商业银行合规风险内部审计探索

黄纪宪 林跃武 申存晔 李锋 高鲁娟 顾智慧

[摘要]本文论述了商业银行合规风险新的表现特征及其管控的重要性，合规风险审计理念在战略协同、风险预见等方面的发展变化，合规风险的内部审计模式，合规风险内部审计对持续监测、数据挖掘等信息技术的应用等，旨在为商业银行内部审计聚焦合规风险、实现持续监管合规寻求和提供解决方案。

[关键词]商业银行    合规风险    内部审计

一、商业银行合规风险的重要性空前显现

《商业银行合规风险管理指引》将合规风险界定为：商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。随着近年来国家金融监管体系的变革和新时期金融监管政策的影响，银行业所面临的合规风险呈现出深刻变化。

（一）金融业高度关注合规风险

防范和化解重大风险——主要是金融风险，是决胜全面建成小康社会三大攻坚战的首要战役。2017年，国家对重点领域风险防范和处置——治乱象、去杠杆、严处罚、守本源、整治违法违规行为，成为合规性要求的主要关注点。无论是全口径监管、跨市场监管，还是功能性监管、穿透性监管，实质都是监管要求的不断深化，监管薄弱环节、风险高危环节正被迅速整治。

（二）商业银行合规风险复杂多元

商业银行的合规风险呈现出不同监管环境下不同监管主体、不同监管领域、不同监管要求的多元分布。当前金融监管主要框架为：人民银行主要监管货币政策执行、反洗钱等领域;银保监会主要实施微观审慎及行为监管;证监会主要监管上市商业银行合规性。此外，商业银行需符合财政部、发改委、外管局等多个部门在各自领域的政策合规要求。在监管体系职能厘定明晰的大趋势下，商业银行必须意识到原先所谓的监管交叉、监管空白将不复存在，必须充分重视交叉领域的合规风险。

（三）合规风险处罚日趋严厉

监管机构以最严违规惩治强化监管格局，“双罚”（处罚违规机构和责任人员）原则充分显现，银行业罚单出现井喷。2018年仅前三个月共处罚银行业、保险业机构646家次，罚没合计11.58亿元;处罚责任人员798人次，罚款合计2861.85万元;责令停止接受新业务12家次;取消任职资格及禁止从业107人。处罚力度明显加大，亿元罚单屡现，最高记录为广发银行因“侨兴债”事件被罚没7.22亿元，占其当年净利润的7%，可见合规风险已经成为商业银行经营表现和市场声誉难以承受之重。

（四）境外机构合规风险与政治因素交织

跨国银行多有被监管处罚的经历，如巴黎银行曾因洗钱被罚89亿美元，苏格兰皇家银行曾因销售债券存在虚假和误导被罚55亿美元等。中资银行走向世界后，也越来越多地受到驻在国监管关注，2016年以来多家境外机构受到监管处罚。如2018年3月工商银行纽约分行接到美联储禁止令，其中要求基于美国银行保密法和反洗钱规定在公司治理和管理监督、合规性方案等方面采取积极措施，并提交一专项内部审计计划，经美联储认可后正式实施。在当前中美贸易气氛凝重的形势下，境外监管处罚事实上也受到大国关系、政治走向等多重因素的影响。这也表明内部审计是寻求驻在国监管合规的重要环节。

上述情况表明，合规风险已成为内部审计不容忽视的课题。但是，现有商业银行的内部审计对合规风险理论框架研究发展相对滞后，对合规风险的认识聚焦、审计实践和方法创新尚不够完善，呈现出风险识别滞后、制度管理缺失、区域风险失控等难点，要求内部审计重新审视工作出发点，更新理念，为有效控制合规风险进行新的探索实践。

二、合规风险内部审计理念的新变化

商业银行合规风险内部审计理念和规定主要基于银保监会系列指引文件，如《商业银行合规风险管理指引》《银行业金融机构全面风险管理指引》《商业银行内部审计指引》等，明确合规管理是商业银行一项核心的风险管理活动，更是银行构建全面风险管理体系的基础和核心，并对涉及合规风险的内部审计提出了基本要求。在秉承这些基本审计理念和要求的同时，也应该看到制度规范形成较早而客观形势已发生重大变迁。解决新问题需要新理念，商业银行需要更新以下合规风险内部审计理念。

（一）强化内部审计的战略协同

随着国内商业银行监管新规的不断出台，如治理政府隐性负债、规范资产管理业务等，商业银行经营受到重大影响。内部审计应及时充分地提供监管视角，审视受到监管政策冲击的业务领域，评估监管政策与银行内部政策差异，揭示存在的违规问题和涉及的业务规模，并提出可行的高價值建议。在此过程中，内部审计已经不仅是传统的第三道风险防线，而是具有高度战略协同能力的建言者。

（二）强化内部审计的风险前瞻

内部审计活动多采用问题导向或问题视角，即从出现的问题出发，寻找解决问题的手段，以事后防范风险为主。而对于合规风险，银行内部审计则更应秉承政策导向，着重审视外部政策和现行业务的差异，在最终商业风险还没有充分显现之前作出风险前瞻提示和预防。正如《国际内部审计专业实务框架》提出的内部审计应“提供客观的确认、建议和洞见”，内审人员应“富有见解、积极主动，并具有前瞻性”，从而使内部审计更加关注未来的风险，也对内部审计洞见未来的能力提出更高要求。

（三）准确理解监审联动要求

随着监审联动显著增加，商业银行不仅将年度内部审计计划报银保监会备案并根据要求增列项目，同时各地方银监局均明确要求辖内银行机构例行抄送指定领域内的内部审计报告，更有部分地方银监局要求内部审计对其指定领域进行专项审计并直接提交报告，因此，内部审计服务已经不局限于银行自身层面，服务监管机构并“推动国家有关经济金融法律法规和监管规则的有效落实”这一内部审计目标正在被加强。为满足该类审计意图，内部审计需要突出监管要求，对于审计底稿、风险矩阵、内审报告的设计应有效披露监管机构希望获取的关键信息。

（四）审慎把控相关审计风险

审计风险是指因审计程序未能察觉出监管要求执行过程中存在的重大问题或者错报，导致审计发表不恰当意见的可能性。如浦发银行成都分行违规放贷案件中，审计部门对其长期不良贷款为零指标异常、考核激励机制不当、轮岗制度执行不力、对监管部门提示风险不重视等问题失察，导致重大审计风险。内部审计应充分认识审计风险的可能来源，如独立性可能受到被审计业务领域既有经营模式巨大利益的影响;审计依据的监管政策持续更新或把握度不够清晰;被审计单位存在内部人控制掩盖真实情况等。内部审计必须更加准确地把握监管要求，设计缜密的审计程序，运用高效锐利的信息化工具，从而夯实内部审计质量基础，准确揭示监管政策的真实落实情况。

三、合规风险内部审计模式探索

商业银行合规风险内部审计目标是在银行合规风险管理框架基础上，实现对合规风险的有效识别和管理;强化商业银行合规管理的适当性和有效性，促进全面风险管理体系建设;保证国家有关经济金融法律法规、方针政策、监管部门规章的贯彻执行。因此，合规风险的内部审计程序，应兼顾战略站位、政策视角和服务监管等特点。

（一）科学规划审计资源，跨界配置审计人员

为满足监管规定审计项目快速增加和监管跨界穿透传统专业、地域划分的趋势，缓解有限的审计资源压力，内部审计在项目前期准备中精准规划和配置资源显得尤为重要。

按照内部审计全年计划或者大型审计项目对被审计单位全面画像、审计内容综合嵌套的趋势要求，审计方案规划可采用运筹管理方法：确认各子项目之间存在的相互交叉关系;合理安排审计子项目入场、退场时点，抽调资源优先保证关键路线上审计项目资源配置，最终实现审计资源高效分配和集约利用。

按审计主题实施审计人员跨界柔性配置。全面推行各专业部门相互交叉支持的工作理念和常态机制，按职能再分为模型支持组、非现场分析组、现场审计组等，从而将“单一兵种”升级为“航母编队”，保障审计的专业深度和跨专业协同视野。

（二）加强项目政策准备，建立政策时序矩阵

厘定审计时点至被审计业务发生的最早时点，以此确定政策时间轴，并界定和梳理内外部政策库，确定政策时效性，从而在政策持续出台完善的背景下，明确某项业务在不同时点的不同要求，如对政府融资类项目内部审计，外部政策时序矩阵如图1所示。

通过建立内外部政策时间轴和时效要求矩阵，可以得到被审计业务因系列相关政策的出台而呈现出相关政策要求在审计业务发生时段内的连续性分布。审计人员据此可以对应业务及当时的政策要求及后续政策变化，客观准确判断当时业务的合规性和后续可能涉及的过渡期或整改要求。

（三）生成政策导向风险矩阵，覆盖归纳主要风险表现

商业银行合规风险内部审计主要关注监管政策要求和实际业务操作存在的显著性差异，这是导致被监管处罚的关键要素，同时由于银行风险暴露滞后的特性，被审计业务在审计时点未必已经产生实质性风险或成为不良贷款，因此风险矩阵应按照政策导向原则生成。作出上述风险定义主要根据政策执行不符点，而并不考虑该政策不符点是否已经产生风险暴露，也不考虑其是否必然导致风险。

（四）开发完善审计风险模型，实施区域测试和抽样校验

审计人员根据风险表现形式，提炼风险特征，开发审计项目的配套模型。内部审计通过风险模型筛查项目业务数据，呈现符合风险特征的具体业务視图。例如，商业银行个人住房贷款内部审计，其中一风险点涉及监管禁止的首付贷，开发风险模型为，“借款人首付款账户（或资金来源账户）在购房前后存在金额（或多笔合计金额）相同或基本相同、时间相近的借贷双向交易”。在数据仓库运行该风险模型，并选择某省个人住房贷款为总体样本，即可得到符合风险定义的业务全量，其中再行抽样反馈可校验模型精准度并进一步完善风险模型，从而大幅提高内部审计的风险识别效率和能力。

（五）强化内部审计现场取证，确保审计视角真实完整

审计人员加强审计底稿及审计视角的真实性和完整性判断，并真正将其作为审计基础。应该充分认识到银行业在一定程度上存在着内部人控制现象，也正由于经营高管层长期掌握着被审计单位的控制权，具有采取更多手段规避审计监督的能力。因此内部审计应强化现场取证程序，包括：确保审计业务数据多重来源并比对其差异性及合理性;关注被审计单位政策要求了解程度低、补充资料拖延、上下级对同一问题表述存在显著差异、业务逻辑违反常理等异常情况;重视其高增长部门、明星业务的发展质量和经营核算质量等。审计人员对于关注到的风险异常情况，应及时报告并实施必要的程序，在梳理逻辑、查证依据的基础上作出审计判断。

（六）推广审计成果运用，跟踪落实问题整改

内部审计对于发现的典型性、普遍性、倾向性问题，应及时摸清底数、准确界定、提出建议，为银行决策层提供直观的、准确的、系统的分析研究，这有利于从商业银行信贷政策、风控制度、产品管理、业务流程等方面进行顶层设计并落实既有问题整改应对。大型商业银行更可以将审计方案、风险模型、典型案例、问题建议等审计成果在不同地域或城市推广应用，一方面有效节约审计资源投入，另一方面能以点及面提高合规风险的识别及管控，降低监管处罚风险。

上述程序提供了基于单个项目合规风险的内部审计解决方案，主要满足评估政策偏离程度、查证主要存在问题、确认问题普遍性及根本原因，并就此落实整改、推广审计运用。但是该审计模式仍然主要适用于特定区域或项目的合规风险这一中观层面，解决大型商业银行全辖范围内的合规风险必须增加中观审计项目数量或者进一步提高审计效率和跨度，而这需要迅速发展的信息数据技术支持。

四、合规风险内部审计技术应用

在当前强监管周期下，内部审计面临高管层和外部监管机构对优质审计服务的需求大幅度提升和审计资源有限这一主要矛盾，该矛盾促使内部审计转向信息化发展，充分发挥信息技术在审计活动中的主导和引领作用，实现对合规风险的前瞻、全面、深入、持续的审计覆盖。

（一）强化信息数据监测，健全持续性审计机制

商业银行的合规风险管理及相关的内部审计是不断持续、重复、动态的管理活动，其有效性依赖于高度信息化的持续性审计机制。

建立以数据为引导、以审计项目为核心、以持续监测和专项分析为框架、以整改跟踪为保障的持续性审计工作机制，通过持续审计覆盖提高内部审计的灵活性和前瞻性，及时关注业务发展快、环境变化快、社会影响大以及风险容易发生复合、交叉、异变的领域，实现对全行各级机构和各类业务外部环境、产品创新、业务运营、风险状况、系统建设等的全面关注，从而实现更宽广的审计视野、更及时的审计响应、更精准的审计发现能力。

（二）探索全量数据挖掘技术，提升内部审计质效

传统的内部审计因时间和人力资源等因素限制往往更多依赖于抽样分析，然后再从局部归纳到整体。事实上在审计数据样本较大时抽样归纳法的审计结论与总体存有一定偏离和局限性，其置信度难以控制，而商业银行历年积累的大数据，更需要强有力的洞察力去分析挖掘其中的优质信息资产。因此，内部审计应积极运用基于审计项目总体并能将多种类型的海量数据进行整合分析的前沿数据分析挖掘技术，实现对更多非结构化数据、迭代增长的数据集的分布式实时处理，支持审计人员进行立足于总体的审计，从根本上转变以抽样为主的传统审计模式，提高审计覆盖的全面性。

（三）糅合机器学习技术，探索人工智能内审

随着人工智能的迅速发展，机器深度学习带来的技术突破使复杂任务处理准确率大幅提升。商业银行以现有内部审计平台搭载人工智能技术，机器智能根据商业银行的经营状况、业务流程和大量的审计案例等信息，自主学习如何识别合规风险、评估合规风险，并通过机器学习和人工少量的干预自主建立、更新风险模型，形成智能审计的新模式，从而使审计人员将精力投向发现问题和分析问题的本质。

（四）探索数据自动采集技术，拓展外部数据来源

近年来，全球数据总量每年以40%左右的速度增长，银行内部的数据越来越难以满足内部审计的需求，内部审计需要运用网络数据自动采集技术完善数据来源和框架，整合内部审计数据需求。网络数据自动采集技术（如网络爬蟲）是一种按照一定规则，自动提取互联网信息的技术，用以解决商业银行内部审计缺乏外部数据源支持的痛点问题。例如，商业银行在实施政府性融资（含PPP项目贷款）审计的过程中，融资合规性要件包括政府融资平台客户清单、PPP项目入库、地方财力情况等关键性信息需要从外部取得。审计运用网络信息自动采集技术，则可在相关部门官网或其他信息源抽取审计需要的外部信息，从而有效实现国有银行内外部数据的有机整合。

综上所述，合规风险内部审计与一般业务内部审计侧重点显而易见，如表1所示。

对合规风险内部审计特性的把握，有利于牢牢把握审计目的，聚焦主要风险表现，更好地识别和揭示合规风险。当然也必须看到，监管合规是商业银行不断与时俱进的核心管理活动，本文基于审计实践提出的商业银行合规风险内部审计模式，同样需要随着监管要求、风险形式演变及信息技术等要素的发展而不断验证和进一步完善。

（作者单位：中国工商银行内部审计局上海分局，邮政编码：200002，电子邮箱：feng.li@icbc.com.cn）

主要参考文献

福建银监局课题组.提高银行风险识别的前瞻性[J].中国金融， 2018（7）

国际内部审计师协会（IIA）.中国内部审计协会译.国际内部审计专业实务框架[M].北京：中国财政经济出版社， 2017

胡滨，尹振涛，郑联盛.中国金融监管报告（2018）[M].北京：社会科学文献出版社， 2018

伊恩H.威腾.数据挖掘：实用机器学习工具与技术[M].北京：机械工业出版社， 2017