杨利华 贾非凡

（兰州财经大学，甘肃 兰州 730030）

互联网金融的快速发展，极大地丰富了金融行业内涵，把金融带入了开放、共享、多元的环境中。互联网金融具有机构虚拟化、渠道电子化、服务便捷化、对象长尾化的特征，借助网络技术的特性，打破时间、空间的限制，以便捷高效的优势在金融市场上吸引着越来越多群体参与其中。但信息技术的高速度、数字化，使互联网金融风险形式多样，呈现出传播速度快、传染性强和监管难度大等特征。当前，对互联网金融风险的治理体系主要依赖“一行两会”与行业自律，对互联网金融风险多采用审慎监管，而金融审计的综合性、系统性、延伸性，与审慎监管的战略性、全面性、系统性相契合，如何建立起互联网金融风险的审计治理路径，把金融审计同审慎监管的基础理论有机结合有待进一步思考。

1.互联网金融风险聚集

1.1 互联网金融的风险因素

在金融市场有效的假设条件下，市场参与者是理性的，市场机制可以充分发挥作用。在优胜劣汰的竞争机制下，竞争价值偏低的企业会被自动淘汰，市场参与者的个体自利行为会使市场自动达到均衡状态。然而，市场参与者未必都是理性的，加之，互联网金融主要为普惠金融，金融消费者对金融产品缺乏专业知识，因此，很难真正选择到自己需求的产品，并且也很难意识到高风险引发投资失败的后果。即使单个市场参与者是理性的，并不意味着所有市场参与者都是理性的[1]，投资者对市场信息都比较敏感，出现利空消息时，投资者会赎回自有资金，而货币市场资金的头寸一般有较长期限，这时就存在期限错配和资金流动性的问题[2]。从单个赎回行为来看是理性的，但对于支付宝、余额宝客户群体巨大的机构，存在大规模赎回时，货币市场资金会有较大波动性，集体行为并非理性的，会造成一定的市场风险。在互联网金融环境之下，通过互联网传播速度更快、范围更广，还容易交叉感染其他行业不同市场，在缺乏制度保障的情况下容易造成市场失控。

互联网金融横跨金融和互联网两个领域，还跨越货币市场、资本市场、信贷市场等多个金融市场，在信息的获取中，难免存在信息不对称的现象。同时，投资者在作出融资投资决策时，依据的是平台提供的数据，而且金融专业知识有限，习惯了“刚性兑付”[3]，加之金融产品在网络销售中“美化”宣传，大都标榜着“高收益”“高增长”“稳健收益”“资金灵活”等字样，只披露较好收益表现的期间、产品优势和政策鼓励等信息，很少说明收益率通过何种策略取得以及存在着什么样的风险。投资者根本不了解自己购买的互联网金融产品，甚至可能购买与自己风险承担能力不匹配的产品，造成投资失败。

互联网金融业务中的信用关系由众多机构与金融消费者链接组成，其中，包括直接的信用关系如借贷关系，也包括间接的信用关系如担保、隐形担保、非标准化的其他产品等。当债务人出现违约行为，资金无法正常回流，承接信用风险的交易方无法吸纳造成的违约损失，或者承担信用风险的平台信用承受能力不足，发生破产倒闭，都会引发信用风险。例如，从事信用中介的互联网金融机构P2P网络贷款平台等，介入借贷活动为借贷行为提供担保，承担了与借贷相关的信用风险，如果这些信用中介破产，会使借贷行为的债权人和交易对手的利益受到损害。

互联网金融的发展依赖于互联网信息技术，而互联网技术自身仍处于发展过程中，技术安全性尚且不足，相应安全防护机制有待提高，由此给互联网金融行业带来了技术安全风险。同时，在互联网信息时代，数据信息成为主流，每天都有海量数据产生、储存，方便数据分析和处理，但数据管理不当会造成数据丢失、损坏和泄露，数据泄露造成的安全风险对互联网金融影响巨大。并且，数据信息扩散速度极快，一个病毒或者一个程序就可通过网络迅速传播，使互联网金融机构运作系统崩溃。就如P2P平台频遭黑客攻击，皆因一些P2P平台软件提供商鱼龙混杂，平台系统简单、漏洞多、研发技术有限，短暂研发后就投入使用，投入使用之后缺乏运维开发的专业团队，长此以往，安全风险不断叠加，致使互联网金融机构无法正常运营。

金融市场环境不能完全达到理想状态，市场参与者不理性且缺乏相关信息了解，业务流程伴随信用风险，以及互联网金融本身存在着互联网的技术安全和数据管理风险，由此互联网金融行业的风险逐渐累积叠加，一旦出现风险，涉及人数庞大，对社会的负外部性更大，必须采取一定措施加以监管治理。

1.2 互联网金融的风险累积

互联网金融业务依托信息技术，在信息高度自由的互联网环境之下，每一微小风险经过一系列内在变化，在传染性极强的互联网中蔓延传播，会对金融系统造成巨大影响。互联网金融消费者在选择金融产品时并不能做到完全理性，而且互联网金融机构同消费者交易过程中存在信息不对称的问题，会进一步放大信用风险的影响，如不及时遏制，信用风险会在每一轮扩散中增加其负面影响，甚至通过信息的传染作用，影响其他互联网金融机构和业务，从事类似交易的当事人、交易对手都会怀疑机构的清偿能力，造成风险的成倍放大。在互联网金融业务进行过程中，金融机构违约或者承担信用风险的平台出现问题，该信息在互联网环境下快速扩散，可能使大量债权人撤资，对杠杆较高，存在准备金制度的机构来说，会对资金流动性造成巨大冲击，甚至导致风险能量累积。由此可见，互联网金融风险的传播、累积过程具有明显的“蝴蝶效应”特征。

“蝴蝶效应”一般发生在一个具有敏感性和自相似性的自组织体内，由于存在众多的奇异吸引子，对初始事件具有极强的敏感性，奇异吸引子的变化会迅速引起周围系统波动并通过正反馈机制不断进行能量增强[4]。互联网金融领域中，复杂的自组织体为互联网环境；奇异吸引子为极具敏感性的众多风险因素，这些风险因素对市场上的细微变化极具敏感性，并且能够通过开放、共享的信息渠道进行自我复制、自我生长进行内生酝酿；正反馈机制为“长尾”群体在参与互联网金融中受到的信息不对称影响，风险因素经过跨行业、跨市场传导累积而形成的乘数效应，拥有大量用户群体、传染效应强的互联网信息传播失控，以及在相同业务体系下，从事相同或类似业务的机构受到相互间风险事件影响产生的多米诺骨牌效应等。

在复杂的自组织体内（网络环境），奇异吸引子（风险因素）受到正反馈机制（风险扩张机制）的作用[4]，进行自我复制，传播蔓延，使得能量加强与累积。互联网金融领域中，消费者的不理性，以及业务过程中的信用风险、技术安全风险、数据管理风险，在信息不对称的持续作用下，原有风险点进行第一轮扩张。互联网金融业务具有相似性和互通性，风险点也都存在相似性，这些风险因素经过多个市场、多个行业后会持续复制累积，在众多用户群体间快速传播，加上互联网的信息传染效应，容易导致信息传播失控造成风险点的进一步聚集。这些风险点在单一风险网络内以分形结构传播，风险因素层层嵌套，能量加强，彼此迭代，形成了互联网金融风险的不断累积。

2.互联网金融风险治理中审计作用机能

互联网金融风险能量不断加强累积，一旦爆发，将会对金融行业造成巨大冲击，因此，对互联网金融风险的治理势在必行。除了“一行两会”和协会自律治理，审计也是互联网金融风险治理中的重要力量。审计充分应用其独立性、综合性的优势，通过发挥“免疫系统”功能预防风险，强化内部控制自我管理促进风险管理，以及通过鉴证业务提升信息披露透明度来揭示风险。

2.1 发挥“免疫系统”功能防范风险

审计“免疫系统”功能是对审计功能的扩展，除了突出审计的监督职能之外，同时还重视审计的预防功能。发挥审计的“免疫系统”功能，就是既强调审计自身已存在的经济监督、鉴证、评价功能，又强调生物学上免疫系统所具有的防御、稳定、监视和维护功能，对审计功能进行了更深层次的拓展[5]。在互联网金融中，审计可以了解互联网金融机构环境、内部管理情况以及经济活动变化情况，关口前移，实施风险评估程序，跟踪机构的资金运用全过程，重点核查可能存在问题的项目。对发现的苗头性、倾向性问题，及早揭露并发出预警，将识别出的风险和掌握到的准确财务会计相关信息及时向监管部门进行反馈，避免同类风险再次发生造成损失，有效防范互联网金融风险。同时，发挥审计的免疫系统功能，不只是揭示出问题所在，还对问题产生的根源进行深入分析，从风险产生的源头抓起，积极做到事前防范，来消灭和排除“病菌”的侵袭，为可能发生的金融风暴做好合适的计划预案，充分发挥预防作用，进一步推动互联网金融风险防范工作。

2.2 强化内部控制管理风险

互联网金融机构频频出现问题的一个重要原因就在于机构内部控制管理不到位，没有及时识别风险、分析评估风险、化解风险。内部控制的实质就是控制风险，内控机制围绕着风险实施各种措施和手段，COSO框架引入了风险对策、风险零忍度、风险偏好等相关概念和方法[6]，建立在风险准确度量的基础上，可以更好地应对风险，因此，健全良好的内部控制对互联网金融风险管理显得尤为重要。

在互联网金融审计实施过程中，审计部门需要结合互联网金融市场发展和同行业特征，了解分析互联网金融机构自身业务特点、必要业务流程、内部控制水平、资金流转情况以及对机构内部控制设计和实施的有效性进行审查，针对互联网金融机构内部控制管理薄弱的环节和内部控制存在的缺陷提出建议，保障互联网金融机构在良好的内部环境之下运行，有效识别潜在的互联网金融风险。对机构的控制机制评估后，通过对机构整个业务流程进行把控，针对具体细化的业务环节层层把关，形成初步的互联网金融风险内部控制模型，进而识别潜在风险。对于重要业务、重要节点，按照业务发展的逻辑顺序，逐个分析风险产生的原因和风险程度[7]。根据分析出的风险程度结合风险测评的等级结果，强化审计工作重心，以确保控制风险在可接受的范围内，避免风险防控不当造成的更大风险，对互联网金融机构内部形成持续性的风险防护机制。

2.3 提升信息披露透明度揭示风险

互联网金融企业风险的累积与爆发，很大程度上由于信息不透明，同时缺乏相应监管。对于单个企业或平台的风险治理，以降低信息不对称，提升信息披露透明度为重点。独立审计的鉴证业务旨在对鉴证对象信息真实性、合法性、公允性提出结论，增强除责任方之外的预期使用者对鉴证对象信息信任程度，鉴证业务对提升企业信息披露尤其是财务信息有重要作用。

由于信息的预期使用者大都为“长尾”群体，企业对互联网金融产品的风险、条款和企业经营活动中的信息披露不足，使这些群体与互联网金融企业处于信息不对等的位置。企业掌握产品的内部信息和定价主导权，会利用消费者的信息劣势来开展业务，导致“长尾”群体可能承担高风险带来的损失。基于鉴证报告的公信力和权威性，提高审计的监管要求，可以同时提升互联网金融企业的信息披露质量，使机构对互联网金融产品和服务的条款以及经营活动信息披露更加信息透明，让“长尾”群体明白自己所面临的风险。同时，互联网金融业务产生的数据量巨大，并且存在数据篡改的可能性，信息披露透明度提升，可以使审计在监督过程中，掌握更多真实的信息数据，有助于发现蕴藏的风险点，对潜在的风险进行揭示。

3.金融审计在互联网金融领域中的困境

互联网金融结合了金融行业和互联网技术，使得金融审计在对风险的治理过程中存在一定困境，如信息系统的使用，使得互联网机构不能完全展示对业务信息的处理过程以及信息系统对数据信息的运算处理过程，传统的审计线索隐性化[8]；审计人员获取的信息可靠性有待考量；对互联网金融风险的监管缺乏可参照的具体规范条例；同其他监管部门之间存在监管重叠，缺乏协调机制。

3.1 审计线索隐性化

审计线索是审计人员检查经济业务实际运作过程或检查业务数据处理过程的依据，是审计人员获取审计证据的根本依据。在传统审计业务中，审计线索通常为企业在处理经济业务时，形成的反映业务真实性及业务流程的纸质记录、相关文件或其他形式的资料。在会计系统中，审计线索主要表现为会计凭证、会计帐簿、会计报表[9]。在互联网金融审计业务中，基于信息技术环境，业务数据的具体处理过程都有固定的程序设定，按照设置好的指令直接进行处理，互联网机构不能完全展示对业务信息的处理过程以及信息系统对数据信息的运算处理过程，传统的审计线索变得隐性化。并且，业务数据均保存在磁性介质上，数据的输入、存储、处理方式都会对审计线索获取造成影响。审计人员难以及时高效地通过现有渠道，获取所需审计证据，在一定的时间和成本下，还需要对海量数据进行归纳整理，从中筛选出有效的信息，给审计工作带来了挑战。

3.2 审计证据可靠性低

互联网金融行业的不断创新，使得市场上涌现很多新的互联网金融业务和产品，行业竞争加剧，优胜劣汰的淘汰率更高。为了保持在行业中的竞争地位和自身利益，许多互联网金融机构就会铤而走险，粉饰财务报表、虚增经营业绩、甚至违规经营，对审计人员隐瞒真实情况，审计人员获取的信息可靠性大大降低。

互联网金融业务记录大都以数据形式记载，许多民营互联网金融企业内部控制制度不完善，对数据查看、修改的权限没有严格限制，交易人员、财务数据记录分析人员、软件开发者甚至黑客都可以无痕篡改交易数据，形成不真实的财务数据。交易信息虚拟化使审计人员更难获得真实有效的审计证据，难以作出准确的审计判断。

3.3 制度依据不足

对于互联网金融行业的监管还处于探索阶段，互联网金融协会筹建时间也较短，缺乏细化的监督管理条例，互联网金融机构的会计准则、审计准则等规范性文件也相对缺乏。目前，我国互联网金融企业开展业务活动时，依照的仍是传统的会计准则以及内部控制制度，审计人员在实施审计业务时也同样参照传统的审计准则。而互联网金融的创新性不断增强，业务内容与形式向更多元方向发展，传统的企业会计准则、审计准则对于新的互联网金融业务和产品并不适用。审计人员在审计过程中缺少具体细化的规范参照，加之审计人员知识广度与深度上存在差异，依据传统审计准则进行判断，难免出现判断失误，发表不恰当意见。

3.4 缺乏监管协调机制

我国互联网金融监管以政府监管和行业自律相结合的方式，由中国人民银行、银监会、证监会为主要监管主体，结合互联网金融协会建立自我约束标准，来防范金融风险，维护金融体系稳定。2015年7月18日，中国人民银行等十部门发布的《关于促进互联网金融健康发展的指导意见》(银发〔2015〕221号) 是政府就互联网金融行业规范发展和市场监管制定的第一个指导性文件，确立了“依法监管、适度监管、分类监管、协同监管、创新监管”的原则[10]。

互联网金融的跨行业经营方式，使金融机构同证券机构、保险机构等众多机构业务边界更加模糊，在分业监管机制下，各监管部门缺乏有效协调。对于混业经营的监管涉及多个部门，必须由多个部门共同监管，但这些部门往往各司其职缺乏有效的协调机制，信息割裂和协调机制的缺失给混业监管增加了难度。不同部门的法律规章交叉重叠，缺乏适时的更细化的准则进行具体约束，这使审计人员无所适从，导致审计风险增加。

4.互联网金融风险的审计治理机制

4.1 互联网金融风险的治理模式

对互联网金融风险的审计治理，从产生的风险因素出发，采用风险测度的审计监测体系，对财务数据中的一些指标进行监测，从而发现潜在风险，完成对风险的监视环节。对于使风险乘数放大、迅速蔓延传播甚至传染到其他行业的风险扩张机制，分别形成以风险导向为核心的内部控制体系，从机构的内部关键节点进行初始风险控制，实现风险自稳。在微观审慎监管中结合社会审计，检测在审慎监管下的风险应对措施是否合理，加强信息披露透明度。在宏观审慎监管中嵌入政府审计治理，实现审计同其他监管部门的合作协同，解决监管重叠、监管空白问题。从社会审计和政府审计两方面达到风险防御，形成风险监视、风险自稳、风险防御的风险治理闭环，具体治理机制形成如下：

4.2 互联网金融风险的审计治理路径

4.2.1 建立对互联网金融风险测度的审计监测体系

对互联网金融风险的治理,首先,要对可能存在的风险点进行审计监测，这样才能及时发现风险，作出预警。对风险点的研究可以借助风险模型，如学术界的主观概率模型、人工神经网络模型、Simple Logit 模型区制转移模型、“In-House”和“Private Sector”模型、VaR和压力测试法[3]。本文在对互联网金融风险因素的分析过程中，使用相关权益分析法（CCA模型）来对风险进行审计监测。相关权益分析法，着重分析部门经济资产负债表的相互关联。相关权益的含义是某种金融资产将来的收益依赖于其他资产的价值。CCA 定义了资产价值和负债价值的基本关系，把资产、负债和所有者权益看成是相互关联的组合[11]。

CCA分析的主要依据是企业形成的资产负债表，互联网金融审计可以依据机构经营业务产生的财务数据、债权债务数据，形成互联网金融业务的经济资产负债表以及风险财务报表。进而分析互联网金融机构有条件要求权的资产和负债的经济价值，来确定各经济部门分担的风险存量，根据期权原理，估算风险的暴露状况。同时，参照从事相关业务的各类银行、证券及信托公司的行业数据、交易信息，使用风险导向审计方法和相关权益分析法，来构建互联网金融风险的审计测度指标体系，如风险债务价值、权益价值、违约概率和资产损失率等。依据互联网金融机构自有数据和市场数据，综合应用审计方法和相关权益分析方法，进行实时动态的审计监测，以对风险动态监视，把握风险状况和变化趋势。

4.2.2 形成以风险导向为核心的内部控制体系

互联网金融的上市公司较少，企业大多数规模小，甚至一部分还在初创期，内部控制较为薄弱。在互联网金融领域中，大部分属于民营企业，股权结构较为集中，设置上难免出现一股独大的局面，公司各项决策的制定和执行权力掌握在小部分管理层手中，管理层出现舞弊动机时，难以得到有效控制，存在内部控制缺陷。这些民营企业处于初创期、发展期，更关注企业的经营业绩、客户规模等指标，忽视企业存在的风险，缺乏合理有效的内部控制制度。因此，对互联网金融风险治理时，需要形成以风险导向为核心的内部控制体系，从企业自身出发实现风险自稳。

风险导向为核心的内部控制体系，首先，需要了解互联网金融企业的控制环境，如企业的治理架构、管理架构以及人力资源政策等。其次，以互联网金融企业的业务为出发点，实施风险评估程序，进行风险分析，对每一阶段中的每一业务采用流程图法列示，关注可能发生风险的关键控制节点，从而采取有效对策遏制风险。再次，检查控制活动并分析相关程序，如对不相容职务分离控制，厘清岗位界限；授权审批控制，注重互联网金融企业业务过程痕迹管理。在发生借贷业务时，如果借款人逾期率较高，就会对企业造成较大的坏账损失，给公司经营资金链造成不利影响。因此，需要关注逾期率的计算方法是否合理，应用检查和重新计算的审计方法，代入数据查看逾期率是否能够真实反映当前客户的贷款情况。在对借款人的资质和信用水平审核时，关注信用评级模式是否合理及评级结果的有效性，查看借款人提供信息是否真实可靠，与之对应的风险准备金是否恰当。在审批环节，关注线上业务电子签章的真实合法性，审批过程是否做到职责分离和存在越权批准的现象。从可能产生的风险入手，对各个业务环节的关键节点进行控制，形成良好的内部控制体系，降低风险。最后，对风险识别、风险分析、风险控制的全流程进行监督，衡量内部控制制度的执行质量，使内部控制建设不断优化加强。

4.2.3 在微观审慎监管中结合社会审计检测和披露

对于互联网金融的监管手段通常为审慎监管，审慎监管的方法在于识别风险之后，对风险实施一系列管理手段，控制互联网金融机构的风险承担行为以及负外部性[2]，其中，微观审慎监管则更加关注个体金融机构或行业的风险。例如，从事信用中介的机构发生破产，导致信用风险，并可能向其他行业市场传播，针对这类信用风险，互联网金融机构通常会计提一定数量的资产损失准备金来应对预期损失，如风险储备池来保障投资者的投资本金。社会审计则需要对机构存在的风险进行准确识别、评估和计量，根据识别出的风险计量数对资产损失准备金、风险储备池的计提依据、计提比例、计提是否充分、记录是否完整、披露是否恰当审查其合理性，保障互联网金融机构应对风险的措施能够有效实施，来防御风险。

同时，互联网金融机构通常在资金流动性和期限转换方面存在问题，也会存在跨行业产生的乘数效应以及多米诺骨牌效应，这些流动性危机，会直接影响到债权人和交易对手的流动性。当互联网金融机构出现流动性危机时，通常会出售资产收回资金，来满足流动性的需求，然而，短期内大规模的出售资产会使资产的价格下跌，持有同类资产的其他企业也会受到影响，资产价格下跌引发企业抛售，进而资产价格进一步下跌。社会审计则需要对确保资产流动性的内部控制制度是否健全有效进行查验，确定进一步的审计范围，审查资产增减流动是否真实、流动比率是否合理正确，对投入资产保管是否恰当，揭示资产流动性中存在的问题，避免抛售资产致使价格下跌的恶性循环来防御风险。

对于“长尾”群体存在的信息不对称问题，社会审计的鉴证业务按照一定准则要求对单个互联网金融机构的经济活动进行审查，并对机构提供的信息进行评价，提出审计意见。基于审计意见报告的权威性，可以对互联网金融机构作出的信息披露起到约束作用，使机构对互联网金融产品及服务的条款披露更加透明。社会审计在对互联网金融机构进行审查时，要保持自身独立性，提高监管要求，加大监督力度，对机构的信息披露质量进行严格控制，并且明确注册会计师的报告义务，保证信息披露的真实、合理。

4.2.4 在宏观审慎监管中嵌入政府审计治理

波兰尼的“嵌入理论”认为，不能仅仅依靠经济一项因素维持社会运转，还需要政治、文化、宗教等多个因素的协同作用，才能使社会有序发展。由波兰尼的嵌入理论衍生出的嵌入式监管，其核心在于经济问题存在于复杂的社会关系中，想要解决经济问题，无法依靠单一的手段和措施，而需要多方手段彼此协作、互相嵌入才能解决。对互联网金融风险的治理，需要多方共同协作，在已有监管的基础上嵌入政府审计，形成健全的治理体系[12]。宏观审慎监管的目标在于降低金融风险的强度，减少其他因素造成的风险累积，以及使金融体系在面对经济下行和其他负面影响时，具有一定的自稳恢复能力。政府审计可以对跨行业、跨市场的综合性业务进行宏观的风险控制与防御，与宏观审慎监管框架十分契合。在宏观审慎监管中嵌入政府审计，使监管主体之间、被监管主体和政府机关之间建立良好的协作关系，以此提高监管效率，防御风险。

政府审计嵌入对互联网金融风险的治理，首先，要贯彻国家战略基本目标，不能偏离国家战略发展方向，在国家特定的发展策略上，政府审计同其他监管部门共同协作[13]。由于对互联网金融监管的其他监管主体都隶属于中央政府，彼此间不存在上下级关系，所以，政府审计需要与其他监管主体对风险预防策略进行定期磋商。可以建立信息共享平台，对内、外部信息进行收集、整理，储存在网络平台，提升获取信息的效率与速度，保障彼此间信息互通和协商，形成基于国家治理的各监管部门间刚性合作。明确互联网金融部分领域监管职责，对涉及多环节、跨部门监管的职责进行调研和裁定，把责任落实到具体部门，由此，解决对互联网金融监管重叠和监管空白的问题。同时，政府审计可以同被监管者形成一定合作模式，由被监管者提供更多内部信息到信息共享平台，配合监管，自觉完善内部机制，调整经营活动，改善监管主体与被监管者直接的对立关系，降低监管成本，促使互联网金融机构能够自觉遵守监管要求。政府审计同时也向被监管者积极传达政策信息，提供审计建议，促进互联网金融企业更好发展，形成合作伙伴关系。政府审计通过与其他监管部门和被监管者之间的协作，对互联网金融风险进行多层次、多主体、多中心的治理，进而可以全方位防御风险。