IT審計在商業銀行數字化轉型中的作用和價值

童杰 王加冕

[摘要]商業銀行數字化轉型不僅是技術的變革，更是組織模式和經營方式的重塑。本文對銀行內部審計部門如何發揮風險防控的重要作用、在數字化轉型中如何發揮更大價值進行探討，并提出商業銀行數字化轉型審計框架和分行轉型落地評估指標框架。

[關鍵詞]銀行數字化轉型 ? ?IT審計 ? 內部審計 ? 風險

一、商業銀行數字化轉型的背景和形勢

當前，數字經濟蓬勃發展，加速成為繼農業經濟、工業經濟之后的新經濟形態。金融是現代經濟的核心，金融業數字化轉型是數字經濟、數字中國建設的重要組成部分，也是金融業高質量發展的必然選擇。2022年，人民銀行、原銀保監會分別出臺了《金融科技發展規劃（2022—2025年）》《關于銀行業保險業數字化轉型的指導意見》，明確了金融數字化轉型的總體思路和發展目標，體現了監管機構對金融業數字化轉型發展的高度關注，為數字化轉型提供有力指導。

商業銀行運作高度依賴科技系統和數據應用，數字技術既是銀行業務開展的重要支撐，也是滿足銀行對業務連續性、信息安全極高要求的必要手段。數字化并不是全新命題，但隨著數字技術的變革，技術已不僅是“后臺支撐”，而是正向“前臺賦能”方向發展；隨著數據價值的顯現，數據也從“資源”向“資產”轉變。商業銀行已全面邁入數字化轉型發展階段。

數字化轉型的本質是以“數據、技術”雙要素驅動，加速業務模式和管理模式的創新和重塑，以有效提高價值創造能力。通過數字化轉型，商業銀行自身將實現企業級轉型升級和高質量發展，進一步提升客戶服務水平和客戶體驗，提高金融服務中國式現代化水平。

以工商銀行為例。工商銀行黨委始終重視和堅持數字化發展理念，通過實現“數據大集中”“兩地三中心”等重大科技創新，奠定和鞏固了在國內同業中的科技領先優勢。2017年，工行啟動智慧銀行信息系統轉型工程（ECOS），標志著進入金融與科技高度融合的新發展階段。目前，工商銀行已正式發布“數字工行（D-ICBC）”品牌，依托海量的“數字資產”、領先的“數字技術”、扎實的“數字基建”、鮮明的“數字基因”，積極構建金融與產業、民生、政務緊密融合的“數字生態”，不斷提升金融服務的適應性、競爭力、普惠性，以數字化轉型的新作為，提升金融服務中國式現代化水平。

二、風險視角下的商業銀行數字化轉型

創新與風險始終相伴而生。商業銀行數字化轉型不僅是技術的變革與重構，更是對組織模式、經營方式和企業文化的重塑，必須防范風險。從風險視角來看，主要面臨以下幾個方面的挑戰。

一是必須堅持守正創新，防范數字化轉型戰略風險。商業銀行數字化轉型必須把數字化轉型工作著力點放在服務實體經濟上，聚焦經濟發展重點領域和薄弱環節，不斷提升服務人民美好生活的能力和水平。因此，商業銀行數字化轉型必須支持和賦能全行重點戰略推進落地。

二是國家已構建較為完善的數字治理體系，為商業銀行合法合規建立了更高標準。我國已頒布施行網絡安全法、數據安全法、個人信息保護法，為數字經濟發展設定了總體法制框架；《關鍵信息基礎設施安全保護條例》《數據出境安全評估辦法》等法規，也對銀行合規提出更高要求。此外，國家對平臺經濟管理、金融企業風險防范高度重視。因此，大型商業銀行在滿足合法合規要求方面，更需認真對標、做好引領。

三是傳統IT風險和技術轉型風險交叉疊加。從系統層面看，伴隨著開放平臺架構的持續推進、云化環境的快速應用，商業銀行IT基礎設施的復雜性持續增加；疊加技術選型和技術路線的復雜性，IT風險不容小覷。從應用層面看，消費者對銀行數字化的要求逐漸從“要功能”向“要體驗”轉變，銀行在通過技術創新和優化滿足客戶需求過程中，也會引入和形成相應風險。因此，如何更好實現技術轉型、提升客戶體驗，同時滿足商業銀行對業務連續性、信息安全的極致要求，是一項艱巨的挑戰。

四是業務模式創新、管理模式重塑蘊含風險。銀行數字化轉型是業務模式和管理模式的創新和重塑，必須對相應風險進行有效識別、管理和控制，同時要關注創新業務的合規性。無論是業務渠道由線下變為線上、業務時效由非實時變為實時，還是一些產品的組合連接、某些流程環節的精簡省略，都增加了風險敞口。特別是，隨著銀行生態化、場景化、開放化建設的推進，銀行與大量第三方互聯互通，極大擴展了易受攻擊的脆弱面。因此，商業銀行業務與科技的融合不僅要體現在創新過程中，也必須貫穿風險控制實踐。

五是數字化風控能力必須與數字化能力同步建設。《關于銀行業保險業數字化轉型的指導意見》明確提出，著力加強數字化風控能力建設。商業銀行應當積極應用數字化手段，提高風控效率和自動化水平，特別是加強在資產質量等量化風控領域的應用。因此，商業銀行應該建立與數字化發展水平相適應的數字化、智能化風控管理體系，不斷強化“以數防險”能力。

三、IT審計在商業銀行數字化轉型中的作用

隨著商業銀行數字化轉型的推進，新的風險將不斷顯現，對商業銀行持續穩健經營帶來挑戰。同時，數字化轉型過程中的戰略風險、合規風險也需進行管理和監控。商業銀行內部審計部門應當積極主動應對、系統性開展工作，為防范化解相關風險、促進銀行高質量發展發揮重要、獨特的價值。

自工商銀行IT審計團隊成立起便承擔起全行信息科技風險防范的重要職責。經過十幾年的發展，團隊逐漸實現體系化、規范化、專業化運作，為全行信息科技風險防范發揮了重要作用，并在數字銀行相關領域開展了有益探索。

一是滿足境內外監管對商業銀行IT風險的審計要求。目前與IT審計有關的境內監管要求有20余項，絕大部分要求以1—3年為周期定期開展；監管部門要求IT審計要實現機構、系統、項目三方面的全覆蓋。這些要求都是對商業銀行開展信息科技監管評級的重要內容。各境外機構監管方也對IT審計提出不同要求。近年來，通過以三年為項目周期開展工作，工商銀行IT審計團隊順利完成工作任務，對內揭示及防范風險，對外高質量滿足監管要求。

二是對管理信息、網絡金融條線及線上業務系統開展審計。工商銀行管理信息、網絡金融條線分別負責數字化轉型中的數據和平臺工作。近年來，工商銀行IT審計團隊相應開展數據治理、數據應用、網絡金融安全等方面的審計。針對業務線上化趨勢，IT審計團隊每年選取重要線上業務系統，對其應用控制情況開展審計，揭示一些重要的系統控制問題。

三是擴展審計邊界，服務全行戰略。近年來，隨著銀行科技管理的逐步細化完善，發生大型生產事件的可能性逐年下降，而數字化轉型的落地情況亟須關注，轉型質效尚待評價，轉型風險日漸突出。工商銀行IT審計團隊及時將審計邊界擴展到新技術應用、模型風險、開放銀行和生態銀行等方面，開展一系列項目，取得較好成效，為行領導決策和推動改進提供有益參考。

四、對數字化轉型中IT審計價值創造的思考

目前，隨著銀行改革轉型進入深水區，數字賦能戰略落地和業務發展以及數字化營銷和風控等方面的進展和情況受到各利益相關方高度關注。根據未來發展要求，IT審計應進一步加大對銀行數字化轉型的審計力度，科學探究審計思路與方法，逐步研究建立科學、有效、敏捷的審計實務體系，為商業銀行數字化轉型、統籌發展與安全發揮更大價值。

（一）研究建立數字化轉型審計框架，對全行數字化轉型情況進行系統評價

如何整合銀行在科技、數據、平臺等領域的優勢，形成更大合力，是數字化轉型的一個重要課題。工商銀行提出業務與科技要“煲湯式”融合。內部審計應當發揮審計全面視角站位優勢，有機融合對各條線、各層級、各機構的審計關注，揭示體制機制、部門協作、運營生態、流程痛點等方面的問題。

工商銀行IT審計團隊結合本行實際，大量研究國內外監管機構的監管框架和研究機構的研究成果，提出“治理能力、業務能力、數據能力、科技能力、風控能力”五個能力審計評價框架。對于每個能力，都從層級（縱向）和條線（橫向）兩個維度進行“穿透式”“融合式”關注。該框架如表1所示。

應用“五個能力”審計評價框架，工商銀行IT審計團隊開展專項審計項目，揭示了體制機制、生態建設等方面的問題，審計工作得到行領導高度評價。

（二）建立分行轉型落地評估指標框架，實現對各分行數字化轉型情況的評價與跟蹤

分行是銀行的一線經營機構，是接觸客戶、服務客戶的前沿陣地。總行數字化轉型戰略只有在分行扎實落地，才能實現客戶好評、基層有感。

因此，工商銀行IT審計團隊探索構建了“科技要素、數據要素、平臺要素、業務要素、治理要素”五要素分行數字銀行畫像指標體系（如表2所示）。

2023年，工商銀行IT審計團隊將首批對9家分行數字化轉型情況進行評估評價，后續對其他分行滾動開展。通過對分行數字化轉型情況進行評價和持續跟蹤，促進各機構迭代提升數字化轉型效能、更好實現高質量發展，也為行領導決策提供客觀參考。

加快數字化轉型，是金融業服務中國式現代化的重要結合點和關鍵著力點。面對新形勢、新任務，商業銀行IT審計應開拓創新、擔當作為，不斷優化項目組織，持續提升審計質效，為銀行高質量發展發揮更大的作用和價值。

（作者單位：中國工商銀行總行內部審計局，郵政編碼：100140，電子郵箱：tongjie@icbc.com.cn）