邹志文 大华会计师事务所（特殊普通合伙）

引言

2016年，国务院发布《“十三五”国家科技创新规划》，明确提出科技金融产品和服务创新，为银行业的科技与创新制定了规划。随着数字化浪潮汹涌澎湃，“互联网+流量驱动”“大数据+数据驱动”“人工智能+算法驱动”“区块链+可信驱动”“5G+效率驱动”等数字技术飞速发展，传统商业银行金融产品逐渐向数字化、线上化、智能化迈进，给内部审计带来了新的挑战，内部审计数字化转型成为必然。

一、内部审计发展趋势

（一）内部审计体系建设基本情况

面对经济金融环境和金融科技带来的巨大变革，各家银行依托自身优势，从战略层面强化金融与科技、数据的融合，变革其组织、流程、运营、技术等，建立新业务体系，完善内部审计系统。通过设立完善的组织体系，在一定程度上保证了商业银行内部审计监督的独立性和权威性，有利于内部审计为决策层提供科学的依据。根据监管部门关于“内审、风控、合规”三大体系建设的新导向，大部分城商行对内部审计的组织结构进行了改革优化，内部审计部门直接在董事会审计委员会的领导下开展工作。

（二）信息技术对内部审计的影响

纵观全球，摩根士丹利、高盛、瑞银等老牌传统金融机构积极投入金融科技领域，并将数据视为参与全球竞争的核心能力。据SNIA（全球网络存储工业协会）统计，银行业每创造 100 万美元收入，平均产生 820GB的数据，涉及客户信息、资金交易明细等方方面面。这些“海量数据”在提高内部审计的工作质量和效率中发挥着越来越重要的作用。

二、内部审计面临的机遇和挑战

（一）数字经济时代内部审计面临的机遇

随着信息技术的快速发展，充分利用大数据驱动内部审计转型，健全内部审计全覆盖，确保内部审计进一步发挥完善公司治理的作用。

（1）全景式数据分析成为可能。随着大数据技术的挖掘，审计人员凭借互联网办公、大数据信息资源库等现有的技术手段，可以实现数据分析和挖掘，在海量的数据中获得更多有效的信息，克服以往审计取证难、信息不对称、数据缺乏的不足。

（2）审计证据更加充分。在数字化转型的背景下，审计机构和人员能够通过大数据分析技术，对被审计单位的电子数据进行系统、全面以及跨部门的综合分析，从而解决目前数据分析局限于查找单个问题的缺陷，获得更充分的审计证据，提供更有针对性的分析报告。

（3）审计全覆盖思维变革。在海量数据面前，大数据更强调相关关系并且弱化因果关系，大数据技术的推广，必将促使审计人员从依赖因果关系搜集审计证据转变为从相关关系出发，从海量数据中发掘审计证据。

（二）内部审计数字化转型面临的挑战

1.大数据对内部审计提出了更高分析要求

当前，上市城商行各项业务的线上化、电子化特征越来越清晰，业务智能化已成为常态。大量的业务基础数据和相关的财务会计资料都是由计算机信息系统提供，在这些基础业务板块，计算机基本上完全取代了人工，大大提高了工作效率。

2.对客户及生产数据的安全使用提出了更高的要求

大数据具有便捷性强、保密性较差的特点。随着云平台和云计算的飞速发展，我们在享受大数据带来的成果时，也不断受到大数据风险的侵扰。

3.大数据系统与传统系统深度融合带来新挑战

如何保证大数据系统与财务系统、审计系统相融合，其数据接口如何维护、数据对接方式，以及当数据系统进行更新维护时，如何能保证财务数据与审计数据的稳定性，不受数据维护更新的影响。

三、内部审计数字化转型思路

（一）上市城商行内部审计数字化转型经验

一是建立了覆盖全行全业务的审计分析平台，通过数据挖掘、模型开发，实现对全行经营情况地风险监测及非现场分析。二是建立了数字化的审计管理平台，通过审计项目立项、现场审计实施、审计整改跟踪、审计档案归档的全流程线上管理，实现审计的无纸化、线上共享管理。

（二）内部审计数字化转型的目标

1.内部审计数字化转型的现状

一是内部审计加强了数字化文化在部门内部的宣导，从转化审计工作策略，优化审计工作体系，培养数据分析人才等方面，不断转变审计人员的传统审计思维，强化审计人员的数字化意识。二是在制度方面，逐步修订完善数据标准、质量、安全等数据管理制度，初步构建了较为完备的数据标准体系和数据治理组织架构。三是在业务系统建设方面，要加强顶层设计，逐步构建和完善数据中心建设，优化应用系统。四是围绕客户基础数据，加强对数据质量的检查并推动整改，为审计数字化转型夯实数据基础。

2.内部审计数字化转型面临的困难

（1）审计方式较传统

一是暂未实现全量检查与评价。目前，审计项目的开展主要依赖于传统的专家经验判断，基于某家分行、某种业务、某种产品等来开展审计抽样，通过访谈、手工查账、人工翻阅凭证和档案等方式进行审查、发现疑点，再根据审计抽样核查结果来推断总体管理情况。随着业务体量的增长、业务领域的丰富、业务品种的增加，加上业务数字化、线上化进程的推进，审计资源的有限性与业务量的无限增长之间的矛盾日益严重，量级上的差异将导致大量交易和数据无法被审计覆盖。

二是暂未发挥非现场审计的效能。目前，审计方式仍以现场审计为主，较多依赖于“现场抽样找线索”，审前调查和分析因数据获取的可得性、及时性以及专业技能等原因暂未充分开展，审计效率和效果受到较大影响。

（2）数据基础不完善

一是存在源系统数据缺失、字段无法识别、数据失效等。二是系统内、系统间数据缺乏联动或联动出错。三是存在系统间基础信息孤立、彼此隔离的情况。四是业务信息化未完全覆盖，部分业务数据为手工统计，尚未完全实现系统管理。五是审计系统覆盖数据不够全面，暂未整合全行信息资源。

内部审计作为第三道防线，对一、二道防线具有监督评价职责，全口径数据使用权限理应涵盖一、二道防线的内容。但由于业务系统和风险管理数据分散于各部门，部分系统或数据未向内部审计开放访问权限，审计部需与相关部门逐个沟通获取数据。

（3）资源未实现有效整合与共享

目前，第一、二、三道防线之间的检查情况及检查结果未共享，存在内部监督合力不足、重复检查等情况。如基于业务重要性原则，部分风险影响可能性较大的业务被列为重点检查对象，在同一年需要接受内部审计、风险管理部以及条线管理部门的检查，同一笔业务的档案被反复从档案库中借出，被审计对象在接受检查的过程中需要一再解释说明相关情况、出具证明。

（4）审计专业技能待提高

一是部分员工由于其原有知识结构和经验，主要使用EXCEL初级功能、统计抽样等方法和工具以及计算机辅助审计软件运用较少，内部审计数据处理、分析手段较薄弱，既造成人力的浪费，又降低了审计效率。二是既懂审计业务又懂大数据分析的专业人才欠缺，尤其是缺乏能进行数据建模分析的人才。三是随着线上产品的增多，能够掌握线上产品运行逻辑及规则、了解线上产品关键风险点的审计人员基本上缺乏。虽然有聘请外部公司开发系统，但是熟悉银行业务特色且能够参与开发数据分析的内部审计人才极少。

（5）审计系统部分功能暂未推行使用

目前主要投入使用的为非现场审计和内控评级模块，非现场数据分析对现场审计的支持不足。对于审计发现问题，仍主要依赖手工台账进行跟踪管理，由审计人员逐一与各自负责联点的机构进行联系、人工追踪整改情况，未实现自动化管理。同时，审计资源配置、现场审计、审计档案管理也暂未实现电子化管理。

3.内部审计数字化转型的定位及目标

内部审计将按照规范化、系统化、信息化、精细化的“四化”原则，构建“垂直独立、全面覆盖”的审计体系，通过借助审计系统支持，推动审计数字化转型，实现由“局部监测”向“全面监测”转变、由“碎片化的信息应用模式”向“整合化的信息应用模式”转变、由“简单分析的处理方式”向“复合运算的处理方式”转变，增强审计赋能，全面提升审计质效。

四、内部审计数字化转型的路径及策略

（一）内部审计数字化转型路径

1.顶层设计，制定内部审计数字化转型规划

根据全行数字化转型规划，结合战略重点工作，在内部审计体系三年行动计划的基础上，建立既致力于审计数字化发展长效性，又立足于操作实用性的内部审计数字化转型规划，以发挥顶层设计的战略引领作用。

2.文化宣导，营造内部审计数字化转型文化氛围

营造内部审计数字化转型文化氛围。让全体内审人员充分意识到，在数字化时代实施审计，应坚持“数据先行”，内部审计数字化转型不仅仅是信息技术层面的事情，也是新的发展形势对每一名审计人员提出的新要求。让数字化理念深深根植于审计人员心里，真正实现用数字化的思维思考和解决问题，并运用到审计业务的实际工作中去。

3.流程保障，打造贯穿内部审计流程的协同与制衡机制

通过建章立制，进一步梳理优化审计流程，建立包括非现场审计操作、审计系统管理等在内的全面制度管理体系、规范流程管理，指导审计实践，实现从理论到实践、实践再总结提升到流程优化，完善配套的保障体系。

（二）内部审计数字化转型策略

1.实现信息共享的内部审计机制

共享二道防线的预警数据，实现审计系统对全行所有业务的全覆盖，同时实现对一、二道防线的履职情况的及时监督和评价。通过全预警数据的掌握，有针对性地分析预警数据：一是对审计系统按自有规则从底层数据直接产生的预警信息，重点验证一、二道防线风险和内控管理的全面性和有效性；二是对于收集的二道防线风险预警数据及处理结果，重点监督二道防线的履职尽责情况；三是汇总分析预警数据，梳理各分支机构、业务条线在风险和内控管理的薄弱环节，为现场审计指明重点和方向。

2.建设立体化的数据架构

一是在符合内外部管理规定的情况下，探索接入如民间借贷反欺诈数据、司法公开执行信息等信息，确保审计分析与评价时能够校验、比对内外部信息，全面了解客户真实状况、掌握和判断风险。二是采集监管报送数据。对于报送至监管机构的统计数据，实现系统同步自动采集，确保审计及时了解，知晓整体经营情况。三是探索建立外部监管重点的实时抓取与传达机制，尤其是获取监管处罚情况，避免因下辖机构的漏报瞒报而不知情的情况，同时通过了解外部监管趋势，为内部审计资源的配置提供指导性，率先在行内提示相关风险、开展自查自纠。四是实现第一、二道防线检查发现问题的获取与采集。一方面，对一、二道防线履职情况进行监督与评价，避免重复检查、优化检查资源配置效率；另一方面，通过整合检查结果，梳理建立风险图谱，检验是否存在共性问题、屡查屡犯问题，深入分析问题产生根源，跟踪整改情况。

3.实现全流程数字化管理

优化非现场审计模块，发挥“雷达”作用。综合运用大数据分析、海量筛查、可疑数据抓取等技术，加大非现场审计分析研究，一方面定位可疑风险，精准指导现场检查，使现场与非现场检查同向发力、同步跟进，提高现场审计成效。另一方面，推动审计关口由事后为主向事中、事前转移的转变。

4.标准化内部审计流程

一方面，结合审计自身实现流程标准化、线上化、灵活可配置的需要，识别流程中可通过科技赋能的环节，提升审计工作效率和审计工作透明度，推动审计从传统的“现场优先”“抽样审计”转变为“非现场数据分析为主”“全量分析、全面覆盖”的审计，从“项目驱动”的审计转变为“持续审计为基础、敏捷审计和项目审计为支撑”的审计作业体系。另一方面，在厘清三道防线职责边界的基础上，实现审计发现问题录入、反馈、整改跟踪的数字化标准作业管理。通过权限设置，开放一、二道防线的权限，从一、二道防线自查问题和审计发现的问题的录入，到跟踪落实问题整改情况的全流程闭环管理，通过内控三道防线相互联动，实现风险监测、预警、处理、跟踪的全流程管理。

5.培育内部审计数字化人才

审计人员能力及团队的培养依托于审计流程优化及配套绩效考核机制等，是内审数字化转型中需要长期持续推动的重要工作。我们可以围绕重点审计项目，梳理典型案例，对特定领域的数字化审计目标、方式、重点及亟待解决的课题，抽调业务骨干，组成敏捷团队，使数据分析与建模的职责不局限于非现场审计中心内部，而是最大限度发挥专业骨干的创新潜力，为数字化审计提供有价值的经验和方法，再由非现场审计中心人员“翻译”开发成适合我行业务特色、满足升级工作需求的数据分析模型。同时，结合数字化转型规划，制定出提升数字化审计作战能力的中长期培训规划，使审计培训更加系统化、前沿化、实用化，结合审计业务领域、审计管理层级、审计项目需求等不同维度，建立起分层培训机制，满足内部审计数字化转型发展的需求逐步提升全体审计人员的大数据分析、数字化工具的运用能力。

结语

综上所述，为了保证科技与内部审计业务的有效融合，促进商业内部审计数字化的快速转型，如何提高认识和优化人才，是实现审计数字化管理重要问题之一。同时，数据架构和相应审计系统的建设也是发现审计问题的源头，需要得到决策层的高度重视，以确保内部审计数字化转型目标的早日实现。