我国商业银行内部审计的问题、特点与建议

沈恂

我国商业银行内部审计存在的问题

内部审计机构缺乏独立性，委托代理关系不清。根据2016年银监会颁布的《商业银行内部审计指引》（以下简称《审计指引》）的规定：“商业银行应建立独立垂直的内部审计体系。董事会应下设审计委员会。监事会对本银行内部审计工作进行监督，有权要求董事会和高级管理层提供审计方面的相关信息。商业银行的总审计师对董事会及其审计委员会负责。”现实中各大商业银行相继组建了自己的内审机构，主要有总行/一级分行、总行/一级分行/二级分行两种模式，但两种模式都存在内审机构隶属于本级分行管辖的“内部人治理”的问题，影响了内审机构工作的独立性、公正性和权威性。此外，我国商业银行内审部门除向董事会（审计委员会）负责外，还需向监事会和行长汇报工作。这种公司治理架构使内审部门同时与治理层和经营层形成委托代理关系。由于治理层和经营层的责任及目标不一致，其对内部审计的要求存在差异，这直接导致内部审计在审计目标和定位上存在模糊。

内部审计的职能仍停留在初级阶段。目前我国商业银行的内部审计职能主要是对财务报表的真实性和业务活动的合规性进行审查，审计的主要目标是查错防弊而不是对银行经营管理做出分析、评价进而提出管理建议。根据对我国商业银行内部审计工作现状的调查显示，内部审计机构将91%的时间和精力投入到财务审计、业务经营审计等初级职能上（高于62%的国际平均水平），却很少提供内部评价和咨询等增值服务。因此，内部审计亟待转变角色定位，将工作重点从保证职能转移到咨询服务职能上。

审计方法较为陈旧，风险导向审计尚未完全应用。首先，我国商业银行内部审计仍停留在手工操作和现场检查阶段，主观判断多，科学的风险分析方法运用得少。在目前银行业以防控风险为主题的背景下，这种原始、传统的工作方法由于依赖大量人工操作，存在效率低下、成本高的缺点，已逐渐无法适应商业银行加强公司治理和内部控制的需要，影响了内部审计基本职能的运用。其次，我国多数商业银行尚未应用风险导向审计模式，风险评估和风险识别所依赖的审计模型尚处于初创阶段，缺乏参数设置和历史数据的检验。最后，我国内部审计的信息化程度不高，信息搜集处理多依赖人工操作，在银行金融创新蓬勃发展、信息大数据化的时代，这种原始的信息处理模式已经很难适应银行的业务扩张步伐。

审计人员队伍薄弱，素质有待提高。长期以来，我国商业银行一直对内部审计不够重视，内审人员较少、部分内审岗位等由其他部门人员兼任，且内审人员素质参差不齐。另外，随着内部审计工作由财务领域向经营管理领域的拓展，内部审计人员的专业需求趋于多元化，不仅要有懂财务及审计的专业人才，还应配备精通各项相关业务的专门人才，但我国商业银行内审人员结构比较单一，基本由审计专业人员构成。由于内审部门业务的专业性较强，该部门与银行其他部门之间的内部交流轮岗机制尚未成熟，导致内审人员对商业银行的前沿业务和金融创新业务接触较少，影响了审计效率。

内部审计与外部审计缺乏协调沟通合作。近年来，一系列商业银行案件的爆发（如山东齐鲁银行金融诈骗案），使得商业银行外部审计与内部审计协调沟通问题日益显露。由于缺乏必要的沟通协调机制，无法产生内部审计与外部审计的协同效应。内部审计既不能为外部审计提供必要的审计信息，也没有来自外部同行的监督制约，使得其缺少战略性和长远动力。

西方商业银行的内部审计特点

西方商业银行经营发展历史悠久，在长期的实践过程中逐步建立起一套与公司治理结构相适应、内审独立性较强、审计目标明确、审计质量较高的内部审计监督体系。具体有以下几个特点：

独立公正的审计组织机构。为防范“内部人控制”行为造成的道德风险问题，国外商业银行一般都专门成立独立于经营层、仅对银行董事会负责的内部审计组织机构。巴塞尔委员会公布的内部审计文件也要求：“银行内部审计必须独立于被审计的活动，也必须独立于日常的内部控制程序。”这意味着内部审计应在银行内部具有恰当的地位，以便客观、公正地执行任务。西方多数商业银行都依照此原则设置本行的内审机构。以美国花旗银行为例，董事会下设的审计与风险管理委员会统一领导全行的审计工作，向董事会汇报工作并负责。审计委员会管辖的内部审计部门相当于总行部门级别，审计委员会设首席审计官（副总裁级别），但不向总裁汇报工作，而是直接归审计委员会领导，审計委员会主任及副主任均为独立董事。为了保证不受干扰的执行审计业务，各地分行一律不设内审部门，而由总行在各地设若干个与当地分行并无隶属关系的审计中心，其预算、人员均与各分行无关。与美国相比，德国商业银行的审计独立性更强。德国部分商业银行按借款业务、零售业务、结算业务、信息技术等条线设置审计中心，由各审计中心对各分行相关业务条线所属部门对接审计。这样设置避免了属地化造成的与地方分行不可避免的日常接触，将内审机构的独立性和权威性提升到新的高度。总之，西方银行内审机构设置确保内审部门独立不受干扰地确定审计范围、审计目标并设计实施审计计划，越过管理层直接向董事会汇报审计结果。这种设置方式为提升内部审计独立性和有效性，发挥内部审计的管理评价职能提供了组织保障。

除了机构设置，西方银行还十分重视其内审机构、人员独立性的保持。例如，西方银行通常每隔一段时间将内审部门人员进行岗位轮换，避免某岗位人员由于与被审计部门长期接触产生不利于独立性的判断。同样为了维持独立性，西方商业银行还采取了其他措施，例如，内审部门被禁止介入银行日常经营管理，并确保绝大多数内审人员从外部招聘；为了避免内审人员自身的道德风险，银行大多要求对审计工作底稿进行定期的质量控制和评价复核，并确保内审人员的薪酬不与银行经营情况按比例挂钩等等。

以内控评价为主的风险导向内部审计模式。随着审计目标、审计范围的拓展和审计技术的飞速进步，传统账项审计已越来越无法适应内部审计的内在发展需要，西方商业银行正在摆脱传统方法的束缚，更多运用现代审计技术。巴塞尔委员会的调查结果显示，接受调查的西方银行内部审计均采取以内控评价为基础的现代审计理念，以评价内部控制体系的完整性、有效性为主，对重要业务或内控系统存在较大缺陷的部分采用实质审计程序。部分商业银行还引入了“风险导向”审计方法，该方法紧紧围绕风险防范开展内部审计工作，并借助计算机技术来进行风险测定。美国商业银行是风险导向审计的典范。一般来说，美国内审部门会着重检查和评估银行在战略风险、网络风险、政治风险、信用风险、市场风险、操作风险、人力风险及法律风险等八个方面是否存在漏洞，并根据风险暴露的程度确定审计对象和相应的审计计划。而后，内审部门会建立由风险损失、风险程度及内控水平组成的三维矩阵式分析方法，内审部门运用定量和定性的指标来计量被审计主体的固有风险， 通过定量的风险评估模型、风险问卷或打分表结果，将不同分支行、部门、品种分为高、中、低三个风险等次，并对被审计主体的内部控制系统进行评估，以识别能降低固有风险的控制因素。对内部控制环境差、风险等级高的业务部门、分支机构及业务品种加大审计频率和监控力度。

高素质的内部审计人员队伍。巴塞尔委员会的《内部审计文件》指出，内部审计师的专业水平是内部审计正常发挥作用的关键因素。西方商业银行一般要求各级内审人员（从部门主管至普通员工）都有良好的教育背景，另外具有注册审计师、注册会计师等职业资质也是必备的技能。为保证内部审计有效开展，内部审计人员在全行员工中占有一定的比例，一般达到1%以上。另一份根据美国商业银行内部审计人员的抽样调查资料表明：受调查的美国商业银行内部审计人员中，有良好教育背景（如高等学位）或专业技术资质（如注册会计师、注册内部审计师）的人员超过50%。另外，西方银行大多采取不同措施保持内部审计人员的专业能力，如在职培训、正式的内部和外部培训（注册审计师也应继续接受强制性的再培训）以及审计部门内部的轮岗等。

政策建议

从公司治理架构层面改善内部审计的独立性，减少委托代理层级，建立垂直集中的内部审计汇报管理体系。各商业银行应考虑在总行层面设立内部审计部门（一级分行以下一律不设），在管理层设置总审计师岗位（副行长级），并规定总审计师直接向董事会审计委员会汇报工作；在全国各大区设立若干审计中心，大区审计中心再向一级分行（及所属机构）派驻审计组；审计中心的人员编制、预算和薪酬归属总行内审部门，由总行内审部门统一制定审计计划。这样既可以避免“内部监督”的问题，使内审部门有效行使监督权，也有效改善了内审部门受治理层和管理层多头管理的弊端，增强委托代理的约束力。

加快风险导向审计模式在我国商业银行落地。首先，应解决风险评估结果的量化程度差的问题。我国商业银行应增强对风险事件定量分析研究的力度，内审部门应对风险环境、风险事件的变化加强分析，根据实际情况适时调整系統模型参数，随时跟踪不断变化的风险。其次，应加强内控制度建设作为风险导向审计的制度基础。风险导向审计以内控有效性为评价依据，对于尚未形成有效内控制度的商业银行，应先完善自身的内控制度，并以内控制度为“抓手”推进风险导向审计方法的应用。最后，风险导向审计的推进是循序渐进的过程，在内控制度和风险评价体系尚未完善前，仍应以查错防弊的实质性审计程序为主。

通过信息化改造，实现以信息化程度较高的非现场审计为主、以传统人工操作的现场审计为辅的全新审计手段。我国商业银行应在银行业务系统之外增设流程化、模块化的内部审计集中管理平台。审计平台通过业务数据接口从银行业务系统攫取数据的同时，保持一定的独立性以隔离风险，并通过定期执行数据采集和自动分析，为财务风险和内部控制风险提供早期预警。通过以上信息化手段，可以保证银行内审部门及时获取业务信息并开展日常非现场审计，实现辅助审计，使其对经营风险持续监控的同时，可以缩短审计时间，降低审计成本，摆脱人工审计存在的遗漏差错，逐渐达到风险评估数字化、数据分析自动化的目标。

充实内审人才队伍，加强继续教育，完善内部轮岗交流机制。首先，我国各商业银行应通过外部招聘与内部调动相结合的方式增加内审人员数量，以满足《审计指引》要求的员工总数1%的硬性指标。其次，各商业银行应建立市场化的内部审计岗位人员准入与退出机制，通过市场化的薪酬将懂风险管理、信息技术、审计知识的人员，尤其是掌握金融衍生品、网络银行、理财产品的经营管理的优秀人才吸收进内审队伍。再次，以各种形式鼓励内审人员加强自我学习提升业务水平，如为在业余时间取得执业资格的人员报销考试费用或提供物质奖励等。最后，保证每年有内审人员交流到相关部门工作，以促使现有内审人员了解银行新业务、新流程、新风险，以适应银行业务与产品拓展的审计工作。

依托外部专业人士的技术优势，充分发挥内外审的协同效应。由于银行业在金融业门类中属于业务类型最多、专业要求最高的行业，内部审计人员无法做到所有业务领域知识的全覆盖，应尽可能利用外部专家的专业优势解决问题。如在电子银行、银行信息系统等技术领域聘请信息技术专家，借助其专业知识提高审计效率；将金融衍生品业务、投行业务等对金融专业知识要求较高的业务外包给专门的审计机构。

（作者单位：中国社会科学院研究生院）