从《资本管理办法》最新要求看我国银行内部审计的现状与改进之路

全球金融危机发生后，巴塞尔委员会对银行业的国际监管规则进行了大幅修改，新出台的巴塞尔协议Ⅲ对银行的资本充足情况和银行系统的流动性风险监管提出了更高要求。为提高中国银行业抗风险水平，并与国际新监管标准接轨，中国银监会于2012年6月发布了《商业银行资本管理办法（试行）》（以下简称《办法》）。《办法》对巴塞尔协议Ⅲ进行了本土化，并对国内银行提出了更严格的资本要求。其中，巴塞尔协议Ⅲ以及《办法》都明确了商业银行内部审计部门在重要风险管理、资本充足率和流动性控制方面的职责。事实上，加强内部审计部门在这三个方面的职责要求，持续改进银行业金融机构的内控机制，恰恰是各国从金融危机中总结的重要经验教训之一。
    一、银行内部审计的定位与职能
    
    基于有效的内部审计对于防范和控制金融风险所起的至关重要的作用在金融危机发生之前并未得到应有的重视，巴塞尔委员会在总结金融危机的教训并制定新的监管规则时，对银行的内部审计部门寄予厚望。如在巴塞尔协议Ⅲ777（X）段中要求，银行应当通过内部审计定期对其交易对手信用风险管理系统的各个方面进行独立审查。此外，巴塞尔委员会于今年6月份还发布了《银行内部审计》，替代2001年发布的《银行内部审计及监管当局与审计师的关系》。该指引吸收金融危机的教训，对银行内部审计提出了更高要求。
    巴塞尔委员会对银行内部审计职能的定位为：“有效的内部审计应向银行董事会和高管层提供关于银行内部控制、风险管理、公司治理体系和流程的质量和有效性的独立意见，帮助董事会和高管层维护银行运营及声誉”。巴塞尔委员会在《银行内部审计》中明确要求，银行及其附属机构的业务活动均属于内部审计的审计范围。银行内部审计至少要覆盖的风险管理要素包括：一是对信用风险、市场风险、操作风险等重要风险的管理；二是风险管理系统和流程的充足性、完整性；三是风险模型的批准和维护，以及评估风险管理部门的风险偏好、扩张和管理报告。
    二、《办法》对商业银行内部审计的新要求
    
    《办法》充分吸收了巴塞尔委员会《银行内部审计》等国际监管规则的最新变化，对内部审计部门在银行风险管理、资本充足率及流动性控制等方面提出了更具本土化的要求。这为独立、有效开展银行内部审计工作提供了保障。
    首先，《办法》要求银行内部审计部门加强对银行重要风险管理流程的内部审计。对于银行信用风险、市场风险、操作风险等重要风险的管理，必须按要求履行审计义务。在信用风险方面，要求银行建立信用风险暴露分类的内部审计制度，并对银行账户风险暴露分类实施情况展开定期审计。商业银行采用内部评级法的，内部审计部门一是要对内部评级体系及其风险参数估值进行审计，二是对内部评级体系的适用性、有效性进行评估，确保内部评级结构的可靠性。此外，内部审计部门还要对信用风险主管部门的工作范围和质量及其专业人员的技能和资源充分性进行评估。对市场风险采用内部模型法的，要确保银行拥有足够的交易风险控制等环节的专业人员。在操作风险方面，内部审计部门需要注意审查银行是否投入了足够的人力、物力支持在业务条线实施操作风险管理。
    其次，《办法》要求商业银行明确内部审计部门在资本充足率管理及流动性风险管理中的职责。这些职责至少应当包括：一是评估资本管理的治理结构和相关部门的履职状况，以及相关人员的专业技能和资源充分性；二是至少每年一次检查内部资本评估程序相关政策和执行情况；三是至少每年一次评估资本规划的执行情况；四是至少每年一次评估资本充足率管理计划的执行情况；五是检查资本管理的信息系统和数据管理的合规性和有效性；六是向董事会提交资本充足率管理审计报告、内部资本充足评估程序执行情况审计报告、资本计量高级方法管理审计报告。对于采用资本高级计量方法的，内部审计部门还需要评估资本计量高级方法的适用性和有效性，检查计量结果的可靠性和准确性，检查资本高级计量方法的验证政策和程序，评估验证工作的独立性和有效性。当内部审计部门发现重大问题时，除向董事会或其授权专业委员会报告之外，还有向银监会报告相关情况的义务。对于本次危机后引起各国广泛重视的流动性风险，《办法》要求银行定期开展流动性风险的内部审计，审查和评价流动性风险管理体系的充分性。
    

三、我国银行内部审计发展现状
    
    整体而言，我国商业银行尤其是大中型商业银行的内部审计在近年来有了很大的改善。这一方面得益于监管当局的持续督导，如银监会2006年发布《银行业金融机构内部审计指引》，2011年发布《关于加强大型银行内审监管充分发挥内审作用的意见》，再到《办法》中对内部审计职能的再次强调等等，对提高商业银行对内部审计的重视程度，保障内部审计的独立性起到了重要作用。另一方面，许多商业银行作为上市公众公司，也需要满足证监会和交易所等关于上市公司内部控制方面的诸多要求。但与此同时，要建设独立、有效的内部审计体制，充分发挥内部审计在防范风险、加强公司内部控制和公司治理方面的作用，我国商业银行还有许多工作要做。
    （一）我国银行内部审计进步明显
    
    首先，目前我国大中型商业银行的内部审计已基本实现形式上的独立。各大中型商业银行的董事会一般都设立了内部审计委员会，银行的内部审计部门对内部审计委员会和董事会负责，并受监事会的监督。内部审计部门一般有向银行高级管理层、内部审计委员会、董事会、监事会报告的义务。内部审计部门的分支机构一般接受总行内部审计部门的垂直领导，不受各分支行的领导和约束，能够相对独立地对各分支机构展开审计工作。
    目前我国各大银行总行内部审计部门与其分支机构之间一般采用两种模式。一种是国有商业银行，如工行、农行、建行等，由于其分支行网点众多，多采用分行派驻式审计模式，即总行内部审计部门向各省级分行派驻内部审计分局负责相应省份分支行的审计工作。另一种是股份制商业银行，如光大银行、兴业银行、中信银行、招商银行、民生银行等，由于其营业网点相对较少，均采用区域派驻式审计模式，即在总行设立审计部，在全国按区域设立审计分部，如华北区、东北区、华南区等等。总体来说，无论采用哪种模式，我国大中型商业银行的内部审计已经初步形成“统一领导、垂直管理”的管理模式，有利于保障审计部门的独立性。
    其次，我国大中型商业银行对风险管理等的审计重视程度加强，审计范围逐渐扩大到银行各业务、公司治理、战略机制、流程运营、风险管理、合规管理等各个层面和维度。审计范围的扩大得益于监管当局的督导及银行董事会、高级管理人员对内部审计作用的重视程度大大提高，也符合金融危机后国际上加强银行监管的大趋势。各大中型商业银行，尤其是上市商业银行大多在其年报中强调，内部审计已经覆盖至银行的各个业务和管理条线，并通过内部审计、内部控制自我评价等多种方式开展审计工作，以提高内部审计在防范风险、加强银行内部控制及公司治理中的作用。
    （二）我国银行内部审计仍有较大改进空间
    1、我国商业银行内部审计部门的独立性仍不能满足实际需要。
    虽然各银行尤其是各大中型商业银行均在董事会下设置内部审计委员会，并直接领导银行内部审计部门，但这种领导目前还基本上是形式上的。实际上，内部审计部门的人事安排、经费开支及绩效考核等在很大程度上仍然受制于经营管理层，这就导致审计部门的独立性、审计结果的权威性都缺少足够的保障。在绝大多数银行内部，内部审计部门与风险管理、法律合规以及其他业务部门在行政级别上持平，甚至各部门间在绩效考核时会互相打分，这就对内部审计部门形成一定制约，削弱其独立性，导致内部审计的效果大打折扣。
    2、形成良好的内部审计文化，使银行各部门形成对内部审计的认同尚需时日。
    虽然银行董事会、高级管理人员对内部审计的重视程度在逐渐增强，但激烈的竞争使得银行容易出现重发展轻合规的倾向，担心因整改而自缚手脚，导致本行在市场竞争中处于劣势。而一旦内部审计人员发现了相关问题，业务部门又会千方百计地与审计部门进行沟通，以最大限度地降低对业务部门绩效考核等方面的影响。一旦审计结论定调，这些部门也就不再关心被查问题是否进行了认真整改和落实。而处罚程度的降低则直接造成相关部门违规成本过低，甚至可能出现“屡查屡犯，屡犯屡查”的情形。而在实施整改的过程中，也往往出现仅整改个案的情形。如针对内部审计部门查出的业务问题，相关部门整改的主要方式就是针对该起个案进行整改并汇报结果。多数情况下既未对相关业务的内部控制、业务操作流程及IT系统等进行梳理，查找问题发生的根本原因，也未对同质同类产品和业务进行核查，更未通过对个案问题的深层次分析来进一步了解银行的公司治理、风险管理及内部控制情况。
    3、内部审计人员的职业素养有待进一步加强。
    内部审计人员的专业胜任能力和技术水平是决定银行内部审计工作质量的关键因素。要实现对银行各个层次和维度的内部审计全覆盖，要求银行内部审计人员熟练掌握各个部门、各个领域的专业知识。而我国银行内部审计人员多以财会人员为主，受其专业背景影响，往往围绕相关的财务资料展开审计，在对信息技术、风险管理及资本管理方面展开审计工作时，难以做到《办法》中所要求的定期审计风险管理情况等动态审计与监督，也缺乏有效评价银行公司治理、内部控制等方面的工具。
    4、内部审计技术有待继续改进。
    目前我国商业银行的审计手段以现场审计为主，非现场审计为辅，有的银行还配合以现场走访或者自查形式作为辅助。随着商业银行电子化业务的快速发展，经济事项由计算机自动核算，审计人员面对的是能大量集中存储会计数据的磁性介质。用传统的审计手段，无法迅速有效地完成审阅、核对、分析、比较等各项审计基础工作，审计的效率、质量、覆盖面等受到限制，无法对实行电子化业务处理系统和计算机系统实施监督。目前的计算机信息系统还无法充分满足银行有效开展非现场审计。
    5、内部审计部门与监管部门缺乏有效沟通。
    巴塞尔委员会发布的《银行内部审计》监管指引再次强调了银行内部审计部门与监管当局沟通的必要性。银行内部审计部门与监管当局的定期沟通，既能有效提升内审在银行内部的地位和权威性，也有利于与监管当局就双方共同关注的风险领域进行探讨，促进监管当局制定有针对性的监管意见和指导银行内部审计部门更好地开展审计工作。
    四、从《办法》的要求看我国银行内部审计的改进之路
    尽管我国商业银行内部审计工作已经取得了较大的进步，但从《办法》的相关规定以及上文的分析可以看出仍存在一定问题。我国银行内部审计可以从以下几个方面着力改善。
    （一）继续完善内部审计制度体系，建设内部审计文化，提高银行内部审计的独立性。
    独立性是内部审计的灵魂，也是确保内部审计部门能够有效完成《办法》所规定各项职责的最终保障。针对目前国内银行内部审计部门“形式重于实质”的情形，一方面，监管部门应要求董事会、高级管理人员进一步提高对内部审计职能的认识，做到内部审计部门在人员编制、人事任免、绩效考核及信息报送渠道方面实现独立。需要指出的是，这种独立是指不受其他部门干扰的独立，而不是不受任何制约的独立。在管理体系、汇报机制上，真正实现审计委员会与内部审计部门之间的领导与汇报的关系，真正落实总行审计部门对各分支机构或各区域的审计部门的垂直领导体系。同时，应在银行内部建设自上而下的审计文化，确保银行各部门充分重视内部审计的功能。银行应建立一套独立的适合于内部审计部门的绩效考核方法，避免被审计实体对内部审计部门直接考核，从而实现科学评价内部审计工作成效，保障内部审计工作的独立性。
    （二）以风险为导向，提高内部审计及时性，扩大覆盖范围
    《办法》对内部审计部门在银行重要风险管理以及资本管理中的职能规定，体现了近年来以风险为导向实施内部审计的国际监管新趋势，也对内部审计覆盖的范围提出了更高要求。以风险为导向进行审计，要求内部审计部门在审计工作中要做到适时审计，如《办法》要求内部审计部门对银行的风险暴露分类进行定期审计，从而根据市场变化预期、宏观政策和外部监管要求，对业务运作流程的不同风险指标进行监控。以风险为导向进行审计，还有利于突出审计重点，优化审计资源，降低内部审计的剩余风险。要加大内部审计覆盖的范围，就是要求内部审计能够覆盖包括重要风险管理、资本管理及流动性控制等银行的各层次、各维度的业务及管理活动。金融危机表明，银行风险管理的相关工作并不总是有效和可靠的，必须对风险管理以及根据风险暴露计算银行资本的流程、系统等的有效性进行评估。因此，银行内部审计的领域应以重点风险管理、资本管理及流动性控制、IT系统等几个方面为着力点，逐渐覆盖银行每项活动。
    （三）大力提高内部审计人员职业素养
    审计部门成员的专业背景应当涵盖财务、风险管理、信息技术等多个领域，并能够胜任对相关业务及条线的内部审计工作。内部审计部门负责人应当充分重视对审计人员的专业培训，帮助审计人员掌握新的审计技术并充分交流审计经验。此外，长期从事此类工作，可能会对做出正确判断产生影响。因此，银行应当建立完善交流机制，实现内部审计人员与其他职能部门人员之间的轮岗，提高内部审计人员的专业经验，这也有利于保证内部审计人员工作的积极性及审计结果的客观性。
    （四）大力发展非现场审计技术，建设非现场审计信息系统
    非现场审计是基于现代信息处理手段和传递方式迅速发展起来的一种审计监督方式，具有全面性、时效性、低成本、高效率等优势。银行分支机构的机构概览、业务异动分析、内部控制报告、后续跟踪、日常信息收集与监测等，都能通过非现场审计信息系统实现。非现场审计方式实现了对相关业务及经营情况的持续跟踪与动态监控，有利于及时发现问题并发出预警。国内商业银行应大力发展非现场审计信息系统，丰富审计手段，提升审计质量。
    （五）银行内部审计部门应当保持与监管当局的经常性沟通
    受金融危机的影响，各国监管当局都采取了一定措施强化对本国银行系统的监管。银行内部审计部门是银行内部监管的最后一道防线。一方面，银行内部审计部门与监管当局保持经常性的沟通，有利于监管当局及时了解银行相关风险的处置情况，避免一些不必要的检查监督措施，同时也有利于监管当局对银行内部审计的地位和权威做出恰当的评估。另一方面，这种沟通也有利于银行内部审计部门及时掌握监管当局的关注重点，加强对这些领域的审计以防范风险，并在一定程度上有利于保障内部审计部门的独立性。