一、商業銀行信息系統的特點、架構與一般業務流程

　　（一）商業銀行信息系統的特點

　　現代商業銀行的信息系統一般具有下列特點：系統結構復雜，對硬件、軟件的質量和安全性能要求高；數據量大（各行數據普遍實行總行大集中）；本外幣一體化的統一會計核算方式；以客戶為中心、面向服務的設計理念；衍生金融新產品多；業務實時性強，支持24小時服務等。目前，商業銀行系統中業務網操作系統基本是UNIX操作系統，辦公網基本是WINDOWS操作系統，并根據不同類型的操作系統配備相應的客戶端防病毒系統；網上銀行、電子商務、網上交易系統都是通過INTERNET公網。另外，銀行的中間代理業務需要同相關單位的局域網互聯。商業銀行業務系統基本采用Client/Server模式，并配備相應的備份與災難恢復系統。

　　（二）商業銀行信息系統的框架結構

　　商業銀行信息系統一般可分為信息管理類系統、渠道類系統和外部清算結算類系統。信息管理類系統與決策、管理和業務相關，以提高效率和規避風險為目的，主要有貸款系統、授權和授信系統、征信系統、客戶管理系統、數據倉庫系統、資產負債管理系統、辦公自動化系統、后督系統、檔案系統（票據影像縮微系統和光學字符識別OCR）、數字終端錄像系統、數字視頻監控系統等。渠道類系統是商業銀行面向市場和客戶的窗口，也是對外服務使用的載體，包括人工渠道、電子渠道和第三方渠道。人工渠道有柜面服務和職能部門的業務終端（例如會計帳查詢系統、信貸審批系統等）；電子渠道分為自助服務系統（電話銀行、手機銀行、網上銀行和企業銀行）和自助服務終端（ATM和POS）；第三方渠道包括銀聯交易、區域性通存通兌和同城跨行通存通兌等。外部清算結算類系統是指有外部接口的系統，包括行間資金轉賬系統SHIFT（主要有大額清算系統、小額清算系統、區域性專項業務清算系統）、同城交換系統、央行往來清算系統、同業往來清算系統和第三方存管清算系統。

　　（三）商業銀行核心業務系統一般流程

　　商業銀行信息系統有業務核心系統和外圍系統兩部分。業務核心系統主要包括存款系統、貸款系統、國際業務系統、支付清算系統、資金交易系統和衍生業務系統等，其余為外圍系統，主要包括內部后臺系統和連接外部系統兩部分。業務核心系統一般分為基礎支持、業務處理和管理分析三個部分，基礎支持是指依據核心業務支撐平臺（數據邏輯和數據），來完成基本指令（包括賬務體系、權限和機構管理等）；業務處理是指商業銀行各應用系統完成核心業務邏輯，包括相關的各類銀行業務（如存款、信貸、結售匯和柜面服務等）；管理分析包括會計報表和資產負債管理系統。

　　商業銀行核心業務一般流程是由“客戶”依次到“柜面服務人員”、“中間業務平臺”和“銀行中心機房”，再由“銀行中心機房”依次返回到“客戶”的雙向循環。商業銀行通常以業務核心系統為中心，外圍系統可以直接與核心系統通訊，也可以通過中間代理系統與核心系統通訊。

　　二、傳統金融審計方式的局限性

　　由于受多種因素影響，傳統金融審計目前仍停留在查錯糾弊階段。隨著商業銀行信息化程度的普及和管理水平的提高，這種審計方式的缺陷和弊端逐漸顯露出來，難以適應形勢發展的客觀需要。

　　（一）無法科學評價商業銀行總體經營狀況的真實性、合法性和效益性

　　由于商業銀行信息系統的復雜性及海量數據在總行大集中等因素影響，審計機關現有的審計技術與方法尚無法對商業銀行的會計報表與原始電子數據的一致性作出準確地判斷，無法核實商業銀行整體經營成果的真實性；由于受人力、時間、設備以及審計技術等因素影響，審計機關難以對商業銀行整體經營的合法性和效益性進行科學評價。從審計實踐來看，審計機關對商業銀行的審計結果只能回答哪些方面存在問題，而無法保證是否遺漏重大違法違規問題。另外，審計署《審計機關審計質量控制辦法（試行）》規定要求對被審計單位進行審計評價，而各級審計機關通常的做法是根據查出問題多少和嚴重程度來作為評價基礎，缺乏更加直接的審計證據支持，評價內容比較籠統，評價依據缺乏嚴謹性和科學性。

　　（二）無法保證所采集的電子數據的唯一性、完整性和準確性

　　由于商業銀行信息系統設計開發缺陷或者手工輸入錯誤等原因，系統中的數據質量可能會存在問題，數據重復與冗余、數據不完整或缺失等現象會時有發生。這種情況在單數據源的情況下相對容易解決，但在多數據源集成時，如果不加以糾正會使數據失真情況放大。因此，直接采集的被審單位的審計數據不一定能夠完全滿足審計需求，要對存在質量問題的電子數據進行清理。由于商業銀行數據過于龐大及其特殊的安全性要求，審計機關通常依賴于被審單位的設備和技術支持，無法關注程序中源代碼的邏輯錯誤，無法檢查信息系統的輸入輸出控制，無法解決非法嵌入舞弊程序而篡改數據問題。因此，就無法保證所采集電子數據的唯一性、完整性和準確性，“假電子數據真審”的現象就難以避免。近年來的審計中，被審單位提供數據時常不及時、不完整和不準確。例如，2007年在審計某商業銀行“××理財業務”時，該行會計和業務部門對同一業務提供的數據不一致、不準確且有明顯的篩選和過濾情況（最終通過比較數據差異發現賬外經營問題），給審計工作的開展造成了很大的障礙。

　　（三）難以做到審計方法的全面性、統一性和系統性

　　審計機關對商業銀行的審計目標是全面性、統一性和系統性。通過對商業銀行信息系統的特點、架構與一般業務流程的了解，我們會發現，審計機關目前對商業銀行的審計所涉及的范圍和內容還比較狹窄，具有很大的局限性。在實施審計過程中，受人員少和時間短等因素影響，往往不能進行全面性、系統性審計，審計的內容僅包括對公存款業務、信貸業務、中間業務、國際業務和會計管理業務等，并在此基礎上有選擇地進行重點抽查審計。在執行具體審計實施方案時，因側重點不同也缺乏統一性。因此，現有審計技術與方法無法保證對商業銀行進行全面性、統一性和系統性的審計。

　　三、對商業銀行開展信息系統審計的必要性

　　（一）能夠切實加強對商業銀行內控制度的監管

　　內部制度失控是商業銀行目前面臨的最大風險。商業銀行系統的合法使用者或系統管理人員由于誤操作或故意違規，以及利用系統缺陷非法攻擊等行為，致使系統數據篡改、泄露秘密、資產遭受損失。商業銀行內部人員的主觀故意違法行為會給銀行經營安全帶來巨大的災難。例如，2005年中國銀行哈爾濱分行河松街支行原行長高山內外勾結金融詐騙客戶存款10億元；2001年中國銀行廣東開平分行前后三任行長在長達十年多的時間里向海外非法轉移資金近40億元等案件，均由于內控完全失效給銀行造成了重大損失。在信息系統審計方式下，審計機關通過系統運行控制審計和系統訪問控制審計等技術方法，比較容易發現商業銀行內控制度漏洞和管理存在的薄弱環節，能夠有針對性地加強對商業銀行內控制度的監管。

　　（二）能夠有效地發現和防范金融審計風險

　　由于商業銀行的業務都要在信息系統中操作，故其所有的操作都會在系統中產生動態或靜態的痕跡，操作行為與痕跡之間必然會存在相應的關系。因此，對商業銀行開展信息系統審計，以操作行為的正常規律與規則為依據，對相關痕跡進行分析，可以識別和發現商業銀行在運行過程中存在的各種不當操作與非法操作，通過對一般具有顯著特征的不合理行為和重大異常點的有效甄別，能夠識別影響商業銀行生存與發展的重大異常和風險事件，最終也必然會發現違法違規問題和大案要案線索。與傳統的商業銀行審計方法相比，信息系統審計因為對應用過程能夠進行有效控制而能夠更廣泛、更有效地發現和防范金融風險。隨著審計技術水平的提高，甚至可以通過系統審計軟件對商業銀行的異常交易進行實時監控審計，最大限度地降低審計風險。

　　（三）能夠為國家宏觀經濟政策提供更加有效的依據

　　隨著國內金融市場完全對外開放，國家審計應當從更廣泛的角度關注國家金融穩定與安全，為決策者提供更有說服力的審計報告。最近美國次貸風波和美元持續走軟，熱錢流入和股市暴漲暴跌，貨幣供應量增長與流動性過剩等，已經對我國經濟產生了重大的影響，CPI居高不下，國內通脹趨勢越來越嚴重。審計機關通過開展信息系統審計，對重點地區相關金融機構的信息進行分析與監測，可以發現導致上述現象的深層次影響因素，為國家宏觀決策提供客觀依據。

　　綜上所述，審計機關對商業銀行開展信息系統審計已勢在必行。由于我國開展信息系統審計起步較晚，現階段對商業銀行開展信息系統審計要克服畏難情緒和畏懼心理，緊緊圍繞國家金融審計總體目標，結合實際情況，有選擇地開展信息系統生命周期審計、信息系統安全控制審計和信息系統應用控制審計等。通過不斷的審計探索與實踐，盡快完善和提高商業銀行信息系統審計的技術與方法，更好地履行憲法和法律賦予審計機關的職責，充分發揮劉家義審計長提出的審計機關應當作為經濟社會運行“免疫系統”的作用。