陈 伟

一、开展金融科技风险审计的意义

金融科技（Fintech）是指通过利用各类科技手段创新传统金融行业所提供的产品和服务，提升效率并有效降低运营成本。国际金融稳定理事会（Financial Stability Board，FSB）把金融科技定义为“技术带来的金融创新，它能够产生新的商业模式、应用、过程或产品，从而对金融市场、金融机构或金融服务的提供方式产生重大影响（FSB，2016）。”

维护金融安全已经成为治国理政的一件大事，打好防范化解重大风险攻坚战，重点是防控金融风险。党的十九大报告指出“健全金融监管体系，守住不发生系统性金融风险的底线”。2017 年的中央经济工作会议将“防范化解重大风险”列为三大攻坚战之首，并明确指出“重点是防控金融风险”。2018 年4 月的中央财经委员会第一次会议明确提出“打好防范化解金融风险攻坚战”。中共中央政治局2019 年2月22 日就完善金融服务、防范金融风险举行第十三次集体学习，中共中央总书记习近平在主持学习时强调“坚决打好防范化解包括金融风险在内的重大风险攻坚战，推动我国金融业健康发展”，同时指出“防范化解金融风险特别是防止发生系统性金融风险，是金融工作的根本性任务。要加快金融市场基础设施建设，稳步推进金融业关键信息基础设施国产化。”

近年来，金融业务和模式不断创新，以网上银行、电子银行、手机银行、直销银行、微信银行以及多种第三方支付方式为代表的新金融业务和模式快速发展。随着金融行业信息化技术的广泛应用，信息科技风险一直是金融行业关注的重点。银监会2017 年4 月发布的关于银行业风险防控工作的指导意见（银监发〔2017〕6 号）中指出：“（三十四）加强信息科技风险防控。银行业金融机构要全面强化网络信息安全管理，提高身份认证机制安全性；加大对新兴电子渠道风险的管理力度，完善灾备体系，制定完善应对预案；完善外包管理体系，降低外包风险，不得将信息科技管理责任外包。对发生严重信息科技风险事件的银行业金融机构，各级监管机构要及时采取必要的强制性监管措施。”

不断演变的技术，特别是与互联网、大数据、移动技术和云计算等相关信息技术，已成为金融服务创新的显著驱动力。金融科技（Financial Technology，Fintech 或FinTech）成为近年研究与应用的热点问题。金融科技是技术驱动的金融创新，为金融发展注入了新的活力，也给金融安全带来了新挑战。例如，金融科技的应用增加了信息科技的操作风险，金融机构运用更多的新技术，并进行科技外包，增加了风险管理难度，造成一些金融机构出现因为信息系统缺陷导致一些重要数据泄露的风险。信息技术在提升金融服务效率的同时，也给金融体系增加了潜在的金融风险。众多专家认为中国金融科技发展面临的核心问题是风险控制问题，如何防范金融科技风险成为当前金融业面临的重要挑战。

综上分析可知：“防范化解重大风险”列为我国三大攻坚战之首，打好防范化解重大风险攻坚战，重点是防控金融风险。由于金融科技发展迅速，且监管力量相对薄弱，防范化解金融科技风险是防范化解系统性金融风险的一项重要内容，是金融风险管理的前沿课题。研究如何防范化解金融科技风险具有重要的理论和应用价值。因此，金融科技风险审计是目前审计工作的一项重要内容。本文结合目前大数据与信息系统审计的研究与应用现状，分析金融科技风险审计问题。

二、金融科技风险研究与应用现状

近年来金融科技得到国内外的广泛重视和应用，Shuttlewood 分析了2010 年—2015 年金融科技投资的增长趋势（Shuttlewood, et al，2016），分析结果表明2010 年—2015 年金融科技的投资增长迅速。Wigglesworth 的调查发现，金融科技被认为是最有竞争力的金融公司的主要投资之一（Wigglesworth，2016）。金融科技对行业、民生、经济等非常有促进作用，金融科技的发展大大推动了金融服务领域的拓展和维度，但同时也具有更强、更广和更快的易破坏性，风险较大，其面临的安全威胁也与日俱增，因而更需要引导和规范。美国Cybersecurity Ventures 发布的《2017 年度网络犯罪报告》中指出“网络犯罪是当今世界上所有公司面临的最大威胁，也是人类面临的最大问题之一，因为金融行业的特殊性，金融机构一直是网络犯罪的主要目标”。

许多国家对金融科技发展持开放态度，但同时对于金融科技风险的重视程度也逐年增强。美国国家经济委员会2017 年发布的《金融科技框架》白皮书中指出“这些新兴的、未经测试的技术也可能伴有风险。如果这些风险得不到管理，它们可能会对更大范围内的金融系统造成损害。就像金融危机所展现的一样，系统性金融风险可能以我们始料未及的方式迅速扩散”。美国、英国、欧盟等相继发布金融科技监管文件，以平衡发展需求。2017 年8 月22 日，世界经济论坛发布的《超越金融科技：全面评估金融服务的颠覆潜力》报告中分析了在金融科技冲击下，支付、信贷、财富管理、保险、数字银行等7 大金融领域未来的创新模式和路径，以及每个领域所面临的风险。我国高度重视金融科技相关问题。2017 年5 月，中国人民银行成立了金融科技委员会，旨在加强金融科技工作的研究规划和统筹协调。中国人民银行将组织深入研究金融科技发展对货币政策、金融市场、金融稳定、支付清算等领域的影响，切实做好我国金融科技发展战略规划与政策指引。强化监管科技（RegTech）应用实践，积极利用大数据、人工智能、云计算等技术丰富金融监管手段，提升跨行业、跨市场交叉性金融风险的甄别、防范和化解能力。为指导银行业金融机构加强数据治理，提高数据质量，发挥数据价值，提升经营管理能力，2018 年5 月21 日，中国银行保险监督管理委员会印发《银行业金融机构数据治理指引》。

国内外学术界也高度关注金融科技相关问题研究，Gai（2018）从技术视角把金融科技问题分为五个主要的技术维度，包括安全与隐私、数据技术、硬件与基础设施、应用与管理、服务模型，并对这五个技术维度分别进行了详细的分析。针对金融科技中的网络威胁问题，Noor（2019）提出了一个基于机器学习的网络威胁自动归因框架。用户隐私保护被普遍认为是金融安全领域最重要的方面之一，为了保护移动金融应用中用户的位置隐私，Li（2019）提出了一个针对LBS（基于位置的服务）的隐私保护框架，该框架实现了对金融服务提供商数据、用户隐私（特别是位置隐私）、服务提供商数据机密性的细粒度访问控制。随着作为网银服务媒介的设备和平台数量逐渐增加，导致了为不同的设备和服务重复开发软件的问题。Anagnostopoulos（2018）研究了金融科技和监管科技对监管机构和银行的影响。Jagtiani（2018）研究了金融科技对消费者和监管反应的影响，认为金融科技有可能产生新的风险类型，世界各地的监管机构正在努力为消费者提供保护，维护金融稳定，同时为安全的金融科技创新创造环境。Ajlouni（2018）研究了银行业金融技术面临的挑战与机遇，分析了金融科技对银行业的影响以及应对措施，同时认为尽管金融科技企业吸引了全球金融业领袖和立法者的关注，但这一问题作为一个尚处于起步阶段的研究课题，却鲜有科学研究。Milian（2019）系统分析了科学文献中关于金融科技的定义以及关键研究话题和趋势。Maximilian（2020）分析了金融科技系统对金融服务业的影响，讨论了金融科技生态系统的演变，并指出了金融科技的重要性。汪可（2018）研究了金融科技对我国银行业系统性风险的影响，研究结果得出金融科技在一定程度上加重了我国银行业系统性风险的结论。中国社会科学院金融研究所研究员杨涛认为：要想实现金融科技的健康发展，就要分析甄别金融科技存在的风险，在金融科技领域，把握好创新与安全的平衡（杨涛，2019）。

三、金融科技风险审计研究与应用现状

审计作为信息科技风险的第三道防线，在防范化解金融科技风险中起着重要作用。国内外审计实务界一直高度重视信息技术应用带来的风险。早在计算机进入实用阶段时，美国就开始提出系统审计（System Audit）。1969 年，电子数据处理审计师协会（EDPAA，EDP Auditor Association）在美国洛杉矶成立。1994 年，EDPAA 更名为信息系统审计与控制协会（ISACA，Information Systems Audit and Control Association）， 总 部 设 在美国芝加哥。为了控制信息系统风险，满足信息系统审计的需要，国际上制订了一系列的信息系统审计准则与规范，SOX 法案第404 条款的合规性实践，展示了改善IT 治理和判断IT 治理成效的一种有效方法。作为全球最具影响力的内部控制标准，COSO 内部控制框架得到了世界许多国家的一致认可和广泛借鉴。许多组织为了达到SOX 法案对内部控制和信息真实性的要求，纷纷对信息系统进行控制评估和风险测试，开发了各种信息技术控制框架以符合COSO提出的要求，从而把信息技术的一般控制和应用控制方法与COSO 框架结合起来。信息系统审计与控制协会（ISACA）在1996 年公布了COBIT（Control Objectives for Information and related Technology，信息及相关技术控制目标）控制框架，并分别在1998、2000、2005、2012 年进行了修订；国际内部审计师协会（Institute of Internal Auditors，IIA）对信息系统审计的相关内容进行了研究，发布了GTAG（Global Technology Audit Guide，信息技术审计指南）。我国对信息系统审计也非常重视。1999 年2月，中国注册会计师协会发布了《中国注册会计师独立审计准则》，其中包括《独立审计具体准则第20 号——计算机信息系统环境下的审计》；2006 年3 月，中国注册会计师协会发布了《中国注册会计师审计准则第1633 号——电子商务对财务报表审计的影响》。2008 年9 月，中国内部审计协会发布了《内部审计具体准则第28 号—信息系统审计》；2013 年8 月，中国内部审计协会发布了新修订的《中国内部审计准则》，其中包括第2203 号内部审计具体准则——信息系统审计。2012年2 月，国家审计署发布了《信息系统审计指南——计算机审计实务公告第34 号》。为了信息系统安全保护的需要，2008 年9 月1 日，公安部和全国信息安全标准化技术委员会发布了《信息安全技术 信息系统安全等级保护基本要求（GB/T 22239-2008）》。随着大数据、云计算、移动互联等技术的发展与应用，为了适用于新型网络系统的安全保护要求，2019 年5 月10 日，国家标准化管理委员会发布了新修订的《信息安全技术 网络安全等级保护基本要求》。

对于一些信息化程度高、对信息系统依赖大的行业，如银行等，信息系统审计更为重要。对于金融行业，目前开展的信息系统审计一般称为信息科技审计。银监会2017 年4 月发布的关于银行业风险防控工作的指导意见（银监发〔2017〕6 号）中指出“加强信息科技风险防控。”金融行业高度重视信息系统审计的应用，中国银行业监督管理委员会于2009 年3 月发布了《商业银行信息科技风险管理指引》，同时废止了2006 年11 月发布的《银行业金融机构信息系统风险管理指引》；中国保险监督管理委员会于2008 年3 月发布了《保险业信息系统灾难恢复管理指引》；中国证券监督管理委员会于2014 年12 月发布了金融行业推荐性标准《证券期货业信息系统审计规范》，并于2016年11 月发布了金融行业推荐性系列标准《证券期货业信息系统审计指南-第1 部分：证券交易所》、《证券期货业信息系统审计指南-第2 部分：期货交易所》、《证券期货业信息系统审计指南-第3 部分：证券登记结算机构》、《证券期货业信息系统审计指南-第4 部分：其他核心机构》、《证券期货业信息系统审计指南-第5 部分：证券公司》、《证券期货业信息系统审计指南-第6 部分：基金管理公司》、《证券期货业信息系统审计指南-第7 部分：期货公司》。

我国审计署及地方审计机关目前针对金融机构的经济责任审计中，被审计单位的信息系统建设与运行风险审计是一项重要审计内容。内部审计中的信息科技专项审计、社会审计中的信息系统风险管理专项审计也专门关注金融科技风险的相关问题。目前一般从IT 治理审计、信息系统开发、测试和维护审计、信息系统运行管理审计、信息系统安全审计、业务连续性管理审计、IT 外包审计、各个信息系统的应用控制审计等方面出发，调查被审单位基本情况，识别其信息系统一般控制和应用控制，采用访谈、文档查看、现场观察等方法，进行设计和实施测试以及执行有效性测试，收集审计证据，防范信息科技风险。

国内外学术界也高度关注信息科技风险方面的研究。随着云计算技术的发展与应用，一些文献研究了云计算环境带来的审计风险，如ISACA（2013）从信息系统审计的视角分析了云计算的风险；Prakash（2011）分析了云计算环境下审计人员应该考虑的风险；笔者分析了云计算环境下实施联网审计可能存在的主要风险（陈伟等，2012），研究了基于自然语言处理技术的IT 治理审计方法（陈伟，2019）、基于大数据技术的业务连续性管理（BCM）审计方法（陈伟，2019），以及云计算系统审计方法（陈伟等，2019）；结合金融科技风险审计的应用实践，笔者研究了基于社会网络分析的金融科技系统用户管理风险审计方法（陈伟，2019）。总的来说，目前直接针对金融科技风险审计的研究与应用还较少。

随着大数据、人工智能、云计算、金融科技等技术的发展与应用，金融单位信息化程度越来越高，信息化应用范围越来越广，使用的应用系统也越来越多，业务系统也越来越复杂，由此也增加了金融科技风险的识别难度。目前常用的信息系统审计方法，如访谈、现场观察、文档查看、抽样、穿行测试等已不能完全满足金融科技风险审计的需要，创新金融科技风险审计方法成为必然，大数据审计技术的发展为开展金融科技风险审计提供了机遇。因此，研究基于大数据审计技术的金融科技风险审计越来越重要。