大数据背景下商业银行内部审计监督全覆盖实现路径研究
2020-09-27巩雪张红兆石乔生崔蕾徐启峰
巩雪 张红兆 石乔生 崔蕾 徐启峰
[摘要]大数据背景下商业银行内部审计环境的深刻变化,对审计工作提出了新要求,内部审计应主动适应环境变化,应用大数据技术实现审计监督全覆盖目标。本文结合商业银行内部审计实践,创新构建“一个基础、两条主线、三大支柱”的商业银行内部审计体系框架,提出大数据背景下审计监督全覆盖的具体实现路径。
[关键词]大数据 商业银行 审计 全覆盖 实现路径
一、相关概念
(一)大数据
根据国务院印发的《促进大数据发展行动纲要》,大数据是指所涉及的数据量规模大到人工无法利用现行主流软件工具,在一定时间内实现采集、处理、分析并从中获取有用信息的大体量数据集合,其具有数据量巨大、数据类型多样、处理速度快、时效性要求高、数据价值密度相对较低等特点。从内部审计的角度看,大数据是审计对象的海量数据集合,既有传统的财务账套数据、台账明细账形式的业务数据以及外部相关联的结构化和非结构化数据,也有无法用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。
(二)审计监督全覆盖
审计监督全覆盖由审计署针对国家审计提出,是指国家审计部门在所属权限和能力范围内,对被审计单位专业信息系统所提供的业务资料、财务数据、内外部监管制度、互联网信息等全面的信息进行审计监督,使所有监督对象在一定时间内都能接受审计监督,对审计对象、审计内容、审计过程形成周期性的动态审计监督全覆盖。商业银行内部审计及全覆盖具有同样的内涵,即以采集全面完整的行内外数据为基础,通过科学地安排审计计划,选择合理的审计方式,创新审计方法,借助大数据技术,实现对商业银行经营活动周期、业务领域、经营机构、重要岗位履职等全方位、立体化、动态审计监督全覆盖。
(三)大数据与审计监督全覆盖的关系
应用大数据技术是实现审计监督全覆盖目标的必由之路,大数据审计建设是影响审计事业未来发展的核心技术工程。商业银行内部审计应借助大数据等手段,有效分析处理海量数据,快速、准确地从中提取出有价值的信息,提高审计工作质效,助力商业银行业务发展。
二、大数据背景下商业银行审计监督全覆盖的必要性
(一)符合商业银行内部审计的发展趋势
2014年,国务院提出并部署审计监督全覆盖,党的十八届四中全会对审计监督全覆盖的定义和要求进行了扩展和外延。2018年,习近平总书记在中央审计委员会第一次会议上指出,要坚持科技强审,加强审计信息化建设;要拓展审计监督广度和深度,消除监督盲区。审计署时任审计长胡泽君强调,必须坚持科技强审,革新传统审计方法,加强信息化基础建设,更好运用互联网技术和信息化手段开展审计,向信息化要资源、向大数据要效率,通过信息化、数字化、网络化,提高审计监督、过程控制、决策支撑能力,积极推进审计监督全覆盖。目前,审计署正在“建设全国统筹协调、层次清晰的大数据审计云平台体系”“规划审计行业大数据标准体系”和“构建行业通用、开源共享的审计大数据分析模型体系”三大领域积极探索大数据审计基础建设。商业银行借此实现审计监督全覆盖,是其内部审计的发展趋势。
(二)满足严监管形势的内在需求
银行业监管部门坚持以防范系统性风险为底线,不断强化宏观审慎管理,政策整体趋严,监管处罚力度空前。相关监管制度要求内部审计开展的审计事项越来越多,涉及商业银行业务和风险领域越来越广,同时对内部审计定位和履职有效性提出了更高的监管要求。这些要求使得内部审计需借助大数据等手段實现审计监督全覆盖,切实防范审计风险。
(三)适应商业银行经营特点的要求
商业银行是以营利为目的,以多种金融负债筹集资金、多种金融资产为经营对象的金融机构,具有业务庞杂多变、分支机构多、经营区域广、控制职能分散、员工管理难度大等特点。此外,商业银行信息化、数据化程度越来越高,越来越多的业务实现了网络化、智能化,这使得主要依靠人工现场审计和抽样审计为主的传统审计,难以对被审计单位庞大的业务数据、复杂的经营活动作出准确评价。对此,更需要借助大数据环境下的审计技术实现审计监督全覆盖。
(四)防范商业银行经营风险的必要
随着商业银行加大业务创新变革和金融科技转型力度,银行业务综合化、复杂化趋势加快,商业银行资产域、负债域、支付结算域均出现创新模式或形式,最大的变化是交易主体、交易流程及环节增多,风险呈现出信用风险、操作风险、科技风险、声誉风险等风险交织、综合化特征,风险防控压力增大。传统的商业银行内部审计组织方式和管理是一种非连续性的方式,审计服务以项目个体形式开展,审计样本是风险抽样而非全量的,审计业务对象是条块分割的,审计时间跨度是范围限定的,审计风险确认是事后的,在空间上是不连续的,在时间上是滞后的,难以应对复杂多样的经营风险,存在较大的审计风险。
三、大数据背景下商业银行审计监督全覆盖的可行性
(一)金融科技转型发展为审计监督全覆盖提供数据基础
大数据背景下,商业银行的业务模式不断创新,业务渠道不断拓宽,业务运营逐渐实现了进一步的集中和远程化处理,搭建起信贷系统、同业业务系统、账务处理系统、计划财务系统等一系列系统,实现了绝大部分业务的线上处理。同时,依托于金融科技发展和新资本协议达标实施,建立了行内统一的数据标准体系,并搭建起数据仓库、风险数据集市、大数据云平台等数据存储系统,打破系统间的数据孤岛,保证了数据的一致性、全面性,为商业银行实现审计监督全覆盖奠定了数据基础。
(二)大数据技术的推广和应用为审计监督全覆盖提供技术支撑
随着金融科技与商业银行的融合,商业银行先后成立了大数据实验室,组建了大数据团队,各类大数据技术包括Python数据采集和网络爬虫技术、Hadoop分布式数据存储技术、Spark数据计算引擎、机器学习、可视化技术等,被运用于商业银行多个领域。通过内部审计平台系统与商业银行大数据平台系统对接,利用大数据审计平台对海量信息进行分析,实现实时风险监测和大数据分析,能够提高审计信息的时效性和可靠性。在大数据和云技术背景下,各种数字、图片、网页等数据信息依托云储存技术,为审计人员提供互联网共享模式的在线服务。审计人员可以不受时间、地点的限制,通过自己的服务端远程访问被审计单位的数据库系统,有效解决审计需求与审计资源不匹配的矛盾。
(三)商业银行审计队伍为审计监督全覆盖提供人才基础
大数据的应用要求内部审计人员必须要具有较高的计算机技术专业知识,熟悉大数据分析方法等,同时还要掌握较高的审计专业知识。商业银行一向对内审工作人员设有较高的职业门槛,同时重视培养信息科技人才开展非现场审计,因此聚集了一批学历较高、综合素质较强的审计人才。以A银行为例,该银行本科以上学历的审计人员占比80%以上,研究生学历占比50%以上,涉及经济、金融、信息科技、会计等多个专业领域,其中信息科技专业人员占比20%左右。
(四)丰富的审计积累为审计监督全覆盖提供专业基础
商业银行通过审计指南、工作手册等制度形式,将自身主要业务领域风险点和内部控制要点固化为审计工作要求,为大数据背景下审计监督全覆盖的业务合规性标准设置提供重要的参考借鉴。同时,商业银行经营特点使得商业银行非常重视非现场审计在审计工作中应用,积累了较为丰富的审计模型,也为大数据审计下模型建设提供了来源。此外,商业银行不同专业领域的内审人员所积累的丰富审计经验也为商业银行实现大数据下审计监督全覆盖提供了重要的专业基础。
四、审计监督全覆盖的思路及体系框架
(一)思路
根据商业银行各领域数据积累程度,将其经营活动划分为两大类:一是信息化水平较高,数据积累丰富的业务领域。商业银行大部分业务领域数据积累较丰富,如授信业务、存款业务、同业业务等领域。二是信息化程度不足,无数据积累或仅有少量数据积累的领域。主要包括专业管理领域、线下开展的新兴业务等领域。
针对不同领域,商业银行采取不同的审计模式。对于数据积累丰富的业务领域,内部审计可以通过日常监测分析、大数据项目审计等方式进行覆盖;对于无数据积累或仅有少量数据积累的领域,内部审计在充分利用现有数据开展非现场分析的基础上,通过常规项目审计进行覆盖。此外,对于个别审计项目,如战略或政策执行审计、绩效审计、管理审计、经济责任审计等,依靠审计人员专业判断较多的,仍以常规项目审计为主。
(二)体系框架
基于上述思路,本文提出“一个基础、两条主线、三大支柱”的商业银行内部审计监督全覆盖体系框架(见图1)。
“一个基础”是指各类审计监督都要以大数据分析为基础,充分运用大数据等技术手段,实现对商业银行经营活动周期、业务领域、经营机构、重要岗位履职等全方位、立体化、动态的审计监督全覆盖。“两条主线”是指审计监督全覆盖要以防控经营风险和审计风险为主线,始终围绕全行及分支机构、附属机构的突出风险和核心问题开展审计监督。“三大支柱”是指构成审计监督全覆盖体系的三种重要的审计模式,分别为日常监测分析审计、大数据项目审计、常规项目审计。日常监测分析审计是以交易层面和机构层面数据为基础的双层监测、分析、预警审计机制,是一种持续监测审计,能够弥补项目审计周期性、非持续性的不足,为项目审计提供重要的风险线索。大数据项目审计是以大数据为基础,对审计对象全量数据开展的非现场联网审计。常规项目审计是以传统现场审计模式为主,适用于大数据不足的业务和管理领域,以及不适宜开展大数据项目审计的领域。
“一个基础、两条主线、三大支柱”相互支持、相互补充,共同构成商业银行内部审计监督全覆盖的体系框架。一是三大支柱均是以风险为导向,以大数据为基础,紧密围绕防范经营风险和防范审计风险两大主线。二是三大支柱各有侧重,日常监测分析审计是持续性审计,在节约审计资源、大数据业务领域覆盖上具有优势,着重用于解决大数据领域审计监督全覆盖问题;大数据项目审计和常规项目审计要坚持风险导向,着重解决重要风险防控和管理履职问题。三是考虑审计资源的有限性,应以日常监测分析审计和大数据项目审计为主,常规项目审计为辅。
五、大数据背景下商业银行审计监督全覆盖的实现路径
(一)坚持风险导向审计理念,紧盯商业银行主要经营风险
在大数据分析以及日常监测分析审计、大数据项目审计、常规项目审计等各个审计活动中,将风险评估与判断作为重要性标准,注重揭示防范系统性、全局性、结构性、关键性风险。一是在进行大数据分析时,要转变思维,立足审计领域全局,识别评估业务领域同类问题的分布状况,形成延伸挖掘的审计思维。针对审计发现问题,从账户、客户、岗位、机构等维度延伸挖掘,运用相关关系分析,在展示结果时用“多维展现”替代“孤立结论”。二是在开展审计检查时,将风险导向理念贯穿于各项审计活动中。日常监测分析审计注重在整体层面持续识别和评估经营单位主要经营风险和核心矛盾,并根据评估结果及时优化调整审計计划,增强审计监督与商业银行主要经营风险和突出矛盾的匹配度。三是在大数据项目审计、常规项目审计实施时,要充分识别、评估审计关注的主要风险及相应的重点管控环节,识别、评估审计发现问题存在的实质风险及风险程度。同时,进一步提升内部审计前瞻性,提前识别和介入商业银行新增业务、新兴业务、新变革等“三新”领域的风险。
(二)搭建大数据审计平台,实现审计活动在线化
搭建大数据审计平台,有助于推动审计理念、组织模式及管理流程的全面升级,为审计监督全覆盖提供系统支撑。基于大数据的审计平台包括基础层、平台层、服务层、应用层、用户层和数据采集接口(见图2)。
基础层采用虚拟化、分布式数据存储等云计算核心技术,为用户提供服务器、存储和网络硬件以及相关基础软件服务,基础层的低成本、高扩展性为审计监督全覆盖提供必需的硬件基础。
平台层包括大数据、数据库、图计算和智能计算4个平台。大数据平台支持半结构化、非结构化等各类型数据存储,提供PB级别海量数据的处理能力。数据库平台用于存储各类业务系统产生的关系型数据,支持复杂条件的数据查询和统计分析。图计算平台提供图数据存储、搜索、查询和分析功能。智能计算平台提供高性能计算引擎,作为服务层各项功能的基础支撑。大数据平台和数据库平台为审计监督全覆盖提供了数据基础,图计算平台和智能计算平台为审计监督全覆盖提供了计算能力。
服务层基于平台层的数据和计算引擎,为应用层提供数据服务、算法服务、知识图谱服务和非结构化分析服务。数据服务提供结构化、非结构化等各类数据接入、标准化处理和数据管理。算法服务为审计模型和数据分析提供机器学习、深度学习和数据挖掘等各类成熟算法。知识图谱服务基于图数据库计算结果,提供客户画像、关联分析和社团发现等处理和分析功能。非结构化分析服务包括文本挖掘处理、语音语义分析和图像视频分析等。服务层为各种类型数据分析提供了丰富、多样的计算工具,可满足审计监督全覆盖数据分析需要。
应用层借助服务层提供的各类服务,通过大数据分析、日常监测分析、审计项目管理和审计综合管理等功能,为审计监督全覆盖提供具体应用。大数据分析功能为大数据审计项目提供全流程在線作业支持,日常监测分析功能实现对机构层面、交易层面的持续监测,审计项目管理功能为常规现场审计项目提供全流程在线作业支持,审计综合管理功能支持各类审计工作的在线运行管理。
用户层为审计人员、总分行人员及其他用户提供用户访问接口,实现审计活动的全流程在线化作业。审计人员通过用户层接口实施大数据审计项目、日常监测分析、常规审计项目,开展各类审计工作。总分行业务人员通过用户层接口提供调阅资料,查看、反馈工作底稿和事实确认书。
数据采集接口广泛采集、存储审计相关的内外源数据,包括行内业务活动数据、行外业务活动等数据。数据采集接口具有灵活性与可扩展性,通过接口扩展不断丰富数据来源。
大数据审计平台通过持续优化完善平台功能,提高系统对人工的替代,提升工作效率;通过对行内外大数据应用扩大监督覆盖率、提高监督频率;通过将审计流程和环节要求纳入系统操作流程,实现系统硬控制,推动审计履职能力的持续提升,提高工作质量,降低审计风险;通过对在线审计活动数据的采集、挖掘、整合、展示,夯实审计管理决策基础,提高管理的有效性。
(三)优化审计模式,发挥三大支柱作用
1.日常监测分析审计。建立以交易层面和机构层面数据为基础的双层日常监测、分析、预警机制。交易层面监测分析通过预先设置关键字段阈值标准,识别系统异常交易行为,生成审计预警,实现将审计活动由前后审计前移至事前、事中监控。机构层面监测分析通过定期对经营单位财务报表、会计科目表数据及外部关键信息变化进行监测分析,揭示经营单位的突发性风险事件及结构性、系统性风险,整体把握经营单位的总体风险状况,以及对突发事件的快速报告和处置,发挥审计前瞻性预判作用。(1)交易层面监测分析。交易层面监测分析主要覆盖线上业务和管理相关领域,采取嵌入式和分离式两种技术。嵌入式技术通过在被审计单位的系统中嵌入审计模块的方法来实现;分离式技术通过独立的审计系统持续采集被审计单位系统的业务数据。对于商业银行核心系统、信贷系统、理财系统等重要性层级较高的系统,主要采用分离式技术,以降低原系统运行风险;对于审计及时性要求高的业务,主要采用嵌入式技术;对于时效性要求较低的业务,可采用将数据采集到独立的审计系统中实施审计。在大数据背景下,嵌入式审计还可以通过大数据处理中心与商业银行数据仓库联网建立数据接口,在大数据审计平台端口处嵌入审计程序,当被审计数据实时传输到大数据审计平台时,通过数据端口处达到实时监控的目的。(2)机构层面监测分析。机构层面监测分析遵循“分析监测→识别风险→报告应对→任务分配→任务落实”的基本工作流程,通过监测分析业务结构、业务模式以及集中度与流动性等风险指标变动,识别业务经营结构失衡、业务模式不可持续、经营逻辑不正确等系统性风险;通过监测分析规模类、效益类、质量类等数据指标变动趋势,评估经营单位经营管理履职效率和效果;为项目审计开展提供风险线索和审计重点领域。机构层面监测分析需要从机构、产品、风险维度构建机构层面的多维度、多层次的指标和模型监测体系,并对监测指标或模型突破阈值程度,分层制定差异化的审计应对措施。
2.大数据项目审计。一是在计划制订阶段,内部审计根据审计领域数据可获得性,确定是否开展大数据项目审计。二是在审计执行阶段,内部审计借助大数据审计平台实现非现场远程审计,包括开展总体分析,识别和核查审计疑点等,通过审计疑点汇集与总体分析结果相结合,点、线、面揭示审计领域总体风险与管理情况。审计人员通过对多维度、多形式以及不同领域海量数据的分析和整理,挖掘出商业银行潜在风险和管理履职问题。开展大数据项目审计要避免就疑点核疑点,要强化疑点问题的延伸检查,把握问题性质及相关业务背景、原因等,对于普遍性、重要风险问题,要多维度延伸检查内部控制缺陷,便于从制度上、机制上彻底解决问题。三是在报告阶段及后续整改跟踪阶段,建立问题整改跟踪模型,将问题整改情况纳入日常监测分析审计进行实时跟进;对于迟延整改的,生成审计预警提示,督促经营单位及时完成整改工作。
3.常规项目审计。建立数据分析前置思维,充分运用大数据分析技术,在可获得的数据下开展非现场审计分析。通过大数据分析,在交易层面锁定问题线索或实现精准靶向抽样,在机构层面整体把控审计领域总体风险状况,点、线、面结合充分揭示审计领域主要风险。
(四)建立大数据人才引进、培养和评价机制
建立完善的大数据人才引进、培养和评价机制,分层设定大数据审计能力标准,提高科技化、数字化审计普及水平。一是优先引进专业人才。要注重引进拥有信息技术、模型建设、数据分析等大数据相关背景的专业人才,尤其是既精通银行业务和审计知识又熟悉大数据分析和深度挖掘技术的审计人员,逐步提高复合型审计人员占比。二是建立分层分类的大数据人才培养培训体系。要为大数据专业人才进行宏观经济形势、政策制度、规划解读、银行业务、审计思路方法、审计工具运用等方面的培训,提升银行业务知识和审计能力;为审计人员进行信息技术、模型开发、数据分析等大数据和非现场审计技术的培训,提升科技化能力水平;建立培训跟踪档案,及时跟进学员学习成长和应用落实情况,持续提升技术培训效果,为组建技术人员和审计专业人员优势互补的大数据分析团队提供人才支撑。三是建立大数据审计专项评价制度。要以用户为导向,以大数据审计模型验收评审为基础,完善审计系统、模型及工具相关大数据专职审计人员的工作评价;建立大数据审计能力评价认证制度,鼓励培养大数据审计人才,加强科技化审计运用;建立审计项目科技含量评估制度,通过需求提供量、模型转化率等指标对所有审计项目的大数据技术含量进行评估定级。
(五)重构适应大数据的审计制度体系,形成完善的审计活动规范
围绕审计监督全覆盖审计体系,全面梳理内部审计制度体系,明确制度体系内部逻辑关系和层级关系,提高制度适应性和前瞻性,避免内在逻辑混乱,制度条块分割、缺项或重复等问题。新增日常監测分析审计、大数据项目审计相关制度,明确审计工作流程及相关工作要求。优化调整常规项目现场审计、非现场工作流程,增加项目大数据分析工作要求。建立健全科学的审计专业数据统计指标,为大数据项目审计相关评估和考核提供数据基础。优化完善审计绩效考核制度,建立面向机构、项目和人员的大数据审计专项评价制度。
(六)建立审计风险管理体系,加强大数据审计风险评估
海量数据的使用带来了数据安全风险,审计采集数据的不充分、不准确带来了数据质量风险,审计人员对政策法规、业务流程和数据的不了解带来了数据分析风险,目前法律、法规对大数据取证、流程尚无明确规定,带来了审计实施风险,因此要充分评估大数据背景下的各类审计风险及变化趋势,建立完善的审计风险控制体系。根据日常监测分析审计、大数据项目审计等,建立相应的质量控制手册。定期开展大数据相关的内部审计机构质量控制与审计项目质量控制两个层次的质量自我评估工作,根据评估结果优化完善审计工作措施。
“一个基础、两条主线、三大支柱”的商业银行内部审计监督全覆盖体系框架以及六个具体实现路径是基于A银行目前内部审计实践经验及探索而提出,在实践中,还需随着内外部环境的变化进一步创新相关审计思路、方法和工具。
(作者单位:华夏银行股份有限公司,邮政编码:100022,电子邮箱:katherinecui@126.com)
主要参考文献
陈骏,时现.审计全覆盖驱动下的审计技术方法创新研究[J].审计研究, 2018(5):24-26
蒋凤芹,陈松,吴洵,汪波,阚海湄,巩浩.大数据审计在银行的应用[J].中国内部审计, 2018(3):49-50
李静.大数据环境下银行内部审计发展转型探讨[J].智慧商业, 2018(8):11
吕劲松,王志成,王秦辉,徐权.大数据环境下商业银行审计非结构化数据研究[J].软科学, 2017(1):141-144
魏祥健.大数据推动审计技术革新与流程再造[J].商业会计, 2019(3):30-31