商業銀行內部控制評價與內部審計關系淺析

李慧慧 泰安銀行

隨著經濟不斷發展、經濟復雜程度不斷提高、金融風險越來越大，商業銀行治理、內部控制、風險管理體系不斷完善，但仍存在著舞弊、控制缺陷等風險隱患。內部控制評價對內部控制體系設計與運行的有效性進行評價，內部審計則為商業銀行發展提供良好的運行環境，內部控制評價與內部審計對商業銀行穩健發展發揮著重要的保障作用，二者相互促進，不可或缺。內部控制評價與內部審計有效配合、協調發展，是商業銀行發展過程中亟需關注的問題。

一、內部控制評價和內部審計概述

(一)內部控制評價

2014年9月，中國銀監會發布了《商業銀行內部控制指引》，指引要求商業銀行應建立、實施有效的內部控制體系，明確內部控制職責，強化內部控制保障，完善內部控制措施，持續開展內部控制評價和監督。2015年10月，中國人民銀行發布了金融行業標準《商業銀行內部控制評價指南》，評價指南規定商業銀行應構建的完善內部控制體系。結合指引與指南可知，內部控制評價指的是董事會或其他類似權力機構按照規定的程序、標準、內容和方法，針對商業銀行內部控制體系建設、實施和運行結果，開展調查、測試、分析等活動，全面評價商業銀行內部控制有效性，形成評價結論，并出具評價報告的過程。

(二)內部審計

2009年1月，IIA國際審計實務框架指出，內部審計是一種獨立、客觀的監督、評價和咨詢活動，內部審計的內容是評價并改善內部控制、風險管理及公司治理的過程。為加強內部控制和風險管理，促進商業銀行完善公司治理，健全內部審計體系，充分發揮內部審計作用，2016年4月，中國銀監會在國際與國內先進理念的基礎上，發布了金融行業標準《商業銀行內部審計指引》。結合國際實務框架及審計指引可知，商業銀行內部審計指，借助、運用系統化和規范化的方法，對商業銀行業務經營、風險管理、內控合規和治理效果開展客觀獨立的評價監督與建議，促進商業銀行合規經營、穩健發展和價值提升。

二、內部控制評價和內部審計存在的差異

(一)責任主體不同

商業銀行內部控制評價屬于一項管理活動，與審計活動有所不同，其通常授權審計部門或專門機構負責具體組織實施，責任主體是董事會或類似權力機構，即內部控制評價的最終責任由董事會或類似權力機構承擔。內部審計是由內審部門開展的一項獨立審計活動，雖然最理想狀態內審部門直接向董事會及其審計委員會報告工作，但責任主體仍為內審部門本身。

(二)實施主體不同

內部控制評價通常由內審部、風險合規部、業務部門等職能部門抽調人員組成內部控制評價小組[1]，由內部審計部門或授權的專門職能部門負責具體組織實施，評價工作開展后，出具內部控制評價報告。而內部審計是由獨立內審部門或具備內部審計職責的機構獨立進行審計，固定的部門或者是機構為其評價主體，無需協同其他部門或者是單位來開展審計工作，內部審計評價主體的獨立性和專業性較高。

(三)報告使用者不同

內部控制評價報告經權力機構或董事會審議通過后，根據監管要求每年12月31日基準日后4個月內需向監管部門報送或對外披露，內部控制評價報告的使用者包括銀監會或屬地銀監部門、外部審計、股東及債權人、董事會、管理層及內部員工等組織內外使用主體。而內部審計報告需要定期向董事會和黨組織匯報，不需要向監管部門之外的個人和單位公布，屬于一項組織內部資料，董事會、高級管理層及銀行內部各層級為主要使用者。

(四)檢查重點不同

一般情況下，商業銀行內部控制評價主要從公司、流程、信息科技三個層面，圍繞控制環境、風險評估、控制活動等五大內部控制基本要素展開，評價與報告側重制度規定遵從性、業務開展合法與合規性。內部審計主要是在內部檢查與審計各項規劃計劃、制度落實情況基礎上進行評價，不只對銀行經營管理合規性與合法性進行檢查，也對其經營決策績效性與合理性等各項業務管理活動開展業務確認與咨詢，并督促改善本行經營活動、風險管理、內控合規和公司治理效果。與內部控制評價相比，內部審計工作范圍更加廣泛。

(五)工作程序不同

一般內部控制評價包括組建評價工作組、制定工作方案、現場與非現場測試、缺陷認定、評價結果匯總、評價報告編寫、整改跟蹤等程序，不需要獨立審批立項，有著較為固定和簡單的工作流程。而內部審計需要審計立項和授權后開展審計工作，有著比較復雜的工作流程，并且審計報告反映的問題需要和被審計單位溝通確認。與內部控制評價報告相比，審計報告的效力更高。

(六)評價結論不同

內部控制評價問題屬于內部控制缺陷，根據內部控制缺陷對商業銀行影響程度可劃分為重大缺陷、重要缺陷和一般缺陷[2]。商業銀行董事會或類似權力機構對企業管理經營層面的缺陷進行認定，對內控體系的健全性、充分性、有效性做出評價，發表意見，出具內部控制評價有效性結論。而內部審計發現問題可循環分類，也可根據風險程度、性質等進行分類，在商業銀行風險管理框架內，對風險管理、內部控制和公司治理效果某一方面、業務流程某一環節或業務點發現的明確、具體、確實的問題，進行客觀公正地評價、揭示，并提出切實可行的改進建議。

三、內部控制評價與內部審計的聯系

(一)相互依存，目標統一

內部控制評價與內部審計相輔相成，緊密相關。商業銀行內部控制評價是通過發現內部控制缺陷，對內部控制狀況開展監督評價，促進內部控制目標實現，而內部審計即是內部控制控制環境中的重要一環，在構建內部控制評價制度后，又通過內部審計監督行為來評估內控工作，揭示風險隱患，完善內控建議，促成良好經營和運作環境。內部控制評價和內部審計都是通過機構內部決策、計劃、監督和執行等管理過程進行監督評價，是商業銀行加強內部管理的重要手段。其最終目的都是為了防控企業風險，幫助組織增加企業價值、實現總體目標。

(二)內容交叉，協調統一

內部控制評價可評價內部監督要素，例如財務報告真實性和舞弊機制健全性，圍繞內控五大基本要素來監督和評價[3]。內部審計范圍不僅包括內部控制的適當、有效，還包括經營管理的合規有效、經濟責任等經營行為的合法合規性等活動。從而可知兩者檢查范圍在公司治理、風險管理和內部控制方面有重疊，但是側重點各不相同，檢查內容存在交叉情況，并且協調統一。

(三)相互補充，相互促進

內部控制評價能夠為內部審計提供良好內部環境，內部控制評價缺乏，會使商業銀行內部規章制度雜亂無章，難以落實，導致業務數據、報表和資料檔案失真，增加內部審計風險，甚至對有序開展內審工作產生阻礙。商業銀行定期進行內部控制評價，可為順利開展內審工作提供良好條件。內部審計通過獨立身份來監督檢查商業銀行內部控制和風險管理情況，能夠有針對性、高效、及時的發現內控體系建設以及其執行中存在的問題，提高內控評價的有效性。二者相互補充，相互促進。

四、內部控制評價和內審工作的融合發展策略

(一)樹立風險導向與內控先行理念

內部控制評價重點是對風險進行確認并測試管理風險；內部審計以企業戰略為出發點，對整個組織風險進行評估與改善，是商業銀行風險管理的第三道防線。二者都是為了控制風險，促進企業穩健運行和價值提升。風險管理理念是內部控制評價與內部審計的基礎。樹立風險導向與內控先行理念，構建完善的內部控制評價體系和落實有效的風險導向內部審計職能，對商業銀行防控風險、優化內控體系、穩健發展具有積極的促進作用。

(二)內部控制評價與內部審計程序的結合

因內部審計資源有限及成本效益原則考慮，全面審計難度較大。鑒于內部控制評價與內部審計最終目標統一，以及檢查內容部分重疊的特性，內部控制評價與內部審計的結合成為可能。

內審人員以戰略目標為出發點，識別、發現影響目標實現的重大風險點；通過綜合風險分析，對風險排序，確定審計范圍，制定審計計劃，確定重點評價領域；內部審計與內部控制評價時，把主要審計資源分配給高風險領域，被審計部位人員同步開展自評，通過測試、對比等方式，找出內控體系設計與運行的有效性問題，按影響程度或內部控制缺陷的評價標準進行問題定性；針對缺陷提出改善建議、風險提示；提交審計或評價報告；被評價部位提報整改方案；內部審計人員跟蹤整改情況并報告。

通過構建全新的內部控制評價與審計流程，內部審計活動將從“發現和評價”為主轉變為積極的“防范和解決”方案的內部審計活動[4]，有助于提高內部審計質量與內部控制評價有效性。

(三)內部控制評價與內部審計成果相結合

內部控制評價結果為內部審計提供審計方向與審計重點，內部審計成果為內部控制評價提供參考依據。內審人員綜合利用審計成果與評價結果，根據董事會、高管層的關注熱點對重要業務機構、高風險領域和重大業務事項進行評價，形成全面的內部控制評價報告。評價結果與審計成果的共享，一方面節約了審計資源，另一方面成果相互借鑒，實現共贏。

五、結語

在商業銀行內部監督中，內部控制評價和內部審計工作都是重要手段，相互促進，相互補充，對商業銀行健康可持續發展具有重要作用。盡管在評價與實施主體、報告使用者、檢查重點、評價程序與結論方面存在差異，但兩者有統一的目標。兩者有機結合并合理應用，可幫助商業銀行在經營管理中發現不足，并及時彌補，以防范和解決各類風險，推動監督與服務，提高經營管理水平，促進實現組織價值。