数据层用来完成审计所需各种数据的抽取、转换和加载工作,系统从各种原始的业务系统中抽取原始数据,随后按照预先设计好的规则将抽取的数据进行转换,使本来异构的数据格式统一起来,最后将转换完的数据按新增或全覆盖,加载到内部审计查证平台中。

　　内部审计工作的原始数据量巨大,包括了数据仓库、核心系统、对公和零售信贷系统、商票系统、客户关系系统、企业金融平台、财务系统、STL国际业务系统等全行相关业务经营和风险管理系统的数据,各个系统的数据使用的关系型数据库各不相同,有DB2、Oracle、SqlServer和Informix等,无法直接使用。

　　数据层的主要任务是转换、统一规范数据格式,为其后的建模奠定基础。

　　在查证平台上线之前,审计队伍每每将大量时间耗费在向相关部门申请获取业务数据,以及对数据的筛选整理工作。查证分析平台的数据层直接与各业务系统挂钩并每日下载业务数据,充分保障审计权限,减少了数据获取时间;数据转换整理功能亦极大地提高了审计效率,保证审计项目立项的及时性。

　　(二)分析逻辑层按设定逻辑对数据进行自主分析

　　分析逻辑层根据业务逻辑建立各种自定义审计查证模型,解决常规分析方法不能解决的问题,对海量数据进行智能化和多元化的分析、关联,从而发现审计线索,帮助审计人员做出正确决策。

　　X银行运行过程中积累了大量的财务、交易、业务和风险管理等数据,审计项目的原始数据基本可以达到10T级,这些数据中蕴涵着大量的潜在知识和规贝IJ,为审计提供了丰富的材料,随着审计数据的积累和审计需求的深入与多样化,大规模数据处理技术的应用是其发展的必然要求。分析逻辑层通过调用各种模型实现各种审计分析,对被审计单位的各种事项进行审计。常用模型有:财务模型、统计分析模型、案例模型、法规库和参数库等[14]。

　　X银行的审计模型分为两种,一是通用审计模型,即对上游的数据进行简单的组合查询统计。可以查询企金、零售、同业三大业务条线中的客户基本信息、客户资产负债表、客户利润表、客户现金流量表、客户群组信息、合同明细、担保合同等信息;以及财务会计业务中的万能交易(含分录)、万能交易组合查询、账户历史质押余额统计汇总等基本的数据查询与汇总功能。此外,还可以进行特定的查询,比如员工与敏感行业间接交易清单、员工交易资金拆借清单、员工账户与信贷客户有疑似交易往来、员工与POS商户资金往来等敏感信息的查询。

　　二是专用审计模型,即查证类审计模型平台,对上游数据进行加工并配合审计查证逻辑计算得出结果。如企金信用的还贷资金疑似来源于特征行业、信贷客户资金流向特定公司、信用客户与特定行业往来如财务会计业务中的费用报销直接转账至员工账户、费用报销直接转至员工账户统计分析、费用经供应商直接回流至员工账户,零售业务中的对公客户高管办理个经贷、个贷楼盘疑似集中断供、住房类贷款的一户多贷(含配偶)、通讯地址相同的隐性一户多贷集中还款等。

　　(三)应用系统层

　　应用系统层提供用户所使用的接口。审计人员在该层对审计项目的整个过程进行管理,系统根据用户的角色赋予不同的权限,实现对数据的安全管理。系统具备文档模板管理、文档生成功能,提高审计文书生成,汇总等工作的效率和质量。通过设置规则库、证据库等,实现了用户之间的信息交流和共享。另外系统还对审计各个阶段的数据都进行了详细记录,可以实现反查,便于明确责任。

　　总体而言,内部审计査证系统的开发,推动了信息化形势下的X银行内部审计工作的开展,促使审计工作实现数字化、智能化、网络化;对审计项目的辅助抽样、底稿生成、现场查证提供便利,减少了审计的盲目性,降低审计风险,有效提升风险导向审计工作的实施效率。

　　第七章进一步改进商业银行内部审计的设想

　　当前,商业银行的内部审计工作仍然受到多种因素的制约,X银行作为审计署全国内部审计领军企业,在审计独立性、权威性和前瞻性上,仍有许多局限。X银行应继续完善问责机制,并全面发展非现场审计手段,增强审计工作质量。

　　第一节完善内部审计问责机制

　　问责制作为内部审计有效性和权威性的核心内容,在商业银行内部审计很长一段时间里实质缺失,仅进行信用责任追究,审计效果难以贯彻,审计建议不被重视。建立并推行问责制,成为内部审计部门完善公司治理的重要手段,更是商业银行实现风险管理战略目标的关键因素。

　　一、重新梳理岗位职责

　　为了完善问责机制,商业银行必须解决多方面的问题。首先,高级管理层的岗位职责需进行清晰的界定。董事会、监事会、高级管理层的组织设计主要解决的是制衡问题。国内绝大多数银行具有公有性质和政府背景,监事会与董事会的职责交叉、董事会与高级管理层和党委会的职责交叉,导致职责边界不清、职责下移和个人责任不明确等问题,不仅影响了制衡效果,而且导致难以对高层问责。

　　对于这些涉及国情、体制的问题,现实的选择是:在允许一定程度职责交叉的前提下加强协调,做到有关银行的重大事项有人决策、有人执行、有人监督,建议明确和充实董事会下设相应委员会在这方面的职责[15]。

　　其次,总行经营部门之间的业务管理职能归属应明确划分。多数商业银行业务经营与管理职责未能界定主办部门和主要负责部门,例如,商业银行未来大力发展的以手续费为主要盈利方式的中间业务,普遍涉及同业、公司、零售、资金中心、信用卡、投行、资产托管等多个部门,部门之间职责划分不够清晰,存在管理交叉或管理缺位现象,在具体的产品规划、设计、营销、客户群体的培育方面缺乏责任落实主体。正是由于管理职能存在重叠和交叉,在实际运作中职责边界不清晰,职责履行存在模糊地带,一定程度上造成了在审计时无法准确落实到责任部门和相关责任人⑵。

　　因此,要清晰界定各部门的职责边界,构建权责明晰、运作高效的业务组织体系。根据战略发展目标,结合目前的机构布局,全面梳理现有业务管理流程,将各项经营管理职责科学、明确地分配到有关部门,做到不交叉、不重叠、不缺位,充分体现效率和制衡的原则,并制定相应的制度来规范和保障各项职责的履行。进一步加强对违规行为的问责,尽快建立涵盖各项业务的违规处理办法和责任追究制度。

　　二、对内审人员端正问责态度

　　问责应该是过程导向而非结果导向的,以免经营机构抱着侥幸心理,为达目的不择手段。因此,应将问责分为违规的问责和信用责任的问责。既要看业务办理流程是否有违规行为,也要看最后是否对银行带来信用风险。例如,经营机构为了规避外部监管和总行的规模控制,化整为零做了房地产借壳贷款,在问责时既要对该笔业务可能承担的信用风险(结果)问责,也要对业务经办乃至审批中的违规行为(过程)问责。要对贷后管理进行详细审计,评估基础资产,查看资金使用控制(房地产账户资金是否按规定投入到房地产中,资金回笼是否进入专用账户)。如果最后确定不是管理上、信用上的风险,就未必是追究越权的责任,而是追究违规行为的责任。有的经营机构负责人认为虽然违反了内外部规章制度,但最终不会带来信用风险,所以不应对他们进行问责。但实际上,既然有违反外部规章制度,一旦被监管机构发现,必然受到处罚,也会对银行未来的业务发展带来限制。因此,不能说没造成信用风险就可以不问责。

　　三、对全行机构推广问责文化

　　在建立基本的问责制度和组织形式之后,商业银行应继续完善违规行为处理工作程序,加大对管理责任的追究力度,逐步扩大问责范畴。要建立一个面向全体员工违规、失职行为的处罚办法,从两个方面扩大问责范围。一是在落实员工违规行为处理的基础上强化对管理人员的责任认定及追究,董事、监事、高级管理层成员以及其他与我行存在劳动关系的所有员工均应成为问责对象,检验有关管理人员是否有效履行了应尽的职责,强化管理者风险责任意识;二是将现行对重大风险事项的责任追究工作拓展至常规性问责,所有业务流程均应有尽职要求,对于违规、失职行为,不管是否造成经济损失,一律追究责任;责任追究范围也应从信用业务板块延伸到到资金同业、财务会计管理等多个板块,编织一张多层严密的问责网,有效遏制各级机构违规经营的冲动。

　　同时,要优化问责流程。在问责的种类上,除了事故问责即责任追究,还应推广常规问责,通过日常性或年度考核评价工作,检验有关人员是否有效履行了应尽的职责,以此决定其薪酬分配、职位调整乃至岗位去留,除涉及信用责任的问责事项外,其余问责事项均由各级业务主管部门对照制度规定进行处理,作为日常管理工作的主要内容之一,常态化地开展,并逐渐形成一种习惯和文化。

　　第二节全面发展非现场审计手段

　　目前,审计监督手段仍然以现场审计、事后监督为主,随着商业银行规模化和信息化的快速发展,非现场审计是未来银行内部审计的发展方向。全面发展和应用非现场审计手段,才能实现审计关口前移,由事后确认转为兼顾事中、事前的风险预警,增强对商业银行战略转型和整体风险防控的保障作用,实现审计层次和价值的提升。

　　一是逐步构建覆盖银行主要机构和业务的关键风险指标体系和风险分析模型,建立非现场经营监测分析报告体系,为风险导向审计的有效实施奠定基础。依托非现场信息平台对机构和业务进行持续的监督,实时监测经营数据,弥补现场审计查找问题的滞后性,填补现场审计之间的风险控制的空白。

　　二是创新和升级非现场审计技术支持平台,实现信息采集、存储和处理的自动化,以及对风险的动态监控。非现场平台承载的数据精确性、监测指标的科学性直接决定非现场审计工作的有效性。随着审计数据的积累和审计需求的深入与多样化,大规模数据处理技术的应用是其发展的必然要求。应在非现场系统中引进数据挖掘算法,用数据产生模型,用数据检验模型,将主观审计经验变为客观分析模型,对海量数据进行智能化和多元化的分析、关联,从而发现审计线索,帮助审计人员做出正确决策。

　　三是培养稳定的非现场审计队伍,逐步将例行的审计转为完全非现场审计形式。非现场审计以非现场审计信息系统为依托,以数据联网为基础,以非现场的方式完成对审计数据的提取和审计取证,并在异地完成审计全过程,最终出具审计报告。对按照监管要求例行的全面业务审计和支行级别的全面或经济责任审计,在对经营机构充分了解,并达到审计频率的情况下,可逐步转为非现场审计,对加大审计覆盖面、提高审计效率、节约审计成本有积极的作用。

　　第三节探索开展审计咨询服务