:https://www.447766.cn/chachong/142328.html,
