金融審計信息系統

隨著金融信息化進程的不斷推進，信息技術在金融業務中起著越來越重要的作用，越來越多的金融業務流程依賴信息技術。現代金融行業在組織結構、業務流程、業務開拓以及客戶服務等方面，日益體現出以知識和信息為基礎的特徵。

我國金融業實行“分業經營、分業監管”模式。銀行、證券和保險業實行嚴格的分業經營，而且各金融企業的信息系統架構千差萬別，資料庫相互獨立。

金融審計信息系統，將建成面向客戶跨行業統一的金融審計資料庫，不僅可以利用標準化的金融審計分析體系來實現“以客戶為中心、以資金為導向”的跨行業審計分析，揭露金融業存在的系統風險；而且可以利用數據挖掘方法從金融審計資料庫中發現相關聯的問題並展開趨勢預測以及巨觀決策分析。金融審計信息系統的建成將充分發揮金融審計的綜合性優勢，實現對金融業的統一監管，大大提升金融審計的巨觀保護性作用。

有效的金融監管，應是保持對整個金融體系的動態、預警、連續的監管，保持整個金融體系的相對穩定。金融審計資料庫的建設，是實行審計對象的動態管理的基礎工作，對已審計過和未審計過的金融企業，建立詳實的資料庫，有利於對被審計單位進行動態對比分析，並為確定審計計畫項目提供科學依據，為最終實行網上實時審計奠定基礎，有效提高金融審計的科學性。

信息化條件下，金融審計信息系統是開展金融績效審計所必需的基礎條件。金融審計信息系統強大的數據分析功能，對金融風險的過程監控和對系統全面分析的優勢為開展金融績效審計提供了強有力的技術支持。

“金審工程”不僅加強了審計信息化硬體基礎設施建設，還極大地改善了開展計算機審計的軟體環境，大大提高了審計人員計算機套用水平並為後續推廣奠定基礎。這些硬體和軟體方面的建設成果都為金融審計信息系統的建設提供了廣闊的發展平台。作為國家審計信息系統的重要組成部分，金融審計信息系統已經納入審計信息化建設日程。

從上世紀90年代中後期，我國各大商業銀行都加快了“數據大集中”工程的建設步伐。“數據大集中”不僅僅是銀行業對技術支持系統的一個改造，更是對傳統銀行業的整體管理理念、管理經營模式的徹底再造。為了更好地整合這些商業銀行的數據資源，審計署已於2008年起陸續在各銀行建立起了基於Oracle資料庫的金融審計數據存儲平台。這一存儲平台的建立為金融審計信息系統的建設儲備了必要的信息資源。

金融審計信息系統總體架構設計圖

審計客戶端為系統的第一層，這一層主要是實現表示邏輯，它直接面向操作人員。其主要功能是：提供用戶操作界面，實現用戶與計算機的人機互動和數據表示；向中間層的審計分析伺服器提交各類操作請求，並將處理結果反饋給用戶。這一層一般不進行業務邏輯校驗，或者只作簡單的校驗。

審計分析伺服器為系統的中間層。這一層主要是實現業務邏輯。它以中間件為基礎進行構建，在系統中起承上啟下的作用，它接受客戶端對資料庫的請求，將請求提交到後台資料庫中，最後將處理結果返回客戶端。

審計分析伺服器對服務進程進行任務調度、負載平衡和故障恢復工作，保證了系統主機的高效運行。在審計分析伺服器中包含系統主要的業務邏輯，使大部分的業務邏輯校驗在伺服器中完成。當業務邏輯發生變化時，只需修改伺服器端的程式即可，無須對所有的客戶端進行更新，另外也降低了客戶端的負載。

審計資料庫構成系統的第三層。這一層主要負責存儲數據，管理數據資源，回響數據請求，完成數據操作。

這種三層體系結構的優勢非常明顯。它可以將部分或全部的業務邏輯控制安裝在審計分析伺服器上，減輕了客戶端的負載；只有審計分析伺服器和審計資料庫直接相連，由審計分析伺服器處理客戶端對審計資料庫的連線請求，降低了對資料庫資源的占用；數據以交易包的形式傳輸，網路流量小，同時客戶端可以共享審計分析伺服器中的公共數據，節省頻寬，提高了反應速度。

金融審計信息系統的網路拓撲圖如下圖示：

金融聯網審計信息系統網路拓撲結構圖

1.金融審計信息系統的組網基於金審工程區域網路平台實現審計端與被審計端的連線，保證金融電子數據的傳輸安全。

2.在審計資料庫與審計分析伺服器中間增加資料庫透明網關，用於和國家審計信息中心的DB2資料庫伺服器之間互動基礎數據。

3.採用單刀雙擲網路開關實現物理隔離，當被審計端資料庫採集生產系統數據時從審計區域網路中脫離，確保各網段互不聯通。

4.路由交換兩端分別部署防火牆和PKI/CA基礎設施，切斷網路入侵。

各金融企業的信息系統都有自己的業務邏輯，而審計人員對金融企業業務流程的認識過程是循序漸進的，因此金融審計信息系統建設的數據規劃既要兼顧審計資料庫結構的統一，又要兼顧各金融機構各不相同的資料庫原型邏輯。要將二者統一最好的解決辦法就是採用數據視圖設計，把被審計單位原始資料庫完整克隆到審計資料庫，從資料庫視圖里構建欄位映射關係，審計資料庫結構設計的調整隻需調整視圖。

用數據試圖設計搭建統一的審計數據平台具有很多優點：

1.不會破壞原始資料庫包含的約束條件和事務流程，不會降低數據處理的效率； 2.審計資料庫可以隨原始資料庫實時更新； 3.可以根據審計需要隨時調整數據結構設計； 4. 便於審計人員與被審計單位科技人員溝通； 5.可以省略審計資料庫的安全備份機制。比如某項金融審計業務邏輯發生了變化，我們只需相應地調整視圖設計，而不用去變更審計資料庫的事實表。

SQL查詢分析主要包括圖形化查詢、索引建議、預覽採集、動態漢化、EXCEL互動等功能，並能對查詢結果數據透視圖分析。

多維數據集分析有利於總體決策，提供對匯總數據的分析功能，主要包括切片、切塊、旋轉、上鑽、下鑽等功能。通過建立以時間、地域、客戶、幣種、科目、業務品種等要素為維度，以金額、數量等指標作為度量值的多維數據集模型，向決策層提供各家金融機構的財務狀況和各項業務經營狀況的總體情況。

數據挖掘分析是將高級智慧型計算技術套用於大量數據中，選擇一種或者多種挖掘算法，從海量數據中發現潛在的、有價值的信息並建立相應模型。這些模型可以用來預測、支持決策，主要套用於信貸欺詐的建模和預測、風險評估、執行走向分析、收益率分析等領域，從風險損失的歷史數據中歸納潛在的聯繫和規律，對審計重點關注對象實施定量分析和科學預測，建立預警模型，改變審計“事後審計”為“事前預測”。

專家經驗模型分析是把金融審計專家經驗庫固化到中間層審計分析伺服器中，形成金融審計知識庫。審計人員只需調用其中的專家經驗數據分析或金融數學模型，就可以實現同類型問題的自動審計。

1)滿足合規性要求，順利通過IT審計

越來越多的單位面臨一種或者幾種合規性要求。比如，在美國上市的公司及其下屬分子公司就面臨SOX法案的合規性要求;而商業銀行則面臨Basel協定的合規性要求;政府的行政事業單位或者國有企業則有遵循等級保護的合規性要求。

安全審計系統有助於完善組織的IT內控與審計體系，從而滿足各種合規性要求，並且使組織能夠順利通過IT審計。

2)有效減少核心信息資產的破壞和泄漏

對單位的業務系統來說，真正重要的核心信息資產往往存放在少數幾個關鍵系統上(如資料庫伺服器、套用伺服器等)，通過使用安全審計系統，能夠加強對這些關鍵系統的審計，從而有效地減少對核心信息資產的破壞和泄漏。

3)追蹤溯源，便於事後追查原因與界定責任

審計監控體系能夠完整的詮釋責任認定體系。通過穩定而成熟的審計技術，可以建立起一個行為不可抵賴、數據可靠，完整並且強有力的責任認定體系。

通過從不同層面對支付系統中各種設備的操作和管理行為，包括本地操作和遠程操作的綜合審計，可以很好的將上述行為記錄下來，並且長時間保存，可以達到很好的達到審計監控目的，從而有效進行責任認定。

4)實現獨立審計與三權分立，完善IT內控機制

從內控的角度來看，IT系統的使用權、管理權與監督權必須三權分立。在三權分立的基礎上實施內控與審計，有效地控制操作風險(包括業務操作風險與運維操作風險等)。安全審計實現獨立的審計與三權分立，完善IT內控機制。