搜索
银行监管的一场革命:计算机现场检查编者按:随着我国银行业信息化建设的飞速发展,对商业银行进行计算机现场检查成为一种必然的发展趋势,是一种监管手段的创新,同时也给监管者带来了巨大的挑战。本文作者经过深入思考,阐述了开展计算机现场检查的重要性和迫切性,并结合自身多年从事现场检查的经验,从计算机现场检查的主要方式、风险防范、质量控制以及人才培养等方面提出了完善计算机现场检查的建议,对监管人员尤其是现场检查人员具有较强的参考价值。一、计算机现场检查的必要性(一)我国银行业信息化建设概况回顾我国银行业的信息化历程,大致可分四个阶段:一是脱机业务处理,对存款、清算等银行业务实现计算机辅助处理;二是联机业务处理,借助网络技术实现主要业务联机处理,实现部分信息资源内部共享;三是实施经营管理信息化,商业银行开始建立管理信息系统,包括流程型(如信贷管理系统)和分析型(如客户关系管理系统、利润分析)两种,逐步实施经营管理计算机辅助决策;四是正在建设中的核心业务系统和业务集成信息化,利用网络实施产品与服务创新,现代信息技术逐步运用于市场分析、产品定价、风险评级、内部控制和经营决策。一方面,各主要银行的经营网点全面联网运行,能够为客户提供跨行、跨地区、多品种的服务;另一方面,网络电子银行已成为商业银行控制成本、增强竞争力和提高经营效益的重要手段。所有这一切都是建立在数据大集中的基础之上,数据大集中已成为银行业科技发展的主流。当前商业银行信息化建设的模式,从网络基础设施、业务系统到管理信息系统,都在围绕着“大集中”这条主线进行,其最明显的特征是实现数据大集中,构筑网络电子银行。所谓数据大集中,主要是指银行在建立全国性集中式计算机数据处理中心的基础上,建成全国性集中式计算机网络系统,从而实现“三大集中”,即所有营业网点集中联网、所有会计账务集中处理和所有客户基本信息集中管理。目前国内各家商业银行数据大集中工作基本完成,总体架构都是在不同地理位置建设数据处理中心和灾难备份中心并联网,按地域区划在下级分行设置前置系统,从而形成一个上联总中心、下联网点终端,地理位置不同、物理上相对独立、逻辑上统一的全国性计算机综合信息系统构架。当然,数据越集中,风险相对就越大。操作风险、系统故障风险、灾难性风险和声誉风险是大多数银行在信息化方面所面临的主要风险。究其根源,一是系统在可靠性和协调性方面存在缺陷;二是系统可能遭受内外部攻击;三是系统设计或操作不当;四是在极端情况下,整个银行信息系统瘫痪;五是零售电子银行和电子货币业务在某些情况下由于交易双方的权利义务不确定,适用法律也不确定而产生风险。这些风险类型不是新的,但风险产生方式及其影响程度对银行管理者和监管者而言是全新的。(二)银行计算机信息系统建设对现场检查带来的挑战银行业信息化建设的基础是计算机信息系统,计算机信息系统虽然并不改变现场检查的总体目标和范围,但是却改变了银行财务资料、业务数据的处理过程和存储方式,并影响银行为达到适当的内部控制而采用的组织和程序,从而给监管者实施现场检查的方式、方法和手段也带来很大的挑战。一是检查内容实体发生变化。计算机信息系统环境下,除了部分原始凭证和打印出的账表外,大量会计数据和业务数据都是以电、磁信号的形式被存储在计算机中,不经显示或输出是看不见、摸不着的。银行实现了从记账、过账、调账、直至编制财务报告的自动化整合,那种人工记账、按月调账、手工编制工作底稿及财务报告的时代一去不复返了。上述信息既容易销毁也容易伪造,而且可以不留任何痕迹。单靠原有的手工检查方法和检查手段是不够的,必须补充新的检查方法和检查手段才能满足客观需要。二是检查对象内部控制发生变化。计算机信息系统环境下,数据处理集中由计算机自动完成,并改变了原有的业务和账务处理程序,使得原有的内部控制功能丧失,需要制定新的内部控制系统,检查人员需要应用一套新的技术和衡量标准对计算机环境下的内部控制进行测试和评价。三是检查线索发生变化。计算机信息系统环境下,传统的账簿和文字记录被磁性介质所取代,无法按传统的每一步文字记录来追踪检查线索。此外,从原始数据输入到报表输出,其间的全部会计处理都由计算机按程序指令自动完成,传统的检查线索在这里中断了。因此,为了能在计算机信息环境下有效开展现场检查,除制定一些规章制度外,还必须在计算机信息系统的设计和开发中提出监管要求,以便使这些系统在会计核算和业务处理过程中留下检查线索。四是检查工作难度加大,对检查人员素质要求提高。计算机信息系统环境下,会计数据、业务数据的处理结果是否真实可靠,不仅取决于会计人员、业务人员的业务水平、工作态度等因素,而且还取决于数据处理过程中所使用的计算机硬件、系统软件和应用软件是否准确可靠,业务操作、处理流程是否符合要求等,这些方面内容复杂、技术性强,可能进行舞弊的手段和途径较多,且不易防范和检查,增加了检查难度,检查人员除要具有丰富的财务会计、现场检查等相关知识技能,熟悉有关政策法规外,还必须掌握一定的计算机基本知识和操作技能,充分了解计算机信息系统,才能满足计算机环境下检查的需要。五是现场检查项目组织管理有待进一步改进,以适应银行数据大集中的变化。一方面,以往检查主要集中在一级分行,数据信息处理量相对较小,各银监局可以针对检查实施方案确定的重点,有选择地处理相关信息。现在商业银行数据大集中后,检查直接面对的是总行一级以T为数量级存储备份的会计和业务数据,以往通过文件传输等方式处理信息的模式,已经不适应大集中后海量原始数据的处理;另一方面,以往检查项目是银监会监管部门制定检查计划,各银监局制定检查实施方案,现场检查集中在商业银行省分行一级。针对目前商业银行数据大集中,以往“兵团式”的现场检查项目组织管理模式有待改变。面对银行业信息化建设的飞速发展给现场检查带来的挑战,我认为,开展计算机现场检查迫在眉睫。然而,很多监管人员对开展计算机现场检查的重要性、紧迫性认识还不够全面、深刻,特别是不少人还存在两方面的模糊认识:一是认为计算机现场检查仅仅是个手段,作用有限,不必急于推进;二是认为计算机现场检查专业性太强,高不可攀,离自己很远,只要由计算机专业人员完成即可,和自己关系不大。因此,推进计算机现场检查必须以转变观念为先导,既要破除神秘感、克服“恐高症”,又要摒弃“无用论”、“无为说”,全面准确地理解计算机现场检查的重要性、紧迫性,为推进计算机现场检查奠定坚实的思想基础。应该认识到,推进计算机现场检查,将检查实务和计算机技术有机结合是现场检查的一种创新,是我们提高检查效率、改善检查手段、提高检查质量、降低检查成本的一个重要途径。可以说,计算机现场检查是银行监管的一场革命,不掌握计算机技术将失去现场检查资格。今后,计算机现场检查应成为主要的、根本的现场检查手段。二、计算机现场检查的主要方式计算机信息系统环境下检查方式一般可分为以下几种:一是对计算机信息系统进行检查。即对计算机信息系统程序设计、系统功能、数据处理过程及相关控制进行检查,重点强调对计算机数据处理过程内部控制的检查,特别要检查计算机软件可能出现的错弊,避免信息化条件下“假账真查”。计算机信息系统内部控制分为一般控制和应用控制,一般控制包括组织控制、操作控制、系统开发和维护控制、硬件和软件控制、访问和数据库控制,应用控制包括输入控制、处理控制和输出控制。对商业银行计算机信息系统的检查,重在对影响计算机信息系统开发、修改、接触、数据登录、网络安全和应急计划的相关内部控制进行测评;对商业银行使用电子资金转账系统的程序,则要评价其交易前监督控制和交易后确认及调节程序的完整性。通过测评,评价系统的可靠性,确定对系统的依赖程度。计算机信息系统检查主要有数据检验技术和平行模拟技术。数据检验技术是指检查人员根据检测目的,设计出一些虚拟的经济业务数据(包括合法的和非法的数据),提交给被查银行的计算机数据处理系统进行处理。将系统对检测数据的处理结果与检查人员的预期结果进行对比,以确定系统控制是否存在并有效地执行;平行模拟技术是指模拟被查银行对实际数据的处理而设计一种软件,通过将被查银行的真实数据用检查人员的软件重新处理,以验证数据处理的正确性。(详见附件一)2、计算机辅助检查技术。即检查人员应用计算机技术作为检查工具来完成检查任务。计算机辅助检查技术主要有通用检查软件、嵌入检查模块技术、检查管理和作业自动化技术。通用检查软件是辅助检查人员完成检查任务的检查工具软件,可用于对被查银行的内部控制测评和实质性测试,如在实质性测试时,可实现选取和打印样本、检查计算结果、汇总和分析数据、比较计算机数据和检查人员的处理结果等功能;嵌入检查模块技术是指在被查银行的计算机数据处理系统中加入为完成检查目的而编写的程序;检查管理自动化技术是指运用计算机技术对检查工作进行全面管理,如建立被查银行信息数据库、检查计划系统、检查档案管理系统;检查作业自动化技术主要指实施具体检查项目时运用计算机技术实现工作底稿的自动化,如检查通知书、检查工作底稿、检查结果、检查档案归集等。以前检查人员很多时间消耗在抄抄写写和计算中,而检查作业自动化技术能将这些工作减到最少。(详见附件2)3、联网现场检查技术。即利用网络技术将商业银行的会计信息数据与监管部门的网上现场检查中心联结起来,通过检查软件对这些会计信息数据实施网上实时检查,包括对计算机网络系统及环境的检查以及利用计算机网络进行辅助检查。联网现场检查的重点应当放在两端:一端是与被查银行的数据接口,解决采集什么数据、如何采集的问题;另一端是研制检查软件、数据库和检查模型,解决采集来的数据如何利用、如何检查的问题。联网只是数据传输的一种方式,在前后两端的技术问题解决之后,一旦平台建立,则联网现场检查自然水到渠成。与传统现场检查相比,联网现场检查具有四项突出特征:一是实现适时现场检查,二是实现远程现场检查,三是实现更高效率地数据采集和分析,四是信息系统成为新的、必须开展的并且处于首要地位的检查内容。联网现场检查可以大量节约资源,提高检查效率,降低检查成本,同时在联网环境下实现最大限度地调动专家力量,进一步规避检查风险,提高检查质量。监管部门运用计算机网络技术对商业银行进行检查监督将成为一种必然的发展趋势。应该强调的是,对计算机信息系统检查和应用计算机现场检查技术、联网现场检查技术的主体是检查人员,计算机现场检查技术只是一种手段。因此,既要求检查人员掌握一定的计算机知识,熟练运用计算机现场检查技术,同时也要求将运用计算机现场检查技术与检查人员专业判断充分结合起来,这样才能有效地提高检查效率,确保检查质量。三、计算机现场检查的风险防范计算机现场检查的风险是指检查人员在对被查银行计算机信息系统进行检查后做出的检查结论与被查事项实际相背离的可能性,以及检查人员不能正确合理地运用计算机现场检查技术,从而导致检查结果与事实不相符,得出不恰当的检查意见。(一)计算机现场检查的几种风险无论计算机现场检查软件多么全面,但它终究是一种工具,最终还需要检查人员做出判断。开展计算机现场检查,主要有以下几种风险:一是检查软件风险。即由于计算机现场检查软件本身存在设计、制作过程中的缺陷等原因而造成的风险。(1)所使用的检查软件没有通过有关部门的测评,也没有进行使用前的试运行就匆忙投入使用,可能造成软件运行不稳定。(2)随着会计软件的不断升级,而检查软件没有采取相应的升级措施,使其出现内部的检查核算方法与会计核算不一致的情况。(3)在检查软件的开发过程中,一方面由于检查人员对计算机技术不够了解,尤其是对于开发工具更难以准确表达其需求;另一方面,技术人员对检查、会计业务不熟悉,没有全面、深刻了解检查人员要求,造成检查软件自身的不完善或计算、分析偏差。二是人员操作风险。这种风险是由于检查人员在软件的操作过程中,违反操作规程,或者过分依赖计算机运行的结果,对所发现的各项疑点没有进行必要的复查而造成的。三是业务数据风险。由于被查银行非法修改计算机信息系统,系统内部质量控制遭到破坏,或者在业务数据录入过程中,采用虚假、修改、省略、延迟录入等手段造成虚假