王雨倫

一般來說，內(nèi)部審計作為第三道防線，不會直接執(zhí)行業(yè)務控制措施，但是當治理和監(jiān)督職能緊密結(jié)合時，商業(yè)銀行內(nèi)部審計部門可能會被要求承擔風險管理、合規(guī)管理、法規(guī)監(jiān)督，以及其他活動。當個人或部門被賦予雙重責任時，應考慮實施職責分離。在內(nèi)部審計可能作為第二道防線的情形下，IIA發(fā)布的《內(nèi)部審計與第二道防線》為確保內(nèi)部審計獨立性和客觀性不受影響提供了指引。

一、良好的治理架構(gòu)概覽

1.三道防線模型。

如圖1所示，三道防線模型有效描述了風險管理和控制職責。第一道防線負責在業(yè)務操作過程中有效執(zhí)行各項內(nèi)外部控制措施，以及監(jiān)控業(yè)務流程。第二道防線由單獨建立的風險控制和合規(guī)監(jiān)督職能構(gòu)成，以確保第一道防線內(nèi)業(yè)務流程和控制措施有效運行，其性質(zhì)和類型受行業(yè)和組織成熟度等諸多因素影響。第三道防線包括內(nèi)部審計，主要為業(yè)務流程和控制過程提供獨立保證。第二道防線和第三道防線均承擔風險監(jiān)督或管理職責，兩者的主要區(qū)別在于是否擁有獨立性和客觀性。

2.內(nèi)部審計部門的獨立性和客觀性。

《國際內(nèi)部審計專業(yè)實務標準》“1100——獨立性與客觀性”規(guī)定，內(nèi)部審計部門必須保持獨立性，內(nèi)部審計師必須客觀地開展工作。根據(jù)該條釋義，只有當首席審計執(zhí)行官在職能上直接向董事會報告，其任免、薪酬均由董事會批準的情況下，內(nèi)部審計組織上的獨立性才能有效實現(xiàn)。如果第二道防線領(lǐng)導者在職責上直接向管理層報告，通常認為，該第二道防線不具備獨立性。

內(nèi)部審計獨立性和客觀性強化了董事會和管理層對內(nèi)部審計的依賴。董事會和管理層依靠內(nèi)部審計有效開展風險控制和管理，不斷提高組織治理水平。然而，隨著風險范圍的擴大和組織治理要求的提高，要保證內(nèi)部審計的獨立性和客觀性，則需要更多的控制和保障措施。

二、內(nèi)部審計與第二道防線職責

1.第二道防線的功能。

在部分商業(yè)銀行，可能要求首席審計執(zhí)行官額外承擔第二道防線職責，這往往是受組織規(guī)?；虺墒於扔绊?，或是采取新的風險管理或合規(guī)舉措所導致的結(jié)果。如果不妥善客觀處理，內(nèi)部審計的獨立性和客觀性將可能受損。另外，監(jiān)管標準和業(yè)界經(jīng)驗做法也可能要求采取特定的第二道防線活動，如加強風險管理協(xié)調(diào)或合規(guī)審查。在商業(yè)銀行工作實務中，與第二道防線職責相關(guān)的行業(yè)標準可能包括：金融服務業(yè)監(jiān)管要求、法律法規(guī)事務、案件防范與員工禁止性行為的規(guī)定等。

2.內(nèi)部審計與第二道防線活動。

即使一個組織具備良好的風險管理和治理規(guī)劃，以及強大的資源稟賦，內(nèi)部審計與第二道防線的職責仍然可能模糊。例如，在表1所列情形下，首席審計執(zhí)行官可能被要求承擔第二道防線的部分活動。

在不受特殊監(jiān)管要求或資源限制時，內(nèi)部審計與第二道防線職能重合的活動也有可能發(fā)生。例如，當薩班斯·奧克斯利法案（Sarbanes·Oxley Act）應用于美國上市公司時，許多公司管理層要求內(nèi)部審計擔任合規(guī)管理角色。另外，在某些情形下，因內(nèi)部審計采用特定的風險管理技術(shù)，以及遵循特定的治理原則，管理層可能認為，內(nèi)部審計承擔第二道防線中的某項職責最為合適，如表2。

如果第二道防線的職責由內(nèi)部審計承擔，那么首席審計官應該向管理層和董事會報告該行為存在的風險。內(nèi)部審計承擔第二道防線職責的安排不管是長期還是短期安排，了解這一做法可能產(chǎn)生的風險，對于首席審計官、管理層和董事會都非常重要，并且應當采取適當?shù)谋Ｗo和控制措施，定期評價這些措施是否有效，以確保內(nèi)部審計客觀性。

三、保持獨立性和客觀性的保障措施

不同組織機構(gòu)在其規(guī)模、業(yè)務部門設(shè)置、資源可得性、組織文化、風險承擔、董事會構(gòu)成等方面存在差異，組織治理機制自然有較大的差異，但作為提供獨立、客觀保證和咨詢服務職能的內(nèi)部審計，其有效性都應當?shù)玫奖Ｗo。因此，對任何可能損害內(nèi)部審計獨立性或客觀性的活動，都應予以評估和改進。

1.國際內(nèi)部審計專業(yè)實務標準關(guān)于“雙重職責”的討論。

“1110標準”要求至少每年一次向董事會確認內(nèi)部審計關(guān)于組織獨立性的地位?！?130標準”要求向適當?shù)膶ο笈度魏螌嵸|(zhì)上或形式上對內(nèi)部審計獨立性造成的損害。披露的性質(zhì)取決于損害的性質(zhì)，并聲明如下事項：一是對獨立性和客觀性造成損害的情形;二是對獨立性和客觀性損害造成的后果和風險;三是應采取的保障措施;四是如果有過渡計劃，應披露過渡計劃。

2.應采取的保障措施。

如果管理層和董事會接受內(nèi)部審計承擔第二道防線活動可能產(chǎn)生的風險，需要制定保障措施以確保獨立性和客觀性不受損害。對內(nèi)部審計承擔的任何第二道風險防線活動都應考慮采取保障措施。例如：對第二道和第三道防線重疊的活動進行清晰的定義和界定，包括但不限于以下內(nèi)容：（1）對組織和內(nèi)部審計的沖擊和導致的風險;（2）角色、責任和職責分工;（3）控制措施，以確保保障措施有效運作;（4）確定是臨時任務還是長期任務，如果是臨時任務，需要制定過渡計劃;（5）高級管理層和董事會的書面授權(quán)和批準;（6）內(nèi)部審計履行第二道防線職責至少應每年一次在章程中作出規(guī)定，或納入董事會調(diào)整更新事項。

3.應避免參與的活動或承擔的職能。

內(nèi)部審計應注意避免參與損害其獨立性或客觀性的活動，具體如表3。

四、過渡計劃

如果內(nèi)部審計承擔第二道防線職責僅僅是暫時性的，也應制定一個正式的過渡計劃，并在與管理層和董事會進行討論后執(zhí)行，以解除內(nèi)部審計的相關(guān)責任。過渡計劃應當考慮表4所列事項。

過渡計劃應包含相關(guān)條款，以確保在已有資源條件下，對第二道防線職責進行完整、有效的過渡（考慮到獨立性和客觀性，第三方可能需要指揮這一工作）。在制定和執(zhí)行過渡計劃期間，首席審計執(zhí)行官、高級管理層和董事會應考慮以下事項：一是考慮長期的組織結(jié)構(gòu)，確保建設(shè)恰當?shù)捻攲蛹軜?gòu);二是考慮組織治理方案的適當性;三是考慮法律、監(jiān)管和其他合規(guī)性管理要求;四是考慮風險管理文化;五是考慮三道防線方針一致性，以及組織規(guī)模和復雜度等。

五、管理層對影響獨立性和客觀性風險的接受程度

部分商業(yè)銀行可能會選擇讓內(nèi)部審計承擔第二道防線職責，這通常出現(xiàn)在規(guī)模較小的機構(gòu)中，以及管理層認為對組織機構(gòu)風險影響較小的業(yè)務領(lǐng)域。管理層應當基于風險分析，對合并第二道防線和第三道防線職責的長期戰(zhàn)略決定認真深入思考。管理層接受內(nèi)部審計承擔第二道防線職責的做法，可能暫時性合適，但不應視為是永久性的。管理層和董事會應至少每年開展一次評估，包括適當?shù)娘L險分析，以評價內(nèi)部審計執(zhí)行第二道防線的作用。

從質(zhì)量保證和改進項目來說，第二道和第三道防線職責重合部分應當成為重點關(guān)注領(lǐng)域。內(nèi)部審計應評估對獨立性和客觀性可能造成損害的風險，將風險評估結(jié)果報告給管理層，定期向管理層確認其接受這些風險，同時考慮過渡計劃。管理層和董事會應在評估、討論和接受相關(guān)風險后再將這些職責合并。首席審計執(zhí)行官應確保適當?shù)谋Ｕ虾涂刂拼胧┑玫綄嵤┖投ㄆ隍炞C，以保持內(nèi)部審計的獨立性和客觀性。

（作者單位：江西銀行股份有限公司）