關鍵詞：網絡銀行；內部審計模式；內部審計特點；內部審計方法

　　隨著計算機與網絡技術的發展，銀行從簡單的存款通存通兌、自動取款機、電話銀行、無人銀行，到現在的網上銀行，網絡銀行的發展，經歷了一個不斷成長、完善的過程。網絡銀行的發展，帶來的直接影響是商業銀行金融服務品種和服務效率的變化。傳統商業銀行建立在分支機構組織基礎上的信息規模優勢，正在被網絡銀行無限延伸的信息擴展效應所替代。與此同時，傳統銀行內部審計的方式方法也將被網絡銀行內部審計的方式方法所替代。

　　一、網絡銀行的金融服務品種與經營風險

　　網絡銀行是以銀行的計算機為主體，通過銀行自建的通信網絡或公共互聯網絡，將單位和個人計算機作為終端設備而鏈接成“三位一體”的新型銀行。理論上，無論客戶何時何地，只要輕點鼠標即可通過計算機進入虛擬的金融世界，享受所需要的各種金融服務。目前，網絡銀行主要有網絡分支銀行和純網絡銀行兩種形式。網絡分支銀行是傳統銀行與網絡信息技術相結合的結果。傳統銀行利用互聯網作為新的服務手段，建立銀行網站，提供在線服務。其網上站點，相當于它的一分支銀行或營業部，既為其他非網上分支機構提供輔助服務，如帳務查詢等，又單獨開展業務，如貸款、存取款、投資、外匯交易等。純網絡銀行也可稱為一個站點的銀行，因為它只有一個辦公地點，既無分支機構，也無營業網點，所有業務都通過網上進行。就我國而言，目前的網絡銀行主要是前一種形式。網絡銀行不管其具體形式如何，都包含著一些基本的屬性：電子虛擬的服務方式，業務運行環境的開放，業務時空界限的模糊，交易實時處理，交易費用與物理地點非相關等。這些屬性表明，網絡銀行不只是將現有銀行業務移植上網，它是金融創新與科技創新相結合的產物，是一種新型的銀行產業組織形式。

　　網絡銀行的實質是為各種通過Internet進行商務活動的客戶提供電子結算手段，“支付職能可能會成為未來銀行最主要的職能。”其服務品種大致有如下幾類：

　　銀行電子化形成的金融服務品種：（1）銀行零售業務方面的，如自動柜員機服務、銷售點終端服務、電話服務等；（2）銀行批發業務方面，如現金管理系統，提供有關帳戶的信息服務，提供有關付款的服務，提供決策支持服務；增值網，將生產商、批發商和零售商連接起來的生產、訂貨和發貨網絡，極大地提高了銀行的資金清算效率和企業資金的使用效率；（3）銀行同業清算系統方面的，如環球銀行間金融電信協會、美國銀行清算支付系統、英國的票據交換所自動收付系統、中國人民銀行清算支付系統等。

　　銀行自身網絡與Internet聯網形成的金融服務品種：（1）傳統金融服務品種在網上延伸而形成的虛擬金融服務。一是按照傳統商業銀行現已提供的服務品種簡單地上網。如財務信息查詢服務、財務管理、申請信用卡，借助圖像銀行系統拓展新的銷售渠道，推廣產品、推廣電子金融服務品牌戰略。二是對傳統商業銀行服務方式進行了補充和推廣，如轉帳結算、代理收費和代理付費、代發工資，同時辦理證券公司與交易所之間、證券公司各營業部之間、保證金帳戶與儲蓄帳戶之間的資金清算業務，以及外匯業務、信息咨詢和消費信貸等新增服務。（2）提供純粹的網上金融服務品種，形成各種網上衍生的金融服務，使金融服務的品種在線多元化。如查詢帳戶資料、下載支票帳戶數據、在線交易、咨詢和股票分析等。（3）網上支付系統服務。這是網絡銀行在虛擬金融服務中的基本項目，向客戶提供安全可靠的網上支付系統服務，目前主要按照SET和SSL協議來運行。

　　同傳統商業銀行一樣，網絡銀行也面臨著各種各樣的風險，由于采用電子貨幣和網絡化，網絡銀行除了傳統銀行共有的信貸風險、流動性風險、市場風險和外匯風險以外，技術風險、操作風險和法律風險尤顯突出。

　　技術風險。網絡銀行是基于全球電子信息系統之運行的金融服務形式。因此，全球電子信息系統技術的安全性，成為網絡銀行最為重要的經營風險。目前流行的許多操作系統均存在網絡安全漏洞，如Unix操作系統本身就是一個開放的系統，其源代碼已經公開，如果從一臺聯網的Unix工作站上使用“跟蹤路由”命令的話，可以看見數據從客戶機傳送到服務器要經過多少種不同的節點和系統，所有這些都可能成為黑客攻擊的目標。另外，NT服務器及Wind0ws桌面、PC等也存在安全隱患②。Internet利用的TCP/IP協議，在設計上力求簡單高效，極大地方便了各種計算機的連接，使得信息資源的共享變得十分容易。但是由于早期協議設計上對安全問題的忽視，比如非授權訪問、冒充合法用戶、破壞數據完整、線路竊聽、傳播病毒等，使得網絡銀行變得十分脆弱。為了安全起見，在本網絡與Internet之間插入一個中介系統，豎起一道安全屏障，即“防火墻”，用以阻斷來自外部網絡對本網絡的威脅和入侵，盡可能屏蔽有關被保護網絡的信息、結構，從而實現對本網絡的安全保護。在邏輯上，這種防火墻是過濾器、限制器和分析器；在物理上，防火墻可以是一組硬件設備，如路由器、主計算機，也可以是路由器、計算機和配有軟件的網絡組合。防火墻技術雖然可以實行強制的安全策略，同時可以記錄網上的活動情況，具有阻塞功能。但局限性依然存在：防火墻不能防范不經由防火墻的攻擊，不能防范人為因素的攻擊，不能防止受病毒感染的軟件或文件的傳輸，不能防止數據驅動式的攻擊③。為了保證網絡安全，除了防火墻技術以外，還有加密性網絡安全技術、漏洞掃描技術和入侵檢測系統等。然而在網絡安全保障方面，與網絡黑客的斗爭，從來就是“道高一尺，魔高一丈”的過程。試圖檢測到黑客的產品總是落后于新的攻擊系統的手段。換句話說，網絡安全的技術風險始終存在。

　　操作風險。操作風險來源于系統可靠性、穩定性和安全性的重大缺陷。操作風險主要涉及網絡銀行帳戶的授權使用、網絡銀行的風險管理系統、網絡銀行與其他銀行和客戶之間的信息交流、真假電子貨幣的識別，等等，特別是來源于銀行內部職員的舞弊違規行為。

　　法律風險。網絡銀行在開展業務時，面臨許多法律法規方面的不確定。表現在現有法律法規的不完善，無法可依，或者有法不依以及在網上交易中沒有遵守有關權利義務的規定等，這些都有可能給網絡銀行造成損失。

　　上述網絡銀行金融服務品種的多樣性和經營風險的特殊性，表明在發展網絡銀行業務的同時，必須加強內部審計。

　　二、網絡銀行內部審計的特點

　　網絡銀行的運行方式改變了內部審計證據的收集方式。審計證據是審計人員在審計過程中運用各種程序和方法而獲得的，用以作出審計結論的信息資料。在傳統審計實務中，審計證據的取得一般通過檢查、觀察、函證、計算、分析、詢問、監盤等途徑。但在網絡條件下，由于計算機進行實時動態管理，所有的憑證、帳簿、報表及各種書面文件均已成為網絡上的電磁信號，口頭詢問和函證可以在網上進行交談和電子郵件等方式，各種計算與分析也可借助計算機進行。因此，網絡銀行內部審計在收集審計證據時，實時性和可靠性得以極大地提高，也減少了收集審計證據的成本。在網絡銀行內部審計中，收集被審計單位內部的審計證據，可以在內審部門安裝Web服務器，或者在信息中心提供專門用于審計方面的Web服務器或者在信息中心提供專門用于審計方面的Web服務器，通過運行后臺運行的程序，從本銀行內部的會計、儲蓄、信貸、計劃、總務等部門匯集到數據庫服務器的各種管理數據中收集內審所需信息，建立內部審計數據庫，而在各個部門各個崗位的終端上，只要通過瀏覽器和極少量的應用程序（一般用Java語言開發）就可以輸入有關數據，再通過Web服務器存入到數據服務器中。收集被審單位外部的審計證據，在Intranet已經與Internet連接的情況下，內審部門通過它從Internet上可以收集國內外的有關經濟、金融、財稅、貿易、法律、政策等與內部審計有關的信息，加以存儲和整理即可。例如對借款人的財務狀況、信用等級、銀行貸款的借還記錄等，可以從人民銀行管理的“信貸登記咨詢管理信息系統”查找；內部審計適用的法律、法規和規章制度等內容都可以從公用網站上下載。

　　網絡銀行的運行方式改變了內部審計信息加工方式。傳統銀行的內部審計工作主要是審閱憑證、帳簿和報表，通過核對帳帳、帳表等是否達到六相符。在Internet條件下，隨著紙質憑證、帳簿的減少，以及網絡信息系統本身的核對、檢查和內部控制功能，除了帳款和帳實要實地監盤以外，傳統意義上“查帳”的重要性已大大降低。內部審計的工作主要是審計數字經濟系統的設計與其運行過程，檢查網絡的安全性與可靠性，測試和評價網絡銀行的內部控制情況。內部審計的工作重點是銀行資金運行過程和財務收益的形成過程。內部審計人員不僅要熟悉本行的經營過程，更重要的是評估和測試本銀行的經營風險，進行事前的經營成果預測與事中的控制，隨時利用內部審計數據為決策者提供管理所需信息，為本銀行創造價值，實現本行經營目標。也就是說，網絡銀行的內部審計人員主要是利用網絡技術、信息技術和現代通信技術來加工審計信息。

　　網絡銀行的運行方式改變了內部審計信息的輸出、傳遞、保管和檢索方式。傳統銀行的內部審計信息必須通過紙張的打印、郵寄、傳真方式傳遞，運用登記簿造冊保管，檢索效率也很低。在Internet條件下，由于網絡信息的高度共享性、實時性和動態性，因此內審信息的輸出、電子郵件的收發和網站信息的上網和下載、審計信息的存貯與檢索等都可以充分運用Internet和Intranet進行。在大銀行中可以直接利用專用網絡路線來傳遞內部審計信息，內部審計的效率得以極大地提高。

　　網絡銀行的運行方式使現場檢查和非現場檢查更加緊密。傳統銀行的內部審計無論是現場檢查還是非現場檢查都是事后進行的，時間上也是定期或不定期，不可能做到實時監控。這是因為在組織結構上內部審計沒有作為一線人員安排。對于銀行賬務的正確性、合法性、真實性、及時性則交由會計事后監督人員進行監督。當天營業終了，各儲蓄所、會計部門將當天所有的會計憑證和報表交事后監督部門，事后監督人員于次日上午重新輸入登錄一次，將結果與各部門上報的報表核對，看二者是否一致，如有差錯再查找糾正。實際工作中，會計事后監督可以對銀行賬務的正確性負責，卻難以承擔監督及時性、真實性、合法性的責任。因為畢竟是事后監督，時間上有半天至一天的差異，在全國通存通兌的情況下，這種時間差異足以使犯罪分子完成犯罪行為。比如某儲蓄所主任當天下午故意違反操作程序，擅自輸入（空存）存款500多萬元，營業終了沒有交付當天的會計憑證和報表，第二天上午在異地取現和轉賬共支取300多萬元，值得慶幸的是該行的其它管理措施到位，在第二天下午便將其抓獲，否則損失將是巨大的。

　　網絡銀行的內部審計將現場檢查與非現場檢查緊密結合。對于資金的存取、調撥等會計賬務，建立內部審計模塊，審計與會計同步進行。資金的增加和減少，除了會計部門的實時監督外，還有內部審計進行實時監控。對于非現金事項由其他內部審計人員定期或不定期的現場檢查和非現場檢查。

　　三、網絡銀行內部審計模式的選擇

　　Internet作為網絡銀行的基礎，正在改變著銀行傳統的財務會計工作模式和內部審計模式，甚至人們的生活方式。內部審計作為一項獨立的客觀的鑒證和建議活動，旨在增加機構的價值，改善機構的經營。它通過建立系統、合規的方式進行評價并提高機構風險管理、風險控制和管理過程的效率，從而幫助一個機構達到其目標（國際內部審計師協會1999年定義）。內部審計模式是內部審計導向性的目標、范圍和方法等要素的結合，它規定了內部審計應從何處人手、如何著手、何時著手等問題④。目前有帳項基礎審計、制度基礎審計和風險基礎審計三種模式可供選擇。

　　帳項基礎審計是從會計科目人手，以憑單核對為重心，目標是檢查帳目有無舞弊情況，著眼點在于數據的可信性。這種模式在銀行現場審計中使用最多，體現了傳統銀行內部審計“查錯糾弊”的本質要求。在各家銀行未聯網之前，基本核算單位都建立在縣級支行，資金的匯劃、收入的收納、成本的支出等審批權掌握在縣級行長手中，使用帳項基礎審計能夠基本滿足業務的需要。通過憑證的核對，可以發現技術性錯誤或舞弊行為。但這種模式費時費力，即使采用抽樣審計技術，也是根據內部審計人員的經驗進行主觀判斷抽樣，難免遺漏重要事項，也難以做深入的分析，難以查找錯誤或舞弊行為產生的原因，不能揭示會計系統中不合理的缺陷。因此，帳項基礎審計不能達到預期的效果。特別是各家銀行聯網以后，舞弊行為不在于費用的報銷上，而是在于資金的匯劃方面。在網絡銀行條件下，不宜單純采用帳項基礎審計模式。

　　制度基礎審計強調銀行內部審計人員對被審單位的內部控制制度進行評價，并在此基礎上決定實質性測試的時間、范圍和程度。因此改變了以往的詳細審計的做法。制度基礎審計的重點放在對制度各個環節的審查上，目的在于發現控制制度的薄弱之處，找出問題發生的根源，然后針對這些環節擴大檢查范圍。這種模式不是漫無目的的大海撈針，而是方向明確的審查。由于對整體制度的情況進行了解和分析，可以發現一些程序上的錯誤和工作步驟不合理的現象。因此可以就管理上的問題提出總體上的建設性意見，而且提高了內部審計工作效率。但是這種模式也有一定的局限性。內部審計人員的注意力過于集中在被審計單位的內部控制方面，容易使內部審計人員過于依賴內部控制的測試而忽視了其他環節。隨著網絡銀行的快速發展，對內部審計的要求也越來越高。因為在網絡銀行條件下，產生經營風險的原因很多，其中網絡技術安全是最主要的因素，它不僅有硬件上的，也有軟件上的，還有操作人員的技術水平和職業操守問題。所以，制度基礎審計模式也不能充分適應網絡銀行條件下的內部審計需要。

　　風險基礎審計立足于對銀行經營風險進行系統的分析和評價，并以此作為出發點，制定審計戰略，作出與網絡銀行經營特點相適應的多樣化審計計劃，使內部審計工作適應網絡銀行快速發展的要求。在風險基礎審計模式下，要求內部審計人員不僅要對網絡銀行各種經營風險的管理和控制措施進行評價，而且要對產生風險的各個環節進行評價，借以確定實質性測試的重點和測試水平，確定如何收集、收集多少和收集何種性質證據的決策，借以提高銀行風險管理效率。該模式運用了大量的分析方法，而且這種分析方法貫穿于內部審計的全過程。因此網絡銀行的內部審計應以風險基礎審計模式為主，兼顧其他兩種模式。因為高一級審計模式并不是完全替代低一級審計模式，而是內部審計適應現代銀行快速發展的一個不斷自我調節、不斷自我完善的過程。

　　四、網絡銀行內部審計方法

　　網絡銀行的基本工具是電子計算機，其內部審計當然也離不開電子計算機，因此對網絡銀行內部審計方法的探討實際上就是研究如何利用計算機進行內部審計工作，提高銀行內部審計的效率。從計算機桌面內部審計系統來看，目前有如下三種方法：

　　避開計算機審計方法。這種方法的實質是繞過計算機數據處理系統，對輸入、輸出計算機的原始數據，通過手工操作，將處理結果與計算機處理系統的輸出進行對比，檢查二者是否一致。這種方法是在數據處理的初級階段，內部審計人員對計算機知識掌握不多的情況下使用。由于計算機處理系統還剛剛搬上銀行儲蓄、會計、信貸、計劃桌面，銀行會計的計算機處理程序也是簡單地摹仿手工核算程序，即通常意義上的“會計電算化”，根本沒有發揮計算機的智能效用，更談不上建立內部審計模塊。顯然，這種內部審計方法未涉及到被審單位數據處理系統的設計及其內部控制的審計，原則上還不能稱為計算機審計。深為遺憾的是，許多大銀行的電子化程度已經相當高，總賬已經前移到省級分行和總行，資金匯劃的在途時間可以縮短為零，但是內部審計工作仍然停留在這一初級階段。

　　深入計算機審計方法。即深入計算機系統內部對系統運行數據輸入、輸出的全過程進行審計的方法。首先對其系統設計和內部控制進行檢查，包括系統目的與功能需求是否達到、系統分析與設計是否先進科學和實用、程序設計是否正確可靠、內部控制是否健全、管理制度是否嚴密有效、文檔資料是否齊全完整等。其次，審計的重點不在于核對每次計算機數據處理的結果，因為只要數據處理系統的設計是正確的，合理合規的，系統的環境沒有發生重大變化，那么只要一次處理正確，以后每次重復的運算也應是正確的。這種方法省卻了大量手工審計下重復的查賬對賬工作，而且能發現計算機數據處理系統設計中的錯誤，消除隱患，從根本上保障系統的安全運行。同時結合對內部控制的評審，使系統功能得以完善，并不需要增加計算機輸出的工作量。不過，內審人員必須及時掌握這些數據的處理過程以及系統改變、升級或運行環境發生重大變化時的數據處理結果，否則難以實施有效的內部審計。深入計算機審計方法需要內部審計人員有較高的業務知識，對計算機運行環境、內部結構、內部控制流程以及數據存儲結構等內容都要了解，并熟悉有關金融會計法規。

　　利用計算機審計方法或稱為計算機輔助審計方法。這是為了實施審計業務而專門開發的電子計算機審計程序，對被審計單位的電子計算機程序運行的可靠性進行檢查的方法。這一方法在我國尚處于起步階段，也是目前網絡銀行中最高級的內部審計方法，需要不斷探討和完善，應創造條件盡快采用這種內部審計方法。計算機輔助審計，一方面可以極大地提高審計工作效率，縮短審計周轉，是解決我國網絡銀行內部審計人員數量與業務水平落后于網絡銀行業務迅速發展的這一矛盾的出路之一。另一方面，運用計算機完成某些審計工作，還可以提高這些工作領域的質量。計算機輔助審計最大的作用就是建立內部審計信息數據庫。從某種意義上來講，內部審計是一個信息加工處理的活動。即從被審計單位業務活動的有關記錄中獲取證據，進而根據這些證據對其業務活動的合規性與穩健性作出評價。這種評價是在對被審單位業已形成的信息進行二次加工后獲取的。在這些活動中，內審人員不僅提煉、生成大量信息，也需大量的相關信息。如果這些信息都由紙介質存貯并由人工查找、檢索、整理，難以保證審計工作的效率。利用計算機將這些信息存貯于磁介質或光盤檔案中，在需要的時候由計算機進行查找、檢索、整理，既快又準，可以極大地提高信息檢索速度和效率。建立網絡銀行內部審計信息數據庫應包括法律法規數據庫，被審計單位基本情況數據庫、內部審計檔案數據庫、內部審計信息網絡等四個方面。

　　對于銀行來說，最重要的是實時控制資金的出入口，特別是對非法資金出入的實時監控尤其顯得重要。銀行絕大部分業務雖然都與資金相關，但最終都要通過銀行會計才能實現。因此，利用計算機進行網絡銀行的內部審計時，只要開發出銀行會計和儲蓄審計模塊，由專職內審人員運行該審計模塊，對銀行所有資金的出入進行實時監控即可。該審計模塊應能解決如下問題：儲蓄賬戶中大額存款或在短時間內連續存入同一賬戶的儲蓄存款是否真實合法？本行儲蓄賬戶的異地大額支取或短時間內同一賬戶連續大額支取是否合法？內部審計模塊運行的結果與前臺運行的結果是否一致？網絡銀行運行過程中的操作風險主要來自銀行內部的違規違法行為，只有對全行資金的出入進行實時監控，不留時間差，才能從根本上杜絕損失。

　　五、結論

　　從經濟學的觀點來看，現代信息革命，正在改變現有社會分工的格局。反映到金融體系上，是金融全球化和一體化進程的加快，金融業務經營方式的改變和市場競爭的加劇。商業銀行必須適應這些變化，擔當起金融平臺的創建者、資金轉移體系的組織者、業務流程再造的促進者，否則面臨的是在競爭中被淘汰的風險。由于網絡銀行經營風險的特殊性，在開展網絡銀行業務的同時，必須加強內部審計工作，運用先進的內部審計方法，做好風險的防范與控制，提高內部審計效率。

　　參考文獻

　　[1]戴相龍行長在“網絡經濟與經濟治理”國際研討會上的講話，2001-04-23.

　　[2]黃宗捷，楊羽編。網絡金融[M].北京：中國財政經濟出版社，2001.

　　[3]金光華，王云龍，李剛，郭安。網絡審計[M].上海：立信會計出版社，2000.

　　[4]胡春元。風險基礎審計[M].大連：東北財經大學出版社，2001.

　　作者：易傳和，向莉 來源：財經理論與實踐2002年09月