作为现代经济的核心,金融业的数字化转型既是数字中国建设的重要组成部分,也是自身高质量发展的必然选择。在长期坚持数字化发展的基础上,中国工商银行(以下简称“工商银行”)于2022年推出了全新的集团数字化品牌——“数字工行”(D-ICBC),加快重塑业务、管理和运营模式,倾力打造科技强行、数字工行。 数字银行建设是一项全局性、战略性工作。一方面,银行必须遵守相关金融政策和监管要求,既要确保转型创新得到有效支持、与整个金融生态体系协调发展,也要切实防控潜在风险。另一方面,数字银行建设是跨部门、跨领域的系统工程,必须通盘考虑、做好协同、统筹推进。内部审计作为公司治理体系的重要组成部分,在数字银行建设特别是风险管理中具有不可替代的重要作用。 加快数字化转型,是金融服务中国式现代化的重要结合点和关键着力点。在数字银行建设征程中,内部审计应开拓创新、积极作为,更好地以审计力量、金融力量服务中国式现代化,不断发挥更大的作用和价值。 金融监管对数字化转型和风险管理的要求 近年来,监管部门对商业银行数字化转型和风险管理提出了一系列意见和要求;同时,监管部门对商业银行的信息科技风险也有着系统、严格的规定。它们共同构成了商业银行在数字化转型背景下所面临的监管体系。 (一)对商业银行数字化转型的要求 2022年1月,《关于银行业保险业数字化转型的指导意见》印发,这是原银保监会出台的关于银行业保险业数字化转型的首份专门文件,强调数字化转型要坚持自上而下、整体统筹、价值导向,要求到2025年银行业保险业数字化转型取得明显成效。实际上,监管部门一以贯之重视和推动银行业数字化转型,如2020年1月印发的《关于推动银行业和保险业高质量发展的意见》,明确指出要充分运用人工智能、大数据等新兴技术,改进服务质量,降低服务成本,强化业务管理。 监管部门既关注数字化转型的推进,也高度关注转型风险,要求将数字化转型相关风险纳入银行全面风险管理体系,重点关注业务战略风险、模型算法风险和数据安全风险等。 (二)对商业银行信息科技风险管理的要求 在我国银行业信息化、数字化发展进程中,监管部门对商业银行的信息科技风险形成了系统、严格的监管体系。进入数字银行建设新阶段,商业银行的信息科技能力和信息科技风险管理能力将面临更高的挑战。 据统计,人民银行、原银保监会等金融监管部门及中央网信办、工业和信息化部、公安部、市场监管总局等部委对商业银行信息科技领域的主要监管要求有50余项,其中20余项明确要求内部审计部门应开展相应审计,主要关注重点包括信息安全、业务连续性、外包、电子银行安全、突发事件应急管理等。 近年来,随着金融科技发展和风险场景变化,监管部门对业务线上化、模型和算法应用、数据安全和数据保护、移动互联网应用程序(App)等领域加强了关注,提出了新的管理和审计要求。 内部审计在数字银行建设中的作用 2004年底,工商银行设立内部审计局,由该局信息科技审计处专职承担集团信息科技审计职责。经过十余年稳健发展,围绕“防风险、促发展”两大主题,银行信息科技审计团队构建了较为完整、科学的信息科技审计方法论,形成了较为系统、综合的审计产品体系,审计工作取得了很好的成效。 (一)信息科技风险防控方面 始终坚持集团风险管理“第三道防线”定位,严格落实监管要求,充分利用有限的信息科技审计资源,实现了对领域、机构、条线和风险的最优化覆盖,如图1所示。 审计领域覆盖方面。以《商业银行信息科技风险管理指引》相关规定为主要框架,以三年为周期统筹考虑和安排各年度审计项目计划,实现对信息科技各领域的全面、系统、周期性覆盖。具体包括四个主要审计领域:一是科技管理领域,包括信息科技治理、信息科技风险管理、信息安全、信息系统开发测试和维护、信息科技运行、业务连续性管理、外包等;二是数据治理领域,包括数据智能应用、监管标准化数据(EAST)等;三是信息保护领域,包括个人客户信息、征信信息等;四是重要业务系统,包括电子银行系统、线上业务系统等。三年审计周期覆盖了上述审计领域的各子领域。 审计机构覆盖方面。随着集团综合化和国际化发展,科技风险跨界、跨境传播的可能性逐渐提升。因此,信息科技审计范围也从科技中心、境内分行延伸至境外机构、利润中心、综合化子公司,审计视图更加完整。从2019年起,实现了全部境内分行三年全覆盖;2021年,进一步提出对综合化子公司、利润中心、重点境外机构每三年覆盖一次的目标;2023年起,根据监管对“异地双非”机构的覆盖要求,审计还将覆盖由总行金融科技部门、网络金融部门管理的13家“异地双非”机构。
审计条线覆盖方面。近年来,除金融科技外,新增对网络金融、管理信息条线的审计职责。审计坚持“第三道防线”定位,分别针对三个条线所承担的全行科技管理、网络金融平台建设和数据治理等职责任务,依据相应监管要求开展审计,持续跟踪和关注科技、数据、平台、业务融合发展中的风险管控情况。