淺談如何利用內部審計完善我國商業銀行的內部控制

［摘 要］內部審計與內部控制都是商業銀行公司治理結構的重要組成部分，內部審計可以促進完善商業銀行建立健全銀行內控體系、防范和化解銀行風險，對商業銀行的管理、規范經營都有重大意義。本文根據COSO內部控制模型簡要分析我國商業銀行內部控制現狀及其薄弱環節，并舉例分析了如何利用內部審計促進完善商業銀行內部控制體系的方式方法。

［關鍵詞］商業銀行 內部審計 內部控制 風險管理

內部審計是商業銀行內部控制的一個重要組成部分，同時也是實現內部控制目標的重要手段。在商業銀行不斷健全、完善內部控制制度的過程中，內部審計對內部控制的作用越來越受到重視，然而其實際效果并未達到預期。作為現代企業管理的重要組成部分，內部審計不能僅僅局限于審計監督和防范風險舞弊，應緊密聯系銀行具體改革和發展戰略，檢查監督內部控制制度的執行情況、評價內部控制制度的合理性，并提出合理建議，從而完善和促進商業銀行的內部控制和經營管理。

一、我國的商業銀行的特征

商業銀行作為金融市場的主體媒介， 是各類風險集中的領域，其經營過程時時刻刻都在同信用風險、市場風險、操作風險、流動性風險等各類風險打交道，商業銀行是經營風險的企業組織。商業銀行以盈利為目的，追逐利潤最大化，它是經營貨幣的特殊企業。其主要特征為：經營大量貨幣項目，需要健全嚴格的內控制度；從事的交易品種多、次數多、金額大，需要嚴密的計算機會計信息系統及資金轉賬系統；分支機構多、分布區域廣，會計處理和控制職能分散，需要保持統一的操作規程和會計信息系統；存在大量不涉及資金流動的資產負債表外業務，需要采取控制程序記錄和監控；高負債經營，債權人多，與社會公眾利益密切相關，所以要受到銀行監督法規的嚴格約束和政府部門的嚴格監督。隨著社會經濟現代化進程的迅速推進， 商業銀行經營環境的不確定性進一步增強， 經營風險更加顯現出集中性和多樣化的特征。商業銀行高風險的經營特性， 決定了提升內部控制力的任務始終相伴于商業銀行。

二、我國商業銀行內部審計

根據國際內部審計師協會2009年1月發布的新版《國際內部審計業務框架》，內部審計的定義是：“一種獨立、客觀的確認和咨詢活動，旨在增加價值和改善組織運營，它通過應用系統的、規范的方法，評價和改善風險管理、控制和治理過程的效果，幫助組織實現其目標。”

商業銀行內部審計的主要任務包括介入商業銀行內部控制和推動更有效的公司治理， 推動商業銀行合規文化建設， 提高商業銀行經營管理水平， 防范經營風險。其工作重點是檢查風險管理的制度建設和工作流程，以及實際運營情況與效果。從而有助于銀行改善經營，達到經營目標，增加商業銀行價值。

三、內部審計與內部控制的關系

根據美國反欺騙性財務報告委員會的定義，內部控制是一個通過組織的董事會成員、管理層和其他成員實現的過程，這一過程可以合理地保證經營的效果性和效率性、財務報告的可信性及對有關法律和規章制度的遵循性。商業銀行內部控制是商業銀行為實現經營目標，通過制定和實施一系列制度、程序和方法，對風險進行事前防范、事中控制、事后監督和糾正的動態過程和機制。根據巴塞爾銀行監管委員會總結的《銀行機構內部控制體系框架》（1998）原則11，“應當對內控進行有效而全面的內部審計，作為內部控制監控的一部分”；《加強銀行的公司治理》（2006）原則5指出：內外部審計及其他控制部門能促進完善公司治理，能促進銀行的風險管理和內控體系；董事會應借助審計人員的工作，獨立地評價驗證管理層所提供的有關銀行運營績效的信息。

內部控制框架由控制環境、風險評估、控制活動、信息與溝通、監督五個要素構成，這五個要素相互制約，相輔相成。控制環境是基礎，控制活動和風險評估是主要內容，信息溝通是紐帶，監督是保證，內部審計也貫穿在這五個要素之中。內部審計本身就是一種控制，且要根據內部控制的制度和要求制定其審計程序、方法和目標。

內部審計可以促進商業銀行內部控制的政策和程序，促成良好的控制環境的形成，并為改進完善內部控制提供建設性意見，預防內部控制系統的時滯性、形式化。同時，良好的內部控制有助于內部審計工作的開展：提高審計效率、降低審計風險、提高審計質量。缺少健全的內部控制會導致財務信息失真，管理人員職責不明，管理混亂。

綜上，內部審計與內部控制是一種“相互滲透、相互促進、缺一不可”的相輔相成的關系。

四、我國商業銀行內部控制的現狀與薄弱環節

COSO（Committee Of Sponsoring Organization Of The Treadway Commission）是研究內部控制的國際權威組織，代表內部控制研究的發展方向，現根據coso內部控制框架分析我國商業銀行內部控制的現狀與薄弱環節：

１.內部控制環境（Internal environment）

內部控制環境主要包括公司治理、內部控制組織結構、內部控制文化，還涉及到銀行工作人員的自律意識、法制觀念、職業道德。清晰明確的內控結構有助于形成良好的內控環境，且有助于發展更全面的風險管理和經營管理。當前，我國的商業銀行以股東會、董事會、監事會、高級管理層為公司治理主體，各自有獨立的的權責機制，并設有下屬委員會，如風險管理委員會、薪酬委員會、提名委員會等。內部控制與企業文化密切相關，良好的企業文化可以正面影響員工的思維方式和行為方式，形成一種控制觀念，員工將自覺執行公司的規章制度，推動企業良性發展。

目前，我國商業銀行的內部控制效果并未達到管理和業務發展要求；相關職能部門的職責界定不清；內控文化存在形式主義；內部控制和防范風險的理念意識并未深入到銀行的每一位工作人員的頭腦中。

２.風險評估過程

此過程包括問題、事項識別（Event identification）、風險評估（Risk assessment）與風險對策（Risk response）。

商業銀行的風險種類繁多，包括操作風險、信用風險、市場風險、流動性風險等。目前我國商業銀行在識別問題之后，缺乏深入分析，不能分析出在內部控制層面、控制框架、控制流程上的根源性問題，從而無法通過根本性措施從根源上完善內部控制。

目前采取的風險處理手段過于流程化，缺乏適應性和及時性，且相關職能部門職責不清。有些手段片面強調業務指標的達成，忽視風險防范，且缺少高水平的風險管理技術。這樣會影響監測評估分析的及時性、準確性，從而得出錯誤的風險管理結論，影響管理層作出正確的風險管理對策。

３.控制活動（Control activities）

商業銀行業務品種繁多，關系到各種經營管理活動、內部管理活動。目前我國商業銀行內部控制制度相對健全，但執行力不足，主要問題如下：

（1）已建立的內控制度無法適應新的體制改革與業務發展，存在形式主義和時滯性。

（2）制度未能有效執行，存在隨意性、盲目性、故意違規、崗位缺失、為個人利益違規等不當行為。

（3）內控制度執行之后，缺乏有效的評價機制，因此，制度缺乏科學性、權威性、及時性，無法適應不斷變化著的政策環境和市場環境。

４.信息與溝通（Information communication）商業銀行的信息包括經營管理和風險管理的信息，規定范圍內的信息應按要求及時處理且在規定的渠道內傳播。目前我國商業銀行一般采用統一法人體制下的分級授權，各級機構既有自營業務也對下一級機構進行管理，如此導致層層授權，決策層次過多、職責不明。總行對下級分行的控制力依次減弱，內控制度及各種管理規章的執行力和管理理念的傳播力也依次減弱。同時，信息溝通局限于從上到下的溝通，相對缺少由下到上的溝通，員工不能向上報告、評價與舉報，影響監督效果。

５.監督（Monitoring）

我國商業銀行內部各項監督規章相對健全，但執行力相對不足。忽視內控問題、風險問題，為了個人利益違紀違規，不及時查處早就存在的違規行為，缺少深入調查等現象時有發生。同時，前文提到的員工向上報告、溝通與監督的渠道的建立也有待進一步完善。

五、如何利用內部審計完善我國商業銀行內部控制的薄弱環節

商業銀行的內部審計可以通過以下方式促進內部控制：

１.拓展內部審計職能，擴大內部審計范圍

內部控制的目標也是審計工作的目標，按控制導向可分為兩個維度：第一維度中的“資產安全”、“經營管理合法合規、“財務信息真實完整”以控制風險為目的，主要采用風險導向審計方式，且大部分商業銀行已形成了有效的工作模式。第二維度中的“經營管理有效、戰略目標實現”要求銀行的一切經營管理活動必須遵循銀行整體戰略，通過整體發展獲得更好效益，稱為戰略導向型審計。后者主要是從經濟性、效率和效果等角度，對各級部門的相關經營活動和管理活動進行分析、檢查和評價。對于戰略導向型審計，我國商業銀行正在起步。

（1）實施風險導向內部審計是當前審計監督的首要工作。風險導向審計是當前審計監督的首要工作。商業銀行屬于通過承受和經營風險來獲得利潤的企業組織，其風險管理能力對其生存和發展起著至關重要的作用。風險導向內部審計就是基于風險計量和評估結果開展內部審計活動。區別于外部審計，內部審計的風險導向是其本身的職責要求，是內部審計的核心原則，它對財務、制度、管理等導向也起著引領作用。在快速發展的進程中，商業銀行要關注如何平衡處理發展速度與合規經營、發展質量及風險控制之間的關系。

（2）啟動戰略導向型審計，提升審計監督價值。隨著業務發展和審計實踐的深入，僅僅關注財務信息的真實性與準確性，政策法規的遵循及財產的安全與完整是不夠的。目前的商業銀行內部審計對整個經營管理活動的有效性和效益性的評審涉及不深，評價和咨詢等服務職能的應用有限，沒有關注銀行的戰略長遠發展，審計結果起不到應有的作用。因此，內部審計職能需要在風險導向審計的基礎上，有選擇性地開展戰略導向審計，幫助內部審計更充分、準確、全面地發揮對內部控制的監督、評價、咨詢職能，提升內部審計的服務職能。

２.促進信息溝通和監督機制的完善，從而形成良好的內部控制環境

要建立科學有效的信息傳導系統，使信息能在各級機構、各級業務部門之間高質量、及時地傳導、收集、反饋；完善從下到上的溝通渠道，使來自基層的內控信息、建議、揭發舉報等信息能及時準確地傳達到上級管理層；促進信息資源共享，為決策管理活動提供充分的信息資源。各級管理層和員工通過溝通、教育、反饋可以更加明確經營理念、職權范圍、內控的各項規定、工作任務、風險和內控意識；能更好的完善監督機制，并形成良好的內控文化和內控環境。

３.構建增值型審計，并構建以價值創造為導向的科學評估體系

增值型審計是指能為組織或機構增加價值的審計。根據價值鏈管理理論，企業的各項活動可以分為增值活動和非增值活動，增加增值活動同時減少非增值活動可以增加企業的競爭力。商業銀行內部審計要為商業銀行創造價值。內部審計人員應從經濟性、效率、效果三方面關注銀行的資源使用情況。構建以價值為導向的科學評估體系，以有效地評估審計活動的增值功能，得出正確的增值導向的評價結論，從而進一步形成能為銀行創造更多價值的決策和戰略。

４.審計過程始終保持對風險的關注

（1）針對常規風險點、問題易發環節開展審計。內部審計要重點關注各項業務的核心內控環節、新環境及產生的新風險、分析關鍵領域，重點檢查信用風險、操作風險、道德風險、市場風險和流動性風險等主要風險，保證審計監督的時效性、針對性和有效性。從管理特點、地域特點、業務特點等角度，選擇風險易發的機構和領域，優先安排審計。

（2）關注國際業務領域的新產品、信用風險和合規風險。例如，隱含衍生條款的外匯理財產品；尚無成型管理制度的新業務；人民幣跨境貿易結算業務等。

（3）關注營運渠道的內控風險。關注基本會計制度、管理制度執行情況；關注重大會計風險環節（如內外部賬戶管理、現金管理、憑證管理、反洗錢及各類可疑交易管理，授信業務保證金、抵質押品及票據的會計控制等）；關注營運流程變化后產生的新風險。

（4）關注信息系統環境風險和業務應用風險。例如，電子銀行業務系統（網上銀行特色業務、網上支付、安全控件等）；總行和各級分行信息系統環境風險（物理環境、生產運行監控、生產操作管理、網絡安全等）。

（5）關注銀行的資金風險、案件風險和內外部欺詐情況 。要重點審查資產、負債和中間業務領域中可能存在的重要內控缺陷與風險；要檢查有無欺詐、舞弊行為和內外勾結損害商業銀行利益的情況，關注各層級干部員工的職業操守；要根據業務檢查發現的疑點線索，深入調查，及時發現重大問題、重大風險和案件；要關注各級機構各業務領域的整體經營管理情況，檢查有無重大的經營導向偏離和問題。

５.采取多種方式，綜合提升審計監督效果，促進形成堅固有效的內部控制體系

（1）關注資產質量的真實性和穩定性。要檢查貸款分類是否偏離，核查各級機構信貸資產質量的真實性，檢查高風險領域信貸資產風險情況（如政府融資平臺和房地產領域貸款的風險情況），核查各筆具體貸款的還款方式和期限是否合理等。

（2）組合運用多種審計方式提高審計效能。綜合應用常規審計、專項審計、專項檢查、重大問題審計等方式，保證關鍵領域的審計監督效果。

①圍繞內控體系開展常規審計。常規審計具有檢查周期連續、檢查覆蓋面廣的特點，常規審計應著重檢查被審計機構的內部控制環境、內部控制建設情況和執行情況，準確評價內部控制體系的健全性和有效性；

②緊扣關鍵風險領域開展專項審計。與常規審計相比，專項審計更能抓住當前風險，對最關鍵的事項和業務環節進行深入檢查；

③有效運用IT審計（信息系統審計）。隨著商業銀行業務的多樣性和復雜程度不斷提高，相比傳統手工操作，IT審計可以更有效地管理各種信息，促進信息溝通、傳導與反饋。

（3）加強銀行內部約束、遵守法律法規。內部審計通過事前、事中和事后審計，督促商業銀行遵守國家財經法規和企業規章制度；及時發現內部控制方面的問題，提出意見和建議；防止違紀違規行為的發生；及時糾正已經發生的問題，促進商業銀行的健康發展。

６.加強內審人員的職業素養、道德素養及相關培訓

內部審計人員要保持獨立性，自主公正地、不偏不倚地履行審計職責。內部審計人員要培養提高綜合素質，熟悉商業銀行的各種業務和產品；自覺完善專業知識，不斷改善工作方法；要遵守職業道德，提供優質的內審服務。商業銀行要注重內部審計人才的培養，用法律規范保障內部審計人員的獨立性；建立內部審計人員定期輪換制；利用科學的績效考核體制對內部審計人員的工作和業績進行監督、考評，并把考核評價結果與績效獎勵掛鉤，提高內審人員的工作積極性和工作質量。

參考文獻：

[1] 樊欣，楊曉光．從媒體報道看我國商業銀行操作風險狀況[J].管理評論，2003年第十一期

[2] 楊學鈺．巴塞爾銀行監管委員會文獻匯編[M].北京：中國金融出版社，2002.

[3] 中國內部審計協會，內部審計在治理、風險和控制中的作用[M].北京：中國財政經濟出版社，2004.

[4] 朱榮恩，賀欣等.內部控制框架的新發展—企業風險管理框架[J].審計研究，2003.6.

[5] 梁智軍．注冊會計師業務基礎[M].北京：經濟科學出版社，2004.

[6] 李炳先．基礎會計[M].廣州：中山大學出版社，2005.