IT審計(jì)在商業(yè)銀行數(shù)字化轉(zhuǎn)型中的作用和價(jià)值

童杰 王加冕

[摘要]商業(yè)銀行數(shù)字化轉(zhuǎn)型不僅是技術(shù)的變革，更是組織模式和經(jīng)營(yíng)方式的重塑。本文對(duì)銀行內(nèi)部審計(jì)部門如何發(fā)揮風(fēng)險(xiǎn)防控的重要作用、在數(shù)字化轉(zhuǎn)型中如何發(fā)揮更大價(jià)值進(jìn)行探討，并提出商業(yè)銀行數(shù)字化轉(zhuǎn)型審計(jì)框架和分行轉(zhuǎn)型落地評(píng)估指標(biāo)框架。

[關(guān)鍵詞]銀行數(shù)字化轉(zhuǎn)型 ? ?IT審計(jì) ? 內(nèi)部審計(jì) ? 風(fēng)險(xiǎn)

一、商業(yè)銀行數(shù)字化轉(zhuǎn)型的背景和形勢(shì)

當(dāng)前，數(shù)字經(jīng)濟(jì)蓬勃發(fā)展，加速成為繼農(nóng)業(yè)經(jīng)濟(jì)、工業(yè)經(jīng)濟(jì)之后的新經(jīng)濟(jì)形態(tài)。金融是現(xiàn)代經(jīng)濟(jì)的核心，金融業(yè)數(shù)字化轉(zhuǎn)型是數(shù)字經(jīng)濟(jì)、數(shù)字中國(guó)建設(shè)的重要組成部分，也是金融業(yè)高質(zhì)量發(fā)展的必然選擇。2022年，人民銀行、原銀保監(jiān)會(huì)分別出臺(tái)了《金融科技發(fā)展規(guī)劃（2022—2025年）》《關(guān)于銀行業(yè)保險(xiǎn)業(yè)數(shù)字化轉(zhuǎn)型的指導(dǎo)意見》，明確了金融數(shù)字化轉(zhuǎn)型的總體思路和發(fā)展目標(biāo)，體現(xiàn)了監(jiān)管機(jī)構(gòu)對(duì)金融業(yè)數(shù)字化轉(zhuǎn)型發(fā)展的高度關(guān)注，為數(shù)字化轉(zhuǎn)型提供有力指導(dǎo)。

商業(yè)銀行運(yùn)作高度依賴科技系統(tǒng)和數(shù)據(jù)應(yīng)用，數(shù)字技術(shù)既是銀行業(yè)務(wù)開展的重要支撐，也是滿足銀行對(duì)業(yè)務(wù)連續(xù)性、信息安全極高要求的必要手段。數(shù)字化并不是全新命題，但隨著數(shù)字技術(shù)的變革，技術(shù)已不僅是“后臺(tái)支撐”，而是正向“前臺(tái)賦能”方向發(fā)展；隨著數(shù)據(jù)價(jià)值的顯現(xiàn)，數(shù)據(jù)也從“資源”向“資產(chǎn)”轉(zhuǎn)變。商業(yè)銀行已全面邁入數(shù)字化轉(zhuǎn)型發(fā)展階段。

數(shù)字化轉(zhuǎn)型的本質(zhì)是以“數(shù)據(jù)、技術(shù)”雙要素驅(qū)動(dòng)，加速業(yè)務(wù)模式和管理模式的創(chuàng)新和重塑，以有效提高價(jià)值創(chuàng)造能力。通過數(shù)字化轉(zhuǎn)型，商業(yè)銀行自身將實(shí)現(xiàn)企業(yè)級(jí)轉(zhuǎn)型升級(jí)和高質(zhì)量發(fā)展，進(jìn)一步提升客戶服務(wù)水平和客戶體驗(yàn)，提高金融服務(wù)中國(guó)式現(xiàn)代化水平。

以工商銀行為例。工商銀行黨委始終重視和堅(jiān)持?jǐn)?shù)字化發(fā)展理念，通過實(shí)現(xiàn)“數(shù)據(jù)大集中”“兩地三中心”等重大科技創(chuàng)新，奠定和鞏固了在國(guó)內(nèi)同業(yè)中的科技領(lǐng)先優(yōu)勢(shì)。2017年，工行啟動(dòng)智慧銀行信息系統(tǒng)轉(zhuǎn)型工程（ECOS），標(biāo)志著進(jìn)入金融與科技高度融合的新發(fā)展階段。目前，工商銀行已正式發(fā)布“數(shù)字工行（D-ICBC）”品牌，依托海量的“數(shù)字資產(chǎn)”、領(lǐng)先的“數(shù)字技術(shù)”、扎實(shí)的“數(shù)字基建”、鮮明的“數(shù)字基因”，積極構(gòu)建金融與產(chǎn)業(yè)、民生、政務(wù)緊密融合的“數(shù)字生態(tài)”，不斷提升金融服務(wù)的適應(yīng)性、競(jìng)爭(zhēng)力、普惠性，以數(shù)字化轉(zhuǎn)型的新作為，提升金融服務(wù)中國(guó)式現(xiàn)代化水平。

二、風(fēng)險(xiǎn)視角下的商業(yè)銀行數(shù)字化轉(zhuǎn)型

創(chuàng)新與風(fēng)險(xiǎn)始終相伴而生。商業(yè)銀行數(shù)字化轉(zhuǎn)型不僅是技術(shù)的變革與重構(gòu)，更是對(duì)組織模式、經(jīng)營(yíng)方式和企業(yè)文化的重塑，必須防范風(fēng)險(xiǎn)。從風(fēng)險(xiǎn)視角來看，主要面臨以下幾個(gè)方面的挑戰(zhàn)。

一是必須堅(jiān)持守正創(chuàng)新，防范數(shù)字化轉(zhuǎn)型戰(zhàn)略風(fēng)險(xiǎn)。商業(yè)銀行數(shù)字化轉(zhuǎn)型必須把數(shù)字化轉(zhuǎn)型工作著力點(diǎn)放在服務(wù)實(shí)體經(jīng)濟(jì)上，聚焦經(jīng)濟(jì)發(fā)展重點(diǎn)領(lǐng)域和薄弱環(huán)節(jié)，不斷提升服務(wù)人民美好生活的能力和水平。因此，商業(yè)銀行數(shù)字化轉(zhuǎn)型必須支持和賦能全行重點(diǎn)戰(zhàn)略推進(jìn)落地。

二是國(guó)家已構(gòu)建較為完善的數(shù)字治理體系，為商業(yè)銀行合法合規(guī)建立了更高標(biāo)準(zhǔn)。我國(guó)已頒布施行網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、個(gè)人信息保護(hù)法，為數(shù)字經(jīng)濟(jì)發(fā)展設(shè)定了總體法制框架；《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《數(shù)據(jù)出境安全評(píng)估辦法》等法規(guī)，也對(duì)銀行合規(guī)提出更高要求。此外，國(guó)家對(duì)平臺(tái)經(jīng)濟(jì)管理、金融企業(yè)風(fēng)險(xiǎn)防范高度重視。因此，大型商業(yè)銀行在滿足合法合規(guī)要求方面，更需認(rèn)真對(duì)標(biāo)、做好引領(lǐng)。

三是傳統(tǒng)IT風(fēng)險(xiǎn)和技術(shù)轉(zhuǎn)型風(fēng)險(xiǎn)交叉疊加。從系統(tǒng)層面看，伴隨著開放平臺(tái)架構(gòu)的持續(xù)推進(jìn)、云化環(huán)境的快速應(yīng)用，商業(yè)銀行IT基礎(chǔ)設(shè)施的復(fù)雜性持續(xù)增加；疊加技術(shù)選型和技術(shù)路線的復(fù)雜性，IT風(fēng)險(xiǎn)不容小覷。從應(yīng)用層面看，消費(fèi)者對(duì)銀行數(shù)字化的要求逐漸從“要功能”向“要體驗(yàn)”轉(zhuǎn)變，銀行在通過技術(shù)創(chuàng)新和優(yōu)化滿足客戶需求過程中，也會(huì)引入和形成相應(yīng)風(fēng)險(xiǎn)。因此，如何更好實(shí)現(xiàn)技術(shù)轉(zhuǎn)型、提升客戶體驗(yàn)，同時(shí)滿足商業(yè)銀行對(duì)業(yè)務(wù)連續(xù)性、信息安全的極致要求，是一項(xiàng)艱巨的挑戰(zhàn)。

四是業(yè)務(wù)模式創(chuàng)新、管理模式重塑蘊(yùn)含風(fēng)險(xiǎn)。銀行數(shù)字化轉(zhuǎn)型是業(yè)務(wù)模式和管理模式的創(chuàng)新和重塑，必須對(duì)相應(yīng)風(fēng)險(xiǎn)進(jìn)行有效識(shí)別、管理和控制，同時(shí)要關(guān)注創(chuàng)新業(yè)務(wù)的合規(guī)性。無論是業(yè)務(wù)渠道由線下變?yōu)榫€上、業(yè)務(wù)時(shí)效由非實(shí)時(shí)變?yōu)閷?shí)時(shí)，還是一些產(chǎn)品的組合連接、某些流程環(huán)節(jié)的精簡(jiǎn)省略，都增加了風(fēng)險(xiǎn)敞口。特別是，隨著銀行生態(tài)化、場(chǎng)景化、開放化建設(shè)的推進(jìn)，銀行與大量第三方互聯(lián)互通，極大擴(kuò)展了易受攻擊的脆弱面。因此，商業(yè)銀行業(yè)務(wù)與科技的融合不僅要體現(xiàn)在創(chuàng)新過程中，也必須貫穿風(fēng)險(xiǎn)控制實(shí)踐。

五是數(shù)字化風(fēng)控能力必須與數(shù)字化能力同步建設(shè)?！蛾P(guān)于銀行業(yè)保險(xiǎn)業(yè)數(shù)字化轉(zhuǎn)型的指導(dǎo)意見》明確提出，著力加強(qiáng)數(shù)字化風(fēng)控能力建設(shè)。商業(yè)銀行應(yīng)當(dāng)積極應(yīng)用數(shù)字化手段，提高風(fēng)控效率和自動(dòng)化水平，特別是加強(qiáng)在資產(chǎn)質(zhì)量等量化風(fēng)控領(lǐng)域的應(yīng)用。因此，商業(yè)銀行應(yīng)該建立與數(shù)字化發(fā)展水平相適應(yīng)的數(shù)字化、智能化風(fēng)控管理體系，不斷強(qiáng)化“以數(shù)防險(xiǎn)”能力。

三、IT審計(jì)在商業(yè)銀行數(shù)字化轉(zhuǎn)型中的作用

隨著商業(yè)銀行數(shù)字化轉(zhuǎn)型的推進(jìn)，新的風(fēng)險(xiǎn)將不斷顯現(xiàn)，對(duì)商業(yè)銀行持續(xù)穩(wěn)健經(jīng)營(yíng)帶來挑戰(zhàn)。同時(shí)，數(shù)字化轉(zhuǎn)型過程中的戰(zhàn)略風(fēng)險(xiǎn)、合規(guī)風(fēng)險(xiǎn)也需進(jìn)行管理和監(jiān)控。商業(yè)銀行內(nèi)部審計(jì)部門應(yīng)當(dāng)積極主動(dòng)應(yīng)對(duì)、系統(tǒng)性開展工作，為防范化解相關(guān)風(fēng)險(xiǎn)、促進(jìn)銀行高質(zhì)量發(fā)展發(fā)揮重要、獨(dú)特的價(jià)值。

自工商銀行IT審計(jì)團(tuán)隊(duì)成立起便承擔(dān)起全行信息科技風(fēng)險(xiǎn)防范的重要職責(zé)。經(jīng)過十幾年的發(fā)展，團(tuán)隊(duì)逐漸實(shí)現(xiàn)體系化、規(guī)范化、專業(yè)化運(yùn)作，為全行信息科技風(fēng)險(xiǎn)防范發(fā)揮了重要作用，并在數(shù)字銀行相關(guān)領(lǐng)域開展了有益探索。

一是滿足境內(nèi)外監(jiān)管對(duì)商業(yè)銀行IT風(fēng)險(xiǎn)的審計(jì)要求。目前與IT審計(jì)有關(guān)的境內(nèi)監(jiān)管要求有20余項(xiàng)，絕大部分要求以1—3年為周期定期開展；監(jiān)管部門要求IT審計(jì)要實(shí)現(xiàn)機(jī)構(gòu)、系統(tǒng)、項(xiàng)目三方面的全覆蓋。這些要求都是對(duì)商業(yè)銀行開展信息科技監(jiān)管評(píng)級(jí)的重要內(nèi)容。各境外機(jī)構(gòu)監(jiān)管方也對(duì)IT審計(jì)提出不同要求。近年來，通過以三年為項(xiàng)目周期開展工作，工商銀行IT審計(jì)團(tuán)隊(duì)順利完成工作任務(wù)，對(duì)內(nèi)揭示及防范風(fēng)險(xiǎn)，對(duì)外高質(zhì)量滿足監(jiān)管要求。

二是對(duì)管理信息、網(wǎng)絡(luò)金融條線及線上業(yè)務(wù)系統(tǒng)開展審計(jì)。工商銀行管理信息、網(wǎng)絡(luò)金融條線分別負(fù)責(zé)數(shù)字化轉(zhuǎn)型中的數(shù)據(jù)和平臺(tái)工作。近年來，工商銀行IT審計(jì)團(tuán)隊(duì)相應(yīng)開展數(shù)據(jù)治理、數(shù)據(jù)應(yīng)用、網(wǎng)絡(luò)金融安全等方面的審計(jì)。針對(duì)業(yè)務(wù)線上化趨勢(shì)，IT審計(jì)團(tuán)隊(duì)每年選取重要線上業(yè)務(wù)系統(tǒng)，對(duì)其應(yīng)用控制情況開展審計(jì)，揭示一些重要的系統(tǒng)控制問題。

三是擴(kuò)展審計(jì)邊界，服務(wù)全行戰(zhàn)略。近年來，隨著銀行科技管理的逐步細(xì)化完善，發(fā)生大型生產(chǎn)事件的可能性逐年下降，而數(shù)字化轉(zhuǎn)型的落地情況亟須關(guān)注，轉(zhuǎn)型質(zhì)效尚待評(píng)價(jià)，轉(zhuǎn)型風(fēng)險(xiǎn)日漸突出。工商銀行IT審計(jì)團(tuán)隊(duì)及時(shí)將審計(jì)邊界擴(kuò)展到新技術(shù)應(yīng)用、模型風(fēng)險(xiǎn)、開放銀行和生態(tài)銀行等方面，開展一系列項(xiàng)目，取得較好成效，為行領(lǐng)導(dǎo)決策和推動(dòng)改進(jìn)提供有益參考。

四、對(duì)數(shù)字化轉(zhuǎn)型中IT審計(jì)價(jià)值創(chuàng)造的思考

目前，隨著銀行改革轉(zhuǎn)型進(jìn)入深水區(qū)，數(shù)字賦能戰(zhàn)略落地和業(yè)務(wù)發(fā)展以及數(shù)字化營(yíng)銷和風(fēng)控等方面的進(jìn)展和情況受到各利益相關(guān)方高度關(guān)注。根據(jù)未來發(fā)展要求，IT審計(jì)應(yīng)進(jìn)一步加大對(duì)銀行數(shù)字化轉(zhuǎn)型的審計(jì)力度，科學(xué)探究審計(jì)思路與方法，逐步研究建立科學(xué)、有效、敏捷的審計(jì)實(shí)務(wù)體系，為商業(yè)銀行數(shù)字化轉(zhuǎn)型、統(tǒng)籌發(fā)展與安全發(fā)揮更大價(jià)值。

（一）研究建立數(shù)字化轉(zhuǎn)型審計(jì)框架，對(duì)全行數(shù)字化轉(zhuǎn)型情況進(jìn)行系統(tǒng)評(píng)價(jià)

如何整合銀行在科技、數(shù)據(jù)、平臺(tái)等領(lǐng)域的優(yōu)勢(shì)，形成更大合力，是數(shù)字化轉(zhuǎn)型的一個(gè)重要課題。工商銀行提出業(yè)務(wù)與科技要“煲湯式”融合。內(nèi)部審計(jì)應(yīng)當(dāng)發(fā)揮審計(jì)全面視角站位優(yōu)勢(shì)，有機(jī)融合對(duì)各條線、各層級(jí)、各機(jī)構(gòu)的審計(jì)關(guān)注，揭示體制機(jī)制、部門協(xié)作、運(yùn)營(yíng)生態(tài)、流程痛點(diǎn)等方面的問題。

工商銀行IT審計(jì)團(tuán)隊(duì)結(jié)合本行實(shí)際，大量研究國(guó)內(nèi)外監(jiān)管機(jī)構(gòu)的監(jiān)管框架和研究機(jī)構(gòu)的研究成果，提出“治理能力、業(yè)務(wù)能力、數(shù)據(jù)能力、科技能力、風(fēng)控能力”五個(gè)能力審計(jì)評(píng)價(jià)框架。對(duì)于每個(gè)能力，都從層級(jí)（縱向）和條線（橫向）兩個(gè)維度進(jìn)行“穿透式”“融合式”關(guān)注。該框架如表1所示。

應(yīng)用“五個(gè)能力”審計(jì)評(píng)價(jià)框架，工商銀行IT審計(jì)團(tuán)隊(duì)開展專項(xiàng)審計(jì)項(xiàng)目，揭示了體制機(jī)制、生態(tài)建設(shè)等方面的問題，審計(jì)工作得到行領(lǐng)導(dǎo)高度評(píng)價(jià)。

（二）建立分行轉(zhuǎn)型落地評(píng)估指標(biāo)框架，實(shí)現(xiàn)對(duì)各分行數(shù)字化轉(zhuǎn)型情況的評(píng)價(jià)與跟蹤

分行是銀行的一線經(jīng)營(yíng)機(jī)構(gòu)，是接觸客戶、服務(wù)客戶的前沿陣地?？傂袛?shù)字化轉(zhuǎn)型戰(zhàn)略只有在分行扎實(shí)落地，才能實(shí)現(xiàn)客戶好評(píng)、基層有感。

因此，工商銀行IT審計(jì)團(tuán)隊(duì)探索構(gòu)建了“科技要素、數(shù)據(jù)要素、平臺(tái)要素、業(yè)務(wù)要素、治理要素”五要素分行數(shù)字銀行畫像指標(biāo)體系（如表2所示）。

2023年，工商銀行IT審計(jì)團(tuán)隊(duì)將首批對(duì)9家分行數(shù)字化轉(zhuǎn)型情況進(jìn)行評(píng)估評(píng)價(jià)，后續(xù)對(duì)其他分行滾動(dòng)開展。通過對(duì)分行數(shù)字化轉(zhuǎn)型情況進(jìn)行評(píng)價(jià)和持續(xù)跟蹤，促進(jìn)各機(jī)構(gòu)迭代提升數(shù)字化轉(zhuǎn)型效能、更好實(shí)現(xiàn)高質(zhì)量發(fā)展，也為行領(lǐng)導(dǎo)決策提供客觀參考。

加快數(shù)字化轉(zhuǎn)型，是金融業(yè)服務(wù)中國(guó)式現(xiàn)代化的重要結(jié)合點(diǎn)和關(guān)鍵著力點(diǎn)。面對(duì)新形勢(shì)、新任務(wù)，商業(yè)銀行IT審計(jì)應(yīng)開拓創(chuàng)新、擔(dān)當(dāng)作為，不斷優(yōu)化項(xiàng)目組織，持續(xù)提升審計(jì)質(zhì)效，為銀行高質(zhì)量發(fā)展發(fā)揮更大的作用和價(jià)值。

（作者單位：中國(guó)工商銀行總行內(nèi)部審計(jì)局，郵政編碼：100140，電子郵箱：tongjie@icbc.com.cn）