宋文娟

（1.西北政法大学，西安 710000；2.中国邮政储蓄银行审计局西安分局，西安 710000）

1 引言

随着区块链、云计算、人工智能等信息科学技术的快速发展，数字技术与金融业务深度融合，银行业进入以数字化为主要特征的新发展阶段。2021 年，银行业继续加大金融科技投入，工商银行、农业银行、中国银行、建设银行的金融科技投入分别达到259.87 亿元、205.32 亿元、186.18 亿元、235.76 亿元，均创历史新高。2022 年1 月，人民银行印发《金融科技发展规划（2022-2025 年）》，提出打造新型数字基础设施、构建敏捷化创新体系、重塑智能高效的服务流程等目标。同月，银保监会印发《关于银行业保险业数字化转型的指导意见》，要求大力推进个人金融服务数字化转型，拓展线上渠道，丰富服务场景，完善数字化经营管理体系，提高金融产品和服务可获得性。商业银行数字化转型向纵深推进，数字化变革持续进行，为商业银行带来新的机遇和挑战，数字化的业务发展路径亟需数字化的风险防控措施。内部审计作为商业银行把控风险的第三道防线，应当顺应金融科技新趋势、创新内部审计新方法、打造数字化审计新模式。

2 数字化转型背景下商业银行零售业务的新特征

商业银行零售业务是指面向个人、家庭和小微企业客户提供的资产、负债、中间业务，包括存款、零售贷款、结算、代理销售等业务。零售业务因其潜在客户多、经营风险分散、资产质量较为稳定、资产收益率相对较高，对商业银行利润贡献持续加大。根据安永发布的《中国上市银行2021 年回顾及未来展望》，2021 年我国上市银行零售业务营业收入在整体营业收入中的占比为42.38%，同比提高0.12 个百分点，且占比均高于公司业务和金融市场业务，零售业务利润贡献度进一步提升。

零售业务客户体量大、业务种类多，在数字化应用方面具有较大便利性和天然优势，因此，商业银行的数字化探索起源于零售业务端，零售业务数字化转型是商业银行数字化转型的先导和核心。我国商业银行零售业务数字化转型可以追溯到2012 年，经过近十年的实践与发展，已经取得阶段性成果，整体来看，商业银行零售业务朝着线上化、数字化、智能化、平台化的方向纵深转型。

2.1 业务渠道线上化

在“互联网+”背景下，消费习惯线上化、支付方式无卡化，以物理网点、ATM 机具为主的传统业务办理渠道正在被取代，手机银行、微信银行、电话银行等线上业务办理渠道逐渐占据主导地位。目前，国内绝大部分银行已经实现主要零售业务全流程线上化，例如，通过手机银行进行跨行转账、理财产品的购买与赎回、贷款支用等操作，银行服务客户的渠道虚拟化，服务效率得到提升。与此同时，线下渠道也逐步演变出“线上化”特征，如在银行营业网点的自助开卡机上进行远程开卡、在办理柜面业务结束后使用电子签名、在ATM 机具上操作无卡取款等，线上、线下渠道进一步融合，渠道线上化是大势所趋。

2.2 业务产品场景化

数字化转型孕育出创新型产品，目前，绝大多数银行积极推进数字化场景建设，并从线上已有金融业务服务延伸至非金融服务活动，探索建设以客户为中心的服务体系，并通过平台建设整合资源，不断拓展银行数字生态场景的外延。例如，建设银行推出的“建行生活”非金融平台，对接个人客户和商户门店，实现金融服务与生活消费场景的有机融合；中国银行建设的“中银跨境GO”平台，对接国外留学、跨境旅游等需求与银行结售汇、跨境汇款等服务，将金融服务与跨境消费场景深度融合。

2.3 业务营销精准化

在数字化背景下，商业银行掌握了涵盖客户身份信息、工作信息、交易习惯和偏好、资金流量等海量数据，通过对这些数据进行整合分析，能够对客群进行立体细分，细化客户画像的颗粒度，针对不同客户的特点提供个性化营销，通过精准化、个性化的营销最大限度地提升客户粘性和价值贡献。

2.4 业务管理智能化

部分在数字化转型方面领先的商业银行，正在启动建立零售业务智能化管理体系。在零售信贷业务管理方面，通过建设信贷工厂实现对部分类型零售信贷产品的自动审批；在运营管理方面，将RPA 技术嵌入业务场景与流程，提高网点日常运营管理的自动化水平；在客户管理方面，通过推广应用客户关系管理系统（CRM 系统），实现对客户的精细化维护；在风险管理方面，在业务系统内嵌自动预警规则，对于触碰规则的事件进行预警并发送给相应客户经理进行核实。业务管理智能化，是零售业务数字化转型的必然要求和重要目标。

2.5 业务风险复杂化

新业务形态会带来新风险隐患：一是系统建设风险。数字银行建立在数字化系统的基础之上，商业银行应当确保系统的稳定性、算法的准确性、模型的适用性，以确保系统能够为业务发展提供有力支撑。二是数据安全风险。在数字化时代，商业银行掌握大量数据，如果敏感数据泄露，将造成严重负面影响。数据安全既关乎金融消费者合法权益保护，也关乎商业银行声誉，是业务发展的根本和风险控制的重点。三是新业务的合规风险。商业银行应当确保新产品、新业务、新模式符合监管和行内制度要求，防范复杂业务产品可能导致的风险，守住系统性风险底线。

3 商业银行零售业务内部审计的现状及面临的挑战

国内商业银行已陆续启动内部审计数字化转型工作，开展了在内部审计机构下设负责大数据分析的部门、建立审计管理和数据分析系统、提高内部审计队伍中具备信息科技背景的人员占比、开展数字化转型相关的培训等工作，取得了一定的阶段性成果。但目前商业银行零售业务内部审计尚未完成从传统审计向数字化审计的转变，在数据分析、动态监测、科技赋能等方面仍存在短板，面临诸多挑战。

3.1 审计手段以现场审计为主，远程数据分析能力欠缺

零售业务已基本实现线上化，业务全流程形成的数据和档案均以电子资料的形式存储，但是内部审计尚未完全适应业务线上化、数据电子化的情形，远程分析数据的能力不足。目前，审计人员最主要的审计手段仍然是现场查看系统数据、现场检查业务资料、现场访谈员工、现场走访客户等，现场审计占用的审计资源较大，未能充分发挥数字化转型带来的远程数据分析优势。

3.2 组织方式以审计项目为主，持续性的动态监测不足

商业银行一般在年初形成当年审计项目计划，包含项目名称、审计范围与目标、审计重点、审计实施部门等内容，审计实施部门按照计划要求、分阶段依次执行审计项目并出具审计报告。一方面，这种审计组织方式侧重于静态审计和事后审计，时效性和前瞻性有所不足，难以实现对审计关注事项的动态监测；另一方面，审计项目结束意味着对审计事项停止关注，缺乏持续性的风险监督。在这种组织方式下，持续性的动态监测不足，内部审计无法对业务进行有效预警。

3.3 技术应用以数据处理为主，金融科技赋能不足

商业银行对金融科技的应用主要集中在零售业务经营发展领域，在内部审计方面的投入较少。商业银行主要是通过建立内部审计数据分析平台，整合行内各个零售业务系统数据，通过平台对数据进行加工处理。一是未从根本上解决零售业务各系统数据口径不统一的问题；二是缺乏对失信被执行人、监管处罚等外部信息的收集使用；三是云计算、区块链、人工智能等技术尚未与内部审计融合使用，审计数字化转型缺乏有效的金融科技支撑。

3.4 审计项目以单个业务为主，对风险的连续性关注不足

数字化转型促使零售业务产品、业务模式发生变化，从而催生新的业务风险。现阶段，内部审计主要通过开展针对单个业务的审计项目进行，如“反洗钱审计项目”仅针对洗钱风险，“理财业务专项审计项目”仅针对理财业务风险，导致对风险的识别孤立化、碎片化，无法关注到业务场景下具有内在逻辑的、连续性的风险因素。

3.5 审计类型以风险审计为主，审计价值增值作用发挥不足

在项目安排方面，除监管项目外，针对零售业务的内部审计项目主要是风险类项目，缺乏对新业务的合规性、新产品的效益性、新系统的效率性等方面的重视；在审计事项方面，对风险性、合规性问题侧重多，对效率性、效果性、效益性问题涉及少；在审计建议方面，宽泛、笼统的建议多，可操作、可执行的建议少。零售业务内部审计仍停留在风险防控层面，价值增值作用发挥不充分。

4 商业银行零售业务数字化审计的方法

4.1 树立数字化审计理念，打造“远程分析+现场核实+沟通确认”的审计流程

随着零售业务运营线上化，业务档案的储存方式也由纸质资料转变为电子数据，商业银行业务系统内沉淀了大量、完整数据，这些数据涵盖了零售业务全流程，使得远程审计成为可能。

远程数据分析是数字化审计最直接的体现，其应用程度决定着内部审计数字化程度的高低。商业银行应当转变审计思维，树立数字化审计理念，着力优化内部审计业务作业流程，提升对远程数据分析的重视程度，向远程审计阶段倾斜更多审计资源。远程审计在整个审计业务流程中占据主导地位，围绕审计方案要求的全部审计事项，通过对数据的收集、整理、加工、分析，以数据分析视角对审计风险进行总体分析和线索甄别，形成远程审计阶段风险评估报告。风险评估报告应当涵盖审计项目涉及的全部审计要点，确保远程审计阶段“应审尽审”。现场审计作为补充，对远程审计阶段发现的审计线索进行核实，经查证属实的线索确认为审计问题，与被审计单位充分沟通后，形成审计发现。通过“远程分析+现场核实+沟通确认”的工作流程提高审计工作效率。

4.2 强化动态审计思维，构造“审计项目+定期监测+不定期预警”的组织方式

动态审计的概念是相对于静态审计而言的，动态审计起源于跟踪审计理论，是指通过创建动态监测系统，对内部审计所关注的风险因素进行持续性、不间断的数据处理和分析，定期或不定期汇总分析结果，形成审计监测报告并发送给被审计单位，从而实现对审计事项的动态预警。

具体而言，可以在审计数据分析系统内嵌动态监测系统，动态监测系统由监测模型和预警规则两部分构成。监测模型在设置好的时间段内自动运行，持续处理数据并输出结果，由审计人员对数据进行分析，定期形成监测报告；预警规则根据监管要求、银行风险防控制度、行业数据、重要案例提取的风险特征设置，一旦某项业务指标超过安全阈值即触发预警规则，系统自动输出预警信息，由审计人员初步复核后发送被审计单位进行核实。通过“定期监测+不定期预警”，能够在风险产生的初步阶段采取措施提前干预，防止风险扩大化，提高内部审计预防风险的能力。

4.3 加大金融科技支撑，实现风险数据“智能分析”

金融科技是审计数字化转型的核心，应当将云计算、区块链、人工智能等先进技术运用与审计数据分析系统融合，提高审计业务系统的“科技含量”。一是扩大覆盖面。建立更加贴合零售业务场景的智能化风险监控模型，通过智能模型的自动扫描和智能分析，全方位、不间断地对零售业务风险数据进行监测，实现对零售业务风险管理时间全覆盖、品种全覆盖、客户全覆盖。二是提高精准度。在基础数据质量上下功夫，加强系统对数据规范性、一致性的校验，加大对基层员工录入数据质量的培训宣贯力度，确保录入业务系统的数据全面、准确；整合行内各个零售业务系统，打破系统“各自为政”的状态，统一数据口径；多维度利用客户信息资源，细化客户画像，实现对风险客户、风险行为的精准预测。三是提高深度。针对风险程度高、影响面广的风险因素，通过内嵌独立子系统的方式进行专项监测，如内嵌零售贷款反欺诈子系统，实现对零售贷款欺诈行为的深度监控；通过内嵌员工飞单行为排查子系统，深度排查员工私售飞单行为。

4.4 创新审计模式，探索“风险场景”审计

零售业务场景化促使商业银行创新业务场景，内部审计应当积极应对，将业务场景蕴含的风险场景化，形成“风险场景”，通过探索开展“风险场景”审计，理顺潜在风险之间的内在逻辑，明确业务场景下各项风险的特征，精准识别风险、尽早干预风险。将新产品、新业务纳入新场景体系下开展审计，通过具体零售业务与系统数据之间的映射关系，真实全面地还原业务场景，弥补传统审计风险识别孤立化的缺陷。

4.5 履行审计咨询职能，向价值增值型审计转变

国际内部审计师协会认为，内部审计应当为企业实现价值增值。传统风险导向型的内部审计已经发展得较为完善，下阶段应当融入价值增值的视角，结合金融科学技术带来的审计手段、审计模式上的突破，通过开展调研类审计调查项目或在现有审计项目、审计监测中增加调研类内容，从审计视角评估商业银行在零售业务体制机制、业务管理、经营发展等方面的效率与效果，挖掘零售业务管理层面存在的缺陷与不足，提出有针对性的改进建议，充分发挥审计的咨询职能，实现商业银行零售业务价值增值。

5 结语

零售业务数字化转型是商业银行数字化转型的先导，其成功代表着商业银行在数字化转型上迈出了一大步。商业银行内部审计数字化转型同样应当以零售业务内部审计数字化转型为开端，通过探索形成零售业务数字化审计新模式，并逐步推广应用至商业银行其他业务类型审计，逐步推进商业银行内部审计数字化转型进程。