银行非现场审计体系构建与运用

摘要：大数据时代内外部经营环境剧烈变化背景下，内部审计做出改变势在必行。温州银行正是在此大环境下，向“信息化审计”发展的道路迈进，构建非现场审计理论体系，并全面运用到对风险的前瞻、全面、深入、持续的审计中去，获得有关全行经营状况的“风险热力图”，实现靶向审计和全面审计。

关键词：大数据;内部审计;温州银行;非现场理论体系;构建与运用

大数据是随着云计算而出现的，主要包含在线、海量、多样化、高速、分析能力、蕴含的商机和效益六要素，其正在给商业银行内部审计发展方向、工作理念、作业模式等方面带来深远影响。“道高一尺魔高一丈。”通过大数据分析，促进审计思路不断的在肯定和否定的循环中发展变化。风险本身的特征是变化的，风险的分析与挖掘的思路，自然也是在变化中的。商业银行非现场审计根据审计需求，以业务指标或交易事项分析为切入点，首先形成对经营管理的总体认识，再根据数据特征，进行逐层数据挖掘分析；继而深入关注局部区域，直至具体的行业、产品、客户，在这个环节根据具体问题特征，编制模型，扩大审计范围，辐射全行。这样既能把脉管理层问题，也能较充分地揭示操作风险，最终对经营活动做出总体判断和评价。此文以温州银行内部审计的发展为背景，详细介绍在大数据环境下温州银行非现场审计体系的构建与运用。

一、大数据帮助构建温州银行非现场审计体系

温州银行构建非现场审计工作体系，主要包括非现场审计系统、数据的构成与获取、审计模型的构建等内容。（一）温州银行非现场审计系统。温州银行非现场审计系统建设于2011年，发展创新于2015年。系统采集数个业务系统的在线交易数据，覆盖了全行主要业务和主要风险点，实现了对全行主要业务、产品的日常分析和持续监测。系统功能主要包含审计查证、业务预警、指标分析、知识管理、问题管理等。其中审计查证是核心运用模块，已建设及在用审计模型共计435个，分别包含综合业务、信贷业务、电子银行业务、信用卡业务、员工行为规范五大模块。（二）非现场审计体系的大数据构成与获取。数据是非现场审计所要面对的主要对象。数据获取主要有四个来源：一是银行内部系统。如核心系统、信贷系统、信用卡系统、电子银行等。非现场审计系统大部分数据的获取即采用该种方式。系统从行内系统抽取数据主要有三种方式：（1）从数据仓库中进行数据抽取或直接建立应用。（2）不从生产系统中抽取数据，直接利用信息系统的API来查询相关信息。如对历史数据的运用是直接建立DBLINK到源系统获取。（3）将系统中的数据由生产系统/备份系统中抽取出来，形成只供我部门使用的部门级数据集市。如我部当前对资金系统数据的运用。二是业务系统数据采集。包含信贷、FTP、信用卡风险监督、多渠道平台等。三是内部数据交换，比如业务条线各类发文、OA公文、便函等。四是外部数据采集。如人行黑名单系统、银监预警数据，政府数据、电子商务数据、全国企业公示系统等。（三）审计模型体系的构建。审计模型体系是温州银行信息化审计进程中不可缺少的审计模式，其核心技术是在确定审计目标的基础上，基于对业务的掌握，熟悉相应的数据源表，将对温州银行业务活动中存在问题的假设，编制成审计模型。其中，路径思考完整循环如图1所示。审计工作思路促发对模型的需求，主动寻找相关数据源，通过对数据的分析、筛选与挖掘，形成初步的风险数据。通过对风险数据进行现场核实查证，并提炼出相关的风险类型，找出共性，形成审计成果。最终将审计成果在业务条线及其他相关部门推广应用。审计模型的编制主要分为三类：一是按审计模型运用的方式分为公开审计模型和秘密审计模型。如员工行为规范属于秘密审计模型，只对少数人员开放。二是依照审计模型的使用方式来分，可分为非现场审计专项所用，现场审计项目专用以及分析预警所用等。三是依审计模型运用的整体性，有综合性审计专题，单一性审计模型。如综合业务系统下的利率信息，其中多个模型共同为利率专项审计所用。审计查询查证及数据挖掘主要包含两个层面，如图2所示。第一个层面为固定的报表查询。温州银行非现场支持多系统辅助查询，如信贷系统、数据仓库系统、历史数据系统等。第二个层面是灵活的数据查询分析，如相关性、趋势分析、时间序列等。随着大数据处理技术的成熟，温州银行IT管理水平的提高以及图象、声音、视频识别技术的进步，非结构化数据的分析成为可能。通过对非结构化数据单独或结合结构化数据进行分析，能够发现更多业务上的疑点。如对信贷影像以及信用卡进件系统的扫描件查询，帮助分析出一系列准入风险事件。图3Á表1—（四）非现场审计体系的构建非现场数据分析过程中，对风险评估出来较为集中、重要、系统性的风险领域，触发现场审计项目。内外部突发的风险分析，及时触发非现场专项审计或调查。项目特点具有微小、敏捷、及时、良效特性。非现场五步法工作机制详见图3。

二、温州银行非现场审计体系的实际运用

（一）非现场审计运用的三个阶段。准备阶段：利用模型探索、数据分析工具对全量数据进行筛选，查找异常数据和可疑点（作为现场审计抽样使用），缩小审计范围，锁定审计重点，减少现场时间，降低审计成本。现场阶段：利用审计风险监测系统提供的查证对可疑客户进行跨系统的无缝查询，突破不同系统之间的信息不对称的壁垒，对可疑数据进行确认，现场对相关人员访谈。结项阶段：反馈疑点现场核实效果，优化预警规则，提高预警准确度。同时，对现场检查中发现的问题进行归纳。（二）构建风险导向的审计方法论。非现场审计的发展促进温州银行审计由单一的事后监督向风险导向型角色的逐渐转变。根据风险评价结果确定内部审计重点和检查频率，有效整合审计资源，把审计资源集中于高风险的审计领域，针对不同风险状况采取相应的审计策略。通过非现场审计分析，根据内控环节与业务条线管理的薄弱之处，绘制审计宇宙，构建不同风险等级的风险热力图，形成紧密结合并适应全行总体战略的审计体系，为管理层提供决策思路，制定经营策略。温州银行基于此理论，构建出风险导向审计方法论框架。主要分为七步走：第一步是是审计宇宙和审计单元的确定。根据内部审计的职能定位、银行的经营范围和业务领域、银行的组织架构和业务流程体系、外部监管机构的要求等因素，确定内部审计宇宙。建立的审计宇宙包括：主要业务条线，如信贷业务条线，柜面业务条线，财务管理条线，信用卡业务条线，资金业务条线等。梳理重大流程（如信贷服务，客户结算服务及风险管理等）及主要流程（如重大流程“信贷服务”可分为申请处理、担保管理、贷后管理等主要流程）。把握重要性原则，视审计资源确定流程细化程度；确保高风险流程不遗漏。第二步是风险评估的开展。风险评估前期准备过程，需要与董事会、审计委员会以及高级管理层进行充分沟通，了解银行的战略目标与发展预期；确定风险评估标准，包含对银行经营目标实现的影响程度；系统及流程的复杂程度；合规要求；内部及外部审计的审计发现；距离前次审计检查的时间；舞弊发生的可能性；对财务报表重大错报漏报的影响程度等。从影响程度和可能性两方面对风险程度进行判别，详见表1。风险评估的开展包括两个阶段，一是全面理解全行业务结构和内容，主要包括：评估全行整体的控制环境：管理层的控制意识和经营风格、银行诚信与道德标准、公司治理措施、组织架构和职责划分、人力资源政策和人员素质、能力等几方面；流程中可能出错的地方，及其可能妨碍业务目标的实现；信息科技和人力资源如何应用于流程且会产生哪些重大风险；设计的流程是否符合市场发展和环境变迁；流程是否存在任何可能导致财务损失或其他损失的固有因素。二是评估风险。通过“风险热力图”来实现对全行主要风险的评估。审计重点关注高风险流程、中风险流程、低风险流程，以提升审计工具的自动化来实施，同时积极推动第一、二道防线加强检查。第三步是编制审计计划。基于风险评估结果编制银行短期与中长期审计计划。根据风险的高中低确定审计实施频率和覆盖面，确保高风险领域得到及时、准确关注。审计计划的制定从以下几方面考虑：运用基于风险的方法论；参考以前年度的审计计划与审计结果；高级管理层特别关注的事宜；咨询业务条线负责人的意见；监管合规要求；外部审计师的建议或要求。审计计划的制定包含如下步骤：对重大流程进行分类；对重大流程内的主要流程进行排序；确定审计项目；确定审计工作时间。第四步是识别重大风险和控制。通过访谈与审阅，整理并识别流程从起点至终点所涉及的全部风险点及对应的控制。重点关注以下内容：流程包括的环节以及环节涉及的业务/职能部门和具体负责人员；构成各流程环节的具体业务活动及(或)发生的变动；业务活动中潜在的风险；业务活动中目前设置的控制活动状况；业务活动运用的信息系统和工具。识别业务的重大风险和控制，编制风险控制矩阵。梳理访谈内容，列示流程包含的主要环节。在各主要环节中，识别并列示各主要环节中存在的风险，针对已识别的风险，从流程中查找、识别并列示可能存在的相应控制。审计人员与流程负责人确认识别的流程环节、风险点、相应控制点等信息，对每个控制实施穿行测试后，更新风险点与控制点。第五步是测试与抽样。通过穿行测试以验证控制设计的有效性，采取询问、观察、检查、重新执行等方法，针对风险控制矩阵中识别的所有控制点，选取一个样本，验证从起点到终点的整个流程中包括的控制活动。通过控制测试，对交易或相关文档进行抽样测试，以确定关键控制执行的有效性。依据统计学的“发现抽样”的原理，以样本出现差异的情况来推断测试总体会发生差异的可能性：以每天发生的控制为例，随机抽取的25个样本中如果未发现控制差异，则可以推断在抽样总体中会发生差异的可能性低于10%，则抽取测试达到的总体的置信度为90%。执行测试的控制点有效性的判断标准参考表2。按照控制种类和频率及其它要素确定测试样本。第六步是编写审计报告。审计报告结论分为三个层次：满意、合格和不满意。满意的审计报告表明内部控制程序和系统充分、各项职能有效履行，包括被审计领域的控制充分有效，运营合规。合格的审计报告表明内部控制程序和系统存在弱点，执行力度有待加强。不满意的审计报告表现为存在对业务造成实质性影响的主要缺陷,表明控制不充分或运营不合规。第七步是项目总结和后续跟踪阶段。一是对审计项目进行总结，对审计人员考评。二是后续跟踪，对整改计划进行审核、确认，对整改进程进行监控，开展后续审计。

三、结束语

温州银行非现场审计引入大数据，在业务分析的数据规模、范围以及类型等方面取得显著成果：首先是审计工作方式由现场审计向信息化、智能化方向转变。已经实现了通过对温州银行数据整体分析，从庞杂的数据中摸索出业务风险的规律，增强了银行的风险识别能力，使得审计项目更加具有扩展性。如运用大数据技术开发的预警模型覆盖到了业务经营重点风险点，对数据实现了全面分析，更凸显了“靶向审计”。其次是审计范围实现了全量审计。温州银行改变了传统的抽样审计模式，通过大数据技术的应用突破了抽样样本的局限，大幅度提高了审计的全面覆盖。

参考文献：

[1]雷智军.以大数据思维促进商业银行内部审计发展转型[J].财经界，2016(9)：302-302,304

[2]杨洋.银行内部非现场审计信息化的现状和完善措施[J].经济视角，2013(18)：51-53

[3]赵兰茨.基于大数据的银行内部审计分析[J],.全国商情•理论研究，2016(30)：68-69

作者:方勋 单位:温州银行