商业银行内部审计质量管理研究
——以X商业银行为例

周俊芝 江苏银行股份有限公司

引言

近年来，外部市场环境急剧变化，金融科技在商业银行得到广泛应用，伴随着一系列金融案件爆发，商业银行经营管理面临着严峻的挑战。内部审计作为银行内部管理的免疫系统，是风险防控的第三道防线，在强监督、控风险、促发展中发挥职能作用，而内部审计质量是审计工作的生命线，是有效保障内部审计监督效能充分发挥的关键因素。目前，各商业银行均有设立内部审计机构，作为后台管理部门、成本中心，内部审计工作受重视程度不够高，工作质量参差不齐。本文就如何提高商业银行内部审计质量提出探讨。

一、X商业银行内部审计概况

（一）X 商业银行内部审计现状

X 商业银行在集团层面建立了由业务管理部门、风险管理部门以及内审部组成的内部控制三道防线，各级行、各职能部门主要负责人、全体员工共同参与的合理分工、职能明确、报告关系清晰的内部控制组织体系。公司章程明确了内部审计的目标、范围、地位、权限职责、报告路径、与外部审计的关系以及审计人员准入退出机制等，确保内部审计部门独立、客观开展审计工作。在内部审计职能架构上，内部审计机构负责人由董事会任免，直接对董事会负责，向行党委、董事会及审计委员会、监事会报告工作。总行设立内部审计工作领导小组，党委书记兼董事长直接分管内审工作。X 商业银行建立了与实际情况相适应的“垂直领导、统一组织、相对独立”的特色内审组织体系，各分行均设立内审部，实行人员进出、绩效考核、审计项目以总行主导的“三为主”管理模式。总行内审部按年制定并落实年度审计项目计划，对全行各单位、部门的经营管理开展监督和评价，并指导分行内部审计工作的具体实施。全行内审部以政策落实和全行战略目标实现为中心，坚持“卫士、医士、谋士”理念，践行“专业化、智慧化、垂直化”发展战略，以促进全行高质量发展为目标，在强监督、控风险、促发展中发挥“啄木鸟”“看门人”作用。

（二）X 商业银行内部审计现有质量控制体系

X 商业银行在内部审计工作实施方面，由总行内审部对审计项目实行统一领导、统一部署，并充分调动全行审计资源，协同完成各项任务部署。建立了“制度+系统+考核”的质量控制模式，一是制定内部审计管理制度、审计质量控制办法，统一全辖的审计质量控制标准，规范审计全流程管理，总行各团队负责指导内部审计人员执行审计计划，监督内部审计过程，印发审计质量控制规范要点提示，规范各类文书格式提高审计质量精细化管理水平。二是以审计管理信息系统为支撑，对审计方案、现场查证、工作底稿、审计报告、整改追踪、项目人员管理等关键环节进行文档记录。三是设置以总行为主的绩效考核体系，总行内审部根据分行内审部年度内参加总行审计项目的贡献情况以及分行属地审计工作开展情况，对分行内审部及审计人员进行考核。

二、X商业银行内部审计质量管理存在的不足

（一）内部审计工作理念不足

随着外部市场环境的变化，以及金融严监管的新态势，内部审计在商业银行内部的职能作用已发生转变，需根据所属组织及自身的发展需要，面向新理念和新动向转型，在审计定位、审计模式、审计方法等方面急需转变，即传统的合规审计需转变为风险导向的内部审计、现场审计需转变为非现场或远程审计、人工审计需转变为大数据智能审计，事后审计要逐步向事前、事中转变，不断增强审计的咨询职能，要前瞻性地预防风险，为全行的经营发展提出切实可行的管理建议[1]。部分审计人员仍保持传统的审计思维模式，审计站位不够高，对战略性和全局性问题认识不足，审计发现问题局限于微观层面，对问题背后的原因分析不透，或者提出的审计建议针对性不足、可操作性不强，审计价值创造不高。

（二）欠缺专业的质量控制程序

多数商业银行因对内部审计工作认知不足，投入人力资源有限，未设立专业的质量控制团队，缺乏科学完善的质量控制程序及评价机制。审计项目开展过程中，质量管理的流程化和标准化程度还不够高，在项目开展过程中管理方式较为随意，欠缺系统化的管理控制手段，审计底稿未按质量控制流程提交质控，报送审计底稿存在瑕疵。X 商业银行未设立专业的质量控制团队，仅设置一名审计质量复核岗，属于兼职岗位，实际上并未履行质控职责。在日常审计项目开展过程中，要求由项目组长或者主审审核审计工作底稿，但实操中因分工及时间限制，项目组长或者主审未有效履行质控职责。

（三）需进一步推进审计数字化转型

随着金融科技在商业银行的广泛应用，多数商业银行推行数字化转型，内部审计面临新环境和新情况，审计数字化转型工作迫在眉睫。X 商业银行依托非现场审计系统，引入全行各业务系统数据，编制数据模型，定位疑点数据。但是该系统不能识别非结构性数据（如图片、视频等），如查找未有效落实贷后现场检查的问题，审计人员仅能逐户人工识别客户经理上传系统的现场检查照片，审计效率不高，不能有效落实审计全覆盖要求。此外，审计模型是定期人工跑批，X 商业银行均在开展相关审计项目时才跑批，无法实时精准识别潜在疑点数据，审计事前分析和事中监控欠缺，审计前瞻性不足。此外，在审计数字化转型的背景下，对审计人员数字化审计手段和工具的掌握提出了更高的要求，“业技融合”的复合型人才还不能满足数字化转型需求。

（四）审计队伍难以满足现行审计需求

内部审计质量会受到审计人员专业能力、职业判断等多重因素影响。根据《商业银行内部审计指引》规定，商业银行内部审计人员配置比例原则上不得低于员工总数的1%，且内部审计人员应当具备履职所需的专业技能和实践经验。人员数量方面，部分商业银行内审人员配置低于1%，部分商业银行内审人员配置虽达到1%，但存在兼任合规管理、纪律检查等工作情况，专职内审工作的员工数量低于监管要求。专业能力方面，商业银行的业务类别较多、性质复杂，多数内审员工是从行内某一业务领域转岗，虽具有多年从业经验，但通常也只对某一部分业务领域熟悉。X 商业银行集团层面配备的内审人数合计占全体员工的比例超过1%，但分行层面，多家分行内审力量配备不足，影响分行属地审计工作开展，且配置内审人员时，未考虑人员的专业和从业背景，部分分行内审部人员专业或从业背景类似，如某一分行内审部五人中多数为支行运营转岗，欠缺大公司客户经理背景，在对公业务审计上力量薄弱。

（五）分行内审部属地化办公质效不高

目前，部分商业银行内审条线尚未实行垂直化管理，分行内审部门属于分行下属部门，人员选聘、考核及薪酬管理均在分行，且分行内审工作会受到分行管理层的影响，相对于总行层面而言，分行内部审计工作的独立性不足。X 商业银行内审条线近年已实行垂直化管理改革，加大总行对分行内审的垂直管理的管控力度，实行审计人员、项目、考核管理以总行为主，总分行考核结果占比分别为70%和30%。X 商业银行内审条线当前阶段属于半垂直化状态，分行内审部未完全垂直化，一定程度影响分行内审部的独立性。此外，因交叉审计力度的加大及考核导向，分行审计资源聚焦于总行审计项目，对分行自主审计项目的精力偏少，部分分行在接近年度终了才完成自主审计项目，分行属地办公质效有待提升。

（六）审计项目管理的线上化程度不足

在信息化时代，线上办公成为新的办公模式，审计项目实行线上+线下管理相结合的模式，将审计流程的规定动作和程序嵌入审计管理系统，以规范审计项目各环节的实施，留存审计文档，为审计项目的质量控制提供有效的技术保障。X 商业银行开发了审计管理信息系统，并多次升级系统功能，留存了多年的审计项目文档信息，但因各种主客观原因，系统功能仍然不能支持全流程线上化，且对系统的使用程度不高，更多的是在审计后上传必要的文档，如审计人员信息、审计底稿、审计报告等，审计过程性的资料如调研问卷、访谈记录等零散的归集在相应的项目主审和审计成员个人电脑中，审计管理标准化程度不高，审计项目质量控制记录等资料也未纳入档案管理，不利于审计成果沉淀。

（七）未建立标准的项目考评机制

部分商业银行的审计项目管理办法未设置审计项目质量考核机制，即对审计项目组织实施过程、审计成员履职、审计质量控制效果等进行考核，并定期组织优秀审计项目评选[2]。X 商业银行对审计项目的考核，仅体现在审后对审计组中分行审计人员的贡献度进行考核打分，但是未针对审计项目成效在审后阶段开展标准的项目考评。

三、提高商业银行内部审计质量的建议

（一）完善制度建设

为加强审计项目质量控制，提升质量控制意识，根据审计实际和内部审计新变化、新要求，梳理现有管理制度，优化审计项目流程管理，形成更规范、实操性更强的制度体系。成立专门的审计质量控制团队或者岗位，将审计质量管理嵌入具体的审计项目中，质量控制人员参与研究审议审计方案、重要审计事项，对审计底稿和审计报告进行复核把关，督办项目开展进度，并制定审计项目考评管理办法，在审计项目结束之后，推进落实审计项目考评工作，提升审计项目管理的规范化、标准化和流程化[3]。制定审计项目质量责任追究机制，将审计质量控制责任落实到人，提升审计人员的审计质量意识，构建内部审计文化，推动内部审计质量理念转变。

（二）强化组织管理

推进内审条线垂直化管理，持续提升总、分行内审工作的独立性，即由总行内审部派出审计机构履行分行属地审计工作，在薪酬和考核管理等方面由总行内审部垂直管理，从而减少分行内审部双线领导带来的弱化独立性问题[4]。加强审计队伍建设，充实审计力量，优化审计人员配置，从审计队伍知识结构和专业结构出发，创建专业人才引进机制。强化审计人员能力建设，完善教育培训体系，结合新业务、非现场审计和审计质量控制等方面，一体化推进审计人员的意识教育和技能培训，打造一支能适应新形势和新要求的审计队伍。

（三）加快推动内部审计工作数字化转型

探索人工智能、审计机器人等先进技术在内部审计和质量控制中的应用，挖掘非结构性数据，将审计信息转化为可监控的、数字化的逻辑关系，扩充审计覆盖面，充分发挥金融科技引领智慧审计的作用。强化大数据审计技术运用，提升大数据审计分析能力，通过大数据审计工具和技术，实现对海量信息的实时风险监测和分析。加强风险导向内部审计，不断充实预警模型，推进审计关口前移，采用短平快的审计方式，将事后监测模式向事中、事前预警模式转变，将风险苗头扼杀在摇篮中。

（四）夯实审计管理信息系统支撑

审计作业管理系统是实现审计业务全流程线上化管理和规范化操作、进行审计项目质量控制、查阅和沉淀审计成果的重要载体，包括计划管理、绩效管理、知识管理、文档管理等模块。建议商业银行根据自身内部审计工作情况，构架系统设计框架，开发、优化审计管理信息系统，建立标准的内部审计信息沉淀和传递机制，并根据以往的审计经验、系统的使用情况、审计项目管理需要，不断迭代升级，将质量控制流程和政策固化在系统中，通过信息化手段引导审计人员按要求开展工作，对审计作业质量进行实时监控。此外，建立功能齐全的系统平台后，要注重对系统的充分利用，规范管理系统的使用，真正发挥系统为人、为审计服务的作用。

结语

综上所述，内部审计质量控制牵涉到商业银行经营管理的各个方面，内部审计要有效推动商业银行提升经营管理和风险防控水平，护航商业银行高质量发展，必须全面提升自身质量。商业银行要重视内部审计质量控制，从体制机制、审计文化、系统管理等方面出发，不断完善内部审计质量控制措施，促进内部审计质量和价值得到提升。