2020，银行关联交易模型审计探索与实践，《中国注册会计师》第11期。

一、数字化金融的风险控制和审计

（一）金融科技的组成

      金融科技的组成分为四项，即IT、DATA、Fin和Risk，IT包括传统的互联网技术以及新兴的区块链分布架构等；DATA就是数据，金融科技离不开数据，没有数据的话也谈不上金融科技；Fin是金融产品，金融产品跟科技数据更好的融合；Risk是风险，金融产品离不开风险。

（二）金融科技的转型

      金融科技转型包括七个方面，即业务流程转型、客户契动和体验、产品或服务数字化、IT和交付转型、组织文化、战略和生态系统。

（三）金融科技的定义

      中国人民银行对金融科技定义是技术驱动的金融创新，针对金融创新整个战略定位是发展的新引擎、新途径、新机遇、新利器。从实践来看，金融科技是一个利器，但还是要思考三个方面的问题，一是金融产品，二是经营模式，三是业务流程。金融产品是思考怎么去创新，哪些产品是属于金融科技产品。经营模式是思考采取什么样的经营模式，经典的传统的经营模式是否还适合，不过以各个单位在实施过程中的经验来看，金融科技的经营模式跟传统的经营模式不太一样。业务流程是过程性的事项，如果业务流程和岗位职责定位不好，那么对整个金融创新跟运维里面都会带来巨大的影响。

（四）金融科技的发展目标

      金融科技的发展有四个目标，一是保证金融科技应用的先进可控，二是保证金融服务能力的稳步增强，三是金融风控水平的明显提高，四是金融科技支撑的不断完善。从金融科技的发展目标来看，也能体现出来金融科技对一个银行或者对金融机构的内部建设和发展规划，也应该体现这四个目标。

（五）金融科技的基本原则

      从合规来看有四个基本原则，即守正创新、安全可控、普惠民生和开放共赢。

（六）金融科技带来的挑战

      银行互联网贷款管理的暂行办法的解读

      银行互联网贷款管理的暂行办法中对金融科技数据的要求很高，如果没有有效的对数字数据的风险管控的话，一个产品也很难去实施，因此首先就是对数据的监管，第一要对风险数据进行监管，然后通过数据进行身份认证、风险识别、风险分析、监测预警跟处置。第二是对隐私数据保护，第三是发展规划，即金融机构对数据本身有什么样的建设规划，金融机构必须保障数据的持续获得性和有效性。第四是数据治理

      其次是对风险模型的管控，第一是需要在认证、反欺诈、反洗钱、合规、风险评估等等这些方面调研模型。第二是模型治理的问题，相当于怎么管好模型，模型该怎么去管，如怎么来评价这个模型有效性，怎样能够在模型治理里面使各岗位有效履职。

      再次是对科技风险的管控，科技风险更加是大家需要关注的风险，不论是互联网贷款还是金融科技，在科技风险方面相对于原先都发生了很大的变化。

      最后是对业务方面的管控，一是要做好消费权益的保护，二是对合作风险的把控，是针对合作伙伴怎样去做一些风险的把握跟评估，三是发展规划的问题，即金融机构怎样去规划产品，怎样能保持发展的定力，这也是从治理层面去看待事项。

二、金融科技风险与内控点的建设

      内控点的建设包括法律法规、战略规划、激励约束、规章制度、操作指引、标准规范、工具建设、技术储备、人才储备和评价监督等10个方面。

      第一是法律法规的问题，现在监管很严，创新一定要遵守法律法规。因此法律法规首先是在内控建设中特别要去关注的事项。

      第二是战略规划，即想做什么？目的是什么？朝哪方面去建设？规划的问题也是一个非常重要的事项。

      第三是激励约束，任何一个创新产品都会有成功会有失败，所以激励约束特别重要。

      第四是规章制度，在金融科技里面规章制度是很难建设的，特别是因为现在金融科技发展时间还不是很长，要使一个制度能够跟产品相配套、相挂钩是很不容易的，通常情况下规章制度是滞后于产品本身的发展。

      第五是操作指引，在规章制度很难制定的情况下，操作指引有时候会更好一点。

      第六是标准规范，在金融创新里面怎样做是合适的，怎样做能更好的控制，需要一些规范建设，在外部的标准规范不是很充分情况下，内部需要做一些标准规范建设。特别是针对一些行业来说，标准规范建设是特别重要的。

      第七是工具建设，工具包括很多，模型、风险监控、反欺诈这些都是工具，因此工具建设非常重要，依靠工具才能够让日常的管控更加到位。

      第八第九是技术储备和人才储备的问题，技术储备是否到位，人才储备是否有效，也是关系着金融服务的能力的事项。第十是评价监督，一定要有个评价监督体系，作为内控点的建设来说评价监督是非常重要的一个方面。

三、金融科技模型风险审计的评价

      风险来源有两个方面，一个是模型出错，一个是模型误差。模型出错也分为两个方面，一个是结果出错，一个是使用不当，结果出错可能是本身操作风险带来的一些出错了，使用不当可能是使用模型过程中配置和取值错误导致的。模型误差也分为两个方面，一个是模型本身的误差，一个是模型应用的误差。

      规章制度方面，一是要有风险政策跟风险偏好。既然有误差和出错，那么就需要对风险偏好进行设置。二是要严格控制出错的问题，因为出错的问题会带来更大的风险。

      操作指引方面，这里头就有一些管理指引，对这个模型本身，从数据的清洗、数据的获取、数据的评估、数据的安全、数据治理，一直到模型的开发，模型的测试，模型的评估、模型的应用，包括模型的下线，这一系列都应该遵循什么样的一些流程，应该有明确的管理指引去保障整个模型本身得到有效管控。

      标准规范方面，针对不同的产品，针对不同的生态环境，还有针对产品本身的阶段，对模型本身的误差或者本身的一些参数的标准划分都会有一些不太一样的地方。

      战略规划方面，这里有模型治理的问题，因为互联网的特点就是产品为王，这方面的数据也是非常重要的一个战略资源。那么针对这些数据该怎么去应用，不同的产品之间这些产生的数据或者获得的数据该怎么统一管控，这都是要去仔细去规划的问题。

      工具管理方面，这个特别重要，一是过程管控，需要保障整个模型本身的过程得到有效的管理。二是对模型监控，针对各个产品它的模型做持续性的监控。

      模型技术方面，需要考虑这些模型数据该怎么去获得以及如何去研发。

      模型人才方面，针对模型人才里面应该分几类，如模型建设的和模型应用的是不太一样的，建模更加是看一个模型做的好不好，稳定不稳定。

      监督评价方面，包括日常的监督和评审和模型本身的监督和评审，一是应用评价，怎样去看模型使用的好不好，是市场的原因，是模型本身的原因，是数据的原因，还是内部本身决策的原因，以及评价该怎么去做。二是责任认定事项，对经典的传统的这些产品做责任认定，大家都有一些很好的成熟的经验。但是针对模型方面，责任认定应该怎么修正也是一个特别有意思的话题。三是模型审计，如何有效履行模型审计工作，也是在风控过程中一个重点的环节。

      来源：2020TGES系列论坛-03：内控合规、造作风险管理和全面风险管理《数字化金融的风险控制和审计》演讲文稿整理