中小商业银行内部审计技术发展现状和问题

张传政

技术方法的创新已经成为当前中小商业银行提升内部审计质量和效率的主要推动力，虽然各家银行创新的侧重点和创新应用程度各有不同，但其创新发展方向和模式以及应用实践中存在的问题都呈现出一些共同的特点。

一、 基于大数据环境下的审计信息系统建设及应用是当前中小商业银行内部审计技术方法创新的主要方向和模式

（一）审计信息系统建设和应用的背景

1.传统内部审计面临的问题与挑战。

（1）主要体现在两个方面：一是业务处理信息化和集中化与传统手工和分散的审计模式的冲突；二是业务规模、品种和机构的扩展与有限的审计资源的冲突。

（2）主要呈现四个特点：一是，审计环境快速变化。商业银行主要业务流程已基本实现电子化，业务量急剧增长，业务流程愈发复杂，新的金融产品不断推出；二是，审计职责要求提高。商业银行公司治理结构的健全和完善，赋予内部审计更大的职责，对内部审计提出了更高的要求；三是，审计资源配置有限。在现有审计资源条件下，单纯依靠传统的审计方式和手工作业模式，难以保障审计所必须的广度和深度；四是，审计管理标准提升。传统审计模式下审计计划制定依据科学性不足，审计项目实施过程规范性不足，审计工作质量保障性不足，审计报表和统计准确性和规范性不足等。

2.现代内部审计职能的新变化。

（1）审计理念，由查业务向查履职转变；由表象分析向本质分析转变；

（2）审计范围，由重广度向重深度转变，以求查透查实风险；

（3）审计时效，由结果导向向过程导向转变，实现事前、事中的风险控制；

（4）审计方法，由单一现场查账方法向多种审计方法并用转变；

（5）审计手段，由手工操作为主向计算机审计转变；

（6）审计人员，由单一型审计人才向复合型人才转变，尤其是IT技能；

（7）审计职能，由差错防弊向评价、改善和增值转变，突出确认和咨询职能。

（二）审计信息系统的基本定义

审计信息系统是利用计算机技术进行辅助审计的信息管理系统，通过与核心业务、信贷管理、国际业务、票据系统、中间业务等各业务和管理系统数据对接，同时借助影像技术，实现远程资料、会计凭证等基础业务档案的调取，从而获得完整及时的审计资源数据；依托审计模型平台，进行及时分析，实现精准定位，锁定可疑环节；利用丰富的数据分析工具和快速的查询手段，对可疑风险领域进行现场审计，形成以风险为导向的精确审计体系；在此基础上，建设审计信息管理平台，实现审计工作的规范流程和审计信息的综合管理，并实现审计成果的综合利用，对组织内部各机构进行风险画像，实现全风险提示和把控，为组织内的管理决策和最终经营目标服务。

审计信息系统用于内部审计人员进行日常审计工作，解决审计手段单一和抽样率不足导致审计范围受限的问题。

服务于现场审计时，为项目提供自动化支持，包括审计计划管理、项目管理、问题管理、问题整改、后续审计等；

服务于非现场审计时，提供自动数据归集、分析、预警和风险处理功能，包括查询查证、模型管理、预警分析等功能；

服务于内控评价时，综合利用审计成果，对组织内全机构、全业务、全流程进行风险画像，实现风险整体把控。

二、内部审计信息系统应用与效果

（一）应用情况

1.使用人员范围逐步扩展。由原来专供审计人员使用，逐步扩展到审计人员、被审计对象、业务条线人员和银行高管共同参与和使用的信息系统。

2.数据接入范围逐步扩展。当前各中小商业银行多已将数据接入范围扩展到以下三大系统：

业务系统，包括核心系统、票据系统、理财系统、国结系统、网银系统等；

管理系统，包括信贷管理系统、人力资源管理系统、财务管理系统等；

外部数据系统，包括监管机构结果数据、人行账户管理、人行信用系统、外部政府相关系统、网络舆情管理系统等。

3.知识资产积累快速增加。知识资产主要体现在审计模型建设、风险词条梳理和基于审计信息系统规范管理下的审计项目开展。

据调研，某小型商业银行内部审计信息系统启用18个月后，即上线投产共享审计模型超过200个，各审计人员灵活编制审计模型超过500个；梳理内部控制词条近2000条；规范化审计100余项，包括票据、理财、反洗钱、贸金、授信等专项审计项目，以及对分、支的常规综合审计项目。

（二）当前效果

从各中小商业内部审计系统应用情况看，当前效果主要体现在以下三个方面：

1.优化流程：由审计地点、人员、流程和知识的分散，变更为集中的数据分析为基础的信息化审计流程，实现了审计前移。

2.模式创新：因有大数据依托，故非现场审计成为可能。围绕数据、模型和疑点去实施审计项目，以非现场审计引领现场审计。目前主要实现了两种模式的创新：

一是实现了“事前、事中、事后相结合的审计模式。

风险监测使审计实现了从事后监督向事前预警的转变，第一时间发现风险、处置风险成为可能，也对风险做到了防患于未然。

二是实现了“现场与非现场相结合”的审计作业模式。

以标准审计工作流程为导向，对审计工作的组织实施以及整改落实等进行全过程的规范化管理。审计人员利用系统的非现场审计功能，在找准风险点和可疑点的基础上组织实施现场审计，实现精确打击，极大地提升了审计效能。

3.震慑作用：通过以数据为基础的“T+1”风险监测和预警，对违规行为起到无形的震慑作用。

三、内部审计信息系统应用中存在的主要问题

（一）审计建模能力和规范意识不足

审计建模是审计信息系统的生命力所在，但受专业能力、管理模式和激励机制等因素影响，审计人员建模能力和主动性普遍不足，特别对规范化的共享模型，只愿意“拿来”，而不愿意“送出”，日常工作中局限于满足自身审计项目需要的灵活建模。

（二）专业人才配备和培养不足

当前业务模式要求审计人员是兼具IT专业与审计专业知识的复合型专业人才，而当前中小商业银行审计人员仍以审计专业为主，缺少IT专业人才，更不用说复合型的人才。限于自身的资源禀赋，对复合型人才培养能力也不足。

（三）知识资产管理意识和运用能力不足

一方面，灵活自由建模，知识资产得不到固化；另一方面，由于没有分享，又不能满足需要这些知识的人。同时，由于无人对知识进行解读，所有固化分享的知识也得不到有效运用，最终造成了知识资产增加和增值的负向循环。

（四）内部数据治理效力不足

商业银行经过多年的信息化建设，积累了海量的、丰富的数据资源。这些数据对于银行来说已经成为一项重要的资产，利用大数据分析确定发展战略，全方位推进数字化管理已经成为银行共同选择。与此同时，因银行业务条线多，业务跨度大，各业务系统供应商不同，不同系统开发使用的时间跨度较大，即使同一系统也在不间断的更新优化过程中，多年来商业银行业饱受数据质量的困扰，数据缺失、数据冲突、数据格式不规范、数据不准确……使商业银行业利用数据受到严重制约，数据治理已成当务之急。但受理念、体制及成本等因素制约，数据治理效力不足，效果不利。

（五）外部数据接入能力不足

目前中小商业银行外部数据的接入多以业务部门为主，审计部门的主动性较差，普遍存在外部数据接入不足的现象。影响了内部数据的挖掘程度，也影响了审计发现的深度和广度。

四、解决问题的主要思路和方法

（一）优化激励模式，提升审计人员分享优质审计模型意愿

1.有激励，愿规范。建立优质审计模型个人成本较高，应建立合理的激励机制，引导审计人员在满足日常审计项目灵活建模的基础上，进一步规范加工成优质的审计模式并及时分享。激励机制的考核的关键指标可围绕“所建模型被使用的频率和效果”来建立。

2.有机制，会分享。审计模型本身是僵化的，需要解读、培训后才能被有效地使用。应建立有效的模型解读机制，让优质的模型能够被充分认知和主动使用。如有银行同业审计部门将审计模式分享作为内部培训的重点，实现了人人建模，人人为师，人人为领域专家的效果。

3.有培训，能建模。审计建模对审计人员综合素质要求较高，应适度加大内外部培训的频率和力度，快速提升审计人员的建模能力。

（二）优化人力配置，提高非现场审计发现能力

1.岗位专业化。先进同业多已设置了专业的非现场审计岗位，但多数中小银行同业仍未设置该岗位，或者仅由传统审计人员兼任，导致系统开发和应用能力不足。

2.人才复合化。先进同业一方面加大了自身复合型人才培养力度，另一方面加大了异业引进人才力度。如某行曾批量引进了IBM和德勤的非现场审计人员。

3.运营制度化。先进同业已将非现场审计运营制度化，定期出具非现场审计报告，实现制度化的事前、事中和事后一体化的综合审计运营体系。

（三）优化知识管理，提高知识资产运用能力

1.规范管理。关键在于认知知识资产价值，树立知识管理意识、健全知识管理范式。多数银行同业外购的审计信息系统都提供了完整的知识管理规范。

2.强化运用。运用是知识管理的灵魂，不实际运用，知识资产就失去了应有的价值。应健全激励约束机制，引导审计人员主动运用。也只有在运用中，知识资产才能得到扩展、增加和增值。同时，在信息系统建设上要实现知识资产“搜得到模型，搜得到人（讲解模型的人）”的效果，进而实现知识资产运用和增值的正向循环。

（四）优化治理组织架构，提高内部数据治理水平

数据治理是一个长期、复杂的系统工程，涉及到规章制度、组织架构、专业人员、系统培训、综合管理各个方面，需从全链条、系统化的角度对银行业的数据进行系统化重塑。要有效提高数据质量，发挥数据价值，提升经营管理能力，必须将数据治理纳入公司治理的范畴，提高数据治理占位。同时，建立明确数据治理组织架构，制定和实施系统化的制度、流程和方法，确保数据统一管理、高效运行，并在经营管理中充分发挥价值的动态过程。

（五）优化社会协作，提高外部数据接入能力

首先，要将外部数据的接入上升到全行战略高度；其次，加强与业务部门的沟通协作；再是，发挥审计部门自身优势，优化社会协作，提高外部数据接入能力。