近年来信息科技和数据技术迅猛发展,金融科技成为金融业务创新服务、流程再造、风险管理、业务运营和基础服务等方面的新抓手,人工智能、区块链等在金融行业的应用、服务嵌入场景等科技金融服务模式的改变代表着银行4.0的到来。 科技金融是科技属性、数据属性与金融属性的高度融合,如何有效开展科技金融的审计工作成为行业内讨论的热门话题。传统的审计工作经常被划分为业务审计和科技审计,两者通常相对独立,但科技金融的出现让科技与数据成为业务流程与风险控制的主要载体,审计工作难以再简单的区分业务审计和科技审计的界限,传统的审计方式更难有效组织和开展。 在科技审计规范中,通常将COBIT作为审计技术框架,该框架将控制划分为一般控制(ITGC)与应用控制(ITAC),ITGC侧重于科技侧的管理控制,而ITAC则与业务流程紧密关联。ITAC的审计方法可以有效地应用在科技金融审计工作中,科技金融时代,业务审计已与应用控制审计(ITAC)高度融合,故需进一步应用发展ITAC,形成科技金融的AC审计理论和方法。 深圳前海微众银行是国内首家民营银行、互联网银行,是一家基于金融科技的银行。立行以来,其开展了人工智能、区块链、云计算和大数据等前沿金融科技领域的深度研发,相关信息科技技术广泛应用于产品创新、客户服务、数字化营销、风险控制、反洗钱等领域,系统应用控制措施也广泛部署在上述环节,为各项业务快速发展提供了强大动力。为了有效开展审计工作,为业务的发展保驾护航,微众银行持续开展科技金融审计工作实践和探索,并通过审计促进银行科技金融风控建设。本文通过微众银行AC审计的发展与实践,探索科技金融业务审计的方法。 一、应用控制理论论述 针对ITAC审计,国内外诸多学者进行研究及论述,如Chris Davis等编著的《IT Auditing:Using Controls to Protect Information Assets,2nd Edition》中提出了一套ITAC审计框架,并给出了ITAC审计的步骤与关注点,包括输入控制、接口控制、审计线索、访问控制、数据保存等纬度;石爱中编著的《信息系统审计务实》阐述了ITAC的审计目标和通用审计方法;国际信息系统审计和控制协会(ISACA)指引之应用系统检查(文件G14)描述了系统层面和数据层面的ITAC风险与实施ITAC审计工作流程;《信息及相关技术控制目标(COBIT)》中对规划业务流程、系统、数据及转换控制信息的处理过程提出了要求;《应用系统审计标准指南(GTAG8)》给出了通用ITAC审计的建议,描述了ITAC审计的主要流程等。但针对ITAC审计,规范和方法相对于ITGC参考资料较少,多是简单的控制架构,可能是由于应用控制因业务的多样性和复杂性而表现不同,难以像一般控制那样抽象出目标、流程、指标、实践、活动等的标准控制体系。 无论哪种理论框架,ITAC均可归纳为以输入控制、处理控制和输出控制三个部分,审计测试各阶段中数据处理的完整性、准确性等方面,如图1所示。
产品业务流程高度依赖数据、流程自动化、工具系统化是科技金融控制的特色,这个特点和ITAC具有较好的契合性,故科技金融的审计可以在基于ITAC方法的基础上加以拓展和实施。在科技金融业务中,ITAC中的IT也不仅仅指信息科技,而是包含各种科技技术和数字技术,因此在本文中不再以ITAC表示应用控制,而以AC来表示。 二、应用控制审计实践 微众银行自2016年开展AC审计工作以来,相继对电子渠道系统、支付系统、风控系统等业务系统和控制环节进行了AC专项审计,在业务审计过程中,AC审计已成为审计工作的重要组成部分。针对科技金融业务,控制以数据驱动化、流程自动化和工具系统化为特点,产品服务互联网端客户,对审计工作非常具有挑战。控制范围不仅包括了完整性、准确性要求,还包括安全性、效率和效果等纬度要求,需要对极端场景进行测试。图2为一个科技金融产品的系统控制模块示意图,客户指令或需求从渠道端输入,后续的流程和控制均为自动执行,由图可见,要对产品进行审计,业务流程中各模块内部和模块之间都涉及AC审计的内容。
(一)审计工作的组织与准备 开展AC审计前需要开展几个方面的准备工作: 1.人员准备 开展AC审计的第一重要点是组建具有相应能力的审计队伍,需具备业务、科技、风险、合规、运营、数据等知识技能。一般同时具备这些能力的审计人员不多,因此需要具备相应技能的人员共同组成审计组,但在审计组中牵头人需具备更强的综合能力,这是工作有序、有效开展的基础保障。 2.方案准备 开展AC审计前,需进行详细的审计内容分析和准备工作,包括对业务流程与系统功能模块的梳理,以及相应控制内容的梳理。由于AC测试需要数据的支持,梳理不到位会在审计过程中引发多次反复的数据需求,造成工作的低效。 3.数据准备 AC审计根据产品流程和控制内容的不同,对数据的需求差异较大:对较为简单的业务流程和控制,简单的穿行测试可满足要求,如代销类金融产品的购买流程;有的业务流程需要调取系统日志以进行流程或服务验证,或进行异常处理逻辑的测试;较为复杂的产品流程控制则无法通过穿行测试或日志分析来测试验证,如对信贷类产品测试客户信用评级控制有效性,由于少量客户的测试结果不具备验证效果,需要根据审计目的选用不同的审计方法,如通过批量的数据分析观察结果表现以分析客户分布与质量的关系,或者另行设置专项进行模型的验证审计。不同的审计目的和测试模式,需要准备的数据及对应工作量差异会很大。