白露
[摘要]本文基于当前基层人民银行内部审计部门的履职现状,探讨充分发挥内部审计第三道防线作用存在的主要问题,并提出相应的对策建议。
[关键词]人民银行 风险管理 第三道防线 内部审计
在依法治国及全面从严治党的新形势下,基
层行内部审计部门作为风险管理的第三道防线,在进一步改进风险防控、促进依法高效履职方面面临更大的压力和更高的要求。近年来,人民银行内部审计监督力度不断加大,工作范围不断扩展,审计成效逐步提升,为防范化解央行履职风险发挥了重要作用。然而,相对于进一步加强风险防控、促进央行安全健康履职的目标和要求,基层行内部审计在充分发挥第三道防线作用方面还存在一些问题和不足。
一、存在问题
(一)风险管理监督:失位与缺位并存
作为第三道防线,内部审计应对组织所有风险管理活动实施独立监督。近年来,基层行内部审计部门以风险为导向开展审计,审计对象和范围逐步覆盖央行主要业务和职能部门。但是,与全面风险管理需要和审计全覆盖要求相比,风险管理监督还存在失位与缺位的现象。
一是失位现象。由于理念、认识的相对滞后,内部审计开展的风险管理监督活动主要以内部控制审计或业务专项审计为抓手,聚焦央行传统和主营业务,着力查找内控环节和业务领域的风险。而对人民银行整体风险管理的有效性缺乏关注,未从宏观全局及体制机制层面探索影响央行风险管理目标实现的因素,如有关风险管理的文化建设、风险管理体系和组织机构的建立健全、风险管理信息沟通的效率效果、风险管理的整体有效性等,尚未纳入审计范围,反映出风险管理监督的失位。
二是缺位现象。央行业务信息化进程的加快使内部审计风险管理监督面临更大的挑战。由于懂业务又懂信息技术的高层次人才匮乏,内部审计信息技术审计模式和手段的落后,造成风险管理监督的缺位。一方面,信息技术审计模式落后,信息技术审计与业务审计未有效结合,缺乏对信息系统可靠性、安全性与业务处理规范性、有效性关系的分析研究;另一方面,审计信息技术手段落后,对大数据、云服务、区块链等新技术环境下的审计信息化研究滞后,且现有的计算机辅助审计系统、软件在业务领域和审计人员中尚未得到普遍运用,未能充分发挥信息技术深层挖掘、分析的效能,制约了第三道防线的监督效果。
(二)风险管理咨询:供给与需求不匹配
随着工作质量的提升和工作内容的深化,内部审计在治理、风险管理和内部控制中的作用得到认可,承担的咨询活动越来越多。然而,与IIA准则关于咨询的定义及服务央行风险管理的需要相比,既存在过度提供咨询的现象,也存在咨询服务效能不足的问题,供给与需求不匹配。
一是过度提供咨询。与“三道防线”理想模型相比,人民银行风险管理第二道防线相关的职能机构缺失,导致风险管理的职责不清,而内部审计作为内部监督部门,承担了本不应承担的工作。调查显示,某人民银行基层行内部审计部门承担了15项“类咨询”的管理活动,涉及9个业务领域,占用工时共计107.5人/日/年。其中有9项直接参与一线风险控制操作,如发行库检查、国库业务检查、固定资产清查、人事考核竞聘等;有6项直接参与二线风险管理监督,如工会经费审查、科技安全检查、大会计检查等。内部审计在上述工作中实质介入了管理职责,过度提供了咨询,既损害了内部审计作为第三道防线的独立性和客观性,又占用了大量审计资源。
二是咨询服务效能不足。由于工作能力和工作主动性的欠缺,在真正可以发挥咨询作用的领域,基层行内部审计作为第三道防线的服务效能不足,难以满足风险管理的需要。一方面,内部审计咨询还停留在传统领域,如开展内控培训、对人事考核及评先评优提供征询意见等,而对于新兴业务领域的流程优化、信息技术和系统的开发设计等缺乏参与研究,难以适应不断变化的风险管理形势;另一方面,内部审计咨询依然是被动服务,无论是参与各类有关治理、风险管理、内部控制的领导小组会议,还是提供顾问建议,多是应要求而開展,缺乏主动作为的意识,对内部审计可以积极发挥第三道防线作用的咨询领域和方式缺乏探索,削弱了内部审计改进风险管理的增值作用。
(三)风险管理协调:“点”“面”未结合
基层行内部审计部门探索运用多种方式,促进了风险管理相关方之间的信息共享和协同配合,但与进一步改善风险管理的需要相比,仍存在协调覆盖面不够广、协调力度不足的问题,影响了风险管理三线联动的效果。
一是协调覆盖面不够广。一方面,风险信息的疏导多以具体业务为主,跨领域、跨部门、跨单位的多维度风险分析较为欠缺。调查显示,内部审计部门普遍利用业务交流磋商会、风险提示书、审计通报、审计建议书等方式,向审计对象、业务部门点对点地传递风险信息,缺乏从宏观全局出发的多维度、高质量风险透析,限制了风险信息疏导的对接面;另一方面,管理活动协调仍以内部审计条线跟踪检查为主,多部门联合检查、突击检查较少。调查显示,基层行内部审计主要利用后续审计、飞行检查、审计整改联席会等形式促进审计对象优化风险管理措施,尚未实现与业务条线联合跟踪、检查的常态化,制约了防线协作改善风险管理的效果。
二是重点环节协调力度不足。由于有关风险管理沟通协作、追踪问责的工作机制尚未形成常态化的制度安排,内部审计在协调防线联动、改善风险管理的重点环节上缺乏有力保障。如审计整改问责机制不完善,存在问责主体模糊、责任不清、问责对象重单位轻个人或重事轻人的现象,造成防线联动整改的压力不足、效果不显著;成果运用追踪反馈机制不健全,成果运用仅限于提供信息、反映情况,缺乏对运用与否及运用效果的追踪,尤其是建议、提示类的审计成果,其运用主要依赖有关部门的意识和觉悟,效果难以保障,削弱了内部审计改善风险管理的作用。
二、改进建议
(一)更新风险管理理念,促进内部审计监督尽责站好位
一是提升风险管理监督的高度。风险管理是央行治理的重中之重,而内部审计作为防范化解央行自身风险的重要手段,应该先行一步,更新风险管理理念,在风险导向业务专项审计的基础上,从宏观全局出发,探索适合人民银行特点的风险管理审计模式,从管理和风险的双重视角审视人民银行风险管理框架体系的适当性、风险管理组织架构的健全性及具体风险管理活动的有效性,助推央行风险管理框架体系的完善和效率效果的提升。
二是挖掘风险管理监督的深度。内部审计要紧密结合当前信息技术风险形势和人民银行业务特点,进一步推动审计信息化模式创新和技术升级。一方面,更新信息技术审计模式,探索将业务审计和信息技术审计相结合,在各类审计中关注信息系统的管理控制情况,提高审计监督的深度;另一方面,加紧研究新技术环境下的审计手段,提高内部审计的前瞻性、适应性,并加大审计信息化的培训力度和覆盖面,尤其要覆盖基层行内部审计青年业务骨干,进一步发挥现有辅助审计手段高效、深度挖掘和分析的功效。
(二)健全风险管理组织架构,推动内部审计咨询服务有所为有所不为
一是完善风险管理框架的顶层设计。建议以分省管理为契机,从总行层面研究制定适合人民银行特点的风险管理指导性框架,健全风险管理的组织职能体系,尤其是确立第二道防线的职能机构和职责,对各类固有风险实行归口管理,确保风险管理的三方职责明确、边界清晰,为内部审计独立、客观发挥第三道防线作用提供组织保障。
二是加强沟通,退出过度咨询领域。以内部审计准则为依据,正确区分“类咨询”的管理活动和真正的咨询活动。对于直接介入第一、二道防线风险管理职责的“类咨询”活动,有上级行制度规定的,要自上而下加强沟通,积极推动有关制度的修订完善;应本级行领导要求或按工作惯例参与的,要加强审计独立性宣传和审计环境建设,逐步退出相关工作。
三是主动作为,提升咨询服务效能。在真正的咨询职能领域,内部审计要进一步发挥主观能动性,及时把握人民银行的风险管理需求,坚持以风险为导向,将内部审计咨询“触角”伸向新兴风险领域和高风险领域,研究剖析问题、预警揭示风险并提出咨询建议,引导风险管理决策更加稳健、措施更加得当,积极完善人民银行风险管理、增加价值。
(三)完善风险管理工作机制,推进内部审计管理协调到位
一是抓点带面,拓展防线联动范围。内部审计改善风险管理的工作,要改变点到点的单线沟通和协作,要以点促面、多线配合。疏導风险信息,要综合考虑风险管理全局,从上级主管部门、本级行领导、业务部门、审计对象等多角度思考问题,形成高质量的风险分析和建议,动员所有利益相关方。推进风险管理措施的改善,要多方调动,不仅要切实督促审计对象查漏补缺,也要与领导层密切协作,从单位整体层面推动相关管理措施的优化,还要充分发挥业务部门督促整改、规范工作的作用,形成多线协作、齐抓共管的格局。
二是重点突破,提升防线联动效果。提升风险管理防线联动效果,关键在于健全工作机制。要重点构建审计整改问责机制,按照“权责对等”的原则厘清各方职责,明确问责的主体、客体,规范问责的程序、方式,形成问责的制度化和常态化,增强风险管理各相关方改善风险管理的压力和动力。还要着力探索审计成果运用的跟踪反馈机制,丰富成果运用的跟踪方式,规范成果运用的反馈流程、时限等内容,使审计成果运用“事事有交代、件件有回应”,有效推动风险管理的各方协同配合,改善风险管理的效果。
(作者单位:中国人民银行淮南市中心支行,邮政
编码:232000,电子邮箱:dajiangmingyue2006@126.com)