仰巍巍

一、研究问题的提出

2008年金融危机以后，商业银行会计信息系统运行的安全问题引起了国务院、银监会和商业银行的高度重视。在不断高速发展的信息化时代，会计核算手段和环境发生了重大变化，风险产生及形成的原因更加复杂和隐蔽，并且由于计算机软硬件成为会计人员的操作平台，增加了风险因素，同时，由于网上业务的迅速发展，使风险的控制难度进一步加大。

国际上，从1995年的巴林银行案，到2002年的爱尔兰联合银行案，再到2008年的法国兴业银行案，引起了国际社会的高度关注。再看国内，从2001年中国银行开平支行的40亿人民币监守自盗案、浦发银行虚假抵押案到中行四马路支行的内外勾结案，再到深圳发展银行违法放贷案。涉案金额之大，令人触目惊心，表相下面隐藏的就是真相，那就是银行的风险管理漏洞以及员工的职业道德问题。

针对国内外经济金融环境的变化，2008年我国监管机构向国内银行提出了预警。但是，在2009年3月发生的宁波银行案又一次震惊了监管层，导致了银监会17个检查小组全国撒网普查。鉴于此，有必要对我国商业银行的风险管理进行重新审视和研究。

二、商业银行风险问题分析

1.制度建设和流程改造

随着信息化程度的提高，制度建设也需要较快的更新，虽然各家商业银行都在不断地更新相应的会计信息系统风险控制制度，但由于种种原因，制度的建设一直落后于系统发展，影响制度建设和执行主要有以下原因：

一是制度设计思想上缺乏创新，制度的设计主要是在套用手工条件下的相关会计制度，而在计算机条件下，制度创新非常重要，其设计理念思想不能沿用原有手工会计制度，应该开创计算机环境下会计制度制定的新思路。

二是制度多为原则性规定，可操作性不强，要不就是操作规定特别繁杂，这两种情况均影响制度的执行，制度的制定需要既了解计算机又了解业务并具有实际工作经验的人制定，缺乏高素质综合性的人才也影响了有效制度的制定。近年来，商业银行间的竞争加剧，特别是随着网点柜员逐渐由偏重于会计向偏重于营销的转型以及经营任务的压力，再加上系统自动化处理逐渐淡薄了各级会计人员对会计业务的认识。

三是IT审计缺位。虽然现在各商业银行内部逐步树立了IT审计的概念，但也仅是停留在概念阶段，无论是内审局、内控部门还是专业会计检查人员，一般是懂业务而不懂技术，而从技术部门转型到上述专业的人员，一方面对业务理解不透，另一方面脱离技术的应用，也难以起到真正的IT审计职能，而目前主要采用的方法是技术部门的自查与互查。

2.计算机软硬件建设

商业银行会计引入信息化后，与信息系统相关的软硬件安全控制成为会计业务风险的重要来源。

巴林银行倒闭的案例发人深省，同时也从侧面给了另外一种启示。虽然里森的职业道德问题是巴林银行倒闭的直接原因，但不能忽略这样一个细节，巴林银行当时使用的会计信息系统落后，系统的运行存在问题，信息交流不畅，也无法及时发现“88888”这个错误账户。当时，里森看好日本股市，并投资于日经指数期货，期间用于清算记录的电脑故障频繁，无数笔的交易记账工作都积压起来，系统无法正常工作，导致大额的损失。最后，由于衍生金融产品的复杂性和风险性，以及外部环境的难以预测性，最终葬送了巴林银行。可见，对会计信息系统的基础建设必须慎重。

计算机硬件风险隐患主要有两方面，一是物理安全，如防水、防火、防震、湿度、温度及人为破坏等方面，二是硬件产品的质量控制。

计算机软件的风险层面较多，从支持硬件的操作系统到应用到商业银行的应用系统，都有可能存在风险隐患，软件需求、开发人员的资质、软件的适用性测试等各方面均对软件质量形成一定的影响。

计算软硬件的建设需要一定的成本，这个成本有时会很大，各商业银行对会计信息化建设的重视程度决定了资金的投入，而资金的投入在很大程度上影响着软硬件的质量。

另外，来源于外部环境的威胁主要是计算机病毒，目前计算机病毒数量多，传播快，且不断地升级，它对计算机有极大的破坏性，特别是针对网上银行业务，计算机病毒已成为威胁商业银行会计信息系统的重要安全隐患。

3.账务核算体系的变化

在账务核算体系上，引入计算机网络后，商业银行会计业务的处理程序、处理方法和账务核对发生了很大的变化，日常账务登记已不是严格意义上的平行登记，所谓的平行登记，日终是由计算自动根据业务流水登记总账和发生额，因此不论计算机内数据是否与原始凭证数据相符，明细账与总账总是相等，同时，由于大量账务处理由计算机自动处理，一般会计人员已不清楚账务的来胧去脉，只是在柜面进行业务数据的录入，账务的核对集中到了少数人手中，在网点甚至集中到一到两个人身上，这带来诸多风险隐患，一是如果网点缺乏对账务透彻理解的人员，对账务的核对形同虚设，二是如果仅个别人精通账务且负责核账，增加了人为舞弊的风险。三是由于会计信息系统之间相互关联，模糊了会计人员与非会计人员的界限，比如信贷业务经审批后可以直接到核心系统进行账务处理，则信贷人员成为潜在会计人员。

4.授权与责任体系

权限管理是对商业银行会计信息系统操作权限的控制，虽然电子化尽量减少人为干预，但人员操作仍是会计信息系统中最重要的因素，人员的权限管理显得非常重要。

众所周知，会计差错及失误等的发生频率很高，但其造成的损失较小，会计舞弊与欺诈发生的频率较低，但其造成的损失很大。这就是著名的“巴雷多原则”，即20%的管理漏洞会给企业带来损失的80%，而会计风险所具有的正是这种“高频低损，低频高损”的特征。究其原因，是由于银行决策层权限管理的失控。因为后台管理岗位大多拥有一定的资源权或话语权，在风险形成过程中起到了关键作用，很多大案也是在管理权限失控的情况下才发生的。所以权限管理就显得很重要，会计系统风险管理的重点领域应是对后台管理岗位，尤其是关键岗位的管理。

三、会计信息系统的风险管理措施

1.风险预测系统的“云安全”策略

在金融领域，商业银行应该建设适合自己的风险预测系统。“云安全”本来是一个防网络病毒的定义，病毒查杀软件存在于后台的服务器端，它像云一样虚无缥缈，客户端感觉不到它的存在，但它确实时时刻刻在起着监督作用。这个模式对商业银行风险预测系统的构建很有启发。

首先，应该建立健全商业银行信息系统会计风险控制制度，更新风险控制理念。引进在信息系统条件下的风险控制模型与风险控制体系，而不是在原有制度基础上修修补补。

其次，针对风险产生的关键领域进行评估，合理运用量化指标，识别和评估所有银行产品、活动流程（如账户管理，贷款，银行承兑汇票，网上银行，自助设备等）中易发的操作风险，研究急需制定的风险评估问题清单，由风险管理部门和行内专家举办研讨会，对风险战略涉及的技术细节提出明确的解决方案和行动指南。

最后，由开发部门建立相应的数据仓库，取得相关数据，如账户交易活动，柜员操作纪录和各种授信业务发生纪录。管理层在服务器端，通过与内部会计信息系统的顺畅连接，从一线高效提取、积累数据，向后台的监督层和决策层提供各种自动整理加工后的综合信息。一旦数据库网络技术（SQL，ORACLE等）与奔德福定律等统计科学相结合，就可以提高风险的预测效率和质量，同时减少风险预测时间和成本。

目前，我国的各商业银行已经普遍建立了自己的数据仓库，实行业务数据的集中，在技术上已经具备了对业务信息数据进行实时监控的条件。如果能建立这样一个风险预测系统，将有助于帮助那些实际经验不够丰富，会计专业知识较为薄弱的管理者和监督者提高风险预测的能力和对风险识别的概率。

2.计算机软硬件的更新与维护

巴林银行案例给出了明确的启示，首先要加强商业银行电算化信息系统的硬件建设。不仅对硬件所处的物理环境进行充分重视，对计算机硬件本身的质量也必须充分重视，选择信誉良好质量过硬并有完善售后服务的厂家，对硬件有后续更新换代的能力。

其次，要加强商业银行电算化信息系统的软件安全控制。软件质量控制主要在研发和测试部门，这就要求商业银行一定要规范软件的开发和应用，软件开发需经历可行性分析、立项、需求分析、编码处理和测试验收等阶段，软件的需求不仅要符合产品的需要，也需要满足风险控制的需要，需求人员要了解一定的计算机知识，以提高需求的质量。研发与测试人员需要了解一定的业务和会计知识，使软件开发的结果既实现业务需求又符合风险控制的需要，业务人员和技术人员要密切配合，将业务要求与计算机技术相融合，使软件发挥出最大的效用并进行有效的风险控制。

3.控制环境，以人为本

从文化环境角度而言，要努力培养良好的合规机制与合规文化，以人为本，常抓不懈。这是一种无形的力量，也是商业银行非常需要的一种手段。

2006年，注册舞弊审计师协会（ACFE）的调查表明，内部审计师发现侵占性舞弊的概率只有20.2%，舞弊由于揭发而被发现的概率最高，达到34.2%；Lawrence B.Sawyer（1988）认为，审计人员直接查出舞弊比例为29%，内部相关人员核对发现舞弊为11%，管理当局发现为16%，他人告密发现为36%（曹军等，2010）。这表明，风险识别的线索有可能来自同事，客户举报，内部审计，外部审计和偶然发现等。一方面，管理当局要从多方面对风险进行识别，另一方面，更说明了会计人文环境的重要性，要拓宽对风险识别的人文理解。对舞弊者的发现和检举，往往是其朝夕相处的同事，所以说人的因素是相当重要的。从这一意义讲，一旦能确定舞弊线索，风险管理部门就可以立即有针对性地实施突击检查，从而在节省时间的情况下，提高发现问题的概率。因此，我国的四大商业银行可以从人文环境角度探索会计风险管理模式，而中小商业银行也要结合自身特点，在人力资源的选择上，采取简便有效，符合本行特点的管理措施。

4.流程标准化

第一，建立健全风险控制机构。风险控制机构一般有以下几项原则：开发与应用部门分离，业务办理事前审批、事中授权、事后监督，部门相互约束等。

第二，使各项业务和管理的流程标准化、精细化。从数据处理的角度看，会计业务流程中的各项活动都体现为一个有序的数据处理和信息生成过程，这一过程可以细分为若干部分，每一部分都相对完整，从而构成流程节点，形成会计岗位，每个会计岗位都有明确的职责要求，所有部分相互联系，互相配合，服从于一个统一的目标，形成一个会计活动的有机整体，避免因流程设计不合理而诱发风险。

第三，注重制度的执行力，特别在是前台柜员人力资源释放，柜面人员由会计向营销人员转型过程中，不能忽视会计操作的风险，各级领导要加强重视，一是避免重任务轻风险控制，二是避免完全依赖计算机处理或过分相信计算机的风险控制能力。

第四，加强人员培训，提高操作人员素质。银行的会计操作员一般由金融、会计等专业的人员构成，对财务专业知识相对比较了解，对计算机知识存在一定的缺陷，注重商业银行业务人员素质的不断提高，关键是在加强业务知识培训的同时，加强计算机相关知识的培训，使从业人员具有一定的计算机专业知识。