互联网贷款业务风险与内部审计应对策略研究

颜涵

[摘要]金融科技时代，信贷业务及其风险管理模式已开启新的演变进程，区别于传统模式，互联网生态下的信贷业务有其特有的风险特征与挑战。本文从内部审计视角出发，系统性地梳理互联网信贷业务的特征、风险并提出审计应对策略。

[关键词]互联网   贷款   风险特征   审计策略

互联网特别是移动互联网等新兴技术的普及和应用，使得人与人之间的接触方式发生了颠覆性变化，人们通过手机及各类终端接入互联网，借助互联网工作和生活，成为虚拟世界的“居民”。而金融业作为互联网技术使用的先行者之一，对此从未缺位。2015年7月，中国人民银行会同有关部委发布《关于促进互联网金融健康发展的指导意见》，提出一系列鼓励创新、支持互联网金融稳步发展的政策措施，旨在通过创新推动金融体系改革，促进普惠金融目标实现。在之后几年互联网金融通过成本低、创新多的商业模式提升了个人及小微企业融资和投资理财的覆盖面，降低了金融业交易成本，创造了巨大的社会经济价值。然而，在互联网金融快速发展的背后，因信息不对称等因素导致的各种乱象如滥用个人信息、校园贷乱象、裸贷及暴力催收也层出不穷，并危害着行业的长远发展。对此，有必要从内部审计的视角予以回应。

一、互联网贷款业态的基本特征

互联网贷款是指运用互联网和移动通信等信息通信技術，基于风险数据和风险模型进行交叉验证和风险管理，线上自动受理贷款申请及开展风险评估，并完成授信审批、合同签订、贷款支付、贷后管理等核心业务环节操作，为符合条件的借款人提供的用于消费、日常生产经营周转等个人贷款和流动资金贷款。区别于传统金融服务，互联网贷款业态具有如下特征。

（一）不是简单的业务线上化，而是信贷全流程的重塑

有人认为“互联网+”不过是为传统行业和产品提供一种线上化渠道，而互联网贷款则只是将线下信贷业务移到了线上，增加一个服务渠道而已，但实际上它带来的是对整个信贷风险管理和运营体系的重大变革。如今，互联网信贷已从获客、受理、风控到催收各个环节实现了电子化、自动化、线上化，尤其在信贷风险定价等核心环节，基于传统风险管理，综合运用各类新型多元的数据及人工智能、区块链、云计算、大数据处理等技术手段，实现了借据级和客户级的精准定价和精细化管理。

（二）金融演化为标准化、场景化、开放化的服务

Brett King在《银行3.0：移动互联网时代的银行转型之道》中提到，“银行业务是必须的，而银行不是。银行业务的关键已不再是去哪里办，而是怎么办。”互联网开放、共享、用户至上的理念正深刻改变和影响着金融业，银行的表现形式不再是一个物理网点，而是在互联网的世界中被抽象成若干种标准化服务并嵌置其中。同时，为满足互联网不同场景、不同主体、不同客群的需求，金融服务演化为“即插即用”式的配件，通过SDK （Software Development Kit，一般指软件开发工具包）快速嵌入合作机构环境，或者基于云服务的开放API（Application Programming Interface，应用编程接口）接口迅速被各类场景调用，服务于整个互联网生态。

二、互联网贷款的风险特征与内部审计应对策略

信贷业务及其风险管理模式已开始其在金融科技时代的演变进程，在组织方式和运维支撑体系的全方位变革背景下，第三道防线的内部审计职能也概莫能外，这就要求内部审计必须站在全局的高度去理解金融科技和信贷风险管理，切入传统中不属于审计重点的领域，创新审计方法和工具，并将视角延伸至整个互联网商业生态衍生出的各类风险。

作为互联网信贷领域的内部审计人员，笔者得以近距离观察互联网信贷业务及风险管理体系的搭建、发展及演变，并基于传统信贷逻辑剖析来自互联网领域新的风险挑战，从内部审计视角梳理应对措施，提出GPPDI审计应对和实践框架（见图1）。

（一）贷款管理框架审计

首先，信贷业务从线下走到线上的数字化转型之路并不平坦且存在不确定性，在组织内部存在传统信贷文化与互联网创新精神之间的冲突，组织内部的弹性及适应性不足。审计应对策略为：一是评估信贷管理团队背景，看成员是否具备相应的思维方式和技能，以及是否掌握互联网信贷方案，并可以驱动后续运营所需的持续变革;二是评估组织内部是否存在一套变革管理体系，覆盖线上信贷方案引入、过渡等环节，包括科技、流程、组织和文化等方面。其次，贷款业务发展目标和规划及重要业务规则不明确，如总体风险偏好、合作机构管理政策等。审计应对策略为：一是评估业务发展规划及绩效目标设置的合理性;二是评估重要风险偏好（不良率等资产质量）、重要业务规则（如合作机构集中度风险）设置及审批程序是否符合要求;三是评估风险管理制度体系的完备程度，如营销、调查、授信、签约、放款、支付、跟踪及催收等环节。再次，贷款业务强调前中后台的协同，以及贷前、贷中和贷后风控的全流程闭环管理，导致一定程度上的决策权力过于集中，损害内控制衡原则。审计应对策略为：一是评估贷款管理团队向董事会及管理层定期汇报机制及运行;二是检查业务及风险数据的形成和通报机制，评估风险数据信息的准确性、一致性和及时性;三是评估风险模型、策略与其风险偏好的一致性，评估模型与风险策略的授权和决策机制;四是评估内部审计对贷款业务的审查工作及其独立性。最后，横向管理事项，如消费者保护与投诉、操作风险管理、应急处置/业务连续性管理等方面的职责不明确、流程不清晰。审计应对策略为：一是评估董事会、管理层、贷款业务团队、中后台之间的组织架构和职责分工情况;二是梳理消费者保护与投诉、操作风险管理、应急处置/业务连续性管理等管理机制，重点评估其考核评价体系。

（二）互联网贷款业务主流程审计

互联网贷款业务已将产品全流程的线上化、系统化、自动化演化到极致，覆盖从获客、风控到催收的各个环节，包括从产品设计、贷款营销、身份核验、贷前调查、反欺诈、贷中审批、人工复核、贷款合同签署、合同和数据档案存储、放款控制、贷款支付、贷后管理、催收清算到不良处置等。每一个互联网金融产品，几乎都由上述复杂环节所形成的流程支撑，因而往往蕴含着极大的风险。同时，互联网业务具有大批量的特点，单日借还甚至高达上百万笔，所以单个客户无法代表整体情况，面对庞大的业务量，传统人工抽样审计无法覆盖足够样本，无法得到足够且有效的审计结论，存在较大的审计风险。审计应对策略应从两个层面入手：一是收集贷款全流程中贷前、贷中、贷后客户及贷款管理各环节的行为日志，同时设立审计监测规则用于考察贷款业务与贷款政策、业务流程的遵从情况，并建立自动跑批程序运行审计监控规则（见图2、图3），快速得到异常样本和风险事项，再基于审计监控规则运行的异常结果开展人工核查;二是关注贷款批次或基于客群的总体分析，建立贷款业务稳定性指标，通过批核率、拒绝率、不良变化率、不良回收情况等指标将批次客户画像与贷款整体/行业内水平进行偏离度分析，通过分析性复核程序判断是否存在某一客群、某一地域、某一时间等维度互联网贷款业务存在异常特征。

（三）合作方平台管理审计

互联网生态融合了线上线下各类主体，形成了全链条生态系统，互联网贷款业务往往也是如此，在生態圈内贷款业务管理主体除输出自身专业价值外，更重要的角色是资源整合者，将营销获客、共同出资发放贷款、支付结算、风险分担、信息科技、逾期清收等各类机构优势进行整合，向用户提供互联网贷款服务。众多合作主体依靠其专业优势，给信贷业务带来自身价值的同时，也势必产生较高的风险暴露，一是不同合作方之间的业务目标、利益和激励机制不尽相同，并未从金融本质的角度考虑风险收益平衡，导致动作变形，难以达到有效协同;二是受限于不同合作方的资源和技术短板，业务流程环节存在单点风险，导致贷款服务中断、无法正常提供。审计应对策略为：一是评估是否建立各类合作机构的准入、持续评估及退出机制，评估相应的标准和程序是否完备，如业务资质、经营管理、风控水平、技术实力、服务质量、业务合规和机构声誉等;二是评估合作机构之间签署的合作协议，如合作范围、操作流程、各方权责、收益分配、风险分担、客户权益保护、数据保密、争议解决、合作事项变更或终止安排、违约责任等是否明确;三是对于合作共同发放贷款的主体，评估其业务中断的应急与恢复预案、损失共担机制、避免单一机构的集中度风险;四是审查合作平台风险是否纳入全面风险管理框架，并设立相应的风险监测指标持续追踪、制定异常出现时的处理机制。

（四）数据和风控模型管理审计

数据被誉为互联网时代的新石油，是互联网信贷风控的生命线，在评估客户欺诈风险、还款能力、还款意愿及贷后的监测、预警和处置等方面得到广泛运用，但这种运用本身又给信贷风险管理带来数据层面的额外风险。互联网贷款的数据源主要通过客户的直接输入或在客户同意情况下通过第三方合法机构提供，而这种便利性造成对数据提供方的依赖，甚至对方只要降低数据服务水平即可能对线上信贷业务造成较大影响。因此，数据获取的合法性、合规性，数据来源的可靠性和可持续性应是关注重点。审计应对策略为：一是评估数据获取的合规性，用户隐私保护及多方授权协议是否存在实质法律瑕疵;二是评估贷款业务流程中是否存在默认勾选事项、是否按消费者保护要求披露贷款详情信息、是否存在过度收集客户信息的情况;三是复核线上信贷平台与数据源提供方之间的合作协议，在数据源中断情况下是否存在可替代的数据提供方或存在过渡性安排;四是对于所有的重要数据源，了解是否制定数据质量监控指标和例外处理机制，同时这些指标和机制是否已覆盖数据源涉及的重要决策变量。而自动化运行的风控模型和策略是贷款业务的决策大脑，模型和策略的误用或运行不稳定，将对信贷风险产生致命影响。相应地，审计应对策略为：一是评估风险模型治理的架构，审查模型开发测试上线验证评审更新等流程设计以及执行情况;二是评估风险监测所用的模型算法，复核其提示或告警规则的设计与落地;三是复核整个信贷管理生命周期涉及模型的表现预警指标，分析指标设置的完整性和相关性;四是基于不良贷款，追踪其过往风险监测和处置记录，复核告警规则是否得到有效触发，并按既定策略得到追踪跟进;五是确认风险监测所用的策略、指标和数据源本身是否也得到持续监控和复核，并将最新的风险态势纳入。

（五）信息系统层面审计

为满足互联网贷款批量化、高并发的业务特点，通常采用分布式信息系统架构以达到高可用又同时满足低成本运维要求。在分布式系统架构的系统审计中除关注信息系统开发、测试、运维、信息安全、数据中心等传统ITGC（Information Technology General Control，信息科技通用控制）审计内容外，还应重点关注如下风险并采取审计应对：一是评估分布式架构数据处理吞吐量和交易速度等容量指标，评价其与业务场景的适用性，同时审查分布式数据库数据一致性的保障及数据回滚机制;二是对于系统和信息安全，应评估网络边界安全、云服务安全以及内部网络安全机制，关注客户端程序安全防护能力，除关注系统安全框架及防护工具等控制措施的运行情况外，审计应采用渗透测试的方法从反向视角发现和侦测安全漏洞，借款人信息保护是金融业务合规运行的底线，所以应从外部入侵、内部业务及管理、合作机构及硬件终端等方面评估数据泄露风险，审查数据生成、加工、流转及传输保护机制的设计和执行情况;三是对于合作机构的系统风险管理，应评估合作机构的信息系统服务能力、可靠性和安全性及敏感数据的安全保护能力，关注联合演练和测试及业务连续性管理。

（作者单位：深圳前海微众银行股份有限公司，邮政编码：518000，电子邮箱：Leslieyan@webank.com）