一、商业银行内部审计的审计环境和审计对象发生了根本性变化 (一)信息科技的发展推动了大数据时代的到来,并进一步促进金融信息化的发展 近年来,随着信息科技革命,物联网、互联网、移动通讯、云计算等的快速发展,全球数据总量每年以40%左右的速度增长,几乎每两年就翻一番。大数据已经成为社会经济生活包括金融业最重要的一个生态环境。金融作为社会经济的核心部门之一,是对信息化依存度最高的行业之一,各家商业银行都投入了大量的人力物力推动信息化发展。同时,金融与互联网进一步融合,互联网金融成为金融发展的一种新趋势,“互联网+金融”已成为当前金融业发展的主要模式。金融业进一步电子化、网络化、虚拟化。根据中国银行业协会发布的数据,2015年银行业离柜交易金额达1762.02万亿元,同比增长31.52%,是2012年的两倍;银行业平均离柜业务率(柜台替代率或电子渠道分流率)为77.76%,同比提高9.88个百分点,比2012年提高了约20个百分点,其中,中行2015年电子渠道对网点业务的替代率达到87.97%,而浦发银行更高达91.47%。 (二)大数据的出现和互联网的发展,促进了银行运营模式、管理模式的不断变革和金融创新 1.银行业务运营进一步集中化、远程化。信息技术进步进一步促进银行后台业务数据处理系统的整合,通过构建数据大平台,依托云技术等新数据处理技术,打造强大的信息处理能力,实现了数据集中和共享。 2.银行业务办理进一步自动化、智能化。国内银行在业务处理自动化上已从单一的自助终端过渡到高度集成的系统和设备(虚拟柜台系统VTS)阶段。同时,银行智能化还表现在风险控制和内部综合管理方面,如大量采用专家软件系统和决策软件系统进行管理和控制。 3.银行管理模式将进一步重新塑造。各银行逐步形成集成化、扁平化、流程化、开放式,以客户为中心、面向客户需求的组织架构。 4.银行业务与产品的创新成为一种新常态。金融信息化推动了金融创新,除了银行经营理念、管理体制机制上不断创新变化外,业务和产品的创新也成为常态化。 二、信息化环境下银行风险及内部审计面临的困难与挑战 (一)信息化环境下商业银行的主要风险及特点 1.信息系统及数据安全风险。主要包括银行信息系统风险、数据及网络安全等风险。大数据环境下,系统、网络及数据的安全对银行至关重要。但由于技术本身成熟度、专业人员技术水平、外部网络入侵攻击及其他的内外部违规违法行为,都可能造成系统运行中断或瘫痪、资金被窃取或挪用、重要数据和信息泄密或篡改、损坏等风险。如2015年9月至11月的3个月时间里,某平台上汇总金融行业已被客户确认的安全漏洞共206个,其中高危漏洞195个,与数据泄露相关的漏洞占53%。 2.内部操作风险。主要指内部人员(包括内外勾结)违规或违法操作导致损失的风险。信息化条件下金融企业面临的最大操作风险,仍然还是内部人员的道德风险。2013年底披露的支付宝公司员工私自下载批量用户信息并出售给他人,2014年杭州某银行内部员工盗取42名储户总计9505万元存款案件,2015年福建某银行员工私盖银行业务章、伪造理财产品凭证从事非法集资等,都是典型的内部员工道德风险案例。 3.信用风险。资产业务是银行的主体业务,客户违约导致银行资产损失的信用风险,仍然是当前银行最主要的外部风险。虽然随着社会信息化的发展,信息共享程度进一步提高,大数据下信息挖掘技术的运用有利于减少信息不对称,但当前社会信息共享程度仍然较低,社会统一的信用评价机制尚未完全建立,各行业信息也未能有效整合,借款人经营状况和资信情况信息不对称问题仍然存在。 4.业务和产品创新风险。大数据及互联网时代下,银行金融业务和产品创新层出不穷,推出速度不断加快,金融服务产品呈现个性化、自助式、组合化,这有助于银行抢占营销市场、增加市场份额,但同时也增加了新的风险。如一些金融结构化产品、理财投资产品存在业务创新决策失误、产品模块设计缺陷、产品不符合市场需求、成本或风险与效益不匹配、产品风险防控措施不到位以及可能引发其他社会经济、金融不稳定等问题的风险。 5.声誉风险。目前不法人员利用高科技手段批量盗取客户资金的情况时有发生,虽然主要责任不在银行,但也给银行造成较大声誉风险。公众会怀疑银行防范违法行为的措施不足。实际上,快捷支付风险事件高发与银行安全措施不够、支付认证手段单一也有一定关联。另外,随着互联网金融发展,银行与第三方支付的合作与联系越来越紧密,但对第三方支付的监管仍然滞后,其风险如果传导到银行,可能对银行造成声誉风险或其他损失。 以上信息化环境下的风险,与以往风险相比,存在以下不同特点:一是技术风险和高科技含量的操作风险更加突出。目前,我国银行信息系统的安全形势并不乐观,系统稳定性和安全漏洞仍然较多存在,非正常系统中断和网络入侵时有发生,系统安全、数据安全等技术性风险突出。同时,内部操作风险的技术含量也随着整个社会信息化的发展而提高,高科技手段的道德风险越来越突出。如近年发生多起银行内外部人员单独或内外勾结,利用银行信息系统内部控制制度执行不到位或信息系统漏洞,从银行内部或从外部网络利用黑客、木马软件等入侵篡改数据,盗取资金、客户信息,都具有利用高技术手段对信息系统作案特点。二是风险事件造成的影响面和风险值扩大,且传播速度加快。风险由过去涉及个别、少数群体转变为普遍、大众群体,由分散独立风险向系统性风险快速转变,并可能导致声誉风险。由于网络信息传递的快捷和不受时空限制,金融风险在发生程度和作用范围上产生放大效应,风险发生的突然性、传染性都在增强,危害也更大。同时,大数据环境下银行数据运行和存储的集约化程度较高,一旦系统出现安全问题或被攻击成功,就可能立即造成系统中断、瘫痪或批量数据被泄密、篡改或损坏,影响对象众多,并可能导致爆发系统性风险。三是风险边界扩大,发现难度加大。高技术条件下,银行风险点无处不在,风险领域全覆盖、立体化,且发生风险的节点、路径往往看不见、摸不着,隐藏在内外部网络、信息系统和海量数据中,难以及时发现,而一旦暴露就可能造成轰动效应,具有极大的破坏性、传染性。当前银行交易突破了时间、空间的约束,在提供便利的同时也随时可能发生各种风险,包括来自不同路径、不同节点的攻击和入侵。同时,银行内部庞大的员工队伍,也都是银行各种信息系统的一个用户,如果相关内部控制管理存在漏洞,就有可能被其中极个别不法人员利用。四是决策失误风险逐步加大。信息化条件下,任何一个重大的银行经营决策变化,都可能需要对组织架构、信息系统、业务与产品及相关流程、营销网络与渠道、营业网点、人员培训等一整套体系进行修改甚至重新构建,这些不仅仅需要投入大量的时间、资金、人力,而且一旦决策失误,可能对银行经营造成不可逆的巨大影响和损失,且不仅是财务上的损失和风险的增加,还包括市场和发展后劲的影响和损失。如前几年许多银行的社区网点建设战略与金融互联网化、虚拟化的发展趋势不完全相符,目前一些银行已开始逐步退出。