文 / 厦门银行 潘跃瑞 陈志勇
数字化审计是城商行适应信息技术发展、数字化战略发展、满足内部控制和风险管理要求、面对监管要求变化等新形势的必然选择,也是银行内部审计自身创新发展、提升审计效率和质量的必然趋势。在此背景下,本文从数字化审计人才培养、审计数据集市建设、数字化审计系统构建等维度探索城商行数字化审计方法。
人才是数字化审计的根本
以人为本,人才是数字化审计的根本。数字化审计人员需要具备多方面的能力。需要了解制度、熟悉业务流程及业务数据,对业务有一定的理解水平,能够通过数据还原业务场景、业务逻辑等。需要具备一定的信息技术能力,掌握一定的数学知识、编程语言,能够熟练使用分析工具对数据和资料进行分析。需要具备较强的快速学习能力、知识迁移能力,能够适应金融环境、金融业务及数字化审计技术的快速迭代。需要具备较高的逻辑思维能力,在数据分析过程中,遵循逻辑,步步推进,在海量数据中获得有价值的线索或审计发现。需要具备较强的协调沟通能力,良好的沟通有助于审计人员与被审计单位建立信任关系,帮助审计人员从被审计单位获取信息,就审计发现的问题向管理层和被审计单位做出解释,解决审计过程中可能遇到的意见不合或争议。
城商行应注重培养审计人员的数字化审计能力。可以从规章制度、业务流程、业务操作三个层面进行培训,让审计人员熟悉被审计业务的规章制度,了解业务流程,了解每个业务环节涉及的岗位、需要提供的资料、具体操作流程、处理业务所需业务系统、需录入系统的信息要素及业务的数据流,做到心中有数。同时,通过内外部培训,利用案例分析、项目实操等方式,培养审计人员的数据分析能力,促进其掌握常用数据分析工具的使用方法,重视实务操作,提升审计人员的数字化审计技术水平。重点培养具备银行业务、审计、数据分析等方面知识的复合型审计人员,使其熟练应用现代信息技术开展审计工作。
数据是数字化审计的基础
巧妇难为无米之炊。数据对数字化审计的方法、过程和结果产生了深远影响,缺少数据,数字化审计也就成了空中楼阁,数据是数字化审计的基础。城商行开展数字化审计必须对数据进行治理,可以基于以下数据特性开展。
1.数据的广泛性
数字化审计涉及的数据来源、数据形式是广泛的。从数据来源上看,城商行除了自身积累的经营数据外,在确保合法合规、质量安全的前提下,应积极接入如征信数据、信用评分数据、工商税务数据等外部数据,建立全行统一的外部数据管理平台,避免重复购买数据。在数据形式上,可以使用客户基本信息、授信数据、征信数据、交易数据等结构化数据,也可以使用录音、监控录像、扫描凭证等非结构化信息。数字化审计需要不断扩建、完善审计数据集市,将不同来源、不同表现形式的数据搜集起来,利用OCR、NLP等技术,将非结构化数据转换为结构化数据,并制定一套完善的清洗规则进行数据清洗,使数据可用、好用。
2.数据的完整性和准确性
数据质量对数字化审计结果至关重要,审计人员需要保证数字化审计所用数据是全面无缺漏且准确的,避免数据缺失或不准确导致的审计风险。城商行应加强自身数据治理,建立数据质量核查机制,定期开展数据质量排查,发现问题及时分析、解决;实施数据校验规则,如格式校验、范围校验、逻辑校验等,确保数据在录入系统时符合预定标准;建立数据质量反馈机制,鼓励用户报告数据问题,并及时响应;使用数据质量工具和软件,如数据质量监控系统,自动化管理数据质量。
3.数据的安全性、合规性
城商行应采取必要的安全措施,确保数据在收集、存储和分析过程中的安全,防止数据泄露或被篡改,保障审计工作的合法性和有效性。同时,确保审计数据合法合规。在保障数据安全方面,城商行可以采取的安全措施有:建立严格的访问控制政策,通过多因素身份认证确保用户身份的真实性,对敏感信息进行动态脱敏,制定明确的数据使用和共享政策,定期开展安全评估等措施。在合规性方面,需要严格遵守数据隐私规定,保障客户信息不被滥用;开展合规检查,确保符合法律法规要求;制定应急安全响应计划,以应对数据安全事件。
数字化审计离不开工具支持
工欲善其事必先利其器。数字化审计工具包括数据采集工具、数据分析软件(如SQL工具)、数据挖掘工具(如R、Python等编程语言)等,最重要的是数字化审计系统的支持。数字化审计系统至少包括两部分,后台数据端和前端应用端。后台数据端一般包括数据仓库或数据湖,以及相应的数据采集、清洗、管理工具。前端应用端一般是基于B/S架构,构建审计分析系统和审计监测预警系统,将审计思路特征化、模型化、指标化后,为审计人员提供查询、分析、监测和预警功能(如图所示)。数字化审计系统建设的成功与否有两个关键要素。一是上文提到的数据;二是审计思路,没有审计思路,面对海量的业务数据,将无从下手。审计思路的来源主要有以下四个方面。
图 数字化审计系统架构
1.规章制度
包括监管要求、行业标准、内部制度等,这是当前城商行审计思路最主要的来源。这类审计思路需要将规章制度条款进行分解后,根据条款的内容设置审计模型逻辑及相关阈值,利用审计模型对数据进行批量监测和检视,抓取疑点数据。例如,《商业银行信用卡业务监督管理办法》规定“发卡银行不得向未满18周岁的客户核发信用卡(附属卡除外)”,我们可以设置审计模型,提取已成功获批银行信用卡且年龄低于18周岁的疑点数据。
2.常识经验
审计人员可以通过常识性经验、历史审计案例、审计经验、业务规律、数据勾稽关系、条线管理部门风险提示、同业案例和行业热点问题、专业判断等提取特征,形成数字化审计思路,构建审计模型。例如,征信查询的授权人员休假期间,其持有的系统用户无法进行系统操作,我们可以结合员工的休假信息、考勤信息,检视该授权人员持有的系统用户是否在其休假期间进行了系统操作,查找是否存在系统用户交由他人使用、绕过授权管理等异常情况。
3.数据自身的内外部特征
例如,分类、趋势、极值、孤点等。利用统计等数学方法,可以快速掌握数据的梗概,也能发现数据中存在的极值、孤点,将这些梗概和异常值与审计目的、审计要点相结合,可以迅速抓住审计疑点线索,提高审计效率。例如,在开展分支机构全面审计的过程中,可以使用统计方法对被审计单位近年来经验管理情况的变化趋势进行分析,了解被审计单位经营管理者的行为结果、业务偏好。还可以从被审计单位授信业务利率分布及离散程度等方面,分析授信业务的利率是否存在异常或偏差。
4.数据分析相关技术
例如,数据挖掘、大数据分析和人工智能等技术。基于技术工具和分析语言,从大量数据中挖掘数据背后的信息。例如,利用图技术追踪授信客户放款后的资金流向,检视是否存在授信资金回流、授信资金流向股市房市等禁止性领域。也可以基于已有的历史数据和标签,找到数据中的隐含规律,对新业务进行预测。例如,可以分析经自动化审批的不良授信业务,挖掘数据的共性或隐含的规律,进而检视自动化决策引擎。
数字化审计推动实现审计前置
在当前金融数字化转型的大背景下,审计工作的数字化也成为必然趋势,它不仅能够提高审计工作的效率和质量,有效降低审计风险,还使实时监控和持续审计成为可能,推动实现审计的全量化和前置。
(此文刊发于《金融电子化》2024年8月下半月刊)
新媒体中心
主任 / 邝源
编辑 / 姚亮宇 傅甜甜 张珺 邰思琪
