近年来,湖州银行通过引入非现场审计系统、搭建风险监测平台、嵌入后端数据分析引擎、建立审计信息的快捷传递机制、构建系统风险数据模型库、制定系统运行相关管理办法等方法,使计算机辅助审计技术深度嵌入公司运营,促使内部审计由事后向事中、事前成功转型,成为增加组织价值的有效方法。
一、探索引入银行业非现场审计系统。
整个非现场审计系统分为B/S和C/S端,B/S是常用的网页登录直接访问非现场平台进行数据处理,C/S是通过IDEA客户端访问服务器端进行数据操作。IDEA服务器将备份数据导入服务器中,所有业务条线的监控程序都在IDEA服务器上运行。系统主要由管理平台与IDEA数据分析引擎组成,工作原理是用数据分析的方法持续扫描与分析行内业务关键数据,进行T+1(每日)与T+30(每月)两种频度的风险预警。数据来源于现有行内主要业务系统,各类业务数据通过FTP方式传输到IDEA数据服务器上。
二、搭建全行风险监测平台。
风险监测平台本着审计信息共享的出发点,主要包涵风险监测(T+1)、非现场检查(T+30)、日常查询、知识管理、综合管理模块。平台通过集成核心业务系统和信用风险管理系统的关键数据及部分手工导入数据,同时引入部分来自工商、税务、法院以及社会公开的信息,进行T+1与T+30两种频率的风险预警。
系统管理平台支持公司审计部和其他管理部门多用户监测运营,覆盖了主要业务条线,包括运行管理、信贷业务、资金业务、计划财务、电子银行等。根据用户操作角色的需要,相应地配以处理、复核、查询等权限。在任务处理上,平台支持发布和修改监测任务,监测模型和规则的制定、发布和维护,以及对任务的管理。风险监测及非现场检查的操作员根据需要,可以进行查看疑点、查证情况、分析反馈结果、自定义报表等多种灵活的操作。
三、嵌入后端数据分析引擎。
IDEA数据分析引擎主要是将分析功能与便于用户使用的Windows环境结合在一起,适用于多种类型的文件查询,具备各种内置函数,适用于算数、文本、时间和日期标准。允许用户根据实际需要进行自由的数据分析操作:
(1)从各种类型文件导入数据(支持dbase、Access、Excel、ODBC、XML、不规则报表、PDF、文本等多种格式的数据导入)。
(2)创建数据自定义视图。
(3)执行数据分析,包括提取、合并、关联、可视化、汇总综合统计、重复性监测等。
(4)执行计算。
(5)匹配或比较不同的文件。
(6)创建多维分析数据透视表。
(7)自动生成一个完整的历史记录文件,将分析归档。
(8)通过IDEAScript(可自定义的VBA兼容脚本工具)和可视化脚本记录、创建和编辑宏。
四、建立审计信息的快捷传递机制。
T+1由科技部门每日将数据上传至审计服务器,系统根据业务模型经过IDEA数据分析引擎自动跑批后,在系统管理平台风险监测(T1)模块展示。T+30从每日叠加的历史基础数据中进行一个月的数据提取,每月上旬由系统管理员执行批量手动跑批,在系统管理平台非现场检查(T30)模块展示。
(1)T+1(每日)审计信息传递模式
(2)T+30(每月)审计信息传递模式
五、构建系统风险数据模型库。
湖州银行非现场审计系统风险数据模型库随着数据分析的内容和思路日益丰富。依据风险防范的重点及组织内各部门提交的模型需求,确定年度重点监测模型。通过集中开发的方式,整理和配置所需要的数据结构和数据清单,导入至数据服务器,运用数据分析工具制作标准表、基本表、录制模型脚本,经过稳定性测试、模型测试等环节后上线运行,定期监测。目前公司非现场审计系统上线投产运行监测的模型多达176个,通过风险模型数据库多方位、多角度、多层次的源头控制,通过业务需求不断扩充风险控制类型覆盖面,通过不同频度的甄别处理、复核确认进行风险等级划分,为防范和化解风险提供了一定程度的保障。
六、制定系统运行相关管理办法。
为保障非现场审计系统运行有章可循,公司审计部牵头制订了《非现场审计系统运行管理试行办法》、《非现场审计系统数据分析室管理试行办法》。主要就职责分工、风险监测模块管理、非现场审计模块管理、用户管理、操作管理、数据安全管理及数据分析室运行管理等方面作出规定,为监测的时效性和质量要求提供了保障。
目前,IDEA后端数据分析引擎主要使用部门为审计部,系统上线以来为内控评价、经济责任审计、理财专项审计、信贷资产分类、相关业务部门抽取并移送了检查数据表上百份,并配合监管部门的内控检查编制移送疑点数据。同时数据分析范围已开始尝试从单一风险控制逐步扩展至综合性的业务分析,利用系统研发经营分析类的数据模型,逐步提升业务拓展的前瞻性和针对性。通过对非现场审计系统的运行实践,各种利用成果逐渐显现,进而增加公司价值。集中表现为创新风险管控机制,促进各方有效履职,确保对接审计需求,推进体制机制完善,模型监测广泛覆盖,审计监督方式转变,非现场与现场审计协调发展,公司各方各有侧重地利用系统成果。