内部控制规范下的商业银行内部审计职能设计

　　一、商业银行内部审计作用的制约因素

　　纵观我国商业银行内部审计的运作情况，发现其作用的有效发挥不尽如人意，其制约因素主要有：

　　（一）内部审计机构独立性不强，权威不高 商业银行及其分支机构都在内部设置了与其它业务部门平行的内审机构，直接归行内领导分管并向其负责报告工作。内审人员与被审计单位的各种利益（包括经济利益与非经济利益）有着密切的联系，对所在单位有较多的依附。这样的内审组织体制往往因单位领导干预、利益关系制约，人际关系影响，致使内审机构及其人员不能客观、真实、公正、全面、深入地开展工作，其独立性较差，缺乏权威性，所做出的内审意见和处理决定也因这种管理体制上的影响而得不到有效的贯彻执行。

　　（二）检查方式单一，时效性不强 商业银行内部审计大都是事后审计，特点是在审计事项发生后才对其进行审计，往往对被审计事项存在的问题不能及时予以防止纠正，只能在一定范围内、一定程度上纠正偏差。同时，目前商业银行的内部审计报告是适用于所有人（从行长到员工）的包罗万象的最终文件，报告中包括了大量描述性文字以期给每个人一个详细的审计发现和分析。完成并分发最终报告通常需要较长时间。等到审计报告最终发出时，其作用已大打折扣。因而花费了大量时间和精力的内部审计报告常常未能获得上级的足够重视，其有效性也无从谈起。商业银行业务的发展还使得现场监管的难度增大，削弱了审计的有效性。如网络银行业务活动方式具有鲜明的网络特色，与传统的银行业务活动方式有着明显差异，网上银行业务的开展，使得银行业务对象难以确定，传统的监管方法和审计制度很难适应。在互联网上，整个交易完全在网上完成，金融交易的“无纸化”，使银行业务失去了时间、地域的限制，交易对象变得难以明确，交易过程也更加不透明。

　　（三）内部审计资源不足 随着商业银行业务逐步向多功能、立体化方向发展，传统业务、新兴业务齐驱并进，内部审计的范围不断扩大，需要审计的工作量不断增加，审计质量要求更高。但目前商业银行的内部审计工作状况不能适应这种形势发展的需要。突出表现出以下几方面：一是缺少普遍适用的专业实务标准和审计条例；二是原来的内部审计人员大多从会计、出纳、储蓄岗位调入，专业比较单一不能满足需要，特别是在收集信息、检查、评价和交流方面的能力，不能适应银行业务活动日益增加的技术复杂程度和内部审计部门需要承担的繁重任务。三是银行审计理论滞后。国内银行约3万内部审计人员，是一个相当规模的群体。但尚无一成熟的理论和专业标准。

　　（四）传统的审计技术与方法不适应金融电子化的发展要求 与传统的银行业务相比，电子化环境下的金融业务，在数据处理流程和方式、内部控制和组织机构设置等方面都表现出一些新的特点，对传统审计技术和方法产生了一定影响。其表现在：审计线索的变化。实行金融电子化后，业务数据的存储介质和形式、业务数据的生成和传递方式都发生了变化，不仅存在着有形的审计线索，如输入的原始凭证、记账凭证等原始文件，打印出的业务账簿、业务报表等，还存在着另一种无形的审计线索，如存储在软盘或硬盘上的业务数据库资料等。这两种审计线索相互交叉，相互补充，共同构成业务系统的数据库。审计人员很难甚至根本无法单独通过有形的线索跟踪业务的处理，也无法用传统的方法考查业务数据的安全性、有效性、完整性和准确性；内部控制的变化。实行金融电子化后，内部控制的重点由业务人员和业务部门转移到电子数据处理部门，业务人员对交易活动的直接监督减少了，原内部体系难以适应这一变化。

　　（五）内部审计管理机制不完善 主要表现在内部审计工作责任不明，奖罚不力。当前，大多数商业银行及其分支机构对内部审计工作缺乏明确的工作责任约束，审计工作做得好，也无多大的奖励；做得不好，也无多大的处罚。无需承担相应的内审检查责任，被审计单位若没有落实审计处理决定的整改意见，也没有严格的处罚，缺乏做好内部审计工作的外部压力和内部动力，从而影响内审工作的有效性，加大了审计风险，降低了审计工作质量。

　　二、基于内部控制的银行内部审计职能与工作机制设计

　　商业银行内部控制是由管理层和全体员工共同实施的、旨在合理保证实现商业银行的企业战略；经营的效率和效果；财务报告及管理信息的真实、可靠和完整；资产的安全、完整；遵循国家法律法规的有关监管要求为基本目标的一系列控制活动。是对商业银行内部审计职能进行再造性设计应该加以遵守的准则。

　　（一）从保证内部控制的角度，实现内审机构独立性 目前，各商业银行的内审部门既对本级行领导负责又对上级行主管部门负责。在履行职责时，其工作可能会受到本级行领导的隐性干预，其独立性、权威性受到削弱，不利于职能作用的发挥。为了改变这种状况，必须按照良好有效公司治理机制的要求，进一步改革我国银行现有的稽核体制，建立垂直、独立、权威、科学的内部审计体制。银行的内部控制，必须得到能够独立评价组织中控制系统的有效内部审计体系的支持。垂直、独立的内部审计体系是健全的公司治理结构的一部分。有效的内部审计可以源源不断地向银行管理层和银行监管人提供内部控制系统运行质量方面的信息。可以设想：将现行的“双重负责”内审体制改为垂直领导的体制，即内部审计垂直设立；变内审人员与本行利益相联系为相脱离，即内审人员提拔、任用、晋级、生活福利均由上级行管理；完善现有内部审计部门制度的法律环境。

　　（二）结合内部控制要求，改进审计方式和拓展审计领域 一是坚持序时检查与后续检查相结合，使银行各项业务管理工作规范化和制度化。做到事后检查与事前检查、事中检查的有机结合，使被审计单位的业务经营的整个过程每个环节都在监管之下。二是要将内部审计重点由经营合规性向风险性监督转变。三是借助外部审计手段。与外部审计专业人员合作，当遇到有特殊要求或由于其他原因无法由现有内部审计人员完成的任务时，应利用外部审计专业人员来完成该项目。四是完善内部审计操作规程，要紧贴业务的变化，不断完善内部审计工作操作步骤、程序等，使之更具可操作性。五是推行单页内审报告。内审报告越准确，越具有针对性，就越快了解情况，越快定出有效决策并采取有效行动。目前香港银行推行的单页内审报告值得内地商业银行借鉴。

　　（三）根据内部控制目标，制定实务标准和审计条例 制定符合我国国情的银行内部审计专业实务标准和审计条例。通过审计标准和条例来保证内部审计部门在银行中的地位和权威。实务标准可参照国际内部审计师学会《内部审计专业实务标准》，由中国金融稽核监督研究会等行业协会来制定。审计条例应由各银行制定。条例应当由内部审计部门起草，定期审查。它应当得到高级管理层的同意，随后得到作为监管作用一部分的董事会的确认。在条例中，银行高级管理层给予内部审计部门建议权，授权其直接与任何员工进行接触和交流，检查银行的任何一项活动或一个实体，接触银行的任何记录、资料或数据，包括管理信息和所有协商和决策机构的会议记录，无论何时与其委派任务有关。

　　（四）按照内部控制的人员素质要求，合理配置人员结构 一是合理配备包括财务人员，信贷人员、计算机人员和其他专业的内审人员结构。二是针对不同层次人员定期进行审计理论，审计技能、专业知识培训。三是内审机构内部定期或不定期实行岗位轮换制度，内审工作岗位与企业其他管理部门工作岗位进行轮换制度。四是注重综合能力的考核。尤其是内审部门负责人，要强调其组织能力，协调能力、管理能力。五是重视继续教育和岗位培训工作。这些做法既促进了内部审计人员不断提高自身业务素质，也在一定程度上起到了防止审计人员出现舞弊行为的作用。

　　（五）以实现内部控制有效性为目的，革新审计技术和手段 为加快信息处理的速度，提高审计质量，审计处理手段必然要由手工操作提升到电子化处理，计算机辅助审计技术具有明显的优势。一是计算机辅助审计技术的使用有助于提高审计工作的效率，降低审计成本。它的运用既提高了审计的正确性与准确性，也使审计人员从冗长乏味的计算工作中解放出来。可以运用计算机辅助审计技术使这些步骤达到自动化，而审计人员只需集中注意于那些需要专业判断的部分。二是计算机辅助审计技术的使用可帮助审计人员扩展审计的范围。计算机辅助审计技术可使审计的范围由书面向其他媒介扩展，既包括书面形式保存的文字资料。还包括储存在计算机系统的磁媒介或其他储存器中的数据。

　　（六）用内部控制效果，实施审计质量控制与考评 有效的内部控制效果，要用有效的审计质量控制来体现，在这个意义上，审计质量是内部审计部门生存和发展的基本条件。实行内部审计质量控制，能够保证内部审计实施的有效性，促进内部审计工作质量的提高，全面督促审计工作的实施。要强化审计人员的审计风险意识和质量意识，建立内部审计规范及标准，把握控制的重点，侧重于审计产生的增加值、审计发现的风险、审计报告的时效性审计程序、审计手段和方法，加强对审计人员的工作指导，建立监督检查和复核制度，健全同部审计部门的管理体系，加强审计质量考评。要建立完善的激励机制。为审计人员创造良好的职业发展环境，增加审计人员的责任感，提供具有吸引力的薪酬及福利，建立业绩评估系统以确认员工业绩。同时要对加强审计人员的纪律性和职业道德教育。

内部控制规范下的商业银行内部审计职能设计

　　一、商业银行内部审计作用的制约因素

　　纵观我国商业银行内部审计的运作情况，发现其作用的有效发挥不尽如人意，其制约因素主要有：

　　（一）内部审计机构独立性不强，权威不高 商业银行及其分支机构都在内部设置了与其它业务部门平行的内审机构，直接归行内领导分管并向其负责报告工作。内审人员与被审计单位的各种利益（包括经济利益与非经济利益）有着密切的联系，对所在单位有较多的依附。这样的内审组织体制往往因单位领导干预、利益关系制约，人际关系影响，致使内审机构及其人员不能客观、真实、公正、全面、深入地开展工作，其独立性较差，缺乏权威性，所做出的内审意见和处理决定也因这种管理体制上的影响而得不到有效的贯彻执行。

　　（二）检查方式单一，时效性不强 商业银行内部审计大都是事后审计，特点是在审计事项发生后才对其进行审计，往往对被审计事项存在的问题不能及时予以防止纠正，只能在一定范围内、一定程度上纠正偏差。同时，目前商业银行的内部审计报告是适用于所有人（从行长到员工）的包罗万象的最终文件，报告中包括了大量描述性文字以期给每个人一个详细的审计发现和分析。完成并分发最终报告通常需要较长时间。等到审计报告最终发出时，其作用已大打折扣。因而花费了大量时间和精力的内部审计报告常常未能获得上级的足够重视，其有效性也无从谈起。商业银行业务的发展还使得现场监管的难度增大，削弱了审计的有效性。如网络银行业务活动方式具有鲜明的网络特色，与传统的银行业务活动方式有着明显差异，网上银行业务的开展，使得银行业务对象难以确定，传统的监管方法和审计制度很难适应。在互联网上，整个交易完全在网上完成，金融交易的“无纸化”，使银行业务失去了时间、地域的限制，交易对象变得难以明确，交易过程也更加不透明。

　　（三）内部审计资源不足 随着商业银行业务逐步向多功能、立体化方向发展，传统业务、新兴业务齐驱并进，内部审计的范围不断扩大，需要审计的工作量不断增加，审计质量要求更高。但目前商业银行的内部审计工作状况不能适应这种形势发展的需要。突出表现出以下几方面：一是缺少普遍适用的专业实务标准和审计条例；二是原来的内部审计人员大多从会计、出纳、储蓄岗位调入，专业比较单一不能满足需要，特别是在收集信息、检查、评价和交流方面的能力，不能适应银行业务活动日益增加的技术复杂程度和内部审计部门需要承担的繁重任务。三是银行审计理论滞后。国内银行约3万内部审计人员，是一个相当规模的群体。但尚无一成熟的理论和专业标准。

　　（四）传统的审计技术与方法不适应金融电子化的发展要求 与传统的银行业务相比，电子化环境下的金融业务，在数据处理流程和方式、内部控制和组织机构设置等方面都表现出一些新的特点，对传统审计技术和方法产生了一定影响。其表现在：审计线索的变化。实行金融电子化后，业务数据的存储介质和形式、业务数据的生成和传递方式都发生了变化，不仅存在着有形的审计线索，如输入的原始凭证、记账凭证等原始文件，打印出的业务账簿、业务报表等，还存在着另一种无形的审计线索，如存储在软盘或硬盘上的业务数据库资料等。这两种审计线索相互交叉，相互补充，共同构成业务系统的数据库。审计人员很难甚至根本无法单独通过有形的线索跟踪业务的处理，也无法用传统的方法考查业务数据的安全性、有效性、完整性和准确性；内部控制的变化。实行金融电子化后，内部控制的重点由业务人员和业务部门转移到电子数据处理部门，业务人员对交易活动的直接监督减少了，原内部体系难以适应这一变化。

　　（五）内部审计管理机制不完善 主要表现在内部审计工作责任不明，奖罚不力。当前，大多数商业银行及其分支机构对内部审计工作缺乏明确的工作责任约束，审计工作做得好，也无多大的奖励；做得不好，也无多大的处罚。无需承担相应的内审检查责任，被审计单位若没有落实审计处理决定的整改意见，也没有严格的处罚，缺乏做好内部审计工作的外部压力和内部动力，从而影响内审工作的有效性，加大了审计风险，降低了审计工作质量。

　　二、基于内部控制的银行内部审计职能与工作机制设计

　　商业银行内部控制是由管理层和全体员工共同实施的、旨在合理保证实现商业银行的企业战略；经营的效率和效果；财务报告及管理信息的真实、可靠和完整；资产的安全、完整；遵循国家法律法规的有关监管要求为基本目标的一系列控制活动。是对商业银行内部审计职能进行再造性设计应该加以遵守的准则。

　　（一）从保证内部控制的角度，实现内审机构独立性 目前，各商业银行的内审部门既对本级行领导负责又对上级行主管部门负责。在履行职责时，其工作可能会受到本级行领导的隐性干预，其独立性、权威性受到削弱，不利于职能作用的发挥。为了改变这种状况，必须按照良好有效公司治理机制的要求，进一步改革我国银行现有的稽核体制，建立垂直、独立、权威、科学的内部审计体制。银行的内部控制，必须得到能够独立评价组织中控制系统的有效内部审计体系的支持。垂直、独立的内部审计体系是健全的公司治理结构的一部分。有效的内部审计可以源源不断地向银行管理层和银行监管人提供内部控制系统运行质量方面的信息。可以设想：将现行的“双重负责”内审体制改为垂直领导的体制，即内部审计垂直设立；变内审人员与本行利益相联系为相脱离，即内审人员提拔、任用、晋级、生活福利均由上级行管理；完善现有内部审计部门制度的法律环境。

　　（二）结合内部控制要求，改进审计方式和拓展审计领域 一是坚持序时检查与后续检查相结合，使银行各项业务管理工作规范化和制度化。做到事后检查与事前检查、事中检查的有机结合，使被审计单位的业务经营的整个过程每个环节都在监管之下。二是要将内部审计重点由经营合规性向风险性监督转变。三是借助外部审计手段。与外部审计专业人员合作，当遇到有特殊要求或由于其他原因无法由现有内部审计人员完成的任务时，应利用外部审计专业人员来完成该项目。四是完善内部审计操作规程，要紧贴业务的变化，不断完善内部审计工作操作步骤、程序等，使之更具可操作性。五是推行单页内审报告。内审报告越准确，越具有针对性，就越快了解情况，越快定出有效决策并采取有效行动。目前香港银行推行的单页内审报告值得内地商业银行借鉴。

　　（三）根据内部控制目标，制定实务标准和审计条例 制定符合我国国情的银行内部审计专业实务标准和审计条例。通过审计标准和条例来保证内部审计部门在银行中的地位和权威。实务标准可参照国际内部审计师学会《内部审计专业实务标准》，由中国金融稽核监督研究会等行业协会来制定。审计条例应由各银行制定。条例应当由内部审计部门起草，定期审查。它应当得到高级管理层的同意，随后得到作为监管作用一部分的董事会的确认。在条例中，银行高级管理层给予内部审计部门建议权，授权其直接与任何员工进行接触和交流，检查银行的任何一项活动或一个实体，接触银行的任何记录、资料或数据，包括管理信息和所有协商和决策机构的会议记录，无论何时与其委派任务有关。

　　（四）按照内部控制的人员素质要求，合理配置人员结构 一是合理配备包括财务人员，信贷人员、计算机人员和其他专业的内审人员结构。二是针对不同层次人员定期进行审计理论，审计技能、专业知识培训。三是内审机构内部定期或不定期实行岗位轮换制度，内审工作岗位与企业其他管理部门工作岗位进行轮换制度。四是注重综合能力的考核。尤其是内审部门负责人，要强调其组织能力，协调能力、管理能力。五是重视继续教育和岗位培训工作。这些做法既促进了内部审计人员不断提高自身业务素质，也在一定程度上起到了防止审计人员出现舞弊行为的作用。

　　（五）以实现内部控制有效性为目的，革新审计技术和手段 为加快信息处理的速度，提高审计质量，审计处理手段必然要由手工操作提升到电子化处理，计算机辅助审计技术具有明显的优势。一是计算机辅助审计技术的使用有助于提高审计工作的效率，降低审计成本。它的运用既提高了审计的正确性与准确性，也使审计人员从冗长乏味的计算工作中解放出来。可以运用计算机辅助审计技术使这些步骤达到自动化，而审计人员只需集中注意于那些需要专业判断的部分。二是计算机辅助审计技术的使用可帮助审计人员扩展审计的范围。计算机辅助审计技术可使审计的范围由书面向其他媒介扩展，既包括书面形式保存的文字资料。还包括储存在计算机系统的磁媒介或其他储存器中的数据。

　　（六）用内部控制效果，实施审计质量控制与考评 有效的内部控制效果，要用有效的审计质量控制来体现，在这个意义上，审计质量是内部审计部门生存和发展的基本条件。实行内部审计质量控制，能够保证内部审计实施的有效性，促进内部审计工作质量的提高，全面督促审计工作的实施。要强化审计人员的审计风险意识和质量意识，建立内部审计规范及标准，把握控制的重点，侧重于审计产生的增加值、审计发现的风险、审计报告的时效性审计程序、审计手段和方法，加强对审计人员的工作指导，建立监督检查和复核制度，健全同部审计部门的管理体系，加强审计质量考评。要建立完善的激励机制。为审计人员创造良好的职业发展环境，增加审计人员的责任感，提供具有吸引力的薪酬及福利，建立业绩评估系统以确认员工业绩。同时要对加强审计人员的纪律性和职业道德教育。