查看正文 随着计算机与网络技术的发展,银行从简单的存款通存通兑、自动取款机、电话银行、无人银行,到现在的网上银行,网络银行的发展,经历了一个不断成长、完善的过程。网络银行的发展,带来的直接影响是商业银行金融服务品种和服务效率的变化。传统商业银行建立在分支机构组织基础上的信息规模优势,正在被网络银行无限延伸的信息扩展效应所替代。与此同时,传统银行内部审计的方式方法也将被网络银行内部审计的方式方法所替代。
一、网络银行的金融服务品种与经营风险
网络银行是以银行的计算机为主体,通过银行自建的通信网络或公共互联网络,将单位和个人计算机作为终端设备而链接成“三位一体”的新型银行。理论上,无论客户何时何地,只要轻点鼠标即可通过计算机进入虚拟的金融世界,享受所需要的各种金融服务。目前,网络银行主要有网络分支银行和纯网络银行两种形式。网络分支银行是传统银行与网络信息技术相结合的结果。传统银行利用互联网作为新的服务手段,建立银行网站,提供在线服务。其网上站点,相当于它的一分支银行或营业部,既为其他非网上分支机构提供辅助服务,如帐务查询等,又单独开展业务,如贷款、存取款、投资、外汇交易等。纯网络银行也可称为一个站点的银行,因为它只有一个办公地点,既无分支机构,也无营业网点,所有业务都通过网上进行。就我国而言,目前的网络银行主要是前一种形式。网络银行不管其具体形式如何,都包含着一些基本的属性:电子虚拟的服务方式,业务运行环境的开放,业务时空界限的模糊,交易实时处理,交易费用与物理地点非相关等。这些属性表明,网络银行不只是将现有银行业务移植上网,它是金融创新与科技创新相结合的产物,是一种新型的银行产业组织形式。
网络银行的实质是为各种通过Internet进行商务活动的客户提供电子结算手段,“支付职能可能会成为未来银行最主要的职能。”其服务品种大致有如下几类:
银行电子化形成的金融服务品种:(1)银行零售业务方面的,如自动柜员机服务、销售点终端服务、电话服务等;(2)银行批发业务方面,如现金管理系统,提供有关帐户的信息服务,提供有关付款的服务,提供决策支持服务;增值网,将生产商、批发商和零售商连接起来的生产、订货和发货网络,极大地提高了银行的资金清算效率和企业资金的使用效率;(3)银行同业清算系统方面的,如环球银行间金融电信协会、美国银行清算支付系统、英国的票据交换所自动收付系统、中国人民银行清算支付系统等。
银行自身网络与Internet联网形成的金融服务品种:(1)传统金融服务品种在网上延伸而形成的虚拟金融服务。一是按照传统商业银行现已提供的服务品种简单地上网。如财务信息查询服务、财务管理、申请信用卡,借助图像银行系统拓展新的销售渠道,推广产品、推广电子金融服务品牌战略。二是对传统商业银行服务方式进行了补充和推广,如转帐结算、代理收费和代理付费、代发工资,同时办理证券公司与交易所之间、证券公司各营业部之间、保证金帐户与储蓄帐户之间的资金清算业务,以及外汇业务、信息咨询和消费信贷等新增服务。(2)提供纯粹的网上金融服务品种,形成各种网上衍生的金融服务,使金融服务的品种在线多元化。如查询帐户资料、下载支票帐户数据、在线交易、咨询和股票分析等。(3)网上支付系统服务。这是网络银行在虚拟金融服务中的基本项目,向客户提供安全可靠的网上支付系统服务,目前主要按照SET和SSL协议来运行。
同传统商业银行一样,网络银行也面临着各种各样的风险,由于采用电子货币和网络化,网络银行除了传统银行共有的信贷风险、流动性风险、市场风险和外汇风险以外,技术风险、操作风险和法律风险尤显突出。
技术风险。网络银行是基于全球电子信息系统之运行的金融服务形式。因此,全球电子信息系统技术的安全性,成为网络银行最为重要的经营风险。目前流行的许多操作系统均存在网络安全漏洞,如Unix操作系统本身就是一个开放的系统,其源代码已经公开,如果从一台联网的Unix工作站上使用“跟踪路由”命令的话,可以看见数据从客户机传送到服务器要经过多少种不同的节点和系统,所有这些都可能成为黑客攻击的目标。另外,NT服务器及Wind0ws桌面、PC等也存在安全隐患②。Internet利用的TCP/IP协议,在设计上力求简单高效,极大地方便了各种计算机的连接,使得信息资源的共享变得十分容易。但是由于早期协议设计上对安全问题的忽视,比如非授权访问、冒充合法用户、破坏数据完整、线路窃听、传播病毒等,使得网络银行变得十分脆弱。为了安全起见,在本网络与Internet之间插入一个中介系统,竖起一道安全屏障,即“防火墙”,用以阻断来自外部网络对本网络的威胁和入侵,尽可能屏蔽有关被保护网络的信息、结构,从而实现对本网络的安全保护。在逻辑上,这种防火墙是过滤器、限制器和分析器;在物理上,防火墙可以是一组硬件设备,如路由器、主计算机,也可以是路由器、计算机和配有软件的网络组合。防火墙技术虽然可以实行强制的安全策略,同时可以记录网上的活动情况,具有阻塞功能。但局限性依然存在:防火墙不能防范不经由防火墙的攻击,不能防范人为因素的攻击,不能防止受病毒感染的软件或文件的传输,不能防止数据驱动式的攻击③。为了保证网络安全,除了防火墙技术以外,还有加密性网络安全技术、漏洞扫描技术和入侵检测系统等。然而在网络安全保障方面,与网络黑客的斗争,从来就是“道高一尺,魔高一丈”的过程。试图检测到黑客的产品总是落后于新的攻击系统的手段。换句话说,网络安全的技术风险始终存在。
操作风险。操作风险来源于系统可靠性、稳定性和安全性的重大缺陷。操作风险主要涉及网络银行帐户的授权使用、网络银行的风险管理系统、网络银行与其他银行和客户之间的信息交流、真假电子货币的识别,等等,特别是来源于银行内部职员的舞弊违规行为。
法律风险。网络银行在开展业务时,面临许多法律法规方面的不确定。表现在现有法律法规的不完善,无法可依,或者有法不依以及在网上交易中没有遵守有关权利义务的规定等,这些都有可能给网络银行造成损失。
上述网络银行金融服务品种的多样性和经营风险的特殊性,表明在发展网络银行业务的同时,必须加强内部审计。
二、网络银行内部审计的特点
网络银行的运行方式改变了内部审计证据的收集方式。审计证据是审计人员在审计过程中运用各种程序和方法而获得的,用以作出审计结论的信息资料。在传统审计实务中,审计证据的取得一般通过检查、观察、函证、计算、分析、询问、监盘等途径。但在网络条件下,由于计算机进行实时动态管理,所有的凭证、帐簿、报表及各种书面文件均已成为网络上的电磁信号,口头询问和函证可以在网上进行交谈和电子邮件等方式,各种计算与分析也可借助计算机进行。因此,网络银行内部审计在收集审计证据时,实时性和可靠性得以极大地提高,也减少了收集审计证据的成本。在网络银行内部审计中,收集被审计单位内部的审计证据,可以在内审部门安装Web服务器,或者在信息中心提供专门用于审计方面的Web服务器或者在信息中心提供专门用于审计方面的Web服务器,通过运行后台运行的程序,从本银行内部的会计、储蓄、信贷、计划、总务等部门汇集到数据库服务器的各种管理数据中收集内审所需信息,建立内部审计数据库,而在各个部门各个岗位的终端上,只要通过浏览器和极少量的应用程序(一般用Java语言开发)就可以输入有关数据,再通过Web服务器存入到数据服务器中。收集被审单位外部的审计证据,在Intranet已经与Internet连接的情况下,内审部门通过它从Internet上可以收集国内外的有关经济、金融、财税、贸易、法律、政策等与内部审计有关的信息,加以存储和整理即可。例如对借款人的财务状况、信用等级、银行贷款的借还记录等,可以从人民银行管理的“信贷登记咨询管理信息系统”查找;内部审计适用的法律、法规和规章制度等内容都可以从公用网站上下载。
网络银行的运行方式改变了内部审计信息加工方式。传统银行的内部审计工作主要是审阅凭证、帐簿和报表,通过核对帐帐、帐表等是否达到六相符。在Internet条件下,随着纸质凭证、帐簿的减少,以及网络信息系统本身的核对、检查和内部控制功能,除了帐款和帐实要实地监盘以外,传统意义上“查帐”的重要性已大大降低。内部审计的工作主要是审计数字经济系统的设计与其运行过程,检查网络的安全性与可靠性,测试和评价网络银行的内部控制情况。内部审计的工作重点是银行资金运行过程和财务收益的形成过程。内部审计人员不仅要熟悉本行的经营过程,更重要的是评估和测试本银行的经营风险,进行事前的经营成果预测与事中的控制,随时利用内部审计数据为决策者提供管理所需信息,为本银行创造价值,实现本行经营目标。也就是说,网络银行的内部审计人员主要是利用网络技术、信息技术和现代通信技术来加工审计信息。
网络银行的运行方式改变了内部审计信息的输出、传递、保管和检索方式。传统银行的内部审计信息必须通过纸张的打印、邮寄、传真方式传递,运用登记簿造册保管,检索效率也很低。在Internet条件下,由于网络信息的高度共享性、实时性和动态性,因此内审信息的输出、电子邮件的收发和网站信息的上网和下载、审计信息的存贮与检索等都可以充分运用Internet和Intranet进行。在大银行中可以直接利用专用网络路线来传递内部审计信息,内部审计的效率得以极大地提高。
网络银行的运行方式使现场检查和非现场检查更加紧密。传统银行的内部审计无论是现场检查还是非现场检查都是事后进行的,时间上也是定期或不定期,不可能做到实时监控。这是因为在组织结构上内部审计没有作为一线人员安排。对于银行账务的正确性、合
