第一篇:商业银行内部审计指引2016
中国银监会关于印发《商业银行内部审计指引》的通
知
银监发〔2016〕12号
各银监局,各政策性银行、大型银行、股份制银行,邮政储蓄银行,外资银行,金融资产管理公司,其他会管金融机构:
现将《商业银行内部审计指引》印发给你们,请遵照执行。
2016年4月16日
(此件发至银监分局和地方法人银行业金融机构)
商业银行内部审计指引
第一章 总 则
第一条 为促进商业银行完善公司治理,加强内部控制和风险管理,健全内部审计体系,提升内部审计的独立性和有效性,依据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。
第二条 中华人民共和国境内依法设立的商业银行适用本指引。
第三条 本指引所称内部审计是商业银行内部独立、客观的监督、评价和咨询活动,通过运用系统化和规范化的方法,审查评价并督促改善商业银行业务经营、风险管理、内控合规和公司治理效果,促进商业银行稳健运行和价值提升。
第四条 商业银行内部审计目标包括:推动国家有关经济金融法律法规和监管规则的有效落实;促进商业银行建立并持续完善有效的风险管理、内控合规和公司治理架构;督促相关审计对象有效履职,共同实现本银行战略目标。
第五条 商业银行内部审计工作应独立于业务经营、风险管理和内控合规,并对上述职能履行的有效性实施评价。内部审计活动应遵循独立性、客观性原则,不断提升内部审计人员的专业能力和职业操守。
第六条 银行业监督管理机构依据本指引对商业银行内部审计工作实施监管评估。
第二章 组织架构
第七条 商业银行应建立独立垂直的内部审计体系。
第八条 董事会对内部审计的独立性和有效性承担最终责任。董事会应根据本银行业务规模和复杂程度配备充足、稳定的内部审计人员;提供充足的经费并列入财务预算;负责批准内部审计章程、中长期审计规划和年度审计计划等;为独立、客观开展内部审计工作提供必要保障;对内部审计工作的独立性和有效性进行考核,并对内部审计质量进行评价。
第九条 董事会应下设审计委员会。审计委员会成员不少于3人,多数成员应为独立董事。审计委员会成员应具有财务、审计和会计等专业知识和工作经验。审计委员会负责人原则上应由独立董事担任。
审计委员会对董事会负责,经其授权审核内部审计章程等重要制度和报告,审批中长期审计规划和年度审计计划,指导、考核和评价内部审计工作。
第十条 监事会对本银行内部审计工作进行监督,有权要求董事会和高级管理层提供审计方面的相关信息。
第十一条 高级管理层应支持内部审计部门独立履行职责,确保内部审计资源充足到位;及时向审计委员会报告业务发展、产品创新、操作流程、风险管理、内控合规的最新发展和变化;根据内部审计发现的问题和审计建议及时采取有效整改措施。
第十二条 商业银行可设立总审计师或首席审计官(以下统称“总审计师”)一名。总审计师由董事会负责聘任和解聘。商业银行应及时向银行业监督管理机构报告总审计师的聘任和解聘情况。
总审计师对董事会及其审计委员会负责,定期向董事会及其审计委员会和监事会报告工作,并通报高级管理层。总审计师负责组织制定并实施内部审计章程、审计工作流程、作业标准、职业道德规范等内部审计制度,组织实施中长期审计规划和年度审计计划,并对内部审计的整体质量负责。
商业银行未设立总审计师的,由内部审计部门负责人承担总审计师的职责。
第十三条 商业银行应设立独立的内部审计部门,审查评价并督促改善商业银行经营活动、风险管理、内控合规和公司治理效果,编制并落实中长期审计规划和年度审计计划,开展后续审计,评价整改情况,对审计项目的质量负责。内部审计部门向总审计师负责并报告工作。
第十四条 商业银行应配备充足的内部审计人员,原则上不得少于员工总数的1%。
内部审计人员应当具备履行内部审计职责所需的专业知识、职业技能和实践经验,掌握银行业务的最新发展,并通过后续教育和职业实践等途径,学习和掌握相关法律法规、专业知识、技术方法和审计实务的发展变化,保持和提升专业胜任能力。
内部审计人员在从事内部审计活动时,应遵循客观、保密原则,秉持诚信正直的道德操守,按规定使用其在履行职责时所获取的信息。内部审计人员不得参与有利益关系的审计项目,不得利用职权谋取私利,不得隐瞒审计发现的问题,不做缺少证据支持的判断,不做误导性陈述。
第三章 章程、职责与权限
第十五条 商业银行应制定内部审计章程。内部审计章程应至少包括以下事项:
(一)内部审计目标和范围;
(二)内部审计地位、权限和职责;
(三)内部审计部门的报告路径以及与高级管理层的沟通机制;
(四)总审计师的责任和义务;
(五)内部审计与风险管理、内部控制的关系;
(六)内部审计活动外包的标准和原则;
(七)内部审计与外部审计的关系;
(八)对重点业务条线及风险领域的审计频率及后续整改要求;
(九)内部审计人员职业准入与退出标准、后续教育制度和人员交流机制;
内部审计章程应由董事会批准并报监管部门备案。
第十六条 商业银行的内部审计事项应包括:
(一)公司治理的健全性和有效性;
(二)经营管理的合规性和有效性;
(三)内部控制的适当性和有效性;
(四)风险管理的全面性和有效性;
(五)会计记录及财务报告的完整性和准确性;
(六)信息系统的持续性、可靠性和安全性;
(七)机构运营、绩效考评、薪酬管理和高级管理人员履职情况;
(八)监管部门监督检查发现问题的整改情况以及监管部门指定项目的审计工作;
(九)其他需要进行审计的事项。
第十七条 内部审计部门有权获取与审计有关的信息,列席或参加与内部审计职责有关的会议,参加相关业务培训。
第十八条 内部审计部门有权检查各类经营机构(含分支机构和附属机构)的各项业务和管理活动(含外包业务),及时、全面获取经营管理相关信息,并就有关问题向审计对象和行内相关人员进行调查、质询和取证。
第十九条 内部审计部门有权向董事会、高级管理层和相关部门提出处理和处罚建议。
第二十条 内部审计部门可就风险管理、内部控制等事项提供专业建议,但不得直接参与或负责内部控制设计和经营管理的决策与执行。
第四章 审计工作流程
第二十一条 内部审计部门应根据商业银行的内部审计章程、业务性质、风险状况、管理需求及审计资源的配置情况,确定审计范围、审计重点、审计频率,编制中长期审计规划和年度审计计划,并报审计委员会批准。
商业银行的年度内部审计计划应充分考虑监管关注事项,包括但不限于:全面风险管理、资本充足、流动性、内控合规、财务报告等。
第二十二条 内部审计部门应根据年度审计计划,选派合格、胜任的审计人员组成审计组,收集和研究相关背景资料,了解审计对象的风险概况及内部控制,编制项目审计方案,组织审计前培训并在实施审计前向审计对象下发审计通知书。特殊情况下,审计通知书可以在实施审计时送达。
第二十三条 内部审计人员应根据项目审计方案,综合运用审核、观察、访谈、调查、函证、鉴定、调节和分析等方法,获取审计证据,并将审计过程和结论记录于审计工作底稿。
内部审计采取现场审计与非现场审计相结合的方式,并通过加强非现场审计系统建设,增强内部审计的广度与深度。
内部审计部门应加强信息科技在审计工作中的运用,不断完善内部审计管理信息系统。在审计过程中,内部审计人员应做好与审计对象的沟通交流。
第二十四条 商业银行应建立异议解决机制。对审计对象提出异议的审计结论,应及时进行沟通确认,根据内部审计章程的规定,将沟通结果和审计结论报送至相关上级机构并归档保存。
第二十五条 内部审计人员在实施必要的审计程序后,应征求审计对象意见并及时完成审计报告。审计报告应包括审计目标和范围、审计依据、审计发现、审计结论、审计建议等内容。
内部审计人员应将审计报告发送至审计对象,并上报审计委员会及董事会,同时根据内部审计章程的规定与高级管理层及时沟通审计发现。
第二十六条 商业银行董事会及高级管理层应采取有效措施,确保内部审计结果得到充分利用,整改措施得到及时落实;对未按要求整改的,应追究相关人员责任。
第二十七条 内部审计部门应跟进审计发现问题的整改情况。必要时可开展后续审计,评价审计发现问题的整改进度及有效性。
第二十八条 内部审计部门应建立健全内部审计档案管理制度,妥善保管内部审计档案资料。
第二十九条 商业银行应建立健全内部审计质量控制制度和程序,定期实施内部审计质量自我评价,并接受内部审计质量外部评估。
第五章 部分审计活动外包
第三十条 商业银行不得将内部审计职能外包,但可将有限的、特定的内部审计活动外包给第三方,以缓解内部审计资源压力并提升内部审计工作的全面性。
第三十一条 商业银行董事会应对内部审计活动外包承担最终责任。商业银行内部审计活动外包应符合本银行内部审计章程的有关要求。
第三十二条 商业银行不得将内部审计活动外包给正在为本银行提供外部审计服务的会计师事务所及其关联机构。
商业银行不得将内部审计活动外包给近三年内为审计对象提供过与该项审计外包业务相关咨询服务的第三方及其关联机构。
第三十三条 商业银行应建立内部审计活动外包制度,明确外包提供商的资质标准、准入与退出条件、外包流程及质量控制标准等。
商业银行在实施内部审计活动外包时,本银行内部审计人员应参与并监督项目实施,并负责向总审计师报告外包活动的有关情况。
第三十四条 商业银行总审计师应建立相应的外包审计项目知识转移机制,确保内部审计人员能最大程度地获取专业技能,提升内部审计部门的专业能力。
第六章 考核与问责
第三十五条 商业银行董事会应针对内部审计部门建立科学的激励约束机制,并对总审计师的履职尽责情况进行考核评价,内部审计部门定期对内部审计人员的专业胜任能力进行评价。
内部审计人员的薪酬水平应不低于本机构其他部门同职级人员平均水平。
第三十六条 商业银行应建立内部审计责任制,明确规定内部审计人员履职尽责要求以及问责程序。经责任认定,内部审计部门和审计人员已勤勉尽职的,可减轻或免除其责任。
第三十七条 内部审计结果和整改情况应作为审计对象绩效考评的重要依据。
第三十八条 审计对象应积极配合内部审计工作。对于拒绝、妨碍内部审计工作及整改不力的行为,商业银行应及时制止,并追究相关责任人的责任。
第七章 监管评估
第三十九条 商业银行内部审计部门应建立与银行业监督管理机构的正式沟通机制,定期讨论银行面临的主要风险、已经采取的风险化解措施以及整改情况。双方沟通的频率应与银行的规模、风险偏好和业务复杂性相匹配。第四十条 商业银行内部审计部门应向监管部门提交以下报告:
(一)内部审计计划;
(二)重要审计发现及其整改情况;
(三)向董事会提交的全面审计工作报告;
(四)外部机构对银行的审计报告;
(五)监管部门监督检查发现问题的整改报告;
(六)内部审计质量自我评价报告;
(七)银行业监督管理机构要求的其他报告。
第四十一条 银行业监督管理机构可要求商业银行内部审计部门完成指定项目的审计工作,并将审计结果报送监管部门。
第四十二条 银行业监督管理机构通过非现场监管、现场检查、监管会谈等方式,对商业银行内部审计的有效性进行评估。评估内容包括:
(一)内部审计章程;
(二)内部审计的范围、频率和效果;
(三)确保内部审计职能充分发挥作用的公司治理机制;
(四)银行集团内部审计的有效性;
(五)内部审计人员的专业胜任能力;
(六)内部审计人员的薪酬机制;
(七)内部审计活动外包情况;
(八)内部审计报告及审计建议的整改落实情况;
(九)内部审计问责情况;
(十)其他事项。
第四十三条 银行业监督管理机构有权根据评估结果对商业银行内部审计工作提出监管意见,要求其限期整改并提交整改报告。内部审计有效性和整改情况应纳入公司治理和内部控制整体有效性评估和监管评级。
第八章 附 则
第四十四条 商业银行应在集团层面建立与其规模、风险偏好和复杂程度相适应的内部审计制度,确保内部审计覆盖集团全部业务和全部机构。董事会对集团内部审计的适当性和有效性承担最终责任。
银行集团的内部审计部门应明确集团对附属机构的审计监督机制,并根据审计权限对附属机构实施审计,指导附属机构内部审计机制建设和内部审计工作。
附属机构的内部审计部门应根据集团内部审计章程的有关规定,向银行集团总审计师或内部审计部门负责人报告附属机构的内部审计工作。
本指引所称银行集团是指在中华人民共和国境内依法设立的商业银行及其附属机构。附属机构包括但不限于境内外的其他商业银行、非银行金融机构及非金融机构。
第四十五条 农村中小金融机构审计委员会的多数成员原则上应为独立董事。村镇银行已设立监事会的可不设立审计委员会,由监事会履行审计委员会职责。村镇银行已设立审计委员会的,可由董事会聘请主发起行审计部门负责人兼任审计委员会委员。
村镇银行未设立内部审计部门的,应设置专门的内部审计岗位,并委托主发起行承担村镇银行的审计职能,确定对村镇银行的审计监督机制,有效实施审计活动。
第四十六条 商业银行应根据本指引制定实施细则,并报银行业监督管理机构备案。
第四十七条 银行业监督管理机构负责监管的其他金融机构参照执行本指引。
第四十八条 本指引自印发之日起施行,《银行业金融机构内部审计指引》(银监发〔2006〕51号)同时废止。
第二篇:商业银行内部控制指引
《商业银行内部控制指引》(全文)
时间:2014年11月14日
来源:中国银监会网站
中国银监会关于印发商业银行内部控制指引的通知
银监发〔2014〕40号
各银监局,各政策性银行、国有商业银行、股份制商业银行、金融资产管理公司,邮储银行,各省级农村信用联社,银
监会直接监管的信托公司、企业集团财务公司、金融租赁公司:
现将修订后的《商业银行内部控制指引》印发给你们,请遵照执行。
2014年9月12日
商业银行内部控制指引
第一章 总 则
第一条 为促进商业银行建立和健全内部控制,有效防范风险,保障银行体系安全稳健运行,依据《中华人民共和国银
行业监督管理法》、《中华人民共和国商业银行法》等法律法规,制定本指引。
第二条 中华人民共和国境内依法设立的商业银行适用本指引。
第三条 内部控制是商业银行董事会、监事会、高级管理层和全体员工参与的,通过制定和实施系统化的制度、流程和
方法,实现控制目标的动态过程和机制。
第四条 商业银行内部控制的目标:
(一)保证国家有关法律法规及规章的贯彻执行。
(二)保证商业银行发展战略和经营目标的实现。
(三)保证商业银行风险管理的有效性。
(四)保证商业银行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时。
第五条 商业银行内部控制应当遵循以下基本原则:
(一)全覆盖原则。商业银行内部控制应当贯穿决策、执行和监督全过程,覆盖各项业务流程和管理活动,覆盖所有的部 门、岗位和人员。
(二)制衡性原则。商业银行内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督 的机制。
(三)审慎性原则。商业银行内部控制应当坚持风险为本、审慎经营的理念,设立机构或开办业务均应坚持内控优先。
(四)相匹配原则。商业银行内部控制应当与管理模式、业务规模、产品复杂程度、风险状况等相适应,并根据情况变化 及时进行调整。
第六条 商业银行应当建立健全内部控制体系,明确内部控制职责,完善内部控制措施,强化内部控制保障,持续开展 内部控制评价和监督。
第二章 内部控制职责
第七条 商业银行应当建立由董事会、监事会、高级管理层、内控管理职能部门、内部审计部门、业务部门组成的分工
合理、职责明确、报告关系清晰的内部控制治理和组织架构。
第八条
董事会负责保证商业银行建立并实施充分有效的内部控制体系,保证商业银行在法律和政策框架内审慎经营;负责明确 设定可接受的风险水平,保证高级管理层采取必要的风险控制措施;负责监督高级管理层对内部控制体系的充分性与有效性 进行监测和评估。
第九条 监事会负责监督董事会、高级管理层完善内部控制体系;负责监督董事会、高级管理层及其成员履行内部控制 职责。
第十条 高级管理层负责执行董事会决策;负责根据董事会确定的可接受的风险水平,制定系统化的制度、流程和方法,采取相应的风险控制措施;负责建立和完善内部组织机构,保证内部控制的各项职责得到有效履行;负责组织对内部控制
体系的充分性与有效性进行监测和评估。
第十一条 商业银行应当指定专门部门作为内控管理职能部门,牵头内部控制体系的统筹规划、组织落实和检查评估。
第十二条 商业银行内部审计部门履行内部控制的监督职能,负责对商业银行内部控制的充分性和有效性进行审计,及
时报告审计发现的问题,并监督整改。
第十三条 商业银行的业务部门负责参与制定与自身职责相关的业务制度和操作流程;负责严格执行相关制度规定;负
责组织开展监督检查;负责按照规定时限和路径报告内部控制存在的缺陷,并组织落实整改。
本指引所称商业银行业务部门是指除内部审计部门和内控管理职能部门外的其他部门。
第三章 内部控制措施
第十四条 商业银行应当建立健全内部控制制度体系,对各项业务活动和管理活动制定全面、系统、规范的业务制度和 管理制度,并定期进行评估。
第十五条 商业银行应当合理确定各项业务活动和管理活动的风险控制点,采取适当的控制措施,执行标准统一的业务 流程和管理流程,确保规范运作。
商业银行应当采用科学的风险管理技术和方法,充分识别和评估经营中面临的风险,对各类主要风险进行持续监控。
第十六条 商业银行应当建立健全信息系统控制,通过内部控制流程与业务操作系统和管理信息系统的有效结合,加强 对业务和管理活动的系统自动控制。
第十七条 商业银行应当根据经营管理需要,合理确定部门、岗位的职责及权限,形成规范的部门、岗位职责说明,明 确相应的报告路线。
第十八条 商业银行应当全面系统地分析、梳理业务流程和管理活动中所涉及的不相容岗位,实施相应的分离措施,形 成相互制约的岗位安排。
第十九条 商业银行应当明确重要岗位,并制定重要岗位的内部控制要求,对重要岗位人员实行轮岗或强制休假制度,原则上不相容岗位人员之间不得轮岗。
第二十条 商业银行应当制定规范员工行为的相关制度,明确对员工的禁止性规定,加强对员工行为的监督和排查,建 立员工异常行为举报、查处机制。
第二十一条 商业银行应当根据各分支机构和各部门的经营能力、管理水平、风险状况和业务发展需要,建立相应的授
权体系,明确各级机构、部门、岗位、人员办理业务和事项的权限,并实施动态调整。
第二十二条 商业银行应当严格执行会计准则与制度,及时准确地反映各项业务交易,确保财务会计信息真实、可靠、完整。
第二十三条
商业银行应当建立有效的核对、监控制度,对各种账证、报表定期进行核对,对现金、有价证券等有形资产和重要凭证 及时进行盘点。
第二十四条 商业银行设立新机构、开办新业务、提供新产品和服务,应当对潜在的风险进行评估,并制定相应的管理 制度和业务流程。
第二十五条 商业银行应当建立健全外包管理制度,明确外包管理组织架构和管理职责,并至少每年开展一次全面的外
包业务风险评估。涉及战略管理、风险管理、内部审计及其他有关核心竞争力的职能不得外包。
第二十六条 商业银行应当建立健全客户投诉处理机制,制定投诉处理工作流程,定期汇总分析投诉反映事项,查找问 题,有效改进服务和管理。
第四章 内部控制保障
第二十七条 商业银行应当建立贯穿各级机构、覆盖所有业务和全部流程的管理信息系统和业务操作系统,及时、准确
记录经营管理信息,确保信息的完整、连续、准确和可追溯。
第二十八条 商业银行应当加强对信息的安全控制和保密管理,对各类信息实施分等级安全管理,对信息系统访问实施 权限管理,确保信息安全。
第二十九条 商业银行应当建立有效的信息沟通机制,确保董事会、监事会、高级管理层及时了解本行的经营和风险状
况,确保相关部门和员工及时了解与其职责相关的制度和信息。
第三十条 商业银行应当建立与其战略目标相一致的业务连续性管理体系,明确组织结构和管理职能,制定业务连续性
计划,组织开展演练和定期的业务连续性管理评估,有效应对运营中断事件,保证业务持续运营。
第三十一条 商业银行应当制定有利于可持续发展的人力资源政策,将职业道德修养和专业胜任能力作为选拔和聘用员
工的重要标准,保证从业人员具备必要的专业资格和从业经验,加强员工培训。
第三十二条 商业银行应当建立科学的绩效考评体系、合理设定内部控制考评标准,对考评对象在特定期间的内部控制
管理活动进行评价,并根据考评结果改进内部控制管理。
商业银行应当对内控管理职能部门和内部审计部门建立区别于业务部门的绩效考评方式,以利于其有效履行内部控制管 理和监督职能。
第三十三条 商业银行应当培育良好的企业内控文化,引导员工树立合规意识、风险意识,提高员工的职业道德水准,规范员工行为。
第五章 内部控制评价
第三十四条 商业银行内部控制评价是对商业银行内部控制体系建设、实施和运行结果开展的调查、测试、分析和评估 等系统性活动。
第三十五条 商业银行应当建立内部控制评价制度,规定内部控制评价的实施主体、频率、内容、程序、方法和标准等,确保内部控制评价工作规范进行。
第三十六条 商业银行内部控制评价应当由董事会指定的部门组织实施。
第三十七条 商业银行应当对纳入并表管理的机构进行内部控制评价,包括商业银行及其附属机构。
第三十八条 商业银行应当根据业务经营情况和风险状况确定内部控制评价的频率,至少每年开展一次。当商业银行发
生重大的并购或处置事项、营运模式发生重大改变、外部经营环境发生重大变化,或其他有重大实质影响的事项发生时,应 当及时组织开展内部控制评价。
第三十九条 商业银行应当制定内部控制缺陷认定标准,根据内部控制缺陷的影响程度和发生的可能性划分内部控制缺
陷等级,并明确相应的纠正措施和方案。
第四十条 商业银行应当建立内部控制评价质量控制机制,对评价工作实施全流程质量控制,确保内部控制评价客观公 正。
第四十一条 商业银行应当强化内部控制评价结果运用,可将评价结果与被评价机构的绩效考评和授权等挂钩,并作为
被评价机构领导班子考评的重要依据。
第四十二条 商业银行内部控制评价报告经董事会审议批准后,于每年4月30日前报送银监会或对其履行法人监管职
责的属地银行业监督管理机构。商业银行分支机构应将其内部控制评价情况,按上述时限要求,报送属地银行业监督管理机 构。
第六章 内部控制监督
第四十三条 商业银行内部审计部门、内控管理职能部门和业务部门均承担内部控制监督检查的职责,应根据分工协调
配合,构建覆盖各级机构、各个产品、各个业务流程的监督检查体系。
第四十四条 商业银行应当建立内部控制监督的报告和信息反馈制度,内部审计部门、内控管理职能部门、业务部门人
员应将发现的内部控制缺陷,按照规定报告路线及时报告董事会、监事会、高级管理层或相关部门。
第四十五条 商业银行应当建立内部控制问题整改机制,明确整改责任部门,规范整改工作流程,确保整改措施落实到 位。
第四十六条 商业银行应当建立内部控制管理责任制,强化责任追究。
(一)董事会、高级管理层应当对内部控制的有效性分级负责,并对内部控制失效造成的重大损失承担管理责任。
(二)内部审计部门、内控管理职能部门应当对未适当履行监督检查和内部控制评价职责承担直接责任。
(三)业务部门应当对未执行相关制度、流程,未适当履行检查职责,未及时落实整改承担直接责任。
第四十七条 银行业监督管理机构通过非现场监管和现场检查等方式实施对商业银行内部控制的持续监管,并根据本指
引及其他相关法律法规,按组织对商业银行内部控制进行评估,提出监管意见,督促商业银行持续加以完善。
第四十八条 银监会及其派出机构对内部控制存在缺陷的商业银行,应当责成其限期整改;逾期未整改的,可以根据《
中华人民共和国银行业监督管理法》第三十七条有关规定采取监管措施。
第四十九条 商业银行违反本指引有关规定的,银监会及其派出机构可以根据《中华人民共和国银行业监督管理法》有 关规定采取监管措施。
第七章 附则
第五十条 银监会负责监管的其他金融机构参照本指引执行。
第五十一条 本指引自印发之日起施行。
第三篇:商业银行内部控制指引
商业银行内部控制指引
第一章 总则
第一条 为促进商业银行建立和健全内部控制,防范金融风险,保障银行体系安全稳健运行,依据《中华人民共和国中国人民银行法》、《中华人民共和国商业银行法》等法律规定和银行审慎监管要求,制定本指引。
第二条 内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。
第三条 商业银行内部控制的目标:
(一)确保国家法律规定和商业银行内部规章制度的贯彻执行;
(二)确保商业银行发展战略和经营目标的全面实施和充分实现;
(三)确保风险管理体系的有效性;
(四)确保业务记录、财务信息和其他管理信息的及时、真实和完整。
第四条 商业银行内部控制应当贯彻全面、审慎、有效、独立的原则,包括:
(一)内部控制应当渗透到商业银行的各项业务过程和各个操作环节,覆盖所有的部门和岗位,并由全体人员参与,任何决策或操作均应当有案可查。
(二)内部控制应当以防范风险、审慎经营为出发点,商业银行的经营管理,尤其是设立新的机构或开办新的业务,均应当体现“内控优先”的要求。
(三)内部控制应当具有高度的权威性,任何人不得拥有不受内部控制约束的权力,内部控制存在的问题应当能够得到及时反馈和纠正。
(四)内部控制的监督、评价部门应当独立于内部控制的建设、执行部门,并有直接向董事会、监事会和高级管理层报告的渠道。
第五条 内部控制应当与商业银行的经营规模、业务范围和风险特点相适应,以合理的成本实现内部控制的目标。
第二章 内部控制的基本要求
第六条 内部控制应当包括以下要素:
(一)内部控制环境;
(二)风险识别与评估;
(三)内部控制措施;
(四)信息交流与反馈;
(五)监督评价与纠正。
第七条 商业银行应当建立良好的公司治理以及分工合理、职责明确、报告关系清晰的组织结构,为内部控制的有效性提供必要的前提条件。
第八条 商业银行董事会、监事会和高级管理层应当充分认识自身对内部控制所承担的责任。
董事会负责审批商业银行的总体经营战略和重大政策,确定商业银行可以接受的风险水平,批准各项业务的政策、制度和程序,任命高级管理层,对内部控制的有效性进行监督;董事会应当就内部控制的有效性定期与管理层进行讨论,及时审查管理层、审计机构和监管部门提供的内部控制评估报告,督促管理层落实整改措施。
高级管理层负责执行董事会批准的各项战略、政策、制度和程序,负责建立授权和责任明确、报告关系清晰的组织结构,建立识别、计量和管理风险的程序,并建立和实施健全、有效的内部控制,采取措施纠正内部控制存在的问题。
监事会在实施财务监督的同时,负责对商业银行遵守法律规定的情况以及董事会、管理层履行职责的情况进行监督,要求董事会、管理层纠正损害银行利益的行为。
第九条 商业银行应当建立科学、有效的激励约束机制,培育良好的企业精神和内部控制文化,从而创造全体员工均充分了解且能履行职责的环境。
第十条 商业银行应当设立履行风险管理职能的专门部门,制定并实施识别、计量、监测和管理风险的制度、程序和方法,以确保风险管理和经营目标的实现。
第十一条 商业银行应当建立涵盖各项业务、全行范围的风 险管理系统,开发和运用风险量化评估的方法和模型,对信用风险、市场风险、流动性风险、操作风险等各类风险进行持续的监控。
第十二条 商业银行应当对各项业务制定全面、系统、成文的政策、制度和程序,并在全行范围内保持统一的业务标准和操作要求,避免因管理层的变更而影响其连续性和稳定性。
第十三条 商业银行设立新的机构或开办新的业务,应当事先制定有关的政策、制度和程序,对潜在的风险进行计量和评估,并提出风险防范措施。
第十四条 商业银行应当建立内部控制的评价制度,对内部控制的制度建设、执行情况定期进行回顾和检讨,并根据国家法律规定、银行组织结构、经营状况、市场环境的变化进行修订和完善。
第十五条 商业银行应当明确划分相关部门之间、岗位之间、上下级机构之间的职责,建立职责分离、横向与纵向相互监督制约的机制。
涉及资产、负债、财务和人员等重要事项变动均不得由一个人独自决定。
第十六条 商业银行应当根据不同的工作岗位及其性质,赋予其相应的职责和权限,各个岗位应当有正式、成文的岗位职责说明和清晰的报告关系。
关键岗位应当实行定期或不定期的人员轮换和强制休假制度。
第十七条 商业银行应当根据各分支机构和业务部门的经 营管理水平、风险管理能力、地区经济环境和业务发展需要,建立相应的授权体系,实行统一法人管理和法人授权。
授权应适当、明确,并采取书面形式。
第十八条 商业银行应当利用计算机程序监控等现代化手段,锁定分支机构的业务权限,对分支机构实施有效的管理和控制。
下级机构应当严格执行上级机构的决策,在自身职责和权限范围内开展工作。
第十九条 商业银行应当建立有效的核对、监控制度,对各种账证、报表定期进行核对,对现金、有价证券等有形资产及时进行盘点,对柜台办理的业务实行复核或事后监督把关,对重要业务实行双签有效的制度,对授权、授信的执行情况进行监控。
第二十条 商业银行应当按照规定进行会计核算和业务记录,建立完整的会计、统计和业务档案,妥善保管,确保原始记录、合同契约和各种报表资料的真实、完整。
第二十一条 商业银行应当建立有效的应急制度,在各个重要部位、营业网点等发生供电中断、火灾、抢劫等紧急情况时,应急措施应当及时、有效,确保各类数据信息的安全和完整。
第二十二条 商业银行应当设立独立的法律事务部门或岗位,统一管理各类授权、授信的法律事务,制定和审查法律文本,对新业务的推出进行法律论证,确保每笔业务的合法和有效,维护银行的合法权益。
第二十三条 商业银行应当实现业务操作和管理的电子化,促进各项业务的电子数据处理系统的整合,做到业务数据的集中 处理。
第二十四条 商业银行应当实现经营管理的信息化,建立贯穿各级机构、覆盖各个业务领域的数据库和管理信息系统,做到及时、准确提供经营管理所需要的各种数据,并及时、真实、准确地向中国人民银行报送监管报表资料和对外披露信息。第二十五条 商业银行应当建立有效的信息交流和反馈机制,确保董事会、监事会、高级管理层及时了解本行的经营和风险状况,确保每一项信息均能够传递给相关的员工,各个部门和员工的有关信息均能够顺畅反馈。
第二十六条 商业银行的业务部门应当对各项业务的经营状况和例外情况进行经常性检查,及时发现内部控制存在的问题,并迅速予以纠正。
第二十七条 商业银行的内部审计部门应当有权获得商业银行的所有经营信息和管理信息,并对各个部门、岗位和各项业务实施全面的监控和评价。
第二十八条 商业银行的内部审计应当具有充分的独立性,实行全行系统的垂直管理。
下级机构内部审计负责人的聘任和解聘应当经上级机构内部审计部门同意,总行内部审计负责人的聘任和解聘应当经董事会或监事会同意。
第二十九条 商业银行应当配备充足的、业务素质高、工作能力强的内部审计人员,并建立专业培训制度,每人每年确保一定的离岗或脱产培训时间。
内部审计力量不足的,应当将审计任务委托社会中介机构进 行。
第三十条 商业银行应当建立有效的内部控制报告和纠正机制,业务部门、内部审计部门和其他人员发现的内部控制的问题,均应当有畅通的报告渠道和有效的纠正措施。
第三章 授信的内部控制
第三十一条 商业银行授信内部控制的重点是:实行统一授信管理,健全客户信用风险识别与监测体系,完善授信决策与审批机制,防止对单一客户、关联企业客户和集团客户风险的高度集中,防止违反信贷原则发放关系人贷款和人情贷款,防止信贷资金违规投向高风险领域和用于违法活动。
第三十二条 商业银行应当设立独立的授信风险管理部门,对不同币种、不同客户对象、不同种类的授信进行统一管理,避免信用失控。
第三十三条 商业银行授信岗位设置应当做到分工合理、职责明确,岗位之间应当相互配合、相互制约,做到审贷分离、业务经办与会计账务处理分离。
第三十四条 商业银行应当建立有效的授信决策机制,包括设立审贷委员会,负责审批权限内的授信。
行长不得担任审贷委员会的成员。
审贷委员会审议表决应当遵循集体审议、明确发表意见、多数同意通过的原则,全部意见应当记录存档。
被审贷委员会两次否决的贷款申请半年内不得提交审贷委 员会审议。
第三十五条 商业银行应当建立严格的授信风险垂直管理体制,下级机构应当服从上级机构风险管理部门的管理,严格执行各项授信风险管理政策和制度。
第三十六条 商业银行应当对授信实行统一的法人授权制度,上级机构应当根据下级机构的风险管理水平、资产质量、所处地区经济环境等因素,合理确定授信审批权限。
第三十七条 商业银行应当根据风险大小,对不同种类、期限、担保条件的授信确定不同的审批权限,审批权限应当逐步采用量化风险指标。
第三十八条 商业银行各级机构应当明确规定授信审查人、审批人之间的权限和工作程序,严格按照权限和程序审查、审批业务,不得故意绕开审查、审批人。
第三十九条 商业银行应当防止授信风险的过度集中,通过实行授信组合管理,制定在不同期限、不同行业、不同地区的授信分散化目标,及时监测和控制授信组合风险,确保总体授信风险控制在合理的范围内。
第四十条 商业银行应当对同一客户的贷款、贸易融资、票据承兑和贴现、透支、保理、担保、贷款承诺、开立信用证等各类表内外授信实行一揽子管理,确定总体授信额度。
第四十一条 商业银行应当以风险量化评估的方法和模型为基础,开发和运用统一的客户信用评级体系,作为授信客户选择和项目审批的依据,并为客户信用风险识别、监测以及制定差别化的授信政策提供基础。第四十二条 商业银行应当对集团客户实行统一授信管理,将同一集团内各个企业的授信纳入统一的授信额度内,核定集团总的授信额度,防止借款人通过多头开户、多头贷款、多头互保套取银行资金,防止对关联企业授信的失控。
第四十三条 商业银行应当建立统一的授信操作规范,规定贷前调查、贷时审查、贷后检查各个环节的工作标准和操作要求:
(一)贷前调查应当做到实地查看,如实报告授信调查掌握的情况,不回避风险点,不因任何人的主观意志而改变调查结论;
(二)贷时审查应当做到独立审贷,客观公正,充分、准确地揭示业务风险,提出降低风险的对策;
(三)贷后检查应当做到实地查看,如实记录,及时将检查中发现的问题报告有关人员,不得隐瞒或掩饰问题。
第四十四条 商业银行应当制定统一的各类授信品种的管理办法,明确规定各项业务的办理条件,包括选项标准、期限、利率、收费、担保、审批权限、申报资料、贷后管理、内部处理程序等具体内容。
第四十五条 商业银行在批准各类授信时,应当逐笔载明办理业务的各项条件,经办部门只能在符合条件的前提下办理业务。
第四十六条 商业银行应当对借款人实施独立的尽职调查,严格执行授信审批程序,防止逆程序操作和放宽授信标准,防止发放任何形式的外部行政干预贷款和人情贷款。
第四十七条 商业银行应当严格按照信贷原则审查对关系人的授信,确保对关系人的授信条件不得优于其他借款人同类授 信的条件。
在对关系人的授信调查和审批过程中,商业银行内部相关人员应当回避。
第四十八条 商业银行应当严格审查和监控借款用途,防止借款人通过贷款、贴现、办理银行承兑汇票等方式套取信贷资金,改变借款用途。
第四十九条 商业银行应当严格审查借款人资格合法性、融资背景以及申请材料的真实性和借款合同的完备性,防止借款人通过编造虚假理由、使用虚假经济合同或虚假证明文件等方式,从事金融诈骗活动。
第五十条 商业银行应当建立资产质量监测报告体系,严密监测资产质量的变化,分析不良资产形成的原因,及时制定防范和化解风险的对策。
第五十一条 商业银行应当建立贷款风险分类制度,规范贷款质量的认定标准和程序,严禁掩盖不良贷款的真实状况,确保贷款质量的真实性。
第五十二条 商业银行应当建立授信风险责任制,明确规定各个部门、岗位的风险责任:
(一)调查人员应当承担调查失误和评估失准的责任;
(二)审查和审批人员应当承担审查、审批失误的责任,并对本人签署的意见负责;
(三)贷后管理人员应当承担检查失误、清收不力的责任;
(四)放款操作人员应当对操作性风险负责;
(五)高级管理层应当对重大贷款损失承担相应的责任。第五十三条 商业银行应当对违法、违规造成的授信风险和损失逐笔进行责任认定,并按规定对有关责任人进行处理。
第五十四条 商业银行应当建立完善的授信管理信息系统,对授信全过程进行持续监控,并确保提供真实的授信经营状况和资产质量状况信息,对授信风险与收益情况进行综合评价。
第五十五条 商业银行应当建立完善的客户管理信息系统,全面和集中掌握客户的资信水平、经营财务状况、偿债能力等信息,对客户进行分类管理,对已列入“黑名单”、有逃废债等行为的资信不良的借款人实施授信禁入。
第四章 资金业务的内部控制
第五十六条 商业银行资金业务内部控制的重点是:对资金业务对象和产品实行统一授信,实行严格的前后台职责分离,建立中台风险监控和管理制度,防止资金交易员从事越权交易,防止欺诈行为,防止因违规操作和风险识别不足导致的重大损失。
第五十七条 商业银行资金业务的组织结构应当体现权限等级和职责分离的原则,做到前台交易与后台结算分离、自营业务与代客业务分离、业务操作与风险监控分离,建立岗位之间的监督制约机制。
第五十八条 商业银行应当根据分支机构的经营管理水平,核定各个分支机构的资金业务经营权限。
对分支机构的资金业务应当定期进行检查,对异常资金交易和资金变动应当建立有效的预警和处理机制。未经上级机构批准,下级机构不得开展任何未设权限的资金交易。
第五十九条 商业银行应当完善资金营运的内部控制,资金的调出、调入应当有真实的业务背景,严格按照授权进行操作,并及时划拨资金,登记台账。
第六十条 商业银行应当根据授信原则和资金交易对手的财务状况,确定交易对手、投资对象的授信额度和期限,并根据交易产品的特点对授信额度进行动态监控,确保所有交易控制在授信额度范围之内。
第六十一条 商业银行应当充分了解所从事资金业务的性质、风险、相关的法规和惯例,明确规定允许交易的业务品种,确定资金业务单笔、累计最大交易限额以及相应承担的单笔、累计最大交易损失限额和交易止损点。
高级管理层应当充分认识金融衍生产品的性质和风险,根据本行的风险承受水平,合理确定金融衍生产品的风险限额和相关交易参数。
第六十二条 商业银行应当建立完备的资金交易风险评估和控制系统,制定符合本行特点的风险控制政策、措施和定量指标,开发和运用量化的风险管理模型,对资金交易的收益与风险进行适时、审慎评价,确保资金业务各项风险指标控制在规定的范围内。
第六十三条 商业银行应当根据资金交易的风险程度和管理能力,就交易品种、交易金额和止损点等对资金交易员进行授权。资金交易员上岗前应当取得相应资格。
第六十四条 商业银行应当按照市场价格计算交易头寸的市值和浮动盈亏情况,对资金交易产品的市场风险、头寸市值变动进行实时监控。
第六十五条 商业银行应当建立资金交易风险和市值的内部报告制度。
资金交易员应当向高级管理层如实汇报金融衍生产品中的或有资产、隐含风险和对冲策略等交易细节。
第六十六条 商业银行应当充分考虑到极端的市场价格变动、市场流动性降低以及主要交易对手倒闭等问题,确定市场出现大幅异常波动和可能出现最坏情况时的应对措施。
第六十七条 商业银行应当建立对资金交易员的适当的约束机制,对资金交易员实施有效管理。
资金交易员应当严格遵守交易员行为准则,在职责权限、授信额度、各项交易限额和止损点内以真实的市场价格进行交易,并严守交易信息秘密。
第六十八条 商业银行应当建立资金交易中台和后台部门对前台交易的反映和监督机制。
中台监控部门应当核对前台交易的授权交易限额、交易对手的授信额度和交易价格等,对超出授权范围内的交易应当及时向有关部门报告。
后台结算部门应当独立地进行交易结算和付款,并根据资金交易员的交易记录,在规定的时间内向交易对手逐笔确认交易事实。第六十九条 商业银行在办理代客资金业务时,应当了解客户从事资金交易的权限和能力,向客户充分揭示有关风险,获取必要的履约保证,明确在市场变化情况下客户违约的处理办法和措施。
第七十条 商业银行资金业务新产品的开发和经营应当经过高级管理层授权批准,在风险控制制度和操作规程完备、人员合格和设备齐全的情况下,交易部门才能全面开展新产品的交易。
第七十一条 商业银行应当建立资金业务的风险责任制,明确规定各个部门、岗位的风险责任:
(一)前台资金交易员应当承担越权交易和虚假交易的责任,并对未执行止损规定形成的损失负责;
(二)中台监控人员应当承担对资金交易员越权交易报告的责任,并对风险报告失准和监控不力负责;
(三)后台结算人员应当对结算的操作性风险负责;
(四)高级管理层应当对资金交易出现的重大损失承担相应的责任。
第五章 存款及柜台业务的内部控制
第七十二条 商业银行存款及柜台业务内部控制的重点是:对基层营业网点、要害部位和重点岗位实施有效监控,严格执行账户管理、会计核算制度和各项操作规程,防止内部操作风险和违规经营行为,防止内部挪用、贪污以及洗钱、金融诈骗、逃汇、骗汇等非法活动,确保商业银行和客户资金的安全。
第七十三条 商业银行应当严格执行账户管理的有关规定,认真审核存款人身份和账户资料的真实性、完整性和合法性,对账户开立、变更和撤销的情况定期进行检查,防止存款人出租、出借账户或利用其存款账户从事违法活动。
第七十四条 商业银行应当严格管理预留签章和存款支付凭据,提高对签章、票据真伪的甄别能力,并利用计算机技术,加大预留签章管理的科技含量,防止诈骗活动。
第七十五条 商业银行应当对存款账户实施有效管理,与除储蓄存款以外的其他存款的所有人定期进行对账,并确保对账的适时有效。
第七十六条 商业银行应当对内部特种转账业务、账户异常变动等进行持续监控,发现异常情况应当进行跟踪和分析。
对异常现金存取和异常转账情况,应当采取设置标识等监控措施,必要时向有关部门报告。
第七十七条 商业银行应当对大额存单签发、大额存款支取实行分级授权和双签制度,按规定对大额款项收付进行登记和报备,确保存款等交易信息的真实、完整。
第七十八条 商业银行应当对每日营业终了的账务实施有效管理,当天的票据当天入账,对发现的错账和未提出的票据或退票,应当履行内部审批、登记手续。
第七十九条 商业银行应当严格执行“印、押、证”三分管制度,使用和保管重要业务印章的人员不得同时保管相关的业务单证,使用和管理密押、压数机的人员不得同时使用或保管相关 的印章和单证。
使用和保管密押的人员应当保持相对稳定,人员变动应当经主管领导批准,并办好交接和登记手续。
人员离岗,“印、押、证”应当落锁入柜,妥善保管。第八十条 商业银行应当对现金收付、资金划转、账户资料变更、密码更改、挂失、解挂等柜台业务,建立复核制度,确保交易的记录完整和可追溯。
柜台人员的名章、操作密码、身份识别卡等应当实行个人负责制,妥善保管,按章使用。
第八十一条 商业银行应当对现金、贵金属、重要空白凭证和有价单证实行严格的核算和管理,严格执行入库、登记、领用的手续,定期盘点查库,正确、及时处理损益。
第八十二条 商业银行应当建立会计、储蓄事后监督制度,配置专人负责事后监督,实现业务与监督在空间与人员上的分离。
第八十三条 商业银行应当认真遵循“了解你的客户”的原则,注意审查客户资金来源的真实性和合法性,提高对可疑交易的鉴别能力,如发现可疑交易,应当逐级上报,防止犯罪分子进行洗钱活动。
第八十四条 商业银行应当严格执行营业机构重要岗位的请假、轮岗制度,逐步推行离岗审计制度。
对要害部门和重点岗位应当实施有效管理,对非营业时间进入营业场所、电脑延长开机时间等应当办理审批、登记手续。
第六章 中间业务的内部控制
第八十五条 商业银行中间业务内部控制的重点是:开展中间业务应当取得有关主管部门核准的机构资质、人员从业资格和内部的业务授权,建立并落实相关的规章制度和操作规程,按委托人指令办理业务,防范或有负债风险。
第八十六条 商业银行办理支付结算业务,应当根据有关法律规定的要求,对持票人提交的票据或结算凭证进行审查,并确认委托人收、付款指令的正确性和有效性,按指定的方式、时间和账户办理资金划转手续。
第八十七条 商业银行办理结汇、售汇和付汇业务,应当对业务的审批、操作和会计记录实行恰当的职责分离,并严格执行内部管理和检查制度,确保结汇、售汇和收付汇业务的合规性。
第八十八条 商业银行办理代理业务,应当设立专户核算代理资金,完善代理资金的拨付、回收、核对等手续,防止代理资金被挤占挪用,确保专款专用。
第八十九条 商业银行应当对代理资金支付进行审查和管理,按照代理协议的约定办理资金划转手续,遵循银行不垫款的原则,不介入委托人与其他人的交易纠纷。
第九十条 商业银行应当严格按照会计制度正确核算和确认各项代理业务收入,坚持收支两条线,防止代理收入被截留或挪用。
第九十一条 商业银行发行借记卡,应当按照实名制规定开立账户。对借记卡的取款、转账、消费等支付业务,应当制定并严格执行相关的管理制度和操作规程。
第九十二条 商业银行发行贷记卡,应当在本行统一的授信管理原则下,建立客户信用评价标准和方法,对申请人相关资料的合法性、真实性和有效性进行严格审查,确定客户的信用额度,并严格按照授权进行审批。
第九十三条 商业银行应当对贷记卡持卡人的透支行为建立有效的监控机制,业务处理系统应当具有实时监督、超额控制和异常交易止付等功能。
商业银行应当定期与贷记卡持卡人对账,严格管理透支款项,切实防范恶意透支等风险。
第九十四条 商业银行受理银行卡存取款或转账业务,应当对银行卡资金交易设置必要的监控措施,防止持卡人利用银行卡进行违法活动。
第九十五条 商业银行发卡机构应当建立和健全内部管理机制,完善重要凭证、银行卡卡片、客户密码、止付名单、技术档案等重要资料的传递与存放管理,确保交接手续的严密。
第九十六条 商业银行应当对银行卡特约商户实施有效管理,规范相关的操作规程和处理手续,对特约商户的经营风险或操作过失应当制定相应的应急和防范措施。
第九十七条 商业银行从事基金托管业务,应当在人事、行政和财务上独立于基金管理人,双方的管理人员不得相互兼职。
第九十八条 商业银行应当以诚实信用、勤勉尽责的原则保管基金资产,严格履行基金托管人的职责,确保基金资产的安全,并承担为客户保密的责任。
第九十九条 商业银行应当确保基金托管业务与基金代销业务相分离,基金托管的系统、业务资料应当与基金代销的系统、业务资料有效分离。
第一百条 商业银行应当确保托管基金资产与自营资产相分离,对不同基金独立设账,分户管理,独立核算,确保不同基金资产的相互独立。
第一百零一条 商业银行应当严格按照会计制度办理基金账务核算,正确反映资金往来活动,并与基金管理人等有关当事人就基金投资证券的种类、数量等定期进行核对。
第一百零二条 商业银行开展咨询顾问业务,应当坚持诚实信用原则,确保客户对象、业务内容的合法性和合规性,对提供给客户的信息的真实性、准确性负责,并承担为客户保密的责任。
第一百零三条 商业银行开办保管箱业务,应当在场地、设备和处理软件等方面符合国家安全标准,对用户身份进行核验确认。
对进入保管场地和开启保管箱,应当制定相应的操作规范,明确要求租用人不得在保管箱内存放违禁或危险物品,防止利用商业银行场地保管非法物品。
第七章 会计的内部控制
第一百零四条 商业银行会计内部控制的重点是:实行会计工作的统一管理,严格执行会计制度和会计操作规程,运用计算 机技术实施会计内部控制,确保会计信息的真实、完整和合法,严禁设置账外账,严禁乱用会计科目,严禁编制和报送虚假会计信息。
第一百零五条 商业银行应当依据企业会计准则和国家统一的会计制度,制订并实施本行的会计规范和管理制度。
下级机构应当严格执行上级机构制定的会计规范和管理制度,确保统一的会计规范和管理制度在本行得到实施。
第一百零六条 商业银行应当确保会计工作的独立性,确保会计部门、会计人员能够依据国家统一的会计制度和本行的会计规范独立地办理会计业务,任何人不得授意、暗示、指示、强令会计部门、会计人员违法或违规办理会计业务。
对违法或违规的会计业务,会计部门、会计人员有权拒绝办理,并向上级机构报告,或者按照职权予以纠正。
第一百零七条 商业银行会计岗位设置应当实行责任分离、相互制约的原则,严禁一人兼任非相容的岗位或独自完成会计全过程的业务操作。
第一百零八条 商业银行应当明确会计部门、会计人员的权限,各级会计部门、会计人员应当在各自的权限内行事,凡超越权限的,须经授权后,方可办理。
第一百零九条 商业银行应当对会计账务处理的全过程实行监督,会计账务应当做到账账、账据、账款、账实、账表和内外账的六相符。
凡账务核对不一致的,应当按照权限进行纠正或报上级机构处理。第一百一十条 商业银行应当对会计主管、会计负责人实行从业资格管理,建立会计人员档案。
会计主管、会计负责人和会计人员应当具有与其岗位、职位相适应的专业资格或技能。
第一百一十一条 商业银行下级机构会计主管的变动应当经上级机构会计部门同意。
会计人员调动工作或离职,应当与接管人员办清交接手续,严格执行交接程序。
第一百一十二条 商业银行应当对会计人员实行强制休假制度,联行、同城票据交换、出纳等重要会计岗位人员和会计主管还应当定期轮换,逐步推行离岗(任)审计制度。
第一百一十三条 商业银行应当实行会计差错责任人追究制度,发生重大会计差错、舞弊或案件,除对直接责任人员追究责任外,机构负责人和分管会计的负责人也应当承担相应的责任。
第一百一十四条 商业银行应当做到会计记录、账务处理的合法、真实、完整和准确,严禁伪造、变造会计凭证、会计账簿和其他会计资料,严禁提供虚假财务会计报告。
第一百一十五条 商业银行应当建立规范的信息披露制度,按照规定及时、真实、完整地披露会计、财务信息,满足股东、监管当局和社会公众对其信息的需求。
第一百一十六条 商业银行应当完善会计档案管理,严格执行会计档案查阅手续,防止会计档案被替换、更改、毁损、散失和泄密。
第八章 计算机信息系统的内部控制
第一百一十七条 商业银行计算机信息系统内部控制的重点是:严格划分计算机信息系统开发部门、管理部门与应用部门的职责,建立和健全计算机信息系统风险防范的制度,确保计算机信息系统设备、数据、系统运行和系统环境的安全。
第一百一十八条 商业银行应当明确计算机信息系统开发人员、管理人员与操作人员的岗位职责,做到岗位之间的相互制约,各岗位之间不得相互兼任。
各级机构应当配备计算机安全管理人员,明确计算机安全管理人员的职责。
第一百一十九条 商业银行应当对计算机信息系统的项目立项、开发、验收、运行和维护整个过程实施有效管理,开发环境应当与生产环境严格分离。
技术部门与业务部门之间应当进行沟通协调,确保系统的整体安全。
第一百二十条 商业银行购买计算机软、硬件设备,应当对供应商的资格条件进行严格审查,在使用前进行试用性安全测试,明确产品供应商对产品在使用期间应当承担的责任,确保产品的正常使用和有效维护。
第一百二十一条 商业银行计算机机房建设应当符合国家的有关标准,出入计算机机房应当有严格的审批程序和出入记录,确保计算机硬件、各种存储介质的物理安全。计算机机房和营业网点应当有完备的计算机监控系统,确保计算机终端的正常使用。
第一百二十二条 商业银行应当建立和健全网络管理系统,有效地管理网络的安全、故障、性能、配置等,并对接入国际互联网实施有效的安全管理。
第一百二十三条 商业银行应当对计算机信息系统实施有效的用户管理和密码(口令)管理,对用户的创建、变更、删除、用户口令的长度、时效等均应当有严格的控制。
员工之间严禁转让计算机信息系统的用户名或权限卡,员工离岗后应当及时更换密码和密码信息。
第一百二十四条 商业银行应当对计算机信息系统的接入建立适当的授权程序,并对接入后的操作进行安全控制。
输入计算机信息系统的数据应当核对无误,数据的修改应当经过批准并建立日志。
第一百二十五条 商业银行应当及时更新系统安全设置、病毒代码库、攻击特征码、软件补丁程序等,通过认证、加密、内容过滤、入侵监测等技术手段,不断完善安全控制措施,确保计算机信息系统的安全。
第一百二十六条 商业银行的网络设备、操作系统、数据库系统、应用程序等均应当设置必要的日志。
日志应当能够满足各类内部和外部审计的需要。
第一百二十七条 商业银行应当严格管理各类数据信息,数据的操作、数据备份介质的存放、转移和销毁等均应当有严格的管理制度。第一百二十八条 商业银行运用计算机处理业务,应当具有可复核性和可追溯性,并为有关的审计或检查留有接口。
第一百二十九条 商业银行的电子银行服务应当具备客户身份识别、安全认证等功能,防止发生泄密事件,确保交易安全。
第一百三十条 商业银行应当尽可能利用计算机信息系统的系统设定,防范各种操作风险和违法犯罪行为。
第一百三十一条 商业银行应当建立计算机安全应急系统,制定详细的应急方案,并定期进行修订和演练。
数据备份应当做到异地存放,条件允许时,应当建立异地计算机灾难备份中心。
第九章 内部控制的监督与纠正
第一百三十二条 商业银行应当指定不同的机构或部门分别负责内部控制的建设、执行和内部控制的监督、评价。
内部控制的建设、执行部门负责设计内部控制体系,组织、督促各业务部门、分支机构建立和健全内部控制。
内部控制的监督、评价部门负责组织检查、评价内部控制的健全性和有效性,督促管理层纠正内部控制存在的问题。
第一百三十三条 商业银行应当建立内部控制的报告和信息反馈制度,业务部门、内部审计部门和其他控制人员发现内部控制的隐患和缺陷,应当及时向管理层或相关部门报告。
第一百三十四条 商业银行内部控制的监督、评价部门应当对内部控制的制度建设和执行情况定期进行检查评价,提出改进 建议,对违反规定的机构和人员提出处理意见。
第一百三十五条 商业银行上级机构应当根据自身掌握的内部控制信息,对下级机构的内部控制状况定期作出评价,并将评价结果作为经营绩效考核的重要依据。
第一百三十六条 商业银行应当建立内部控制问题和缺陷的处理纠正机制,管理层应当根据内部控制的检查情况和评价结果,提出整改意见和纠正措施,并督促业务部门和分支机构落实。
第一百三十七条 商业银行应当建立内部控制的风险责任制:
(一)董事会、高级管理层应当对内部控制的有效性负责,并对内部控制失效造成的重大损失承担责任;
(二)内部审计部门应当对检查发现问题隐瞒不报、上报虚假情况或检查监督不力,承担相应的责任;
(三)业务部门和分支机构应当及时纠正内部控制存在的问题,并对出现的风险和损失承担相应的责任;
(四)高级管理层应当对违反内部控制的人员,依据法律规定、内部管理制度追究责任和予以处分,并承担处理不力的责任。
第十章 附则
第一百三十八条 本指引适用于在中华人民共和国境内依法设立的中资、外资商业银行。
政策性银行、金融资产管理公司、邮政储蓄机构、城乡信用社、信托投资公司、企业集团财务公司、金融租赁公司等其他金 融机构参照执行。
第一百三十九条 中国人民银行依据本指引对商业银行作出的内部控制评价结果是商业银行风险评估的重要内容,也是中国人民银行进行市场准入管理的重要依据。
第一百四十条 本指引由中国人民银行负责解释。
第一百四十一条 本指引自公布之日起施行。中国人民银行发布的《加强金融机构内部控制的指导原则》同时废止。
第四篇:英国商业银行内部审计
一、英国商业银行内部审计的主要特征
笔者认为,英国商业银行的内部审计理念、组织架构和方法体系主要有三个特征:
(一)完善的银行大监管体系为内部审计创造了良好的控制环境
控制环境是指对建立、加强或削弱特定的政策程序及其效率产生影响的各种因素。它是一种氛围,是内部控制其他要素发挥作用的基础,影响控制环境的因素是多方面的。对英国的商业银行而言,其良好的控制环境主要得益于一个完整有效的银行大监管体系。此体系由内外两个部分构成:外部监管包括金融法规、中央银行监管及银行外部独立审计;内部控制包括商业银行的内部控制制度和内部审计。内部控制分为内部会计控制和内部管理控制两个部分,它是一个过程,这个过程是通过纳入管理过程的大量控制制度及控制活动来实现的。要确保内部控制制度被确实地执行且执行效果良好,内部控制能够随时适应新的情况等,内部控制就必须被监督,在内部控制被监督的过程中,有二种活动能够发挥作用,一是“内部审计”,二是企业内部定期或不定期的“控制自我评估”,其中内部审计既是内部控制的一部分,也是监督其他控制环节的主要力量。英国大监管体系,既为英国商业银行内部审计的现实运作提供了强有力的实务指导和法律保证,也为其不断克服危机长期发展提供了理论依据和制度框架。
事实上,英国商业银行内部审计的每一次重大进展,无不留下英国商业银行所面临危机的烙印,无不得益于大监管体系的具体指导。如1984年约翰逊·马斯银行(Johnson Mathey Bank)倒闭催生的《1987年银行法》,对银行的内部审计进行了原则性的规定,同时在英格兰银行的“原则报告”(Statement of Principles)及其监管指南中规定银行内部审计机构的工作包括:检查银行的会计处理系统,其他记录体系及内部控制环境;检查内部控制系统的恰当性、有效性、涵盖范围;测试各种交易及余额的情况,每个内部控制程序的运作,以保证内控目标的实现;检查银行管理政策和方针的实施情况;以及为管理当局提供特定的调查和检查。又如1991年国际商业信贷银行(BCCl)和1995年巴林银行的破产,促使英国监管当局进一步提出了强化内部审计的指导意见:
1、为了保证银行关键的问题和弱点能及时地得到解决,同时确保计划和资源配置具有全局性,内部审计必须由银行决策层成员之一直接领导和管理;
2、内部审计人员应当与外部审计人员在业务方面进行密切的合作,并及时向外部审计人员通报发现的问题;
3、内部审计报告应当涉及内部控制的薄弱环节,并注明管理部门相应的改进计划和时间进度表;
4、英格兰银行应当与商业银行内部审计部门和审计委员会主席进行会商。正是由于大监管体系的强有力支持,保证了内部审计在英国商业银行中的合理地位,促进了其在现代商业银行风险防范领域中发挥出不可替代的作用。
(二)科学的目标定位和职责分工为内部审计发挥建设性作用提供了良好的内部保证。德勤国际会计师事务所将英国商业银行内部审计定义为:用来评估控制的充分性和有效性并且增加价值和提高组织的运作的一个独立的,客观的确保和咨询行为。其目标定位包括六个方面的内容:
1、控制体系的充分性和有效性;
2、信息的可靠性和完整性;
3、符合政策、计划、程序、法律和法规;
4、资产的保卫;
5、经济而有效的使用资源;
6、目标和任务的完成。
从内部审计的上述定义及其定位来看,其职能包含两个层面的内容:一是为管理层提供全面综合的内部审计信息。这主要通过内部审计以独立和专业的方式,对内部控制系统的适当性、效力和效率以及管理的质量进行检查和评价来完成。二是内部审计应当融入经营管理全过程,但不参与决策以保持自身的独立性。也就是说,管理层负责承担设计、建立、运转银行内控系统的责任,内部审计负责承担对其工作进行分析、评价并提出建议或咨询的责任。
科学的目标定位和职责分工,保证了内部审计部门能够适应形势的变化和管理当局的新要求,逐步将工作内容从传统的查错防弊审计转向富有建设性的现代经营审计(经营活动的评价和改进)。传统内部审计的目标是查错防弊,发挥保护性制约性作用,因而其工作重点放在财务审计上。而以查错防弊为重点的内部审计既不能直接协助企业提高经济效益,增强竞争能力,又容易导致内审部门重视了细枝末节,忽略了主要风险,而且还代替管理层履行了其应当履行的职责。因此,英国商业银行内部审计部门目前很少开展诸如财务收支审计、雇员欺诈行为调查之类的制约性审计,而是将工作重点致力于改进管理效率、增加企业利润等建设性审计上。其他发达国家的情况与英国相似,据全美天然气协会和爱迪生电力协会调查,1989年美国公用行业的企业内审工作时间只有19%用于财务审计上(且还侧重于内部会计控制的测试和评价),其余时间都转向了经营审计。反映到理论界,这一转变过程可从国际内部审计师协会(11A)颁布的《内部审计师职责说明书》对内部审计所下定义的变化中清楚地反映出来。该协会于1947年最初发布的《职责说明书》指出:“内部审计师主要处理会计和财务方面的问题,但也可以适当处理经营方面的问题。”这时,强调内部审计人员的根本职能是进行会计和财务审计,审计对象刚刚涉足经营活动领域。1957年修订后的《职责说明书》指出,“内部审计是组织内部审核会计、财务及其它经营活动的独立评价行为”,从而将经营审计和财务审计并列起来,同等重视,向前迈进了一大步。1971年,协会再次修订《职责说明书》时进一步指出“内部审计作为对管理当局的一种服务,是组织内部审核经营活动的独立评价行为。”这就将现代内部审计的活动范围扩展到组织活动的每一个方面,大大拓宽了内部审计的作用领域。此外,1971年的《职责说明书》还为内部审计师增加了一项新的职责,即“提出改善经营的建议”,从而极大的增强了内部审计工作的建设性。此后,协会于1981年和1993年修订《职责说明书》时更明确地指出,内部审计师应评价所在企业各方面的经营与管理活动,从增强企业整个内部控制系统的效能着眼,为企业的董事会和经理层提供实现经营目标所需的顾问服务。
内部审计内容从财务审计转向经营审计为主导,这是英国,乃至整个西方商业银行现代内部审计理念的最显著特点,而这又恰恰是建立在内部审计目标和职责的准确定位基础上的。(三)现代化的审计方法体系为内部审计提供了科学的技术保障
1、风险评估与控制方法的运用使内审能够科学安排审计频率和审计周期。
英国商业银行的内部审计,从审计计划、审计程序的制订到具体实施均以防范风险为核心,各项审计技术操作以防范风险为目标、以风险评估系统的结果为依据来构造的。风险评估的结果成为整个审计工作的计划起点,同时又将最终的审计结果反馈到风险评估系统中,从而形成动态循环。一个完整的风险评估系统通常由一系列的经营指标和各类主要风险要素,以及相应建立的风险模型或风险矩阵及其评估结果构成。
以嘉诚集团风险评估系统——“红黄绿”交通指示灯系统为例,其在审计计划阶段,通过该系统的评估结果,合理分配审计资源,科学安排审计频率和周期。首先,根据风险发生的载体不同,按分支机构和各种业务分类相结合,将所有被审计的单位和业务划分为若干可审计的单元;其次,是汇总每个单元的有关风险因素的风险评估得分,从而得到其风险总分并归人相应的高、中、低三级(其中高风险为301— 500分,中等为251—300分,低风险为100—250分);再次,是结合上次审计时间归人相应的“红黄绿”指示灯区域(红灯区为„高风险且距上次审计超过2年,或中等风险且距上次审计超过3年‟;黄灯区为„高风险且距上次审计不超过2年,或中等风险且距上次审计在2—3年,或低风险且距上次审计超过3年‟;绿灯区为„中等风险且距上次审计小于2年,或低风险且距上次审计小于3年‟),最后,据此确定具体的审计频率、审计人员数量和时间以及经费预算,以优先满足红灯区和黄灯区的审计,从而确保了所有重大的风险事项得到了优先的审计,使有限的审计资源投入到了最能实现审计价值的领域。
在审计实施阶段,通过内部控制评价方法和风险分析方法等,实时确定和调整审计范围和深度以及具体采用的审计程序,分析确定所涉及的风险因素,评估固有风险,根据内部控制状况评估控制风险,同时进一步确定检查风险,为测试和抽样提供依据,从而达到降低审计风险、提高审计质量和审计工作效率的目的。
2、网络和计算机等电子化风险控制手段的运用,确保了审计监控覆盖风险的事前、事中、事后全方位全过程。
西方商业银行危机案例表明,道德风险(Moral Hazard)的存在,即使是最严密的内控制度也难以防范。英国商业银行为了有效控制经营管理中的失误尤其是人为因素造成的失误,将电子化控制作为审计监督风险防范机制的有机组成部分,形成了从风险识别、风险控制、到风险挽救的事前、事中、事后全方位全过程审计监督体系。例如参与本次授课的艾比银行,就通过与其外部战略伙伴共同开发的“桌面上的审计”这一电算化系统,实现了对用于衡量下属分行表现的重大控制指标的实时跟踪记录,从而使其审计重点由审计所有的分行转移到测试整个系统,确保其审计能够覆盖所有存在问题的领域。与此相类似,德意志银行开发的风险审计监督系统(Gxxs系统),甚至具备对全球各分行每项金融衍生交易进行同步审计的强大功能。通过对可能的风险进行细分,由该系统按照不同的层次、环节、部门进行计算机自动控制,相互核对和授权管理,保证了业务的准确安全运行,防止风险的发生,实现了从“人员之间相互牵制的控制”向“风险细分下的计算机控制”转变。现代化审计手段的运用,不仅仅使非现场审计真正成为了一种可行的审计方式,大大提高了审计监管的效率,其特别重要的意义还在于有效地在事前及事中就控制住了最难控制的“人为”风险因素。
另外,英国商业银行的审计部门还专门配备或外聘信息技术方面的人员或机构,对银行计算机系统进行监控检查,并对重要的业务软件项目开发进行审计,如对项目开发人员资格、开发程序与制度政策、应急措施、安全措施等方面进行审查和质询,并适时提出改进建议。
3、大量运用数学模型、定量分析促使其内部审计实现了审计技术方法的模块化、规范化、标准化。
此次学习考察的内部审计监控所采用的方法体系,代表着目前国际上最先进的管理水平。他们运用的一些数学模型和定量分析技术,有不少受到了国际清算银行巴塞尔委员会以及国际内部注册审计师协会的认同,成为银行内部审计监控技术发展的导向标;另一方面,这些方法体系也体现了英国商业银行非常善于将其长期实践经验进行理论升华,进而体现了他们高度的创新能力,例如,为完成经营审计确定的审计目标,在审计实践中逐步建立和形成了内部控制制度的评价方法体系、经营风险的识别、衡量与评估方法体系、数理统计和系统分析方法体系、计算机审计技术方法、审计风险控制技术等方法体系,都是以定量分析为基础的。模块化、规范化、标准化的审计技术方法,已经成为其内审部门保证审计质量和统一作业标准的重要手段。
二、中英商业银行的内审比较
与英国商业银行的内审相比较,我国商业银行的内审从建立的方式、目的、服务的对象,到内审的体制、目标、职能、性质都有自己的特色。
(1)中国商业银行内部审计从建立的目的到建立的方式都有别于英国。英国商业银行内部审计是企业为了自身生存、竞争和发展的需要,自发地建立起来的,经历了从最初的以保护企业财产为目的的财务审计到现代经营审计和管理审计这一长达半个多世纪的历程。中国的内部审计制度则是国家根据经济体制改革后出现的新形势,为强化审计监督体系,建立和健全企业自我约束机制,用行政手段自上而下建立的。因此,从一开始就采取了两条腿走路的方针,把财经法纪审计和经济效益审计同时作为中心工作去抓,起点比较高但却在目标设置、运作方式、操作技术等各个方面都带有很深的国家审计的烙印,履行了大量的国家审计的职能。
(2)内部审计的体制也不尽相同。一是体现在企业法人治理结构方面。英国商业银行一般均为拥有现代企业制度的组织形式,组建了由股东会、董事会、监事会和经理层组成的“四位一体”的企业法人治理结构,与此相适应,内部审计被设计为监督机构而与权力机构、执行机构相互分离、相互制衡;我国实行的是统一法人、授权法人下的组织架构,内部审计是与其他业务部门平行的管理部门;二是体现在组织架构方面。英国商业银行的内部审计是由直接对董事会负责的审计委员会领导,下设内控、合规、审计部门各负其责,而我国实行的是统一领导,分级负责的组织架构,审计接受行长的领导且缺少独立的合规部门和内控部门;三是体现在所需要重点监督风险点的分布上。英国商业银行实行的是总分行二级制,其风险主要集中在总分行的决策领域,而我国商业银行包括总行、一级分行、二级分行、县支行四级制,从目前案件和投诉的情况看,风险主要集中在基层操作领域。
(3)内部审计的目标定位不同。英国商业银行的内部审计是服从于企业生存、发展需要的,只需对本企业负责。我国商业银行的内部审计是社会主义审计监督体系中的一个组成部分,既要服从于本单位加强内部控制、提高经济效益的需要;也要服从国家加强对财务收支的监督,维护财经法纪的需要。因此,英国内审的目标主要定位于提高企业的价值,其工作重心主要是更具有建设性的经营审计方面,而我国内审的目标主要定位于查错防弊,主要开展合规合法性审计,以及从严格意义上说不属于审计工作职能范围的行长离任经济责任审计(人民银行要求:商业银行内审部门出具离任审计报告)等方面。
(4)内部审计的职能不尽相同。英国内部申计最主要的职能是评价、而中国内部审计最重要的职能是监督。其原因主要是由于,在大监管体系下,英国商业银行内部控制体系一般意义上都是较为完善,并且运作良好的,合规性问题不成为其需要监督的主要问题,也不是其最需要监督的主要风险领域,其审计的重点只需要定位于对整个内控体系的评价上;而在我国,商业银行法人治理结构尚未最终建立,商业银行的内控体系尚处于完善阶段,违规经营的情况仍时有发生,商业银行内部审计不得不承担更多的监督职能。
(5)与政府审计、社会审计的关系不同。英国商业银行的内部审计与国家审计没有任何联系,更谈不上接受国家审计机关的指导,而与社会审计的关系则比较密切。在我国,商业银行的内部审计归属国家审计机关领导,服从于其制定内审工作战略目标及实现这个目标的总方针、总政策,接受各级审计机关的指导。中国的部门、企事业单位的内部审计,目前,与社会审计的联系尚不密切。其原因主要是由于英国的商业银行绝大部分都是股份制银行及上市公司,接受社会审计的监督有法律方面的规定,而我国商业银行目前绝大多数不是上市公司,也很少接受社会审计的监督。
三、借鉴英国商业银行内审经验的对策思路
正是由于中英两国内部审计是如此的不同,对其有关理论和方法的确不可能全盘照搬照抄,但是,即使有的目前暂时还不具备实施条件,但其许多先进科学的理念、技术方法和具体做法仍然值得我们深入思考和学习借鉴。个人认为,我行应当从体制、管理、人才、技术四个方面采取相应的具体对策,以强化全行的内审工作:
(一)体制对策:完善监督体系,提高内控水平
我行的内部审计体制改革,较其他国有商业银行是领先一步的,其标志性成果之一,就是基本建立了总分行分级监管、向上一级负责的相对垂直的审计体系,形成了接近国际惯例的内部审计组织架构,进一步强化了审计监督机制。在新的体制下,内部审计面临着外部监管部门对内审日益增加的监管要求,以及二级分支行缺少独立的内控及合规部门等新的情况。个人认为,内审作为内部控制机制的一个重要力量,其体制的进一步完善,必须考虑内审面临的新情况,满足三个层次的需要:首先是要与国有商业银行法人治理结构的改革相适应,其次是要与内部控制体系相匹配,第三是要与最高管理层对风险监管的要求相一致。具体设想是,在目前的全行管理架构下进一步完善现行内审体制,既要保持内审的独立性,又要保证风险的监控力度,可以考虑的措施:一是进一步强化全行内控体系,重点是会计控制体系和管理控制体系,构建其与内部审计之间清晰的职责“层次顺序”、流畅的“信息沟通”渠道、有效的“协调合作”体系;二是在二级分支行以下设立独立的合规部门,与内部审计相互呼应,加大对基层操作风险的监管力度。
(二)技术对策:革新审计技术,拓展审计领域
第一,引入风险导向审计,提高内审质量。在审计工作进行前,就要进行风险评估,并据此来选定审计项目,并提出如何降低审计人员在审计过程中没有辨认错误环节的可能性,及时发现可能导致审计风险出现的各种因素的风险规避对策;在审计实施阶段,通过内部控制评价方法和风险分析方法等,实时确定和调整审计范围和深度以及具体采用的审计程序,分析确定所涉及的风险因素,评估内外部导致的固有风险,根据内部控制状况评估控制风险,同时进一步确定检查风险,为测试和抽样提供依据,从而达到降低审计风险、提高审计质量和审计工作效率的目的,并确保有限的审计资源投入到最需要审计监督的领域。
第二,引入自动控制理念,革新内审手段。从现在开始,业务部门在设计软件系统时,就应当在各个关键部位、关键环节预留“计算机控制”的设置,利用现代信息和网络技术,实行业务控制的“自动化、计算机化”,实现风险的事前、事中防范,以减少审计监督的强度,避免道德风险;审计部门则应当进一步开发和利用审计软件,加大计算机辅助审计的比重。一方面,通过开发和利用风险评估、内部控制状况评价、业务数据分析及标准化的审计底稿等专门的审计软件,使风险评估、数据分析等一系列审计操作实现自动化,提高现场审计的工作效率。另一方面,实行非现场审计与现场审计监督的有效结合,实施对审计对象的连续、动态监控,以保证审计监督的及时性。
第三,拓展审计领域,发挥建设性作用。随着金融创新的深化和发展,金融服务的领域越来越广泛,同时,市场需求向金融服务提出了更高要求。为了满足客户的要求,银行往往根据市场情况设计出更加全面的金融工具和产品,如电话银行、家居理财、投资银行、网上银行、信息咨询、投资评估、财务顾问等。内部审计的范围也随之更加广泛,其职能作用也相应拓展。这就需要不断追踪全行业务经营的风险点,实施能够涵盖事前、事中、事后的全方位全过程的审计风险监控。
(三)人才对策:更新监督观念,培养创新意识
首先,在审计观念上,要积极树立顾问咨询的审计理念。内部审计人员要充分认识到,内审是银行管理的顾问,而不是巡逻的警察,更不是内部敌人。英国商业银行现代内部审计理念的核心是,内审人员不仅要善于发现问题,而且更要善于解决问题,并要将所提建议当作本部门的服务产品向管理当局积极推销,以大大提高审计的效果。其精髓则是参与式审计,即在整个审计过程中努力与被审对象保持良好的人际关系,共同分析错误和问题的实际及潜在影响,一起探讨改进的可行性和应采取的措施,从而充当经营管理人员加强内部控制、改善经营管理、完成其所负经济责任的参谋和助手。
其次,在审计策略上,采取参与、合作的方式。(1)在审计开始时,就对被审部门抱着信任态度,与他们讨论审计目标、审计内容、计划采取某些审计程序和方法的理由,以取得他们的理解和支持;(2)征求被审部门的意见,寻求他们的合作;(3)及时与当事人讨论审计中发现的问题,共同分析改进的必要性,并探讨改进的可行措施;(4)向被审部门报告期中审计结果,期中审计报告可以是口头的,非正式的,以便及时就地解决和改正存在的问题,避免发生更大的损失;(5)提出最终审计报告时,采用建设性的语调,重点放在问题产生的原因和可能造成的影响、改进的可能性和改进措施上,被审部门已经采取的改进行动也包括在审计报告中,以反映他们对审计工作的积极态度。
再次,在审计模式上,采取了解决问题导向型的审计方式。即鼓励被审部门的人员在审计过程中提出所关心的问题;在编写审计报告时使用正面而非责难性的措辞,对薄弱环节和存在的问题指明可改进的机会,不简单地予以暴露;只向被审部门提供其需要的有用信息;针对不同层次管理人员的不同需要,提出不同的审计报告。其中,反映重大审计问题的报告和审计总结报告呈现送最高管理当局,以便获得他们的支持、协调和授权;而详细性的审计建议报告则直接送给部门经理或第一线管理人员,以便及时采取措施,就地改进问题。内审部门采取这种新型的审计方式改善了与管理人员的关系,增强了内部审计工作的主动性和建设性,提高了公司生产率和盈利能力。
最后,在审计成果运用上,注重将审计结果的传递作为向管理当局提供服务和帮助的一种良好机会。实践证明,审计报告中所提问题是否受到重视,所提建议能否付诸实施,直接取决于管理当局的兴趣和决心,而公司管理当局的兴趣和决心又与审计报告的吸引力。即审计报告的质量和编送艺术有很大关系。因此,英国商业银行内审部门在编送审计报告时,很重视事实的准确性、清晰性、建议的可行性、内容的重要性及报送的及时性。同时,为使审计结论和审计建议易于理解和令人印象深刻,审计人员还要注重通过图表、照片、幻灯等直观形象的手段来阐述情况,争取管理当局的重视和支持,通过更富建设性服务扩大审计效果以巩固、提高其组织地位。
(四)管理对策:倡导国际接轨,构筑标准体系
一是积极借鉴国际先进经验。随着审计体制的不断改革、完善,配套的审计方法、技术也迫切地需要上升到新的高度,应积极吸收和借鉴国际最新知识。骆驼评级体系是国际上广为运用的一种针对金融机构的综合评价体系,包括资本(Cap ital)、资产质量(Asset Qulity)、管理(Management)、收益(Earning)、流动性(Liquidity)和市场风险敏感度(Sensitivity to MarketRisk)6个指标,骆驼评级(CAMELS)取自于这6项指标的英语缩写。通过对6项指标进行打分评判,以确定金融机构经营的安全性。此套体系对审计的评审方向及审计流程都作出了较详细的规定,在当前建行正积极地向全功能国际商业银行转轨的关键时期,借鉴此种体系与银行的内部审计相结合,运用国际标准对银行内部机构进行审计,对于全面反映建行整体经营状况、风险程度、管理水平、可持续发展能力等方面具有重要意义。
二是密切关注《新巴塞尔资本协议》。《新协议》在原来的基础上将最低资本要求、监管部门的监督检查过程和市场纪律结合在一起,构成了三大支柱,更加强调银行自身的内部风险控制和管理,同时对银行风险也做了重新划分,突出了信用风险的重要性,并提出了《信用风险内部评级法》。这些改变使国有商业银行面临着巨大的挑战,没有真正的内部评级制度和监管手段的落后是其中的重要原因,《新协议》的实施将推进建行规范化经营,真正实现与国际接轨。同时对内部审计工作也是一种新的激励,提出了更高的标准,要求内审工作应符合新时期的经济特点,运用市场的手段和方法对银行内部进行有效的监管,增强风险意识,最终对全行的经营状况起到良性促进作用。所以,不断更新、扩充知识与国际接轨,既符合新时代经济特点,又是我行早日成为国际性商业银行的助推器。
三是积极总结提炼已被证明是行之有效的审计方法,形成规范化的审计模型。英国商业银行非常注重利用一些数理分析模型来总结和抽象自己的长期经验,这不仅使他们在管理方式的创新上始终处于领先地位,而且也为他们的长期业务经验的传承创造了合适的载体,还为其内审工作的规范化、模型化、标准化提供了手段。与之相比较,缺少深度数理分析是我行审计业务管理中的一个不足之处。目前,这种科学抽象程度较高的非常规事务性工作,仍被视为一种没有多少实际意义的事情来看待,我们的管理人员(包括总行和一级分行)几乎全部要集中在事务性工作的第一线,管理队伍的阵形压得很扁,后方相对就变得空虚。而开发性的工作,恰恰是要由后方的决策支持性组织来完成的。所以,我们应当适当地拉长管理阵形,将日常管理事务和管理模式创新工作从机制和机构上分开,建立全行审计业务的参谋支持机构,以便切实有效地推动我行审计业务管理水平的提高。
第五篇:商业银行内部审计研究
南开大学成人高等教育
本科生学位论文
商业银行内部审计研究
摘要
日趋复杂的经营环境使得我国商业银行面临着严峻考验,内部审计成为商业银行应对激烈竞争的有效手段和重要保障,然而商业银行的内部审计管理还存在不少弊端。本文就此全面分析了我国商业银行内部审计的现状和存在的问题,并提出了相应的应对措施和建议。最后通过研宄农业银行内部审计存在的问题,提出改善该行内部审计的一些举措,这对完善农业银行内部审计机制,提高农业银行内部审计水平有着现实的指导意义,也对其它国有商业银行完善内部审计机制,提高内部审计水平有着借鉴意义。
关键词:商业银行 内部审计 内部审计风险
目 录
一、前言.....................................................................................................1
(一)研究背景和意义......................................................................1
(二)银行内部审计概述..................................................................2
二、我国商业银行内部审计的现状及存在的问题................................2
(一)银行内部控制存在严重漏洞.................................................2
(二)内部审计局限性大,独立性弱.............................................3
(三)审计技术和审计理念的落后.................................................3
(四)人员素质有待提高..................................................................4
三、提高我有商业银行内部审计的解决对策........................................4
(一)健全内部控制体系,防止内部审计出现漏洞.....................4
(二)改进和创新内审的理念合技术,加强内审的独立性.........5
(三)完善内审的体系,提升审计人员业务水平.........................5
(四)提高内部审计人员素质.........................................................6
四、案例分析.............................................................................................6
(一)苏州银行基本情况..................................................................6
(二)苏州银行内部审计问题分析.................................................6
(三)完善公司治理中苏州银行内部审计的建议.........................9
五、结论...................................................................................................12 参考文献...................................................................................................13
商业银行内部审计研究
一、前言
(一)研究背景和意义
对于任何一个国家来说,金融都是经济的核心,特别是在当前我国政府给与经济发展大力支持的背景下,城市商业银行抓住发展的机遇,不断探索全新发展模式,追求创新,追求风险管理的完善。现阶段,在我国金融行业当中,城市商业银行己经占有重要的地位,并且是最具活力的新生力量,是不可小觑的。相对于城市商业银行成立之初来说,我国城市商业银行己经取得跨越式的发展以及长足的进步,但由于各种历史原因和先天不足,城市商业银行相对于其他类型银行来说,各种方面仍有些薄弱。近些年来,金融业间竞争越来越激烈,城市商业银行在经营中出现种种问题。例如过于重视经济利益忽略了内部审计以及风险的防范与控制,内部审计的合规方面不完善,制度也相对不健全,外部环境有待于进一步净化等问题日益突显,城市商业银行内部审计在这种环境下面临着巨大的挑战。201]年的在山东齐鲁银行发生的涉及到贷款的巨额诈骗案和2009年在宁波银行(上海分行)发生的涉及到存款的诈骗案,都从各个方面显示出了城市商业银行内部审计上存在种种问题,追宄其根本原因,主要是城市商业银行对内部审计不重视所导致的,因此在以后的发展中需要加大对内部审计的重视。由巴塞尔银行监督委员会提出的新资本协议在2004年7月全球范围内公幵,新的协议对于商业银行的内部审计工作进行了更专业、更高要求的提出,要求银行内部审计工作应符合现在全球的经济特点,客观、独立自主的实施保证和咨询活动,对风险管理和控制过程以及银行治理进行系统、规范的评价,这是为了更好的体现内部审计的作用,同时向银行的董事会和高管人员提出更有价值的管理信息,我国己经加入国际清算国行列,而新资产协议己经于2006年在十国集团中开始实施,作为清算国的一员,我国必须实施新资产协议。综上所述,为了适应国际金融的发展浪潮,控制我国城市商业银行日常运营风险,必须在现有的情况下大力发展内部审计,防范金融风险。基于以上背景,对城市商业银行内部审计相关情况及完善对策就行深入研究。
(二)银行内部审计概述 1.银行内部审计的定义
内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现[1]。银行内部审计是组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的真实性、合法性和有效性来促进组织目标的实现,重心由事后评价转向事前风险管理和对过程的控制。
2.内部审计的作用
内部审计人员按照我国的法律及财经法规,以及本部门、本单位的有关规定,对本部门、本单位的财政、财务收支和各项经济活动的真实、合法、效益进行监督检查,促使本部门、本单位的经济活动在合法、效益的轨道上运行,对各种违法、违规现象起到一定的制约作用,保护国家和本部门、本单位的利益。
内部审计人员通过对本部门、本单位的经济活动及财务收支情况进行事前、事中和事后审计,对本部门、本单位的内部控制制度的健全性和有效性进行审计,保护合法、抑制非法,加强防护措施,防止本部门、本单位的合法权益受到侵害。
随着改革的不断深化,各部门、各单位都有着较强的经济自主权,甚至各部门、各单位的下属机构、单位都有着一定范围内相对较强的经济自主权。因此,内部审计需要在一定期间对本部门、本单位及其下属机构和单位在经济效益、内部法规、财务收支的合理性等方面做出公正的评价和鉴证,特别是干部经济责任离任审计必须依靠具有相对独立性的内部审计机构来进行公平、客观的评价[2]。
二、我国商业银行内部审计的现状及存在的问题
(一)银行内部控制存在严重漏洞
目前,我国国有商业银行所采取的不合理的监督制度和监督力度导致银行内部控制存在严重漏洞,同时这些缺陷给某些心存杂念的员工有了可趁之机。由监督制度缺陷所引起的犯罪案件有很多,比如说2007年邯郸农业银行金库近5100 万现金被盗,就直接反应了内部控制存在着严重漏洞。内部管理漏洞造成的风险隐患比比皆是。据了解,去年,银监会共派出检查人员5236人,对四大银行总 [1]王稳,王旭阳.国有商业银行内部审计的现状与对策[J].审计研究,2004(7):112-120 [2]唐春华,王江渝.商业银行行长经济责任审计的内容[J].中国审计信息与方法,2007(8):56-59
行及其营业部、各省分行和部分二级分行等988个营业性机构进行了现场检查。最终,银监会对157家违规机构和1841名违规人员进行了处理。内部控制存在的漏洞以及相关的不必要监督检查工作,严重的影响了商业银行的运营安全,大大的提高了运营成本。
(二)内部审计局限性大,独立性弱
目前,我国大多数商业银行尚未建立起独立的内部审计体系,即使是较为正规的银行,内审也仅仅是对经营管理层负责,它的权限受到了很大的限制,导致监督和审计只能浮于表面,在形式上花足功夫,却没起到实质性的效果。例如2006年银行第一大案的中国银行双鸭山四马路支行的9.146亿元承兑汇票大案。该批汇票的盗用人朱德全从2003年起先后以各种名义盗用承兑汇票96张,共计金额9.146亿。这么大的金额空亏将近三年才被揭露,由此可见,银行内部的权利失衡,独立性之弱,信息链过长,导致上下行之间信息流通的困难。在上述案件中,由于犯罪违法人员了解审计过程中做了哪些工作,与相关审计人员关系密切,能够很轻松的将自己所犯下的违法活动掩人耳目,这就使得审计工作的必要性大打折扣。目前很多银行的审计机构虽然在形式上能够监督银行的正常运作,但在相关事宜中不能将出现的问题继续上报或采取相关措施,银行内部各个部门相互隐瞒,掩耳盗铃,使审计工作在实施过程中有较大的困难。
在审计工作中,独立性是内部审计的基础,只有审计部门与运营部门保持严格独立,内部审计体系才能得以改善。
(三)审计技术和审计理念的落后
目前,我国商业银行的内审基本上采用详细或抽样审计方法的账目基础审计,这种内审缺乏科学性,随意性大,从而导致审计成本高、效率低下、计期长等一系列后遗症。而且我国并没有全面运用计算机审计,这样就会形成不测试数据真实性、就数据审数据、不评价计算机系统的不良现象。当前,我国商业银行虽然都已经全部联网,相关工作都是通过计算机进行操作,由于特殊的工作性质,还具有纸质的相关备份。这就造成了在内审过程中依旧只注重规范性的审计,还是只检查纸质资料上业务操作是否合规、会计凭证、报表等资料是否真实、完整等。然而,商业银行业务却在短时间内发生着日新月异的变化。相对于不断拓展经营范围的商业银行,变化缓慢的审计内容已经没有办法再满足商业快速发展的需要。
(四)人员素质有待提高
自从制度改革后以来,我国的商业银行对内审人员的质量提出了更高要求。在审计过程中,相关审计人员应当具备良好的专业素养,熟知相关电脑操作以及相关业务知识。目前,我国商业银行内审人员数量严重不足,相关审计知识严重缺乏。数量方面,审计相关人员仅占银行员工总数的1%,与国外5%的比率相差甚远。而这些寥寥无几的审计人员的综合素质和能力也并不出色,有相当一部分内审人员缺乏专业培训,对电脑知识不熟悉,业务知识面较窄,在实际审计过程中严重阻碍了审计工作的实施与严谨性,使得被审计单位有违规篡改工作资料的可乘之机。由于存在这些弊端,审计工作将不能迎合新形势下内审工作任务要求的需要。然而在当下,人员素质却是一个企业成功与否的根本保证。因此,扩充审计团队、提高人员素质迫在眉睫。
三、提高我有商业银行内部审计的解决对策
正所谓亡羊补牢,为时不晚。我们虽然起步晚,但面对我国商业银行内部审计现在所存在的种种弊端,我们只要认清现状,改正不足,借鉴西方国家先进的内审理念,建立符合我国国情的内审机制,就可完善我国商业银行的内部审计。
(一)健全内部控制体系,防止内部审计出现漏洞
健全内部控制,明确管理职责边界,形成齐抓共管局面。准确把握各项职能的位置,形成内外相协调合作。要不断完善激励机制,增强控制操作风险。要优先发展非现场审计工作大力推进非现场审计工作。要创新内部控制工作方式,把内控评价和日常各项审计工作有机结合起来,强化基层行、分行和总行三级相交互,使资源整合优势得到充分发挥。2009 年新出台的内审制度,根据《中华人民共和国审计法》、《审计署关于内部审计工作的规定》及其他有关法律法规制定,为加强公司内部审计监督,保护公司资产安全和完整。内部审计是内部审计机构及审计人员,对公司内部控制和风险管理的有效性、财务信息的真实性和完整性以及经营活动的效率和效果等开展的一种评价活动。公司及控股参股公司依法实行内部审计制度,以加强内部管理和监督,遵守国家财经法规,维护公司合法权益;促进改善经营管理、提高经济效益。公司内部审计制度和审计人员的职责,经董事会批准后实施。
(二)改进和创新内审的理念合技术,加强内审的独立性
首先账项、制度和风险基础相结合的审计方式将逐步代替账项基础审计,一步步地向全面风险导向审计迈进。其次牢牢抓紧企业信息基础设施建设,有条不紊的进行软件开发管理必不可少,使银行内审信息传输网络化、审计过程电子化、审计工作管理微机化尽早实现。运用计算机实现信息管理和传递运用计算机的查询、数据分析;监督,监测、评价各分行及业务部门、支行、营业网点的风险状况,分析、预警并提出对策。较传统审计,节省了很多时间,也减少了人力物力的耗费。在总行委员会的领导下,确立审计的内审垂直管理体制;通过建立内部审计章程来明确内审的地位;设立由银行监事会直接领导的薪酬、人事、财务部门和分支行相对独立的内审机构,从而避免各级部门的相互包庇、相互依赖;内审部门应从日常内控过程和被审计活动中分离出来,带头领导,起主导作用。整个内审系统直接对审计委员会负责,具有足够独立性和权威性的内审系统就可以在无管理层的干涉下自由执行委派任务、报告审计、评价结果。目前,我国大约还有77%的银行没有保证内审的独立性。
(三)完善内审的体系,提升审计人员业务水平
为完善内审的体系,我国商业银行应按《巴塞尔资本协议》的要求,主动调整内审机构的职能,确保内审职能不再分散以适应公司治理结构。为实现内审从监督模式向服务模式的真正转变,国有商业银行应从多方面入手,加强各方面审计的发展。目前,国商业银行应根据我国国情着重加强对创新业务的审计和混业业务的审计,创新业务的审计包括金融产品、电子银行产品等,通过审计寻求防范金融风险和促进金融创新的平衡点;混业业务的审计中的保险、证券、信托业务等逐渐纳入常规审计范围。为了业务部门提供改进其内部控制和业务流程提供咨询,内审注重将财务收支审计与业务经营检查相结合,从经营环节中发现风险控制的不足之处,确保审计质量;审计报告不再是要单纯的发表意见,而要转变为向高管理层提出具体的管理建议。
对于审计相关工作人员,应当定期给予相关培训、信息指导,学习国际国内最新审计技术,学习完成后应进行考核工作,督促审计人员具有应有的业务水平和实际操作的能力。
(四)提高内部审计人员素质
为提高我国商业银行内部控制效率和质量,就需要一批综合业务素质高和业务能力强的内部审计人员。一是我国商业银行应确立优越的条件吸引优秀人员加入内审队伍。各商业银行要从实际出发,妥善解决好审计人员的工资及福利等问题,建立科学有效的激励机制来调动审计人员的积极性;二是严格把关,将专业水平高、业务工作能力强的综合型人才吸收到内审队伍中;三是建立严厉的奖惩责任制,使审计人员始终严于律己,公正廉洁;四是加强审计人员培训,确保他们按期接受专业培训或自学教育并参加专业知识考试,达标者方可上岗。
四、案例分析
(一)苏州银行基本情况
苏州银行成立于2010年9月28日,在性质上属于城市商业银行,全称是“苏州银行股份有限公司”。公司的注册资本为三十亿元,净资产总计约为一百三十亿元。自成立以来,苏州银行坚持为中小企业服务的战略理念,力争为公众、为区域经济的发展增砖添瓦,坚持社区、小微、市民银行的市场定位,发展至今已取得了骄人的成果。2013年苏州银行总共获得近二十余项重要奖项,是最具发展潜力的城商行之一,并在《银行家》世界千强银行中位列第三百五十七名。截止至2013年末,苏州银行共有经营服务网点121个,其中包括1家总行营业部,4家分行以及8家支行。
(二)苏州银行内部审计问题分析 1.苏州银行内部审计组织模式不合理
苏州银行的内审架构从整体上来说基本符合相关法规的要求,但是存在不合理的方面,影响了审计的独立性。包括苏州银行在内的我国大多数的城市商业银行、中小股份银行以及大部分的农村信用社虽然在董事会或理事会下设有审计委员会,但是其内部审计部门仍然设置在高级管理层下,与其他内部职能机构处于平行的关系,对内审部门的管理工作仍然由行长负责。虽然在原则上各项事务均应服从审计委员会统一的协调和安排,但是按照银监会的要求,在委员会的组成人员之中,非执行董事的比例应该最大,其中委员会的主席必须为银行的独立董事来担任。而非执行董事在高级管理层中不担任具体的职务,与具有实权的总行
行长相比,其在银行内部的影响力不可相提并论,因此在银行实际的日常工作中,审计委员会很容易被架空。由于苏州银行治理结构的不完善,导致了其内部审计没有与高级管理层分离,内审机构在开展例如行长经济责任审计、内控审计等工作时处处受制,难以保持应有的独立性和权威性,不利于公司治理下银行战略执行决策、薪酬政策等方面审计工作的开展,同时也影响了苏州银行的股东以及其他利益相关者对高级管理层的监督和评价,不能有效的解决由于委托代理关系而引起的一系列问题,其在公司治理中缓解信息不对称的作用也就无法得以有效的体现。
2.内审人员的薪酬制度不合理
苏州银行内审总部下设有南、苏北两个审计中心。审计中心的内审人员从行政上隶属于总行,按照银行内审指引的要求,其工资和福利、奖金等各方面待遇应由董事会或审计委员会决定,在原则上应该公平对待。但实际上,由于苏南、苏北审计中心成立时,考虑到地区以及人员安置的便利性,从当地各分行或支行的合规与内控部门抽调了相当比例的人员补充进审计中心,管理当局为了保持同一地区内银行员工薪资的平衡,基本维持了审计人员原有的薪酬水平。即这些人员虽然编制收归总行,但是福利待遇还是按照当地分行的工资水平进行发放。内审人员薪水的发放并没有与分行脱钩,由于地区之间经济水平的差异,导致了内部审计人员的薪酬水平不统一,影响了内审人员的积极性,这也是我国银行业的—个通病。
3.公司治理中苏州银行内部审计人员整体素质偏低
苏州银行共有内审人员29人,多数人具有十年以上的银行从业经验,并且有相当一部分人员从事过内控部门和法律合规部门的工作,具备一定的审计基础。但还是存在三个方面的问题限制了苏州银行公司治理中内审效果的发挥。首先是受教育水平普遍不高。本科及以上学历只有11人,内部审计人员整体的文化水平不高,虽然多数人具有一定的审计知识,但由于其文化水平有限,在开展例如银行产品审计、专项审计等工作时,不一定能及时判断和分析其存在的问题。其次,由于内部审计人员普遍年龄偏大,缺乏主动学习的动力,虽然银行内部每年开展各项培训活动,但都是应付了事,许多内审人员对审计的认识并没有延伸到公司治理的层面,审计的观念只是停留在查错纠弊的阶段,并没有将审计的目
标与增加银行价值、改进和完善公司治理的过程与效果联系起来。最后,苏州银行的内审人员中缺乏具有计算机背景的相关专业人才,普遍缺乏对辅助技术的运用能力,不能高效的利用一些辅助编程软件对审计数据进行归类和排序,导致苏州银行内审机构工作的效率很低。
4.公司治理中苏州银行内部审计的定位不准确
苏州银行的稽核审计部开展行长任期经济责任审计一般为每三年一次,而每年对所辖分支机构的内控进行例行的评估打分是其工作的主体和中心内容。苏州银行的内审工作并没有真正延伸至公司治理的领域,审计工作关注的重点仍以财务状况以及内部控制为主,局限于管理的层面,主要履行监督和评价的职能,咨询的功能并没有体现出来,其内部审计的服务范围比较狭窄。虽然商业银行的内控与公司治理在目标、内容等几个方面有许多交叉相同的部分,但还是存在较大的差别。在微观目标上,内部控制是为了确保商业银行所开展的各项资金业务以及管理活动符合国家各方面的方针政策,保障资金业务的及时记录以及各项财务数据、各类管理信息的真实性、完整性。而公司治理的目标则是侧重于各主体间权、责、利的平衡,合理的划定商业银行股东、董事、监事以及管理人员的权利与责任,通过设立有效的机制来实现对银行内外部利害关系方的制衡。相比而言,内部控制注重的是经营管理层面,而银行的治理过程则是侧重于对整体权利的安排,两者所关注的侧重点有所区别,内审在两者间所起的作用也有所区别。苏州银行内部审计仅仅作为内部的“监督者”,并没有通过开展有效的咨询活动来为改善银行治理的过程以及提高银行决策的科学性等方面服务,定位的不准确导致了其内部审计改善公司治理的效果难以实现。
5.公司治理中内部审计的技术和方法落后
苏州银行在开展具体内审工作时还是以账项基础和制度基础审计的方法为主,对风险导向技术的应用还处于初级探索阶段,虽然近年来也逐渐引进IDEA数据分析工具和CM审计辅助软件进行风险排查,但是其工作范围狭窄,缺乏应有的连续性,各项系统正处于幵发和磨合阶段。内审工作还是以现场检查为主,依赖传统的审计技术与方法,如抽查、顺查、盘点、核对等,非现场审计技术并不成熟,对审计线索的发现以及追踪还是以审计人员的主观判断和经营为主,缺少科学、合理的风险预警机制以及定性、定量的风险评估分析的方法。而公司治
理则强调对风险进行及时的判断从而在全局的角度做出适当的战略反应,由于技术方法的落后使得苏州银行的内审无法满足现代公司治理的需求,限制了苏州银行治理过程中内审效果的全面发挥。
(三)完善公司治理中苏州银行内部审计的建议 1.优化公司治理结构
商业银行由于经营性质的特殊性,其资产负债率远大于普通的企业,具有先天的不稳定性和高风险性。银行的内审部门作为风险防范过程中的重要屏障,必须发挥出其最大的作用。而苏州银行内审机构组织结构的不合理则直接影响了其内审的独立性。为了提高银行内审机构的独立性,强化公司治理中内审的职能以及效果的发挥,在内审部门的设置方面,苏州银行需要构建更垂直、更独立的内审组织架构。内部审计机构不应由行长领导和管理,而是应由董事会来负责各项工作的协调和安排,在行政和业务上都应与高级管理层分离,保持高度的独立性。董事会在股东大会的授权下,在管辖权限内对内审部门进行管理,保障内部审计的权威性,并承担内部审计工作的最终责任。在这样的公司治理结构中,决定了内审机构必须受董事会直接的领导,并对其报告,这样的上下级关系有利于审计信息的及时沟通,缓解信息的不对称,有效的解决了委托方与受托方之间因为利益矛盾所带来的问题,使得内部审计所反馈的问题得到及时的回应。考虑到实际情况中,董事会所作的决定都必须通过股东大会,不便于对内部审计机构日常的管理。因此应当由特定的委员会来充当董事会与内审机构之间的桥梁,即审计委员会负责银行内审日常工作的安排,根据业务的不同,确定内审的重点、范围和时间,并由其直接领导和安排内审人员进行行长责任审计、内控评价审计、产品业务审计、IT系统审计等具体工作。只有通过优化公司治理结构以完善内审的组织架构和健全内部审计委员会制度等措施才能从根本上提高内部审计的独立性和权威性,保障内审在公司治理中作用的实现。
2.健全内部审计激励机制
内部审计人员的积极性与工作的态度、质量息息相关,直接影响着内部审计在公司治理过程中作用的发挥。而激励机制是银行公司治理机制的一部分,是一系列规范化、合理化以及人性化的制度或安排,从本质上反映了激励主体以及客体相互作用、相互促进的关系和方式,是银行实现其最终目标的重要连接手段。
因此,合理的激励机制能有效的改善银行内审人员的工作态度,进而促进银行内审人员的积极性,使审计任务能顺利完成。内审人员在编制上收归总行,但薪酬的发放与分行并没有脱钩,在一定程度上影响了内审人员的积极性。因此,苏州银行内审机构应该统一按照总行的岗位管理办法进行工资定级,内审人员的薪酬福利发放应与分行脱钩。在原则上实现同工同酬,消除地区间的差异,以此来提高内审人员的积极性。
3.组建高素质的内审队伍满足公司治理的需求
随着苏州银行各项经营业务自助化、电子化的不断发展以及IDEA数据分析工具在审计领域中的不断推广,内审人员可以凭借这些技术、软件分析进而审计大额资金的支付风险、贷款资金的使用风险、前台业务的操作以及政策制度风险等,并且能够的对日后有关整改的进度和情况进行持续的关注。这就要求苏州银行在审计人员的选拔过程中,必须注重吸收以及培养一批技术水平过硬、专业化程度较高的审计人才队伍来满足公司治理中苏州银行内部审计的需求。
第一,苏州银行应保证内审人员结构的合理性,在业务水平上保持高低互补,高素质的人才是内部审计不断发展与创新的关键,只有内审人员结构合理,才能使其发挥出最大的作用。在苏州银行内审人员的年龄结构上要注重老中青结合,发挥各自的特点,在审计工作中应相互学习经验技术、相互支持。此外,通过多渠道、多专业的内部选拔,加大对精通计算机编程技术、企业管理、信贷业务以及政策法规等方面的专业人员的引进,进而优化苏州银行内审人员的专业素质结构,提升苏州银行内审人员的综合水平和专业胜任能力。
第二,苏州银行应加强对现有内审人员继续教育的力度,提高其内审机构整体的业务素质水平。苏州银行应通过各种继续教育或培训实践等活动形式,使内审人员掌握最新的审计动态,理解最新的审计思念,最终实现观念的转变。内审人员的观念不能还是停滞在传统简单的“查错防漏”上,而是应以风险为导向,持续的评估银行风险管理、内控状况以及治理的状况,从而才能够真正体现内审的价值。内部审计人员应站在全局的角度来发现、思考以及解决问题,扩大审计服务的范围,尤其应该增加咨询服务的比重,通过出具更专业化的建议和对策以达到为苏州银行公司治理服务的要求。
4.树立公司治理中内部审计
人性化的服务理念苏州银行的内部审计主要发挥的是监督和评价的职能,在工作过程中以“监督者”或“经济警察”自居,只是依照指示完成硬性的指标,这在一定程度上造成了审计资源的浪费,也无益于增值的实现。而现代内部审计的职能已然转变为确认和咨询,审计的范围也延伸至公司治理的领域,审计目标的发展也顺应公司治理的要求,为银行的最终利益和目标所服务。因此,苏州银行的内审机构应以人为本,坚决贯彻内审“服务”的思想观念。第一,内部审计应主动向苏州银行的董事会或其管理当局提供服务。与传统意义上的内审职能相比,现代内审的确认和咨询职能所强调的是内部审计的服务性与能动性。内部审计在公司治理中有着缓解信息不对称、稳定治理结构、弥补外部审计不足以及增值等作用。要想实现这些作用,就必须紧紧的围绕董事会或管理当局的需求,通过各项审计工作,形成有利用价值的审计信息,并积极主动的将审计的成果作为一种特殊的产品向高层进行推销,即以建议、通报、书面报告等形式将其审计的结果向银行管理当局汇报,银行管理当局通过这些有价值的信息来消除、应对各类风险或减值因素,最终实现改善银行的公司治理以及满足“增值”的需求。第二,内审人员始终应以“服务者”的姿态对待审计工作。一切事项都应以人为本,提倡“人性化”的服务理念,充分调动银行内被审计分支机构或有关人员的主动性,使其尽力配合内审的工作,避免被审计的一方产生抵触情绪。在审计时要取得被审计的理解与支持,不应只是执行批判式的检查,要加强后续审计的跟踪,对被审计方的改进行为给予充分的支持和肯定,并向银行高层进行披露。只有切实维护各方人际关系的和谐,开展“人性化”的审计,才能使审计工作得到最大的支持和认同,从而有利于审计建议的采纳以及审计结果的转化,并且有助于公司治理结构的稳定。
5.加强非现场审计的建设
随着金融业的不断创新和进步,对利率管制的放开是未来必然的发展趋势,银行业的竞争愈演愈烈,银行各类产品及业务办理的自助化、便民化也必然会成为一种增强核心竞争水平的重要途径,而传统的审计技术与方法明显无法满足新时期银行业公司治理的需求。银行内审应从传统的以检查合规、合法为主要内容的财务型审计向以评价风险为前提的具有确认、咨询服务功能的内审转变,并且应该加快内部审计从事后监督向事前风险预警的转变。非现场审计是一种精确、高效的审计技术,具有“规范性、系统性、全面性、防范性、时效性”的特点并可根据现场审计的具体情况,将审计方式向现场审计与非现场审计两者结合的形式转变,利用计算机技术的优势了进一步扩大审计的工作范围和内容,最终实现审计的科学化、制度化。苏州银行电子化运营以及网络技术的不断成熟使得金融数据的集中程度越来越高,以计算机网络为核心的综合业务处理系统已初具规模,运营网络已全面覆盖了苏州银行的各个分支机构以及各交易网点,业务管理和操作都依赖于信息处理系统来完成。因此,内部审计也应与时俱进。传统的苏州银行内部审计强调的是开展了多少次的内控审计、离任审计和专项审计等审计活动的次数,而对于非现场审计技术的运用不充分,还处于初级阶段,审计关注的重点仍然在于发现了多少缺陷以及差异、提出了多少的建议和对策。但“量”的多少并不能保障审计的效果,而非现场审计突出的是审计的质量,是一种主动式的审计,其针对性很强。并且非现场审计在理论上可以将审计主体与客体进行分离,大大的降低了人为因素,也节约了大量的人力和财力,更有利于为苏州银行增加价值。
五、结论
通过对我国商业银行内部审计的现状及一系列问题的分析,我们清楚的知道我国商业银行面临的机遇与挑战。从而相对应的提出一系列应对的政策和措施,使得我国商业银行更具有竞争力。总结出以下几点:健全内部控制体系,防止内部审计出现漏洞。改进和创新内审的理念合技术,加强内审的独立性。完善内审的体系,拓展内审的范围、提高内部审计人员素质。本文提出的建议只是一部分概念性的,有些建议还要在以后的实践中得以体现,有待于进一步完整改善,建立更科学、完整、可操作的实践体系。
参考文献
[1]闫景峰.如何发挥内部审计在国有商业银行公司治理中的作用[J].时代金融.2014(23)[2]张倩莹.从公司治理角度看我国商业银行的内部审计[J].产业与科技论坛.2014(14)[3]张艳娜.基于公司治理视角的内部审计研究[J].财会通讯.2013(31)[4]杨洋.银行内部非现场审计信息化的现状和完善措施[J].经济视角(下).2013(06)[5]姚年勋.公司治理视角下的商业银行内部审计未来发展趋势探析[J].中国农业银行武汉培训学院学报.2013(01)[6]孙双全.论内部审计在公司治理中的增值效应[J].财会研究.2012(22)[7]戴萍.我国城市商业银行发展模式研究——以江苏省为例[J].会计之友.2012(22)[8]时现,陈骏,王睿.公司治理模式、治理水平与内部审计——来自亚太地区的调查证据[J].会计研究.2011(11)[9]刘成,许莉,屈耀辉.国有商业银行内部审计组织架构比较[J].中国内部审计.2011(10)[10]刘乐荣.城市商业银行内部审计定位探究[J].银行家.2011(03)
点击咨询 