一、商业银行内部审计的审计环境和审计对象发生了根本性变化
(一)信息科技的发展推动了大数据时代的到来,并进一步促进金融信息化的发展
近年来,随着信息科技革命,物联网、互联网、移动通讯、云计算等的快速发展,全球数据总量每年以40% 左右的速度增长,几乎每两年就翻一番。大数据已经成为社会经济生活包括金融业最重要的一个生态环境。金融作为社会经济的核心部门之一,是对信息化依存度最高的行业之一,各家商业银行都投入了大量的人力物力推动信息化发展。同时,金融与互联网进一步融合,互联网金融成为金融发展的一种新趋势,互联网+ 金融已成为当前金融业发展的主要模式。金融业进一步电子化、网络化、虚拟化。根据中国银行业协会发布的数据,2015 年银行业离柜交易金额达1762.02 万亿元,同比增长31.52%,是2012 年的两倍;银行业平均离柜业务率(柜台替代率或电子渠道分流率)为77.76%,同比提高9.88 个百分点,比2012 年提高了约20 个百分点,其中, 中行2015 年电子渠道对网点业务的替代率达到 87.97%,而浦发银行更高达91.47%。
(二)大数据的出现和互联网的发展,促进了银行运营模式、管理模式的不断变革和金融创新
1. 银行业务运营进一步集中化、远程化。信息技术进步进一步促进银行后台业务数据处理系统的整合,通过构建数据大平台,依托云技术等新数据处理技术,打造强大的信息处理能力,实现了数据集中和共享。
2. 银行业务办理进一步自动化、智能化。国内银行在业务处理自动化上已从单一的自助终端过渡到高度集成的系统和设备(虚拟柜台系统VTS)阶段。同时,银行智能化还表现在风险控制和内部综合管理方面,如大量采用专家软件系统和决策软件系统进行管理和控制。
3. 银行管理模式将进一步重新塑造。各银行逐步形成集成化、扁平化、流程化、开放式,以客户为中心、面向客户需求的组织架构。
4. 银行业务与产品的创新成为一种新常态。金融信息化推动了金融创新,除了银行经营理念、管理体制机制上不断创新变化外,业务和产品的创新也成为常态化。
二、信息化环境下银行风险及内部审计面临的困难与挑战
(一)信息化环境下商业银行的主要风险及特点
1. 信息系统及数据安全风险。主要包括银行信息系统风险、数据及网络安全等风险。大数据环境下,系统、网络及数据的安全对银行至关重要。但由于技术本身成熟度、专业人员技术水平、外部网络入侵攻击及其他的内外部违规违法行为,都可能造成系统运行中断或瘫痪、资金被窃取或挪用、重要数据和信息泄密或篡改、损坏等风险。如2015 年9 月至11 月的3 个月时间里,某平台上汇总金融行业已被客户确认的安全漏洞共206 个,其中高危漏洞195 个,与数据泄露相关的漏洞占53%。
2. 内部操作风险。主要指内部人员(包括内外勾结)违规或违法操作导致损失的风险。信息化条件下金融企业面临的最大操作风险,仍然还是内部人员的道德风险。2013 年底披露的支付宝公司员工私自下载批量用户信息并出售给他人,2014 年杭州某银行内部员工盗取42 名储户总计9505 万元存款案件,2015 年福建某银行员工私盖银行业务章、伪造理财产品凭证从事非法集资等,都是典型的内部员工道德风险案例。
3. 信用风险。资产业务是银行的主体业务,客户违约导致银行资产损失的信用风险,仍然是当前银行最主要的外部风险。虽然随着社会信息化的发展,信息共享程度进一步提高,大数据下信息挖掘技术的运用有利于减少信息不对称,但当前社会信息共享程度仍然较低,社会统一的信用评价机制尚未完全建立,各行业信息也未能有效整合,借款人经营状况和资信情况信息不对称问题仍然存在。
4. 业务和产品创新风险。大数据及互联网时代下,银行金融业务和产品创新层出不穷,推出速度不断加快,金融服务产品呈现个性化、自助式、组合化,这有助于银行抢占营销市场、增加市场份额,但同时也增加了新的风险。如一些金融结构化产品、理财投资产品存在业务创新决策失误、产品模块设计缺陷、产品不符合市场需求、成本或风险与效益不匹配、产品风险防控措施不到位以及可能引发其他社会经济、金融不稳定等问题的风险。
5. 声誉风险。目前不法人员利用高科技手段批量盗取客户资金的情况时有发生,虽然主要责任不在银行,但也给银行造成较大声誉风险。公众会怀疑银行防范违法行为的措施不足。实际上,快捷支付风险事件高发与银行安全措施不够、支付认证手段单一也有一定关联。另外,随着互联网金融发展,银行与第三方支付的合作与联系越来越紧密,但对第三方支付的监管仍然滞后,其风险如果传导到银行,可能对银行造成声誉风险或其他损失。
以上信息化环境下的风险,与以往风险相比,存在以下不同特点:
一是技术风险和高科技含量的操作风险更加突出。目前,我国银行信息系统的安全形势并不乐观,系统稳定性和安全漏洞仍然较多存在,非正常系统中断和网络入侵时有发生,系统安全、数据安全等技术性风险突出。同时,内部操作风险的技术含量也随着整个社会信息化的发展而提高,高科技手段的道德风险越来越突出。如近年发生多起银行内外部人员单独或内外勾结,利用银行信息系统内部控制制度执行不到位或信息系统漏洞,从银行内部或从外部网络利用黑客、木马软件等入侵篡改数据,盗取资金、客户信息,都具有利用高技术手段对信息系统作案特点。
二是风险事件造成的影响面和风险值扩大,且传播速度加快。风险由过去涉及个别、少数群体转变为普遍、大众群体,由分散独立风险向系统性风险快速转变,并可能导致声誉风险。由于网络信息传递的快捷和不受时空限制,金融风险在发生程度和作用范围上产生放大效应,风险发生的突然性、传染性都在增强,危害也更大。同时,大数据环境下银行数据运行和存储的集约化程度较高,一旦系统出现安全问题或被攻击成功,就可能立即造成系统中断、瘫痪或批量数据被泄密、篡改或损坏,影响对象众多,并可能导致爆发系统性风险。
三是风险边界扩大,发现难度加大。高技术条件下,银行风险点无处不在,风险领域全覆盖、立体化,且发生风险的节点、路径往往看不见、摸不着,隐藏在内外部网络、信息系统和海量数据中,难以及时发现,而一旦暴露就可能造成轰动效应,具有极大的破坏性、传染性。当前银行交易突破了时间、空间的约束,在提供便利的同时也随时可能发生各种风险,包括来自不同路径、不同节点的攻击和入侵。同时,银行内部庞大的员工队伍,也都是银行各种信息系统的一个用户,如果相关内部控制管理存在漏洞,就有可能被其中极个别不法人员利用。
四是决策失误风险逐步加大。信息化条件下,任何一个重大的银行经营决策变化,都可能需要对组织架构、信息系统、业务与产品及相关流程、营销网络与渠道、营业网点、人员培训等一整套体系进行修改甚至重新构建,这些不仅仅需要投入大量的时间、资金、人力,而且一旦决策失误,可能对银行经营造成不可逆的巨大影响和损失,且不仅是财务上的损失和风险的增加,还包括市场和发展后劲的影响和损失。如前几年许多银行的社区网点建设战略与金融互联网化、虚拟化的发展趋势不完全相符,目前一些银行已开始逐步退出。
(二)内部审计面临的困难与挑战
大数据和互联网条件下,商业银行运营模式和风险特点都正在发生巨大的变化,内部审计部门只有适应这些新变化,才能履行好监督评价和增加价值的职能。但目前国内许多银行内部审计部门在审计理念、组织模式、审计技术、审计人才等诸多方面,与信息化审计不相适应,甚至存在较大差距,面临相当大的困难与挑战。
1. 审计理念落后,组织模式与银行运营现状及发展趋势越来越不适应。在大数据与互联网条件下,各银行都在整合信息系统并构建大数据平台,实现数据集中和后台业务处理集中,同时积极重新构建集中化、流程化、远程化的运营管理组织架构。而许多商业银行内部审计相对业务发展显得落后,跟不上业务发展步伐,甚至是距离越来越大。如目前大多数银行审计部门的主要审计内容仍然停留在具体业务的合规性及员工内部操作风险等方面,主要采用简单抽样现场审计方式,凭借审计人员个人经验,以发现违规问题为主要审计目标,较少通过大数据挖掘和分析,从战略经营决策、运营管理机制、整个信息系统等方面,深入、持续、系统性地评价银行经营效率、效果和风险,并提出有助于提升银行整体价值的审计建议。同时,国内银行的审计组织模式也不适应当前及今后银行信息化发展要求。如许多银行建立总行垂直管理的区域审计中心,对其辖区内机构进行审计,但在数据、信息共享方面受到区域限制,不适应当前银行客户及业务的网络化、远程化、开放性、全时空等要求。
2. 审计信息化建设投入不足,审计技术落后,难以及时有效识别、评价信息化环境下的各类风险。银行内部审计已进入大数据和互联网时代,审计对象也已高度信息化,但许多银行的内部审计自身信息化发展滞后,审计数据平台没有完全建立,缺乏信息化的审计技术手段和工具,很多方面还停留在早期计算机辅助审计阶段,手工分析比例大,采用抽样方式选择样本,且以现场审计为主。没有系统化的数据收集和审计挖掘分析工具,而仅仅通过手工或简单的计算机辅助审计手段开展审计,效率低且难以取得好的审计效果。如目前许多银行的客户信用评级采用自动评级系统,录入或导入相关数据后,系统自动计算分析得出评级结果,算法嵌入在系统内。对手工审计来说,计算过程就是看不见摸不着的黑匣子,不采用信息化分析工具,是难以逐户进行复核计算的。同时,由于审计技术手段不足,难以做到事前审计分析、事中实时审计,审计部门无法实时发现异常并控制风险。另外,数据来源渠道多、信息量大且动态多变,如果没有先进的大数据挖掘技术,快速收集、辨别分析海量非结构化的数据并及时发现风险和管理漏洞就十分困难。
3. 审计人才短缺,专业素质不足,难以完成信息化条件下的审计任务并提出有价值的改进建议。大数据和互联网等信息化条件下,各种信息科技成果被大量应用于金融部门,银行信息系统越来越庞大复杂,同时新产品、新流程的创新周期越来越短、品种越来越多,审计人员如果不掌握新的信息技术知识,不了解银行信息系统设计架构、布局、软硬件环境等情况,不具备大数据挖掘和分析能力,不熟悉新的业务情况和新产品特点,仅仅依靠过去低信息化水平下的业务知识和审计经验,就难以对新信息技术条件下银行的整体风险进行评估,也难以实现对商业银行经营管理的事前和事中监督和服务。国内银行内部审计部门普遍存在信息化审计人才短缺的情况。一是掌握大数据、互联网和信息系统技术的IT 审计人才缺乏。二是了解业务发展战略和运营,熟悉银行新业务、新产品流程和特点的业务审计人才缺乏。三是既有科技知识又精通业务且具备战略视角的骨干审计人才更加缺乏。内部审计人员对各专业信息化系统的掌握滞后于专业人员,造成审计人员不专业,操作系统不熟练,新业务知识不理解,专业水平不足以胜任信息化条件下的审计工作。
三、改进大数据网络化环境下银行内部审计的对策及建议
金融信息化对银行内部审计既是挑战,也是机遇。互联网、数据挖掘等新的信息化技术和工具,为审计信息化、智能化创造了条件。银行内部审计部门如能适应金融信息化发展要求,转变审计理念和审计模式,加快审计数据平台等信息化建设,积极创新审计工作方法,强化信息化审计队伍培养,必将极大促进内部审计发展,大大提升内部审计在防范风险、增加企业价值方面的作用。
(一)转变理念,构建与金融信息化相适应的内部监管组织架构和审计模式
1. 审计理念上,整合后台监督体系,构建银行内部大监管组织框架。当前大数据和互联网环境下,大多数商业银行都已完成了数据集中和业务处理集中,但相关的后台监督管理体系并未整合集中,甚至存在多种不同的后台监督操作系统和组织架构,监管内容相互交叉,不同部门之间的横向信息共享也不够畅通,不仅浪费了大量的财务资源,也影响了监管效率。建立统一的内部监管体系和统一的监管操作系统,从技术上是可以做到的,通过整合各类后台监管系统,可以提高银行整体的监管效率,有利于明确业务运营和管理部门、合规部门、审计部门、监察部门的监管职责划分,使各部门各司其职,信息共享,提高监管效率和效果。
2. 审计范围上,从抽样审计向全覆盖审计转变。大数据时代,内部审计可以利用数据挖掘技术和大数据平台信息来源,对被审计对象或事项进行全面分析,改变抽样审计方式,实现全覆盖审计。银行业的信息化程度高,数据量非常庞大,并且数据管理集中化,为大数据的分析与利用奠定了良好的基础,审计视野更加开阔,审计范围不再受制于抽样样本而扩展至全体机构和业务,有利于实现全面立体式审计。
3. 审计方式上,从以现场审计为主向非现场审计为主转变。大数据时代,整个社会包括被审计对象和审计手段高度信息化,审计人员需要通过大数据分析工具,才能较全面和精确锁定违规问题和风险事项,而现场审计是对非现场审计发现的部分事项进行核实,起到辅助作用。非现场数据分析的重要性不断提高,没有非现场审计分析,现场审计只能是盲人摸象,无法全面掌握被审计对象的风险和存在的问题。另外,网络技术、视频技术等的利用,很大程度上颠覆了传统的时空概念,运用这些远程技术,非现场审计也能实现现场审计的大部分目标,并大大提高审计效率、降低审计成本。
4. 审计组织开展上,从以非系统性的分散审计为主向系统性的集中审计为主转变。我国商业银行的组织模式主要采用总分行制,机构遍布全国,同时各类业务分工细致,专业化程度高,业务品种庞杂。过去许多银行在内部审计组织上,往往侧重于由各级分行或总行各区域审计分部各自对辖区内机构和业务开展非现场数据分析和现场审计。这种分散性的审计组织模式,不利于从全局角度掌握整个银行经营管理存在的系统性问题和风险,也不利于节约审计资源和提高审计效率。大数据条件下数据高度集中,为内部审计借助先进的数据挖掘技术,统一对整个机构进行数据分析和审计创造了条件,系统性集中审计也提高了审计效率和效果。在总行层面对全行数据进行集中分析和非现场审计,一是集中审计分析的内容和结果更全面系统,二是集中审计的集约化程度高,能够提高审计效率,需要的审计人员更少,还可以节约大量审计成本。
5. 审计时效上,从事后间断性审计向全过程在线持续审计转变。金融业风险具有隐蔽性强、蔓延快、影响面大等特点,要求内部审计部门必须尽可能早地发现经营管理中存在的漏洞或风险苗头,提示管理部门进行改进,从而防范、控制风险。过去我国大多数企业包括商业银行,由于审计理念和审计技术等方面原因,事前、事中审计少,审计时效性和前瞻性不足。随着社会信息化发展,审计逐步自动化、智能化,为全过程持续审计提供了条件,使内部审计机构可以对被审计业务从事前、事中和事后同时进行审计监督,从而提高审计发现风险的时效性。连续在线审计模式在国外已经被广泛采用,内部审计人员可以在实时环境中,通过实时或近实时的执行控制和风险评估分析数据、检测关键的交易系统,以发现例外、控制缺陷以及那些凸显风险的数据指标。
(二)加快审计信息化建设,发展信息化审计工具,创新信息化审计工作方法,逐步实现自动、智能审计
1. 建立和完善信息化审计平台,为信息化审计提供数据基础。信息化的审计环境和审计对象,必然要求内部审计部门拥有信息化的审计平台和审计手段,否则就难以开展审计活动和履行审计职能。尽管我国银行业内部审计信息化水平不断提高,但与银行业务经营信息化相比,审计信息化建设投入和发展水平还相对落后,甚至差距还在扩大,跟不上信息科技的发展。目前,商业银行内部审计还处在计算机辅助审计阶段,基于大数据挖掘技术下的全覆盖、全流程的自动、智能审计平台还处在研究探索阶段。为适应信息化审计环境要求,提高内部审计履职能力,商业银行应建立大数据审计应用平台并逐步实现云审计服务,不断提高审计信息化水平。
2. 发展数据挖掘等信息化审计工具,逐步实现自动化、智能化审计。当前数据挖掘技术和人工智能技术不断发展,也为开发自动化、智能化审计工具提供了技术支撑。目前,我国部分银行已经开始逐步尝试利用数据挖掘技术开展审计,如利用SEO 优化、网络爬虫等技术,对互联网的风险信号开展海量捕捉。但总体看,我国银行内部审计利用数据挖掘技术开展审计还处在起步阶段,特别是对外部网络上大量非结构化数据的挖掘还很少,需要进一步加大数据挖掘技术的应用研究和投入力度。另外,人工智能技术发展迅猛,国外一些审计机构如德勤会计师事务所已开始尝试智能审计,将人工智能引入会计、税务、审计等工作领域,这也是商业银行内部审计今后的一个发展方向。
3. 积极创新审计工作思路和方法。银行信息化环境下,需要对原来手工审计下的思路和方法进行改进完善,并不断探索新的审计思路和方法。例如,强化整体分析,引入系统分析方法,将事项的风险情况和相关要素投入作为一个系统,进行综合审计分析。审计人员可以对审计对象的风险和企业总体相关要素组成的系统,运用系统科学、信息技术和数量逻辑等现代科学技术和理论,分析系统中各要素之间的相互联系和相互作用,对系统的关联要素间相关联的信息进行匹配,发现影响企业健康、有效、安全运行的风险点,实现有效控制审计整体风险的信息化分析。对具体事项审计时,可以通过分析程序建立审计模型,对被审计事项进行大数据比较分析,研究其存在的规律性和发展趋势,揭示存在的问题和风险。在手工审计环境或信息化程度低的情况下,比较分析方法一般采用手工分析方式,对一些报表数据、比率等总量小的数据开展对比分析,而大数据环境下,可以利用庞大的数据资源,构建比较分析模型进行复杂的大数据分析。
(三)强化队伍建设和人才培养,完善考核与激励机制,建立适应信息化审计工作的职业化队伍
1. 不断推进内部审计队伍的职业化建设。一方面,大数据下审计人员能接触到更多涉及企业和个人秘密的数据信息,如果不能遵守诚实、保密的职业道德底线,就可能形成严重的泄密或其他审计风险;另一方面,高度信息化环境对审计人员的专业能力提出很高的要求,要胜任工作,除了具备审计本身知识和技能外,既要掌握大数据、互联网和信息系统等方面知识和技术,还要熟悉银行业务方面的知识和操作,包括熟悉银行业务发展战略和运营,以及银行新业务、新产品流程和特点。我国银行业的内部审计队伍职业化水平与国外先进水平相比还有较大差距,特别是内部审计人员的专业水平还有待提高。
2. 完善审计人员考核激励机制,激发审计人员不断研究探索信息化审计方法的积极性。大数据和互联网环境下开展审计,要求审计人员具有好学钻研的精神,审计人员需要不断学习新的信息化技术、银行业务和产品知识,同时还要不断研究开发数据挖掘等信息化审计工具,并对挖掘出来的信息进行二次分析,工作强度非常大。因此,银行内部审计部门要完善对审计人员的考核机制,建立以审计人员业绩为中心的评价体系,提高审计人员待遇,激励审计人员充分发挥主观能动性,积极探索新的审计思路、方法,提升内部审计部门的履职能力。
3. 加强信息化审计的质量控制管理,提高审计质量控制信息化水平。任何情况下,审计质量都是审计的生命。信息化条件下的内部审计与其审计环境和审计对象类似,具有信息化程度高、审计过程虚拟化、审计痕迹不明显等特点,这些都对审计质量管理提出了更高的要求。目前大多数内部审计部门仍然采用传统的手工审计质量控制办法,越来越难以对信息化审计过程开展全流程的质量监督和评价。因此,信息化审计的质量控制也需要提高信息化水平。
