监管政策对银行内部审计的影响及其对策

　　引言

　　内部审计是一个系统，其生存和发展必须依赖和适应内外部环境的发展变化，由于银行经营的高风险特性，决定了银行业是一个受到高度监管的行业，银行监管政策的任何一点变化都会对银行经营管理行为产生重大影响，从而也深刻地影响着内部审计的发展轨迹。银监会借鉴国际银行业内部审计的先进经验，结合我国银行业公司治理和内部审计实际，于2006年6月27日颁布了《银行业金融机构内部审计指引》（下称《内审指引》），这是指导我国银行业金融机构内部审计活动的第一部“根本大法”，对于提高银行业金融机构内部审计独立性、有效性和权威性具有重要作用。

　　一、银行监管政策对内部审计的影响

　　影响之一：内部审计职能需重新定位

　　《内审指引》第三条和第四条明确指出，内部审计是一种独立、客观的监督、评价和咨询活动，是银行业金融机构内部控制的重要组成部分。通过系统化和规范化的方法，审查评价并改善银行业金融机构经营活动、风险状况、内部控制和公司治理效果，促进银行业金融机构稳健发展。内部审计的目标是，保证国家有关经济金融法律法规、方针政策、监管部门规章的贯彻执行；在银行业金融机构风险框架内，促使风险控制在可接受水平；改善银行业金融机构的运营，增加价值。从国际内部审计师协会（IIA）对内部审计的定义看，内部审计是一种独立、客观的保证与咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、受过训练的方法，来评价和改善风险管理、控制及治理过程的效果，帮助组织实现其目标。由此可见，《内审指引》上述规定是银行监管部门在借鉴国际内部审计先进理念的基础上，对我国银行业金融机构内部审计的科学界定，是国际内部审计师协会关于内部审计定义和目标在中国银行业金融机构的具体化。从中也可以看出，我国银行监管部门对内部审计的职能定位已经与国际标准趋于一致，内部审计工作范围已经从监督评价转为监督评价与咨询活动并重，关注重点已经从查错纠弊转为更加关注组织的公司治理、内部控制和风险管理的适当性和有效性，服务目标已经从单纯为管理层履职服务转为致力于为组织增加价值。与国际先进银行的做法和《内审指引》要求相比，我国商业银行内部审计职能的履行仍有较大的差距，需重新进行定位和审视。

　　影响之二：内审组织体制需改革完善

　　《内审指引》从内部审计管理体系、组织架构、审计权限、报告路线等方面对内审组织体制建设作出了一系列的明确规定。关于内审管理体系，《内审指引》第九条指出，“银行业金融机构应建立独立垂直的内部审计管理体系。审计预算、人员薪酬、主要负责人任免由董事会或其专门委员会决定”。《商业银行内部控制指引》第二十八条也规定，商业银行的内部审计应当具有充分的独立性，实行全行系统垂直管理。下级机构内部审计负责人的聘任和解聘应当由上一级内部审计部门负责，总行内部审计负责人的聘任和解聘应当由董事会负责。关于内审组织架构，《内审指引》规定“银行业金融机构的董事会负责建立和维护健全有效的内部审计体系。董事会应下设审计委员会。审计委员会成员不少于3人，多数成员应是非执行董事。审计委员会主席应由独立董事担任”，“银行业金融机构应建立审计全系统经营管理行为的内部审计部门，可设立一名首席审计官负责全系统的审计工作。首席审计官由董事会任命并纳入银行业金融机构高级管理人员任职资格核准范围”。关于内审权限，《内审指引》规定，内部审计部门“有权及时、全面了解经营管理信息，并就有关问题向审计对象和相关人员进行调查、质询、取证，有权列席或参加与内部审计部门职责有关的会议，有权向董事会直接汇报审计发现，有处理建议权和必要的处罚权”。《商业银行内部控制指引》第二十七条也规定，商业银行的内部审计部门应当有权获得商业银行的所有经营信息和管理信息，并对各个部门、岗位和各项业务实施全面的监督和评价。关于内审报告路线，《内审指引》明确要求，“银行业金融机构应建立与垂直管理体系相适应的内部审计报告制度和报告线路”，“首席审计官和内部审计部门应按季向董事会和高级管理层主要负责人报告审计工作情况。每年至少一次向董事会提交包括履职情况、审计发现和建议等内容的审计工作报告”。

　　影响之三：内部审计领域需拓展延伸

　　《内审指引》规定了内部审计事项主要包括：经营管理的合规性及合规部门工作情况；内部控制的健全性和有效性；风险状况及风险识别、计量、监控程序的适用性和有效性；信息系统规划设计、开发运行和管理维护的情况；会计记录和财务报告的准确性和可靠性；与风险相关的资本评估系统情况；机构运营绩效和管理人员履职情况等。由此可以看出，内部审计已经开始向内部控制、风险管理和公司治理等新领域拓展和延伸，为内部审计人员创造了“英雄用武之地”。

　　（一）内部控制领域：内部审计是银行内部控制体系中的一支重要监督力量，是COSO内控框架的组成要素之一。《商业银行内部控制指引》指出，内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道，商业银行应当建立内部控制的评价制度，对内部控制的制度建设、执行情况定期进行回顾和检讨，并根据国家法律规定、银行组织结构、经营状况、市场环境的变化进行修订和完善。《商业银行内部控制评价试行办法》要求商业银行建立并保持书面程序，对内部控制体系实施评价，确保内部控制体系的充分性、合规性、有效性和适宜性。

　　（二）风险管理领域：商业银行的核心活动是经营和管理风险，风险管理是管理层的一项主要职责，是公司治理的核心工作，对公司的风险管理过程进行评估和报告是内部审计工作的一项重要内容。《内审指引》开宗明义就指出，内部审计工作应当“以风险为导向”，这就要求内部审计工作要以风险为中心，关注、识别、评估、衡量和监督控制银行面临的信用风险、市场风险、操作风险、合规风险等各类风险，通过检查、测试、评价等各种方法，提出切实可行的缓释风险的控制措施和稽核建议。对操作风险，监管部门要求商业银行内审部门定期检查评估本行的操作风险管理体系运作情况，监督操作风险管理政策的执行情况，对新出台的操作风险管理政策、程序和具体的操作规程进行独立评估，并向董事会报告操作风险管理体系运行效果的评估情况。对市场风险，监管部门要求商业银行内部审计部门定期（至少每年一次）对市场风险管理体系各个组成部分和环节的准确、可靠、充分和有效性进行独立的审查和评价。内部审计既要对业务经营部门，也要对负责市场风险管理的部门进行。

　　（三）公司治理领域：完善公司治理是国有银行改革的核心和关键，建立独立、有效的内部审计是完善公司治理的重要一环。《国有商业银行公司治理及相关监管指引》明确规定，国有商业银行董事会应设立审计（稽核）委员会，国有商业银行应建立规范的内部控制监督体系，包括独立的风险管理部门、合规部门和审计部门等实施的监督。影响之四：内部审计技术需积极创新根据《内审指引》对内部审计的定义，内部审计活动已不仅仅局限于传统的稽核确认，还包括就公司治理、风险管理、内部控制等有关问题提供业务咨询、反舞弊调查、内控评价等各类增值服务，与此相适应，内部审计方法、技术、工具、手段也面临着升级换代。从目前我国商业银行使用的内部审计方法看，主要侧重于事后的静态的合规性审计和单个项目、常规性片面审计，检查被稽核单位的若干个产品线、控制环节是否严格遵守规章制度，以此来判断被稽核单位的内控管理是否有效，无法真正将稽核关口前移，在事前、事中揭示被稽核单位经营管理中的各项风险，即使开始尝试运用COSO五要素框架对被稽核单位的内部控制进行评价，但由于测试检查的重点在具体业务产品和控制环节上，作出的评价难免会以偏概全，无法全面、系统地反映被稽核单位的整体内控管理状况和水平。从审计技术角度看，稽核手段一般都为询问、复算、观察、浏览、实地盘存等等，而很少开展穿行测试、抽样统计、函证、业务流程图、内控问卷调查、控制自我评估（CSA）等检查技术和程序，即便在审计过程中使用调查问卷和抽样技术，也缺少一套比较科学、合理的对内控五要素进行评价的调查问卷，抽样一般也都是人为判断，随意性较大，而且虽然也开始借助于电脑技术开展非现场的辅助审计，但应用覆盖面不足，非现场稽核数据分析缺乏深度挖掘和再利用价值。因此，为适应外部监管环境的变化和内部业务发展的要求，内部审计技术需积极进行创新。

　　影响之五：内审人员素质需着力提升

　　《内审指引》对内部审计人员应具备的专业水平、从业经验和道德准则作了详细规定。《商业银行内部控制指引》也规定，“商业银行应当配备充足的、具备相应的专业从业资格的内部审计人员，并建立专业培训制度，每人每年确保一定的离岗或脱产培训时间”。随着内部审计在公司治理、内部控制和风险管理方面作用的不断加强，现代内部审计的发展对内部审计人员的综合素质和专业胜任能力提出了更高的要求，更大的挑战。

　　二、内部审计应采取的对策

　　对策之一：目前，在我国大型银行中，工行、中行、建行和交行陆续成功实现了上市，上市后，随着信息披露和透明度要求的提高，对商业银行内控合规体系建设空前重视，管理层也更希望内部审计在提升银行价值、实现其战略发展目标方面发挥独特的建设作用，这为内部审计提供了巨大的发展空间。可以说，目前内控合规的重要性和对内部审计的重视程度都是史无前例的，对此各家商业银行要有充分的认识，并按照《内审指引》的要求对内部审计的职能重新进行定位，对稽核章程重新进行修订和完善，以树立新的工作目标，体现内部审计的价值所在。要组织内部审计人员认真学习贯彻《内审指引》，加大对审计职能定位的内部宣传力度，使本机构全体员工人人知晓内部审计的职责、作用；要以审计体制改革为契机，加快构建职能管理、合规控制、内部稽核三道防线内控体系，将内部审计作为完善公司治理、健全风险管理、加强内部控制的重要手段和推动力，积极转变理念，创新工作方式，不断提升内部审计的增值服务水平。

　　对策之二：要循序渐进地推进独立垂直的内部审计体制改革，探索出一条适合中国国情、具有中国特色的内部审计之路。为此中行做了许多探索工作，积累了一定经验，初步形成了总行垂直管理的现代商业银行内部审计体制。首先是确立了内部审计的重要地位。其次是构建了新型的内审组织架构，极大地提高了内部审计的独立性和权威性。最后是确立了全新的报告路线，稽核部门向董事会及其稽核委员会/上级稽核部门报告稽核中发现的重要问题，各级稽核工作人员还有权越级直接向董事会及其稽核委员会报告稽核发现的重要情况和问题。这一报告路线的设计既保证了内部审计的充分独立性，又是解决信息不对称，改进垂直化审计管理的有力措施。

　　对策之三：虽然内部审计领域不断得到拓展和延伸，但考虑到目前我国商业银行内部审计资源捉襟见肘的实际情况和内审发展阶段特点，内部审计的主要工作重心仍应放在稽核确认和内控评价上，因为这是内部审计职能的基础性工作，是做好风险管理审计和公司治理审计的前提条件，而不能一味地赶时髦，贪大求洋，食洋不化。根据巴塞尔银行监管委员会对国际银行业内部审计的一项调查显示，大多数国际银行的内部审计师在保证和咨询活动上的时间分配比例一般是：内部审计占75?%，培训占5 %，咨询占020%.因此，我国商业银行的内部审计部门也应当将至少80%的精力放在稽核确认和内控评价上，而且应当逐步减少现场稽核检查的比重，提高内控评价的份量。

　　对策之四：要加强信息技术在审计工作中的应用，建立和完善非现场内部审计监测体系及稽核项目管理系统、稽核管理信息系统，不断提高内部审计手段的技术含量。要严格实施全过程的内部审计质量控制，涵盖审计计划审批、项目立项、方案制订、审计前准备、进场检查、审计报告、文档整理、后续审计等全过程，严把各个环节的质量关，努力提高内部审计工作水平，要努力从内部审计方法、技术等方面实现“三个转变”：即从单个项目、常规性片面的稽核向整体性、系统性的全方位稽核转变，从合规审计为主向以合规审计与内部控制审计有机结合转变，从现场稽核为主向现场与非现场稽核有机结合转变。

监管政策对银行内部审计的影响及其对策

　　引言

　　内部审计是一个系统，其生存和发展必须依赖和适应内外部环境的发展变化，由于银行经营的高风险特性，决定了银行业是一个受到高度监管的行业，银行监管政策的任何一点变化都会对银行经营管理行为产生重大影响，从而也深刻地影响着内部审计的发展轨迹。银监会借鉴国际银行业内部审计的先进经验，结合我国银行业公司治理和内部审计实际，于2006年6月27日颁布了《银行业金融机构内部审计指引》（下称《内审指引》），这是指导我国银行业金融机构内部审计活动的第一部“根本大法”，对于提高银行业金融机构内部审计独立性、有效性和权威性具有重要作用。

　　一、银行监管政策对内部审计的影响

　　影响之一：内部审计职能需重新定位

　　《内审指引》第三条和第四条明确指出，内部审计是一种独立、客观的监督、评价和咨询活动，是银行业金融机构内部控制的重要组成部分。通过系统化和规范化的方法，审查评价并改善银行业金融机构经营活动、风险状况、内部控制和公司治理效果，促进银行业金融机构稳健发展。内部审计的目标是，保证国家有关经济金融法律法规、方针政策、监管部门规章的贯彻执行；在银行业金融机构风险框架内，促使风险控制在可接受水平；改善银行业金融机构的运营，增加价值。从国际内部审计师协会（IIA）对内部审计的定义看，内部审计是一种独立、客观的保证与咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、受过训练的方法，来评价和改善风险管理、控制及治理过程的效果，帮助组织实现其目标。由此可见，《内审指引》上述规定是银行监管部门在借鉴国际内部审计先进理念的基础上，对我国银行业金融机构内部审计的科学界定，是国际内部审计师协会关于内部审计定义和目标在中国银行业金融机构的具体化。从中也可以看出，我国银行监管部门对内部审计的职能定位已经与国际标准趋于一致，内部审计工作范围已经从监督评价转为监督评价与咨询活动并重，关注重点已经从查错纠弊转为更加关注组织的公司治理、内部控制和风险管理的适当性和有效性，服务目标已经从单纯为管理层履职服务转为致力于为组织增加价值。与国际先进银行的做法和《内审指引》要求相比，我国商业银行内部审计职能的履行仍有较大的差距，需重新进行定位和审视。

　　影响之二：内审组织体制需改革完善

　　《内审指引》从内部审计管理体系、组织架构、审计权限、报告路线等方面对内审组织体制建设作出了一系列的明确规定。关于内审管理体系，《内审指引》第九条指出，“银行业金融机构应建立独立垂直的内部审计管理体系。审计预算、人员薪酬、主要负责人任免由董事会或其专门委员会决定”。《商业银行内部控制指引》第二十八条也规定，商业银行的内部审计应当具有充分的独立性，实行全行系统垂直管理。下级机构内部审计负责人的聘任和解聘应当由上一级内部审计部门负责，总行内部审计负责人的聘任和解聘应当由董事会负责。关于内审组织架构，《内审指引》规定“银行业金融机构的董事会负责建立和维护健全有效的内部审计体系。董事会应下设审计委员会。审计委员会成员不少于3人，多数成员应是非执行董事。审计委员会主席应由独立董事担任”，“银行业金融机构应建立审计全系统经营管理行为的内部审计部门，可设立一名首席审计官负责全系统的审计工作。首席审计官由董事会任命并纳入银行业金融机构高级管理人员任职资格核准范围”。关于内审权限，《内审指引》规定，内部审计部门“有权及时、全面了解经营管理信息，并就有关问题向审计对象和相关人员进行调查、质询、取证，有权列席或参加与内部审计部门职责有关的会议，有权向董事会直接汇报审计发现，有处理建议权和必要的处罚权”。《商业银行内部控制指引》第二十七条也规定，商业银行的内部审计部门应当有权获得商业银行的所有经营信息和管理信息，并对各个部门、岗位和各项业务实施全面的监督和评价。关于内审报告路线，《内审指引》明确要求，“银行业金融机构应建立与垂直管理体系相适应的内部审计报告制度和报告线路”，“首席审计官和内部审计部门应按季向董事会和高级管理层主要负责人报告审计工作情况。每年至少一次向董事会提交包括履职情况、审计发现和建议等内容的审计工作报告”。

　　影响之三：内部审计领域需拓展延伸

　　《内审指引》规定了内部审计事项主要包括：经营管理的合规性及合规部门工作情况；内部控制的健全性和有效性；风险状况及风险识别、计量、监控程序的适用性和有效性；信息系统规划设计、开发运行和管理维护的情况；会计记录和财务报告的准确性和可靠性；与风险相关的资本评估系统情况；机构运营绩效和管理人员履职情况等。由此可以看出，内部审计已经开始向内部控制、风险管理和公司治理等新领域拓展和延伸，为内部审计人员创造了“英雄用武之地”。

　　（一）内部控制领域：内部审计是银行内部控制体系中的一支重要监督力量，是COSO内控框架的组成要素之一。《商业银行内部控制指引》指出，内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道，商业银行应当建立内部控制的评价制度，对内部控制的制度建设、执行情况定期进行回顾和检讨，并根据国家法律规定、银行组织结构、经营状况、市场环境的变化进行修订和完善。《商业银行内部控制评价试行办法》要求商业银行建立并保持书面程序，对内部控制体系实施评价，确保内部控制体系的充分性、合规性、有效性和适宜性。

　　（二）风险管理领域：商业银行的核心活动是经营和管理风险，风险管理是管理层的一项主要职责，是公司治理的核心工作，对公司的风险管理过程进行评估和报告是内部审计工作的一项重要内容。《内审指引》开宗明义就指出，内部审计工作应当“以风险为导向”，这就要求内部审计工作要以风险为中心，关注、识别、评估、衡量和监督控制银行面临的信用风险、市场风险、操作风险、合规风险等各类风险，通过检查、测试、评价等各种方法，提出切实可行的缓释风险的控制措施和稽核建议。对操作风险，监管部门要求商业银行内审部门定期检查评估本行的操作风险管理体系运作情况，监督操作风险管理政策的执行情况，对新出台的操作风险管理政策、程序和具体的操作规程进行独立评估，并向董事会报告操作风险管理体系运行效果的评估情况。对市场风险，监管部门要求商业银行内部审计部门定期（至少每年一次）对市场风险管理体系各个组成部分和环节的准确、可靠、充分和有效性进行独立的审查和评价。内部审计既要对业务经营部门，也要对负责市场风险管理的部门进行。

　　（三）公司治理领域：完善公司治理是国有银行改革的核心和关键，建立独立、有效的内部审计是完善公司治理的重要一环。《国有商业银行公司治理及相关监管指引》明确规定，国有商业银行董事会应设立审计（稽核）委员会，国有商业银行应建立规范的内部控制监督体系，包括独立的风险管理部门、合规部门和审计部门等实施的监督。影响之四：内部审计技术需积极创新根据《内审指引》对内部审计的定义，内部审计活动已不仅仅局限于传统的稽核确认，还包括就公司治理、风险管理、内部控制等有关问题提供业务咨询、反舞弊调查、内控评价等各类增值服务，与此相适应，内部审计方法、技术、工具、手段也面临着升级换代。从目前我国商业银行使用的内部审计方法看，主要侧重于事后的静态的合规性审计和单个项目、常规性片面审计，检查被稽核单位的若干个产品线、控制环节是否严格遵守规章制度，以此来判断被稽核单位的内控管理是否有效，无法真正将稽核关口前移，在事前、事中揭示被稽核单位经营管理中的各项风险，即使开始尝试运用COSO五要素框架对被稽核单位的内部控制进行评价，但由于测试检查的重点在具体业务产品和控制环节上，作出的评价难免会以偏概全，无法全面、系统地反映被稽核单位的整体内控管理状况和水平。从审计技术角度看，稽核手段一般都为询问、复算、观察、浏览、实地盘存等等，而很少开展穿行测试、抽样统计、函证、业务流程图、内控问卷调查、控制自我评估（CSA）等检查技术和程序，即便在审计过程中使用调查问卷和抽样技术，也缺少一套比较科学、合理的对内控五要素进行评价的调查问卷，抽样一般也都是人为判断，随意性较大，而且虽然也开始借助于电脑技术开展非现场的辅助审计，但应用覆盖面不足，非现场稽核数据分析缺乏深度挖掘和再利用价值。因此，为适应外部监管环境的变化和内部业务发展的要求，内部审计技术需积极进行创新。

　　影响之五：内审人员素质需着力提升

　　《内审指引》对内部审计人员应具备的专业水平、从业经验和道德准则作了详细规定。《商业银行内部控制指引》也规定，“商业银行应当配备充足的、具备相应的专业从业资格的内部审计人员，并建立专业培训制度，每人每年确保一定的离岗或脱产培训时间”。随着内部审计在公司治理、内部控制和风险管理方面作用的不断加强，现代内部审计的发展对内部审计人员的综合素质和专业胜任能力提出了更高的要求，更大的挑战。

　　二、内部审计应采取的对策

　　对策之一：目前，在我国大型银行中，工行、中行、建行和交行陆续成功实现了上市，上市后，随着信息披露和透明度要求的提高，对商业银行内控合规体系建设空前重视，管理层也更希望内部审计在提升银行价值、实现其战略发展目标方面发挥独特的建设作用，这为内部审计提供了巨大的发展空间。可以说，目前内控合规的重要性和对内部审计的重视程度都是史无前例的，对此各家商业银行要有充分的认识，并按照《内审指引》的要求对内部审计的职能重新进行定位，对稽核章程重新进行修订和完善，以树立新的工作目标，体现内部审计的价值所在。要组织内部审计人员认真学习贯彻《内审指引》，加大对审计职能定位的内部宣传力度，使本机构全体员工人人知晓内部审计的职责、作用；要以审计体制改革为契机，加快构建职能管理、合规控制、内部稽核三道防线内控体系，将内部审计作为完善公司治理、健全风险管理、加强内部控制的重要手段和推动力，积极转变理念，创新工作方式，不断提升内部审计的增值服务水平。

　　对策之二：要循序渐进地推进独立垂直的内部审计体制改革，探索出一条适合中国国情、具有中国特色的内部审计之路。为此中行做了许多探索工作，积累了一定经验，初步形成了总行垂直管理的现代商业银行内部审计体制。首先是确立了内部审计的重要地位。其次是构建了新型的内审组织架构，极大地提高了内部审计的独立性和权威性。最后是确立了全新的报告路线，稽核部门向董事会及其稽核委员会/上级稽核部门报告稽核中发现的重要问题，各级稽核工作人员还有权越级直接向董事会及其稽核委员会报告稽核发现的重要情况和问题。这一报告路线的设计既保证了内部审计的充分独立性，又是解决信息不对称，改进垂直化审计管理的有力措施。

　　对策之三：虽然内部审计领域不断得到拓展和延伸，但考虑到目前我国商业银行内部审计资源捉襟见肘的实际情况和内审发展阶段特点，内部审计的主要工作重心仍应放在稽核确认和内控评价上，因为这是内部审计职能的基础性工作，是做好风险管理审计和公司治理审计的前提条件，而不能一味地赶时髦，贪大求洋，食洋不化。根据巴塞尔银行监管委员会对国际银行业内部审计的一项调查显示，大多数国际银行的内部审计师在保证和咨询活动上的时间分配比例一般是：内部审计占75?%，培训占5 %，咨询占020%.因此，我国商业银行的内部审计部门也应当将至少80%的精力放在稽核确认和内控评价上，而且应当逐步减少现场稽核检查的比重，提高内控评价的份量。

　　对策之四：要加强信息技术在审计工作中的应用，建立和完善非现场内部审计监测体系及稽核项目管理系统、稽核管理信息系统，不断提高内部审计手段的技术含量。要严格实施全过程的内部审计质量控制，涵盖审计计划审批、项目立项、方案制订、审计前准备、进场检查、审计报告、文档整理、后续审计等全过程，严把各个环节的质量关，努力提高内部审计工作水平，要努力从内部审计方法、技术等方面实现“三个转变”：即从单个项目、常规性片面的稽核向整体性、系统性的全方位稽核转变，从合规审计为主向以合规审计与内部控制审计有机结合转变，从现场稽核为主向现场与非现场稽核有机结合转变。