刘庆锴 王良浩 蒋馨颖 黄蒙辉 陈吉

[摘要]银行内部审计作为金融监督体系的重要组成部分，对促进现代银行金融机构安全稳健运营具有重要意义。从城商行审计信息化建设角度出发，通过重点挖掘工具创建、常态化分析评估框架构建、自动监测预警体系搭建三方面的应用实践，阐述了审计信息化建设在促进内部审计充分、高效发挥职能，保障城商行安全稳健运营中的重大意义和价值，分析存在的不足并提出相关改进建议。

[关键词]内部审计   信息化   城商行

金融是实体经济的血脉，金融安全是国家安全的重要组成部分，防范化解金融风险是金融工作的根本任务。银行是金融体系重要组成部分，银行内部审计基本职能是客观评价银行发展现状和揭示其存在的风险，促进银行实现“安全和发展”目标。当前，我国城市商业银行（以下简称城商行）规模扩张和金融产品创新在推动行业进入新时代。现有的内部审计模式与审计方法难以全面跟上银行业发展脚步，只有通过加强信息化建设，内部审计才能更好地在保障城商行安全稳健运营中发挥应有的价值与作用。

一、城商行审计信息化建设的现状

内部审计信息化的核心是审计信息系统建设，审计信息系统建设可以对审计管理、审计方法的提升产生积极作用。审计信息系统以计算机信息网络技术、数据库技术为基础，对银行内部业务数据、外部公开数据进行采集、整理和存储，采用交互式数据提取及分析软件为审计人员提供灵活、强大的图形化审计模型探索及数据分析工具，通过调取审计对象相关数据进行参数化配置、模型化探索，挖掘审计对象存在的问题、疑点、异常，为日常各项审计工作提供重要线索和资料。审计信息系统的整体功能一般分为系统管理、知识管理、分析监测平台、审计作业平台和内控评价平台等五个部分。以A银行为例，其已建成的审计系统具体架构见图1。

随着城商行信息化程度的不断提高，各类创新业务不断互相渗透，外部经济金融形势越发错综复杂，海量业务数据的处理、分析能力的提升成为关系内部审计工作质效的重要因素。加之近年来审计职能的拓展，要求内审部门能够随时获取各类业务的“全景风险画像”“关联性风险视图”和提出“有价值的审计建议”。而审计信息系统充分利用各业务系统和外部公开数据，通过大数据分析技术对业务、客户、风险进行多维度分析、评估，不断拓宽审计工具外延，在精准定位审计重点的同时为高级管理层和决策层制定经营战略提供依据，形成经营改善和内部审计重点互相促进、互相支持的管理闭环，重新定义审计模式，以此辅助城商行实现发展的稳定性、平衡性、持续性。A银行通过建立审计信息系统，并将该系统与各业务系统、外部公开数据进行对接，对风险线索进行跟踪处理，协同一、二、三道风险防线，改革审计作业模式，合理调配审计资源，全面提升了内部控制及风险管控的整体水平。

二、审计信息化在保障城商行安全稳健运营中的应用实践

（一）创建重点风险挖掘工具，保障城商行运营的稳定性

根据不同类型审计项目需求，灵活使用查证分析工具开展项目前期准备工作，聚焦重点业务，对问题精准定位，通过现场审计深入挖掘业务风险，及时整改，消除风险隐患，促进城商行稳定、安全发展。

1.构建多维度扩展客户关联关系，防控集群风险。在当前经济环境下，企业之间往往通过相互入股、开展交易、互相担保等方式产生关联关系，而由各种关联关系所形成的集群客户通过隐性持股、贷款挪用、利用空壳公司假借名贷款、寻求多头授信等方式，获取大量银行资金，形成规模巨大的集群授信风险。有效地识别、管理客户关联关系在集群客户风险管控中意义重大。

基于银保监会出台的《商业银行大额风险暴露管理办法》（银保监会令2018年第1号），在审计系统建模中引入“经济依存客户”概念，拓展客户关联关系识别维度，从交易、担保关系、偿债义务、融资关系、偿债来源等方面作为非同业关联客户识别的补充，并结合业务开展的实际情况和数据的可获得性从担保关系、股权结构、亲属关系、高管构成、资金流向5个维度对客户关联关系进行识别（见图2），并对5个维度的识别标准进行细化（见表1）。

充分应用客户关系系统、信贷系统、行外公开征信网站等提供的信息，基于上述5个维度充分挖掘单一客户关系族谱，构建关联关系集合，并通过建立关联关系的传导连接，识别集群客户（见图3）。

通过上述关联关系识别模型，充分挖掘在股权结构、近亲属关系、高管构成等方面不构成法律层面的明显集团客户，但通过担保、资金往来（经营资金、信贷资金等）形成隐性关联关系的集群客户，结合审计人员对业务经办人员、借款企业相关人员开展访谈，查询借款人历史股权、高管人员记录等方式，核实各主体间是否存在实质关联关系，以此为基础组建集群客户。将识别出的集群客户逐一匹配表内外授信信息，并对其存量授信的风险状况进行分析。审计部门可将集群客户关联信息与业务部门、风险管理部门、资产保全部门进行共享，协助其强化业务管理和风险管控，丰富资产保全工作思路。

2.全方位描绘员工画像，防控道德风险。商业银行员工行为排查一直是艰巨而繁重的任务，是商业银行反舞弊工作的重要组成部分，但是排查员工异常行为的难度一直很高（见图4）。随着金融科技不断发展，基础数据不断丰富，包括银行内部的业务数据、财务数据、交易记录等，外部的税务、市场监管、征信、反欺诈等相关数据信息。基础数据经过清洗、储存，即转化为审计系统可以使用的结構化数据，建立员工行为审计模型。比如，分析员工是否存在超收入水平的消费、是否与客户存在不正常往来、是否与其他员工有可疑关联关系、是否频繁使用个人消费贷款、是否有违规担保情况、是否存在贷款逾期情况等;同时，通过搜集并分析政府公开数据，检测员工是否存在经商办企业、是否涉及诉讼案件等情况。

通过在审计系统中建立员工行为排查的审计模型库，在离任审计、专项审计中对被审计单位的员工行为管理情况进行评价，在远程审计中重点关注员工异常行为的排查，实现对员工行为持续的监督，可节省大量人力资源，并将原先的抽样检查转变为人员、行为全覆盖。

3.各业务跨系统连接防控影子银行与交叉金融风险。2008年以来，中国影子银行业务迅速发展，尤其是银行理财与信托公司的“银信合作”业务急剧膨胀。银行利用理财资金购买信托公司的信托计划，信托计划再以信托贷款方式投向房地产行业和地方政府融资平台。在此环境下，城商行由于业务拓展需要不断扩大自身与影子银行相关的投资业务、委托贷款和理财业务。随着监管政策收紧，城商行根据《关于规范金融机构资产管理业务的指导意见》等相关法规要求不断整改化解，但是影子银行业务结构复杂，风险交织，仍存在一些较难处置的风险资产（见图5）。

通过开展理财业务、投资业务的专项审计，充分利用大数据分析技术对内外部数据进行合规分析，在审计系统中接入理财管理系统、财务系统、核心系统、人力资源系统及外部WIND数据，综合判断理财资金的流向是否符合规定，确认是否穿透至底层资产，是否存在理财收益调节和期限错配的问题。运用审计信息技术，掌握理财产品与底层资产期限不匹配、在不同的理财产品之间交易不良底层资产等违规行为，提升对影子银行业务的审计深度，节省了大量审计资源。

（二）构建常态化分析评估框架，协调城商行运营的平衡性

充分应用审计信息化在数据集合上的优势，可在审计系统中对各业务指标、重点风险领域开展定期分析评估。分析评估不局限于合规、风险问题的发掘，还结合经营部门、条线管理部门的经营导向，从业务发展规模、综合经营效益、成本集约效果及同业市场份额等不同视角出发，对相关业务、风险数据按时间序列进行趋势分析，挖掘各经营单位的业务侧重点和经营倾向性，发挥大数据应用分析技术对提高业务经营管理成效起到的积极作用，促进经营单位在发展业务和安全运营获得平衡。

在分析评估中，对各经营单位各项重要经营业绩指标进行基础分析，关注重点经营数据的异动情况和风险状况，根据评价结果选择指标异动分支机构进行针对性趋势分析，最后，根据趋势分析结果精准定位违规问题发生的时间点，通过进一步建模锁定具体违规行为，同时以具体违规行为反向验证基础分析结果的准确性，实现审计监督常态化。

比如，A银行在某次定期分析评估时发现部分分行存在各项存款增长未达到行业平均水平、对公存款增长乏力、存款增长过度依赖保证金、四季度表内存款出现负增长等问题。根据基础分析结果，该城商行有针对性地对各分支机构银行承兑汇票业务开票时间、期限、保证金比例、交易对手等信息进行深入建模挖掘;在判断对公存款增长乏力的N分行、L分行存在年末冲时点的冲动后，对2家分行绘制单位活期存款12月21日至12月31日借、贷方每日发生额曲线（见图6）。

分析发现4季度分支机构共批量开立100%保证金银行承兑汇票上千笔，虚增存款规模数十亿元，N分行营业部、L分行营业部通过省外公司开立的账户短期大额资金进出，分别虚增存款数亿元，违规情况与基础分析结果一致。

（三）搭建“T+1”自动监测预警体系，提升城商行运营的可持续性

审计作为内部控制的第三道防线，将审计节点在内部控制工作链条上前移，可切实提升审计工作效能，充分发挥审计结果对银行业务发展的纠偏功能，促进银行制度更加完善、管理更加规范，为银行业务的稳健、健康发展保驾护航。

审计系统通过创建可扩展、开放性强的非现场审计预警模块（见图7），将日常工作中运行效率高、问题定位准的模型纳入自动运行模型库，并根据需要以一定频率对相应机构、业务进行监控，在系统发出预警信息后，审计人员将核实后的信息移送相关部门处理，真正做到将内部审计由传统的事后审计向事前、事中提示预警和风险防范转变。内审人员还可根据业务发展、风控重点和监管政策趋势，对模型、参数进行新建、调整，充分利用行内获取数据时效性强的特点，实现对全行业务的实时、高效、精准和自动的持续性监测，一定程度上减少审计结果的滞后性。

利用审计系统的非现场审计预警模块，实现对新发放贷款资金流向、员工异常行为的“T+1”监控，及时预警贷款资金流向限控行业、回流借款人账户、客户贷款资金支付异常等风险信息，促进全行内部控制管理提升，强化贷款资金使用、员工异常行为管理。

三、城商行审计信息化建设可能存在的不足

（一）数据信息不够精确、完整

城商行不断加强信息化建设，对描绘经营情况或风险状况的精细度要求越高，要求收集的数据越完整，但目前搜集的数据却不够精确、完整，阻碍了审计信息化建设。主要表现在：数据覆盖存在滞后性，管理信息系统的建设无法跟上业务模式和管理方式的创新发展;业务数据质量参差不齐，审计部门非现场审计中一般是被动地接受数据，数据录入收集错漏或部门间信息沟通不畅都会导致数据质量较差;非结构化数据应用程度较低。目前，城商行审计分析主要利用本行结构化数据进行分析，对于外部数据的引入、影像资料的分析等方面应用程度不高，获取数据的渠道不够丰富。

（二）审计模型存在失效风险

当前，城商行经营中，业务和风险的变化是非常迅速的，一些审计线索稍纵即逝。通过建立审计模型的方式对数据进行分析，业务模式、业务系统数据结构的改变可能使曾经有效的模型失效，或是被审计单位或个人得知审计模型的运行原理后，会有意识地改变违规行为以规避审计模型的筛查。如果不能使用审计模型快速把握风险点，审计模型的有效性以及审计促进业务发展与安全的作用和价值就会大打折扣。

（三）高素质审计人员较为紧缺

目前，城商行中普遍存在内审人员综合素质不能满足审计信息化需求的情况。审计对业务能力和综合素质的要求极高，特别是电子化、网络化加快了银行金融产品的创新，大部分内部审计人员传统审计业务能力强，对计算机使用，特别是对大数据分析、信息化模型构建能力欠缺，而纯粹的IT人员大多不懂银行业务，数据分析的效果难以达到审计要求。审计部门需要补充和培养既懂银行业务又精IT知识的全面型复合型人才。

四、加强城商行内部审计信息化建设的建议

（一）重视条线联动与专业融合

强化非现场审计与现场审计间的协作联动，听取条线审计人员的业务需求，及时对分析模型进行针对性调整，提升模型分析准确性，同时通过专业融合提升审计人员数据式审计理念的主导意识。

（二）强化审计数据质量提升

一是持续推进城商行信息化建设，构建标准统一的数据集成平台，强化不同业务条线数据衔接，提升数据兼容性。二是加强审计系统与外部信息系统对接，实现外部数据的动态更新，提高审计结果的准确性和及时性。三是加强非结构化数据的收集与应用。

（三）注重专业型、复合型人才培养

推进银行内部审计信息化，需要大量的全方位、复合型人才作为支撑。研究认为，最重要的是整体提升审计条线人员数据式审计应用能力。注重数据分析能力培训，创造业务沟通平台，逐步培养出一批懂业务、会技术的复合型人才。

五、结语

近年来，我国城商行内部审计信息化建设取得了重要进展，个别先进城商行利用审计信息化工具加强重点业务风险管理，提高日常风险监控力度，实现审计监督职能，保障城商行安全稳健运营。与此同时，部分中小规模城商行由于资金投入、人员储备有限，信息化建设水平相对落后，內部审计信息化建设水平仍需完善。城商行内部审计部门应当做好系统规划、重视人才队伍建设、加强同业交流，切实在保障银行可持续的稳健发展上发挥其应有的重要作用。

（作者单位：桂林银行股份有限公司，邮政编码：541199，电子邮箱：491525191@qq.com）

主要参考文献

[1]金丽敏.商业银行内部审计信息化研究[D].武汉：中南财经政法大学， 2019

[2]徐顺飞.大数据环境下商业银行内部审计面临的挑战及对策研究[D].苏州：苏州大学， 2018

[3]张萍. EP银行关联企业集群信贷风险研究[D].厦门：厦门大学， 2018

[4]中国银保监会政策研究局课题组.中国影子银行报告[J].金融监管研究， 2020（11）