审计署颁布的《关于内部审计工作的规定》中明文列示了内部审计机构的权限,各商业银行的章程中也都规定了内部审计的职能、地位和工作范围。但商业银行内审在实际工作中却受到很大程度的限制。这些限制主要体现在:一,审计手段受限,信息不对称。审计部由于客户信息敏感等原因,未能获得完整数据,同时被审计单位不配合,阻碍审计人员接触经办和客户,由单一部门对审计部进行统一回答,甚至有意隐瞒重要文件。二,审计部门话语权不够。未被邀请参加相关的经营管理会议,会议材料也很少送给内部审计机构;三,审计部与经营机构日常业务沟通不够。在日常监管工作中,经营机构不主动将重要发文抄送审计部,也未将部门的业务通报和文件提供给审计人员。
由于目前审计手段的限制,审计工作的有效性很大程度上取决于审计组获得信息的完整性。一旦被审计单位提供信息不准确,就会极大影响现场审计乃至最终审计报告的问题定性和风险判断。如“违规化解”之类业务,如果被审计单位刻意隐藏化解协议,客户经理矢口否认,审计组就无法查出,在缺乏实质证据的情况下只能定性为疑似化解;再如房地产借壳案例,被审计单位极易隐藏真实情况,审计时只能通过资金投入来判断风险,造成判断障碍。
究其原因,首先是银行管理层对内部审计没有正确的认识。习惯了21世纪最初几年跑马圈地的业务扩张,商业银行管理层从上到下形成了重业务、轻管理的风气,注重任期内的短期可量化指标,被动监管的情绪浓重。尽管经过次贷危机,银行的风险管理意识有所加强,但固有的抢占先机,摸着石头过河的粗放型业务发展方法,仍然影响着上至高管、下至经营机构人员对内审服务的正确认识。
经营机构审慎经营不足、片面强调速度和规模的经营理念形成风气,对风险采取视而不见的态度,视内部审计为阻断财路,拖累考核的一大因素,谈虎色变,审计人员的业务开展受到诸多干预,无法获得准确的业务信息,无法准确判断风险。另外,投机的所有收益作为管理层的政绩,但高风险带来的经济动荡、金融机构失败乃至资本市场的冻结的外部成本,最终却由社会来承担,这也是高管层不重视风险管理的重要原因。
其次,审计业务开展模式也相对僵化。长期以来,项目审计都是以预告审计为主,项目计划提前制定,进点前正式通知被审计单位,对于这种审计模式,被审计单位早就己经轻车熟路,审计人员在做审前准备的时候,他们可能正在做“被审前准备”,等审计人员正式进点的时候,他们已经有一整套应对方案,在这种情况下,审计组很难拿到第一手真实资料,审计收获也就相对有限。
第三,审计部门没有出台行之有效的问责制度,审计工作缺少震慑力。问责制度的不健全主要表现在,一是责任追究制度尚未覆盖所有的职能和业务岗位。多数银行虽然已就信用、会计结算等方面制定了较为系统的责任追究制度,但尚未建立一个全行统一的,包括问责主体、问责对象、问责方式、问责程序以及涵盖各项管理职责和各条业务线问责条件的系统的责任追究制度。二是现有制度对管理者,特别是高级管理层成员、部门(或分行)负责人和分管负责人的责任界定较为模糊。
由于问责机制存在缺失,对审计问题的定性与处罚可能存在不一致的情况,只能以审计建议和审计报告的形式,推动和督促经营机构重视业务合规和风险控制,对被审计单位缺乏约束和处理的手段,后续处理的主动权却基本上由被审计单位掌握,一些机构对审计提出的问题不够重视,对整改工作敷衍了事,而审计部也很难实施有效的反制措施。另外,存在选择性问责的情况。在董事、监事这一层级,没有建立履职评价办法;对于经营管理人员,实行的是以激励为主的管理方式,没有系统的问责制度,普遍形成了责任追究只追究直接责任人和责任追究“追下不追上”的现象,对项目进行问责时只能锁定客户经理,而对经营机构负责人追究乏力,在目前机制下,此种问责也有不合理之处。
问责制度的缺失,使银行业务人员“责”、“权”、“利”不对等,无法督促信贷人员审慎办理各类信用业务。从近年来内外部检查情况看,各商业银行不同程度存在有法不依、有章不循等现象,且大多明知故犯、屡查屡犯,反映出总行政策对各级经营管理者的约束力已明显不足,进而也影响到总行对全行经营管理的掌控能力。
第四,审计作为第三道防线的工作地位模糊,审计的客观性未被重视。内审稽核部门是风险控制的第三道防线,商业银行按照“一道防线自评、二道防线复评,三道防线独立评价”的机制开展内控自我评估工作。但许多商业银行管理部门对内部审计的职责边界划分不够清晰,常将风险管理和法律合规管理这样二道防线的工作任务与审计的监督工作混淆,在发生经营问题时过多指责审计部门,在检查工作的开展上过多依赖审计部门,审计的监督权与管理权混淆,也在一定程度上影响了审计权限的界定。
第三节 内部审计力量薄弱
我国商业银行普遍存在着内部审计力量薄弱的情况,审计工作不连续,审计深度有限,时效性不够,不能对商业银行的固有问题进行持续监督,不能揭示经营机构未能意识到的风险隐患,也不能就新兴业务和监管热点及时向管理层提出管理意见,弱化了审计的作用。审计力量薄弱主要表现在:
一、审计队伍建设不能满足需要
内部审计的工作任务政策性强、涉及面广,对内部审计人员要求不仅熟悉财会知识、审计理论,还必须有管理理念、风控意识、银行实际业务经验,和对当前金融发展方向的把握。商业银行审计人员配备严重滞后于银行规模的扩张。银监会在2006年发布的《银行业金融机构内部审计指引》K]中,要求银行业金融机构内部审计人员原则上按员工总人数的1%配备,但我国商业银行内部审计人员数量远未达到这一标准;在员工招聘标准上,审计部门未能与其他管理或经营部门一致,由于其业务的宽泛性,导致准入条件放宽,需要通过长期审计实践进行专业培养,也加重了老审计员的工作负担;同时,在内审人员的选配上,许多商业银行的内审部门未能网罗行内业务的精兵强将,内审机构人才主要为财务会计背景,审计思路有很大的局限性[5]。
银行业务的推陈出新,和监管思路的不断更改,对审计人员知识更新提出了极高的要求。随着银行业务种类的迅速增加,特别是中间业务的蓬勃发展,以及影子银行业务的迅猛扩张,加上政府对金融行业的调控,和监管机构关注点的不断变化,导致审计重点也要相应进行不断调整。内审人员对新兴业务的理解和把握,难与一线经营机构的业务人员相比,更难以提出管理层面的建议,对风险总控的把握也有难度;每年参加各类专业培训的机会和时间少之又少,由于部门职责的敏感性,在单位内外部进行学术交流的机会也屈指可数,内审人员的业务水平难以满足审计要求,无法向管理层提供有参考意见的审计发现[11]。
审计任务繁重和不规则性,严重影响了审计的有效性。监管机构对各类全面审计和常规审计有覆盖面的要求(具体详见附录1),需要频繁对传统业务进行重复梳理,占用大量的工作时间;最后,内部审计部门虽然在年初制定了年度审计计划,但诸如经济责任审计等任务常在任职核准后临时下达,而审计时间跨度则需涵盖整个任职期间,工作量大、时间紧,此类审计通常会占据审计部门一年工作量的50%-70%,无法抽身进行董事会真正关注的专项问题的审计或调查研究。
二、审计人员尽职程度有待提高
一是审计人员工作作风不够严谨,一方面,对审计过程发现可能导致资产风险的项目,没有深入追查,满足于依赖经营机构给出的资料或解释进行风险评判;没有充分利用内外资源,仅从单一维度对真实性进行查证核实;另一方面,对审计问题的分析停留在表层,问题大多发生在基层,但是问题的根源都在管理、制度层面,很多问题之所以屡查屡犯,就是因为根源问题没有得到实质性地改善,只治标没治本,只敢触及表面不敢深入根源,难以避免成因相同问题的复发,审计报告对银行高管层的使用价值也不大。
二是审计人员薪酬水平较低,晋升渠道缺失,成为审计人员尽职程度的瓶颈之一。《银行业金融机构内部审计指引》[6]中要求"内部审计人员薪酬不低于本机构其他部门同职级人员平均水平”。但审计部门作为管理部门,薪资水平难以与经营部门或经营机构比较,优秀的审计人员为了能够调往分行或其他经营部门,在出具审计发现问题的时候,往往不敢得罪分行领导,希望能给自己留“后路”。审计纪律难以保持,审计人员也承受很大压力。常出现审计人员为讨好被审计单位,不敢大胆揭露和反映问题,总想着“两头不得罪”,遇到压力的时候,不考虑怎么解决,只是一味地将矛盾向上转移,或者将问题“大事化小、小事化了”,缺乏职业精神。
三、内部审计手段落后
随着贷款规模的爆炸式膨胀,以及各类创新业务不断推出,内审范围不断扩张,商业银行内部审计手段落后带来的问题日益凸显,成为商业银行风险管理无法忽略的矛盾。
首先,网银业务的发展和无纸化管理使部分内部控制环节向客户端发生转移,但信息系统内部控制的审计技术较弱。银行业内部控制从人工控制,转变为系统预警设置,随之而来的对各业务及管理系统内部控制的适当性和有效性的审计评估成为必然。但目前国内银行大多不具备开展信息系统内部审计的条件。
其次,海量业务数据中进行审计抽样无法满足覆盖面,且对数据缺乏批量处理筛查的工具,更多需要依赖员工对数据的敏感性进行人工排查,降低了审计效率。
另外,以往的审计都是建立在充分采信被审计单位提供资料的基础上,但在具体审计实践中,也确实有发现部分被审计单位制作虚假材料的现象,由于内部审计的内部管理机构的地位,其手段与监管部门相比有相当差距,既不能调阅客户在其他银行的账务,也无法要求其他机关或单位协助核查,对于业务在本行系统外的运作情况,以内部审计手段基本无从追查。
四、业务数据釆集困难
随着信息技术的进步,银行内部的业务以数据形式存在于各业务系统中,而这些数据和数据背后的逻辑关系成为审计的对象,釆集和分析数据也成为审计手段之一。但银行各类系统的数据质量低下,成为阻碍审计深入开展的栏路石,在现场审计过程中,常常出现审计人员花费大量人力筛选有用数据的情况,极大影响了审计工作的开展。造成审计数据质量低下的原因主要有四点: