大数据时代商业银行内部审计体系重构
2024-01-18金益帆
金益帆
【摘 要】大数据时代,审计应时而变已成不争事实。商业银行作为内部审计体系较为完备的主体,其内审体系适宜接受大数据技术和思维的改造,从而更好地落实政策执行、风险管理与价值创造等内审目标。论文从重点文件与案例的角度切入,试图回答大数据如何再造商业银行内部审计体系,并为其赋能。通过分析G银行现行的大数据内部审计体系,论文发现G银行主要从技术、平台和模式3个方面支持内部审计体系的重构。最后,基于大数据的应用,论文提出了内审体系转型的3点建议。
【关键词】商业银行;内部审计;大数据应用
【中图分类号】F239.45;F832.33;F49 【文献标志码】A 【文章编号】1673-1069(2023)10-0127-04
1 引言
大数据的概念基于计算机技术带来的信息爆炸,起源于强数据依賴的天文学和基因学。此后,多个国家重视这一概念,并各自提出本国的大数据发展战略,如美国的《大数据研究与发展计划》、英国的《数字战略》和我国的《促进大数据发展行动纲要》。同时,这一概念极具实务价值,已在多个领域中应用,其中就包括具有数据潜力的银行业。大数据时代便是在各国对大数据的战略规划与各行业的初期探索应用中产生的时代。
内部审计作为企业监督治理的重要组成部分,其基本职能是监督、分析、评价企业内部的经济活动,以促进企业整体效益提高。商业银行作为国内最早得到财政部、银监会和上交所等政府和市场监督指导的主体之一,其本身更易具有较完备的内部审计体系,这为其在大数据时代的发展奠定了基础。
除此之外,商业银行本身较为成熟,具有业务、产品、服务品类繁杂,交易资金进出频繁,分支机构数量多且分布广等特征,更适合大数据这一新一代信息技术的应用。例如,商业银行积累的每日流水数据与特殊业务数据足以形成“TB(1 GB=1 024 MB)”量级数据,其中的结构化数据可用Microsoft SQL Server软件进行数据处理和管理,后续的数据分析工作可使用Microsoft Power BI这一商业分析软件进行可视化分析。
商业银行的内部审计注重风险控制和价值创造等目标,而大数据技术和思维如何应用于商业银行的内部审计体系,帮助其实现相关目标是本文尝试回答的核心问题。基于此,下文首先介绍了现有的商业银行内部审计体系,探寻了大数据技术的可应用环节;其次,以某上市商业银行的大数据内部审计体系为例,验证了当前大数据技术在商业银行中的前沿应用情况;最后,对商业银行在内部审计中应用大数据提出了建议。
2 商业银行内部审计体系与大数据应用点概述
基于《商业银行内部审计指引》(以下简称《指引》),商业银行内部审计体系可以分为内部审计目标、内部审计组织架构、内部审计工作流程和制度与系统4个部分。
2.1 内部审计目标与组织架构
根据《指引》,商业银行的内部审计目标为:保证国家有关经济金融法律法规、方针政策、监管部门规章的贯彻执行;在银行业金融机构风险框架内,促使风险控制在可接受水平;改善银行业金融机构的运营,增加价值。应用大数据技术,应有助于上述目标在合理范围与合适的成本效益下实现。
商业银行的内部审计组织架构主要有4层:①股东大会(授予内部审计权力);②董事会和监事会(最终责任方和监督者);③审计委员会、总审计师和内部审计部门(内部审计体系的设计者和指派部门);④高级管理层和具体审计对象(内部审计的监督和建议对象)。
大数据技术不会使组织架构大幅度变化,但需要在整个组织框架中树立大数据思维并提高应用能力,如增加专门集中处理数据的数据中心、在原技术部门增加大数据技术人员或提高原技术人员的大数据技术水平,只有这样才能有效运用大数据,帮助内部审计目标的实现。
2.2 内部审计工作流程、制度与系统
商业银行的内部审计工作流程包括3个阶段,分别是事前准备阶段、事中审计阶段和事后整改阶段。整个流程中又存在“三制度”和“一系统”:异议解决机制、内部审计质量控制机制、内部审计档案管理制度和内部审计信息管理系统。对于商业银行来说,工作流程是最适合利用大数据技术进行优化的环节。
2.2.1 事前准备阶段
这一阶段主要是制定内部审计计划、组织培训审计组、面向具体的审计项目制定方案,并对审计对象发送审计通知书。如果准备应用大数据技术,那么在审计组成员的选择上,应增加掌握该技术的成员,并在审计方案中增加具体的大数据审计部分。此外,通知书应包含审计对象所需电子数据的具体字段(由审计对象从其系统中调出,方便审计组从数据中心或集中管理数据的人员处获取数据)。
2.2.2 事中审计阶段
此阶段主要是完成对审计对象的必要审计程序,形成审计报告。这一阶段不仅是内部审计的核心阶段,也是能够大量应用大数据技术和思维的关键阶段。在这一阶段,审计证据的收集和审计工作底稿的形成中应用机器人流程自动化(RPA)能有效提高审计效率,避免人为因素导致的错误,使审计组能安排更多必要的实质性程序,提高审计质量。但需要注意的是,可靠应用RPA系统的前提是该系统设置无误且执行过程中未受到人为干扰,因此,如果使用该技术,则需要把该信息系统审计列入年度内部审计计划或列入内部审计质量控制机制,以确保其运行合理。此外,大数据技术及其思维模式可以帮助实现非现场审计。例如,场景审计这一融合了大数据技术的新审计模式,能便利实时地展示商业银行内部审计的某一具体场景,并支持审计人员在数据中台上根据具体审计事项,调用对应业务及其数据模型和相关数据集,对数据进行处理分析,从而做到“不到现场也能完成内部审计”。同样,若应用场景审计系统,在后续的内审和质量控制中应对其进行检查。
2.2.3 事后整改阶段
事后整改阶段主要是根据异议解决机制,给予审计对象提出异议的机会并上报进行整改,必要时应进行后续审计,确保审计中发现的问题及时整改到位,达到内部审计目标。此阶段主要是部门间及人员间的沟通协调,所以与事中阶段相比,在这一阶段大数据技术的适用性不足。但是,如果大数据技术已经在银行得到了应用,那么在这个阶段的沟通中,参与者实际上需要具备大数据思维,以便顺利协调和整改问题。
2.2.4 “三制度”与“一系统”
在商业银行内部审计流程中,除了上节涉及的异议解决机制外,还有两种制度和一个系统:内部审计档案管理制度主要是采取计算机辅助人工的处理方式,将档案存储于Oracle数据库,为后续的内部审计质量调查提供数据调用支持。内部审计质量控制制度主要是为了保证现行的内审体系的有效性。内部系统间的信息调用和外部评估时的临时权限授予,都应被考虑在体系评估中,这同样要求参与人员具备大数据思维。内部审计管理信息系统,负责内部审计全程的信息沟通,是一个集成概念,通常由银行内外部多个不同功能/不同部门的系统组成。大数据技术和思维在这一集成系统中的应用主要是优化数据处理和加强风险控制,如某分行中各部门独立的业务系统足有140个,而这些系统中存储的数据难免存在数据冗余的问题,如何在不大幅度调整原有系统生态的情况下,将这些系统中的信息更快、更有效地调用到内部审计管理信息系统中,是一个考验数据中心和技术人员的技术管理难题。在风险控制方面,涉及数据安全问题,这要求该系统不仅要在数据获取、传输和存储上完成具体的应用控制,如设计好不同等级的访问权限,还要对登录接口进行打包,防止第三方入侵。
在商业银行传统的内部审计体系中引入大数据技术能提高内审效率,让审计人员高效处理原本依赖职业判断的工作,同时,满足非现场审计的需求,但这对银行的整个系统提出了更高的整合要求,对相关人员的技术认知和思维模式也给出了新时代的任务。
3 案例:G銀行的大数据内部审计体系
G银行是较早在上海证券交易所上市的商业银行之一,在行业中处于领先地位,其涉及的业务范围广,细分业务复杂,同时,资产总额、年净利润等财务指标稳步增长且存量较大。无论是基于业务需求还是资金能力,G银行都适合全面应用大数据等技术。在实际运营中,G银行确实践行着大数据运营等信息化银行和数字化银行的战略目标。例如,2021年G银行的智慧银行生态建设工程(ECOS)荣获由中国人民银行颁发的金融科技发展奖特等奖,同年,其全国数据管理能力成熟度(DCMM)得到最高等级的认证。
G银行的悠久历史、需求、财力和实际数据运营能力,都证明了其是大数据时代下内部审计体系重构的经典案例。下面从3个方面展示G银行的大数据内部审计体系。
3.1 内部审计的技术支持
根据G银行2021年年报,其内部审计管理体系是向董事会负责并报告的垂直独立体系。由审计委员会、内部审计局和下属分局的内部审计部门组成。这一体系的技术支持主要来自其他部门。从银行的组织架构中可以发现,高级管理层下属的部门及直属机构中存在与技术、数据相关的部门或中心,包括管理信息部、软件开发中心和数据中心。另外,根据G银行2022年的人才招聘信息,仅第一季度就有72个技术与数据相关岗位,涉及大数据技术、数据库管理等方面。这些部门与人员虽然不直接隶属内部审计部门,但保障了G银行内部审计所需要的大数据技术与思维能力。
3.2 内部审计的平台支持
如表1所示,G银行现有业务中半数实现了平台化、数字化操作,这为大数据技术的应用提供了足量的数据保证。
从平台获取业务数据后,再辅以外部信息,形成某一业务的整体数据源,这些数据汇集于G银行的数据中心,经过数据整合、清洗、排序等一系列数据加工后,以结构化和半结构化(如客户信息这一文本信息)分类汇总成各数据集,储存在数据中心。待内部审计开展时,根据项目审计方案中的数据调用计划,从数据中心的数据库中调取目标数据,传输到内部审计系统中,帮助非现场审计环节的完成。G银行的数据处理流程如图1所示。
3.3 内部审计的模式支持
G银行的内部审计流程依然包括3个阶段,每一阶段基于技术和平台提供的人力物力和数据支持,实际上已初步完成审计流程的再造。
第一,事前准备阶段。
①提取审计项目所需数据。相比传统内部审计,大数据审计的数据获取更具效率性、便利性。人工收集数据需要到现场翻阅档案资料,在非全量的抽样法下,误差率较高,消耗时间长。而数据集中化处理调用的方式则有效地避免了这些缺陷。
②调用审计模型。G银行对于不同的审计事项,积累形成了相应的审计流程模型。对于某一具体业务,通过调用模型,并检查修改模型参数后,导入数据让其自动化“跑数”,在数据量相近的情况下,所消耗的时间能控制在合理范围,为效率提供了保证。
③发现审计重点。完成“跑数”后,再借由软件可视化结果,从而快速地找出可疑点与部分审计证据,后者属于非现场审计环节。
第二,事中审计阶段。
利用审前确认的疑点,一方面向数据中心发起可疑点相关数据的调用;另一方面通过现场直接进行审计证据的收集。双管齐下,提高审计效率和质量。另外,G银行建成的机器人流程自动化技术平台可帮助审计人员快速形成初步审计工作底稿和审计报告,提高工作完成度。
第三,事后整改阶段。
G银行有专门负责档案系统开发的岗位,批量快捷的审计文件归档同样有助于效率的提高。
4 商业银行构建大数据内部审计体系的建议
第一,逐步构建全方位的技术生态。
从数据资产开始,商业银行除了要掌握数据收集、挖掘、分析、管理等技术外,区块链分布式技术、人工智能自动化技术和云储存云计算技术等相关技术也可逐步掌握,如此可让多种技术组合使用,增添效能,这也有助于战略部署。
第二,依托业务构建适量平台。
“好的”数据才能提供价值。对于商业银行来说,无关或过多的数据都非益事,只有根据经营业务的交易笔数、交易金额情况,先选择笔数多或金额大的业务架设平台、获取数据、构建模型,才是最具性价比的选择。当技术不足时,也可选择外包项目,暂避学习成本。
第三,积攒经验再建流程。
“器不用则废”,技术和平台引入后,审计流程的变化不是自然而然的,需要审计部门根据现状和需求改造流程。如何让新技术融入审计技术、哪些环节可以解放审计力量等问题,既可在本行适用新流程时以“应用—发现问题—纠正—再应用”的方式试错,也可在与他行交流学习中参考他人的成熟经验。
【参考文献】
【1】李越冬.内部审计职能研究:国内外文献综述[J].审计研究,2010(3):42-47.
【2】池国华,朱荣.内部控制与风险管理(第二版)[M].北京:中国人民大学出版社,2018.
【3】田雷,孙倩.内审在金融机构公司治理中的作用[J].中国金融,2021(16):44-46.
【4】程平,黄鑫.基于RPA的应收账款实质性程序审计机器人研究[J].财会月刊,2021(12):105-111.
【5】张庆龙,何佳楠,顾青青,等.场景审计:数字化时代商业银行内部审计工作模式[J].审计研究,2021(4):119-128.
【6】单琳琳.大数据背景下央行内审模式转变与改进路径——基于TCBS计算机辅助审计案例[J].金融发展研究,2016(10):76-80.
【7】刘星,牛艳芳,唐志豪.关于推进大数据审计工作的几点思考[J].审计研究,2016(5):3-7.
【8】王李.大数据关注点在商业银行内部审计中的应用——以M银行为例[J].会计之友,2016(16):110-112.
【9】陈伟,居江宁.基于大数据可视化技术的审计线索特征挖掘方法研究[J].审计研究,2018(1):16-21.