在审计的管理模式上,所有银行都设立了董事会下辖的审计委员会(或审计与关联交易委员会),并在审计委员会实施细则中规定了其对内部审计部门的直接领导地位,但同时要求审计部定期向行长、监事长汇报。其中,华夏银行在董事会和监事会下都设立审计委员会,总行审计部由董事会和监事会的审计委员会共同指导。
在审计人员管理上,基本所有银行都实现了总行统一管理,但从各行的招聘流程中,尚有部分银行的审计分支机构人员招聘由所在分行主持开展。例如,中国光大银行在各部门和各分行都配备内部审计岗,内部审计人员由总行业务部门和分行独立组织招聘。招商银行在各分行设立稽核监督部,仅在业务上受总行稽核监督部的垂直领导,人员编制仍由分行管理。
第二节内部审计范围不断扩大
随着全国性商业银行陆续股改上市,产权制度发生了根本变化,资本风险开始纳入了管理范围;作为上市公司,信息披露需要更加公开、全面和及时,社会影响力也不可同日而语;逐渐开放的金融市场与日益激烈的竞争,激励银行进行各种业务创新;高度信息化与数据提速等都对内审工作提出了新的要求。
近年来商业银行的内部审计开始走向深层次的专业性与服务性,并随着内部审计定义和职责范围的拓展而不断发展。内部审计由查错防弊向咨询增值服务转变,关注重点也由账务合规向风险管理、内部控制和治理流程转变。商业银行内部审计幵始呈现新的趋势。一是以增加组织价值为目的。从基于发现问题的事后审计,逐步向帮助解决问题的事中审计、预防问题的事前审计转变,并重视与管理当局的配合而非对立[8]。二是介入风险管理,对一般部门风险管理的再监督,评估风险识别的充分性、风险衡量的适当性和风险防范的完备性。同时深入介入内部控制,对内部控制进行有效评价,防范企业制度性风险。三是推动更有效的公司治理,对激励约束机制、执行力等方面进行审计调查。
第三节内部审计操作管理系统功能逐渐完善
《银行业金融机构内部指引》[6]要求商业银行内部审计部门建立完善非现场内部审计监测体系和内部审计操作系统、信息管理系统。近年来,日新月异的现代信息技术在银行业充分运用和飞速发展,传统以手工检查为主的内部审计方法已经不能适应当前形势的需要,必须利用计算机,建立审计信息系统,尤其是针对全国性的国内股份制商业银行,各商业银行的数据来自于各个业务条线的手工数据,由于交易明细众多,靠人工来进行数据分析来挖掘其中内在的审计规律几乎不可能,也不可能满足时效性的要求。为此,手工岗位分工操作的各个工作,在信息系统环境下都由计算机集中进行处理,每一台计算终端都负责某一特定的任务,一组数据一经输入,便可以被不同的用户共享。随着系统的复杂性越高,数据处理就越集中。
同时,内部控制也渗透于不同信息系统的程序设定中。信息系统建立后,内部控制的内涵与外延发生了很大的变化,由于釆用计算机,人们就不能不对其数据、软件、硬件等安全性和可靠性详加考虑,釆取各种严密的措施,确保相关信息的真实准确。而要做到这点,必须将各种控制方法嵌入程序之中,通过程序的运行,核对数据勾稽关系、数据处理顺序等。而这一切均由计算机的程序自动控制处理,人工操作以及人为干预较少,也保证数据不会被人为篡改。
审计分析系统不仅能够进一步提升银行审计电子化的水平,扩大审计范围并且能够增强其业务能力,保证审计的及时性、缩短审计的周期,提高运营效率和节约审计成本;同时,能促进审计管理的科学化、审计计划的合理化,提高抽样审计的准确性,增强内部控制机制。各家商业银行纷纷开发计算机审计平台,通过审前更深、更细、更全的数据采集、整理,广泛开展计算机审计。
建设银行幵发了审计信息管理系统,由内审部门牵头,兼顾外部监管部门和内部业务检查部门等实施主体,主要为审计项目实施和审计工作流程管理提供支持工具,并且以审计工作底稿为核心实现对审计业务信息的集中管理,并且在以往审计成果的基础上进行内控评价。在系统前台实现项目基础数据的接收、审计工作底稿的编制、审计台帐的录入、现场采集数据的交换、输出等功能,在系统后台实现审计信息档案的电子化存储,通过标准化汇总现场审计阶段的各种审计信息,实现对各类管理工作信息的快速高效的查询、统计和分析,从而提高审计日常管理的效率,为制定审计计划、方案,确定审计重点,审计资源的合理调配提供参考。另外,还设有内控评价子系统,根据日常审计工作中发现的各种问题,按不同的控制点进行汇集并根据问题的个数、金额以及相应控制点的评分方法进行自动评分,审计人员再根据实际情况对评分进行调整,最终得出被审计机构的校正评分与评级。
中信银行自主开发了非现场审计分析系统,以风险为导向,以数据挖掘和数据分析为手段,以风险预警、疑点跟踪和问题查证为主线的专家系统。该系统建立在审计人员多年经验积累基础上,并将精华的审计思路细化为规范的审计步骤,实现类似专家的智能分析。其实效性重点表现在对银行经营风险的防患于未然。非现场审计系统在审计业务上涉及对公业务、零售业务、会计业务、国际业务、信用卡业务等;审计流程涉及了计划、准备、测试、复核、报告的全部阶段;在审计技术上涉及金融审计业务专家模型库、金融数据分析专用平台、金融数据集市建设等。
第五章 商业银行内部审计存在的问题及原因分析
第一节 内部审计难以保持相对独立性
独立性是内部审计工作开展的根本。如果内部审计独立性差,审计范围就会受到很大限制,审计意见也难以落实,更别论审计质量的提高。商业银行的内审部门独立性受到公司治理结构、人事任免外部规定以及审计部门自身体制的影响,仍有相当大的局限。
一、内部审计组织定位不明确
当今商业银行的内部审计已由最初的管理层直接领导,转为向董事会这一最高决策层负责并报告工作。但由于内部审计直接管理者和报告路径不清晰,报告人在管理层并未掌握实权等问题,导致内部审计委托代理关系不够清晰,审计独立性不高。
一是内部审计机构的隶属关系和报告路径不够清晰。多数银行都在董事会下设立审计委员会(或审计与关联交易委员会),内审部门直接隶属于审计委员会(或审计与关联交易控制委员会),内审负责人由董事会任免,内审制度和审计人员的职责经董事会批准实施。同时,考虑到监事会对董事会和管理层的监督职能,要求内审部门也接受监事会的指导,监事长成为内审第一汇报人。这种多渠道汇报的局面,使内审机构的监督地位和服务地位都不够清晰,未能有效解决信息不对称的问题。
二是审计委员会的监督职能无法发挥。从表面上看,审计委员会地位独立,在审计委员会领导下的内审机构,受董事长的直接领导,有较强的独立性和权威。但在大股东控制比较突出的国有银行,股东大会由大股东控制,审计委员会只能起到一定的牵制作用,无法真正发挥监督职能。更值得关注的是,由于独立董事不是公司内部员工,被作为外部人对待,许多内部审计报告在提供给审计委员会时,将敏感的审计发现过滤,使审计委员会成为一个虡设的组织。内审部门无法自由地报告审计发现和评价,也无法充分地在银行内部进行通报,审计问题未得到足够重视。
三是监事会地位不高。我国商业银行通行的做法,是由各行领导分管不同管理部门,审计工作通常划归监事长分管。行领导在高层管理中的话语权,决定了分管部门在管理部门内部的重要性排位。我国监事会缺乏独立性,由于银行的国有背景,股东选出的监事多为国有资产或国有法人资产的代表,导致监事会成员往往听命于大股东或董事长,而无法对中小股东负责,监事会在商业银行管理层中的地位较低,从监事会公告可以看出,监事会极少否定董事会和管理层作出的决定,也甚少提出其他意见[9]。
另外值得一提的是商业银行的党委会机制。党委会这一组织的设立是源自国情,源自体制,党管干部这一主张是银行的政治中心。但在党委会这一最高决策层中,董事长和监事长的关系是书记和副书记,是领导与被领导的关系,这与公司治理中的决策和监督关系有冲突。因此,实际上决策事项都由董事会决定,监事长和监事会的功能更为弱化。
表3列出当前我国商业银行监事长的基本情况,可以看出监事长通常由即将卸任的管理层担任,因此极少在任期内有较为勤勉的作为。作为内部审计的第一汇报人,和内部审计部门的直接领导,监事长对审计部门难有明确而由建设性的指导意见,其承担的内审部门和管理层之间的桥梁作用也无从发挥。
二、内部审计未能介入人事任免
我国商业银行金融机构的人事任免流程,使内部审计特别是经济责任审计的有效性极受影响。根据《中国银监会中资商业银行行政许可事项实施办法(2012年10月10日》,我国金融机构高级管理人员任职资格由银监会审查并核准。商业银行多在银监会核准通过之后,方可安排离任者的经济责任审计,普遍存在“先离后审”、“先任后审”的现象。内部审计部门接到离任审计安排时,被审计人员已获得任命,干部任免在审计界定之前,干部人事管理与审计监督脱节;而离任审计报告则仅为提供离任地或到任地属地银监局所用,成为人力资源管理的形式报告,无法成为董事会和高管层干部管理的关键依据,也降低了审计工作的权威性,扭曲了被审计单位对审计工作的认识。再者,被审计人员若获得职务升迁,无形中给审计报告定了调子,审计发现的披露程度会受到一定的限制,审计人员的履职意愿也较不明显。
三、内部审计组织体制尚不成熟
审计部门自身的组织体制,也成为影响独立性的重要因素。全国性商业银行皆在省市分行实行审计部门派驻制,受总行审计部统一管理,向总部汇报工作,但部分商业银行内审分支机构薪酬和福利未能与所在分行有效隔离,分部或派驻办的费用也未与分行预算独立,审计人员招聘由所在分行在分部和分行间流动频繁。因而审计报告常常受到分行领导的影响。
第二节 内部审计缺乏相应的权限
