关于深化商业银行内部审计职能的探讨,本文主要内容关键词为:商业银行论文,职能论文,内部审计论文,关于深化论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、银行内部审计逐渐成为各方关注重点
1.金融危机引发各方对银行内部审计职能的深刻反思。自20世纪90年代中后期以来,金融风险的复杂性和风险事件的频发性,不仅使银行治理结构备受外界关注,内部审计也逐渐成为各方关注的焦点。巴林银行破产案、亚洲金融风暴、法国兴业银行巨额亏损、次贷危机、银行连环破产等事件,除了受外部经营环境剧变的冲击,更为重要的是公司治理机制中内部监督的缺位,没能有效监督与揭示潜在的风险隐患,让银行等金融机构一次次蒙受着惨重损失,由此使人们深刻反思强化公司治理结构与完善内部审计对银行健康可持续经营的重要性和关键性。
2.巴塞尔委员会进一步强化了商业银行内部审计的职能。1999年9月巴塞尔银行监管委员会《加强银行机构的公司治理》特别指出,“要认识到内部审计提供的重要的审计功能,并有效地利用”,将内部审计的功能定位提到了从未有过的高度;2001年巴塞尔银行监管委员会在《银行内部审计及监管当局与审计师的关系》中指出,在每家银行都应有一个由高级管理层批准和董事会认可的内审部门来强化内审功能的地位和权威性,从而在公司治理结构的基础上,进一步明确了内部审计在公司治理中的职能地位和重要作用;2003年巴塞尔协议Ⅱ在原来的基础上将最低资本要求、资本充足性的监管约束和市场约束结合在一起,构成了三大支柱,更加强调银行自身的内部风险控制和管理。2009年,针对全球蔓延的金融经济危机,巴塞尔委员会开始对巴塞尔协议Ⅲ的修改,通过推动重建监管的相关步骤进一步促进内部审计职能的提升。
3.我国监管机构重视商业银行内部审计职能的发挥。中国人民银行、中国银行业监督管理委员会先后于2002年和2007年颁布实施《商业银行内部控制指引》和《商业银行内部控制评价办法》,规定商业银行的内部审计部门对各个部门、岗位和各项业务实施全面的监督和评价;中国银行业监督管理委员会2006年颁布实施的《银行业金融机构内部审计指引》中进一步明确,内部审计是一种独立客观的监督评价咨询活动,是银行业金融机构内部控制的重要组成部分,银行业金融机构应当以制度形式明确赋予内部审计部门履行职责所必需的权限。近年来监管机构将内部审计的履职情况作为检查重点开展了专项审计,以强化内部审计在公司治理和风险管理中的作用,充分发挥第三道风险防线的作用。
4.商业银行境内外上市再次提升了内部审计职能重要性。近年来,我国商业银行纷纷走出国门,实现了境内外融资上市,极大地提升了公司价值。境内外上市后,商业银行既要接受内地银行和证券规则的监管,也要接受严格的国际规则监管,处于中国银监会、证监会和香港联交所等境外交易所的多重监管之中。同时,还将面临国内外战略投资者、各种类型的股东以及社会公众、新闻媒体的全面监督。资本市场和外部监管对商业银行内部审计提出了更高的要求,对内部审计工作的衡量标准将更为严格。内部审计不再只是关注于控制的传统范式,而是要参与到公司治理中,帮助银行改进风险管理体系,促进内部控制的改善。内部控制和公司治理的有效运行必须有内部审计的充分有效参与,这已是国际管理界和内部审计界的共识。
二、正确界定商业银行合规管理与内部审计的职能是深化内部审计职能转型的前提
目前,在我行商业银行的风险管理实践中,各家银行虽建立了独立的内部审计和合规管理体系,但在实际运行中尚存在合规管理与内部审计定位不够准确、职责划分不够清晰、分工不够明确以及机构交叉重合、角色错位、职能混淆等问题。商业银行合规管理与内审职责定位不清,既不利于独立审计职能的发挥,也不利于合规管理资源的有效利用。在此,有必要厘清合规管理和内部审计的职责定位,以充分发挥两者在风险管理中独立负责与协作配合的作用。
1.不同视角下合规管理部门与内审部门的职能划分。在对商业银行合规管理与内审部门进行职能划分时,既要体现各自的独立性,又要防止两者发生错位与冲突。着眼于“职责分明、减少重叠、防止冲突、相互协作”的原则,在实践中可以考虑按以下两种方式划分:
(1)根据银行经营风险类别来划分两者职能。按照风险导向型审计要求,内审部门首先负责对董事会最关注、风险权重最大的经营风险进行审计。其工作重心为总行和分行的重大风险、重大决策事项和发展战略、财务信息披露、风险管理过程与内控系统的健全性、合理性和有效性的监督和评价;开展重要岗位的履职和离任审计、违法违规事件稽查、重大财务异常情况专项审计及协调外部审计等。合规管理部门主要负责操作风险的识别、计量、分析与报告等工作,审核商业银行的各项经营活动是否遵循有关法律法规要求,组织推动内控体系建设和开展内部控制评价,持续改进内控管理,并组织开展对分支行经营管理活动的常规合规检查等。
(2)按照巴塞尔委员会内审准则与业务流程来划分两者职能。合规管理部门作为联系监管部门的桥梁纽带,在工作中主要围绕落实商业银行内控制度、监管法规和要求等来开展合规风险管理。内审部门的工作重点则是检查和评价事业部、分行在执行法规、规章、制度过程中的薄弱环节,监督财务信息披露的真实性并提出相应改善建议,以开展战略审计为主,同时兼顾合规性审计,监督合规管理部门的履职情况。
2.合规审计与内部审计共筑银行风险管理体系的三道防线。有效的商业银行合规风险管理体系由三道防线构成:第一道防线是业务条线、分支机构一线员工和管理人员的自我合规控制;第二道防线由合规管理部门履行,负责合规风险识别、量化、评估、监测、测试和报告;内部审计部门作为第三道防线,履行合规风险管理的再控制职能。在三道防线中,内审与合规管理既相对独立又协作配合。一方面,合规管理对管理层负责、主要履行服务职能,内审对董事会负责、更多的是履行监督职能;合规管理是持续性的日常监控,内审是按照既定计划开展审计监督与评价;在独立性方面,合规管理需要与业务部门紧密合作,只能做到相对独立,而内审应做到完全独立。另一方面,两者又有着合作与支持机制,如合规管理可为内审工作提供方向和重点,内审结果则是合规管理部门识别、监测和评估合规风险信息的来源和依据。另外,合规管理部门履职情况也应接受内审部门的独立审计监督考核。
三、推进内部审计职能转型,促进商业银行经营管理提升
长期以来,我国商业银行内审工作主要是从事经营合规性审计,更多的是代为履行合规管理部门的工作职责。按照巴塞尔委员会和中国银行业监督管理委员会《银行业金融机构内部审计指引》要求,商业银行内部审计需要转变理念、准确定位,改变只注重监督检查的传统内审模式,逐步向监督、评价和咨询全功能的内审职能转型,全面落实合规审计、内控审计、风险管理审计、信息系统审计、财务审计、风险资本审计和履职审计,促使商业银行风险控制在可接受的水平,改善商业银行运营,不断增加银行价值。
1.转变合规审计理念,发挥第三道防线作用。与以往偏重检查具体业务操作层面合规性的常规审计不同,合规审计作为商业银行全面风险管理体系的重要组成部分,其审计的深度、广度、力度将大大提高,使高层管理者和董事会能够监控合规风险管理的有效性,发挥着第三道防线作用。
为监督合规管理部门制定的合规风险控制措施是否有效、执行是否得力以及经营管理的合规性,一要针对合规风险进行评估,制定测试合规管理适当性和有效性的审计方案。二要从战略层面、操作流程、关键控制流程方面展开对合规内控体系的审计评价,对认定的合规风险水平进行控制测试,对合规政策的明晰性、合规风险的控制措施、合规职责履行情况、合规文化建设情况、相关法规的遵循情况及违规行为的惩戒情况等进行科学评价。三要复查合规风险的特定领域,将其作为年度内审计划的一部分,对经营情况进行专项检查,并参与调查合规薄弱环节的违规问题。四要将合规审计结果及进一步完善合规管理政策和健全合规风险控制手段的审计建议告知合规审计负责人,由其督促管理层落实审计结论。
2.重新审视内控审计,积极参与内部控制。近年来,上市公司财务丑闻及法国兴业银行交易员欺诈案的频发曝光,对于上市公司尤其是上市商业银行内部控制提出了更高要求。美国的《萨班斯—奥克斯利法案》(SOX法案)和我国财政部等五部委出台的《企业内部控制基本规范》、《企业内部控制配套指引》等分别从内部控制的角度要求内部审计协助董事会和高管层对内部控制系统的有效性和财务报告的可靠性、真实性做出评价。合规风险管理强调事前的风险识别和预警、事中的风险控制、事后的有效监督,要求合规部门牵头实施内部控制,内部审计对内部控制的有效性进行评价并出具评价报告。商业银行内部控制与合规风险管理有着高度的内在统一性,内部控制审计被重新提到重要位置。
内部审计负责建立对商业银行总行、事业部、分支机构等不同层面内控有效性的评价体系,按照COSO框架和《商业银行内部控制指引》及《商业银行内部评价办法》确定的内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正五要素构建商业银行内部控制评价体系框架,持续开展分支机构的内部控制评价并对评价结果进行趋势分析、同业分析,认定风险程度,根据分析评价结果和管理层采取措施的有效程度,提出审计建议。内部审计积极参与内部控制,从事后发现控制缺陷转向事前防范,从单纯强调内控转向运用各种方法来改善商业银行的经营绩效,在评价内控健全性和有效性的基础上,与管理层共商措施防止内部控制薄弱环节的产生,协助其增强风险识别、防范和监控能力。
3.强化风险管理审计,将风险控制在可接受水平。内部审计介入风险管理,旨在帮助管理层在行业、地区、产品、客户等方面建立分层次、宽领域、全覆盖的风险控制体系,对各类风险管理机制进行有效整合、持续改进,最终使内控与风险之间达成一种平衡,促进银行整体性风险控制的实现。
风险管理审计的重点是检查和评价被审计单位的风险状况及风险识别、计量、监控程序的适用性和有效性,协助管理层和董事会管理风险。在将风险细分为信用风险、市场风险、操作风险、利率风险、流动性风险、政策风险和转移风险的基础上,重点关注可能引发本行重大错报的风险。通过建立风险管理评价模型,评价风险管理政策、程序是否能够及时识别商业银行所面临的各种风险;检查风险管理体系是否能够覆盖全部业务和环节,所有关键风险控制点是否都设有专岗管理;风险条线业绩考核、授权管理等是否适应风险管理目标要求;是否能做到按风险类型、风险水平明确报告层级、报告路径和报告时限等。最后,提出风险管理的改进建议,促使风险控制在董事会可以接受的范围。
4.推行战略决策审计,拓展管理审计领域。过去常把合规风险视同操作风险,多注重业务操作环节不合理和操作人员缺乏合规守法意识所引发的风险,事实上是虽然操作风险仍在银行内部大量存在并不断变换手法,但最大的风险仍是银行的战略决策风险,其影响和损失都远高于一般意义上的操作风险。就银行人员结构而言,类似一个“正三角”:上层是人数较少、处于核心地位的决策层,中层为人数居中、组织实施决策意图的管理层,下层是人数众多、负责具体操作的一般员工;对整个银行来说,风险恰似“倒三角”,不断做出关系整个银行命运的各项重大决策的战略决策层处于最高风险。合规风险管理的实施和风险决策的“倒三角”机制决定了内部审计将从过去主要关注操作层风险,转变为更关注重大战略决策风险,从宏观层面出发,开展战略决策审计。
目前,我国各商业银行结合打造“流程银行”要求,先后建立了业务垂直化管理的战略单元体制,建立了以管理流程为主线的多个业务单元,实行从服务内部客户到服务外部客户的服务流程体系和以独立核算为核心的绩效考核体系。开展战略决策审计,将以管理层关注的计划、组织、指挥和控制四大职能为重心,通过评估业务单元与商业银行经营目标的一致性、战略决策风险收益之间的权衡及风险评级结果对商业银行集团整体经营的影响程度,从根本上消除业务单元各自为政、忽视银行整体风险的利益驱动问题;协助董事会管理各业务单元的战略决策,促使其价值取向与商业银行集团目标一致,从而帮助银行增加价值,有效发挥内部审计在风险管理和公司治理中的重要作用。从控制审计逐步向战略审计转变,既是商业银行内部审计长期发展的要求,也是提高内审权威性的必然选择。
5.改善传统经营审计,提升内部审计增值服务。传统的经营审计主要是通过审计商业银行运营效率与效果、财务和经营信息的真实性与完整性、资产安全保障情况及对银行内部规章制度的遵循程度,提出持续改进的建议。而《银行业金融机构内部审计指引》明确指出经营审计的主要目的是改善商业银行运营,为银行增加价值,从而为实现银行的整体目标服务;其着力点在于银行的运营、管理、绩效、内部控制和治理结构等方面,已从主要关注财务和会计的控制、日常经营的合法合规性及单纯对财务报表数据准确性与赤字检查,扩展至整个控制及业务流程,兼顾一定提高经济效益的责任和咨询评价功能。为提升内部审计增值服务的功效,应在传统经营审计基础上,突出对事业部、分支行经营管理状况、经营管理方针和执行董事会战略决策情况、遵守商业银行集团指导原则评价;评估其经营管理水平、战略决策实施能力、经营管理过程对环境变化的调整适应能力,资源配置与成本、效益、盈利结构、业务发展规模的适应性,以及事业部和分行的竞争能力、风险控制能力、持续发展能力,为银行业务的持续健康发展提供有针对性、增值性的建议。
6.着力突出财务审计,完善内部审计保证服务。长期以来,我国商业银行内部审计更多的是关注经营审计和合规审计,较少涉足财务审计,且财务审计中也仅是关注财务和会计业务的流程和程序控制。但是,随着我国商业银行纷纷上市融资和信息披露的公开,公众对于内部审计在财务报表审计中发挥作用的期望值在提高,商业银行财务审计也愈来愈受到监管部门和利益相关者的重视。《银行业金融机构内部审计指引》明确要求内部审计要对会计记录和财务报告的准确性、可靠性进行审计。内部审计需要通过财务审计向审计委员会或其他机构保证:为编制财务报告所设置的内控制度是有效的,财务报表不存在重大错报或漏报。内部审计执行主管要经常及时地与审计委员会沟通财务审计结果,审计委员会要及时评价内部审计报告的全面性、充分性等等。
此外,在金融经济形势日趋复杂的环境下,防范金融风险依然是现阶段商业银行内部审计监督的基本目标。为此,需要继续加强对操作风险管理情况的审计,以查防内控疏漏为目的,切实防范金融案件的发生;以风险为导向,加强对新设机构、金融衍生产品、电子银行产品、理财产品等创新产品的审计,通过内部审计寻求防范金融风险和促进金融创新的平衡点,提高制度流程对风险点制约的有效性和充分性;针对银行业混业经营趋势,未雨绸缪,积极应对,逐步将证券、保险、信托业务等纳入商业银行常规审计范围;逐渐扩大审计对象范围,将信息系统审计、风险资本审计等纳入商业银行内部审计的视线,以确保内部审计工作量质并举、富有成效,不断促进商业银行提高内部控制和经营管理水平。
标签:内部审计论文; 内部控制论文; 合规风险论文; 风险管理论文; 商业银行论文; 银行合规管理论文; 商业银行操作风险管理指引论文; 审计职能论文; 企业内部控制评价指引论文; 商业银行内部控制指引论文; 企业内部控制与风险管理论文; 银行风险论文; 银行监管论文; 商业银行风险管理论文; 审计计划论文; 管理审计论文; 业务管理论文; 会计与审计论文; 内部控制缺陷论文; 风险评价论文;