自2015年国家提出“互联网+银行”计划以来,商业银行纷纷推出互联网金融服务,逐渐引领我们进入了互联网金融时代。随着互联网金融的发展,国家层面开始重视互联网金融业务的监管,2020年颁布的《商业银行互联网贷款管理暂行办法》进一步规范了商业银行互联网业务,保证互联网金融业务健康发展。为了防范应对系统性金融风险,政府层面对互联网金融业务监管日趋严格,对线上贷款、理财、保险等相关业务进行了严格的规范,而商业银行的内部审计风险问题就是商业银行内部防范金融风险的关键所在。 在互联网金融时代,商业银行的业务从传统的线下网点服务向线上网络平台和移动端APP方向转型,在节约出发展银行网点成本的同时提升了金融服务的便利性,也衍生出更多的金融产品。随着互联网金融业务的增加,商业银行内部审计的风险逐步显现出来。内部审计的概念在2016年颁布的《商业银行内部审计指引》中有所体现,其概念包括但不限于针对商业银行制度规范的健全性和有效性、金融业务的合规性和有效性、内部管控的适当性和有效性等方面,主要体现内部审计对商业银行的监察和确认职能。 二、商业银行现行内部审计与互联网金融不适应问题 作为风险管理的第三道防线,商业银行的内部审计属于商业银行内部控制的重要组成部分,其工作质量在一定程度上决定了商业银行的风险管理水平。各商业银行为了确保内部审计的监管作用,提升风险防范意识,增强风险控制能力,不断增强内部审计的独立性和有效性,虽然内部审计在商业银行内部控制管理上发挥了一定的作用,但目前商业银行的内部审计不适应互联网金融时代的问题逐渐凸显。 (一)传统商业银行内部审计制度不能适应互联网金融时代需求 据统计,大部分国有商业银行构建了包括内部审计制度在内的内控体系,但仍有部分地方性商业银行在上线互联网金融产品的同时,未能与时俱进地更新自己的内部审计制度体系来防范来自互联网的风险。换言之,对传统财务、业务合规性的审计监督,商业银行有较为完整的内部审计规范,但是面对以互联网金融为主的产品及相关衍生品,未形成一个与时俱进的、防范风险的内部审计体系。其原因在于,虽然目前互联网金融的业务发展迅速,但针对互联网金融业务相关的审计与风险防范意识尚未形成,不能有效构建针对互联网金融业务风险的内部审计体系,从而降低内部审计对风险的针对性。并且,商业银行的内部审计观念仍停留在主要以合规性进行审计,没有建立起风险导向的审计概念。虽然在内部审计的过程中发现了存在的一些重大问题,但是事后审计的制度体系始终没有发挥内部审计防范和改善风险管理的作用。一方面,法律制度层面针对互联网金融的监管立法还未成熟,国家监管部门尚未推出较为系统全面的法律法规,导致商业银行普遍缺乏具体有效的针对性指导意见,因此存在部分互联网金融风险未引起商业银行管理层的重视,从而未采取相应的管理措施来防范互联网金融风险。另一方面,传统内部审计思维以事后审计中发现的问题为导向,只有在发现问题后才能将问题反馈到管理层才能引起重视,但是事后审计结果存在严重迟滞性,缺乏事前审计监督在面对瞬息万变的互联网金融时往往存在巨大的风险。 (二)现有商业银行内部审计工作方法不能有效覆盖所有线上金融业务 目前,互联网技术在商业银行的业务中应用广泛,但在内部审计的应用尚且不够,主要还是沿用传统的现场审计方式来处理大量的互联网金融项目。因此,参与内部审计的人员的工作效率十分低下,而且繁重的手工工作量也无法适用于当前越来越复杂的互联网金融业务。并且,商业银行的内部审计大部分依赖于内部审计人员以纸质材料进行审计,并依赖于他们的经验性和专业性来保证内审结果的准确性,由此得到的内审结果的质量无法得到保障。大量的人工审计导致了商业银行在内部审计浪费了大量的人力、物力,但是其内部审计工作却并不能有效应对互联网金融时代的风险。再者,商业银行内部审计项目包括:资产业务、负债审计、支付结算业务审计、所有者权益及损益审计等,其中资产审计又以贷款项目为重点。目前商业银行的线上信贷业务多并且资金分散,涉及的单位及个人数量多并且存在不同银行之间跨银行、不同地区之间跨区域等问题,导致商业银行互联网金融项目多而散,内部审计部门难以清晰定位如何对这些项目进行审计,传统的审计手段已经难以完全覆盖线上业务。 (三)商业银行未有效建立内部审计复合型人才体系 互联网金融时代的商业银行内部审计人员,应该是至少具备财务、审计、法律和计算机等相关专业知识的复合型专业人才,而目前商业银行内部审计人员大多数来自业务或者财务部门,相关专业技术得不到保障。商业银行主要招聘人员集中于业务部门和管理部门,对内部审计的团队没有有效重视,但是针对内部审计的专业人才的招聘与培训制度,系商业银行构建完善内部审计人才库保障,也是影响内部审计在商业银行内部发展的关键因素。商业银行内部审计人才的匮乏一方面源于以前从事传统审计业务的内部审计人员没有进行知识更新与系统培训,不具备适应互联网金融时代的工作能力。同时,内部审计工作未引起银行管理层的重视,大多数内部审计人员属于内部兼职而非独立的审计人员,导致他们的薪酬待遇和晋升通道与内部审计工作没有直接的相关性,导致高层次的复合型专业人才无法得到有效的利用,使得内部审计部门无法获得所需要的财务、审计、计算机技术等方面的复合型专业人才,而内部审计工作也无法得到有效提升。 (四)商业银行内部审计信息安全环节较为薄弱 众所周知信息安全是互联网金融时代的重中之重,如果一家商业银行不能很好地保护客户的信息安全,将会对其经营造成严重的影响甚至被依法起诉至人民法院接受法律的惩罚。在传统金融时代,商业银行的信息以银行内部网络的形式得到有效保护,但是在互联网金融时代,商业银行的业务数据存储于互联网平台,数据信息泄露的风险源于互联网的开放性。同时,大部分商业银行内部控制以经营为主,对于安全监管较为薄弱。互联网金融业务包括移动金融、网络理财、第三方支付、企业网络融资等新应用的出现,使商业银行互联网业务增加,出现了更多需要防范风险的地方,不仅给商业银行带来了技术安全问题,还出现了业务方面的安全隐患,传统的内部审计信息安全风险评估方法已难以适应。究其原因是商业银行的网络安全体系建设并未纳入其整体发展中考虑,导致业务发展与业务风险管理脱节。同时,为应对市场上不同客户的各种需求和精细化服务,商业银行在构建线上业务部门、实施内部控制管理、拓展新的业务等方面不断进行创新,但是内部审计对于客户信息的监管并没有有效加强。其原因在于互联网金融时代的客户数据来源非常广泛,互联网信息的共享度与透明度的大幅提升给信息安全监管带来了消极的影响。