商业银行是以信用为基础,以风险换取收益的行业。商业银行的所有业务,从传统的信贷业务到创新的中间业务,都广泛存在各类风险,且通过对风险的衡量、匹配和分散,获得盈利的最大化。商业银行内部审计部门,作为银行内部风险管理的第三道防线,必须发挥其独立于经营机构的地位和高度,准确识别风险、量化风险,在确保风险可控的前提下寻求银行利益最大化。

　　内部审计对商业银行风险的监督,是维护金融秩序的第一道屏障。金融市场的运行,就是整合投资者的资金,并传递给最有价值的贷款人,实现资金和资源的最优配置,提高整个经济的运行效率。一旦这种资金配置出现偏向,就会影响实体经济的健康持续发展。由于商业银行在我国是金融市场的主体,中国社会的储蓄率又较高,因此,商业银行的稳健性极大影响到国计民生,商业银行的永续经营,成为保证老百姓家庭财富保险,企业运行正常,社会就业情况稳定,GDP增速持平,社会稳定的定海神针。商业银行经营过程所遇到的风险,也影响着所有依赖商业银行进行融资的家庭和企业[4]。

　　银行的高杠杆性和短借长用的业务特点,是银行风险的主要来源;银行风险所带来的损失,远远超过一般企业的风险损失,具有涉及金额大、涉及面广等外部性特点,有极强的传染性。同时,银行由于业务的专业性和复杂性,和实体企业相比,信息不对称的问题也更为突出。因此国家对商业银行的安全性和流动性的要求更高,对银行的监管也更加严格。

　　监管层也暗示将允许银行破产。在2013年12月召开的“北大经济国富论坛”上,银监会副主席阎庆民表示,银监会正在酝酿加快推出银行破产条例,如果商业银行最后资不抵债,有必要让其退出金融市场。因而商业银行的内部审计,成为真正的风险导向型审计,风险衡量成为审计最重要的任务之一。内部审计作为内部控制的最后一道防线,成为维护金融秩序的第一道屏障。商业银行必须衡量各经营机构的内部控制是否有效,对风险的控制是否合理,流动性是否充足。

　　内部审计对商业银行风险的控制,是约束商业银行趋利行为的合理范围。商业银行经营对象的特殊性,使得商业银行的审计对风险控制尤为重要。一般企业依赖于提供、销售实用性产品获得收益,如电器、汽车或其他生产性、消费性物资等。

　　而商业银行并不提供具体的产品,而主要通过提供金融服务获得收益,包括与资产运用有关的存贷款利差,和与资产运用无关的表外业务、中间业务的收入。

　　所以,商业银行经营者必然的趋利心理,和目前缺位的问责机制,使得管理过程的风险偏好极强。更为重要的是,金融机构知道一旦出了问题国家会救市,就存在道德隐患,会放松对业务风险的控制,甚至为了谋求短期暴利故意进行高风险投资。因此,也有观点认为,商业银行存在的根本原因已不再是“最具能力充当存款人和借款人之间的融资中介和支付中介”,而是愿意承担风险。也就是说,商业银行传统融资功能的核心地位已让渡于风险经营和风险管理职能。

　　因此,银行内审所需要识别的风险,是与银行利润息息相关的,与高收益共存的高风险。内部审计的目的,不是也无法将风险降低至零,而是考量风险管理的合理性和有效性。

　　内部审计对商业银行风险的衡量,是调整商业银行经营收益与成本的标尺。

　　由于商业银行的风险与收益共存,因此,与一般企业不同,商业银行的风险必须量化。巴塞尔协议的核心内容,即是要求商业银行能够实现全面风险量化,并将量化的风险与作为保证银行稳健经营、安全运行核心指标的资本充足率挂钩,进而达到风险控制。新巴塞尔协议提出将信用风险、市场风险和操作风险作为银行最低资本要求的计算参数,同时亦需关注集中度风险、银行账户利率风险、流动性风险、声誉风险、战略风险和对商业银行有实质性影响的其他风险。在风险的识别控制上,能够量化的风险尽量量化,减少主观判断的不确定性;对声誉风险、战略风险这类不容易量化的风险,则重在识别,制定有效的风险管理措施进行缓释和控制。

　　内部审计需要对各经营机构实际承受的风险水平进行量化考核,才能进而对银行总体风险进行评估,强化资本约束,增强风险管理全覆盖,保障银行稳健运营。

　　第二节、对管理层社会责任与道德风险有更强监督

　　传统的公司以股东价值最大化作为其经营目标,其公司治理和组织架构亦围绕这一目标展开。但商业银行作为金融市场的主要机构,其管理层不仅要实现股东价值最大化,还必须保证金融体系稳健和宏观经济的稳定;同时,股东与债权人、股东与员工、股东与监管者等的利益冲突,也极大影响着管理层的决策。因此,商业银行公司治理的目标,应该设定为实现股东、客户、员工,乃至政府和社会所组成的商业银行“利益相关者”群体的利益最大化。商业银行的内部审计,作为公司治理的重要支柱,也应在审计目标上与一般公司有所区别。

　　首先,商业银行内部审计应关注银行的社会责任履行情况。银行作为我国金融机构的主体,担负着将社会资源配置到效率最高的部门,提高社会生产率的责任。因此,银行的贷款投放成为关系经济发展的重要因素,银行的经营管理者也许仅仅关注经营机构放贷的合规性和利润水平,而内部审计部门则应时刻关注贷款是否符合国家鼓励的投向,是否有悖于国家的宏观调控。另外,银行稳健经营,也能够改善经济环境,增加社会的流动性,促进企业的创立和发展,增加就业,因而内审部门也应监督银行经营者的管理风格是否稳健。

　　第二,商业银行内部审计应关注存款者的利益。2014年3月江苏射阳农村商业银行的挤兑事件,反映了存款者对金融机构违约风险的担忧。一般企业的债权人在清偿顺序中高于股东,因此债权者的利益与股东利益一致。但在商业银行,老百姓作为存款者,也即商业银行的债权人,其利益与股东利益不完全一致。商业银行的高负债运营特征,和资产负债流动性错配,使存款者的利益未得到有效保障。而商业银行债权人由众多信息不对称且不具备监管能力的存款者构成,我国的存款保险制度又尚未建立。因此,当商业银行出现兑付困难时,就会面临“挤兑”,如果挤兑严重到需要贱卖资产提供流动性,则会影响到银行资本,严重的会导致银行倒闭。但商业银行的股东仍旧能获得分红。除了存款者外,理财客户、信用卡客户、票据使用者等,都属于银行经营的利益相关者。内部审计部门必须保证银行管理层的经营原则不仅重视盈利性,也要重视流动性和安全性,保障存款者等利益相关者不受损失。

　　第三,商业银行内部审计应关注经营管理层的道德风险。商业银行作为借款人和贷款人之间的信用中介,其经营者成为掌握社会资源的个人。一方面,巨大的经济利益,加上贷款本身的不确定性,使经营者极易用银行的不良成本为个人谋私利,将大量贷款发放给资质较差的企业,或进入生产效率低下的行业。另一方面,由于高风险带来高收益,但风险带来的不良资产处理对管理层影响较小,追究力度不够,管理层亦倾向于追求高风险的贷款投向,享受较高的绩效水平。

　　这就需要内部审计部门监督经营行为,从合规角度填补制衡机制的缺失,防范道德风险[5]。

　　第三节、对业务更新与职业胜任能力有更高挑战

　　银行资产的发展迅猛,分支机构的不断设立,使审计业务无法达到完全覆盖。

　　按照《银行业金融机构内部审计指引》[6]中要求,对每一营业机构的风险评估每年至少一次,审计每两年至少一次。其他监管指引亦对许多专项内容提出审计频率要求(具体参见附录1)。

　　新兴业务的蓬勃发展,对内部审计人员的职业胜任能力带来极大的挑战;随着利率市场化脚步逼近,银行的息差收入逐渐缩水,不论是四大国有商业银行,还是股份制银行,都在积极改变盈利模式,寻找最后的蓝海。各类新兴业务领域产品创新活跃,贸易融资、理财、基金托管等业务蓬勃发展。

　　而监管机构对银行业务的加强管理,也对内部审计的时效性提出更高的要求。

　　为了应对日益火爆的银证业务、银基业务,2013年3月,银监会下发《关于规范商业银行理财业务投资运作有关问题的通知》,即业内所谓“8号文”,对银行理财资金的投向、风险拨备提出明确要求。为规范商业银行同业业务,降低同业业务流动性错配程度,银监会更联手央行出台综合性同业监管细则,停止第三方买入返售业务,并对同业业务规模设限。2013年底国务院办公厅印发的《关于加强影子银行业务若干问题的通知》(“107号文”),监管部门已于2014年开始安排专项检查,对票据业务等影子银行业务交易量较大的中小金融机构进行重点检查。

　　为了防范合规风险,审计部门必须时刻关注监管热点,在监管要求下发之后甚至之前,对行内业务进行梳理整顿,以免措手不及影响业绩。要求内部审计部门与监管机构及时沟通交流,了解最新监管动态。

　　第四章商业银行内部审计现状

　　第一节内部审计机构设置与管理模式

　　21世纪90年代初期,我国内部审计管理模式较不规范,企业的内部审计机构或隶属于财务副总(财务总监),或隶属于总经理(总裁)。随着股份制商业银行改造历程加快,商业银行纷纷效仿英美法系或德国大陆法系国家的公司架构,并将内部审计机构的级别上升为由高级管理层直接辖管,分为监事会下设、董事会下设、董事会领导下的审计委员会下设三种管理模式。同时,审计部也从财务总监领导、纪委书记分管,转为由董事长或监事长分管。

　　在商业银行股份制改造的同时,内部审计机构设置也有了很大的改进。2005年以前,商业银行内部审计部门机构设置多为分行派驻式,审计分支机构隶属所在分行,是分行下辖的职能部门,对分行管理者负责,对分行及下辖机构进行审计活动。近年来,各商业银行加大了内部审计的改革力度,建立独立垂直的审计体制,将审计职能完全收编总行,在全国集中设置数个审计中心或审计分部,由总行审计部门垂直领导,统一管理。但部分银行的地方审计机构从驻地经营机构分拆后,与所辖经营机构依然关系密切,在人员流动、薪酬管理上与驻地经营机构仍然有千丝万缕的联系[7]。

　　从表2可以看出,所有全国性商业银行都设立了审计部,但少数银行将审计与监察功能合署;绝大多数银行在总行审计部之外,另设立了分支审计机构,但分支机构的形式存在多样化,一种是每个分行设立审计分部,一种是在几个大型城市设立审计中心,进行辐射管理,亦有将审计分部和审计中心结合的做法。

　　例如,中信银行的内部审计工作实行总分行双线管理,分行设合规审计部,负责完成分行领导下达的审计任务,同时在上海、深圳和成都设立审计中心,负责总行级别的审计任务分配,并从各辖区分行抽调人员。