非现场审计(Off-site Audit)
目录
|
非现场审计是指审计人员通过连续地收集、整理被审计对象业务经营管理的数据和资料,运用适当的方法和流程进行分析的远程审计程序。
它是现代信息处理和传递方式下迅速发展起来的一种审计监督方式,与现场审计相比具有全面性、时效性以及审计成本低、效率高和规范性强等方面的优势。
非现场审计通过对审计对象相关业务数据和资料的不间断调集、整理和分析,查找经营管理中存在的问题、疑点和异常,评价经营管理状况、内部控制状况和风险程度,为现场审计提供线索和资料,为编制审计计划、安排审计资源提供支持。
非现场审计的范围,一是对会计信息、统计信息的真实性和完整性进行测试和评价;二是对业务经营的遵循性和合规性进行评价;三是对经营管理的经济性、有效性及总体状况进行评价;四是内控评价和风险评估,即对审计对象内部控制的健全性和有效性进行评价,对风险状况进行评估。
1.资料调集。利用银行各种信息系统和其他信息资源,通过计算机网络、磁介质、纸介质等信息传输渠道,收集各项业务经营管理数据及有关文字资料。目前,非现场审计主要通过总账传输、城综网、柜面业务、信贷管理信息、人力资源管理等系统及有关业务部门采集数据。主要数据信息包括总账、信贷、资金、财务、存款、房地产金融等数据。综合经营计划、业务管理办法、规章制度、业务检查报告等是非现场审计重要的非数据信息资源。
2.资料整理。按照一定的方法和标准对调集到的信息进行加工整理,产生非现场审计分析所需的特定数据和资料。根据调集到的总账和报表数据加工产生项目数据——计算非现场审计分析指标——形成非现场审计分析报表。
3.资料分析。根据整理得到的基础数据和资料,采用各种方法监测业务经营管理状况,分析、查找违规行为、潜在风险及异常情况,并进一步对经营管理状况进行风险评估。
4.问题质询。就发现的疑点、问题及异常,采用多种方式,向审计对象提出质询,根据反馈结果做出审计判断。实施质询程序,能够突破数据来源的局限,使审计触角延伸到全行,便于掌握细致而直接的信息,从而做出较为准确的判断、评价和结论。
5.审计报告。根据问题查找、风险评估、问题质询的结果,按照现场审计和其他有关工作需要形成报告。非现场审计报告形式多样,有综合报告、专题报告、风险评估报告、审计线索和资料报告等。
1.提高审计全面性。非现场审计依托高科技手段,通过远程调集所属机构的业务数据,进行持续监测,有助于全面把握分支机构和各项业务的风险程度和内控状况,克服了传统审计不能全面审计的弊端。
2.增强审计时效性。非现场审计借助计算机和网络系统,连续不断地收集数据并及时发现问题,有助于将风险隐患消灭在萌芽状态,降低风险,减少损失,弥补了现场审计问题查找滞后的缺陷,填补了现场审计两次审计间隔期间审计对象的风险得不到监控的空白。
3.提高审计效率,节约审计成本。非现场审计分析经营管理的数据和资料,找出问题、疑点和异常,提供给现场审计,使其有针对性地跟进检查、核实。非现场审计还提供与现场审计有关的数据和资料,使其事先能够及时了解审计对象各方面情况,有的放矢地安排工作计划,减少现场审计次数,缩短现场审计时间。
4.促进审计管理科学化和规范化。
商业银行目前大都实行了相对垂直的审计体制,客观上要求进一步提高审计管理的科学性和规范性。运用非现场审计手段,可以综合各方面因素,对所属机构和各项业务进行评估,把握其风险状况,有助于准确选择审计重点,科学制定审计计划,合理配置审计资源。
5.非现场审计还可以利用占有业务数据资料、持续监测业务动态及掌握分析方法的优势,对有关业务和领域进行专题分析,为相关决策提供依据和支持。
1.核对法。即对数据之间应有的关系进行核对。包括不同科目之间、科目与报表之间、不同报表之间、上下级机构之间数据的核定。如经核对,发现违背应有的数据关系,则作为疑点。
2.对比分析。将分析对象的数据指标与标准数据指标对比,或不同对象之间的数据指标对比,找出差异点。
3.变动分析。将某一项目或指标在不同时点上的数据进行对比,发现其变动有无异常。
4.比率分析。通过分析各种比率,评价盈利能力、偿债能力、资产质量等。
5.差异分析。通过分析实际数据与理论数据或预算数据的差异,查找经营中存在的控制问题。
6.趋势分析。对一个较长时期的某些指标数据的变动趋势进行分析,观察其波动的合理性。
7.相关分析。某些数据指标与另一些数据指标之间存在着一定的关系,可以通过建立数学模型,分析、发现其间的异常。如不良贷款率与利息实收率之间存在很强的负相关关系,如果出现两者同时上升现象,则明显违背这一规律,很可能存在问题。
8.聚类分析。所谓聚类,就是按照类别来归聚。将某个分行的数据指标放在全行范围内进行比较显不出太大异常,但与其情况类似的分行相比较,则可以看出明显差别,以此为切入点,查找可能存在的问题。
9.结构分析。如对资产质量分析时,可按贷种分组,考察不同贷种及其变化对贷款总体质量的影响,找出各贷种与资产质量之间的关系,并分析其影响程度。
10.因素分析。将影响某一数据指标的众多因素分别加以考虑,分析各因素及其变化对该数据指标的影响,发现不利因素或因素的不利变化,提出改进措施,找到努力方向。
要实现真正的非现场审计,应该利用计算机技术、网络技术对被审计单位的数据进行实时采集、加工、存储、分析和传输,从而得到及时、科学和完善的审计数据和审计分析结果,使审计工作从事后审计转变为事后审计与事中审计相结合,从静态审计转变为静态审计与动态审计相结合。
非现场审计在技术实现上主要分成以下四个阶段:
(一)数据采集
要实现非现场审计,必须研究如何采集被审计单位的电子数据。另外,如果不能采集到真正的审计数据,则会得出错误的审计结果,正所谓“垃圾进,垃圾出”。由于电子数据的采集是非现场审计的关键步骤,本文将在第三部分重点研究。
(二)数据传输
在非现场审计中,对数据传输的保障性要求较高,必须具有较高容错性,任何一个通信的断线不能影响整个数据采集子系统,系统必须具有自动检测断线功能,在通信线路正常后能自动再联接,并能实现断点续传。
(三)数据存储
对于采集到的电子数据,需要采取一定的方式来存储这些数据。一般采用以下两种方式进行存储:
对于数据量大,访问和分析要求比较高的数据,可以考虑采用数据仓库技术进行存储;对于具有一定的数据量,但数量级别上远不如集中存储的数据,可以考虑传统的数据库存储技术,或者建立数据集市。
(四)数据处理
在非现场审计环境下,可以有充足的时间去处理采集来的电子数据。所以,可以采用联机分析处理(on-1ine analytical processing,OLAP)以及数据挖掘(data mining)等技术来对数据进行分析,本文将在第四部分研究。
(一)建立、完善相关的内部控制制度
为了保证非现场审计的实施,需要制订相关的内部控制制度,比如,对审计部门开展非现场审计的权限、职责、内容、范围等要做出明确的规定;对非现场审计的程序、方法,电子数据的取得要有可操作性的强制性规定;制订对审计部门和被审计单位具有约束力的非现场审计处罚规定。从管理制度上做好非现场审计的开展工作,有利于更好地发挥非现场审计的作用。
(二)建立、完善非现场审计条件
1.完善非现场审计网络
在已有网络的基础上,通过“防火墙”及相关的网络安全技术,建立完善的非现场审计网络,从而保证非现场审计的实施。
2. 丰富、完善分析模型
通过建立分析模型,将科学的分析技术和优秀审计人员的宝贵经验固化到系统中,使之在全系统范围内共享,可有效统一作业标准,切实保证审计质量。通常使用的分析方法包括趋势分析、对比分析、聚类分析、相关分析、结构分析与因素分析。概括地说,成功的分析模型,应当是数理统计、定性分析及风险控制原理的有效结合,一旦脱离这个前提,推断的精度及确切性就难以保证,甚至陷入没有经济内涵的纯粹数理计算之中。目前,西方国家所运用的非现场审计分析模型,有不少已经相当成熟,如:经营风险的识别、衡量与评估方法体系、数理统计和系统分析方法体系、审计风险控制技术方法体系等,都很值得我们借鉴与参考。
3.加速非现场审计软件研发
如果说,分析模型为非现场审计提供了核心技术与作业标准,那么审计软件则担负着技术实现与标准执行的双重任务。借助审计软件,不但能轻松完成数据调集、整理、勾稽关系审核等繁重的基础工作,还能深入进行实质性的分析与评价,从而成功实现计算机海量存储、高速处理与审计分析模型的有机融合。为此,二者必须协同运作、紧密结合。在具体实施过程中,还应注意借鉴国外同业的先进成果,如西方国家广泛使用的模块化、嵌入式审计软件包,成功实现了与业务系统的无缝集成和同步运行,使对审计对象的持续、实时、动态监测成为现实,在防范和发现计算机舞弊方面有着不可替代的优势。
(三)统一规划,分步推进
应本着统一规划,分步推进的战略思路,首先在某一范围建立非现场审计的试点。在此基础上,扩大非现场审计的范围,并进一步完善非现场审计的某些环节。
(四)采用集中分析、分散核实的计算机审计模式
现场审计和非现场审计互为条件,互为补充。在非现场审计阶段,集中力量对采集的数据进行分析;通过非现场审计,选择进一步审计对象,并在现场审计中证实情况或具体了解问题的原因,提出整改意见。
(五)加强对审计人员的培训
开展非现场审计要求审计人员具有复合型的知识结构,不仅要掌握财会、审计知识,还要掌握一定的信息技术知识。虽然目前审计人员都接受了一些计算机知识培训,但一般多是初级程度的培训,如文字处理、电子表格、会计软件的操作等。大部分审计人员并不知道计算机处理与网络技术的运用有什么风险、怎样控制才能有效降低这些风险,也不知道如何利用计算机和网络技术进行审计,更不用说如何采用联机分析处理以及数据挖掘等技术来分析审计数据了。计算机技术人员虽然对计算机和网络技术比较熟悉,但他们又不熟悉会计和审计知识,不知道需要审什么、应该怎么审。因此,在实施非现场审计时,需要对审计人员做进一步的培训,以适应非现场审计的需要。
(六)高层领导重视,审计人员积极参与
实施非现场审计是一项投入大、风险大、实施难度大的系统工程,是审计模式、审计思想、审计方式的一场变革,高层领导要树立起正确的信息化理念,必须下决心,投入较大的人力、物力和资金,并监督这些资金的合理使用。没有高层领导对这一巨大工程的认识:支持与直接参与就没有成功的可能。大量的实践表明:高层领导的重视是成功实施非现场审计的关键。同时,提高审计人员素质、觉悟,促使他们积极参与,也是成功实现非现场审计的关键条件之一。
目前商业银行在开展非现场审计工作中遇到的主要难点有以下几个方面:
1、认识不到位。由于受传统审计观念的影响,一些人对非现场审计工作的重要性认识不足,未能形成现场审计应建立在非现场审计基础上的现代审计理念,思想上存在畏难情绪,工作上消极观望,给开展非现场审计工作带来很大的负面效应,直接影响到非现场数据信息的采集。审计涵盖面窄,手段单一,很难通过恰当的方式全面监测并及时发现经营管理中的薄弱环节。
2、人员不足。随着银行业务处理电子化进程的加快,非现场审计将成为审计监督的主要方式和手段。由于种种原因,在银行内审部门既懂银行业务又懂计算机的非现场审计人员较少,多数人员业务技能单一,缺乏综合分析能力,有的只是临时“客串”,对一些非现场审计项目常常疲于应付,直接影响到非现场审计工作质量。
3、水平相对落后。近年来,随着银行各项业务电子化、网络化程度的不断提高,现代化的计算机应用技术理应成为非现场审计数据采集、处理、分析的主要手段。但从目前实际情况看,有相当一部分银行内审部门存在计算机配置较低、硬件设施落后、接口不全、缺乏适用的审计业务应用软件等问题,以致大量的信息不能得到充分有效的共享和利用,风险监测分析技术水平较低。
4、非现场审计业务培训交流较少。非现场审计工作要求审计人员既要对银行业务比较精通,具备一定的综合分析能力,又能够熟练使用计算机这一重要的工具,同时还能够会使用一些通用审计软件。但目前多数行还达不到这一要求,非现场审计人员的业务素质的提高主要靠个人的自学和摸索,而系统规范地学习、培训和交流较少,这在一定程度上影响了非现场审计人员业务水平的提高。
5、尚未建立完善的工作机制。一些商业银行目前尚未建立起一套完整、科学、合理的非现场审计管理办法和操作规程,因此不能从制度上明确非现场审计监督的对象、方法、范围和相关责任界定,对相关业务及高风险领域缺乏规范的监控,业务操作随意性较大,影响到非现场审计工作水平的提高。
商业银行应如何有效地开展非现场审计工作,最大限度地监控和防范经营风险,笔者认为应从以下几个方面加以完善:
1、提高对非现场审计工作的认识。与传统的审计方式相比,非现场审计是一种新的审计方式,容易被人们忽视。因此,银行各级领导和相关部门要转变观念和认识,充分认识到非现场审计工作的迫切性和必要性,切实关心和支持非现场审计工作,参与审计电子化建设,整体规划,统筹协调,加速电子化进程,促进非现场审计工作的健康发展。
2、进一步优化非现场审计的人员结构。应根据非现场审计工作需要,培养一批既精通银行业务,又熟悉计算机技术的高素质、复合型审计人才,定人、定岗、定责,以满足非现场审计监测和数据处理业务的需要。
3、加大非现场审计的科技投入。根据总行要求和非现场审计发展趋势,尽快搭建非现场审计数据平台,充分利用现有数据资源,建立起一套业务覆盖面广、审计周期短、查询效率高、分析准确的非现场审计系统。同时要加强计算机硬件建设,根据需要配置存储量大、运转速度快的计算机设备。
4、加强非现场审计业务的培训和交流。对非现场审计人员进行现代审计理念和计算机辅助审计方法的培训,造就一批精通银行业务和计算机技术的复合型人才;经常开展非现场审计工作研讨和经验交流,并成立专家小组,及时分析和处理非现场审计中发现的问题,不断提高非现场审计人员的理论知识和专业水平。
5、建立一套科学完整的非现场审计工作保障机制。要建立制度保证机制,将非现场审计的要求、程序、报告制度等,以法规的形式确定下来。建立与之相适应的工作制度和管理方法,使非现场审计有章可循、有法可依,各级机构都能自觉接受非现场审计和质询,并提供真实的基础数据和审计资料。建立工作程序保证机制,通过制定规范的非现场审计操作程序,并严格按照程序办事,保证审计数据的收集、加工、分析、报告和处理等做到有条不紊,统筹安排。建立技术保证机制,相关部门协调沟通,建立资源共享数据平台,充分发挥非现场审计风险预警功能,逐步实现非现场审计自动化。同时,统一开发和推广非现场审计业务应用软件,拓宽审计范围、加快审计频率、提高审计层次。
非现场审计有明显的优势,也有一定的局限性。由于非现场审计主要依据经营管理数据和资料来发现存在的问题,并未去实地查证,证据不够充分,判断有时是基于经验推理或推测,发现的问题可能确实存在,也可能只是疑点和异常。另外,受目前业务条件和电子化手段的限制,非现场审计无法取得相关明细数据,致使对问题的判断难以进一步具体、深人和明确。
弥补非现场审计局限的途径有三条:
一是提高非现场审计人员素质与业务水平;
二是拓宽非现场审计信息渠道;
三是做好非现场审计问题质询工作。
非现场审计与现场审计监督方式不同,二者各有优势,各有局限。弥补局限的有效办法就是将二者有机结合、互为补充,统一于完整的审计监督体系之中。非现场审计帮助制定科学的审计计划,提供审计线索;现场审计保证审计计划的有效执行。非现场审计广泛的覆盖面与现场审计有针对性的审计点相结合,形成完整的审计监督网络,共同促进审计监督职能的有效实现。