商业银行,作为金融业最主要支柱之一,一贯以内部控制严密、风险管理领先而著称。商业银行内部审计也走在大部分行业的前面。商业银行内部审计经过几十年的发展,商业银行已建立起一支制度健全、组织完善、手段先进的内审队伍。商业银行内部审计的先进经验也成为其他行业学习的典范。但天下总不是一直太平的,商业银行的风险事件也是层出不穷。一些商业银行要么不出什么大事,要么就突然爆出一些大案要案。不管怎么说,银行业对内部审计是非常重视的,至少从投入的资源上来看,几乎没有哪个行业能够比得过。2016年4月16日,中国银监会下发了《商业银行内部审计指引》。下面,就该指引的有关条款,和内审同行们一起聊一聊和共同学习一下。同时,欢迎内审同行加入讨论。
一、关于该指引的结构
该指引共8章,48条,5000字多一些,篇幅不大。审计指引的8章分别为:总则、组织架构、章程、职责与权限、审计工作流程、部分审计活动外包、考核与问责、监管评估、附则。这8个方面,应该也适用于其他行业的内部审计了。
二、关于第一章“总则”
第三条“内部审计是商业银行内部独立、客观的监督、评价和咨询活动,通过运用系统化和规范化的方法,审查评价并督促改善商业银行业务经营、风险管理、内控合规和公司治理效果,促进商业银行稳健运行和价值提升。”首先,商业银行内部审计的职能是监督、评价和咨询。其次,商业银行内部审计所运用的方法是系统化和规范化的。再次,内部审计所涉及的范围是银行的业务经营、风险管理、内控合规和公司治理。最后,内部审计的作用是促进银行稳健运行和价值提升。可以看到,稳健运行对于商业银行是非常重要的,这和其他行业有一定的区别。“商业银行内部审计目标包括:推动国家有关经济金融法律法规和监管规则的有效落实;促进商业银行建立并持续完善有效的风险管理、内控合规和公司治理架构;督促相关审计对象有效履职,共同实现本银行战略目标。”该指引把推动国家经济金融法规和监管规则的有效落实放在内部审计的第一个目标,这个确实和非金融行业内部审计目标有很大不同,原因很简单,银行业确实影响着国家整体经济的稳定,包括宏观经济和微观经济。至于其他的内部审计目标,和其他行业差别不大。
“商业银行内部审计工作应独立于业务经营、风险管理和内控合规,并对上述职能履行的有效性实施评价。”内部审计独立于业务经营很好理解。但独立于风险管理和内控合规,对于其他行业以及中小企业很难做到。很多企业都是把内部审计作为风控体系的一部分。对于银行业来说,内部审计是除了风险管理和内控合规以外的最后一道防线了。
三、关于第二章“组织架构”
“商业银行应建立独立垂直的内部审计体系。”独立与垂直的内部审计体系至少可以减少内部审计工作受被审计单位影响的程度。但还要注意,独立和垂直并不能成为内审部门封闭自己的借口。没有被审计单位的理解和配合,内审部门的工作将很难开展。“董事会对内部审计的独立性和有效性承担最终责任。董事会应根据本银行业务规模和复杂程度配备充足、稳定的内部审计人员;提供充足的经费并列入财务预算;负责批准内部审计章程、中长期审计规划和年度审计计划等;为独立、客观开展内部审计工作提供必要保障;对内部审计工作的独立性和有效性进行考核,并对内部审计质量进行评价。”事实上,很少有企业的董事会能对内部审计担负起应有的职责。很多企业内部审计部门的人力配置、经费、计划要受企业人力、财务等部门的约束,因为内审部门不是直接对董事会负责。还有一个问题,就是企业里董事会能起多大的作用,这也值得探讨。
“高级管理层应支持内部审计部门独立履行职责,确保内部审计资源充足到位;及时向审计委员会报告业务发展、产品创新、操作流程、风险管理、内控合规的最新发展和变化;根据内部审计发现的问题和审计建议及时采取有效整改措施。”实践中,高级管理层不仅不能保证审计资源充足到位,甚至还会影响审计工作的进程和审计结果。其原因还是因为内审部门不对董事会直接负责,往往被某位高级管理人员分管。一旦内审部门的工作影响到某位高管分管业务渠道的利益,这位高管就会向内审部门施压了。“商业银行可设立总审计师或首席审计官(以下统称“总审计师”)一名。总审计师由董事会负责聘任和解聘。”总审计师也好,首席审计官也好,或者是审计总监也罢,叫什么没有关系,如果总审计师是由董事会来聘任,那么内审部门的独立性会得到进一步加强。“商业银行应设立独立的内部审计部门,审查评价并督促改善商业银行经营活动、风险管理、内控合规和公司治理效果,编制并落实中长期审计规划和年度审计计划,开展后续审计,评价整改情况,对审计项目的质量负责。内部审计部门向总审计师负责并报告工作。”很多内部审计部门的中长期审计规划并不清晰,尤其是长期审计规划。一方面是因为内审部门忙于日常繁重的审计任务,没有心思去思考长期规划,另一方面是因为内审部门所在企业组织的长期战略和规划也不明确或者是不断调整。
“商业银行应配备充足的内部审计人员,原则上不得少于员工总数的1%。”银行财大气粗,配备的内部审计人员的数量也是相当可观的。不过除了对人数的要求外,还可以加入对内部审计信息化建设投入占IT建设总投入占比的指导性要求。“内部审计人员应当具备履行内部审计职责所需的专业知识、职业技能和实践经验,掌握银行业务的最新发展,并通过后续教育和职业实践等途径,学习和掌握相关法律法规、专业知识、技术方法和审计实务的发展变化,保持和提升专业胜任能力。”没有哪个内审部门不说自己是学习型、知识型的团队,学习理论知识还是相对容易的,但是掌握组织的最新业务发展,这点却不容易做到,内审部门需要配备专门的人力解读组织最新业务政策和业务流程的变化。
“内部审计人员在从事内部审计活动时,应遵循客观、保密原则,秉持诚信正直的道德操守,按规定使用其在履行职责时所获取的信息。内部审计人员不得参与有利益关系的审计项目,不得利用职权谋取私利,不得隐瞒审计发现的问题,不做缺少证据支持的判断,不做误导性陈述。”内审人员确实掌握和严守着了不少组织的商业秘密,所以领导们还是要善待内审人员的。就目前内审人员在组织中的地位来看,内审人员想利用职权谋取私利很难。也没有几个内审人员想隐瞒审计发现的问题的,这关系到职业生涯。
四、关于第三章“ 章程、职责与权限”
商业银行内审指引要求内部审计章程应至少包括以下事项:内部审计目标、范围、地位、权限、职责、内部审计部门的报告路径以及与高级管理层的沟通机制、总审计师的责任和义务、内部审计与风险管理、内部控制的关系、内部审计活动外包的标准和原则、内部审计与外部审计的关系、对重点业务条线及风险领域的审计频率及后续整改要求、内部审计人员职业准入与退出标准、后续教育制度和人员交流机制。其中,“对重点业务条线及风险领域的审计频率”不知道大家是如何理解的?重点业务条线及风险领域不是一成不变的,会随着宏观政策及商业银行的战略有所调整。而审计章程一般是相对固定的,不会轻易修订。这就产生了一定的矛盾。还有审计频率如何来确定也需要有一定的标准和依据。商业银行内审指引对内部审计事项作了以下列举:公司治理的健全性和有效性;经营管理的合规性和有效性;内部控制的适当性和有效性;风险管理的全面性和有效性;会计记录及财务报告的完整性和准确性;信息系统的持续可靠和安全性、机构运营、绩效考评、薪酬管理和高级管理人员履职情况;监管部门监督检查发现问题的整改情况以及监管部门指定项目的审计工作;其他。在内部审计中,很少对公司治理的健全性和有效性进行审计,即使审计,也往往通过外部审计来执行。还有,除了对会计记录及财务报告的完整性和准确性进行审计,还应该对真实性进行审计,完整性、准确性和真实性还是有所区别的。以上列举的事项,都可以作为内部审计报告要反映的主要内容。
“内部审计部门有权获取与审计有关的信息,列席或参加与内部审计职责有关的会议,参加相关业务培训。”这一条应该在内部审计章程里给予明确。内部审计部门要为自己争取列席或参加与内审职责相关的会议或业务培训。内审部门应该掌握最新的业务政策和业务流程,应该对业务调整带来新的风险及早进行评估。“内部审计部门有权检查各类经营机构(含分支机构和附属机构)的各项业务和管理活动(含外包业务),及时、全面获取经营管理相关信息,并就有关问题向审计对象和行内相关人员进行调查、质询和取证。”如果内审部门不是由董事会或审计委员会直接管理,而是与企业总部的其他职能部门同样的级别,并在企业某分管领导的管理下,那么,内审部门检查总部职能部门的工作难度将加大。内审部门评价企业分支机构的经营管理相对容易些,但一旦涉及评价企业总部其它职能部门制定的政策,将会遇到很大的阻力和抵触。例如,总部某业务管理部门制定的业务政策在分支机构执行中,尽管存在不科学、不合理的地方,内审部门也很难获取更多的对该项业务政策评价所需的业务数据和信息。“内部审计部门有权向董事会、高级管理层和相关部门提出处理和处罚建议。”尽管没有直接处罚的权力,但是处罚建议权也会对被审计单位或被审计人有一定的威慑作用。内部审计部门的建议好不好使,一是看审计发现问题的分量,二是看审计部门在银行中的地位。
“内部审计部门可就风险管理、内部控制等事项提供专业建议,但不得直接参与或负责内部控制设计和经营管理的决策与执行。”内审部门可以向经营单位提供风控方面的专业建议,但这并不意味着这些建议成为内控设计及决策执行的一部分。不参与或负责内控设计和经营决策与执行,还意味着内审部门不应该为内控设计缺陷或决策执行失误承担直接责任。内审部门不能保证发现所有制度设计或决策执行中的缺陷。
五、关于第四章审计工作流程
“内部审计部门应根据商业银行的内部审计章程、业务性质、风险状况、管理需求及审计资源的配置情况,确定审计范围、审计重点、审计频率,编制中长期审计规划和年度审计计划,并报审计委员会批准。”无论是中长期的审计规划还是年度审计计划,在制定时,除了要考虑各种综合因素,还要对历史数据作分析,对未来趋势作预判。确定审计范围和审计重点是制定规划和计划的关键。审计范围既要符合业务趋势,又要符合现在和未来的审计能力。审计重点在中长期规划和年度计划应该有不同的表现形式。“商业银行的年度内部审计计划应充分考虑监管关注事项,包括但不限于:全面风险管理、资本充足、流动性、内控合规、财务报告等。”对于金融行业,如银行、保险、证券等,外部监管都是比较严格的,外部监管关注的事项往往也是内部审计年度计划的重点。不然的话,企业自身的风险先不说,外部处罚可是很重的啊,还会影响到金融高管的任职的。“内部审计部门应根据年度审计计划,选派合格、胜任的审计人员组成审计组,收集和研究相关背景资料,了解审计对象的风险概况及内部控制,编制项目审计方案,组织审计前培训并在实施审计前向审计对象下发审计通知书。特殊情况下,审计通知书可以在实施审计时送达。”组成审计组、收集资料、了解审计对象、编制方案、审前培训、下发通知,这是实施审计前的一系列步骤。建议内审部门为审计对象建立长期的资料档案,以便于全面了解审计对象,掌握审计对象的基本特征。现在很多银行的内部审计部门可以充分利用信息技术手段开展审前分析,提高了审计项目的效率。“内部审计人员应根据项目审计方案,综合运用审核、观察、访谈、调查、函证、鉴定、调节和分析等方法,获取审计证据,并将审计过程和结论记录于审计工作底稿。”内部审计所运用的方法种类和外部审计差别不大,但每种方法在使用的侧重和效果也是不同的。例如,访谈对内部审计来说是非常重要的环节,所要获取的信息种类和数量相对外部审计要多。再例如,函证对于内部审计的实施难度要比外部审计要大。“内部审计采取现场审计与非现场审计相结合的方式,并通过加强非现场审计系统建设,增强内部审计的广度与深度。”现场审计与非现场审计都是实施审计的手段,两者不能割裂开来,需要统筹安排,形成互补和有机结合。非现场审计系统建设最首要的任务是搭建起科学、合理的机构,必须把审计流程考虑进去,而不能为了建设系统而建设系统,把一些看似先进但不实用的软件硬塞进去。“内部审计部门应加强信息科技在审计工作中的运用,不断完善内部审计管理信息系统。”通过信息系统进行审计作业的管理是内部审计的必然趋势。内部审计管理信息系统能够规范审计作业,也能够提升审计作业效率,改进审计作业流程。
4.第二十四条“异议解决机制”
“商业银行应建立异议解决机制。对审计对象提出异议的审计结论,应及时进行沟通确认,根据内部审计章程的规定,将沟通结果和审计结论报送至相关上级机构并归档保存。”一般来说,审计对象不会对审计事实产生过多的异议,更多的是会对审计问题的定性产生的。审计问题的定性不同对审计对象产生的后果也不同。
5.第二十五条“审计报告”
“内部审计人员在实施必要的审计程序后,应征求审计对象意见并及时完成审计报告。审计报告应包括审计目标和范围、审计依据、审计发现、审计结论、审计建议等内容。”审计报告是实施审计程序后的最终成果,体现了审计人员的专业化水平。每家银行的内部审计报告模板会有差异,但主要内容应该是大致相同的。审计发现和审计建议能够体现内部审计的价值。
“内部审计人员应将审计报告发送至审计对象,并上报审计委员会及董事会,同时根据内部审计章程的规定与高级管理层及时沟通审计发现。”审计报告的发送、上报以及审计发现的沟通要及时。再重要的审计发现,如果不能及时反馈至审计委员会、董事会或管理层,审计发现的价值也会打折扣的。还应该看到,不是所有的审计报告都必须上报审计委员会及董事会,而是那些重要的审计报告。
6.第二十六条“整改落实”
“商业银行董事会及高级管理层应采取有效措施,确保内部审计结果得到充分利用,整改措施得到及时落实;对未按要求整改的,应追究相关人员责任。”审计发现问题的整改落实情况应该作为审计对象的考核任务之一。
“内部审计部门应跟进审计发现问题的整改情况。必要时可开展后续审计,评价审计发现问题的整改进度及有效性。”后续审计可以单独开展,也可以与下一年度的审计项目同时开展。后续审计是否单独开展,视审计发现问题的严重程度及涉及范围而定。8.第二十八条“档案管理”
“内部审计部门应建立健全内部审计档案管理制度,妥善保管内部审计档案资料。”内部审计档案应该包括两部分:纸质档案和电子档案。保存电子档案时,要注意备份和加密。
“商业银行应建立健全内部审计质量控制制度和程序,定期实施内部审计质量自我评价,并接受内部审计质量外部评估。”无论是内部审计质量自我评价还是外部评价,都要有客观、公正的标准,而评价标准也要和审计作业指南或手册相一致,不然评价就不具有指导性。很多银行的审计部门,都设有专门的质量控制处室或者人员。
六、关于第五章“部分审计活动外包”
“商业银行不得将内部审计职能外包,但可将有限的、特定的内部审计活动外包给第三方,以缓解内部审计资源压力并提升内部审计工作的全面性。”这一条可以看到,商业银行只能把部分的内部审计活动外包出去,而不是把内部审计职能外包出去。内部审计活动可以包括调查、分析等活动,但这些活动也只能有限、特定地外包出去,以免泄露商业银行机密,影响到金融环境的稳定。既然内部审计职能不能外包,那么,商业银行必须要有自己的内部审计部门了。
“商业银行董事会应对内部审计活动外包承担最终责任。商业银行内部审计活动外包应符合本银行内部审计章程的有关要求。”内部审计活动外包不是由内审部门承担责任,而是由银行董事会承担最终责任,说明商业银行对内审活动外包是非常谨慎的,而且内审部门也不能擅自决定把部分审计活动外包出去。
“商业银行不得将内部审计活动外包给正在为本银行提供外部审计服务的会计师事务所及其关联机构。”内部审计活动外包给为银行提供外部审计服务的会计师事务所,将会影响会计师所对银行的最终审计意见。
“商业银行不得将内部审计活动外包给近三年内为审计对象提供过与该项审计外包业务相关咨询服务的第三方及其关联机构。”这一条很好理解。如果某第三方组织既为审计对象提供与审计活动相关的咨询活动,又审计部门提供审计活动外包服务,将极大影响内部审计的客观性和独立性,也将影响内审部门给审计对象所下的审计结论。“商业银行应建立内部审计活动外包制度,明确外包提供商的资质标准、准入与退出条件、外包流程及质量控制标准等。”尽管应对内部审计活动外包进行限制,但也应看到外包也将节省审计资源,提升审计效率和效果。选择部分内部审计活动外包,也能从另一个方面说明审计部门能够分析出自身的优势和弱势,能够对审计资源做到深入了解。“商业银行在实施内部审计活动外包时,本银行内部审计人员应参与并监督项目实施,并负责向总审计师报告外包活动的有关情况。”第三方组织承担部分内部审计活动的优势在于长期积累的技术经验,但对于本组织审计政策和方向的把握上,还需要内部审计人员给予指导和监督。
“商业银行总审计师应建立相应的外包审计项目知识转移机制,确保内部审计人员能最大程度地获取专业技能,提升内部审计部门的专业能力。”通过外部审计活动外包来促进内部审计人员获取专业知识是相对容易做到的,但想要获取技能,却不是一两个外部项目就能做到的。获取知识和获取技能是不同的概念和结果。其实,通过外包活动,内部审计人员收获最大的是方法论,而不是具体的知识。
七、关于第六章“考核与问责”
“商业银行董事会应针对内部审计部门建立科学的激励约束机制,并对总审计师的履职尽责情况进行考核评价,内部审计部门定期对内部审计人员的专业胜任能力进行评价。”建立约束机制比建立激励机制容易多了,因为条条框框的规章制度太多了。审计对象是否受到外部监管处罚、审计对象是否在审计期间发生重大风险事件、审计项目执行是否按照审计指引的要求、审计对象整改情况等等,都可以作为考核内部审计人员的参考因素。有外部监管的规定、有内审协会的指导意见、有银行内部的考核要求等等,内外都有约束内部审计人员的条文。但是,激励机制的建立却要有更大的创造性,不然很难激发内审人员的主观能动性。看看内审人员在组织的留存率就知道了,不等你评价,很多内审人员已经另谋高就了。在对内审人员进行专业胜任能力评价前,内审部门首先要搭建专业能力体系和框架,让内审人员知道应该从哪些方面和如何提升专业胜任能力。“内部审计人员的薪酬水平应不低于本机构其他部门同职级人员平均水平。”内审人员的薪酬依赖于董事会或管理层对内审人员创造价值的认识。劳动力是商品,内审人员提供的劳动也是商品。一分价钱一分货。你给什么样的薪酬,你也会得到相应水平的内审服务的。
“商业银行应建立内部审计责任制,明确规定内部审计人员履职尽责要求以及问责程序。经责任认定,内部审计部门和审计人员已勤勉尽职的,可减轻或免除其责任。”内部审计责任制度可以规范和约束内部审计人员的行为。责任心是做好内部审计最基本的要求。勤勉尽职、按照银行内部审计手册执行审计项目才能减少或避免审计风险,也才能减轻或免除内审人员的责任。
“内部审计结果和整改情况应作为审计对象绩效考评的重要依据。”审计结果和整改情况可以作为审计对象绩效考评的重要依据,但问题来了,如何把审计结果和整改情况量化?如何说服人力资源部门把审计结果和整改情况纳入到考评体系?应该由谁推动把审计结果和整改情况作为审计对象绩效考评的重要依据?“审计对象应积极配合内部审计工作。对于拒绝、妨碍内部审计工作及整改不力的行为,商业银行应及时制止,并追究相关责任人的责任。”除非审计对象严重拒绝或妨碍内审工作,不用专门向董事会或管理层汇报审计对象对内部审计工作配合程度,只需将审计对象的配合情况写进审计报告就可以了。对于因为审计对象主观原因造成内部审计检查未发现重大风险或带来重大审计风险的,审计对象或审计对象主要负责人要承担直接责任。
八、关于“第七章监管评估”
“商业银行内部审计部门应建立与银行业监督管理机构的正式沟通机制,定期讨论银行面临的主要风险、已经采取的风险化解措施以及整改情况。双方沟通的频率应与银行的规模、风险偏好和业务复杂性相匹配。”银行监管机构与商业银行的沟通频率不仅应该与银行的规模、风险偏好以及业务复杂性相匹配,也应该参考监管机构对银行的风险评级、银行近年来发生的重大风险事件、受处罚次程度等因素。
商业银行内部审计部门应向监管部门提交的报告有七大内容:“内部审计计划、重要审计发现及其整改情况、向董事会提交的全面审计工作报告、外部机构对银行的审计报告、监管部门监督检查发现问题的整改报告、内部审计质量自我评价报告、银行业监督管理机构要求的其他报告”。一般来说,监管机构或部门对商业银行内审部门上报的审计发现问题不予追究管理责任或根据整改情况来确定是否给予处罚。商业银行内审部门上报的报告不应作为监管机构或部门对商业银行的处罚依据。机构机构或部门也应该对商业银行内审部门上报来的各种报告内容,根据重要性水平给予及时反馈和指导。
“银行业监督管理机构可要求商业银行内部审计部门完成指定项目的审计工作,并将审计结果报送监管部门。”对于监管机构要求商业银行内审部门完成指定审计项目,内审部门肯定会非常重视,但也要视审计项目的难易程度和年度审计计划向董事会或审计委员会申请必要的资源支持。既然监管机构要求内审部门去完成指定项目,而不是亲自执行检查,也说明监管机构对商业银行内审部门的信任。
随着监管越来越严,对内部审计的要求越来越高,监管的指定审计种类和范围也越来越多。
“银行业监督管理机构通过非现场监管、现场检查、监管会谈等方式,对商业银行内部审计的有效性进行评估。评估内容包括:内部审计章程;内部审计范围、频率和效果;公司治理机制;银行集团内部审计的有效性;内部审计人员的专业胜任能力;内部审计人员的薪酬机制;内部审计活动外包情况;内部审计报告及审计建议的整改落实情况;内部审计问责情况;其他事项。”商业银行内审部门在监管机构对内审工作进行评估之前先进行自我评估。内审部门对内审工作的自我评估可以按照以上10项内容每年进行一次,可以和年度总结一起进行。
从实际结果看,目前监管机构对银行内部审计进行监管评估的似乎不多,但未来,内部审计如果未有效履行监督职责,受到监管处罚的可能性也越来越大。
“银行业监督管理机构有权根据评估结果对商业银行内部审计工作提出监管意见,要求其限期整改并提交整改报告。内部审计有效性和整改情况应纳入公司治理和内部控制整体有效性评估和监管评级。”商业银行内审部门应该欢迎监管机构对内审工作进行评估,因为监管机构提出的监管意见能够促进内审工作的提升,能够促进董事会或审计委员会对内审工作的重视。如果条件允许,在监管机构出具对内审工作的监管意见后,商业银行可能会加大对内审工作的资源投入以及提高内审部门的地位和内审人员的待遇。
本文首次发布于2016年5月19日,2024年12月12日略有修改。