沈恂

我國商業(yè)銀行內部審計存在的問題

內部審計機構缺乏獨立性，委托代理關系不清。根據(jù)2016年銀監(jiān)會頒布的《商業(yè)銀行內部審計指引》（以下簡稱《審計指引》）的規(guī)定：“商業(yè)銀行應建立獨立垂直的內部審計體系。董事會應下設審計委員會。監(jiān)事會對本銀行內部審計工作進行監(jiān)督，有權要求董事會和高級管理層提供審計方面的相關信息。商業(yè)銀行的總審計師對董事會及其審計委員會負責?！爆F(xiàn)實中各大商業(yè)銀行相繼組建了自己的內審機構，主要有總行/一級分行、總行/一級分行/二級分行兩種模式，但兩種模式都存在內審機構隸屬于本級分行管轄的“內部人治理”的問題，影響了內審機構工作的獨立性、公正性和權威性。此外，我國商業(yè)銀行內審部門除向董事會（審計委員會）負責外，還需向監(jiān)事會和行長匯報工作。這種公司治理架構使內審部門同時與治理層和經營層形成委托代理關系。由于治理層和經營層的責任及目標不一致，其對內部審計的要求存在差異，這直接導致內部審計在審計目標和定位上存在模糊。

內部審計的職能仍停留在初級階段。目前我國商業(yè)銀行的內部審計職能主要是對財務報表的真實性和業(yè)務活動的合規(guī)性進行審查，審計的主要目標是查錯防弊而不是對銀行經營管理做出分析、評價進而提出管理建議。根據(jù)對我國商業(yè)銀行內部審計工作現(xiàn)狀的調查顯示，內部審計機構將91%的時間和精力投入到財務審計、業(yè)務經營審計等初級職能上（高于62%的國際平均水平），卻很少提供內部評價和咨詢等增值服務。因此，內部審計亟待轉變角色定位，將工作重點從保證職能轉移到咨詢服務職能上。

審計方法較為陳舊，風險導向審計尚未完全應用。首先，我國商業(yè)銀行內部審計仍停留在手工操作和現(xiàn)場檢查階段，主觀判斷多，科學的風險分析方法運用得少。在目前銀行業(yè)以防控風險為主題的背景下，這種原始、傳統(tǒng)的工作方法由于依賴大量人工操作，存在效率低下、成本高的缺點，已逐漸無法適應商業(yè)銀行加強公司治理和內部控制的需要，影響了內部審計基本職能的運用。其次，我國多數(shù)商業(yè)銀行尚未應用風險導向審計模式，風險評估和風險識別所依賴的審計模型尚處于初創(chuàng)階段，缺乏參數(shù)設置和歷史數(shù)據(jù)的檢驗。最后，我國內部審計的信息化程度不高，信息搜集處理多依賴人工操作，在銀行金融創(chuàng)新蓬勃發(fā)展、信息大數(shù)據(jù)化的時代，這種原始的信息處理模式已經很難適應銀行的業(yè)務擴張步伐。

審計人員隊伍薄弱，素質有待提高。長期以來，我國商業(yè)銀行一直對內部審計不夠重視，內審人員較少、部分內審崗位等由其他部門人員兼任，且內審人員素質參差不齊。另外，隨著內部審計工作由財務領域向經營管理領域的拓展，內部審計人員的專業(yè)需求趨于多元化，不僅要有懂財務及審計的專業(yè)人才，還應配備精通各項相關業(yè)務的專門人才，但我國商業(yè)銀行內審人員結構比較單一，基本由審計專業(yè)人員構成。由于內審部門業(yè)務的專業(yè)性較強，該部門與銀行其他部門之間的內部交流輪崗機制尚未成熟，導致內審人員對商業(yè)銀行的前沿業(yè)務和金融創(chuàng)新業(yè)務接觸較少，影響了審計效率。

內部審計與外部審計缺乏協(xié)調溝通合作。近年來，一系列商業(yè)銀行案件的爆發(fā)（如山東齊魯銀行金融詐騙案），使得商業(yè)銀行外部審計與內部審計協(xié)調溝通問題日益顯露。由于缺乏必要的溝通協(xié)調機制，無法產生內部審計與外部審計的協(xié)同效應。內部審計既不能為外部審計提供必要的審計信息，也沒有來自外部同行的監(jiān)督制約，使得其缺少戰(zhàn)略性和長遠動力。

西方商業(yè)銀行的內部審計特點

西方商業(yè)銀行經營發(fā)展歷史悠久，在長期的實踐過程中逐步建立起一套與公司治理結構相適應、內審獨立性較強、審計目標明確、審計質量較高的內部審計監(jiān)督體系。具體有以下幾個特點：

獨立公正的審計組織機構。為防范“內部人控制”行為造成的道德風險問題，國外商業(yè)銀行一般都專門成立獨立于經營層、僅對銀行董事會負責的內部審計組織機構。巴塞爾委員會公布的內部審計文件也要求：“銀行內部審計必須獨立于被審計的活動，也必須獨立于日常的內部控制程序?！边@意味著內部審計應在銀行內部具有恰當?shù)牡匚?，以便客觀、公正地執(zhí)行任務。西方多數(shù)商業(yè)銀行都依照此原則設置本行的內審機構。以美國花旗銀行為例，董事會下設的審計與風險管理委員會統(tǒng)一領導全行的審計工作，向董事會匯報工作并負責。審計委員會管轄的內部審計部門相當于總行部門級別，審計委員會設首席審計官（副總裁級別），但不向總裁匯報工作，而是直接歸審計委員會領導，審計委員會主任及副主任均為獨立董事。為了保證不受干擾的執(zhí)行審計業(yè)務，各地分行一律不設內審部門，而由總行在各地設若干個與當?shù)胤中胁o隸屬關系的審計中心，其預算、人員均與各分行無關。與美國相比，德國商業(yè)銀行的審計獨立性更強。德國部分商業(yè)銀行按借款業(yè)務、零售業(yè)務、結算業(yè)務、信息技術等條線設置審計中心，由各審計中心對各分行相關業(yè)務條線所屬部門對接審計。這樣設置避免了屬地化造成的與地方分行不可避免的日常接觸，將內審機構的獨立性和權威性提升到新的高度?？傊鞣姐y行內審機構設置確保內審部門獨立不受干擾地確定審計范圍、審計目標并設計實施審計計劃，越過管理層直接向董事會匯報審計結果。這種設置方式為提升內部審計獨立性和有效性，發(fā)揮內部審計的管理評價職能提供了組織保障。

除了機構設置，西方銀行還十分重視其內審機構、人員獨立性的保持。例如，西方銀行通常每隔一段時間將內審部門人員進行崗位輪換，避免某崗位人員由于與被審計部門長期接觸產生不利于獨立性的判斷。同樣為了維持獨立性，西方商業(yè)銀行還采取了其他措施，例如，內審部門被禁止介入銀行日常經營管理，并確保絕大多數(shù)內審人員從外部招聘；為了避免內審人員自身的道德風險，銀行大多要求對審計工作底稿進行定期的質量控制和評價復核，并確保內審人員的薪酬不與銀行經營情況按比例掛鉤等等。

以內控評價為主的風險導向內部審計模式。隨著審計目標、審計范圍的拓展和審計技術的飛速進步，傳統(tǒng)賬項審計已越來越無法適應內部審計的內在發(fā)展需要，西方商業(yè)銀行正在擺脫傳統(tǒng)方法的束縛，更多運用現(xiàn)代審計技術。巴塞爾委員會的調查結果顯示，接受調查的西方銀行內部審計均采取以內控評價為基礎的現(xiàn)代審計理念，以評價內部控制體系的完整性、有效性為主，對重要業(yè)務或內控系統(tǒng)存在較大缺陷的部分采用實質審計程序。部分商業(yè)銀行還引入了“風險導向”審計方法，該方法緊緊圍繞風險防范開展內部審計工作，并借助計算機技術來進行風險測定。美國商業(yè)銀行是風險導向審計的典范。一般來說，美國內審部門會著重檢查和評估銀行在戰(zhàn)略風險、網絡風險、政治風險、信用風險、市場風險、操作風險、人力風險及法律風險等八個方面是否存在漏洞，并根據(jù)風險暴露的程度確定審計對象和相應的審計計劃。而后，內審部門會建立由風險損失、風險程度及內控水平組成的三維矩陣式分析方法，內審部門運用定量和定性的指標來計量被審計主體的固有風險， 通過定量的風險評估模型、風險問卷或打分表結果，將不同分支行、部門、品種分為高、中、低三個風險等次，并對被審計主體的內部控制系統(tǒng)進行評估，以識別能降低固有風險的控制因素。對內部控制環(huán)境差、風險等級高的業(yè)務部門、分支機構及業(yè)務品種加大審計頻率和監(jiān)控力度。

高素質的內部審計人員隊伍。巴塞爾委員會的《內部審計文件》指出，內部審計師的專業(yè)水平是內部審計正常發(fā)揮作用的關鍵因素。西方商業(yè)銀行一般要求各級內審人員（從部門主管至普通員工）都有良好的教育背景，另外具有注冊審計師、注冊會計師等職業(yè)資質也是必備的技能。為保證內部審計有效開展，內部審計人員在全行員工中占有一定的比例，一般達到1%以上。另一份根據(jù)美國商業(yè)銀行內部審計人員的抽樣調查資料表明：受調查的美國商業(yè)銀行內部審計人員中，有良好教育背景（如高等學位）或專業(yè)技術資質（如注冊會計師、注冊內部審計師）的人員超過50%。另外，西方銀行大多采取不同措施保持內部審計人員的專業(yè)能力，如在職培訓、正式的內部和外部培訓（注冊審計師也應繼續(xù)接受強制性的再培訓）以及審計部門內部的輪崗等。

政策建議

從公司治理架構層面改善內部審計的獨立性，減少委托代理層級，建立垂直集中的內部審計匯報管理體系。各商業(yè)銀行應考慮在總行層面設立內部審計部門（一級分行以下一律不設），在管理層設置總審計師崗位（副行長級），并規(guī)定總審計師直接向董事會審計委員會匯報工作；在全國各大區(qū)設立若干審計中心，大區(qū)審計中心再向一級分行（及所屬機構）派駐審計組；審計中心的人員編制、預算和薪酬歸屬總行內審部門，由總行內審部門統(tǒng)一制定審計計劃。這樣既可以避免“內部監(jiān)督”的問題，使內審部門有效行使監(jiān)督權，也有效改善了內審部門受治理層和管理層多頭管理的弊端，增強委托代理的約束力。

加快風險導向審計模式在我國商業(yè)銀行落地。首先，應解決風險評估結果的量化程度差的問題。我國商業(yè)銀行應增強對風險事件定量分析研究的力度，內審部門應對風險環(huán)境、風險事件的變化加強分析，根據(jù)實際情況適時調整系統(tǒng)模型參數(shù)，隨時跟蹤不斷變化的風險。其次，應加強內控制度建設作為風險導向審計的制度基礎。風險導向審計以內控有效性為評價依據(jù)，對于尚未形成有效內控制度的商業(yè)銀行，應先完善自身的內控制度，并以內控制度為“抓手”推進風險導向審計方法的應用。最后，風險導向審計的推進是循序漸進的過程，在內控制度和風險評價體系尚未完善前，仍應以查錯防弊的實質性審計程序為主。

通過信息化改造，實現(xiàn)以信息化程度較高的非現(xiàn)場審計為主、以傳統(tǒng)人工操作的現(xiàn)場審計為輔的全新審計手段。我國商業(yè)銀行應在銀行業(yè)務系統(tǒng)之外增設流程化、模塊化的內部審計集中管理平臺。審計平臺通過業(yè)務數(shù)據(jù)接口從銀行業(yè)務系統(tǒng)攫取數(shù)據(jù)的同時，保持一定的獨立性以隔離風險，并通過定期執(zhí)行數(shù)據(jù)采集和自動分析，為財務風險和內部控制風險提供早期預警。通過以上信息化手段，可以保證銀行內審部門及時獲取業(yè)務信息并開展日常非現(xiàn)場審計，實現(xiàn)輔助審計，使其對經營風險持續(xù)監(jiān)控的同時，可以縮短審計時間，降低審計成本，擺脫人工審計存在的遺漏差錯，逐漸達到風險評估數(shù)字化、數(shù)據(jù)分析自動化的目標。

充實內審人才隊伍，加強繼續(xù)教育，完善內部輪崗交流機制。首先，我國各商業(yè)銀行應通過外部招聘與內部調動相結合的方式增加內審人員數(shù)量，以滿足《審計指引》要求的員工總數(shù)1%的硬性指標。其次，各商業(yè)銀行應建立市場化的內部審計崗位人員準入與退出機制，通過市場化的薪酬將懂風險管理、信息技術、審計知識的人員，尤其是掌握金融衍生品、網絡銀行、理財產品的經營管理的優(yōu)秀人才吸收進內審隊伍。再次，以各種形式鼓勵內審人員加強自我學習提升業(yè)務水平，如為在業(yè)余時間取得執(zhí)業(yè)資格的人員報銷考試費用或提供物質獎勵等。最后，保證每年有內審人員交流到相關部門工作，以促使現(xiàn)有內審人員了解銀行新業(yè)務、新流程、新風險，以適應銀行業(yè)務與產品拓展的審計工作。

依托外部專業(yè)人士的技術優(yōu)勢，充分發(fā)揮內外審的協(xié)同效應。由于銀行業(yè)在金融業(yè)門類中屬于業(yè)務類型最多、專業(yè)要求最高的行業(yè)，內部審計人員無法做到所有業(yè)務領域知識的全覆蓋，應盡可能利用外部專家的專業(yè)優(yōu)勢解決問題。如在電子銀行、銀行信息系統(tǒng)等技術領域聘請信息技術專家，借助其專業(yè)知識提高審計效率；將金融衍生品業(yè)務、投行業(yè)務等對金融專業(yè)知識要求較高的業(yè)務外包給專門的審計機構。

（作者單位：中國社會科學院研究生院）