ISACA Journal | 论持续审计和风险监控在信贷额度管理中的落地

根据内部审计师协会(IIA)的说法,持续审计是一种新模式,它从基于交易样本的风险因素和控制措施进行定期评估转变为基于更大比例的交易的持续评估。这种方法非常适合零售贷款业务,尤其是信用卡贷款的数字化进程比银行业的其他部门更快,加快了其数据准备以适应持续审计。此外,零售贷款的第一道防线和第二道防线都采用了统计技术(如记分卡建模)来支持决策。作为第三道防线,审计领域必须采用更具持续性的方法才能迎头赶上。然而,零售贷款中有一个领域更适合持续审计:信贷额度管理。虽然信贷额度管理本身并不是内部审计师的主要职责,但它给审计师带来了独特的复杂性,需要更加积极主动地进行持续监控。通过采用这种方法,审计人员可以更顺利地应对复杂情况,并为第一道防线和第二道防线提供更及时、更有价值的见解。

信贷额度分配

在竞争激烈的零售贷款领域,信贷额度分配是关键。通常情况下,初始信贷额度会分配给经银行承销流程批准的借款人,并根据盈利能力和风险管理因素进行后续调整。信贷额度分配管理不善会产生某些负面影响:

  • 如果借款人没有经济能力处理新的、更高的信贷额度,增加其信贷额度可能会造成意想不到的信贷损失。

  • 如果借款人因不谨慎地提高信贷额度而被诱使背负难以承受的长期债务,监管问题就会产生。

  • 减少或暂停信贷额度可能会激怒借款人,因为他们可能会将所分配的信贷额度视为一种地位象征或价值体现。因此,他们可能会向监管机构投诉或选择拖欠未来的还款。

与信贷额度管理有关的审计关注点和挑战

审计人员在审查零售银行业的信贷额度管理时,必须考虑银行用于测试、审查和实施信贷额度策略的适应性(挑战者/冠军)方法:在同一目标客户细分市场上,新策略(挑战者)与现有策略(冠军)并行实施,以在广泛实施前获得验证。审计人员可能需要应对的一些挑战包括:

  • 迭代优化——策略的每一次迭代都是对下一次迭代的经过微调的有用输入。只要遵守既定的标准和程序,某一单次迭代未能实现预期目标并不一定是问题。

  • 时间框架延长——挑战者/冠军策略可能需要几个月到一年甚至更长的时间才能取得成果,因为借款人会按照商定的时间表偿还债务或拖欠债务。审计人员可能会遇到项目持续时间比平常更长的情况。

  • 新兴风险——挑战者/冠军策略的实施需要不断尝试客户细分、目标定位和信贷条款,这些可能与现有的信贷标准和规范不同。潜在的风险因素和漏洞可能会出现。

迈向持续和智能的审计方法

信贷损失是贷款业务不可避免的一部分,预计的损失水平会被纳入向借款人收取的利息中。审计师应重点关注因信贷额度管理不当而产生的未知和意外信用损失。要挖掘这种未知风险,审计师需要一种更加混合和智能的方法,其中包括三个组成部分:

  1. 持续保证——基于规则的持续评估,以保证基线控制

  2. 持续监控——根据审计重点指标,密切跟踪信贷额度策略的执行情况和绩效

  3. 持续智能——利用机器学习(ML)识别高风险部分,并探索审计人员先验知识之外的审计关注的特征

所有这三个组成部分都可以无缝整合到审计过程的各个阶段(图1)。

 微信图片_20241112111438.png

持续保证

信贷额度策略受到某些限制。例如,在美国,提高信贷额度(credit line increase ,CLI)必须有借款人支付能力的证明文件。此外,银行还采用一套资格和排除规则。这些规则通常作为银行账户管理流程中的自动控制措施来实施,并可纳入持续保证策略。

图2举例说明。

微信图片_20241112111711.png

持续监控

审计人员要全面评估信贷额度管理风险,需要进行两方面的监控。

实施情况监控

这一过程评估是否已适当实施并按预期使用了CLI和减少信贷额度(credit line decreases ,CLD)。这种监控应定期进行,频率应与银行的风险状况和风险偏好相适应。图3说明了对以下因素的每月监控情况:

  • 指标——受CLI和CLD影响的子群体的信用评分分布与同一时期整个投资组合的比较。

  • 审计关注——CLI/CLD相关风险评分分布是否与银行的风险偏好和目标细分相匹配,如果不匹配,是否有针对相应CLI/CLD活动的可靠业务决策支持

 微信图片_20241112111714.png

注:级别小计是指在相关月份内,每个风险评分级别的借款人占投资组合中借款人总数的百分比;CLI是每个风险评分级别中获得评分增加的借款人的百分比;CLD是每个风险评分级别中获得评分下降的借款人的百分比。

结果情况监控

这一过程可验证信贷额度策略是否按预期执行。审计人员关注的一个重点是拖欠,这是信贷损失的先行指标。根据每次CLI/CLD活动后拖欠发生所需的时间,应适当定义绩效窗口。图4展示了基于以下因素的6个月绩效窗口:

  • 指标——同一时期受CLI/CLD影响的风险分级次级人群与整个投资组合的逾期比率

  • 审计关注——审计人员应评估:(1)在同一批CLI活动中,不同信用风险评分等级之间是否存在单调的逾期趋势(例如,逾期率随着借款人向评分较好的等级移动而持续下降,反之亦然);(2)在每个风险评分等级中,CLI借款人的表现是否持续好于本级平均水平,而CLD借款人的表现是否持续差于本级平均水平。(一般来说,表现较好的借款人会获得CLI,而表现不佳或处于风险中的目标借款人则会获得CLD)。如果任一答案为“否”,审计人员应调查相关CLI/CLD活动的实施情况和支持分析。

 微信图片_20241112111717.png

注:等级平均值(Tier Avg)是指在各风险评分等级中,6个月后发生逾期的借款人所占百分比;CLI是指在各风险评分等级中,6个月后发生逾期的CLI借款人所占百分比;CLD是指在各风险评分等级中,6个月后发生逾期的CLD借款人所占百分比。

持续智能

人工智能和机器学习的进步使审计人员能够探索在传统上被隐藏的风险因素。以下四步流程使用了一种称为决策树的基本机器学习算法,可自动划分高风险借款人:

1.数据输入——通过定义一个目标变量,即借款人在绩效窗口内的逾期状态(例如,如果借款人在最近一次CLI后的六个月内曾逾期一定天数)。有关借款人行为的信息,最好是与CLI策略相关的信息(如前期和当前的余额或年利率、信用评分、逾期记录),将作为输入信息,以便于对单个借款人进行细分。

2.树切分算法——这一步通过对输入特征进行二元切分来创建决策树。输出结果是一个节点结构,每个节点包含一组借款人。每个节点要么是叶节点,要么是进一步切分的节点。这些切分是由旨在最大化每个节点中借款人同质性的算法选择的。图5提供了一个简化示例,根据三个特征(CLI频率、信贷额度使用情况和过去的逾期情况)对借款人进行拆分,共产生五个叶节点。

3.剪枝——一旦决策树建立起来,每个叶节点会在一个称为剪枝的机制中进行评估和选择。为了识别与高风险CLI相关的分段,建议使用以下评估标准:

  • 每个节点包含最少数量的样本(即借款人)。(注意:如果阈值设置过低,决策树的结果可能无法转化为有意义的业务信息。)

  • 每个节点都有一个高于阈值的提升值,即叶节点中样本的逾期率除以整个组合的逾期率。(注:提升值最好为3或更高,以确保只有真正的高风险部分才会被识别出来进行后续跟进。)

 微信图片_20241112111719.png

不符合上述任一标准的节点将被“剪枝”,或从分段中剔除,以进行后续审计跟踪。

在图5中,为便于说明,将最小样本量(samples)和提升值(lift)的阈值分别定义为500和3。因此,与第3-5段相关的叶节点将被丢弃(其不合格标准用红色标出),而第1和第2段将进一步跟进审计。

4.协作——持续智能可与持续审计的其他组成部分协作。例如:

  • 审计人员可以调查之前确定的高风险部分是否符合相关信贷标准。如果在执行信贷标准时出现例外情况,可将其纳入持续保证。

  • 在持续监控中,可将高风险部分添加到风险评分等级。这有助于审计人员持续跟踪未来信贷额度策略如何处理高风险部分。

部署持续审计

作者在部署持续审计方面的主要经验包括:

  • 对于持续保证和监控——从信贷额度管理的第一道线和第二道线的洞察中得出的审计规则和度量标准,最好情况是应嵌入到风险引擎和系统中。这样,审计人员就能随着信贷额度管理活动的进展及时获得最新信息。

  • 对于持续智能——这种探索性过程依赖于机器学习平台,可通过适当的访问控制措施来保障数据安全,从而用于内部审计功能。

但最重要的是,持续审计的成功部署取决于内部审计与其他职能部门(包括产品、风险和技术团队)之间的无缝协作。 

结论

随着信贷额度管理活动的不断改进,银行在市场上的竞争力不断增强,审计人员必须与时俱进,才能在这一动态领域保持相关性和有效性。在这种情况下,持续审计非常适合,因为它提供了源源不断的新思路和灵感,可以通过新兴技术释放出来,帮助审计人员对组织产生更大的影响。

编者注:本文出自ISACA Journal 2024年第5期。尾注略。文章内容仅代表作者本人观点。

TERRENCE CAI | CISA, CIA, CISSP, FRMS, 是中国一家数字银行的内部审计师。他负责该银行贷款业务(包括消费贷款和小企业贷款)的持续审计解决方案和审计分析。

翻译:王岩(Liam Wong),CISA、CIA、CDPSE、CISM、CISSP、CZTP、CISP-F、PMP、OCM 11g/12c、PGCA、OBCA、MCDBA、MCSE,ISACA微信公众号特邀通讯员 

校对:王亮(Lionel Wang),CISA,ISACA微信公众号特邀通讯员,致力于网络安全、数据安全、个人信息保护、工控安全以及IT审计方向的研究