网络银行内部审计研究

随着 计算 机与网络技术的 发展 ，银行从简单的存款通存通兑、自动取款机、电话银行、无人银行，到现在的网上银行，网络银行的发展，经历了一个不断成长、完善的过程。网络银行的发展，带来的直接 影响 是商业银行 金融 服务品种和服务效率的变化。传统商业银行建立在分支机构组织基础上的信息规模优势，正在被网络银行无限延伸的信息扩展效应所替代。与此同时，传统银行内部审计的方式方法也将被网络银行内部审计的方式方法所替代。

一、网络银行的金融服务品种与经营风险

网络银行是以银行的计算机为主体，通过银行自建的通信网络或公共互联网络，将单位和个人计算机作为终端设备而链接成“三位一体”的新型银行。 理论 上，无论客户何时何地，只要轻点鼠标即可通过计算机进入虚拟的金融世界，享受所需要的各种金融服务。 目前 ，网络银行主要有网络分支银行和纯网络银行两种形式。网络分支银行是传统银行与网络信息技术相结合的结果。传统银行利用互联网作为新的服务手段，建立银行网站，提供在线服务。其网上站点，相当于它的一分支银行或营业部，既为其他非网上分支机构提供辅助服务，如帐务查询等，又单独开展业务，如贷款、存取款、投资、外汇交易等。纯网络银行也可称为一个站点的银行，因为它只有一个办公地点，既无分支机构，也无营业网点，所有业务都通过网上进行。就我国而言，目前的网络银行主要是前一种形式。网络银行不管其具体形式如何，都包含着一些基本的属性： 电子 虚拟的服务方式，业务运行环境的开放，业务时空界限的模糊，交易实时处理，交易费用与物理地点非相关等。这些属性表明，网络银行不只是将现有银行业务移植上网，它是金融创新与 科技 创新相结合的产物，是一种新型的银行产业组织形式。

网络银行的实质是为各种通过Internet进行商务活动的客户提供电子结算手段，“支付职能可能会成为未来银行最主要的职能。”其服务品种大致有如下几类：

同传统商业银行一样，网络银行也面临着各种各样的风险，由于采用电子货币和网络化，网络银行除了传统银行共有的信贷风险、流动性风险、市场风险和外汇风险以外，技术风险、操作风险和 法律 风险尤显突出。

技术风险。网络银行是基于全球电子信息系统之运行的金融服务形式。因此，全球电子信息系统技术的安全性，成为网络银行最为重要的经营风险。目前流行的许多操作系统均存在网络安全漏洞，如Unix操作系统本身就是一个开放的系统，其源代码已经公开，如果从一台联网的Unix工作站上使用“跟踪路由”命令的话，可以看见数据从客户机传送到服务器要经过多少种不同的节点和系统，所有这些都可能成为黑客攻击的目标。另外，NT服务器及Wind0ws桌面、PC等也存在安全隐患②。Internet利用的TCP/IP协议，在设计上力求简单高效，极大地方便了各种计算机的连接，使得信息资源的共享变得十分容易。但是由于早期协议设计上对安全 问题 的忽视，比如非授权访问、冒充合法用户、破坏数据完整、线路窃听、传播病毒等，使得网络银行变得十分脆弱。为了安全起见，在本网络与Internet之间插入一个中介系统，竖起一道安全屏障，即“防火墙”，用以阻断来自外部网络对本网络的威胁和入侵，尽可能屏蔽有关被保护网络的信息、结构，从而实现对本网络的安全保护。在逻辑上，这种防火墙是过滤器、限制器和分析器；在物理上，防火墙可以是一组硬件设备，如路由器、主计算机，也可以是路由器、计算机和配有软件的网络组合。防火墙技术虽然可以实行强制的安全策略，同时可以记录网上的活动情况，具有阻塞功能。但局限性依然存在：防火墙不能防范不经由防火墙的攻击，不能防范人为因素的攻击，不能防止受病毒感染的软件或文件的传输，不能防止数据驱动式的攻击③。为了保证网络安全，除了防火墙技术以外，还有加密性网络安全技术、漏洞扫描技术和入侵检测系统等。然而在网络安全保障方面，与网络黑客的斗争，从来就是“道高一尺，魔高一丈”的过程。试图检测到黑客的产品总是落后于新的攻击系统的手段。换句话说，网络安全的技术风险始终存在。

操作风险。操作风险来源于系统可靠性、稳定性和安全性的重大缺陷。操作风险主要涉及网络银行帐户的授权使用、网络银行的风险管理系统、网络银行与其他银行和客户之间的信息交流、真假电子货币的识别，等等，特别是来源于银行内部职员的舞弊违规行为。

法律风险。网络银行在开展业务时，面临许多法律法规方面的不确定。表现在现有法律法规的不完善，无法可依，或者有法不依以及在网上交易中没有遵守有关权利义务的规定等，这些都有可能给网络银行造成损失。

上述网络银行金融服务品种的多样性和经营风险的特殊性，表明在发展网络银行业务的同时，必须加强内部审计。

二、网络银行内部审计的特点

网络银行的运行方式改变了内部审计证据的收集方式。审计证据是审计人员在审计过程中运用各种程序和方法而获得的，用以作出审计结论的信息资料。在传统审计实务中，审计证据的取得一般通过检查、观察、函证、计算、分析、询问、监盘等途径。但在网络条件下，由于计算机进行实时动态管理，所有的凭证、帐簿、报表及各种书面文件均已成为网络上的电磁信号，口头询问和函证可以在网上进行交谈和电子邮件等方式，各种计算与分析也可借助计算机进行。因此，网络银行内部审计在收集审计证据时，实时性和可靠性得以极大地提高，也减少了收集审计证据的成本。在网络银行内部审计中，收集被审计单位内部的审计证据，可以在内审部门安装Web服务器，或者在信息中心提供专门用于审计方面的Web服务器或者在信息中心提供专门用于审计方面的Web服务器，通过运行后台运行的程序，从本银行内部的 会计 、储蓄、信贷、计划、总务等部门汇集到数据库服务器的各种管理数据中收集内审所需信息，建立内部审计数据库，而在各个部门各个岗位的终端上，只要通过浏览器和极少量的 应用 程序（一般用Java语言开发）就可以输入有关数据，再通过Web服务器存入到数据服务器中。收集被审单位外部的审计证据，在Intranet已经与Internet连接的情况下，内审部门通过它从Internet上可以收集国内外的有关 经济 、金融、财税、贸易、法律、政策等与内部审计有关的信息，加以存储和整理即可。例如对借款人的财务状况、信用等级、银行贷款的借还记录等，可以从人民银行管理的“信贷登记咨询管理信息系统”查找；内部审计适用的法律、法规和规章制度等 内容 都可以从公用网站上下载。

网络银行的运行方式改变了内部审计信息加工方式。传统银行的内部审计工作主要是审阅凭证、帐簿和报表，通过核对帐帐、帐表等是否达到六相符。在Internet条件下，随着纸质凭证、帐簿的减少，以及网络信息系统本身的核对、检查和内部控制功能，除了帐款和帐实要实地监盘以外，传统意义上“查帐”的重要性已大大降低。内部审计的工作主要是审计数字经济系统的设计与其运行过程，检查网络的安全性与可靠性，测试和评价网络银行的内部控制情况。内部审计的工作重点是银行资金运行过程和财务收益的形成过程。内部审计人员不仅要熟悉本行的经营过程，更重要的是评估和测试本银行的经营风险，进行事前的经营成果预测与事中的控制，随时利用内部审计数据为决策者提供管理所需信息，为本银行创造价值，实现本行经营目标。也就是说，网络银行的内部审计人员主要是利用网络技术、信息技术和 现代 通信技术来加工审计信息。

网络银行的运行方式改变了内部审计信息的输出、传递、保管和检索方式。传统银行的内部审计信息必须通过纸张的打印、邮寄、传真方式传递，运用登记簿造册保管，检索效率也很低。在Internet条件下，由于网络信息的高度共享性、实时性和动态性，因此内审信息的输出、电子邮件的收发和网站信息的上网和下载、审计信息的存贮与检索等都可以充分运用Internet和Intranet进行。在大银行中可以直接利用专用网络路线来传递内部审计信息，内部审计的效率得以极大地提高。

网络银行的运行方式使现场检查和非现场检查更加紧密。传统银行的内部审计无论是现场检查还是非现场检查都是事后进行的，时间上也是定期或不定期，不可能做到实时监控。这是因为在组织结构上内部审计没有作为一线人员安排。对于银行账务的正确性、合法性、真实性、及时性则交由会计事后监督人员进行监督。当天营业终了，各储蓄所、会计部门将当天所有的会计凭证和报表交事后监督部门，事后监督人员于次日上午重新输入登录一次，将结果与各部门上报的报表核对，看二者是否一致，如有差错再查找纠正。实际工作中，会计事后监督可以对银行账务的正确性负责，却难以承担监督及时性、真实性、合法性的责任。因为毕竟是事后监督，时间上有半天至一天的差异，在全国通存通兑的情况下，这种时间差异足以使犯罪分子完成犯罪行为。比如某储蓄所主任当天下午故意违反操作程序，擅自输入（空存）存款500多万元，营业终了没有交付当天的会计凭证和报表，第二天上午在异地取现和转账共支取300多万元，值得庆幸的是该行的其它管理措施到位，在第二天下午便将其抓获，否则损失将是巨大的。

网络银行的内部审计将现场检查与非现场检查紧密结合。对于资金的存取、调拨等会计账务，建立内部审计模块，审计与会计同步进行。资金的增加和减少，除了会计部门的实时监督外，还有内部审计进行实时监控。对于非现金事项由其他内部审计人员定期或不定期的现场检查和非现场检查。

三、网络银行内部审计模式的选择

Internet作为网络银行的基础，正在改变着银行传统的财务会计工作模式和内部审计模式，甚至人们的生活方式。内部审计作为一项独立的客观的鉴证和建议活动，旨在增加机构的价值，改善机构的经营。它通过建立系统、合规的方式进行评价并提高机构风险管理、风险控制和管理过程的效率，从而帮助一个机构达到其目标（国际内部审计师协会1999年定义）。内部审计模式是内部审计导向性的目标、范围和方法等要素的结合，它规定了内部审计应从何处人手、如何着手、何时着手等问题④。目前有帐项基础审计、制度基础审计和风险基础审计三种模式可供选择。

帐项基础审计是从会计科目人手，以凭单核对为重心，目标是检查帐目有无舞弊情况，着眼点在于数据的可信性。这种模式在银行现场审计中使用最多，体现了传统银行内部审计“查错纠弊”的本质要求。在各家银行未联网之前，基本核算单位都建立在县级支行，资金的汇划、收入的收纳、成本的支出等审批权掌握在县级行长手中，使用帐项基础审计能够基本满足业务的需要。通过凭证的核对，可以发现技术性错误或舞弊行为。但这种模式费时费力，即使采用抽样审计技术，也是根据内部审计人员的经验进行主观判断抽样，难免遗漏重要事项，也难以做深入的分析，难以查找错误或舞弊行为产生的原因，不能揭示会计系统中不合理的缺陷。因此，帐项基础审计不能达到预期的效果。特别是各家银行联网以后，舞弊行为不在于费用的报销上，而是在于资金的汇划方面。在网络银行条件下，不宜单纯采用帐项基础审计模式。

制度基础审计强调银行内部审计人员对被审单位的内部控制制度进行评价，并在此基础上决定实质性测试的时间、范围和程度。因此改变了以往的详细审计的做法。制度基础审计的重点放在对制度各个环节的审查上，目的在于发现控制制度的薄弱之处，找出问题发生的根源，然后针对这些环节扩大检查范围。这种模式不是漫无目的的大海捞针，而是方向明确的审查。由于对整体制度的情况进行了解和分析，可以发现一些程序上的错误和工作步骤不合理的现象。因此可以就管理上的问题提出总体上的建设性意见，而且提高了内部审计工作效率。但是这种模式也有一定的局限性。内部审计人员的注意力过于集中在被审计单位的内部控制方面，容易使内部审计人员过于依赖内部控制的测试而忽视了其他环节。随着网络银行的快速发展，对内部审计的要求也越来越高。因为在网络银行条件下，产生经营风险的原因很多，其中网络技术安全是最主要的因素，它不仅有硬件上的，也有软件上的，还有操作人员的技术水平和职业操守问题。所以，制度基础审计模式也不能充分适应网络银行条件下的内部审计需要。

风险基础审计立足于对银行经营风险进行系统的 分析 和评价，并以此作为出发点，制定审计战略，作出与 网络 银行经营特点相适应的多样化审计计划，使内部审计工作适应网络银行快速 发展 的要求。在风险基础审计模式下，要求内部审计人员不仅要对网络银行各种经营风险的管理和控制措施进行评价，而且要对产生风险的各个环节进行评价，借以确定实质性测试的重点和测试水平，确定如何收集、收集多少和收集何种性质证据的决策，借以提高银行风险管理效率。该模式运用了大量的分析 方法 ，而且这种分析方法贯穿于内部审计的全过程。因此网络银行的内部审计应以风险基础审计模式为主，兼顾其他两种模式。因为高一级审计模式并不是完全替代低一级审计模式，而是内部审计适应 现代 银行快速发展的一个不断自我调节、不断自我完善的过程。

四、网络银行内部审计方法

网络银行的基本工具是 电子 计算 机，其内部审计当然也离不开电子计算机，因此对网络银行内部审计方法的探讨实际上就是 研究 如何利用计算机进行内部审计工作，提高银行内部审计的效率。从计算机桌面内部审计系统来看， 目前 有如下三种方法：

避开计算机审计方法。这种方法的实质是绕过计算机数据处理系统，对输入、输出计算机的原始数据，通过手工操作，将处理结果与计算机处理系统的输出进行对比，检查二者是否一致。这种方法是在数据处理的初级阶段，内部审计人员对计算机知识掌握不多的情况下使用。由于计算机处理系统还刚刚搬上银行储蓄、 会计 、信贷、计划桌面，银行会计的计算机处理程序也是简单地摹仿手工核算程序，即通常意义上的“会计电算化”，根本没有发挥计算机的智能效用，更谈不上建立内部审计模块。显然，这种内部审计方法未涉及到被审单位数据处理系统的设计及其内部控制的审计，原则上还不能称为计算机审计。深为遗憾的是，许多大银行的电子化程度已经相当高，总账已经前移到省级分行和总行，资金汇划的在途时间可以缩短为零，但是内部审计工作仍然停留在这一初级阶段。

深入计算机审计方法。即深入计算机系统内部对系统运行数据输入、输出的全过程进行审计的方法。首先对其系统设计和内部控制进行检查，包括系统目的与功能需求是否达到、系统分析与设计是否先进 科学 和实用、程序设计是否正确可靠、内部控制是否健全、管理制度是否严密有效、文档资料是否齐全完整等。其次，审计的重点不在于核对每次计算机数据处理的结果，因为只要数据处理系统的设计是正确的，合理合规的，系统的环境没有发生重大变化，那么只要一次处理正确，以后每次重复的运算也应是正确的。这种方法省却了大量手工审计下重复的查账对账工作，而且能发现计算机数据处理系统设计中的错误，消除隐患，从根本上保障系统的安全运行。同时结合对内部控制的评审，使系统功能得以完善，并不需要增加计算机输出的工作量。不过，内审人员必须及时掌握这些数据的处理过程以及系统改变、升级或运行环境发生重大变化时的数据处理结果，否则难以实施有效的内部审计。深入计算机审计方法需要内部审计人员有较高的业务知识，对计算机运行环境、内部结构、内部控制流程以及数据存储结构等 内容 都要了解，并熟悉有关 金融 会计法规。

利用计算机审计方法或称为计算机辅助审计方法。这是为了实施审计业务而专门开发的电子计算机审计程序，对被审计单位的电子计算机程序运行的可靠性进行检查的方法。这一方法在我国尚处于起步阶段，也是目前网络银行中最高级的内部审计方法，需要不断探讨和完善，应创造条件尽快采用这种内部审计方法。计算机辅助审计，一方面可以极大地提高审计工作效率，缩短审计周转，是解决我国网络银行内部审计人员数量与业务水平落后于网络银行业务迅速发展的这一矛盾的出路之一。另一方面，运用计算机完成某些审计工作，还可以提高这些工作领域的质量。计算机辅助审计最大的作用就是建立内部审计信息数据库。从某种意义上来讲，内部审计是一个信息加工处理的活动。即从被审计单位业务活动的有关记录中获取证据，进而根据这些证据对其业务活动的合规性与稳健性作出评价。这种评价是在对被审单位业已形成的信息进行二次加工后获取的。在这些活动中，内审人员不仅提炼、生成大量信息，也需大量的相关信息。如果这些信息都由纸介质存贮并由人工查找、检索、整理，难以保证审计工作的效率。利用计算机将这些信息存贮于磁介质或光盘档案中，在需要的时候由计算机进行查找、检索、整理，既快又准，可以极大地提高信息检索速度和效率。建立网络银行内部审计信息数据库应包括 法律 法规数据库，被审计单位基本情况数据库、内部审计档案数据库、内部审计信息网络等四个方面。

对于银行来说，最重要的是实时控制资金的出入口，特别是对非法资金出入的实时监控尤其显得重要。银行绝大部分业务虽然都与资金相关，但最终都要通过银行会计才能实现。因此，利用计算机进行网络银行的内部审计时，只要开发出银行会计和储蓄审计模块，由专职内审人员运行该审计模块，对银行所有资金的出入进行实时监控即可。该审计模块应能解决如下 问题 ：储蓄账户中大额存款或在短时间内连续存入同一账户的储蓄存款是否真实合法？本行储蓄账户的异地大额支取或短时间内同一账户连续大额支取是否合法？内部审计模块运行的结果与前台运行的结果是否一致？网络银行运行过程中的操作风险主要来自银行内部的违规违法行为，只有对全行资金的出入进行实时监控，不留时间差，才能从根本上杜绝损失。

五、结论

从 经济 学的观点来看，现代信息革命，正在改变现有 社会 分工的格局。反映到金融体系上，是金融全球化和一体化进程的加快，金融业务经营方式的改变和市场竞争的加剧。商业银行必须适应这些变化，担当起金融平台的创建者、资金转移体系的组织者、业务流程再造的促进者，否则面临的是在竞争中被淘汰的风险。由于网络银行经营风险的特殊性，在开展网络银行业务的同时，必须加强内部审计工作，运用先进的内部审计方法，做好风险的防范与控制，提高内部审计效率。

参考 文献

[2]黄宗捷，杨羽编。网络金融[M].北京： 中国 财政经济出版社，2001.

[3]金光华，王云龙，李刚，郭安。网络审计[M].上海：立信会计出版社，2000.

[4]胡春元。风险基础审计[M].大连：东北财经大学出版社，2001.

作者：易传和，向莉 来源：财经 理论 与实践2002年09月