第一篇:商业银行构建内部审计质量控制体系初探
商业银行构建内部审计质量控制体系初探
摘要 当前,在国际、国内经济和金融形势复杂多变的情况下,商业银行构建内部审计质量控制体系十分必要。建立健全内部审计的质量控制体系是审计管理工作的需要,是提高审计质量的重要保证,是发挥审计工作有效性的重要措施。构建商业银行内部审计质量控制体系的基本思路是:建立“目标控制、制度控制、过程控制、机制控制、人力资源控制”环节,并配套可行措施,提高认识。贯彻执行“加强领导;精心组织,抓紧抓好;勇于实践,不断创新;改革创新,完善体制”这一基本思路,就能达到提高内部审计质量、效率和成果的目的。
关键词 商业银行 内部审计 质量控制体系
随着金融业的不断发展,商业银行要建设成为资本充足、内控严密、运营安全、服务和效益良好的国际先进的金融企业,商业银行自身就必须建立起严密有效的内部控制,增强风险控制能力,提高资产质量,保证资金安全,确保金融企业目标的实现。内部审计是内部控制的重要组成部分,审计质量的高低直接影响着内部控制的有效性,也影响着审计作用的发挥。加强审计管理工作,提高审计质量,构建科学规范的审计质量控制体系,是发挥内部审计的职能作用,增强审计工作有效性和权威性的关键所在。
一、商业银行构建内部审计质量控制体系的重要性和必要性
内部审计质量控制是指商业银行为保证审计工作符合有关审计章程、审计准则和其他适用的审计规范而制定和运用的控制政策和措施。具体应包括以下几个方面:
1.建立健全内部审计的质量控制体系是审计管理工作的需要。国有商业银行普遍实行较为独立的内部审计体制,总行及各级审计部门都担负了对所属各机构和审计机构的审计监督管理职能。以实施有效的审计监督,为提高审计质量奠定良好的基础。但是,审计管理的手段不够先进科学,管理的内容和标准不够全面系统,对所属审计机构的考核、评价制度不够完善,对审计人员的激励约束机制还没有真正建立起来,由此导致审计管理的效果不明显,审计的总体质量不高。因此,建立健全科学规范的审计质量控制体系,明确审计质量控制的标准,实施有效的审计质量控制,成为履行管理职能的一项重要前提。2.建立健全审计质量控制体系是提高审计质量的重要保证。商业银行制定了《内部审计章程》和《内部审计准则》,为审计机构和人员开展审计监督活动、执业行为提供了严格的规范标准。但是,审计准则在实际执行过程还存在一些缺陷。一方面准则本身存在一定的局限性,另一方面则是准则的贯彻执行不到位,导致了实际执行结果与准则要求存在一定的差距,从而形成一定的审计风险。因此,建立健全内部审计质量控制体系,对于规范审计执业行为,引导审计机构强化审计质量管理,培养审计人员的质量意识和风险防范意识,提高审计质量和工作效率,推动审计工作的健康发展具有积极的重要意义。
3.建立健全内部审计质量控制体系是发挥审计工作有效性的重要措施。内部审计区别于国家审计和社会审计的一个显著特点就是服务内向性,这一特性决定了内部审计除了具有监督、评价职能外,还具有建设性职能。这一职能对于发挥审计工作的有效性,提高审计成果的利用价值,改进商业银行的经营管理,具有十分重要的意义。建立健全内部审计质量控制体系是发挥审计有效性的一项重要措施。一是有利于加强对审计质量的管理和控制;二是有利于充分运用审计信息的资源优势,积极提出合理化建议,为改进经营管理发挥建设性作用;三是有利于加强审计部门对审计发现问题的督促整改力度,防止有章不循、屡禁不止的现象;四是有利于引导审计人员注重审计成果的加工利用,分析形成问题的深层次原因以及解决途径,为经营管理决策提供有价值的意见或建议;五是有利于提高审计结论定性的客观性和准确性,对有关责任人提出处理建议。
二、审计质量的管理和控制方面存在一些突出问题
随着商业银行的不断发展,粗放型发展模式正在逐步被集约化发展模式所代替,商业银行越来越注重加强内部管理,增强风险防范能力,不断强化内部控制。因此,内部审计工作越来越受到重视,审计工作的质量不断提高,审计工作的有效性不断增强。但是,金融形势的多变也向商业银行内部审计工作提出了更高的要求。与国际一流商业银行对其的要求相比,目前的内部审计工作还存在较大差距。比较突出的表现是:
1.审计项目的选择立项缺乏针对性和科学性。审计计划的制订直接影响着审计工作的有效性,因此年度审计计划的确定要具有科学而准确的依据。但目前,审计部门没有建立全行经营管理的风险评估制度,审计项目的选择多侧重于主观判断,缺乏科学的客观依据。在地区差异上,由于各分行的经营管理状况不同,风险状况不同,在确定审计项目上应有所差别。但目前审计工作计划主要是由总行统一制定,各级审计部门遵照执行,根据各一级分行自身实际风险状况确定的审计项目非常有限,没有体现各分行的实际风险差异。
2.内部审计制度建设存在不足。一是审计规章制度的标准化不够;二是审计规章制度的系统性不强。现行的制度规定零散、形式多样、内容庞杂、分布广泛,不宜收集、保管和掌握;三是规章制度的内容不够完善,达不到精细化管理的要求,审计人员在把握制度的尺度上存在差异;四是规章制度的修订、更新不及时。随着审计业务的发展,有些不适用的规定没有及时清理,新的制度又没有及时补充,致使审计制度的制定滞后于业务发展,影响了审计工作的质量。
3.审计报告的质量有待于提高。审计报告是审计成果的集中体现,审计报告质量的高低直接反映了审计工作的质量。但是,有些审计报告在形式上千篇一律,缺乏重点,特别是审计发现问题的原因分析缺乏深入的剖析,审计结论不明确或没有审计结论,审计建议缺乏针对性和可操作性,审计成果的利用价值明显不足。
4.审计质量的考核评价机制不够完善有效。审计质量的考核评价是审计管理部门对所属审计机构和人员组织实施审计项目的质量和审计工作管理水平的综合考评和考核。审计质量的考核结果应作为评价审计机构和审计人员的工作业绩、绩效工资的发放、内部资源的分配的重要依据。但是,目前实行的审计质量考核体系还不够完善,考核的组织程序还不规范,考核结果与奖惩措施之间的挂钩程度还不紧密,导致了考核评价的效果不明显,未对审计质量总体水平的提高起到应有的促进作用。
5.审计人员的管理存在不足。对审计人员的管理体制不健全,审计专业人才的晋升通道不畅通;管理人员的聘任缺乏明确的目标和考核评价体系;审计人员的收入与工作绩效挂钩的机制不完善;审计人员的业务培训受到局限,人员的整体素质不能满足业务发展的需要。这在很大程度上影响了审计工作的质量,也影响了审计职能作用的发挥,因此,加强审计质量控制应当作为一项重要而紧迫的工作抓紧抓好。
三、构建商业银行内部审计质量控制体系的基本思路
针对审计风险点,以审计制度规范为控制标准,以完善审计操作流程为核心,以提高审计质量、发挥审计的有效性为目的,加强审计的组织、管理,整合和完善现有的审计管理制度,形成有效的审计质量控制体系。内部审计质量控制体系是一系列质量控制政策和措施的总和,也是实施这一系列政策、措施的活动过程,它包括目标控制、制度控制、过程控制、机制控制和人力资源控制等几个方面。具体内容如下:
1.目标控制。审计质量的目标控制取决于内部审计的职能定位。商业银行内部审计的职能是监督、评价和建设职能,内部审计担负着促进商业银行建立有效的内部控制,监督审计对象合法合规经营,揭示和纠正经营管理中的违规违章行为,督促审计发现问题的整改落实,提出改进经营管理的审计建议等任务。因此,商业银行内部审计质量控制的最主要的目标是充分行使审计职能,发挥审计工作的有效性。在这一目标指引下,审计部门和人员在实际工作中,要准确把握和界定审计职责,认真行使审计监督的权利,提高审计工作的有效性和权威性。
按照既定的控制目标,审计部门在制定年度审计工作计划时,要把握好全行的宏观政策,在对全行业务进行风险评价的基础上,按照风险导向的原则,确定审计的重点。审计重点的确定要体现以下三个原则:一是跟进银行改革发展的进程,关注业务发展中出现的新情况、新问题以及一些苗头性风险;二是根据案件发生的重点区域,关注重点行处的风险控制能力和内控执行情况;三是围绕全行的中心工作,关注决策层以及上级和外部监管部门重点强调的工作和风险区域。
2.制度控制。制度控制是指建立和完善审计制度体系,使审计机构和人员在审计过程中有章可依,照章行事。审计质量的制度控制是一项全面控制,是对影响和制约审计质量的各个因素建立全面的控制标准。它包括审计工作计划、组织实施、总结考评;审计项目的确定、组织、实施、追踪、考核;审计技术、方法手段的运用和创新;审计信息的传导沟通及交流反馈;审计队伍的组织管理;审计基础建设和基础管理等各个方面。制度的建设应体现标准化、系统化,满足精细化管理的要求。建立以岗位说明书为载体的制度规定,限制和减少以文件形式印发的规章制度,增强制度的操作性。制度控制要实行动态管理,审计管理部门要根据业务发展的需要,对原有的制度规定进行经常性的维护,不断地补充、修改和完善,以满足业务发展的需要。
3.过程控制。管理学理论明确要求,质量管理和控制应贯穿于组织活动的全过程。质量控制不仅表现为一系列的控制政策和措施,更表现为制定和实施这些政策和措施的活动过程。审计质量控制贯穿于审计活动的始终,充分体现动态的过程控制理念,对审计计划、组织、考核、追踪和信息披露等审计程序,实施全过程的跟踪控制管理,提高控制活动的连续性和有效性。
过程控制以审计项目的过程控制为主要内容。审计项目的过程控制是按照审计项目的程序,对实施审计项目的各个阶段进行质量控制,包括审计准备阶段控制、取证阶段控制、报告阶段控制、终结阶段控制等几个方面。
4.机制控制。机制控制就是建立内部审计的激励约束机制。在建立科学的审计质量考核体系的基础上,对审计人员的工作质量进行考核,将资源配置、岗位职务晋升和薪酬分配与审计人员实现的经济增加值(即挽回的经济损失)、风险责任以及所承担工作的难易、复杂程度直接挂钩,形成激励有力、约束有效的内在机制,从制度上保证审计人员的切身利益,激发审计人员的工作热情,促进审计人员以高度的事业心和责任感投入到工作中去。
质量考核体系的建立应科学合理。在考核内容上应反映每一位员工日常工作量和工作的难易复杂程度,以审计项目质量为重点,突出对履岗能力和岗位作业质量的考核;在考核方式上应以上级对下级考核为主,自评和互评为辅,突出下级对上级负责,兼顾团队支持协助能力的考核;在评价标准上应力求清晰、明确,突出量化考核,避免程序繁琐,便于操作比较;在考核时间上应以日常定期考核为主,按季或按年汇总结论,对日常考核结果应建立绩效考核台账,实行积分累计制管理;在绩效挂钩上,应将考核结果与绩效工资挂钩,体现激励约束作用。
5.人力资源控制。人力资源的管理和控制是现代质量控制管理的核心。从质量标准的制定到控制程序的实施都依赖于人的参与和实践,质量控制水平的高低最终取决于人的业务素质和主观努力。商业银行的快速发展,促使银行的服务产品更加丰富,服务功能更加完善,服务手段更加先进,内部审计作为银行风险防范和内部控制的重要组成部分,对审计人员综合素质的要求越来越高。因此,人力资源控制是审计质量控制体系中的一项重要内容,是持续提高质量控制水平的根本保证。人力资源控制主要包括以下几个方面:一是明确对审计人员素质和能力的要求;二是建立审计专业技术岗位职务序列;三是加强对审计人员的培训;四是严格执行审计岗位准入与退出制度;五是建立审计风险责任认定和追究制度。
四、构建商业银行内部审计质量控制体系的可行措施
1.提高认识,加强领导。内部审计是现代商业银行建立安全有效的内部监督制约机制的重要组成部分,也是银行抵御各种金融风险的基础和关键防线。内部审计职能作用发挥的程度,主要取决于审计工作的质量。内部审计质量越高,银行内部自我约束、自我控制和自我纠改能力就越强,审计作用的发挥就越充分,内部审计第三道防线的作用就能得到很好的发挥。商业银行应高度重视审计质量控制体系的建设,将其当作一项全行性的工作来抓,在人力、物力、财力、技术等各种资源上给予必要的保障,确保体系建设的顺利进行。全体审计人员作为审计质量控制的主体,肩负着所有控制措施的组织实施任务,必须在思想上高度重视审计质量控制的管理,这是体系建设能否取得预期效果的关键。
2.精心组织,持续推进。审计质量控制体系建设是一项全新的系统工程,涉及面广,内容全面。体系的建设不是一朝一夕的事,而是一项长期的任务。审计部门应制定明确的规划设计和年度实施计划,在工作安排上要以保证审计质量为前提,组织开展各项审计监督活动。质量控制体系的建设是一个循序渐进的过程,它来源于实践,又用来指导实践。在审计实践活动中要不断摸索和研究质量控制的方法和手段,通过不断地总结、改进和完善,形成质量控制的模型和指标控制体系。对质量控制的管理要实行动态管理,根据实际工作需要,适时调整更新和补充完善,形成定期检讨和修正的动态机制,增强控制政策和措施的科学性、可行性、前瞻性以及控制活动的针对性、连续性和有效性。
3.创新方法提高效率。随着审计业务范围扩大和审计职能任务加重,对审计质量控制的新技术方法和手段的要求不断提高,传统的以现场检查和事后核对等方法,造成了大量的人力和资源的浪费,使得审计质量和效率大打折扣。因此,必须积极应用新的科技手段和方法,转变到采取以非现场审计为主,辅之以现场审计的审计模式,实现审计程序的网上实时或及时跟踪检查,在一定范围内建立起可以信息共享的审计成果数据库,使审计系统真正具备检测准确、反馈迅速的工作能力。同时,审计部门应组织专门力量,积极实践,勇于创新,不断强化控制手段,应用管理科学中新的研究成果,发挥科技优势,丰富和细化控制方法和体系,增强质量控制的效果。
4.顺应时代,完善体制。按照股份制商业银行的要求,参照国外股份制银行内部治理结构的模式,应当完善内部审计体质,有效发挥独立的内部审计监督职能,提高审计工作的有效性和权威性,保证审计质量控制能力的增强。
第二篇:健全商业银行内部控制体系
健全商业银行内部控制体系
商业银行内部控制是指商业银行内部自觉主动地通过建立各种规章制度,以确保管理有效、资产安全,最终实现安全与效率的目标。为此,商业银行内控制度必须在银行内部保证国家有关法律法规和央行监管制度在各部门和各级人员中得到正确且充分地贯彻执行,以有效杜绝内部人员的违规操作、内部欺诈与犯罪行为。
从近几年广东地区发生的信用证骗汇案、“皮包公司”骗贷案、假按揭案、内外部勾结转移资金案、员工监守自盗案等案件看,金融案件给国家带来的经济损失无不数额巨大,暴露出商业银行内控管理中存在的巨大风险。
内控管理的风险表现原因
1.外部竞争激烈导致经营风险增大
加入WTO后,随着金融市场开放程度的不断扩大,我国商业银行面临更加激烈的竞争环境和更加复杂
多样的风险。具体表现在:一方面,以扩大资产规模为战略重点的商业银行为获取较高的资产收益和资产增长速度,压低价格和放宽条件发放贷款,使银行资金营运风险程度
加大。另一方面,在激烈的金融竞争中,商业银行为占领并扩大市场份额,各种金融新产品和新业务在银行资产负债表外迅速滋生,使得银行在不知不觉中承担了各种潜在风险。
2.制度存在的固有缺陷导致制度风险显现
一是制度空缺风险,商业银行正常经营所必须具备的若干基本规章制度,在某些地方还存在盲点。没有规矩不成方圆,出现风险损失自然不可避免。二是虽有制度,但制度设计漏洞多,许多
制度设计从方便自己工作出发,对方便客户和防范风险考虑的不同。三是有章不循,本来就不多且还存在漏洞的制度,在实际工作中也没有得到认真执行。有章不循、检查监督不力,是案件居高不下的主要原因。
还有一个致命的问题,就是人员风险。因为制度和体制是由人来设计的,各项工作也是由人来干的。但由于没有形成防范风险所要求的激励约束机制,员工队伍不纯,鱼龙混杂,并且员工专业水平不高,缺乏识别风险和防范风险的意识和能力,更易导致经营风险发生。
内控制度缺陷是银行风险存在的内部原因
1.内控制度的适应性不足
对内控制度的认识存在偏差,内控规章制度不健全,在理解上存在偏颇之处。仅认为内部控制是各种规章制度的制定、装订、汇总等整章建制方面的工作;还表现在业务开拓与内控制度建设缺乏同步性,特别是新业务的开展缺乏必要的制度保障,风险较大。
2.内控制度的整体性不够
对所属分支机构控制不力,对决策管理层缺乏有效的监督。对业务人员监督得多,而对各级管理人员监督得较少、制约力不强,内控制度缺乏刚性。
3.内控制度的权威性不强
审计资源配置效率低下,稽审职能和权威性没有充分发挥,内部审计部门没有完全起到查错防漏、控制风险的作用。
健全商业银行内部控制体系的构想
(一)内部控制发展的过程
内部控制制度的发展经历了内部牵制、内部控制制度、内部控制结构、内部控制整体框架等几个阶段。目前理论界和实务界对内部控制的认识尚不统一,多数人对其认识仍停留在内部控制制度和内部控制结构阶段。应该说,内部控制整体框架更为完善,具体体现
在内容方面,在控制环境中增加对全体员工的诚实、职业道德和胜任能力的要求,并增加风险评估这一新的控制成分,强调单位要为实现目标分析相关风险,以构成风险管理的基础,而且将会计系统改为信息与沟通系统,扩大了信息系统方法和记录的内涵。
在现代公司制下,以保护资产和查错防弊为主要内容的内部控制,明显不能满足需要。这种内控职责不仅仅包括财产的安全完整和会计资料的真实可靠,还将促进单位贯彻其经营方针及提高经营效率纳入其中,这是公司治理结构对内部控制提出的新要求
。因此,商业银行的内部控制构建思路是:明确各控制成分之间的相互关系,建立以控制环境为基础、风险评估为依据、控制活动为手段、信息与沟通为载体,监督与控制为保证的内部控制整体框架。
(二)实现有效控制的原则
1.管理控制的特点
控制作为组织管理的一项基本职能,主要是通过发挥“纠偏”和“调适”两方面功能,促使组织更加有效地实现其根本目标。其特点包括:一是具有明确的目的性,为实现组织目标而活动。二是具有整体性,从控制主体看,管理控制应成为组织全体成员的职责,而非管理人员的职责,这是现代组织中推行民主化管理思想的重要方面;从控制对象看,管理控制覆盖组织活动的各个方面,包括人、财、物、信息资源等,使各方面的控制能力能协调一致,达到整体优化。三是具有人性,管理控制本质上是由人来执行的且主要是对人的行为的一种控制。管理控制应成为提高员工工作能力的工具,控制不仅仅是监督,更重要的是指导和帮助。只有员工认识到纠正偏差的必要性并具备纠正能力时,偏差才会真正被纠正。
2.有效控制的原则
首先,有效的管理控制必须能够反映一个组织的结构状况并通过健全的组织结构予以保证,否则只能是空谈。其次,有效控制应突出重点,强调例外,找出和确定最能反映或体现
经营成果的关键因素加以控制,根据偏差反映事态严重程度
进行判断。再者,有效控制应具有灵活性、及时性和经济性的特点。内部控制体系应适应内外部环境的变化,具备及时纠正功能,同时要坚持适度性原则。为进行控制而支出的费用和由控制而增加的收益都直接与控制程度
相关。控制系统越复杂,控制工作力度越大,只意味着控制的投入大,此时未必计划目的更易实施或实现。最后,控制过程应避免出现目标扭曲问题,避免出现“不是组织在运用控制职能,而是控制在束缚组织”的控制功能障碍。
(三)构建“以人为本”的内部控制管理体系
1.以“人本主义”作为构建内部控制机制的信条,营造良好的内控管理文化氛围。具体表现在内部环境的控制,包括领导班子与组织机构控制、人力资源管理、安全保卫及法规管理、信息系统控制等方面,既要重视正式约束的建设,也要充分考虑非正式约束的作用。从内控管理降低银行风险的角度看,好的非正式约束有助于人们价值观念、道德规范的形成,自觉约束人们的行为,减少制度对其的强制性。从而节约银行运行中处理磨擦的费用和正式约束制度成本的支出,避免出现再好的正式约束制度由于没有非正式约束的配合导致“好看不中用”尴尬局面。
为此,首先要建立内部控制管理理念,也就是风险控制思想。银行每项业务都是伴随着对风险的分析、评价、监控、转移、分解等处理方式展开的。内控管理是银行提高核心竞争力的重要手段,关系到银行的生存和发展,要使全体员工都要有这样一种理念,作为组织行为的共同指导思想,促使由决策层、执行层和监督保障层共同构建的风险内部管理体系充分发挥相互制衡作用。再者,要建立合理的内控管理激励约束机制,充分实现内控制度管理的多元化目标。作为制度建设者、执行者的人,是内控管理的基础,只有充分发挥了人的能动性,才能激励其自觉实现内控管理目标。
2.以“风险评价”为依据,通过建立内控评价管理办法推动内控管理工作有序开展。
(1)制度建设评价标准
内部控制制度建设评价标准,首先要遵循国家的金融监管政策法律法规;二是遵循“控制论”的基本原理,既要具有完整性和有机结合性,又要以“有效控制”为原则,通过对信用风险、市场风险、操作风险等有效监测分析、有效控制银行经营活动;三是遵循电子技术的程序化和科学化原则,将内控资料规范存储
和积累,便于监测、分析和评价工作的顺利开展。
(2)制度执行评价标准
内控制度执行评价标准包括内控环境、内控风险识别、内控活动的有效性、内控信息的交流反馈。一是内控环境标准,包括:内控执行人员的价值观和道德观是否完整可靠;内控激励约束机制的作用程度
是否达到预期目的;各级管理层的内控意识是否牢固树立;内控人员的内控能力是否与其责任相匹配;内控用人机制是否健全有效;内控管理层和监督层对内控是否给予了充分的关注等。二是内控风险识别标准,包括:内控管理的总体目标和分项目标是否明确,二者的关联程度
如何,各级管理层为确保整体目标实现的参与情况和承担责任是否清晰、明确;是否建立了对内部和外部内控风险预测和识别机制,即内控风险预测是否透彻和恰当,内控风险评价概率和频率依据是否准确可靠,是否建立了内控风险的预测和识别的反应机制。三是内控活动的有效性标准,包括:银行的每项经营和管理是否都设有恰当的风险监控活动;内部风险控制活动是否保证内控指令得到全面的执行;通过内控活动的实施是否及时有效地化解相关风险。四是内控信息的及时反馈标准,包括:是否建立了各种有效的内控信息交流反馈系统,即内控系统岗位员工通过内控责任的履行,发现可疑和不轨行为是否及时将信息传递给管理层,管理层是否将内控信息以一定方式及时转达给有关人员有效履行其内控职责,达到内控的预期效果;内部控制系统当中每位员工和每个内控管理部门所负有的内控管理信息的交流职责、交流渠道、交流方式、交流时间是否真正明确;内控信息的上传下达和横向交流手段与方式是否切实可行、及时有效等。
(3)内控制度保障评价标准
一是是否建立和设置了适时跟踪评价反馈内控情况的渠道和工作程序以及组织保障措施。二是内控体系中各个职能部门之间的内控制约关系是否建立和运转有效。三是内控制度的缺陷是否得到及时的发现和纠正。四是随着银行业务的不断拓展和品种的创新,内部控制制度、程序和政策是否得到了及时的调整、修正和完善。
3.以“高效信息沟通”为依托,通过电子化信息交流渠道的安全运转,保证银行内控体系有效运作。通过建立风险报告制度保证风险管理的信息沟通,保证决策层能够通过内控评价和风险报告,对内控状况进行检查评价,对风险监测报告进行整理分析,做出有分析依据的判断决策;执行层在责任划分和权限内履行风险内控管理职责监督检查层通过对决策管理层和执行层工作的事后再监督与检查,对违规违纪行为进行处罚。
只有形成内控管理有标准、部门设置有制约、操作有制度、岗位有职责、过程有监控、风险有监测、工作有评价、事后有考核的全面有效内控制度体系,才
能确保商业银行实现经营目标。
第三篇:浅谈内部审计在商业银行内部控制体系建设中的作用
浅谈内部审计在商业银行内部控制体系建设中的作用
字数:3220 来源:科学与财富 2011年11期 字体:大中小 打印当页正文
[摘 要] 随着商业银行所处的环境越来越复杂,商业银行的各种风险也在不断加大,良好的内部审计和内部控制能有效管理风险。但是,我国商业银行内部控制和内部审计却存在着诸多的局限因素,制约着内部控制和内部审计工作的发展。本文分析了我国商业银行内部控制和内部审计的现状及存在的问题,有针对性地提出了如何发挥内部审计在商业银行内部控制体系建设中的作用的对策和建议。
[关键词] 内部审计 内部控制 商业银行风险
近年来,随着金融行业的迅猛发展,商业银行的各种风险也在不断加大。商业银行是经营货币的特殊企业,具有高风险性和负外部性,这种高风险特点决定了商业银行相对于其他行业对风险管理的要求更高、更严格。商业银行的主要风险有信用风险、市场风险和操作风险。信用风险可定义为银行的借款人或交易对象不能按事先达成的协议履行义务的潜在可能性。市场风险是指因市场价格、利率、汇率、股票价格和商品价格的不利变动而使银行表内和表外业务发生损失的风险。操作风险是指由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。而良好的内部审计和内部控制能有效地监测和管理风险,如何通过完善我国商业银行内部审计,有效控制银行风险,提高银行经营效益和增强竞争力已成为我国商业银行一个急待解决的现实问题。
一、商业银行内部控制与内部审计的内在关系
内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。内部控制由五大要素构成:内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。内部控制的一般方法通常包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。按照内部控制目标的不同,商业银行内部控制主要包括授信业务的内部控制、资金业务的内部控制、存款及柜台业务的内部控制、中间业务的内部控制、会计业务的内部控制、计算机信息系统的内部控制共六个方面。
内部审计是商业银行内部控制的一个重要组成部分,同时也是实现内部控制目标的重要手段。国际内部审计师协会(IIA)对内部审计的最新定义为:“内部审计是一种独立、客观的保证与咨询活动,它的目的是为机构增加价值并提高机构的运作效率。它采取一种系统化、规范化的方法来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现机构目标。”商业银行内部审计作为内部控制的重要组成部分之一,其主要目的是为了加强内部管理,协助管理层督促部门和机构更有效地履行他们的职责,发挥内部审计具有的监督、评价、建设职能。商业银行内部审计在内部控制中的作用主要表现在:第一,对商业银行内部控制的有效性进行监督检查,具体包括对授信业务的监督检查、对资金业务的监督检查、对存款及柜台业务的监督检查、对中间业务的监督检查、对会计业务的监督检查、对计算机信息系统的监督检查。发现管理和控制环节的各个漏洞,并且提醒管理层去堵塞这些漏洞。第二,对商业银行内部控制进行评价。通过认定和评价内部控制的有效性,向管理层报告审计情况并提出改进建议,以促进内部控制的持续有效。第三,参与内部控制体系建设,开展全面风险分析,为内控建设提供参考,为构建内部控制制度的总体框架提供咨询服务。
内部控制与内部审计属交叉关系,内部审计的部分职能是内部控制的重要组成部分,但反过来又为内部控制提供保证及咨询服务,履行评价、监督和提出改进建议的职能。
二、当前我国商业银行内部控制和内部审计状况
(一)当前我国商业银行的内部控制状况
经过银行监管部门的监管指引和各家商业银行的多年探索,目前国内大多数商业银行都初步形成了较为完善的内部控制框架、内部控制流程和内控评价机制。但是与金融业的改革与发展对内部控制的要求相比,还存在着许多薄弱环节。
1.现行的内控制度不健全、不系统,内部控制制度建设滞后,没有覆盖所有的岗位。当前金融业发展迅速,新的金融工具金融产品层出不穷,但是针对这些新产品新业务,多数银行没有及时制定相应的内部控制制度。部分制度制定不符合实际,过于简单和条理化,操作性不强,没有考虑到现实情况,无法为业务提供实际指导,规定形同虚设。由于规章制度过时或不完善,造成内控的漏洞和操作失误难以防止,增大了经营风险。
2.组织结构设置不合理,人力资源配置方式不能适应内部控制的要求,人员素质有待提高。有些商业银行的组织机构设置过多的考虑行政管理上的方便,而不重视自身结构的合理性问题。商业银行存在机构臃肿、管理层次太多、工作效率低下的问题,同级部门的信息沟通不灵敏,协调性差。由于分工不明确,经常会出现责任推脱的现象,利益的交叉也使得权力制衡在运行中失灵。大型商业银行过长的委托代理链导致责任界限不清,总行对下级分行的掌控力依次减弱,规章制度执行力度递减。
3.内部稽查监督系统不完善,监督机构不独立,难以对管理层和普通职员形成有效的约束。
(二)当前我国商业银行的内部审计状况
我国商业银行内部审计虽然取得了明显成效,但与金融业的改革和发展对内部审计的要求相比,还存在着许多不足:
1.内部审计模式还不够健全,内部审计技术落后。目前我国商业银行的内部审计基本上是账目基础审计,以全部业务和账目为基础,主要采用详细审计或依赖于审计者个人经验判断的抽样审计方法,而不是国际上先进的商业银行通行的风险基础审计。审计的内容完全凭审计人员的经验判断,造成审计期长、审计成本高、审计效率低下。内部审计随意性很大,缺乏科学性。
2.内部审计机构权威性不高,缺乏一定的独立性。从国外银行的经验看,内部审计部门往往是对董事会而非行政管理者负责,可以在没有管理层的干涉下执行委派任务,自由地报告审计发现和评价,国外商业银行内部审计的独立性相对较好。而我国商业银行大多尚未建立起垂直、独立的内部审计体系,内部审计只是作为内部稽核的重要力量向各级行长报告工作。我国大多数银行内部审计机构隶属于本级行长领导,基本没有独立行使审计监督的权利。内审人员与被审计单位的各种利益(包括经济利益和非经济利益)有着密切的联系,对所在单位有较多的依附,使得内部审计的独立性较差,权威性也受到影响。由于缺乏相应的权限和相对独立的地位,商业银行的内部审计工作中,被审计单位往往不积极配合,对管理层的监督和审计流于形式。
3.商业银行的内部审计成果应用不够。一般情况下,上级银行的考核主要是以量化指标为主,未建立起对经营管理整体考核的评价体系。这便造成了下级银行不重视内审的警示作用,甚至存在屡查屡犯的现象。目前能够运用的仅限于系统内的常规现场审计项目,而对下级自审项目中存在的风险披露不及时,敏感问题避重就轻,难以从更全面的角度通过信息的反馈作用使审计的建议得到真正落实。
4.审计力量薄弱,监督能力不够。商业银行业务量大、业务环节复杂、资金往来频繁,会计资料及相关信息繁杂,内部审计任务非常繁重。相对于全面、独立开展风险管理体系内部审计的新要求、新使命,内部审计部门目前仍存在一定的距离。商业银行存在内审人员不足,内审人员综合素质差,内部审计力量薄弱问题。审计人员的知识结构单一,财务会计人员占多数,而来自法律、管理、计算机、工程或其他专业领域的人才较少,具备综合性素质的人才更少。整体上看,商业银行内部审计队伍中尚缺乏熟悉统计分析技术、建模技术、验证技术的人员配备。难以胜任的审计人员、落后的风险管理方法、不健全的风险评估体系直接导致内部审计难以对银行进行全面的风险管理和内部治理。
5.内审工作范围过窄,内部审计的内容不全面。目前,商业银行内部审计工作基本上还是查错防弊,局限于查处一些具体违法违规问题。我国商业银行目前执行的内部审计项目关注的风险基本集中在合规风险、操作风险和内部舞弊风险上,对于信用风险、国家风险和转移风险、市场风险、利率风险、流动性风险、法律风险、声誉风险等则几乎没有涉及。商业银行内部审计往往只注重检查会计凭证、报表等资料是否真实、完整,业务操作是否合规合法等,缺乏对信贷资产质量、风险责任、经济效益进行审计,缺乏对银行内部管理结构、内部控制状况、各岗位业务规范状况等,作出评价和建议。更未对一些重要的深层次的问题如管理制度、政策法规、社会环境、监督体系等方面进行研究。面对商业银行业务创新频出,经营范围不断拓展,而内部审计却变化缓慢,内部审计范围过窄。
三、内部审计如何在商业银行内控体系建设中发挥作用
(一)重新定位内部审计职能。
商业银行内部审计工作重点应从传统的“查错防弊”转向为银行内部的管理、决策及效益服务。在审计角色上,由单纯“警察”向“参谋”、“顾问”转型。拓展审计活动空间,将内部审计工作重点渗透到经营管理领域,深入研究问题根源,提出管理思路和对策,从更高层次上发挥内部审计的作用。使内部审计从风险管理的角度参与公司治理,为管理层决策提供咨询信息,为商业银行提供增值服务,帮助商业银行实现经营目标。
(二)发挥管理咨询审计职能,促进商业银行良好的内部控制环境的形成。
随着商业银行公司治理结构的逐步完善,对内部审计提出了更高的要求,内部审计在做好合规性审计的基础上拓展咨询职能是大势所趋。管理咨询审计属于增值型审计工作,银行管理咨询审计的内容,既包括资产负债损益等业务经营全面审计,又包括管理责任、管理效率和管理行为的管理审计,还包括内控管理制度的综合评价等。商业银行内部审计部门必须站在完善公司治理和强化内部监控的高度,履行好审计职责,更新审计理念,创新管理机制。在审计内容上,应由合规性审计为主向管理和效益审计为主转型。商业银行内部审计要发挥“免疫系统”功能,为控制风险,减少损失,应将内部审计切入点逐步前移,由目前的事后审计向事中、事前审计发展,将审计的监督职能寓于管理控制之中。预测并防止可能出现问题的环节,向董事会或管理部门反馈信息,使商业银行内部审计成为管理层的有力助手。内审部门应改进审计手段和方法,提高审计质量和审计效率,保证内审工作的有效性。此外,要保持内审部门与上级管理层信息沟通渠道畅通,使管理层能及时听取内审部门对内部控制的评价和改进建议,发挥内审工作的建设性作用。
(三)规范商业银行内部控制制度,努力提高内部审计的独立性。
独立性是内部审计的灵魂,商业银行必须建立符合国际标准、适应新体制要求的审计作业与质量控制规范体系以及标准化、模块化的审计方法体系,形成相对独立、垂直管理的内部审计体制。使商业银行内部审计部门在工作上、组织上和经济上不受被审对象的约束,保持超脱性,从而能够客观、公正地揭示内控缺陷。
(四)构建和谐的内部审计文化,不断提升商业银行内部审计的价值。
内部审计人员是内部审计文化的执行者和塑造者。内部控制机制是一个复杂的有机系统,不能简单地理解为各项工作制度和业务规章的汇总,也不能认为加强内部控制是具体某个部门人员的工作职责,而应该让内部控制渗透到每一个业务环节,让每一位员工都明确自己在内部控制中的职责。
(五)建立以风险导向为主的内部审计制度,全面降低商业银行风险。
风险导向审计是战略管理理论和系统理论在审计实践中的运用所推动的审计模式的新发展。风险导向审计要求审计人员关心组织所面临的风险,并根据风险评估的思路开展对内部控制的评估,使审计报告将目前的控制与策略计划、风险评估连接起来。实施风险导向内部审计,必须强化风险管理理念,充分揭示业务活动和内部管理中存在的风险。通过对商业银行管理行为,资产风险的分析和评价,全面把握被审主体的风险状况。在全面把握整体风险状况的基础上,找出高风险的领域。根据不同的风险建立不同的评估标准,准确识别与评估风险。在此基础上确定审计项目、范围、重点和方式,集中力量对高风险领域进行监控。从而促进商业银行各级管理层有效地进行风险控制和管理,科学决策,提高管理水平。
(六)强化内部审计人员的管理,提升其专业技能和职业判断能力。内部审计要严格遵守公正、客观、保密、胜任的行为准则,树立专业公正,守法诚信的形象,展示其专业能力和职业素养。内审人员必须具备广博的专业知识和多元化的技能。商业银行必须不断提高内审人员的专业素质,以适应不断发展变化的经济金融形势。应通过后续教育和工作培训,增强内审人员在审计风险评估和控制方面的职业判断能力,使其以职业谨慎态度和超然独立性执行审计业务,从而降低审计风险。■
参考文献
[1]胡继荣、刘慧芳,2008:基于全面风险管理的商业银行内部审计职能研究[J],财会月刊(11),P65-66。
[2]巴曙松,2003:巴塞尔新资本协议研究[M],中国金融出版社。
[3]国际内部审计师协会,2004:内部审计实务标准[M],中国时代经济出版社。
第四篇:商业银行内部控制自我评价体系的构建[最终版]
商业银行内部控制自我评价体系的构建
2012年02月10日 09:32
中信银行[4.07 6.82% 股吧 研报]合规审计部课题组商业银行作为一个以信用为基础,经营货币借贷和结算等业务的高风险行业,实现审慎经营、防范风险,完善内部控制显得尤为重要。本文通过对中信银行的内部控制自我评价实践情况进行分析研究,重点介绍其体系设计、评价标准、评价方法,希望对当前上市银行推进内部控制自我评价工作产生一定借鉴意义。
中信银行内部控制自我评价体系介绍
设计原则。中信银行从2006年开始对内部控制情况进行自我评价,并聘请外部审计机构对内部控制评价报告进行鉴证。《企业内部控制基本规范》颁行后,中信银行根据监管要求积极探索构建内控自我评价模式与评价体系,聘请知名会计咨询公司共同设计优化了内控自我评价流程,不断探索缺陷整改与应对机制,初步形成了内部控制评价与改进机制。与此同时,中信银行着力整合开发涵盖内控日常管理、内控评价、审计检查、操作风险管理、合规管理等功能于一体的内控管理IT平台系统。
基本要素。中信银行的内部控制评价体系包含评价目标、评价主体、评价对象、评价指标、评价方式、评价标准等要素。中信银行将内控自我评价目标确定为:遵循国家法律法规和有关监管规定,建立健全内部控制体系、促进保护企业财产安全、财务
会计报告及管理信息真实可靠,提升经营效率和效果,推动实现股东价值最大化。
实施步骤。中信银行内控自我评价的主要步骤包括:计划制定、内控梳理、控制自评估、自评估校验、审计测试与评价、形成自我评价报告。
计划制定。每年初,全行各级机构在董事会的领导下,共同制定全行内控自我评价工作计划。
在工作计划中应当明确:前期培训、内控梳理、控制自评估、自评估校验、审计测试、自评价报告编制等各项工作实施的时间、参与部门、参与人员以及具体工作内容。
内控梳理。为确保评价指标的有效性和适用性,中信银行建立动态的内控梳理机制。
控制自评估。中信银行的控制自评估工作以问卷调查为主,并辅以专家研讨会等方法。
自评估校验。全行各级机构完成自评估后,由总分行内控管理专职人员对其自评估工作的执行情况及评估结果进行审核校验,出具总结性意见,意在合理保证控制自评估结果的质量。
审计测试与评价。在全行实施控制自评估的基础上,独立的内部审计人员运用穿行测试、抽样检查、实地查验、个别访谈等方法,以全行整个内部控制系统为评价对象,对总行管理部门及分行分层次进行的内部控制状况评分,并评价各级机构内部控制的适当性和有效性。内审部门将对测试中发现的内部控制缺陷进行初步认定,编制内部审计评价报告及内部控制缺陷认定汇总表,向董事会、监事会和高级管理层报告。
形成自我评价报告。由董事会对全行的内部控制情况进行审议,董事会将依据自评估、校验以及审计测试的结果,对全行控制环境、风险评估、控制活动、信息与沟通、内部监督等内部控制情况进行检视,并对内部控制的有效性出具结论性意见。董事会根据《内控基本规范》及其配套指引的要求,对外披露经注册会计师审计的内部控制自我评价报告。
行动计划制定及整改完善。全行各级机构在实施控制自评估以及日常自查、检查的过程中发现存在内部控制设计及运行缺陷、外部监管要求发生变化以及其他相关问题时,应当启动行动计划,会同相关部门及时进行整改,必要时还可提请有关部门追究相关人员的责任。
中信银行内部控制自我评价体系构建的启示
作为首批实施《企业内部控制基本规范》及其配套指引的“A+H”上市公司,中信银行根据监管要求并结合自身实际情况开展的内控自我评价工作具有一定的代表性,对我国商业银行内部控制自我评价工作的开展和完善有一定启发。
一是实现员工的广泛参与;二是重视评价指标的科学性;三是促进制度流程管理的专业化、标准化;四是推动内控评价的一体化;五是分层次、分步骤推进内部控制自我评价工作。
第五篇:试论商业银行内部审计风险及其控制
试论商业银行内部审计风险及其控制
[作者:lyw 来源:《现代商业银行导刊》 时间:2006-5-23 15:36:15 阅读:625次]
[字体:]
一、商业银行内部审计风险表现形式
近年来,由于发生了不少上市公司的造假行为,社会审计风险已得到了审计界的重视,审计风险越来越受到人们的关注。但人们对内部审计风险的了解和认知还不够,思想上还存在一些误区,因此,作为银行内部的监督部门,有必要了解银行的内部审计风险。
根据国内外理论界对审计风险的定义,结合目前商业银行内部审计的范围(远不止财务会计报表),笔者认为,商业银行内部审计风险,是内部审计部门对商业银行在经营活动中存在的违规行为和虚假的经营信息未能充分揭示,而作出不恰当的审计结论的可能性。这里对商业银行内部审计风险的阐述实际上包括两层含义:一是审计部门对违规行为和虚假的经营信息未能充分揭示;二是审计部门对违规行为和虚假的经营信息,作出不恰当的审计结论。商业银行内部审计风险的表现形式:
1.违规操作风险,即审计人员没有遵守内部审计准则进行审计而导致的风险。为了规范内部审计操作规程,银行系统均制订了内部审计的准则、操作规程、办法等,这些规章制度是内审部门履行职责时必须要遵守的,但实际工作中受诸多因素的影响,往往存在偏差,这些偏差使内审部门“执法”行为的“合规性”受到影响。
2.取证不当风险,即所取得的审计证据不充分或者不恰当而形成的风险。这是在现场审计工作中存在的一种内审风险,一般都是属于技术层面的原因造成的。按照现行内审操作一般规定,对查出的问题必须要有证据予以证明,即内审不仅仅是查出问题,更重要的是要有证据证明这是个问题,即查证问题。对查出的问题如果不取得足够的证据予以说明,所形成的审计结论就没有说服力。
3.查证不实风险,即对重要的审计事项查证不实、揭露不力而形成的风险。银行内审主要是检查银行的主要业务,尤其是侧重检查潜在风险程度高的业务,由于银行业务的行业特征,对若干业务的风险识别具有较高的难度。如内、外部勾结盗取银行资金或套取银行信贷资金的案件时有发生,有关各方对内审监督的力度和作用提出了质疑。就目前银行内审部门来说,单纯从事后检查的角度要确保银行资金的安全,确实是勉为其难。除内、外部勾结发生的业务风险外,同样可能存在查证不实的情况,这与审计人员的综合业务素质有着紧密联系。
4.定性不准风险,即引用政策规定、业务规章不当或定性措辞不尽规范而导致的风险。这是目前较多存在的一种内审风险,也是制约内审工作整体水平发挥的主要风险。
定性不准包括三种可能:
(1)定性错误。内审人员对查出问题的判断完全是错误的,对被审事项中某些尚未最终实现的结果,审计人员作出了可能产生误导作用,并与实际严重背离的推断。如在检查贷款分类业务时,没有依据借款人的主营业务收入判断借款人的还款能力,而是依据贷款的担保对象或抵押物的保证程度来判断其归还的可能,将本来应该划分为次级的贷款,划分为正常,就属于定性错误。
(2)夸大错误的程度。被审事项中存在差错,但程度上不及审计报告所陈述的严重。如对主管会计或行长是否定期检查制度执行情况的问题,从有关各方得到的信息是主管会计或行长按规定的要求进行了检查,有检查书面材料,但在相关登记簿上没有主管会计或行长签名,定性为登记簿记录不全比较准确,而定性为没有认真执行定期检查制度,就属于夸大错误。
(3)缩小错误程度。当审计检查发现的问题性质较严重,被审计单位存在多种重大违规和错弊现象,而审计报告中只反映了其中一部分或避重就轻,所形成的审计结论定性不准,有大事化小之虞,缩小了错误的程度。如检查发现某房地产企业将贷款全部用现金方式提走,应该定性为未按贷款用途使用资金,而定性为贷款未实行封闭式管理,就属于缩小了错误的程度。有时甚至发现被审对象或被审事项中存在违反国家有关财经法规重大错弊,而审计人员却出具了无保留意见的审计报告的现象。
二、商业银行内部审计风险的成因
(一)管理体制导致的风险
1.内部审计缺乏独立性。目前大部分商业银行内审部门在组织结构上仍未完全独立,审计人员的组织关系、经济关系一般都隶属所在行,不少银行虽已逐步建立相对独立的审计体制,实行“派出“或“交流”制度,但审计人员仍有后顾之忧。主要是在审计人员竞聘、部考核、考评、绩效分配等环节中,审计对象参与甚至起决定性作用,以致审计人员在审计中发现问题后不愿或不敢毫无保留地报告。且由于目前各分支机构统一法人的观念尚未真正树立,出于自身利益的考虑,害怕查出问题,更怕反映问题,因而总是有意无意地干扰内审工作,各商业银行的总行要得到下级行审计部门具有完全真实的或比较重要的审计信息,存在着受各级分支行不同程度的影响。审计成果的共享度不高,内部审计的效能未能得到充分的发挥,所形成的审计报告未能达到客观公正的要求。
2.由于商业银行现行内部审计体制缺乏对审计人员的绩效考核、责任追究的配套制度,审计人员“责、权、利”不匹配,各级审计人员的职责、范围、业务处理权限与所承担的责任不清晰,缺乏激励约束机制,内部制约机制的作用难以充分发挥,不能充分调动审计人员工作积极性。有的虽然制订了相应的规章制度和办法,但真正落实到个人的却很少。久而久之,易形成审计人员对审计工作质量的松懈情绪,潜伏了较大的审计风险隐患。此外,银行内部审计业务规章制度的建设也较为滞后,许多银行普遍缺少全行统一的审计质量控制标准体系和审计规范体系,造成审计项目程序、审计计划、审计证据搜集、工作底稿及审计报告编制等不科学、不规范,加大了审计风险产生的可能性。
(二)审计方法手段导致的风险
1.审计手段落后。近年来,金融业电子化程度越来越高,业务信息处理的电子化,使传统的手工帐册没有了,取而代之的是能大量集中存储会计数据的磁性介质,经济事项的会计处理完全由计算机自动进行。审计介质的改变,相应地要求改变审计手段。但目前,大部分银行内部审计的手段,主要还是通过查凭证、翻账簿、看报表来取得审计资料。这种传统的审计手段,无法迅速有效地完成审阅、核对、分析、比较等各项审计基础工作,审计的效率、质量、覆盖面等受到限制。用落后的手段去审计先进的介质,这本身就存在很大的风险,更无法对实行电子化的业务处理系统和计算机系统实施监督。先进的业务处理手段与落后的审计手段的矛盾日益突出,成为制约内部审计工作发展的关键性因素,也是酿成审计风险的重要因素之一。
2.非现场审计滞后。商业银行实施内部审计主要有两种方式:现场审计和非现场审计。现场审计是一种传统的审计方式,就是审计人员运用一定的审计方法和手段,以有关政策、规章制度的规定为依据,对审计对象的审计事项进行现场查证的过程。非现场审计是借助计算机手段,通过对审计对象相关数据和资料的连续调集、整理和分析,对所有分支机构和业务进行持续监测的过程,以及时发现存在的问题和疑点。不仅可以扩大审计的覆盖面,提高审计的时效性,弥补现场审计的不足,还可以帮助现场审计更加科学地选择审计样本,有针对性地对发现的疑点进行检查、核实,从而提高审计效率。目前,大部分商业银行非现场审计还未能有效地发挥作用,虽已对非现场审计做了一些尝试,但由于受非现场审计工具、审计项目管理、人员素质等因素影响,非现场审计还未完全实现与现场审计的有机结合。因而,审计的工作方式基本上还是采用传统的现场审计方式。由于银行分支机构、网点数量众多,分布面广,现场审计只能是有重点、有针对性地进行抽查,抽取样本的数量是否合理,样本是否具有代表性,能否依据样本的审查结果来评价被审单位,发表审计意见等,都增加了审计结论的不确定性,加大了审计风险。
(三)证据质量导致的风险
1.审计证据质量不高加大了审计风险。按有关审计规范要求,审计证据必须充分、有力、可靠,取证的方法和手段、证据的鉴定必须具备客观性、相关性、充分性和合法性。实际工作中容易产生证据风险的是客观性方面,证据未能客观地反映审计事项的实际情况,有的凭主观臆断,靠“听说"、就“大概”;相关性方面,证据与审计事项、审计发现之间没有内在联系,甚至出现搜集的证据与审计发现风马牛不相及。有的对搜集的证据材料没有作认真分析、判断,并根据证据材料与审计目标相关联的要求进行取舍,而是胡子眉毛一把抓;合法性方面,取证不符合审计法规规定的手续和程序,如审计证据没有得到被审计单位或提供证据人员的签章认可,对拒绝签章的,也未注明原因和日期;充分性方面,证据不足以证明审计问题的真相,形成或支持审计结论,从而带来审计风险。
2.在内部审计中,往往忽视搜集环境证据。环境证据包括内部控制系统状况、管理层和职员的素质以及管理条件和管理水平等。环境证据虽不属于基本证据的范畴,但若没有其支持,就无法了解被审单位所处的环境全貌,更无从判断内控制度的优劣,得出的审计结论就可能与事实不相符,加大了审计风险。例如:某单位缺乏必要的内控制度,即使审计中没有发现违纪违规及风险隐患问题,也不能轻易作出其内部管理完善的结论。相反,某被审单位有较健全的内控制度,虽然审计中发现了违纪违规问题,也不能简单地得出该单位内部管理不完善的结论,而要分析其问题的深层次原因。
(四)人员素质导致的风险
1.审计人员业务水平的高低直接关系到审计风险的大小。近年来,商业银行内部审计队伍的素质有了明显提高和改善,但审计人员的专业能力不均衡,合力优势不明显的现象仍然存在,难以适应业务发展的需要。表现在:一是内审人员的审计专业基础知识不够扎实。虽然现有审计人员大多是原工作岗位上的业务骨干,但经过正规审计培训的却不多,宏观把握和综合分析能力还不够。二是人员知识结构搭配不尽合理。熟悉财会、信贷和个银业务的居多,全面了解计算机、国际业务和其他新业务的较少,能够独立从事各项审计业务的复合型人才更是凤毛麟角,一旦遇到上述审计业务,审计风险就会加大。三是知识更新不够及时。审计业务培训次数少、范围小、时间短、效果不佳,有时缺乏针对性。四是审计理论与业务实践联系不够密切。由于审计人员不参加具体的业务经营管理活动,对操作上的细节把握不够,导致审计效果欠佳,这在一定程度上加大了审计风险。
2.部分审计人员的责任心和风险意识不够强。部分审计人员认为审计风险与己无关,因为它不会影响自己的经济利益或带来其他损失,因而责任心和风险意识不够强。具体表现为:审计态度欠客观公正,未保持应有的职业审慎和独立性,缺乏职业道德,审计深度不到位,不关注审计工作质量;审计组成员之间的合力不够强,团队精神欠佳等。这些人为因素直接增大了审计风险。
三、控制商业银行内部审计风险的途径
(一)改革审计管理体制,充分发挥审计效能
建立一套与商业银行管理原则相匹配,符合国际审计准则的内部审计组织体系,是提高内审工作质量和防范审计风险的前提保证,更是现代股份制商业银行公司治理结构的要求。各行应建立由总行垂直领导的内部审计管理体制,由内审机构代表统一法人对商业银行内部各部门、各分支机构实施审计监督。各级审计部门在统一法人的领导下开展工作,只对统一法人负责,不受各分支机构的领导,其领导关系和经费开支与被审机构相分离,内审人员的人事任免权、机构设置权上收总行,在组织关系和经济利益上不依附于驻地行,具有完全的独立性与超脱性,使审计人员在开展审计工作时敢说真话,发现的问题能真实体现在审计报告中。此外,在开展审计项目时,应推行审计工作回避制度和异地交叉审计制度,以充分保证审计人员在审计工作中的独立性。目前,中国建设银行正在进一步深化内部审计体制改革,建立独立和垂直的新型内部审计管理体制。各分行审计人员在组织关系、经济利益上与被审行的彻底分离,保证了内部审计独立性和权威性得到充分发挥。改革审计管理体制,是控制审计风险的关键。
(二)建立质量控制标准,完善内部控制机制
尽快建立审计质量控制标准体系以及审计人员激励约束机制。首先,建立全过程的审计质量管理机制,对审计全过程进行风险控制,即对审计流程的各个环节进行质量把关,从审计准备阶段、实施阶段和终结阶段对审计风险加以防范和控制,全面建立审计作业与质量控制体系,将审计风险降至最低水平;其次,建立配套的工作考核、责任追究和处罚制度,加大对审计人员的考核和奖惩力度,注意从审计工作的及时性、效率、质量、风险等方面来考核审计人员的业绩,使审计人员牢固树立风险意识并警钟长鸣;最后,要完善审计工作内控机制,如建立健全岗位职责制度、审计风险责任追究制度、审计底稿三级(项目经理、组长、主审员)复核制度、项目督导制、后续追踪制等一套完整的控制制度,实现审计工作的制度化、标准化、规范化,使审计风险能从制度上得到有效控制。
(三)严格执行审计准则,努力规范审计行为
审计人员必须严格遵循国家颁布的审计法规和银行业自身制定的审计章程和审计准则,规范审计行为。在审计过程中要对审计工作各个程序进行严格的控制,合理确定审计项目,在审计的准备阶段,应广泛搜集和深入分析审计对象的背景材料,及时编制科学的审计方案;在审计的实施阶段,要运用恰当的审计方法和手段,严格审计测试和取证,规范审计工作底稿的编制,做到格式规范,内容完整、记录准确、措词精当、结论明确;在审计报告阶段,客观公正地评价审计事项,报告的定性要准确,揭示的问题要明确,整改的建议要有针对性和可操作性,报告的表述应保持谨慎的态度,应只在审计范围内发表审计意见,对非审计事项不作评价;并在适当的间隔期应进行审计追踪,了解被审计单位对审计发现问题的整改情况,所提出的建设性的建议是否被采纳。及时分类整理具有保存价值的审计项目资料并移交归档。整个审计业务流程均应严格遵循审计章程、准则,把握尺度,保证质量,只有这样,才能有效降低审计风险。
(四)引入风险导向审计,科学制定审计计划
目前国外审计界已广泛采用风险导向性审计。风险导向审计在审计计划阶段就考虑审计风险,并对各项风险进行分析评估,其审计过程是依据“审计风险=固有风险×控制风险×检查风险”的审计风险模型,首先设计可接受的审计风险总体水平;然后通过对固有风险、控制风险的评估和分析,确定检查风险;再根据检查风险确定实质性测试的范围和重点。使审计人员对审计风险由被动接受转化为主动控制,从而达到保证审计质量,降低审计风险的目的。因此,各商业银行总行在制定全行中长期发展规划时,可按照风险导向的原则,在深入分析判断不同层面和业务领域风险状况的基础上,对审计客体进行风险评估和分析,确定审计对象、审计事项、审计期间和工作重点;在审计项目选定和力量配置上,重点向风险高的业务单元、营业机构等倾斜。各一级分行则要围绕总行中长期发展规划,结合各自区域业务、风险的分布特点,制订短期工作计划,识别潜在的审计客体,选择合适的审计项目,确定适宜的审计频率和审计顺序,保证高风险的审计客体能够优先得到审计。
(五)改进审计手段方法,大力拓展非现场审计
大力拓展非现场审计业务,积极开发审计系统软件。为保证审计手段和审计方法的科学性和先进性,一是要建立涵盖全行全部经营管理活动的基础数据模型,根据有关数据对审计对象进行适时监控,通过问题查找和风险评估,找出风险程度较高的经营机构或业务领域,据此科学地选择审计项目,确定审计重点、审计频率、合理调配审计资源,使审计监管工作逐渐趋于日常化,提高非现场审计工作效率;二是要大力开发审计系统软件,利用计算机辅助审计技术,代替手工审计手段,这样既可以帮助审计人员审阅业务事项档案,查找满足指定条件的记录,又可以对众多业务事项进行统计抽样,并对抽取的样本进行详细测试,扩大审计范围,提高审计效率和质量;三是要建立审计信息共享系统,使审计人员开展具体的审计项目前能充分利用以前的审计成果,尽快找到审计重点,增强审计的针对性,避免重大审计疏漏。
(六)规范审计证据搜集,提高审计证据质量
在审计取证时必须注意以下二个方面:一是注意审计证据客观性和合法性。审计证据所记录的审计事项必须客观存在,有据可查;必须经合法的程序和方式取证。如向有关单位或个人调查,审计人员应有两人在场,全部证据须经当事人认证、签名、盖章。对于凭主观想象、推测或与审计事项无关的材料,均不能作为审计证据。二是注意审计证据充分性和相关性。充分性要求审计人员在工作中形成的“审计意见”,要有足够数量的审计证据来支持,特别是报告所涉及的违纪违规事件,不仅要有准确的证据而且要有充分的说服力。在现场审计结束之前,该取得的资料一定要素取到,包括谈话记录、录音等。相关性则要求审计证据应与审计事项之间有实质性联系,能支持审计发现和审计意见,并与审计目标一致。此外,还必须注重搜集包括内控制度在内的环境证据,确保审计证据要素齐全,证据内容完整,取证方法得当,只有这样,才能保证审计人员全面客观的发表审计意见,得出恰当的审计结论,减少审计风险。
(七)加强审计队伍建设,提高人员综合素质
高素质、高层次的审计队伍是提高审计工作质量,控制审计风险的根本保证,要努力建设和造就一支思想好、作风正、业务精、能力强的审计队伍。在提高业务素质方面:内审人员首先要学习好内部审计基础规范、业务规范和实务规范,这是内审人员执行审计任务的权威性标准;其次,要及时熟悉和掌握国家金融政策和法规的发展、变化,这是内审人员执行审计任务的业务基础;第三,要全面掌握本行系统各项业务产品的操作规程和控制制度,这是内审人员执行审计任务的手段;第四,加强对审计人员职业道德教育,强化职业谨慎观念,树立审计风险意识,严格执行审计规范,全面履行审计职责。
点击咨询 