童杰 王加冕

[摘要]商业银行数字化转型不仅是技术的变革，更是组织模式和经营方式的重塑。本文对银行内部审计部门如何发挥风险防控的重要作用、在数字化转型中如何发挥更大价值进行探讨，并提出商业银行数字化转型审计框架和分行转型落地评估指标框架。

[关键词]银行数字化转型    IT审计   内部审计   风险

一、商业银行数字化转型的背景和形势

当前，数字经济蓬勃发展，加速成为继农业经济、工业经济之后的新经济形态。金融是现代经济的核心，金融业数字化转型是数字经济、数字中国建设的重要组成部分，也是金融业高质量发展的必然选择。2022年，人民银行、原银保监会分别出台了《金融科技发展规划（2022—2025年）》《关于银行业保险业数字化转型的指导意见》，明确了金融数字化转型的总体思路和发展目标，体现了监管机构对金融业数字化转型发展的高度关注，为数字化转型提供有力指导。

商业银行运作高度依赖科技系统和数据应用，数字技术既是银行业务开展的重要支撑，也是满足银行对业务连续性、信息安全极高要求的必要手段。数字化并不是全新命题，但随着数字技术的变革，技术已不仅是“后台支撑”，而是正向“前台赋能”方向发展；随着数据价值的显现，数据也从“资源”向“资产”转变。商业银行已全面迈入数字化转型发展阶段。

数字化转型的本质是以“数据、技术”双要素驱动，加速业务模式和管理模式的创新和重塑，以有效提高价值创造能力。通过数字化转型，商业银行自身将实现企业级转型升级和高质量发展，进一步提升客户服务水平和客户体验，提高金融服务中国式现代化水平。

以工商银行为例。工商银行党委始终重视和坚持数字化发展理念，通过实现“数据大集中”“两地三中心”等重大科技创新，奠定和巩固了在国内同业中的科技领先优势。2017年，工行启动智慧银行信息系统转型工程（ECOS），标志着进入金融与科技高度融合的新发展阶段。目前，工商银行已正式发布“数字工行（D-ICBC）”品牌，依托海量的“数字资产”、领先的“数字技术”、扎实的“数字基建”、鲜明的“数字基因”，积极构建金融与产业、民生、政务紧密融合的“数字生态”，不断提升金融服务的适应性、竞争力、普惠性，以数字化转型的新作为，提升金融服务中国式现代化水平。

二、风险视角下的商业银行数字化转型

创新与风险始终相伴而生。商业银行数字化转型不仅是技术的变革与重构，更是对组织模式、经营方式和企业文化的重塑，必须防范风险。从风险视角来看，主要面临以下几个方面的挑战。

一是必须坚持守正创新，防范数字化转型战略风险。商业银行数字化转型必须把数字化转型工作着力点放在服务实体经济上，聚焦经济发展重点领域和薄弱环节，不断提升服务人民美好生活的能力和水平。因此，商业银行数字化转型必须支持和赋能全行重点战略推进落地。

二是国家已构建较为完善的数字治理体系，为商业银行合法合规建立了更高标准。我国已颁布施行网络安全法、数据安全法、个人信息保护法，为数字经济发展设定了总体法制框架；《关键信息基础设施安全保护条例》《数据出境安全评估办法》等法规，也对银行合规提出更高要求。此外，国家对平台经济管理、金融企业风险防范高度重视。因此，大型商业银行在满足合法合规要求方面，更需认真对标、做好引领。

三是传统IT风险和技术转型风险交叉叠加。从系统层面看，伴随着开放平台架构的持续推进、云化环境的快速应用，商业银行IT基础设施的复杂性持续增加；叠加技术选型和技术路线的复杂性，IT风险不容小觑。从应用层面看，消费者对银行数字化的要求逐渐从“要功能”向“要体验”转变，银行在通过技术创新和优化满足客户需求过程中，也会引入和形成相应风险。因此，如何更好实现技术转型、提升客户体验，同时满足商业银行对业务连续性、信息安全的极致要求，是一项艰巨的挑战。

四是业务模式创新、管理模式重塑蕴含风险。银行数字化转型是业务模式和管理模式的创新和重塑，必须对相应风险进行有效识别、管理和控制，同时要关注创新业务的合规性。无论是业务渠道由线下变为线上、业务时效由非实时变为实时，还是一些产品的组合连接、某些流程环节的精简省略，都增加了风险敞口。特别是，随着银行生态化、场景化、开放化建设的推进，银行与大量第三方互联互通，极大扩展了易受攻击的脆弱面。因此，商业银行业务与科技的融合不仅要体现在创新过程中，也必须贯穿风险控制实践。

五是数字化风控能力必须与数字化能力同步建设。《关于银行业保险业数字化转型的指导意见》明确提出，着力加强数字化风控能力建设。商业银行应当积极应用数字化手段，提高风控效率和自动化水平，特别是加强在资产质量等量化风控领域的应用。因此，商业银行应该建立与数字化发展水平相适应的数字化、智能化风控管理体系，不断强化“以数防险”能力。

三、IT审计在商业银行数字化转型中的作用

随着商业银行数字化转型的推进，新的风险将不断显现，对商业银行持续稳健经营带来挑战。同时，数字化转型过程中的战略风险、合规风险也需进行管理和监控。商业银行内部审计部门应当积极主动应对、系统性开展工作，为防范化解相关风险、促进银行高质量发展发挥重要、独特的价值。

自工商银行IT审计团队成立起便承担起全行信息科技风险防范的重要职责。经过十几年的发展，团队逐渐实现体系化、规范化、专业化运作，为全行信息科技风险防范发挥了重要作用，并在数字银行相关领域开展了有益探索。

一是满足境内外监管对商业银行IT风险的审计要求。目前與IT审计有关的境内监管要求有20余项，绝大部分要求以1—3年为周期定期开展；监管部门要求IT审计要实现机构、系统、项目三方面的全覆盖。这些要求都是对商业银行开展信息科技监管评级的重要内容。各境外机构监管方也对IT审计提出不同要求。近年来，通过以三年为项目周期开展工作，工商银行IT审计团队顺利完成工作任务，对内揭示及防范风险，对外高质量满足监管要求。

二是对管理信息、网络金融条线及线上业务系统开展审计。工商银行管理信息、网络金融条线分别负责数字化转型中的数据和平台工作。近年来，工商银行IT审计团队相应开展数据治理、数据应用、网络金融安全等方面的审计。针对业务线上化趋势，IT审计团队每年选取重要线上业务系统，对其应用控制情况开展审计，揭示一些重要的系统控制问题。

三是扩展审计边界，服务全行战略。近年来，随着银行科技管理的逐步细化完善，发生大型生产事件的可能性逐年下降，而数字化转型的落地情况亟须关注，转型质效尚待评价，转型风险日渐突出。工商银行IT审计团队及时将审计边界扩展到新技术应用、模型风险、开放银行和生态银行等方面，开展一系列项目，取得较好成效，为行领导决策和推动改进提供有益参考。

四、对数字化转型中IT审计价值创造的思考

目前，随着银行改革转型进入深水区，数字赋能战略落地和业务发展以及数字化营销和风控等方面的进展和情况受到各利益相关方高度关注。根据未来发展要求，IT审计应进一步加大对银行数字化转型的审计力度，科学探究审计思路与方法，逐步研究建立科学、有效、敏捷的审计实务体系，为商业银行数字化转型、统筹发展与安全发挥更大价值。

（一）研究建立数字化转型审计框架，对全行数字化转型情况进行系统评价

如何整合银行在科技、数据、平台等领域的优势，形成更大合力，是数字化转型的一个重要课题。工商银行提出业务与科技要“煲汤式”融合。内部审计应当发挥审计全面视角站位优势，有机融合对各条线、各层级、各机构的审计关注，揭示体制机制、部门协作、运营生态、流程痛点等方面的问题。

工商银行IT审计团队结合本行实际，大量研究国内外监管机构的监管框架和研究机构的研究成果，提出“治理能力、业务能力、数据能力、科技能力、风控能力”五个能力审计评价框架。对于每个能力，都从层级（纵向）和条线（横向）两个维度进行“穿透式”“融合式”关注。该框架如表1所示。

应用“五个能力”审计评价框架，工商银行IT审计团队开展专项审计项目，揭示了体制机制、生态建设等方面的问题，审计工作得到行领导高度评价。

（二）建立分行转型落地评估指标框架，实现对各分行数字化转型情况的评价与跟踪

分行是银行的一线经营机构，是接触客户、服务客户的前沿阵地。总行数字化转型战略只有在分行扎实落地，才能实现客户好评、基层有感。

因此，工商银行IT审计团队探索构建了“科技要素、数据要素、平台要素、业务要素、治理要素”五要素分行数字银行画像指标体系（如表2所示）。

2023年，工商银行IT审计团队将首批对9家分行数字化转型情况进行评估评价，后续对其他分行滚动开展。通过对分行数字化转型情况进行评价和持续跟踪，促进各机构迭代提升数字化转型效能、更好实现高质量发展，也为行领导决策提供客观参考。

加快数字化转型，是金融业服务中国式现代化的重要结合点和关键着力点。面对新形势、新任务，商业银行IT审计应开拓创新、担当作为，不断优化项目組织，持续提升审计质效，为银行高质量发展发挥更大的作用和价值。

（作者单位：中国工商银行总行内部审计局，邮政编码：100140，电子邮箱：tongjie@icbc.com.cn）