黃紀憲 林躍武 申存曄 李鋒 高魯娟 顧智慧

[摘要]本文論述了商業(yè)銀行合規(guī)風險新的表現(xiàn)特征及其管控的重要性，合規(guī)風險審計理念在戰(zhàn)略協(xié)同、風險預見等方面的發(fā)展變化，合規(guī)風險的內(nèi)部審計模式，合規(guī)風險內(nèi)部審計對持續(xù)監(jiān)測、數(shù)據(jù)挖掘等信息技術的應用等，旨在為商業(yè)銀行內(nèi)部審計聚焦合規(guī)風險、實現(xiàn)持續(xù)監(jiān)管合規(guī)尋求和提供解決方案。

[關鍵詞]商業(yè)銀行 ? ?合規(guī)風險 ? ?內(nèi)部審計

一、商業(yè)銀行合規(guī)風險的重要性空前顯現(xiàn)

《商業(yè)銀行合規(guī)風險管理指引》將合規(guī)風險界定為：商業(yè)銀行因沒有遵循法律、規(guī)則和準則可能遭受法律制裁、監(jiān)管處罰、重大財務損失和聲譽損失的風險。隨著近年來國家金融監(jiān)管體系的變革和新時期金融監(jiān)管政策的影響，銀行業(yè)所面臨的合規(guī)風險呈現(xiàn)出深刻變化。

（一）金融業(yè)高度關注合規(guī)風險

防范和化解重大風險——主要是金融風險，是決勝全面建成小康社會三大攻堅戰(zhàn)的首要戰(zhàn)役。2017年，國家對重點領域風險防范和處置——治亂象、去杠桿、嚴處罰、守本源、整治違法違規(guī)行為，成為合規(guī)性要求的主要關注點。無論是全口徑監(jiān)管、跨市場監(jiān)管，還是功能性監(jiān)管、穿透性監(jiān)管，實質(zhì)都是監(jiān)管要求的不斷深化，監(jiān)管薄弱環(huán)節(jié)、風險高危環(huán)節(jié)正被迅速整治。

（二）商業(yè)銀行合規(guī)風險復雜多元

商業(yè)銀行的合規(guī)風險呈現(xiàn)出不同監(jiān)管環(huán)境下不同監(jiān)管主體、不同監(jiān)管領域、不同監(jiān)管要求的多元分布。當前金融監(jiān)管主要框架為：人民銀行主要監(jiān)管貨幣政策執(zhí)行、反洗錢等領域;銀保監(jiān)會主要實施微觀審慎及行為監(jiān)管;證監(jiān)會主要監(jiān)管上市商業(yè)銀行合規(guī)性。此外，商業(yè)銀行需符合財政部、發(fā)改委、外管局等多個部門在各自領域的政策合規(guī)要求。在監(jiān)管體系職能厘定明晰的大趨勢下，商業(yè)銀行必須意識到原先所謂的監(jiān)管交叉、監(jiān)管空白將不復存在，必須充分重視交叉領域的合規(guī)風險。

（三）合規(guī)風險處罰日趨嚴厲

監(jiān)管機構(gòu)以最嚴違規(guī)懲治強化監(jiān)管格局，“雙罰”（處罰違規(guī)機構(gòu)和責任人員）原則充分顯現(xiàn)，銀行業(yè)罰單出現(xiàn)井噴。2018年僅前三個月共處罰銀行業(yè)、保險業(yè)機構(gòu)646家次，罰沒合計11.58億元;處罰責任人員798人次，罰款合計2861.85萬元;責令停止接受新業(yè)務12家次;取消任職資格及禁止從業(yè)107人。處罰力度明顯加大，億元罰單屢現(xiàn)，最高記錄為廣發(fā)銀行因“僑興債”事件被罰沒7.22億元，占其當年凈利潤的7%，可見合規(guī)風險已經(jīng)成為商業(yè)銀行經(jīng)營表現(xiàn)和市場聲譽難以承受之重。

（四）境外機構(gòu)合規(guī)風險與政治因素交織

跨國銀行多有被監(jiān)管處罰的經(jīng)歷，如巴黎銀行曾因洗錢被罰89億美元，蘇格蘭皇家銀行曾因銷售債券存在虛假和誤導被罰55億美元等。中資銀行走向世界后，也越來越多地受到駐在國監(jiān)管關注，2016年以來多家境外機構(gòu)受到監(jiān)管處罰。如2018年3月工商銀行紐約分行接到美聯(lián)儲禁止令，其中要求基于美國銀行保密法和反洗錢規(guī)定在公司治理和管理監(jiān)督、合規(guī)性方案等方面采取積極措施，并提交一專項內(nèi)部審計計劃，經(jīng)美聯(lián)儲認可后正式實施。在當前中美貿(mào)易氣氛凝重的形勢下，境外監(jiān)管處罰事實上也受到大國關系、政治走向等多重因素的影響。這也表明內(nèi)部審計是尋求駐在國監(jiān)管合規(guī)的重要環(huán)節(jié)。

上述情況表明，合規(guī)風險已成為內(nèi)部審計不容忽視的課題。但是，現(xiàn)有商業(yè)銀行的內(nèi)部審計對合規(guī)風險理論框架研究發(fā)展相對滯后，對合規(guī)風險的認識聚焦、審計實踐和方法創(chuàng)新尚不夠完善，呈現(xiàn)出風險識別滯后、制度管理缺失、區(qū)域風險失控等難點，要求內(nèi)部審計重新審視工作出發(fā)點，更新理念，為有效控制合規(guī)風險進行新的探索實踐。

二、合規(guī)風險內(nèi)部審計理念的新變化

商業(yè)銀行合規(guī)風險內(nèi)部審計理念和規(guī)定主要基于銀保監(jiān)會系列指引文件，如《商業(yè)銀行合規(guī)風險管理指引》《銀行業(yè)金融機構(gòu)全面風險管理指引》《商業(yè)銀行內(nèi)部審計指引》等，明確合規(guī)管理是商業(yè)銀行一項核心的風險管理活動，更是銀行構(gòu)建全面風險管理體系的基礎和核心，并對涉及合規(guī)風險的內(nèi)部審計提出了基本要求。在秉承這些基本審計理念和要求的同時，也應該看到制度規(guī)范形成較早而客觀形勢已發(fā)生重大變遷。解決新問題需要新理念，商業(yè)銀行需要更新以下合規(guī)風險內(nèi)部審計理念。

（一）強化內(nèi)部審計的戰(zhàn)略協(xié)同

隨著國內(nèi)商業(yè)銀行監(jiān)管新規(guī)的不斷出臺，如治理政府隱性負債、規(guī)范資產(chǎn)管理業(yè)務等，商業(yè)銀行經(jīng)營受到重大影響。內(nèi)部審計應及時充分地提供監(jiān)管視角，審視受到監(jiān)管政策沖擊的業(yè)務領域，評估監(jiān)管政策與銀行內(nèi)部政策差異，揭示存在的違規(guī)問題和涉及的業(yè)務規(guī)模，并提出可行的高價值建議。在此過程中，內(nèi)部審計已經(jīng)不僅是傳統(tǒng)的第三道風險防線，而是具有高度戰(zhàn)略協(xié)同能力的建言者。

（二）強化內(nèi)部審計的風險前瞻

內(nèi)部審計活動多采用問題導向或問題視角，即從出現(xiàn)的問題出發(fā)，尋找解決問題的手段，以事后防范風險為主。而對于合規(guī)風險，銀行內(nèi)部審計則更應秉承政策導向，著重審視外部政策和現(xiàn)行業(yè)務的差異，在最終商業(yè)風險還沒有充分顯現(xiàn)之前作出風險前瞻提示和預防。正如《國際內(nèi)部審計專業(yè)實務框架》提出的內(nèi)部審計應“提供客觀的確認、建議和洞見”，內(nèi)審人員應“富有見解、積極主動，并具有前瞻性”，從而使內(nèi)部審計更加關注未來的風險，也對內(nèi)部審計洞見未來的能力提出更高要求。

（三）準確理解監(jiān)審聯(lián)動要求

隨著監(jiān)審聯(lián)動顯著增加，商業(yè)銀行不僅將年度內(nèi)部審計計劃報銀保監(jiān)會備案并根據(jù)要求增列項目，同時各地方銀監(jiān)局均明確要求轄內(nèi)銀行機構(gòu)例行抄送指定領域內(nèi)的內(nèi)部審計報告，更有部分地方銀監(jiān)局要求內(nèi)部審計對其指定領域進行專項審計并直接提交報告，因此，內(nèi)部審計服務已經(jīng)不局限于銀行自身層面，服務監(jiān)管機構(gòu)并“推動國家有關經(jīng)濟金融法律法規(guī)和監(jiān)管規(guī)則的有效落實”這一內(nèi)部審計目標正在被加強。為滿足該類審計意圖，內(nèi)部審計需要突出監(jiān)管要求，對于審計底稿、風險矩陣、內(nèi)審報告的設計應有效披露監(jiān)管機構(gòu)希望獲取的關鍵信息。

（四）審慎把控相關審計風險

審計風險是指因?qū)徲嫵绦蛭茨懿煊X出監(jiān)管要求執(zhí)行過程中存在的重大問題或者錯報，導致審計發(fā)表不恰當意見的可能性。如浦發(fā)銀行成都分行違規(guī)放貸案件中，審計部門對其長期不良貸款為零指標異常、考核激勵機制不當、輪崗制度執(zhí)行不力、對監(jiān)管部門提示風險不重視等問題失察，導致重大審計風險。內(nèi)部審計應充分認識審計風險的可能來源，如獨立性可能受到被審計業(yè)務領域既有經(jīng)營模式巨大利益的影響;審計依據(jù)的監(jiān)管政策持續(xù)更新或把握度不夠清晰;被審計單位存在內(nèi)部人控制掩蓋真實情況等。內(nèi)部審計必須更加準確地把握監(jiān)管要求，設計縝密的審計程序，運用高效銳利的信息化工具，從而夯實內(nèi)部審計質(zhì)量基礎，準確揭示監(jiān)管政策的真實落實情況。

三、合規(guī)風險內(nèi)部審計模式探索

商業(yè)銀行合規(guī)風險內(nèi)部審計目標是在銀行合規(guī)風險管理框架基礎上，實現(xiàn)對合規(guī)風險的有效識別和管理;強化商業(yè)銀行合規(guī)管理的適當性和有效性，促進全面風險管理體系建設;保證國家有關經(jīng)濟金融法律法規(guī)、方針政策、監(jiān)管部門規(guī)章的貫徹執(zhí)行。因此，合規(guī)風險的內(nèi)部審計程序，應兼顧戰(zhàn)略站位、政策視角和服務監(jiān)管等特點。

（一）科學規(guī)劃審計資源，跨界配置審計人員

為滿足監(jiān)管規(guī)定審計項目快速增加和監(jiān)管跨界穿透傳統(tǒng)專業(yè)、地域劃分的趨勢，緩解有限的審計資源壓力，內(nèi)部審計在項目前期準備中精準規(guī)劃和配置資源顯得尤為重要。

按照內(nèi)部審計全年計劃或者大型審計項目對被審計單位全面畫像、審計內(nèi)容綜合嵌套的趨勢要求，審計方案規(guī)劃可采用運籌管理方法：確認各子項目之間存在的相互交叉關系;合理安排審計子項目入場、退場時點，抽調(diào)資源優(yōu)先保證關鍵路線上審計項目資源配置，最終實現(xiàn)審計資源高效分配和集約利用。

按審計主題實施審計人員跨界柔性配置。全面推行各專業(yè)部門相互交叉支持的工作理念和常態(tài)機制，按職能再分為模型支持組、非現(xiàn)場分析組、現(xiàn)場審計組等，從而將“單一兵種”升級為“航母編隊”，保障審計的專業(yè)深度和跨專業(yè)協(xié)同視野。

（二）加強項目政策準備，建立政策時序矩陣

厘定審計時點至被審計業(yè)務發(fā)生的最早時點，以此確定政策時間軸，并界定和梳理內(nèi)外部政策庫，確定政策時效性，從而在政策持續(xù)出臺完善的背景下，明確某項業(yè)務在不同時點的不同要求，如對政府融資類項目內(nèi)部審計，外部政策時序矩陣如圖1所示。

通過建立內(nèi)外部政策時間軸和時效要求矩陣，可以得到被審計業(yè)務因系列相關政策的出臺而呈現(xiàn)出相關政策要求在審計業(yè)務發(fā)生時段內(nèi)的連續(xù)性分布。審計人員據(jù)此可以對應業(yè)務及當時的政策要求及后續(xù)政策變化，客觀準確判斷當時業(yè)務的合規(guī)性和后續(xù)可能涉及的過渡期或整改要求。

（三）生成政策導向風險矩陣，覆蓋歸納主要風險表現(xiàn)

商業(yè)銀行合規(guī)風險內(nèi)部審計主要關注監(jiān)管政策要求和實際業(yè)務操作存在的顯著性差異，這是導致被監(jiān)管處罰的關鍵要素，同時由于銀行風險暴露滯后的特性，被審計業(yè)務在審計時點未必已經(jīng)產(chǎn)生實質(zhì)性風險或成為不良貸款，因此風險矩陣應按照政策導向原則生成。作出上述風險定義主要根據(jù)政策執(zhí)行不符點，而并不考慮該政策不符點是否已經(jīng)產(chǎn)生風險暴露，也不考慮其是否必然導致風險。

（四）開發(fā)完善審計風險模型，實施區(qū)域測試和抽樣校驗

審計人員根據(jù)風險表現(xiàn)形式，提煉風險特征，開發(fā)審計項目的配套模型。內(nèi)部審計通過風險模型篩查項目業(yè)務數(shù)據(jù)，呈現(xiàn)符合風險特征的具體業(yè)務視圖。例如，商業(yè)銀行個人住房貸款內(nèi)部審計，其中一風險點涉及監(jiān)管禁止的首付貸，開發(fā)風險模型為，“借款人首付款賬戶（或資金來源賬戶）在購房前后存在金額（或多筆合計金額）相同或基本相同、時間相近的借貸雙向交易”。在數(shù)據(jù)倉庫運行該風險模型，并選擇某省個人住房貸款為總體樣本，即可得到符合風險定義的業(yè)務全量，其中再行抽樣反饋可校驗模型精準度并進一步完善風險模型，從而大幅提高內(nèi)部審計的風險識別效率和能力。

（五）強化內(nèi)部審計現(xiàn)場取證，確保審計視角真實完整

審計人員加強審計底稿及審計視角的真實性和完整性判斷，并真正將其作為審計基礎。應該充分認識到銀行業(yè)在一定程度上存在著內(nèi)部人控制現(xiàn)象，也正由于經(jīng)營高管層長期掌握著被審計單位的控制權，具有采取更多手段規(guī)避審計監(jiān)督的能力。因此內(nèi)部審計應強化現(xiàn)場取證程序，包括：確保審計業(yè)務數(shù)據(jù)多重來源并比對其差異性及合理性;關注被審計單位政策要求了解程度低、補充資料拖延、上下級對同一問題表述存在顯著差異、業(yè)務邏輯違反常理等異常情況;重視其高增長部門、明星業(yè)務的發(fā)展質(zhì)量和經(jīng)營核算質(zhì)量等。審計人員對于關注到的風險異常情況，應及時報告并實施必要的程序，在梳理邏輯、查證依據(jù)的基礎上作出審計判斷。

（六）推廣審計成果運用，跟蹤落實問題整改

內(nèi)部審計對于發(fā)現(xiàn)的典型性、普遍性、傾向性問題，應及時摸清底數(shù)、準確界定、提出建議，為銀行決策層提供直觀的、準確的、系統(tǒng)的分析研究，這有利于從商業(yè)銀行信貸政策、風控制度、產(chǎn)品管理、業(yè)務流程等方面進行頂層設計并落實既有問題整改應對。大型商業(yè)銀行更可以將審計方案、風險模型、典型案例、問題建議等審計成果在不同地域或城市推廣應用，一方面有效節(jié)約審計資源投入，另一方面能以點及面提高合規(guī)風險的識別及管控，降低監(jiān)管處罰風險。

上述程序提供了基于單個項目合規(guī)風險的內(nèi)部審計解決方案，主要滿足評估政策偏離程度、查證主要存在問題、確認問題普遍性及根本原因，并就此落實整改、推廣審計運用。但是該審計模式仍然主要適用于特定區(qū)域或項目的合規(guī)風險這一中觀層面，解決大型商業(yè)銀行全轄范圍內(nèi)的合規(guī)風險必須增加中觀審計項目數(shù)量或者進一步提高審計效率和跨度，而這需要迅速發(fā)展的信息數(shù)據(jù)技術支持。

四、合規(guī)風險內(nèi)部審計技術應用

在當前強監(jiān)管周期下，內(nèi)部審計面臨高管層和外部監(jiān)管機構(gòu)對優(yōu)質(zhì)審計服務的需求大幅度提升和審計資源有限這一主要矛盾，該矛盾促使內(nèi)部審計轉(zhuǎn)向信息化發(fā)展，充分發(fā)揮信息技術在審計活動中的主導和引領作用，實現(xiàn)對合規(guī)風險的前瞻、全面、深入、持續(xù)的審計覆蓋。

（一）強化信息數(shù)據(jù)監(jiān)測，健全持續(xù)性審計機制

商業(yè)銀行的合規(guī)風險管理及相關的內(nèi)部審計是不斷持續(xù)、重復、動態(tài)的管理活動，其有效性依賴于高度信息化的持續(xù)性審計機制。

建立以數(shù)據(jù)為引導、以審計項目為核心、以持續(xù)監(jiān)測和專項分析為框架、以整改跟蹤為保障的持續(xù)性審計工作機制，通過持續(xù)審計覆蓋提高內(nèi)部審計的靈活性和前瞻性，及時關注業(yè)務發(fā)展快、環(huán)境變化快、社會影響大以及風險容易發(fā)生復合、交叉、異變的領域，實現(xiàn)對全行各級機構(gòu)和各類業(yè)務外部環(huán)境、產(chǎn)品創(chuàng)新、業(yè)務運營、風險狀況、系統(tǒng)建設等的全面關注，從而實現(xiàn)更寬廣的審計視野、更及時的審計響應、更精準的審計發(fā)現(xiàn)能力。

（二）探索全量數(shù)據(jù)挖掘技術，提升內(nèi)部審計質(zhì)效

傳統(tǒng)的內(nèi)部審計因時間和人力資源等因素限制往往更多依賴于抽樣分析，然后再從局部歸納到整體。事實上在審計數(shù)據(jù)樣本較大時抽樣歸納法的審計結(jié)論與總體存有一定偏離和局限性，其置信度難以控制，而商業(yè)銀行歷年積累的大數(shù)據(jù)，更需要強有力的洞察力去分析挖掘其中的優(yōu)質(zhì)信息資產(chǎn)。因此，內(nèi)部審計應積極運用基于審計項目總體并能將多種類型的海量數(shù)據(jù)進行整合分析的前沿數(shù)據(jù)分析挖掘技術，實現(xiàn)對更多非結(jié)構(gòu)化數(shù)據(jù)、迭代增長的數(shù)據(jù)集的分布式實時處理，支持審計人員進行立足于總體的審計，從根本上轉(zhuǎn)變以抽樣為主的傳統(tǒng)審計模式，提高審計覆蓋的全面性。

（三）糅合機器學習技術，探索人工智能內(nèi)審

隨著人工智能的迅速發(fā)展，機器深度學習帶來的技術突破使復雜任務處理準確率大幅提升。商業(yè)銀行以現(xiàn)有內(nèi)部審計平臺搭載人工智能技術，機器智能根據(jù)商業(yè)銀行的經(jīng)營狀況、業(yè)務流程和大量的審計案例等信息，自主學習如何識別合規(guī)風險、評估合規(guī)風險，并通過機器學習和人工少量的干預自主建立、更新風險模型，形成智能審計的新模式，從而使審計人員將精力投向發(fā)現(xiàn)問題和分析問題的本質(zhì)。

（四）探索數(shù)據(jù)自動采集技術，拓展外部數(shù)據(jù)來源

近年來，全球數(shù)據(jù)總量每年以40%左右的速度增長，銀行內(nèi)部的數(shù)據(jù)越來越難以滿足內(nèi)部審計的需求，內(nèi)部審計需要運用網(wǎng)絡數(shù)據(jù)自動采集技術完善數(shù)據(jù)來源和框架，整合內(nèi)部審計數(shù)據(jù)需求。網(wǎng)絡數(shù)據(jù)自動采集技術（如網(wǎng)絡爬蟲）是一種按照一定規(guī)則，自動提取互聯(lián)網(wǎng)信息的技術，用以解決商業(yè)銀行內(nèi)部審計缺乏外部數(shù)據(jù)源支持的痛點問題。例如，商業(yè)銀行在實施政府性融資（含PPP項目貸款）審計的過程中，融資合規(guī)性要件包括政府融資平臺客戶清單、PPP項目入庫、地方財力情況等關鍵性信息需要從外部取得。審計運用網(wǎng)絡信息自動采集技術，則可在相關部門官網(wǎng)或其他信息源抽取審計需要的外部信息，從而有效實現(xiàn)國有銀行內(nèi)外部數(shù)據(jù)的有機整合。

綜上所述，合規(guī)風險內(nèi)部審計與一般業(yè)務內(nèi)部審計側(cè)重點顯而易見，如表1所示。

對合規(guī)風險內(nèi)部審計特性的把握，有利于牢牢把握審計目的，聚焦主要風險表現(xiàn)，更好地識別和揭示合規(guī)風險。當然也必須看到，監(jiān)管合規(guī)是商業(yè)銀行不斷與時俱進的核心管理活動，本文基于審計實踐提出的商業(yè)銀行合規(guī)風險內(nèi)部審計模式，同樣需要隨著監(jiān)管要求、風險形式演變及信息技術等要素的發(fā)展而不斷驗證和進一步完善。

（作者單位：中國工商銀行內(nèi)部審計局上海分局，郵政編碼：200002，電子郵箱：feng.li@icbc.com.cn）

主要參考文獻

福建銀監(jiān)局課題組.提高銀行風險識別的前瞻性[J].中國金融， 2018（7）

國際內(nèi)部審計師協(xié)會（IIA）.中國內(nèi)部審計協(xié)會譯.國際內(nèi)部審計專業(yè)實務框架[M].北京：中國財政經(jīng)濟出版社， 2017

胡濱，尹振濤，鄭聯(lián)盛.中國金融監(jiān)管報告（2018）[M].北京：社會科學文獻出版社， 2018

伊恩H.威騰.數(shù)據(jù)挖掘：實用機器學習工具與技術[M].北京：機械工業(yè)出版社， 2017