关于现代商业银行内部审计工作组织方式的思考

　　传统商业 银行内部审计工作的组织方式

　　传统商业银行的内部审计工作主要是围绕着企业财务和具体项目进行的、以交易为基础的合规检查、业绩检查，其工作目标主要是满足合规和真实性方面的要求。内部审计工作的组织一般呈独立的条线型模式，即“内审计划—审计实施—内审结果”。这三个阶段是年度内部审计工作的基本内容，其核心阶段是审计实施阶段。

　　条线型内部审计工作组织方式最显著的缺陷在于对审计结果利用不足。各阶段的内部审计工作基本上是独立的，审计计划的编制缺乏与审计结果的关联，因此；内部审计资源的投向缺乏针对性，降低了内部审计工作的整体效率。虽然在重要性原则和谨慎性原则的指导下，传统的内部审计工作会侧重于对高风险领域的检查，但是并没有系统规范地确认高风险领域的方法，更多的机构则倚靠内部审计人员的经验判断。

　　随着1995年巴林银行倒闭、2002年美国安然公司破产，国际内部审计师协会(IIA)、COSO委员会和巴塞尔委员会等国际组织开始关注企业内部风险管理和控制；与此同时，对企业内部审计的职能也提出了新的要求：内部审计是“一种旨在增加组织价值和改善组织营运的独立、客观的确认和咨询活动，它通过系统化、规范化的方法来评价和改善风险管理、内部控制和治理程序的效力，以帮助实现组织目标”。在这种形势下，传统的内部审计工作方式已经不能全面评价和反映企业的风险水平，其组织方式也难以适应现代审计管理的工作需要。

　　现代商业银行内部审计工作的组织方式

　　内部审计职能的转变

　　现代商业银行内部审计在企业风险管理架构中扮演着举足轻重的角色，在公司治理中具有相对独立的地位。其基本职责就是监督、评价企业的风险状况和内部控制。行使内部审计职能的部门相对地独立于业务部门和管理层，直接向董事会和审计委员会负责并报告工作。目前，国外先进银行一般将内部控制体系和内审体系设计为“三道防线”体制。

　　第一道防线是业务操作层面在操作过程中的实时控制活动。商业银行业务经营机构、业务职能管理部门及其员工是内部控制第一道防线。他们是业务的直接经力、者和规章制度的执行者，是风险管理和内部控制的第一责任人，在业务经营过程中履行自我控制风险的职能。

　　第二道防线是内部控制管理层面的设计、监督、检查的保证活动。这主要是指合规管理部门和业务条线管理部门。其主要任务是统筹内控制度建设、制定业务检查计划并就各项规章制度和内控要求的落实情况开展检查，并对第一道防线的工作进行指导、检查、监督和评估。需要强调的是第二道防线不是替代第一道防线，而是对第一道防线实施检查、监督和指导，确保第一道防线内部控制的有效性，同时也为第三道防线开展再检查、再监督和内部控制评价提供基础。

　　第三道防线是内部审计工作层面的再保证活动。内审部门通过系统化和规范化的方式检查评价商业银行内部控制、风险管理和公司治理的适当性和有效性以及营运的效率和效果。它的目标是协助董事会和管理层履行职责，保证国家法律法规、方针政策、监管部门的规定在银行的贯彻执行，改善组织运营效率、有效控制风险、增加银行价值。第三道防线以风险为导向，重在查找重大的风险隐患，因此，对覆盖面和频率的要求集中在高风险领域。

　　按照内控体系三道防线，传统的内部审计职能部分由第一、二道防线承担，内部审计作为第三道防线，其工作重点开始更多地转向对企业内部控制和风险管理在系统层面上的评价。因此，内部审计工作的地位和作用在不断提升。

　　全面履行新的内部审计职能：风险评估和内控评价

　　第一，以风险评估为基础制定内部审计计划。

　　风险评估是覆盖企业内部的全面性工作。它拥有系统的、科学的风险评估方法论和评估模型；它的评估对象是商业银行所有机构、业务条线和业务产品的风险它的最终结果是评估出被审计对象的剩余风险，进而排出高中低三个风险等级。那些剩余风险在管理层可接受的风险偏好之外的部分，就构成当年内部审计计划的主要对象。

　　第二，对内部控制进行全面评价。

　　内控评价从企业战略、运营、合规和财务四个维度，针对内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正五个方面进行。这是对 企业管理行为和管理效力的评价，评价结论分为强、可接受和弱三类。内控评价在具体实施过程中可以分为两个层次。首先由内控体系第一、二道防线对相关内部控制的建立与执行情况进行自我评估；然后在此基础上由内审部门对其自我评估结果进行确认，形成最终的内控评价结果。

　　第三，风险评估与内控评价的关系。

　　风险评估与内控评价是现代商业银行内部审计工作的两个新职能，下面的公式反映了两者之间的关系，也体现了整个风险评估与内控评价工作的方法论。

　　固有风险-控制质量(内控评价结果)=剩余风险(风险评估结论)

　　其中，固有风险是指在不考虑任何风险控制措施下，业务本质客观存在的原始风险。评定固有风险，一般是通过采用系统化的风险测量或评估模型，量化业务条线或业务产品自身固有的风险水平。对风险的测量或评估最终反映在对其导致的损失的测度上。导致损失的风险因子主要有两个：可能的损失大小和损失发生的可能性(概率)。除此以外，还可以引入其他调整因素，如案件发生情况、资产规模等。但是，由于目前还没有任何一种风险测度方法被业内机构广泛接受，所以商业银行可以结合自身业务特点，寻找更为简便并具有可操作性的方法，比如避开直接测量风险损失，寻找可替代的风险指标对固有风险进行评级。

　　控制质量是指商业银行针对固有风险建立的管理体制、制度安排和管理效力，即企业内部控制机制的适当性和有效性，是商业银行对风险实施管理和控制所采取措施的力度。控制质量的强弱通过内控体系第一、二道防线的自我评估和第三道防线的评价得出。在量化控制质量过程中引入业务部门自我评估的优势在于，可以在很大程度上提高风险管理的效率和针对性。对控制质量进行量化的过程实质上就是对内部控制进行评价的过程，所以控制质量反映的最终结果也就是内部控制评价的结果。

　　固有风险与控制质量的差等于剩余风险。剩余风险是控制质量对固有风险施加作用后的结果，是银行最终的风险评估结论，即为商业银行全面风险管理的评估结论。它直接与内审计划挂钩，为内审计划的制定提供科学、客观的数据依据。具体做法是将剩余风险按业务条线或业务产品进行排序，分出高中低等级，其中剩余风险超过管理层风险偏好的对象即为下一年度内审计划的主要对象。

　　现代商业银行内部审计工作组织方式的特点

　　被赋予了新职能的现代商业银行内部审计工作组织方式共包括四个环节：“风险评估(内控评价)—内审计划—审计实施—内审结果”。它与传统的内部审计工作组织方式相比，其实质内容在于使内部审计工作组织方式由原先的条线型转变成一个封闭式循环轨道(见图)。现代内部审计工作组织方式的四个环节之间有着密不可分的关系：风险评估是内审计划编制的重要依据；内审计划是审计实施的管理要求；审计实施的产品通过内审评价之后形成审计结果；而审计结果又是风险评估的重要风险因子。现代商业银行内部审计工作组织方式的四个环节互为因果、互相衔接，共同构成内部审计工作的一个循环。

　　从单一年度内部审计工作上看，现代商业银行内部审计工作组织方式的特点突出地表现在内部审计在职能范畴、理念、手段等方面有了极大的更新和提升：第一，内部审计的职能由传统的以交易为基础的审计向现代的以风险为导向的审计转变。第二，内部审计以COSO《企业风险管理——整合框架》中提出的八要素(内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控)为框架，以系统、科学的风险评估和内控评价的方法论为指导，其对象既包括与单个被审计机构相关联的风险，也包括整个组织所面临的整体风险。第三，确定内部审计检查对象是根据风险评估结果导向下的频率要求和监管部门覆盖率要求决定的，并据此制订当年检查计划和三至五年内的滚动计划。

　　从内部审计工作链条上看，现代商业银行内部审计工作组织方式的特点体现在整个工作形成一个螺旋式上升的循环体系。一个年度的内部审计工作受上一个年度审计工作结果的指导，同时影响下一个年度的审计工作。风险评估和内控评价是联系上下两年度审计工作的纽带，起到承上启下的作用。各个年度的审计工作不再是孤立的，而是一个循环反复的过程。可以说常规审计工作的过程就是风险评估和内控评价的过程，现代内部审计工作是以防范风险、健全内部控制为基础组织实施的。

　　此外，现代商业银行内部审计工作组织方式的各个环节应遵从于一个统一的内部审计方法论，以确保整体工作能够正常运转。统一的方法论主要包括以下两个方面：一是评估对象与内部审计对象的统一；二是内部审计评价标准的统一。内部审计工作的各个环节都必须有统一量化的标准。只有这样才能使现代内部审计工作的每一个环节以及每一个环节中的具体工作内容之间相互影响，有机地联系在一起，高效率、高标准地实现内部审计工作的职能。

　　　　　　　　　　　　　　　　作者:徐建新 周玮 来源:《中国金融》2007年第22期