顏涵

[摘要]金融科技時(shí)代，信貸業(yè)務(wù)及其風(fēng)險(xiǎn)管理模式已開啟新的演變進(jìn)程，區(qū)別于傳統(tǒng)模式，互聯(lián)網(wǎng)生態(tài)下的信貸業(yè)務(wù)有其特有的風(fēng)險(xiǎn)特征與挑戰(zhàn)。本文從內(nèi)部審計(jì)視角出發(fā)，系統(tǒng)性地梳理互聯(lián)網(wǎng)信貸業(yè)務(wù)的特征、風(fēng)險(xiǎn)并提出審計(jì)應(yīng)對(duì)策略。

[關(guān)鍵詞]互聯(lián)網(wǎng) ? 貸款 ? 風(fēng)險(xiǎn)特征 ? 審計(jì)策略

互聯(lián)網(wǎng)特別是移動(dòng)互聯(lián)網(wǎng)等新興技術(shù)的普及和應(yīng)用，使得人與人之間的接觸方式發(fā)生了顛覆性變化，人們通過手機(jī)及各類終端接入互聯(lián)網(wǎng)，借助互聯(lián)網(wǎng)工作和生活，成為虛擬世界的“居民”。而金融業(yè)作為互聯(lián)網(wǎng)技術(shù)使用的先行者之一，對(duì)此從未缺位。2015年7月，中國人民銀行會(huì)同有關(guān)部委發(fā)布《關(guān)于促進(jìn)互聯(lián)網(wǎng)金融健康發(fā)展的指導(dǎo)意見》，提出一系列鼓勵(lì)創(chuàng)新、支持互聯(lián)網(wǎng)金融穩(wěn)步發(fā)展的政策措施，旨在通過創(chuàng)新推動(dòng)金融體系改革，促進(jìn)普惠金融目標(biāo)實(shí)現(xiàn)。在之后幾年互聯(lián)網(wǎng)金融通過成本低、創(chuàng)新多的商業(yè)模式提升了個(gè)人及小微企業(yè)融資和投資理財(cái)?shù)母采w面，降低了金融業(yè)交易成本，創(chuàng)造了巨大的社會(huì)經(jīng)濟(jì)價(jià)值。然而，在互聯(lián)網(wǎng)金融快速發(fā)展的背后，因信息不對(duì)稱等因素導(dǎo)致的各種亂象如濫用個(gè)人信息、校園貸亂象、裸貸及暴力催收也層出不窮，并危害著行業(yè)的長遠(yuǎn)發(fā)展。對(duì)此，有必要從內(nèi)部審計(jì)的視角予以回應(yīng)。

一、互聯(lián)網(wǎng)貸款業(yè)態(tài)的基本特征

互聯(lián)網(wǎng)貸款是指運(yùn)用互聯(lián)網(wǎng)和移動(dòng)通信等信息通信技術(shù)，基于風(fēng)險(xiǎn)數(shù)據(jù)和風(fēng)險(xiǎn)模型進(jìn)行交叉驗(yàn)證和風(fēng)險(xiǎn)管理，線上自動(dòng)受理貸款申請(qǐng)及開展風(fēng)險(xiǎn)評(píng)估，并完成授信審批、合同簽訂、貸款支付、貸后管理等核心業(yè)務(wù)環(huán)節(jié)操作，為符合條件的借款人提供的用于消費(fèi)、日常生產(chǎn)經(jīng)營周轉(zhuǎn)等個(gè)人貸款和流動(dòng)資金貸款。區(qū)別于傳統(tǒng)金融服務(wù)，互聯(lián)網(wǎng)貸款業(yè)態(tài)具有如下特征。

（一）不是簡單的業(yè)務(wù)線上化，而是信貸全流程的重塑

有人認(rèn)為“互聯(lián)網(wǎng)+”不過是為傳統(tǒng)行業(yè)和產(chǎn)品提供一種線上化渠道，而互聯(lián)網(wǎng)貸款則只是將線下信貸業(yè)務(wù)移到了線上，增加一個(gè)服務(wù)渠道而已，但實(shí)際上它帶來的是對(duì)整個(gè)信貸風(fēng)險(xiǎn)管理和運(yùn)營體系的重大變革。如今，互聯(lián)網(wǎng)信貸已從獲客、受理、風(fēng)控到催收各個(gè)環(huán)節(jié)實(shí)現(xiàn)了電子化、自動(dòng)化、線上化，尤其在信貸風(fēng)險(xiǎn)定價(jià)等核心環(huán)節(jié)，基于傳統(tǒng)風(fēng)險(xiǎn)管理，綜合運(yùn)用各類新型多元的數(shù)據(jù)及人工智能、區(qū)塊鏈、云計(jì)算、大數(shù)據(jù)處理等技術(shù)手段，實(shí)現(xiàn)了借據(jù)級(jí)和客戶級(jí)的精準(zhǔn)定價(jià)和精細(xì)化管理。

（二）金融演化為標(biāo)準(zhǔn)化、場景化、開放化的服務(wù)

Brett King在《銀行3.0：移動(dòng)互聯(lián)網(wǎng)時(shí)代的銀行轉(zhuǎn)型之道》中提到，“銀行業(yè)務(wù)是必須的，而銀行不是。銀行業(yè)務(wù)的關(guān)鍵已不再是去哪里辦，而是怎么辦?！被ヂ?lián)網(wǎng)開放、共享、用戶至上的理念正深刻改變和影響著金融業(yè)，銀行的表現(xiàn)形式不再是一個(gè)物理網(wǎng)點(diǎn)，而是在互聯(lián)網(wǎng)的世界中被抽象成若干種標(biāo)準(zhǔn)化服務(wù)并嵌置其中。同時(shí)，為滿足互聯(lián)網(wǎng)不同場景、不同主體、不同客群的需求，金融服務(wù)演化為“即插即用”式的配件，通過SDK （Software Development Kit，一般指軟件開發(fā)工具包）快速嵌入合作機(jī)構(gòu)環(huán)境，或者基于云服務(wù)的開放API（Application Programming Interface，應(yīng)用編程接口）接口迅速被各類場景調(diào)用，服務(wù)于整個(gè)互聯(lián)網(wǎng)生態(tài)。

二、互聯(lián)網(wǎng)貸款的風(fēng)險(xiǎn)特征與內(nèi)部審計(jì)應(yīng)對(duì)策略

信貸業(yè)務(wù)及其風(fēng)險(xiǎn)管理模式已開始其在金融科技時(shí)代的演變進(jìn)程，在組織方式和運(yùn)維支撐體系的全方位變革背景下，第三道防線的內(nèi)部審計(jì)職能也概莫能外，這就要求內(nèi)部審計(jì)必須站在全局的高度去理解金融科技和信貸風(fēng)險(xiǎn)管理，切入傳統(tǒng)中不屬于審計(jì)重點(diǎn)的領(lǐng)域，創(chuàng)新審計(jì)方法和工具，并將視角延伸至整個(gè)互聯(lián)網(wǎng)商業(yè)生態(tài)衍生出的各類風(fēng)險(xiǎn)。

作為互聯(lián)網(wǎng)信貸領(lǐng)域的內(nèi)部審計(jì)人員，筆者得以近距離觀察互聯(lián)網(wǎng)信貸業(yè)務(wù)及風(fēng)險(xiǎn)管理體系的搭建、發(fā)展及演變，并基于傳統(tǒng)信貸邏輯剖析來自互聯(lián)網(wǎng)領(lǐng)域新的風(fēng)險(xiǎn)挑戰(zhàn)，從內(nèi)部審計(jì)視角梳理應(yīng)對(duì)措施，提出GPPDI審計(jì)應(yīng)對(duì)和實(shí)踐框架（見圖1）。

（一）貸款管理框架審計(jì)

首先，信貸業(yè)務(wù)從線下走到線上的數(shù)字化轉(zhuǎn)型之路并不平坦且存在不確定性，在組織內(nèi)部存在傳統(tǒng)信貸文化與互聯(lián)網(wǎng)創(chuàng)新精神之間的沖突，組織內(nèi)部的彈性及適應(yīng)性不足。審計(jì)應(yīng)對(duì)策略為：一是評(píng)估信貸管理團(tuán)隊(duì)背景，看成員是否具備相應(yīng)的思維方式和技能，以及是否掌握互聯(lián)網(wǎng)信貸方案，并可以驅(qū)動(dòng)后續(xù)運(yùn)營所需的持續(xù)變革;二是評(píng)估組織內(nèi)部是否存在一套變革管理體系，覆蓋線上信貸方案引入、過渡等環(huán)節(jié)，包括科技、流程、組織和文化等方面。其次，貸款業(yè)務(wù)發(fā)展目標(biāo)和規(guī)劃及重要業(yè)務(wù)規(guī)則不明確，如總體風(fēng)險(xiǎn)偏好、合作機(jī)構(gòu)管理政策等。審計(jì)應(yīng)對(duì)策略為：一是評(píng)估業(yè)務(wù)發(fā)展規(guī)劃及績效目標(biāo)設(shè)置的合理性;二是評(píng)估重要風(fēng)險(xiǎn)偏好（不良率等資產(chǎn)質(zhì)量）、重要業(yè)務(wù)規(guī)則（如合作機(jī)構(gòu)集中度風(fēng)險(xiǎn)）設(shè)置及審批程序是否符合要求;三是評(píng)估風(fēng)險(xiǎn)管理制度體系的完備程度，如營銷、調(diào)查、授信、簽約、放款、支付、跟蹤及催收等環(huán)節(jié)。再次，貸款業(yè)務(wù)強(qiáng)調(diào)前中后臺(tái)的協(xié)同，以及貸前、貸中和貸后風(fēng)控的全流程閉環(huán)管理，導(dǎo)致一定程度上的決策權(quán)力過于集中，損害內(nèi)控制衡原則。審計(jì)應(yīng)對(duì)策略為：一是評(píng)估貸款管理團(tuán)隊(duì)向董事會(huì)及管理層定期匯報(bào)機(jī)制及運(yùn)行;二是檢查業(yè)務(wù)及風(fēng)險(xiǎn)數(shù)據(jù)的形成和通報(bào)機(jī)制，評(píng)估風(fēng)險(xiǎn)數(shù)據(jù)信息的準(zhǔn)確性、一致性和及時(shí)性;三是評(píng)估風(fēng)險(xiǎn)模型、策略與其風(fēng)險(xiǎn)偏好的一致性，評(píng)估模型與風(fēng)險(xiǎn)策略的授權(quán)和決策機(jī)制;四是評(píng)估內(nèi)部審計(jì)對(duì)貸款業(yè)務(wù)的審查工作及其獨(dú)立性。最后，橫向管理事項(xiàng)，如消費(fèi)者保護(hù)與投訴、操作風(fēng)險(xiǎn)管理、應(yīng)急處置/業(yè)務(wù)連續(xù)性管理等方面的職責(zé)不明確、流程不清晰。審計(jì)應(yīng)對(duì)策略為：一是評(píng)估董事會(huì)、管理層、貸款業(yè)務(wù)團(tuán)隊(duì)、中后臺(tái)之間的組織架構(gòu)和職責(zé)分工情況;二是梳理消費(fèi)者保護(hù)與投訴、操作風(fēng)險(xiǎn)管理、應(yīng)急處置/業(yè)務(wù)連續(xù)性管理等管理機(jī)制，重點(diǎn)評(píng)估其考核評(píng)價(jià)體系。

（二）互聯(lián)網(wǎng)貸款業(yè)務(wù)主流程審計(jì)

互聯(lián)網(wǎng)貸款業(yè)務(wù)已將產(chǎn)品全流程的線上化、系統(tǒng)化、自動(dòng)化演化到極致，覆蓋從獲客、風(fēng)控到催收的各個(gè)環(huán)節(jié)，包括從產(chǎn)品設(shè)計(jì)、貸款營銷、身份核驗(yàn)、貸前調(diào)查、反欺詐、貸中審批、人工復(fù)核、貸款合同簽署、合同和數(shù)據(jù)檔案存儲(chǔ)、放款控制、貸款支付、貸后管理、催收清算到不良處置等。每一個(gè)互聯(lián)網(wǎng)金融產(chǎn)品，幾乎都由上述復(fù)雜環(huán)節(jié)所形成的流程支撐，因而往往蘊(yùn)含著極大的風(fēng)險(xiǎn)。同時(shí)，互聯(lián)網(wǎng)業(yè)務(wù)具有大批量的特點(diǎn)，單日借還甚至高達(dá)上百萬筆，所以單個(gè)客戶無法代表整體情況，面對(duì)龐大的業(yè)務(wù)量，傳統(tǒng)人工抽樣審計(jì)無法覆蓋足夠樣本，無法得到足夠且有效的審計(jì)結(jié)論，存在較大的審計(jì)風(fēng)險(xiǎn)。審計(jì)應(yīng)對(duì)策略應(yīng)從兩個(gè)層面入手：一是收集貸款全流程中貸前、貸中、貸后客戶及貸款管理各環(huán)節(jié)的行為日志，同時(shí)設(shè)立審計(jì)監(jiān)測(cè)規(guī)則用于考察貸款業(yè)務(wù)與貸款政策、業(yè)務(wù)流程的遵從情況，并建立自動(dòng)跑批程序運(yùn)行審計(jì)監(jiān)控規(guī)則（見圖2、圖3），快速得到異常樣本和風(fēng)險(xiǎn)事項(xiàng)，再基于審計(jì)監(jiān)控規(guī)則運(yùn)行的異常結(jié)果開展人工核查;二是關(guān)注貸款批次或基于客群的總體分析，建立貸款業(yè)務(wù)穩(wěn)定性指標(biāo)，通過批核率、拒絕率、不良變化率、不良回收情況等指標(biāo)將批次客戶畫像與貸款整體/行業(yè)內(nèi)水平進(jìn)行偏離度分析，通過分析性復(fù)核程序判斷是否存在某一客群、某一地域、某一時(shí)間等維度互聯(lián)網(wǎng)貸款業(yè)務(wù)存在異常特征。

（三）合作方平臺(tái)管理審計(jì)

互聯(lián)網(wǎng)生態(tài)融合了線上線下各類主體，形成了全鏈條生態(tài)系統(tǒng)，互聯(lián)網(wǎng)貸款業(yè)務(wù)往往也是如此，在生態(tài)圈內(nèi)貸款業(yè)務(wù)管理主體除輸出自身專業(yè)價(jià)值外，更重要的角色是資源整合者，將營銷獲客、共同出資發(fā)放貸款、支付結(jié)算、風(fēng)險(xiǎn)分擔(dān)、信息科技、逾期清收等各類機(jī)構(gòu)優(yōu)勢(shì)進(jìn)行整合，向用戶提供互聯(lián)網(wǎng)貸款服務(wù)。眾多合作主體依靠其專業(yè)優(yōu)勢(shì)，給信貸業(yè)務(wù)帶來自身價(jià)值的同時(shí)，也勢(shì)必產(chǎn)生較高的風(fēng)險(xiǎn)暴露，一是不同合作方之間的業(yè)務(wù)目標(biāo)、利益和激勵(lì)機(jī)制不盡相同，并未從金融本質(zhì)的角度考慮風(fēng)險(xiǎn)收益平衡，導(dǎo)致動(dòng)作變形，難以達(dá)到有效協(xié)同;二是受限于不同合作方的資源和技術(shù)短板，業(yè)務(wù)流程環(huán)節(jié)存在單點(diǎn)風(fēng)險(xiǎn)，導(dǎo)致貸款服務(wù)中斷、無法正常提供。審計(jì)應(yīng)對(duì)策略為：一是評(píng)估是否建立各類合作機(jī)構(gòu)的準(zhǔn)入、持續(xù)評(píng)估及退出機(jī)制，評(píng)估相應(yīng)的標(biāo)準(zhǔn)和程序是否完備，如業(yè)務(wù)資質(zhì)、經(jīng)營管理、風(fēng)控水平、技術(shù)實(shí)力、服務(wù)質(zhì)量、業(yè)務(wù)合規(guī)和機(jī)構(gòu)聲譽(yù)等;二是評(píng)估合作機(jī)構(gòu)之間簽署的合作協(xié)議，如合作范圍、操作流程、各方權(quán)責(zé)、收益分配、風(fēng)險(xiǎn)分擔(dān)、客戶權(quán)益保護(hù)、數(shù)據(jù)保密、爭議解決、合作事項(xiàng)變更或終止安排、違約責(zé)任等是否明確;三是對(duì)于合作共同發(fā)放貸款的主體，評(píng)估其業(yè)務(wù)中斷的應(yīng)急與恢復(fù)預(yù)案、損失共擔(dān)機(jī)制、避免單一機(jī)構(gòu)的集中度風(fēng)險(xiǎn);四是審查合作平臺(tái)風(fēng)險(xiǎn)是否納入全面風(fēng)險(xiǎn)管理框架，并設(shè)立相應(yīng)的風(fēng)險(xiǎn)監(jiān)測(cè)指標(biāo)持續(xù)追蹤、制定異常出現(xiàn)時(shí)的處理機(jī)制。

（四）數(shù)據(jù)和風(fēng)控模型管理審計(jì)

數(shù)據(jù)被譽(yù)為互聯(lián)網(wǎng)時(shí)代的新石油，是互聯(lián)網(wǎng)信貸風(fēng)控的生命線，在評(píng)估客戶欺詐風(fēng)險(xiǎn)、還款能力、還款意愿及貸后的監(jiān)測(cè)、預(yù)警和處置等方面得到廣泛運(yùn)用，但這種運(yùn)用本身又給信貸風(fēng)險(xiǎn)管理帶來數(shù)據(jù)層面的額外風(fēng)險(xiǎn)。互聯(lián)網(wǎng)貸款的數(shù)據(jù)源主要通過客戶的直接輸入或在客戶同意情況下通過第三方合法機(jī)構(gòu)提供，而這種便利性造成對(duì)數(shù)據(jù)提供方的依賴，甚至對(duì)方只要降低數(shù)據(jù)服務(wù)水平即可能對(duì)線上信貸業(yè)務(wù)造成較大影響。因此，數(shù)據(jù)獲取的合法性、合規(guī)性，數(shù)據(jù)來源的可靠性和可持續(xù)性應(yīng)是關(guān)注重點(diǎn)。審計(jì)應(yīng)對(duì)策略為：一是評(píng)估數(shù)據(jù)獲取的合規(guī)性，用戶隱私保護(hù)及多方授權(quán)協(xié)議是否存在實(shí)質(zhì)法律瑕疵;二是評(píng)估貸款業(yè)務(wù)流程中是否存在默認(rèn)勾選事項(xiàng)、是否按消費(fèi)者保護(hù)要求披露貸款詳情信息、是否存在過度收集客戶信息的情況;三是復(fù)核線上信貸平臺(tái)與數(shù)據(jù)源提供方之間的合作協(xié)議，在數(shù)據(jù)源中斷情況下是否存在可替代的數(shù)據(jù)提供方或存在過渡性安排;四是對(duì)于所有的重要數(shù)據(jù)源，了解是否制定數(shù)據(jù)質(zhì)量監(jiān)控指標(biāo)和例外處理機(jī)制，同時(shí)這些指標(biāo)和機(jī)制是否已覆蓋數(shù)據(jù)源涉及的重要決策變量。而自動(dòng)化運(yùn)行的風(fēng)控模型和策略是貸款業(yè)務(wù)的決策大腦，模型和策略的誤用或運(yùn)行不穩(wěn)定，將對(duì)信貸風(fēng)險(xiǎn)產(chǎn)生致命影響。相應(yīng)地，審計(jì)應(yīng)對(duì)策略為：一是評(píng)估風(fēng)險(xiǎn)模型治理的架構(gòu)，審查模型開發(fā)測(cè)試上線驗(yàn)證評(píng)審更新等流程設(shè)計(jì)以及執(zhí)行情況;二是評(píng)估風(fēng)險(xiǎn)監(jiān)測(cè)所用的模型算法，復(fù)核其提示或告警規(guī)則的設(shè)計(jì)與落地;三是復(fù)核整個(gè)信貸管理生命周期涉及模型的表現(xiàn)預(yù)警指標(biāo)，分析指標(biāo)設(shè)置的完整性和相關(guān)性;四是基于不良貸款，追蹤其過往風(fēng)險(xiǎn)監(jiān)測(cè)和處置記錄，復(fù)核告警規(guī)則是否得到有效觸發(fā)，并按既定策略得到追蹤跟進(jìn);五是確認(rèn)風(fēng)險(xiǎn)監(jiān)測(cè)所用的策略、指標(biāo)和數(shù)據(jù)源本身是否也得到持續(xù)監(jiān)控和復(fù)核，并將最新的風(fēng)險(xiǎn)態(tài)勢(shì)納入。

（五）信息系統(tǒng)層面審計(jì)

為滿足互聯(lián)網(wǎng)貸款批量化、高并發(fā)的業(yè)務(wù)特點(diǎn)，通常采用分布式信息系統(tǒng)架構(gòu)以達(dá)到高可用又同時(shí)滿足低成本運(yùn)維要求。在分布式系統(tǒng)架構(gòu)的系統(tǒng)審計(jì)中除關(guān)注信息系統(tǒng)開發(fā)、測(cè)試、運(yùn)維、信息安全、數(shù)據(jù)中心等傳統(tǒng)ITGC（Information Technology General Control，信息科技通用控制）審計(jì)內(nèi)容外，還應(yīng)重點(diǎn)關(guān)注如下風(fēng)險(xiǎn)并采取審計(jì)應(yīng)對(duì)：一是評(píng)估分布式架構(gòu)數(shù)據(jù)處理吞吐量和交易速度等容量指標(biāo)，評(píng)價(jià)其與業(yè)務(wù)場景的適用性，同時(shí)審查分布式數(shù)據(jù)庫數(shù)據(jù)一致性的保障及數(shù)據(jù)回滾機(jī)制;二是對(duì)于系統(tǒng)和信息安全，應(yīng)評(píng)估網(wǎng)絡(luò)邊界安全、云服務(wù)安全以及內(nèi)部網(wǎng)絡(luò)安全機(jī)制，關(guān)注客戶端程序安全防護(hù)能力，除關(guān)注系統(tǒng)安全框架及防護(hù)工具等控制措施的運(yùn)行情況外，審計(jì)應(yīng)采用滲透測(cè)試的方法從反向視角發(fā)現(xiàn)和偵測(cè)安全漏洞，借款人信息保護(hù)是金融業(yè)務(wù)合規(guī)運(yùn)行的底線，所以應(yīng)從外部入侵、內(nèi)部業(yè)務(wù)及管理、合作機(jī)構(gòu)及硬件終端等方面評(píng)估數(shù)據(jù)泄露風(fēng)險(xiǎn)，審查數(shù)據(jù)生成、加工、流轉(zhuǎn)及傳輸保護(hù)機(jī)制的設(shè)計(jì)和執(zhí)行情況;三是對(duì)于合作機(jī)構(gòu)的系統(tǒng)風(fēng)險(xiǎn)管理，應(yīng)評(píng)估合作機(jī)構(gòu)的信息系統(tǒng)服務(wù)能力、可靠性和安全性及敏感數(shù)據(jù)的安全保護(hù)能力，關(guān)注聯(lián)合演練和測(cè)試及業(yè)務(wù)連續(xù)性管理。

（作者單位：深圳前海微眾銀行股份有限公司，郵政編碼：518000，電子郵箱：Leslieyan@webank.com）