銀行非現場審計體系構建與運用

導語：銀行非現場審計體系構建與運用一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：大數據時代內外部經營環境劇烈變化背景下，內部審計做出改變勢在必行。溫州銀行正是在此大環境下，向“信息化審計”發展的道路邁進，構建非現場審計理論體系，并全面運用到對風險的前瞻、全面、深入、持續的審計中去，獲得有關全行經營狀況的“風險熱力圖”，實現靶向審計和全面審計。

關鍵詞：大數據;內部審計;溫州銀行;非現場理論體系;構建與運用

大數據是隨著云計算而出現的，主要包含在線、海量、多樣化、高速、分析能力、蘊含的商機和效益六要素，其正在給商業銀行內部審計發展方向、工作理念、作業模式等方面帶來深遠影響?！暗栏咭怀吣Ц咭徽??！蓖ㄟ^大數據分析，促進審計思路不斷的在肯定和否定的循環中發展變化。風險本身的特征是變化的，風險的分析與挖掘的思路，自然也是在變化中的。商業銀行非現場審計根據審計需求，以業務指標或交易事項分析為切入點，首先形成對經營管理的總體認識，再根據數據特征，進行逐層數據挖掘分析；繼而深入關注局部區域，直至具體的行業、產品、客戶，在這個環節根據具體問題特征，編制模型，擴大審計范圍，輻射全行。這樣既能把脈管理層問題，也能較充分地揭示操作風險，最終對經營活動做出總體判斷和評價。此文以溫州銀行內部審計的發展為背景，詳細介紹在大數據環境下溫州銀行非現場審計體系的構建與運用。

一、大數據幫助構建溫州銀行非現場審計體系

溫州銀行構建非現場審計工作體系，主要包括非現場審計系統、數據的構成與獲取、審計模型的構建等內容。（一）溫州銀行非現場審計系統。溫州銀行非現場審計系統建設于2011年，發展創新于2015年。系統采集數個業務系統的在線交易數據，覆蓋了全行主要業務和主要風險點，實現了對全行主要業務、產品的日常分析和持續監測。系統功能主要包含審計查證、業務預警、指標分析、知識管理、問題管理等。其中審計查證是核心運用模塊，已建設及在用審計模型共計435個，分別包含綜合業務、信貸業務、電子銀行業務、信用卡業務、員工行為規范五大模塊。（二）非現場審計體系的大數據構成與獲取。數據是非現場審計所要面對的主要對象。數據獲取主要有四個來源：一是銀行內部系統。如核心系統、信貸系統、信用卡系統、電子銀行等。非現場審計系統大部分數據的獲取即采用該種方式。系統從行內系統抽取數據主要有三種方式：（1）從數據倉庫中進行數據抽取或直接建立應用。（2）不從生產系統中抽取數據，直接利用信息系統的API來查詢相關信息。如對歷史數據的運用是直接建立DBLINK到源系統獲取。（3）將系統中的數據由生產系統/備份系統中抽取出來，形成只供我部門使用的部門級數據集市。如我部當前對資金系統數據的運用。二是業務系統數據采集。包含信貸、FTP、信用卡風險監督、多渠道平臺等。三是內部數據交換，比如業務條線各類發文、OA公文、便函等。四是外部數據采集。如人行黑名單系統、銀監預警數據，政府數據、電子商務數據、全國企業公示系統等。（三）審計模型體系的構建。審計模型體系是溫州銀行信息化審計進程中不可缺少的審計模式，其核心技術是在確定審計目標的基礎上，基于對業務的掌握，熟悉相應的數據源表，將對溫州銀行業務活動中存在問題的假設，編制成審計模型。其中，路徑思考完整循環如圖1所示。審計工作思路促發對模型的需求，主動尋找相關數據源，通過對數據的分析、篩選與挖掘，形成初步的風險數據。通過對風險數據進行現場核實查證，并提煉出相關的風險類型，找出共性，形成審計成果。最終將審計成果在業務條線及其他相關部門推廣應用。審計模型的編制主要分為三類：一是按審計模型運用的方式分為公開審計模型和秘密審計模型。如員工行為規范屬于秘密審計模型，只對少數人員開放。二是依照審計模型的使用方式來分，可分為非現場審計專項所用，現場審計項目專用以及分析預警所用等。三是依審計模型運用的整體性，有綜合性審計專題，單一性審計模型。如綜合業務系統下的利率信息，其中多個模型共同為利率專項審計所用。審計查詢查證及數據挖掘主要包含兩個層面，如圖2所示。第一個層面為固定的報表查詢。溫州銀行非現場支持多系統輔助查詢，如信貸系統、數據倉庫系統、歷史數據系統等。第二個層面是靈活的數據查詢分析，如相關性、趨勢分析、時間序列等。隨著大數據處理技術的成熟，溫州銀行IT管理水平的提高以及圖象、聲音、視頻識別技術的進步，非結構化數據的分析成為可能。通過對非結構化數據單獨或結合結構化數據進行分析，能夠發現更多業務上的疑點。如對信貸影像以及信用卡進件系統的掃描件查詢，幫助分析出一系列準入風險事件。圖3Á表1—（四）非現場審計體系的構建非現場數據分析過程中，對風險評估出來較為集中、重要、系統性的風險領域，觸發現場審計項目。內外部突發的風險分析，及時觸發非現場專項審計或調查。項目特點具有微小、敏捷、及時、良效特性。非現場五步法工作機制詳見圖3。

二、溫州銀行非現場審計體系的實際運用

（一）非現場審計運用的三個階段。準備階段：利用模型探索、數據分析工具對全量數據進行篩選，查找異常數據和可疑點（作為現場審計抽樣使用），縮小審計范圍，鎖定審計重點，減少現場時間，降低審計成本?，F場階段：利用審計風險監測系統提供的查證對可疑客戶進行跨系統的無縫查詢，突破不同系統之間的信息不對稱的壁壘，對可疑數據進行確認，現場對相關人員訪談。結項階段：反饋疑點現場核實效果，優化預警規則，提高預警準確度。同時，對現場檢查中發現的問題進行歸納。（二）構建風險導向的審計方法論。非現場審計的發展促進溫州銀行審計由單一的事后監督向風險導向型角色的逐漸轉變。根據風險評價結果確定內部審計重點和檢查頻率，有效整合審計資源，把審計資源集中于高風險的審計領域，針對不同風險狀況采取相應的審計策略。通過非現場審計分析，根據內控環節與業務條線管理的薄弱之處，繪制審計宇宙，構建不同風險等級的風險熱力圖，形成緊密結合并適應全行總體戰略的審計體系，為管理層提供決策思路，制定經營策略。溫州銀行基于此理論，構建出風險導向審計方法論框架。主要分為七步走：第一步是是審計宇宙和審計單元的確定。根據內部審計的職能定位、銀行的經營范圍和業務領域、銀行的組織架構和業務流程體系、外部監管機構的要求等因素，確定內部審計宇宙。建立的審計宇宙包括：主要業務條線，如信貸業務條線，柜面業務條線，財務管理條線，信用卡業務條線，資金業務條線等。梳理重大流程（如信貸服務，客戶結算服務及風險管理等）及主要流程（如重大流程“信貸服務”可分為申請處理、擔保管理、貸后管理等主要流程）。把握重要性原則，視審計資源確定流程細化程度；確保高風險流程不遺漏。第二步是風險評估的開展。風險評估前期準備過程，需要與董事會、審計委員會以及高級管理層進行充分溝通，了解銀行的戰略目標與發展預期；確定風險評估標準，包含對銀行經營目標實現的影響程度；系統及流程的復雜程度；合規要求；內部及外部審計的審計發現；距離前次審計檢查的時間；舞弊發生的可能性；對財務報表重大錯報漏報的影響程度等。從影響程度和可能性兩方面對風險程度進行判別，詳見表1。風險評估的開展包括兩個階段，一是全面理解全行業務結構和內容，主要包括：評估全行整體的控制環境：管理層的控制意識和經營風格、銀行誠信與道德標準、公司治理措施、組織架構和職責劃分、人力資源政策和人員素質、能力等幾方面；流程中可能出錯的地方，及其可能妨礙業務目標的實現；信息科技和人力資源如何應用于流程且會產生哪些重大風險；設計的流程是否符合市場發展和環境變遷；流程是否存在任何可能導致財務損失或其他損失的固有因素。二是評估風險。通過“風險熱力圖”來實現對全行主要風險的評估。審計重點關注高風險流程、中風險流程、低風險流程，以提升審計工具的自動化來實施，同時積極推動第一、二道防線加強檢查。第三步是編制審計計劃?；陲L險評估結果編制銀行短期與中長期審計計劃。根據風險的高中低確定審計實施頻率和覆蓋面，確保高風險領域得到及時、準確關注。審計計劃的制定從以下幾方面考慮：運用基于風險的方法論；參考以前年度的審計計劃與審計結果；高級管理層特別關注的事宜；咨詢業務條線負責人的意見；監管合規要求；外部審計師的建議或要求。審計計劃的制定包含如下步驟：對重大流程進行分類；對重大流程內的主要流程進行排序；確定審計項目；確定審計工作時間。第四步是識別重大風險和控制。通過訪談與審閱，整理并識別流程從起點至終點所涉及的全部風險點及對應的控制。重點關注以下內容：流程包括的環節以及環節涉及的業務/職能部門和具體負責人員；構成各流程環節的具體業務活動及(或)發生的變動；業務活動中潛在的風險；業務活動中目前設置的控制活動狀況；業務活動運用的信息系統和工具。識別業務的重大風險和控制，編制風險控制矩陣。梳理訪談內容，列示流程包含的主要環節。在各主要環節中，識別并列示各主要環節中存在的風險，針對已識別的風險，從流程中查找、識別并列示可能存在的相應控制。審計人員與流程負責人確認識別的流程環節、風險點、相應控制點等信息，對每個控制實施穿行測試后，更新風險點與控制點。第五步是測試與抽樣。通過穿行測試以驗證控制設計的有效性，采取詢問、觀察、檢查、重新執行等方法，針對風險控制矩陣中識別的所有控制點，選取一個樣本，驗證從起點到終點的整個流程中包括的控制活動。通過控制測試，對交易或相關文檔進行抽樣測試，以確定關鍵控制執行的有效性。依據統計學的“發現抽樣”的原理，以樣本出現差異的情況來推斷測試總體會發生差異的可能性：以每天發生的控制為例，隨機抽取的25個樣本中如果未發現控制差異，則可以推斷在抽樣總體中會發生差異的可能性低于10%，則抽取測試達到的總體的置信度為90%。執行測試的控制點有效性的判斷標準參考表2。按照控制種類和頻率及其它要素確定測試樣本。第六步是編寫審計報告。審計報告結論分為三個層次：滿意、合格和不滿意。滿意的審計報告表明內部控制程序和系統充分、各項職能有效履行，包括被審計領域的控制充分有效，運營合規。合格的審計報告表明內部控制程序和系統存在弱點，執行力度有待加強。不滿意的審計報告表現為存在對業務造成實質性影響的主要缺陷,表明控制不充分或運營不合規。第七步是項目總結和后續跟蹤階段。一是對審計項目進行總結，對審計人員考評。二是后續跟蹤，對整改計劃進行審核、確認，對整改進程進行監控，開展后續審計。

三、結束語

溫州銀行非現場審計引入大數據，在業務分析的數據規模、范圍以及類型等方面取得顯著成果：首先是審計工作方式由現場審計向信息化、智能化方向轉變。已經實現了通過對溫州銀行數據整體分析，從龐雜的數據中摸索出業務風險的規律，增強了銀行的風險識別能力，使得審計項目更加具有擴展性。如運用大數據技術開發的預警模型覆蓋到了業務經營重點風險點，對數據實現了全面分析，更凸顯了“靶向審計”。其次是審計范圍實現了全量審計。溫州銀行改變了傳統的抽樣審計模式，通過大數據技術的應用突破了抽樣樣本的局限，大幅度提高了審計的全面覆蓋。

參考文獻：

[1]雷智軍.以大數據思維促進商業銀行內部審計發展轉型[J].財經界，2016(9)：302-302,304

[2]楊洋.銀行內部非現場審計信息化的現狀和完善措施[J].經濟視角，2013(18)：51-53

[3]趙蘭茨.基于大數據的銀行內部審計分析[J],.全國商情•理論研究，2016(30)：68-69

作者:方勛 單位:溫州銀行