内部审计在我国上市商业银行的应用

一、上市商业银行风险防控的必要性

金融发展与风险控制是密不可分的。商业银行陆续改制上市之后，卓有成效地加强了公司治理、内部控制与风险管理，完善了内部审计组织架构，建立了全面风险管理体系，制定了风险评估方法。本文通过分析16家上市商业银行招股说明书发现，上市商业银行都具有较为完善的治理结构，建立了总行审计委员会领导下的垂直管理的内部审计体系，董事会下设审计委员会，建立了内部审计章程，内部审计独立于商业银行的日常活动之外，审查评价内控与风险。但近些年陆续出现的金融危机以及互联网金融带来的金融创新，无不显示商业银行的风险已经从过去单一的信用风险发展为信用风险、市场流动性风险、操作风险和系统性风险等并存的多类型复杂性风险，同时这些风险在各个业务部门或业务领域里相互影响，具有传递性和感染性，因此，必须从银行全局的角度进行风险识别、衡量和防控。此外，平安、中信和光大等银行企业集团，不断探索综合金融模式，探索内部业务协同发展的混业经营模式，通过子公司的交叉经营、项目交互，来为海内外客户提供综合金融服务，这就需要子公司之间加强业务合作，加强风险防控。综合金融给各大企业集团在管理协调和风险防控等领域提出了更高的要求。风险导向内部审计正是适应商业银行风险管理的需要和自身发展的需要而不断创新发展的。其主要做法就是将内部审计职能和组织目标相结合，从事后管理发展到事前事中的风险防控，建立全面风险导向审计体系，持续对业务事项进行跟踪反馈。内部审计部门向审计委员会和董事会汇报工作，保证其独立性和客观性，有效地对组织中长期风险进行防控。

二、问题

近年来，虽然商业银行内部审计有了长足发展，审计目标、内容、方法和手段不断创新，在商业银行风险防控中取得了显著成效，但在金融改革飞速变革的环境中，我国风险导向内部审计仍存在与国际的差距，如何将审计方法内容从传统的合规性审计转向加强风险防控，促进组织治理，已成为亟待解决的问题。

（一）全面风险管理理念还不够到位

通过查阅各上市商业银行招股说明书，发现各大银行均在治理结构中突出了审计委员会的建设，强调了内部审计的汇报路线和功能。但由于我国商业银行风险管理较之国际发展起步较晚，目前在实际操作中，内部审计对公司治理、内部控制和风险管理的评价与建议较为浅显，特别是对管理制度、政策体系等方面的审计咨询服务并不多，管理者依然更注重业绩，全面风险管理理念还不够到位，在风险量化分析中缺乏对风险识别监控的科学性，与国际先进银行大量的数理统计方法相比还相差甚远。

（二）国际银行业监管趋严

全球金融危机的不断发生，使得各国政府不断反思金融监管体系。2010年《巴塞尔协议Ⅲ》出台，国际银行业监管趋严，要求更为严格的动态资本监管，要求建立风险监管机制。与此相适应，我国银行业也不断调整客户结构和业务结构。根据我国国情，房地产、地方政府融资属于风险较高且集中的领域，监管应采取多元差异化发展，应在不断完善银行治理结构的基础上，建立流动风险监管机制，建立新指标，强化对风险的计量和管理，真正实现有效的风险识别、监测、计量和控制。

（三）内部控制评价服务尚未到位

在风险导向内部审计阶段，内部控制是商业银行风险管理的基础，是构建商业银行全面风险管理体系的重要组成部分，巴塞尔监管委员会认为银行内部控制要为银行经营活动的“3E”性服务，通过内部控制的五个过程实施内部控制评价服务。但目前我国商业银行仍然在全面、及时、有效性上存在不健全不系统等问题，内部控制的评价服务往往和业务的合规性、风险性融合一起进行审计，这样就存在审计重点不明确等问题，容易导致评价工作局限于合规性内容评价上。而内部控制评价应该从控制的角度对商业银行的风险点进行检验，审视风险点上的控制措施是否得到执行，而不是花费时间和精力去分析判断具体业务的合规性和风险性。

（四）完善全面风险管理体系势在必行

巴塞尔委员会要求至少每年向审计委员会提交一份正式的风险评估报告，对组织风险管理工作作出量化评价，银行业监管条例要求内部审计要对市场、信用、操作风险进行独立检查，要对内部控制框架进行有效检查。现今上市商业银行都力求通过提高风险管理能力来实现“风险管理创造价值”。然而全面风险管理体系的建设是一项庞大的工程，需要不断深化改革、规范施行才能实现。我国商业银行在全面风险管理的理念、管理与机制建设中尚处于起步阶段，存在风险管理技术落后、风险管理专业人才缺失、风险管理组织不完善不够独立等问题，亟待借鉴国外先进经验，有效地识别评价进而控制化解风险。

（五）内部审计方法和手段不能完全适应金融创新要求

在金融创新平台上，各种创新金融手段和方法不断涌现。而在风险导向审计模式下，审计技术和方法上很多是凭借审计人员的主观判断和经验来确定样本规模，这样的风险抽样不够客观。国际内部审计流程分为五个步骤：评估风险并制定计划、内部控制测试、执行实质性测试、得出审计结论并提出管理建议书、后续审计。而我国审计流程很少进行前两项测试，风险遗漏率较高。并且在金融手段不断创新的环境中，互联网金融迅猛发展，内部审计如何加强对金融衍生产品、电子商务银行产品的数据收集与评价，成为一大挑战；计算机审计如何突破网络技术的约束，实现实时监督审计成为风险管理内部审计的一大难题。

三、对策

（一）强化风险管理理念

在信息化时代，伴随金融改革的深入快速发展，风险无处不在，风险管理意识应贯穿公司治理和管理的各个方面和流程，只有树立正确的观念意识，才能确保风险管理与内部控制在流程中得到有效实施。鉴于目前董事会在风险管理中尚未起到应有作用，应从高层开始强化风险管理理念，提高内部审计对企业经营和风险防控的认识，在确保职能充分有效发挥的同时，加强对商业银行战略管理中的风险识别与分析评价，从而真正意义上将现代风险管理理念贯穿到银行业务方方面面，最终提高银行风险管理与控制的实施效果，提高银行经营水平。

（二）制定和完善银行业监管政策

面对金融创新，参照《巴塞尔协议Ⅲ》国际银行业监管的新标杆，我国强化银行业监管机制势在必行。银行业务必严格执行2011年银监会颁布的《关于中国银行业实施新监管标准的指导意见》，严格资本监管要求，实施贷款损失动态监管，引入杠杆指标，建立流动性风险监管体系等。同时加强金融法规建设，在货币政策和财政政策方面，应该采取措施提高政策的传导效率，通过严格金融市场纪律，完善信贷评估体系和风险管理机制，加快信贷机构调整，提高信贷使用效率，采取有效手段“用好增量，盘活存量”，为新的有效信贷提供空间，同时政策上要关注信贷和债务过快增长带来的系统性风险，真正在风险收益权衡基础上做到信贷合理分配。

（三）完善内部控制评价体系

商业银行内部控制评价体系中，测试表项目设计和符合性测试抽样工作对评价体系的实施效果影响重大。首先，在全面测试表设计中，一般根据总行控制措施内容展开，但分支机构业务流程与总行流程存在差别时，要考虑控制点和措施的差异化审核，这部分的操作是内部控制的关键。其次，符合性测试抽样中，样本的选择对评价结论会产生重大影响，例如授信贷款业务中，按比例抽取金额较大的贷款作为样本，然后根据措施未被执行的贷款户数占总户数的比例进行判断，就容易有明显偏差，因为业务处理和金额大小没有必然关系，因此这就需要根据业务和管理活动发生的频率进行统计分析后再进行样本抽取。商业银行的内部控制评价是个专业性强并且较为复杂的工作，需要科学地构建内部控制评估指标体系，正确地进行风险管理判断，使用系统的方法不断提高内部控制的整体水平。

（四）推进全面风险管理体系的建设

根据《巴塞尔协议Ⅲ》的要求，设计实施全面风险管理体系，势在必行。西方商业银行把风险和利润放在同等重要的位置，良好的风险管理环境能有效控制市场风险、信用风险和操作性风险等。全面风险管理体系的核心是建立健全商业银行风险审计模型，通过建立综合风险、资产、负债、资金运营、中间及表外业务、客户群、会计核算等风险审计模型，将风险量化为具体计算指标方式，并通过比较分析、杜邦分析等方法，对商业银行的风险进行逐一分析与判断，保证商业银行流动性、安全性与盈利性的平衡。例如现在工行使用的信贷管理系统、特别关注客户信息系统、个人信贷管理系统的运用，清晰分离信贷调查、信用审批和贷后监控职能，切实提升了银行监控与管理风险的能力，帮助规避各类信用风险。除此之外，各类风险也应通过风险管控系统对其进行度量和监测，通过构建完整独立的风险管理体系，动态改进风险模型中的各类参数，实现对商业银行风险的有效管理，从而能把握评价和防范总体风险，做到早预防、早控制。

（五）完善商业银行内部审计质量评估方法

质量是内部审计工作地位和作用的保证，近年来IIA和CIIA不断推动内部审计质量评估工作，明文要求内部审计机构必须开展内部审计质量控制和评估，这对推进内部审计发展有着重要作用。根据要求，各大商业银行都在不断探索提高内审评估质量的方法，从治理结构、评估体系的标准和方法等入手，进行深入探索。中国人民银行提出了“内部评估+外部评估”的模式，达到了促进内部审计质量提升和增强工作实效性的目的。中国农业银行、中国银行等都在内部审计质量评估的探索方面做出了贡献，取得了很好的成效，达到了审计质量认识提高、审计理念转变、人员素质提升的效果。当然，商业银行系统正在期待针对商业银行系统的相关制度规定，来更好地促进商业银行内部审计评估工作的推进。

（六）计算机辅助审计

在金融工具不断创新的环境下，商业银行普遍利用了先进的计算机技术、网络技术与数据仓库技术，初步形成开放的多功能商业银行信息化体系，风险导向内部审计面对商业银行强大的金融业务网络和强大的电子数据，应不断创新和发展传统的审计内容与方法，创新审计业务，加强对金融衍生产品、电子商务银行产品等领域的实时监督审计，切实加强对上市商业银行混业经营业务的监督审计，在经营环节中把握风险控制的薄弱环节。商业银行内部审计发展到云审计阶段，意味着内部审计转型趋势发展到“风险智能审计阶段”，风险智能审计阶段意味着，内部审计是在信息化平台上进行数据挖掘，是基于数据采集、整理和分析的审计。审计人员在信息化平台上进行风险识别和评估，IT技术贯穿内部审计流程的各个环节，审计过程实现智能化。内部审计人员可以通过“云”，调取审计过程所需的资源数据和证据资料，在大大提高工作效率的同时，可以将注意力更多集中在内部控制评审和风险评估上，且内部审计程序的升级、维护、运行也由云供应商负责，可以大大节约成本。

作者：陈燊 单位：福建江夏学院会计学院