關于商業銀行轉型進程中內部審計著力點的思考

黃重軍

一、商業銀行轉型是大勢所趨

商業銀行身處科學技術發展日新月異的新時代，大數據、區塊鏈、人工智能等新興科技層出不窮，世界經濟面臨著結構大調整，無論發達國家還是新興經濟體都希望通過經濟轉型升級實現可持續發展。中國也在緊抓機遇，力爭早日完成自身的經濟結構調整和轉型升級。十九大報告中指出，我國經濟已由高速增長階段轉向高質量發展階段，要堅持質量第一、效率優先，推動質量變革、效率變革、動力變革。與此同時，商業銀行生存環境的不確定性增加，國內經濟增速下行，傳統行業企業的平均收益率顯著下降，居民部門儲蓄進一步增長乏力甚至可能出現持續負增長，金融監管持續加強，金融風險不斷上升與顯性化，互聯網金融日趨活躍，金融脫媒、利率市場化、客戶需求多樣化……系列新常態下，商業銀行依靠借貸款利差作為主要的盈利模式面臨著越來越大的挑戰，終將無法長期維持，高利潤經營模式也會被打破，加快轉型發展勢在必行。

二、商業銀行轉型的方向

黨的十九大報告強調，要深化金融體制改革，建立以企業為主體、市場為導向、產學研深度融合的技術創新體系，促進科技成果轉化，增強金融服務實體經濟能力。《中國銀監會辦公廳關于商業銀行轉型發展的指導意見》（下稱《意見》）指出，商業銀行應牢固樹立和貫徹落實創新、協調、綠色、開放、共享的發展理念，建設戰略定位清晰、整體風險可控、具有核心競爭力的現代金融企業。商業銀行的轉型要堅持服務實體經濟，堅持差異化發展，堅持商業可持續，堅持金融創新與風險管控并重。在《意見》的指引下，商業銀行應通過業務轉型、發展方式轉型、數字化轉型和管理轉型等方法，從“以規模論英雄”轉向尋求效益、質量的協調發展，致力解決市場定位不夠清晰、創新能力和科技賦能不足等問題，主動適應經濟發展的新常態，加快經營戰略和經營結構的調整，積極開拓新的業務領域和利潤增長點，充分運用信息技術，真正實現多層次、廣覆蓋、有差異的現代商業銀行轉變。

三、關于商業銀行轉型進程中內部審計著力點的思考

（一）助力轉型是內部審計職責所在

《國際內部審計專業實務框架》中指出，內部審計是一項獨立、客觀的確認和咨詢活動，旨在增加價值和改善組織運營，幫助組織實現其目標。作為公司治理的四大基石之一，企業風險管理控制的第三道防線——內部審計在商業銀行轉型進程中有著不可替代的獨特作用，助力轉型內審責無旁貸。為此內部審計應主動適應、更好地支持服務經濟結構調整和轉型升級的商業銀行轉型指導要求。2018年5月，習近平總書記以中央審計委員會主任的身份發表講話，提出“要深化審計制度改革，解放思想、與時俱進，創新審計理念，及時揭示和反映經濟社會各領域的新情況、新問題、新趨勢”，深入研究內部審計工作的新思路和新方法，積極跟進轉型中出現的新情況，積極進言獻策，在商業銀行轉型中彰顯出內部審計的價值。

（二）把握好商業銀行轉型進程中內部審計的著力點

商業銀行轉型新常態下，內部審計既要當“衛士”，又要當“醫師”，更要當“謀士”，在轉型過程中要始終圍繞組織目標的實現，以風險為導向，找準審計著力點，充分發揮內部審計確認和咨詢服務職能。

1.公司治理方面。公司治理俗稱“對管理者的管理”，內部審計應通過調閱董事會會議紀要，查看會議議程、內容及參會名單，了解董事會對高管層進行的監督指導，防止類似“安然”“世通”等公司治理能力弱化、高管層權力過于集中的事件發生。同時關注“高層基調”的傳達，通過觀察高管層言行，調閱工作報告、日常講話等，確認是否向所有員工和相關利益者都傳遞了轉型的明確信息。特別是關注省、市分行等區域高層管理者態度，作為區域最高領導，其言行對整個區域員工影響不可小覷，故要關注其言行導向，是否在發展方式轉型中存在只重結果不管過程、老酒裝新瓶、換湯不換藥的情況，導致轉型停留在形式上，未能真正踐行轉型戰略要求。

2.風險管理方面。風險管理是指預測風險，并在問題出現之前采取預防性行動的過程。為此內部審計應重點收集研究與組織轉型有關的當前情況、發展趨勢、行業信息等，通過運用風險矩陣圖、風險地圖等方法，識別是否存在可能影響轉型的風險，并分析風險大小，了解是否存在相應的風險應對措施及其有效性。調閱風險管理相關政策制度，核實是否有針對轉型制定的風險管理策略以及策略在各職能部門、經營機構的執行情況；檢查是否針對轉型確定了可接受的風險水平及書面風險偏好政策，并將風險偏好分解到具體風險限額中；確定職能部門是否有隨時監控風險限額閾值變化，定期分析、評估風險策略和風險偏好執行情況，為高管層提供有效的決策依據，便于及時調整風險策略和風險偏好，確保將風險控制在可承受范圍；檢查各級績效考核辦法是否體現出轉型的風險管理要求，確保風險管理策略、風險偏好得以落實。

3.內部控制方面。在商業銀行轉型過程，常涉及組織架構、崗位職責、責任人員等控制環境的變化，以及業務流程再造、產品服務創新、作業操作改變等帶來的業務目標、控制活動等變化。上述變化勢必帶來內部控制體系中總體層面控制和業務層面控制的相應調整，為此內部審計師應測評調整后的控制有效性，并為控制的改善積極獻言。

一是在總體層面控制的控制環境測評中，通過查看組織結構圖，確定調整后組織架構是否有利于提供管理活動所需的信息流，查看部門、崗位職責說明，分析評價新的職責分工的合理性、明晰性。通過對員工、管理層、重要客戶發放調查問卷，進行現場訪談，了解員工對轉型戰略、誠信文化、自身崗位職責的理解情況，轉型壓力承受情況以及業務過程中出現的新問題和管理“空白”，客觀評價控制環境是否助長“舞弊”，為控制環境的優化提供有價值的建議。檢查上崗勝任能力考查機制是否具有形式、時間的靈活性，確保換崗員工充分勝任轉型后的崗位要求，為轉型目標的實現創造好條件。

二是在業務層面控制測評中，在業務轉型、發展方式轉型、數字化轉型和管理轉型等各類轉型中，要重點關注轉型中預防性控制措施選擇、執行情況，發現型控制措施的執行、糾正情況。具體而言是要檢查是否對關鍵崗位人員進行了誠信背景調查。對新業務、新產品要確認是否事前對可能產生的影響進行了充分的風險評估，對于重組業務或調整后的產品是否制定了實施細則、操作規程進行明確指導，確保制度先行。查看轉型后業務流程圖，確認崗位職責、授權是否做到有效制衡，是否因轉型調整存在交叉重復或是控制缺失，對關鍵環節控制缺陷提出合理建議，杜絕轉型之際的控制“真空”。查看文件制度規定以及發送、接收時間的匹配情況，確認上級的要求、指導及時“下達”，下級反饋及時“上傳”，確保轉型過程中溝通暢通無阻。轉型涉及信息系統建設的，應圍繞容易造成損失的三方面情況重點開展審計工作：系統的快速反應能力、證實處理情況的能力以及職責的集中情況。通常應檢查系統開發或購置是否有業務案例并進行了充分的可行性分析，定義了足夠的安全需求以應對系統機密性、完整性和可用性需求；調閱項目需求建議書（RFP）或招標書（ITT），審查內容是否包括產品源代碼提供、供應商持續提供服務能力等核心內容，是否能滿足產品和系統要求；系統設計是否進行基線管理，系統測試是否充分、全面，能滿足業務需求；是否選擇合適的切換技術，制訂了周密的數據遷移計劃，確保數據完整，系統如期轉換；業務外包是否涉及核心業務，外包合同是否包括服務等級協議，是否將風險管理責任進行外包。針對轉型過程中不確定因素驟增，務必做好應急管理和業務連續性的審計工作，檢查是否根據轉型對現有災難恢復計劃（DRP）、業務連續性計劃（BCP）進行了及時調整，審查業務影響分析（BIA）結果是否真實反映了轉型后的業務優先級和控制情況，評估驗證DRP、BCP的充分性、有效性，檢查應急演練的執行情況，核實測試、演練結果的運用，確保滿足業務持續發展及監管要求，促進轉型戰略目標的實現。