内部控制规范下的商业银行内部审计职能设计

第一篇：内部控制规范下的商业银行内部审计职能设计

内部控制规范下的商业银行内部审计职能设计

2010-9-23 10:56 张宇 【大 中 小】【打印】【我要纠错】

一、商业银行内部审计作用的制约因素

纵观我国商业银行内部审计的运作情况，发现其作用的有效发挥不尽如人意，其制约因素主要有：

（一）内部审计机构独立性不强，权威不高 商业银行及其分支机构都在内部设置了与其它业务部门平行的内审机构，直接归行内领导分管并向其负责报告工作。内审人员与被审计单位的各种利益（包括经济利益与非经济利益）有着密切的联系，对所在单位有较多的依附。这样的内审组织体制往往因单位领导干预、利益关系制约，人际关系影响，致使内审机构及其人员不能客观、真实、公正、全面、深入地开展工作，其独立性较差，缺乏权威性，所做出的内审意见和处理决定也因这种管理体制上的影响而得不到有效的贯彻执行。

（二）检查方式单一，时效性不强 商业银行内部审计大都是事后审计，特点是在审计事项发生后才对其进行审计，往往对被审计事项存在的问题不能及时予以防止纠正，只能在一定范围内、一定程度上纠正偏差。同时，目前商业银行的内部审计报告是适用于所有人（从行长到员工）的包罗万象的最终文件，报告中包括了大量描述性文字以期给每个人一个详细的审计发现和分析。完成并分发最终报告通常需要较长时间。等到审计报告最终发出时，其作用已大打折扣。因而花费了大量时间和精力的内部审计报告常常未能获得上级的足够重视，其有效性也无从谈起。商业银行业务的发展还使得现场监管的难度增大，削弱了审计的有效性。如网络银行业务活动方式具有鲜明的网络特色，与传统的银行业务活动方式有着明显差异，网上银行业务的开展，使得银行业务对象难以确定，传统的监管方法和审计制度很难适应。在互联网上，整个交易完全在网上完成，金融交易的“无纸化”，使银行业务失去了时间、地域的限制，交易对象变得难以明确，交易过程也更加不透明。

（三）内部审计资源不足 随着商业银行业务逐步向多功能、立体化方向发展，传统业务、新兴业务齐驱并进，内部审计的范围不断扩大，需要审计的工作量不断增加，审计质量要求更高。但目前商业银行的内部审计工作状况不能适应这种形势发展的需要。突出表现出以下几方面：一是缺少普遍适用的专业实务标准和审计条例；二是原来的内部审计人员大多从会计、出纳、储蓄岗位调入，专业比较单一不能满足需要，特别是在收集信息、检查、评价和交流方面的能力，不能适应银行业务活动日益增加的技术复杂程度和内部审计部门需要承担的繁重任务。三是银行审计理论滞后。国内银行约3万内部审计人员，是一个相当规模的群体。但尚无一成熟的理论和专业标准。

（四）传统的审计技术与方法不适应金融电子化的发展要求 与传统的银行业务相比，电子化环境下的金融业务，在数据处理流程和方式、内部控制和组织机构设置等方面都表现出一些新的特点，对传统审计技术和方法产生了一定影响。其表现在：审计线索的变化。实行金融电子化后，业务数据的存储介质和形式、业务数据的生成和传递方式都发生了变化，不仅存在着有形的审计线索，如输入的原始凭证、记账凭证等原始文件，打印出的业务账簿、业务报表等，还存在着另一种无形的审计线索，如存储在软盘或硬盘上的业务数据库资料等。这两种审计线索相互交叉，相互补充，共同构成业务系统的数据库。审计人员很难甚至根本无法单独通过有形的线索跟踪业务的处理，也无法用传统的方法考查业务数据的安全性、有效性、完整性和准确性；内部控制的变化。实行金融电子化后，内部控制的重点由业务人员和业务部门转移到电子数据处理部门，业务人员对交易活动的直接监督减少了，原内部体系难以适应这一变化。

（五）内部审计管理机制不完善 主要表现在内部审计工作责任不明，奖罚不力。当前，大多数商业银行及其分支机构对内部审计工作缺乏明确的工作责任约束，审计工作做得好，也无多大的奖励；做得不好，也无多大的处罚。无需承担相应的内审检查责任，被审计单位

若没有落实审计处理决定的整改意见，也没有严格的处罚，缺乏做好内部审计工作的外部压力和内部动力，从而影响内审工作的有效性，加大了审计风险，降低了审计工作质量。

二、基于内部控制的银行内部审计职能与工作机制设计

商业银行内部控制是由管理层和全体员工共同实施的、旨在合理保证实现商业银行的企业战略；经营的效率和效果；财务报告及管理信息的真实、可靠和完整；资产的安全、完整；遵循国家法律法规的有关监管要求为基本目标的一系列控制活动。是对商业银行内部审计职能进行再造性设计应该加以遵守的准则。

（一）从保证内部控制的角度，实现内审机构独立性 目前，各商业银行的内审部门既对本级行领导负责又对上级行主管部门负责。在履行职责时，其工作可能会受到本级行领导的隐性干预，其独立性、权威性受到削弱，不利于职能作用的发挥。为了改变这种状况，必须按照良好有效公司治理机制的要求，进一步改革我国银行现有的稽核体制，建立垂直、独立、权威、科学的内部审计体制。银行的内部控制，必须得到能够独立评价组织中控制系统的有效内部审计体系的支持。垂直、独立的内部审计体系是健全的公司治理结构的一部分。有效的内部审计可以源源不断地向银行管理层和银行监管人提供内部控制系统运行质量方面的信息。可以设想：将现行的“双重负责”内审体制改为垂直领导的体制，即内部审计垂直设立；变内审人员与本行利益相联系为相脱离，即内审人员提拔、任用、晋级、生活福利均由上级行管理；完善现有内部审计部门制度的法律环境。

（二）结合内部控制要求，改进审计方式和拓展审计领域 一是坚持序时检查与后续检查相结合，使银行各项业务管理工作规范化和制度化。做到事后检查与事前检查、事中检查的有机结合，使被审计单位的业务经营的整个过程每个环节都在监管之下。二是要将内部审计重点由经营合规性向风险性监督转变。三是借助外部审计手段。与外部审计专业人员合作，当遇到有特殊要求或由于其他原因无法由现有内部审计人员完成的任务时，应利用外部审计专业人员来完成该项目。四是完善内部审计操作规程，要紧贴业务的变化，不断完善内部审计工作操作步骤、程序等，使之更具可操作性。五是推行单页内审报告。内审报告越准确，越具有针对性，就越快了解情况，越快定出有效决策并采取有效行动。目前香港银行推行的单页内审报告值得内地商业银行借鉴。

（三）根据内部控制目标，制定实务标准和审计条例 制定符合我国国情的银行内部审计专业实务标准和审计条例。通过审计标准和条例来保证内部审计部门在银行中的地位和权威。实务标准可参照国际内部审计师学会《内部审计专业实务标准》，由中国金融稽核监督研究会等行业协会来制定。审计条例应由各银行制定。条例应当由内部审计部门起草，定期审查。它应当得到高级管理层的同意，随后得到作为监管作用一部分的董事会的确认。在条例中，银行高级管理层给予内部审计部门建议权，授权其直接与任何员工进行接触和交流，检查银行的任何一项活动或一个实体，接触银行的任何记录、资料或数据，包括管理信息和所有协商和决策机构的会议记录，无论何时与其委派任务有关。

（四）按照内部控制的人员素质要求，合理配置人员结构 一是合理配备包括财务人员，信贷人员、计算机人员和其他专业的内审人员结构。二是针对不同层次人员定期进行审计理论，审计技能、专业知识培训。三是内审机构内部定期或不定期实行岗位轮换制度，内审工作岗位与企业其他管理部门工作岗位进行轮换制度。四是注重综合能力的考核。尤其是内审部门负责人，要强调其组织能力，协调能力、管理能力。五是重视继续教育和岗位培训工作。这些做法既促进了内部审计人员不断提高自身业务素质，也在一定程度上起到了防止审计人员出现舞弊行为的作用。

（五）以实现内部控制有效性为目的，革新审计技术和手段 为加快信息处理的速度，提高审计质量，审计处理手段必然要由手工操作提升到电子化处理，计算机辅助审计技术具有明显的优势。一是计算机辅助审计技术的使用有助于提高审计工作的效率，降低审计成本。

它的运用既提高了审计的正确性与准确性，也使审计人员从冗长乏味的计算工作中解放出来。可以运用计算机辅助审计技术使这些步骤达到自动化，而审计人员只需集中注意于那些需要专业判断的部分。二是计算机辅助审计技术的使用可帮助审计人员扩展审计的范围。计算机辅助审计技术可使审计的范围由书面向其他媒介扩展，既包括书面形式保存的文字资料。还包括储存在计算机系统的磁媒介或其他储存器中的数据。

（六）用内部控制效果，实施审计质量控制与考评 有效的内部控制效果，要用有效的审计质量控制来体现，在这个意义上，审计质量是内部审计部门生存和发展的基本条件。实行内部审计质量控制，能够保证内部审计实施的有效性，促进内部审计工作质量的提高，全面督促审计工作的实施。要强化审计人员的审计风险意识和质量意识，建立内部审计规范及标准，把握控制的重点，侧重于审计产生的增加值、审计发现的风险、审计报告的时效性审计程序、审计手段和方法，加强对审计人员的工作指导，建立监督检查和复核制度，健全同部审计部门的管理体系，加强审计质量考评。要建立完善的激励机制。为审计人员创造良好的职业发展环境，增加审计人员的责任感，提供具有吸引力的薪酬及福利，建立业绩评估系统以确认员工业绩。同时要对加强审计人员的纪律性和职业道德教育。

第二篇：商业银行内部控制

第一章：

一、内部控制的产生与发展

1、内部牵制阶段，在20世纪40年代前，用如结绳计数等方法为标志。到15世纪末，以

意大利出现的复式记账方法为标志。

2、内部控制制度阶段，它产生与20世纪40年代至70年代初，3、内部控制结构阶段，产生于20世纪80年代，标志是美国注册会计协会于1988年5

月发布的《审计准则公告第55号》

4、内部控制整体框架阶段，产生于20世纪90年代后，标志是COSO报告。

定义：COSO报告是有企业的管理人员设计的，为实现营业的效果和效率、财务报告的可靠及合法合规目标提供合理保证，通过董事会、管理人员和其他职业实施的一种过程。认为内部控制由5个要素组成：

控制环境：是指职员履行其控制责任、开展业务活动所处的氛围，包括志愿的品性和

经营环境

风险评估: 它是指对应项作业目标达成的相关风险的辨认和分析，其前提是目标的确

定。

控制活动：它是指企业制定并予以执行的政策和程序，以帮助确保其用于处理影响目

标达成的风险之管理人员指令得到有效落实。

信息与沟通：它是指以一定形式和在一定的时间段内辨认、获得的，为员工在执行、管理和控制作业过程中所需的信息，以及信息的交换和传递。

监控：它是指评估内部控制运作质量的过程，包括持续性监控活动和个别评估。

二、内部控制设计和实施中存在的缺陷

对内部控制制度的认识不到位，违规经营时有发生

法人治理结构不完善，缺乏监督制约机制

内控制度不健全，不适应业务发展的需要

稽核机制不健全，影响内部控制的有效落实

风险控制系统不健全，对内部控制的评价与监督不够

三、内部控制的局限性

COSO报告强调了内部控制的局限性，为实现企业目标提供合理的而非绝对的保证，这

也是为什么说内部控制为发现和防止错误或舞弊只是提供“合理的”而非“绝对的”保 证的原因。主要表现在一下几方面

1、成本限制。一般来说，控制程序的成本不能超过风险或错误可能造成的损失和浪费，否则再好的控制措和方法也将失去其降低成本的意义

2、串通舞弊。不相容责任的恰当分离可以避免单独的一人从事和隐瞒不合规行为提供

合理的保证，但两个或更多人合伙作弊即可逃避这类控制，内控失效。

3、人为错误。内控系统发挥作用关键是取决于执行人员的实际运作，不能期望人们在执行控制职责时始中正确无误，人为错误会造成控制失效

4、管理越权。任何程序也不能发现和防止那些负责监督控制的管理人员滥用职权，管

理当局的干预一直是导致许多重大舞弊发生和会计报表是真的重要原因

5、修订跟不上环境的变化。被审单位为便于生存和保持竞争能力，势必要经常调整经

营策略，这就可能导致控制程序对新增业务内容失去了控制作用。

第二章

一、商业银行内部控制定义：内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。

二、商业银行内部控制系统的基本要素及相互关系

商业银行内部控制应当包括以下要素：内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。要素的相互连结、相互作用就形成了内部控制系统

相互关系：内部控制环境是整个系统的基础，是影响商业银行内部控制作用发挥的各种内部因素；风险识别与评估旨在发现和计量商业银行实现其目标的过程中存在的不确定性，为控制活动指明了方向；内部控制措施是商业银行内部控制系统的核心，是具体实施内部控制的过程；信息交流与反馈为各个要素的沟通，引导内部控制系统有效运行，确保控制目标的实现提供个信息支持。监督评价与纠正是高管对内部控制的管理监督和内部稽核部门对内部控制的在监督、再评价与纠正偏差活动的总称，处于内部控制系统的最高顶层。

三、商业银行风险定义

是指商业银行在经营过程中，由于不确定因素的影响而导致银行蒙受经济损失或获取而外收益的机会和可能性。

四、内部控制措施（案例）

主要包括：岗位设置控制、授权批准控制、程序控制或标准化控制、会计系统控制、预

算控制、事物控制（限制直接接触、定期盘点、记录保护、财产保险）、内

部审计控制、风险防范控制

第三章

一、控制测试与了解内部控制的不同

控制测试指的是测试控制运行的有效性，这一概念需要与了解内部控制进行区分，了解

内部控制包括两层含义：

1、评价控制的设计

2、确定控制是否得到执行，测试控制运 行的有效性与去顶控制是否得到执行所需获取的审计证据是不同的二、对商业银行内部控制所做的研究和评价

1、了解商业银行的内部控制情况，并作出相应的记录

2、实施符合性测试程序，证实有关内部控制的设计和执行的效果

3、评价内部控制的强弱，即评价控制风险，发现风险点

三、内部控制的描述

内部控制描述是指测评人员对于调查了解的内部控制情况和所做的控制风险初步评价进行适当的记录。内部控制调查记录的方法通常有：调查表、文字表述、流程图等。

四、内部控制的测试

定义：控制测试又称符合性测试，是在对内部控制初步了解和评价的基础上，对内部 控制制度的状况以及是否得到贯彻执行而进行的测试，其目的是确定商业银行的业务 处理是否符合内部控制制度的规定，判断内部控制制度的遵循程度，进而确定风险点 和关键控制点符合性测试的对象包括：控制设计、控制执行

五、控制风险的评价标准

控制风险的评价标准分为高、较高、中、低四个层次。风险低的标志是：内部控制健全、合理，且在测试检查有关业务活动时，未发现任何差错或仅发现极少的差错。风险中的标志是；内部控制比较健全、合理，还存在一定缺陷，且在测试检查有关业务活动时，发现有一定程度的差错。风险较高的标志是：内部控制设计不够完善或虽然设计了良好的内部控制，但实际运行中差错发生效率高。风险高的标志是：内部控制设计不完善或虽然设计了良好的内部控制，但实际运行中差错发生效率很高。

第三篇：商业银行内部控制

完善的内部控制机制将风险管理放在首位，对经营中面临的风险包括信贷风险、流动性风险、利率风险、市场风险、操作风险、法律风险、策略风险、信誉风险等进行有效的识别和评估，对商业银行内部控制制度和风险管理技术的重视程度提高到一个新的高度，有助于内部控制制度和职能的有效执行。

将内部控制管理的要求和措施真正落实到实处。健全完善的商业银行内部控制机制能够以内部管理要求为宗旨，能够对法人治理结构下的各方进行真实的监督和控制，通过内部控制管理的实施到位，能够有效提高商业银行风险预警和风险化解能力。

商业银行股份制改革中，建立股份制经营的相关机构只是股份制经营的开始，按照国际标准，实现经营机制和管理体制的根本性转变才是国有商业银行股份制改造的核心内容。作为经营机制内容之一，商业银行内部控制机制的根本性转变是指其内控制度的完善和内控体系的健全，内部控制机制的健全完善应该是商业银行股份制改革的同步内容和要求。

完善的商业银行内部控制机制能够有效协调和约束股份制经营管理中的董事会、股东和经理等方面的关系，即利益相关者的关系，使委托代理下的各方利益能够得到有效的保证和协调。商业银行股份制经营模式下，董事会、股东和经理人存在着利益相关的委托代理关系，利益相关人之间在非正常情况下必然存在利益的对抗和冲突，这种利益的对抗和冲突必须要以适当的方式来调节。内部控制机制在股份制经营理念对董事会、股东及经理人三方权利和责任的规定指导下，通过对三方的行为监督和控制，从而实现对三方利益的相应调节，使商业银行股份制经营中的委托代理关系平稳发展和延续。

在完善的现代法人治理结构下，通过完善健全的商业银行内控机制的监督控制，商业银行的企业信息得以充分批露，在这种完善的内部控制体系下，披露的信息具有较高的真实公平性，从而会引导银行监管部门如中央银行、银监会的监管深度、频度、广度加深，有利于提升法人治理结构的有效性，最终提升商业银行资本资源效率。

第四篇：试论商业银行内部审计风险及其控制

试论商业银行内部审计风险及其控制

［作者：lyw 来源：《现代商业银行导刊》 时间：2006-5-23 15:36:15 阅读：625次］

[字体:]

一、商业银行内部审计风险表现形式

近年来，由于发生了不少上市公司的造假行为，社会审计风险已得到了审计界的重视，审计风险越来越受到人们的关注。但人们对内部审计风险的了解和认知还不够，思想上还存在一些误区，因此，作为银行内部的监督部门，有必要了解银行的内部审计风险。

根据国内外理论界对审计风险的定义，结合目前商业银行内部审计的范围(远不止财务会计报表)，笔者认为，商业银行内部审计风险，是内部审计部门对商业银行在经营活动中存在的违规行为和虚假的经营信息未能充分揭示，而作出不恰当的审计结论的可能性。这里对商业银行内部审计风险的阐述实际上包括两层含义：一是审计部门对违规行为和虚假的经营信息未能充分揭示；二是审计部门对违规行为和虚假的经营信息，作出不恰当的审计结论。商业银行内部审计风险的表现形式：

1．违规操作风险，即审计人员没有遵守内部审计准则进行审计而导致的风险。为了规范内部审计操作规程，银行系统均制订了内部审计的准则、操作规程、办法等，这些规章制度是内审部门履行职责时必须要遵守的，但实际工作中受诸多因素的影响，往往存在偏差，这些偏差使内审部门“执法”行为的“合规性”受到影响。

2．取证不当风险，即所取得的审计证据不充分或者不恰当而形成的风险。这是在现场审计工作中存在的一种内审风险，一般都是属于技术层面的原因造成的。按照现行内审操作一般规定，对查出的问题必须要有证据予以证明，即内审不仅仅是查出问题，更重要的是要有证据证明这是个问题，即查证问题。对查出的问题如果不取得足够的证据予以说明，所形成的审计结论就没有说服力。

3．查证不实风险，即对重要的审计事项查证不实、揭露不力而形成的风险。银行内审主要是检查银行的主要业务，尤其是侧重检查潜在风险程度高的业务，由于银行业务的行业特征，对若干业务的风险识别具有较高的难度。如内、外部勾结盗取银行资金或套取银行信贷资金的案件时有发生，有关各方对内审监督的力度和作用提出了质疑。就目前银行内审部门来说，单纯从事后检查的角度要确保银行资金的安全，确实是勉为其难。除内、外部勾结发生的业务风险外，同样可能存在查证不实的情况，这与审计人员的综合业务素质有着紧密联系。

4．定性不准风险，即引用政策规定、业务规章不当或定性措辞不尽规范而导致的风险。这是目前较多存在的一种内审风险，也是制约内审工作整体水平发挥的主要风险。

定性不准包括三种可能：

(1)定性错误。内审人员对查出问题的判断完全是错误的，对被审事项中某些尚未最终实现的结果，审计人员作出了可能产生误导作用，并与实际严重背离的推断。如在检查贷款分类业务时，没有依据借款人的主营业务收入判断借款人的还款能力，而是依据贷款的担保对象或抵押物的保证程度来判断其归还的可能，将本来应该划分为次级的贷款，划分为正常，就属于定性错误。

(2)夸大错误的程度。被审事项中存在差错，但程度上不及审计报告所陈述的严重。如对主管会计或行长是否定期检查制度执行情况的问题，从有关各方得到的信息是主管会计或行长按规定的要求进行了检查，有检查书面材料，但在相关登记簿上没有主管会计或行长签名，定性为登记簿记录不全比较准确，而定性为没有认真执行定期检查制度，就属于夸大错误。

(3)缩小错误程度。当审计检查发现的问题性质较严重，被审计单位存在多种重大违规和错弊现象，而审计报告中只反映了其中一部分或避重就轻，所形成的审计结论定性不准，有大事化小之虞，缩小了错误的程度。如检查发现某房地产企业将贷款全部用现金方式提走，应该定性为未按贷款用途使用资金，而定性为贷款未实行封闭式管理，就属于缩小了错误的程度。有时甚至发现被审对象或被审事项中存在违反国家有关财经法规重大错弊，而审计人员却出具了无保留意见的审计报告的现象。

二、商业银行内部审计风险的成因

(一)管理体制导致的风险

1．内部审计缺乏独立性。目前大部分商业银行内审部门在组织结构上仍未完全独立，审计人员的组织关系、经济关系一般都隶属所在行，不少银行虽已逐步建立相对独立的审计体制，实行“派出“或“交流”制度，但审计人员仍有后顾之忧。主要是在审计人员竞聘、部考核、考评、绩效分配等环节中，审计对象参与甚至起决定性作用，以致审计人员在审计中发现问题后不愿或不敢毫无保留地报告。且由于目前各分支机构统一法人的观念尚未真正树立，出于自身利益的考虑，害怕查出问题，更怕反映问题，因而总是有意无意地干扰内审工作，各商业银行的总行要得到下级行审计部门具有完全真实的或比较重要的审计信息，存在着受各级分支行不同程度的影响。审计成果的共享度不高，内部审计的效能未能得到充分的发挥，所形成的审计报告未能达到客观公正的要求。

2．由于商业银行现行内部审计体制缺乏对审计人员的绩效考核、责任追究的配套制度，审计人员“责、权、利”不匹配，各级审计人员的职责、范围、业务处理权限与所承担的责任不清晰，缺乏激励约束机制，内部制约机制的作用难以充分发挥，不能充分调动审计人员工作积极性。有的虽然制订了相应的规章制度和办法，但真正落实到个人的却很少。久而久之，易形成审计人员对审计工作质量的松懈情绪，潜伏了较大的审计风险隐患。此外，银行内部审计业务规章制度的建设也较为滞后，许多银行普遍缺少全行统一的审计质量控制标准体系和审计规范体系，造成审计项目程序、审计计划、审计证据搜集、工作底稿及审计报告编制等不科学、不规范，加大了审计风险产生的可能性。

(二)审计方法手段导致的风险

1．审计手段落后。近年来，金融业电子化程度越来越高，业务信息处理的电子化，使传统的手工帐册没有了，取而代之的是能大量集中存储会计数据的磁性介质，经济事项的会计处理完全由计算机自动进行。审计介质的改变，相应地要求改变审计手段。但目前，大部分银行内部审计的手段，主要还是通过查凭证、翻账簿、看报表来取得审计资料。这种传统的审计手段，无法迅速有效地完成审阅、核对、分析、比较等各项审计基础工作，审计的效率、质量、覆盖面等受到限制。用落后的手段去审计先进的介质，这本身就存在很大的风险，更无法对实行电子化的业务处理系统和计算机系统实施监督。先进的业务处理手段与落后的审计手段的矛盾日益突出，成为制约内部审计工作发展的关键性因素，也是酿成审计风险的重要因素之一。

2．非现场审计滞后。商业银行实施内部审计主要有两种方式：现场审计和非现场审计。现场审计是一种传统的审计方式，就是审计人员运用一定的审计方法和手段，以有关政策、规章制度的规定为依据，对审计对象的审计事项进行现场查证的过程。非现场审计是借助计算机手段，通过对审计对象相关数据和资料的连续调集、整理和分析，对所有分支机构和业务进行持续监测的过程，以及时发现存在的问题和疑点。不仅可以扩大审计的覆盖面，提高审计的时效性，弥补现场审计的不足，还可以帮助现场审计更加科学地选择审计样本，有针对性地对发现的疑点进行检查、核实，从而提高审计效率。目前，大部分商业银行非现场审计还未能有效地发挥作用，虽已对非现场审计做了一些尝试，但由于受非现场审计工具、审计项目管理、人员素质等因素影响，非现场审计还未完全实现与现场审计的有机结合。因而，审计的工作方式基本上还是采用传统的现场审计方式。由于银行分支机构、网点数量众多，分布面广，现场审计只能是有重点、有针对性地进行抽查，抽取样本的数量是否合理，样本是否具有代表性，能否依据样本的审查结果来评价被审单位，发表审计意见等，都增加了审计结论的不确定性，加大了审计风险。

(三)证据质量导致的风险

1．审计证据质量不高加大了审计风险。按有关审计规范要求，审计证据必须充分、有力、可靠，取证的方法和手段、证据的鉴定必须具备客观性、相关性、充分性和合法性。实际工作中容易产生证据风险的是客观性方面，证据未能客观地反映审计事项的实际情况，有的凭主观臆断，靠“听说"、就“大概”；相关性方面，证据与审计事项、审计发现之间没有内在联系，甚至出现搜集的证据与审计发现风马牛不相及。有的对搜集的证据材料没有作认真分析、判断，并根据证据材料与审计目标相关联的要求进行取舍，而是胡子眉毛一把抓；合法性方面，取证不符合审计法规规定的手续和程序，如审计证据没有得到被审计单位或提供证据人员的签章认可，对拒绝签章的，也未注明原因和日期；充分性方面，证据不足以证明审计问题的真相，形成或支持审计结论，从而带来审计风险。

2．在内部审计中，往往忽视搜集环境证据。环境证据包括内部控制系统状况、管理层和职员的素质以及管理条件和管理水平等。环境证据虽不属于基本证据的范畴，但若没有其支持，就无法了解被审单位所处的环境全貌，更无从判断内控制度的优劣，得出的审计结论就可能与事实不相符，加大了审计风险。例如：某单位缺乏必要的内控制度，即使审计中没有发现违纪违规及风险隐患问题，也不能轻易作出其内部管理完善的结论。相反，某被审单位有较健全的内控制度，虽然审计中发现了违纪违规问题，也不能简单地得出该单位内部管理不完善的结论，而要分析其问题的深层次原因。

(四)人员素质导致的风险

1．审计人员业务水平的高低直接关系到审计风险的大小。近年来，商业银行内部审计队伍的素质有了明显提高和改善，但审计人员的专业能力不均衡，合力优势不明显的现象仍然存在，难以适应业务发展的需要。表现在：一是内审人员的审计专业基础知识不够扎实。虽然现有审计人员大多是原工作岗位上的业务骨干，但经过正规审计培训的却不多，宏观把握和综合分析能力还不够。二是人员知识结构搭配不尽合理。熟悉财会、信贷和个银业务的居多，全面了解计算机、国际业务和其他新业务的较少，能够独立从事各项审计业务的复合型人才更是凤毛麟角，一旦遇到上述审计业务，审计风险就会加大。三是知识更新不够及时。审计业务培训次数少、范围小、时间短、效果不佳，有时缺乏针对性。四是审计理论与业务实践联系不够密切。由于审计人员不参加具体的业务经营管理活动，对操作上的细节把握不够，导致审计效果欠佳，这在一定程度上加大了审计风险。

2．部分审计人员的责任心和风险意识不够强。部分审计人员认为审计风险与己无关，因为它不会影响自己的经济利益或带来其他损失，因而责任心和风险意识不够强。具体表现为：审计态度欠客观公正，未保持应有的职业审慎和独立性，缺乏职业道德，审计深度不到位，不关注审计工作质量；审计组成员之间的合力不够强，团队精神欠佳等。这些人为因素直接增大了审计风险。

三、控制商业银行内部审计风险的途径

(一)改革审计管理体制，充分发挥审计效能

建立一套与商业银行管理原则相匹配，符合国际审计准则的内部审计组织体系，是提高内审工作质量和防范审计风险的前提保证，更是现代股份制商业银行公司治理结构的要求。各行应建立由总行垂直领导的内部审计管理体制，由内审机构代表统一法人对商业银行内部各部门、各分支机构实施审计监督。各级审计部门在统一法人的领导下开展工作，只对统一法人负责，不受各分支机构的领导，其领导关系和经费开支与被审机构相分离，内审人员的人事任免权、机构设置权上收总行，在组织关系和经济利益上不依附于驻地行，具有完全的独立性与超脱性，使审计人员在开展审计工作时敢说真话，发现的问题能真实体现在审计报告中。此外，在开展审计项目时，应推行审计工作回避制度和异地交叉审计制度，以充分保证审计人员在审计工作中的独立性。目前，中国建设银行正在进一步深化内部审计体制改革，建立独立和垂直的新型内部审计管理体制。各分行审计人员在组织关系、经济利益上与被审行的彻底分离，保证了内部审计独立性和权威性得到充分发挥。改革审计管理体制，是控制审计风险的关键。

(二)建立质量控制标准，完善内部控制机制

尽快建立审计质量控制标准体系以及审计人员激励约束机制。首先，建立全过程的审计质量管理机制，对审计全过程进行风险控制，即对审计流程的各个环节进行质量把关，从审计准备阶段、实施阶段和终结阶段对审计风险加以防范和控制，全面建立审计作业与质量控制体系，将审计风险降至最低水平；其次，建立配套的工作考核、责任追究和处罚制度，加大对审计人员的考核和奖惩力度，注意从审计工作的及时性、效率、质量、风险等方面来考核审计人员的业绩，使审计人员牢固树立风险意识并警钟长鸣；最后，要完善审计工作内控机制，如建立健全岗位职责制度、审计风险责任追究制度、审计底稿三级(项目经理、组长、主审员)复核制度、项目督导制、后续追踪制等一套完整的控制制度，实现审计工作的制度化、标准化、规范化，使审计风险能从制度上得到有效控制。

(三)严格执行审计准则，努力规范审计行为

审计人员必须严格遵循国家颁布的审计法规和银行业自身制定的审计章程和审计准则，规范审计行为。在审计过程中要对审计工作各个程序进行严格的控制，合理确定审计项目，在审计的准备阶段，应广泛搜集和深入分析审计对象的背景材料，及时编制科学的审计方案；在审计的实施阶段，要运用恰当的审计方法和手段，严格审计测试和取证，规范审计工作底稿的编制，做到格式规范，内容完整、记录准确、措词精当、结论明确；在审计报告阶段，客观公正地评价审计事项，报告的定性要准确，揭示的问题要明确，整改的建议要有针对性和可操作性，报告的表述应保持谨慎的态度，应只在审计范围内发表审计意见，对非审计事项不作评价；并在适当的间隔期应进行审计追踪，了解被审计单位对审计发现问题的整改情况，所提出的建设性的建议是否被采纳。及时分类整理具有保存价值的审计项目资料并移交归档。整个审计业务流程均应严格遵循审计章程、准则，把握尺度，保证质量，只有这样，才能有效降低审计风险。

(四)引入风险导向审计，科学制定审计计划

目前国外审计界已广泛采用风险导向性审计。风险导向审计在审计计划阶段就考虑审计风险，并对各项风险进行分析评估，其审计过程是依据“审计风险=固有风险×控制风险×检查风险”的审计风险模型，首先设计可接受的审计风险总体水平；然后通过对固有风险、控制风险的评估和分析，确定检查风险；再根据检查风险确定实质性测试的范围和重点。使审计人员对审计风险由被动接受转化为主动控制，从而达到保证审计质量，降低审计风险的目的。因此，各商业银行总行在制定全行中长期发展规划时，可按照风险导向的原则，在深入分析判断不同层面和业务领域风险状况的基础上，对审计客体进行风险评估和分析，确定审计对象、审计事项、审计期间和工作重点；在审计项目选定和力量配置上，重点向风险高的业务单元、营业机构等倾斜。各一级分行则要围绕总行中长期发展规划，结合各自区域业务、风险的分布特点，制订短期工作计划，识别潜在的审计客体，选择合适的审计项目，确定适宜的审计频率和审计顺序，保证高风险的审计客体能够优先得到审计。

(五)改进审计手段方法，大力拓展非现场审计

大力拓展非现场审计业务，积极开发审计系统软件。为保证审计手段和审计方法的科学性和先进性，一是要建立涵盖全行全部经营管理活动的基础数据模型，根据有关数据对审计对象进行适时监控，通过问题查找和风险评估，找出风险程度较高的经营机构或业务领域，据此科学地选择审计项目，确定审计重点、审计频率、合理调配审计资源，使审计监管工作逐渐趋于日常化，提高非现场审计工作效率；二是要大力开发审计系统软件，利用计算机辅助审计技术，代替手工审计手段，这样既可以帮助审计人员审阅业务事项档案，查找满足指定条件的记录，又可以对众多业务事项进行统计抽样，并对抽取的样本进行详细测试，扩大审计范围，提高审计效率和质量；三是要建立审计信息共享系统，使审计人员开展具体的审计项目前能充分利用以前的审计成果，尽快找到审计重点，增强审计的针对性，避免重大审计疏漏。

(六)规范审计证据搜集，提高审计证据质量

在审计取证时必须注意以下二个方面：一是注意审计证据客观性和合法性。审计证据所记录的审计事项必须客观存在，有据可查；必须经合法的程序和方式取证。如向有关单位或个人调查，审计人员应有两人在场，全部证据须经当事人认证、签名、盖章。对于凭主观想象、推测或与审计事项无关的材料，均不能作为审计证据。二是注意审计证据充分性和相关性。充分性要求审计人员在工作中形成的“审计意见”，要有足够数量的审计证据来支持，特别是报告所涉及的违纪违规事件，不仅要有准确的证据而且要有充分的说服力。在现场审计结束之前，该取得的资料一定要素取到，包括谈话记录、录音等。相关性则要求审计证据应与审计事项之间有实质性联系，能支持审计发现和审计意见，并与审计目标一致。此外，还必须注重搜集包括内控制度在内的环境证据，确保审计证据要素齐全，证据内容完整，取证方法得当，只有这样，才能保证审计人员全面客观的发表审计意见，得出恰当的审计结论，减少审计风险。

(七)加强审计队伍建设，提高人员综合素质

高素质、高层次的审计队伍是提高审计工作质量，控制审计风险的根本保证，要努力建设和造就一支思想好、作风正、业务精、能力强的审计队伍。在提高业务素质方面：内审人员首先要学习好内部审计基础规范、业务规范和实务规范，这是内审人员执行审计任务的权威性标准；其次，要及时熟悉和掌握国家金融政策和法规的发展、变化，这是内审人员执行审计任务的业务基础；第三，要全面掌握本行系统各项业务产品的操作规程和控制制度，这是内审人员执行审计任务的手段；第四，加强对审计人员职业道德教育，强化职业谨慎观念，树立审计风险意识，严格执行审计规范，全面履行审计职责。

第五篇：内部控制审计（定稿）

关于……公司的审计报告

（一)审计概况：为了……，我们对公司……进行了专项审计，旨在自我评价，完善公司内部控制及财务核算，使之符合相关法规准则及公司内控制度的要求。我们的审计目标是测试……内部控制方面是否存在漏洞，各关键控制点在实务工作中是否得到有效执行。审计涉及的期间是20 年 月 日至20 年 月 日。审核的范围包括……等方面。