摘要:近年来,以人工智能、区块链、云计算、大数据、物联网为代表的现代信息技术蓬勃发展,金融业因对信息数据高度依赖,与现代信息技术的融合日益深入,加速金融创新。创新的互联网金融和虚拟经济正从各方面改变着金融本来的面目,而在这背后则是信息科技的有力支撑和推动。这些改变随之带来的是信息科技和信息系统风险管理的压力逐渐加大,IT审计的重要性比以往更加突出。在此环境下,要通过IT审计转型来应对日趋加大的IT风险,应如何进行路径选择是传统银行业急需研究和解决的课题。本文根据金融科技发展现状,分析IT审计面临的挑战,尝试找出一条适合传统银行业IT审计转型的路径,并提出路径选择后的措施,以期提供一定的参考和借鉴。
关键词: 金融科技 IT审计 转型 路径选择
一、引言
上个世纪80年代以来,信息科技日益成为金融业变革发展的核心驱动力量之一。从计算机、分布式系统、数据大集中,到互联网、移动运算,信息技术的每一次革新和大规模应用都深刻改变了金融业的面貌。当前,新一代金融科技异军突起,互联网金融来势汹汹,大数据、云计算、区块链、物联网、人工智能等技术正日益紧密地嵌入到金融业运行的各个环节,改变着整个行业的游戏规则和商业模式,倒逼着传统银行业通过不断的科技创新以适应新的金融生态。银行业务与新兴技术的深度融合,使得信息科技风险比以往任何时候更加集中,更加突出,同时对传统银行内部履行IT风险审计职能的部门提出了更高要求和全新挑战。
二、国内传统银行业金融科技现状概述
金融科技是指通过新技术进行的金融创新,它能创造新的模式、流程、业务与产品,对金融市场提供的服务和模式造成重大影响,从而深刻地改变金融机构的服务和运行格局。目前对金融市场影响较大的金融科技主要集中在五大领域:基础平台领域,包含大数据、云计算、物联网、区块链和智能合约等;支付清算领域,包含移动和网络支付、电子货币等;网络融资领域,包括股权众筹、P2P网贷等;投资管理领域,包含智能理财、智能投资顾问等;客户服务领域,包含智能终端、智能客服、智能银行等。
在传统银行业亟须寻找新的利润增长点的时代背景下,金融科技在提升效率和降低成本方面表现出了极大优势,为弥补短板、享受技术红利,各家传统银行已将最新金融科技积极引入到经营管理活动中。金融科技创新主要表现在以下几个方面。
(一)利用大数据技术提升综合竞争力
大数据技术不但改变了商业银行的价值主体,数据资产显现出了重要价值,同时也改变了商业银行产品设计、商业决策、风险控制的方式。一方面通过掌握客户的交易记录、信用记录、投资习惯等信息数据,同时进行统计和建模,可以多维度了解客户理财习惯、消费能力、风险偏好、对银行贡献度等信息,帮助银行有针对性的进行产品设计和灵活调整营销策略,进而为客户提供更复杂的金融服务。另一方面,通过对多渠道的征信数据、交易数据、社交数据、违约记录等大数据分析,可以有效提高风险管理水平,提升案防能力。中信银行基于大数据实现了几乎实时的秒级营销;建设银行通过分析客户在商务平台上的行为数据来判断客户贷款资质;农业银行利用大数据平台建立反洗钱监测体系,实现涉恐实时监测。
(二)进军支付结算领域补齐短板
微信、支付宝等互联网金融企业通过打造O2O的支付产品抢占了银行的传统优势领域。这些产品与社交结合,改变了客户的支付习惯。传统银行已逐步意识到个人支付量大面广,是发展个人客户的重要入口。通过支付这个入口,后续会对银行的存款、贷款、理财等营销生态产生一系列影响,如果不发力追赶,补齐短板,未来银行将只承担业务通道功能,与个人客户会越来越远。为应对非银行机构带来的挑战,传统银行纷纷推出云闪付系列产品和扫码支付产品,形成与非银行机构的竞争态势。如建设银行推出了“龙支付”产品;农业银行推出了“快e付”产品;银联制定了二维码支付的统一标准,形成二维码支付的“联网通用”。
(三)借助人工智能提升服务水平
人工智能通过机器或计算机系统对人类智能过程的模拟,能够有效提高生产效率和降低成本,是传统银行业转型和发展的重要科技手段。人工智能在客户识别、智能客服、智能投顾、智能银行等方面已得到了广泛应用。在安全服务方面,各银行纷纷推出生物识别在客户身份确认方面的运用。如农业银行在ATM上已经实现刷脸取现;民生银行推出虹膜支付等。便捷服务方面,在大数据基础上,探索运用人工智能形成更高效的金融解决方案。如浦发银行推出“财智机器人”,主要为优质客户提供线上资产配置服务;招商银行推出“摩羯智投”,是以公募基金为基础的智能基金组合配置服务。在人工替代方面,传统银行充分挖掘人工智能在降低人力成本方面的潜力,在柜面交易、后台客服等领域积极推广人工智能技术。如农业银行推出的超级柜台,能够完成90%以上的人工柜面操作;工商银行建立的语音导航智能客服系统,有效减轻人工坐席压力,提升了客户满意度和体验感受。
(四)研究探索新兴技术适应未来业态
区块链、云计算和物联网等新兴技术虽然还处于技术发展和完善期,在法律层面、技术层面和应用层面还存在一些制约因素和亟待解决的问题,在短期内还难以对银行的经营模式和营业收入产生太大的影响。但从长期来看,随着上述技术的不断发展并进入成熟期,将深刻的影响未来商业银行的业务模式。正是基于上述认识,国内银行均主动对新兴技术进行跟踪研究,及时发现新兴技术有较大应用空间的业务场景,提高自身产品设计能力,研发出有市场影响力的创新型产品。在区块链方面,邮储银行、浙商银行、招商银行已经分别在资产托管、移动数字汇票产品、全球现金管理、跨境支付等领域实现了基于区块链技术的改造。在云计算方面,农业银行建设的基础设施云平台就是私有云设施层(IaaS)技术的尝试。在物联网方面,平安银行将物联网技术应用到存货动产融资业务中,借助物联网传感设备与技术方案对存货等动产进行智能化识别、定位、跟踪和控制,从而改变了动产的管理模式。
三、IT审计面临的挑战
IT审计是对信息系统及信息科技内部控制和流程的审查和评价活动,目的是揭示信息科技管理和操作中存在的风险和问题,评价信息科技管理目标实现情况,促进信息科技管理水平的提升。随着金融科技和互联网金融的蓬勃发展,使得商业银行的信息技术部门和信息科技工作成为组织的核心竞争力,信息科技已经从业务发展的手段和工具,转变为支撑银行业转型升级的基础性平台,伴随着新兴技术与银行业务的深度融合,信息科技风险防控比以往任何时候更加重要,压力进一步加大。作为风险防控主要手段的IT审计也站在风口浪尖,面临的挑战也与日俱增。
(一)金融科技的个性化带来信息安全的挑战
金融科技发展的背景下,金融消费者体现出更具差异性的金融需求特征。与此同时,随着大数据的应用和普及,银行提供个性化、定制化金融服务的成本也在显著下降。在内外部因素的共同作用下,银行必须提供个性化、定制化金融服务来提高客户粘性和收益。与之对应的是海量的客户信息、交易信息、电子足迹等敏感数据的处理、传输和保存,对这些关键数据的防篡改、防泄漏是信息科技风险控制的重要内容之一,如何评价和提升组织保障信息安全,维护消费者权益的能力是对IT审计的不小挑战。
(二)金融科技的网络化带来网络安全的挑战
互联网、移动互联网的发展和普及是助推此轮金融科技发展浪潮的基石,也是标注此次技术革命的特征。正是有网络化的数字环境,才使得大数据、云计算、人工智能等新兴技术能够发展和应用,同时也进一步推动网络渠道成为银行主要的服务渠道,也成为银行业务运营的生命线。必须确保网络系统的硬软件及其数据受到保护,不因偶然的或者恶意的原因而遭受到破坏,因此网络安全是银行信息科技风险防控的重中之重,也是IT审计必须重点关注的领域。
(三)金融科技的系统化带来运维安全的挑战
在目前金融科技的背景下,各家传统商业银行均致力于向综合服务生态圈整合者的角色进行转型,构建以银行为中心的生态系统,充分整合产品、服务、渠道、后台等资源,力图将综合金融服务无缝嵌入生态圈的各种场景。随之而来的则是众多内部业务系统的建设和整合,无论是系统间的耦合度,还是系统间的复杂度都与日俱增,深度的系统化必然带来前所未有的安全运维压力,业务连续性的要求随时考验着信息技术部门的IT运维能力,也考验着IT审计团队风险防控的履职能力。
(四)金融科技的智能化带来应用安全的挑战
在当前互联网竞争加剧、金融创新加速的形式下,银行业金融机构加快引入大数据、人工智能、区块链和物联网等新兴技术,这些技术推动着银行金融服务与经营管理的智能化转型,数据判断代替经验判断、机器管理代替人工操作已成为重要发展趋势。随着银行信息系统智能化的深入,势必引入新技术的内生风险,同时多技术、多架构、多系统的融合也使得系统的逻辑实现更加复杂,应用风险更加突出。这对建立有效的系统应用管控流程,加强新技术应用的风险监测水平提出了更高要求,同时也对IT审计提出了更高要求。
(五)金融科技的敏捷化带来开发安全的挑战
在金融科技颠覆式的快速发展背景下,灵活、敏捷的创新服务能力成为助力商业银行适应客户需求、吸引高端人才、提升市场竞争能力的关键因素。敏捷化创新倒逼这银行业金融机构在信息科技项目研发方面进行转型,即从传统的瀑布式研发机制向与敏捷迭代研发并重的研发机制转变,从而带来信息科技项目研发管理模式的深度变革。牵一发而动全身,这样的转型势必对项目管理、代码安全、质量控制等一系列管理活动产生深刻影响,也对IT审计适应相关变化提出了新的挑战。
四、IT审计转型的路径选择
从前文所述的诸多挑战可以看出,要适应金融科技的发展趋势,要有效防控创新驱动下信息科技日益增长的潜在风险,就必须进一步加强IT审计作用,转变思路,加快IT审计转型。其间首先需要解决的就是路径选择问题。
(一)金融科技的本质
目前金融科技的定义版本较多,不同国家、组织和机构都给出了各自的定义。美国国家经济委员会将金融科技定义为“以金融科技涵盖不同种类的技术创新,这类金融创新影响各种各样的金融活动”,国际证监会组织的的定义是“指有潜力改变金融服务行业的各种创新的商业模式和新兴技术”,毕马威则定义为“非传统企业以科技为尖刀切入金融领域,用更高效率的科技手段抢占市场,提升金融服务效率并更好地管理风险”。上述定义虽然表述不一,但都提到了三层含义:金融、科技和融合。金融和科技是金融科技的两个必备要素,科技是金融科技的重要载体,金融科技离不开金融和科技的渗透和融合,但更重要的是,金融科技的本质是金融,脱离金融基础的金融科技是没有意义的。因此研究防控金融科技风险的路径也必须聚焦到防控金融活动本身,即传统银行自身的风险控制体系。
(二)信息科技与银行风险控制体系的关联分析
信息科技与银行风险控制体系的关联主要涉及两个层面,一个是信息系统本身的风险控制,另一个是业务经营的风险控制。
1.信息系统风险控制。
信息系统的风险控制由信息系统自身属性决定,根据ISACA(Information Systems Audit and Control Association国际信息系统审计和控制协会)的COBIT(Controlled Objectives for Information and Related Technology信息及相关技术的控制目标)体系所归纳的IT风险范畴主要包括IT治理、IT运维和IT开发测试,如图1。
图1
信息科技治理涉及的内容包括建立适应现代商业银行发展需要的信息科技治理机制,强化股东、董事会、监事会和高级管理层在信息化战略决策、实施和监督过程中的作用,完善信息科技组织架构,建立健全信息科技风险管理制度和绩效考核机制,合理配置信息科技资源,保障组织信息化建设的快速、健康推进。
系统开发测试涉及的内容包括按照标准框架,优化、完善和规范软件研发过程,控制研发过程中规划、需求分析、设计、编程、测试、投产和版本管理等各环节的风险,提升软件产品质量管理水平,提高信息科技项目实施效率,提升信息系统的成熟度和稳定性。
系统维护涉及的内容包括按照一体化运行维护的要求,参考服务管理标准,控制生产系统运行维护过程中的基础设施管理、应用软件和数据变更管理等环节产生的风险,监控安全生产情况并对风险点进行跟踪,保障业务连续性,提高生产运行、技术服务保障的自动化、信息化水平。
上述内容是传统的IT审计范畴,也是目前IT审计的主战场。
2.业务经营风险控制
银行业金融机构业务经营风险控制指的是机构内部控制组织体系,也就是“三道防线”制度。此制度安排发轫于1997年中国人民银行颁布的《加强金融机构内部控制的指导原则》,其在加强内部控制、抵御业务风险和案件防控等方面发挥了重要作用。
第一道防线是一线岗位监管,指的是通过建立营业机构不同岗位各司其职、各负其责、相互制约的工作机制,形成由“自我约束”和“不相容职务分离”控制作业偏差的风险控制防线。在这层防线中,信息科技将在第一时间对业务风险进行控制,涉及的信息系统主要是核心银行系统、实时交易系统和账务处理系统等。
第二道防线是各职能部门的自我约束与尽职监督控制。其中尽职监督是第二道防线的主体,它指的是各职能部门按照职责分工,对下级对口部门及其经营管理活动进行监测、检查、督导和纠偏的管理行为。具体而言,就是各部门将本条线及相关同级职能部门的实际工作情况与目标、计划、标准进行比较分析,采取措施纠正偏差,以实现发展目标的管理活动。各职能部门要有效履行上述监管职能必须依靠信息系统来提高管理效率,信息科技的支撑尤为重要,主要涉及大量的管理信息系统等。
第三道防线主要负责对职能部门的自我约束和尽职监督进行监督。这种监督包括内控管理部门的协调监督,内部审计部门的再监督和同监察部门、保卫部门履行的事后监督。面对信息科技支撑下的庞大业务和海量数据,要进行有效风险防范,更加需要信息科技的支持。换句话说,内控审计信息系统体系的好坏直接影响审计质量和监管职能的有效履行。内控审计信息系统体系通常由多个信息系统组成,它不仅包括狭义的非现场审计信息系统,还包括广义的能被审计利用的任何信息系统。
业务经营风险控制与信息科技的关联关系如图2。
图2
(二)IT审计转型的路径选择
目前银行业金融机构IT审计的重心主要落在信息科技本身的风险防范领域,着重对信息科技治理、系统开发测试和系统运行维护进行审计监督,从前文信息科技与风险控制关联关系的描述中可以看到,这已远远不能满足金融科技环境下对IT审计的新要求,在风险管理的三道防线上还没有有效的IT审计监督机制和审计覆盖。因此要进一步加强IT审计作用,就必须从IT审计与业务经营风险控制相互结合这条路径着手,深化IT审计。
首先加强IT审计与非现场的结合。通过IT审计促进非现场信息系统的突破和发展,从而提高审计非现场技术的水平,有效加快审计工具的升级换代,提高审计效率和质量,为金融科技环境下内控审计职能的履行提供有力保障。其次则要做好IT审计与业务的结合。这是金融创新新常态下IT环境的客观必然,也是IT审计自身发展的主观必然。只有牢牢抓住业务这个抓手,加紧IT审计与业务相结合的探索,在体制和方法上寻求创新和突破,就能把握住IT审计转型的战略时机,进一步加强IT审计作用,以更全面的姿态迎接金融科技时代的挑战。
做好IT审计与非现场和IT审计与业务的相互结合,这是IT审计扩展空间,寻求转型的发展方向,即为“拓疆”;同时巩固传统IT审计领域,加强IT审计的力度,这是“固本”,做到“固本拓疆”,这是银行业金融机构IT审计转型的路径选择。如图3。
图3
五、路径选择后的措施
(一)“固本”是基础
巩固传统IT审计的基础,加强IT审计力度,这是金融科技新常态下加强IT审计作用的物理根本。在管理层面,一是提高战略地位。结合IT审计的实际,在组织内部审计领域内提升IT审计在审计中的战略地位。在审计制度的上层设计中加强IT审计的相关内容,做好IT审计的发展规划和审计计划。二是完善审计程序。结合信息科技的实际变化加强审计程序的设计,促进审计项目管理精细化水平的提升。在审计程序中进一步明确和完善相关数据获取、证据锁定、质量控制等流程,提高流程的完整性和可操作性。三是加强人力资源管理。重视队伍建设,制定IT审计人力资源战略规划,积极推进学习型组织建设,建立有效的绩效考核机制。同时合理地利用外部审计资源,通过合作和知识转移,有利于内部审计人员审计能力和素质的提高。在技术层面,一是完善审计技术。对技术难度低,应用相对成熟的传统审计技术进行固化和加强,对技术曲线高,专业要求强,应用相对薄弱的审计技术则需要重点研究、重点突破,提高对新兴技术的适应性。二是创新审计方法。分析和提炼在IT审计的实践中得到的宝贵经验,同时广泛借鉴先进的研究成果,鼓励创新,加快创新审计方法的实践运用步伐。三是加强重点领域的审计力度。根据金融科技的特点,优先加强信息安全、网络安全、研发测试等涉及新兴技术广,应用层次深,风险影响大的信息科技管理领域的审计力度,以适应日益变化的风险控制环境。
(二)“拓疆”是关键
IT审计向业务经营风险控制领域的延伸是实现IT审计转型路径上的关键,也是有效发挥IT审计风险管理职能的关键。“拓疆”包括与非现场审计结合和与业务结合两个方向。
1.与非现场审计结合。
非现场审计是提高审计监督效率,提升审计层次的重要手段,非现场审计系统或审计信息化平台,是多个信息系统组成的体系,是企业信息科技水平的重要体现。IT审计应通过自身的监督职能,促进审计信息化平台在组织内部战略地位的提升,进而确立审计信息化平台在企业信息化系统中的核心地位,保障信息系统资源配置,实现与核心生产系统共享实时数据,结合大数据趋势建立技术先进的独立审计数据平台。与此同时,通过IT审计在组织内部信息系统开发过程中监督作用的有效发挥,取得向信息系统植入审计需求的直接机会。在信息系统的构建和开发过程中,实现将审计需求作为重要的用户需求来源加以重视和利用,在系统实现过程中偏向审计需求进行优化,预留审计接口,丰富操作功能,使得审计数据结构清晰、关联简化,审计功能自动全面、智能快速,大大提高审计信息化平台的易用性和适应性,有力支撑内控审计活动的顺利开展。
2.与业务结合。
IT审计与业务结合重点是加强对业务风险控制过程中信息科技的审计力度。在业务流程层面最好的审计载体就是IT应用控制审计,根据内部审计准则的定义,应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。对业务流程层面应用控制的审计应当考虑与数据输入、数据处理以及数据输出环节相关的控制活动。由于应用控制审计技术层次高、实施难度大,目前银行业金融机构IT应用控制审计相较于与IT一般控制的传统审计还存在成熟度不高、普及性不足等情况,但作为IT审计转型的重要方向,应用控制审计只能进一步加强。一是加强理论储备。理论储备是为了从更高视野对IT应用控制审计进行审视和引领,从组织风险控制的大局对IT审计和业务结合进行通盘的考虑。同时对国内外先进审计理论进行研究和经验借鉴,结合组织实际进行本地化转换,加快其在IT审计与业务结合领域的应用。二是积极积累和总结经验。循序渐进的开展IT应用控制审计,充分利用好审计成果,提炼出与业务结合的思路和实践经验,对创新的审计方法和流程进行归纳和固化,便于在后续的应用控制审计中进行使用和推广。三是敢于创新突破。要将IT审计融合在业务中,创新审计思路和方法是重要手段,是加强IT审计作用的必要条件。必须以经验积累为基础,理论储备为动力,以创新突破为目标,加快IT审计与业务结合的步伐,为金融科技背景下组织信息科技风险管理提供有力的审计监督保障。
六、结语
当前银行业金融机构IT审计转型是组织为适应不断变化的金融科技风险环境,增强组织风险防控能力的必然选择。相关的转型方向必须考虑金融科技发展特点和金融业务本质,结合组织自身实际,在巩固传统IT审计监督职能的同时,进一步加强信息安全、网络安全和项目开发等领域的审计力度。更重要的是加紧IT审计与银行业务的融合,加强IT应用控制审计的深入研究和应用,辅以先进的信息化审计工具的支撑,从而打造起符合金融科技风险控制要求的IT审计新体系,有效提升审计的履职能力。(作者单位:中国农业银行审计局成都分局 郑斌)
参考文献:
1.郑鑫.商业银行内部控制“三道防线”的分析与探讨[J].农村金融研究,2011(12):45-48.
2.王智玉.审计信息化与审计组织方式[J].审计研究,2011(04):39-42.
3.李岩.针对商业银行业务部门的IT审计[J].中国内部审计,2018(11):43-45.