如何打造我行内部审计第三道防线

 

近年来，伴随着着我行业务跨区域、跨越式大发展，对我行的内部控制与管理水平，特别是风险管理等方面都提出了严峻的考验。如我行近年发生小额重帐事件、商业贿赂事件、冒名开户事件等等都说明了业务快速发展以后，我行的风险管理存在一定的问题。审计部作为我行风险管理的最后一道防线，在提高我行风险管理水平方面如何发挥更大的作用是当前作为审计部门负责人需要思考的重点问题。笔者认为，解答这个问题的关键在于准确定位当前城商行内部审计工作重点，具体而言就是要回答三个问题，即当前我行审计存在什么问题？应该做什么？如何做？

一、当前我行审计工作存在什么问题？

1.审计部职能定位不是很清晰，常常与第二道防线一些职能混淆在一起。

作为第三道防线的审计部职能主要是围绕银行战略目标和工作重点，在第一、二道防线的基础上，以评价内部控制的充分性、合规性、适宜性和有效性为主要任务，重点关注重大风险和系统性风险的管理状况，以促使董事会和高级管理层能够从宏观层面把握银行整体的内部控制状况和高风险领域，同时提出改进建议，完善内部控制和风险管理体系，促进银行发展战略和经营目标实现，服务对象是董事会、董事长。

第二道防线主要是指合规风险管理部门和业务条线管理部门。其主要任务是统筹内部控制制度建设、制定业务检查计划，就各项规章制度和内控要求的落实情况开展检查，并对第一道防线的业务部门工作进行指导、检查、监督、评估（通俗称为“尽职监督”），同时也为第三道防线的内审部门开展再监督、再检查、内控制度评价提供基础。

由此可见，第三道防线的内审部门与第二道防线的合规风险管理部门、条线管理部门工作重心是不同的。但实际情况是，我行对两者之间的边界定位不是很明确。审计部除承担着正常的审计工作外，还承担着内控建设、各类业务临时检查、查库、清收费用审核等其他非审计类工作，无法更好地发挥内部监督和评价的职能。

2.审计部权威性、独立性弱，绩效考评体系不尽合理。

我行目前虽已建立了相对独立的内部审计体系，根据我行内部审计章程的规定，设立董事会垂直管理的内部审计机构——审计部，向董事会负责并报告工作，接受监事会的指导，接受审计委员会的检查、监督和评价。但是由于对审计部门的考核往往与被审计单位挂钩在一起，其工作成效和业绩由被审计单位来决定，这样的制度安排本身就是一种对审计独立性削弱，使审计人员不敢放开手脚审计。

3.审计部工作效能不高、效果不明显。

目前，由于人手紧张，审计工作只注重对问题的发现，而没有审计力量对发现问题整改情况的后续审计，导致违规问题并未真正得到彻底解决。审计目的是发现问题并更好地解决问题，否则，审计效能就会受影响。另外，由于审计权威性不够、没有相应的处罚措施和办法，经常出现屡查屡犯或整改不到位的现象，你查你的，我做我的，被审计单位一个整改报告了事，审计效果不明显。

4.审计部招人难，业务量大、人员少、任务重，审计质量不高，存在风险隐患。

审计工作在常人看来是得罪人的工作，一般人不愿意来，内部招聘又找不到合适的人，离监管部门要求人数占1%有很大差距。2013年，审计部门共完成55个项目，今年至今已完成39个项目。根据与桂林银监局有关科室沟通交流，他们一个科6-8个人，一年最多5个项目，这样看，我们的项目确实多了。对于一个只有11人的审计部门，审计业务量这么大、任务这么重，很多时候多个项目并行，疲于应付，审计质量确实难以保障。象总行个金部、风险管理部、授信管理部、南宁分行等部门、分支机构运转多年，还没有进行全面的审计，存在风险隐患。

5.外部监管要求越来越高，内审部门压力越来越大。

除了人民银行、银监会提出必做的项目，如：反洗钱审计、关联交易审计、薪酬审计、信贷资产五级分类审计、信息科技安全审计、流动性风险审计、信息系统权限管理审计、信息科技外包风险审计等，内审部门还承担了管理人员离任及任期经济责任审计，以及其他因业务发展需要的专项审计，甚至还承担许多不是内审部门职能范围内的其他条线管理部门或合规管理部门应该做的事项，内审部门压力不堪重负。

二、当前城商行内部审计应该做什么？

笔者以为，要准确清楚我行审计工作应该做什么，首先必须正确看待审计与查问题的关系。因为在大多数人的眼里，审计就是查问题，将审计的作用发挥大小与查出问题的多少直接挂钩。审计工作主要是查问题，并且审计作用也要通过问题的查处来体现出来，但是如果直接把审计等同于查问题，那么审计工作可能就会迷失方向、陷入困境，这一点对正处于跨区域经营快速发展的我行内部审计工作而言更是致命的。我们认为，内审部门必须独立于第一、二道防线，帮助董事会监督管理层的内控建设和自我评估活动，并对内部控制体系进行客观评价。其主要职能是以评价内部控制的充分性、合规性、适当性和有效性做为主要任务，重点关注重大风险和系统性风险的管理状况，并提出改进建议。按照风险导向型的审计要求，内审部门首先考虑的是对董事会最关注、风险权重最大的经营风险进行审计。其次工作重心为总行和分行的重大风险、重大决策事项和发展战略、财务信息披露、风险管理过程与内控系统的健全性、合理性、有效性的监督、评价。再则是开展重要岗位履职、离任审计、重大财务异常情况专项审计，以及协调外部审计。

笔者认为，我行审计要立足本行的发展大局，要根据我行现阶段跨区域发展的要求，坚持风险导向审计，突出重点，把有限的审计资源投入到我行现阶段最需要的领域中去，具体而言，我行当前审计工作主要体现在以下三个方面：

1.揭示当前我行内部控制存在的重大缺陷

我行跨区域经营以后，普遍存在大量经验丰富的老员工外调、大量还未经过我行企业文化熏陶的新员工引入、对异地市场环境的不熟悉、管理半径短时间内急剧加大、总行管理人员的综合素质有待于进一步提高等问题，这些问题一方面使得我行原有的内部控制措施开始失灵、失效，另一方面使得原有的内部控制缺陷被进一步放大，这两方面都有可能对我行的发展带来巨大风险，我行审计部都需要给予重点关注。为此，审计部需要定期对全行各项内部控制措施进行全面评估，及时发现全行内部控制存在的重大缺陷，并提出改善内部控制的有效建议，防范可能存在的潜在风险，为全行的快速发展保驾护航。

2.发现当前本行可能存在的系统风险

银行作为经营货币的特殊企业，其本身面临的风险与其他行业相比要大。虽说风险是银行每天营业都必须面对的，但是不同种类的风险对于银行影响是不同的。损失一户1000万元的贷款，就财务能力而言，我行可以承受，只要没有员工参与，对我行的影响也是小的、有限的，但是如果贷款损失金额同样为1000万元，且涉及几十户有关联的贷款户，那么这一系列贷款将会在社会公众、政府部门、监管部门心中产生对我行极不好的负面影响，这可能将直接影响我行跨区域发展的大局。诸如小额重帐此类计算机系统风险也是如此，涉及成百上千甚至上万客户，负面影响巨大。相对于个体风险而言，系统风险涉及面更广，更容易引起各方面的关注，特别是处于信息快速传递的现在，其影响面之广、影响程度之深，其造成的声誉风险是巨大的，可能我行花费很大精力、时间、成本才有可能挽回。

3.加强对员工道德风险的查处

纵观近年来我行发生的重大事件，可以发现这么一个共同点：几乎每起事件背后都有银行内部员工参与，监督管理存在或多或少的问题，我行制定的严密内部控制措施在内外勾结的情况下统统失效。众所周知，银行从业人员需要经常与金钱打交道，时刻都要面临来自各方面的诱惑，不管采取什么样的措施都很难保证每位银行从业人员能经受住这些诱惑，因此加强对员工道德风险的监控是银行内部审计部门重要的日常工作。这一点对我行审计部门尤为如此，因为相对其他全国性的商业银行而言，当前我行处于快速扩张时期，人员积聚膨胀、流动性较大、社会背景较为复杂。在这种背景下，我行审计部门加强对员工道德风险的监控就显得更加重要。在高管离任审计等工作中强化对高管的账户资金往来进行排查也是这个道理。

三、当前我行审计工作应该如何做？

针对当前我行所处的发展阶段，结合内部审计的工作重点，笔者认为当前我行审计应着力在牢固树立内部审计为业务发展服务的理念、全面推行计算机辅助审计、从单一审计方法到复合型审计方法的融汇贯通、加强沟通交流实现审计作用最大化、加强审计队伍建设、加强内部审计与外部审计合作、推行审计结果公告制度不断加大审务公开力度、将审计成果运用到领导干部的任用及考核中、建立审计整改考核指标纳入被审计单位年度考核中、打造具有桂林银行特色的内部审计品牌等十个方面下功夫，进一步提高审计效果，为本行持续、快速、健康、稳定的发展提供保障。

1.牢固树立内部审计为业务发展服务的理念

审计部作为我行内部的一个部门，其根本目的是为我行的业务发展服务，脱离我行业务发展谈审计工作，是完全不现实的。为此，我行审计人员应该牢固树立内部审计为业务发展服务的理念，不要就审计谈审计，要站在审计之外去看待审计所发现的各种问题，积极主动扩大自身的视野，密切关注本行业务发展的各种动态，对于决策层已经意识到的风险，要准确评估风险的大小，对于决策层暂时还未意识到的风险，要以决策层所能理解的方式，全面、清晰、准确的上报给决策层，为我行决策层的各项决策提供有价值的参考建议。与此同时，我行的内部审计工作应该在每个项目、每类型项目结束后进行总结，向相关业务条线、管理条线的部门提出整改建议，并且督促落实；另一方面应该按年编写屡查屡犯汇编，以此对前台的业务做有针对性的指导和规范。

2.全面推行计算机辅助审计

与生产性企业相比，银行经营的一个最大特点就是每天都会产生海量的信息，依靠人工对这些海量信息进行检索与分析，那是根本不可能的。且我行现在多数查询、比对、分析的工作都需要审计部门投入大量的时间和人力才能梳理出结论。在这种情况下，只有借助计算机技术强大的数据处理能力，才能有效对银行产生的海量数据进行检索与分析，对相关数据进行比对和分析。计算机辅助审计就是借助计算机技术，按照预先设定好的审计经验模型，对海量数据进行全面分析，为现场审计提供审计方向和重点，实现审计的精确定位，以此提高审计的质量和效率。利用计算机技术开展非现场审计，能够及时、有效、准确的发现具有一定数据特征的各类违规问题，实现审计覆盖面100%，精确定位审计方向与重点，大大提高审计效果与效率。

首先要建立实时监测系统，审计部门可以掌握部门、单位的资金运用及人员的经济活动数据，并从中发现或揭露可能存在的问题，从而起到防范作用。这样的实时监测如与经济责任审计相结合，更能充分发挥经济责任审计对领导干部进行监督、考核的意义。经济责任审计的内容不是一成不变的，各个时期，审计的侧重点有所不同。一是国家政策监控的关注点；二是资金使用的集中点；三是制度监管的疏漏点，如单位发展过快而管理相对滞后的部门或业务领域；四是经济活动关键点。与经济责任审计关联的实时监测系统应该按照这几个审计关键点，设置监测的关键环节和主要指标，通过与实时监测系统中存储的参照指标进行比较，为审计人员提供相关警情信息，以便于及时发现任期中存在的问题。其次是，要建立智能预警系统，自动对实时监测系统传来的数据进行计算分析，结果以特殊形式（即不同的警度对应不同的报警信号）传送到审计部门，主动向审计人员发出提示，帮助审计人员发现潜在的问题。为了更好的发挥审计信息化对预警系统的支持作用，应将审计信息系统与信贷系统、工资管理信息系统等实现对接，实行信息共享，为审计信息系统建立健全预警指标提供数据支持。

3.从单一审计方法到复合型审计方法的融汇贯通

审计方法很多，既可以采取诸如普遍调查、抽样调查、重点调查、分析研究、召开座谈会等调查方法进行调查，以掌握总体情况和问题线索。也可以通过诸如检查、观察、查询等传统的审计方法来核实问题，以获取真实性强、准确性高的重要证据。也就是说，在严格遵守审计程序的前提下，审计调查能将上述具体的技术方法有机地结合起来运用，丰富了审计调查方法，比一般的审计方式，工作效果和调查效率更加明显。如在运用常规审计方法的同时，推广以账户为基础和以资金流为主线的审计方法，抓源头，掌握资金流向。而且内部审计还可以根据事先确定的某一专题，或根据审计发现的线索，有的放矢，广泛地开展调查，以达到解决问题的目的，既可以围绕领导关注的焦点、热点和监管部门关注的难点有针对性地确定专项审计调查的题目，又可以根据审计中发现带有普遍性、倾向性问题，组织人员在更大的范围内进行专门调查，从而达到理想效果。

4.加强沟通交流，实现审计作用最大化

加强沟通交流就是要实现对有关信息的科学管理，通过数据库、模型库、方法库，对信息及时予以识别、获取和加工，并便于审计部及其员工在履行其职责时使用这些信息，保证内部审计信息在上下审计机构之间得到有效传递。建立统一的信息管理平台，将内部管理、项目实施的组织、依据、经验等各项信息集中归纳，供全系统共享和借鉴。给予内部控制丰富的信息资源和最终的决策支持。因此审计部门还要加强与合规风险管理、纪检监察部门的联系，以期达到资源共享的目的。一方面，要将审计检查、外部监管机构发现的问题及时向风险管理部门通报，便于风险管理部门全面掌握风险状况；另一方面，要根据风险管理、纪检监察部门提供的风险管控重点、要点，为审计检查提供方向。此外，根据审计部门的独立审计职责，还可以对风险管理、纪检监察部门的履职情况进行审计检查，督促其提高风险管理、纪检监察的有效性，切实履行各自职责。

5.加强审计队伍建设

审计人员综合素质高低直接影响审计工作质量，加强员工队伍建设，提高审计人员综合素质是我行审计部门重要的日常性工作，需要长抓不懈，只有高素质的审计人才才能做出高水平的审计工作。怎样才能招到高素质的审计人才呢？一个是发现审计好苗子，就做好他们的思想工作，直接抽调；二是改变审计人员薪酬激励体系和考核管理办法，借监兰州银行模式，由董事长、监事长考核打分，不再由被审计单位对审计人员考评打分；三是理顺审计人员职业上升通道，解决后顾之忧。为促使广大审计人员自主学习，同时也为我行审计工作提供人才储备，满足我行跨区域发展对审计人才快速增长的需要，可以根据审计人员的业务素质，对全行审计人员实行等级管理；积极鼓励广大审计人员参加注册会计师、国际注册内部审计师、中级审计师等各类关于审计证书方面的考试，通过考试促进审计人员对审计业务的学习，并将各类考试结果作为审计人员等级评定的条件之一；按照银行业务种类的不同，组织经验丰富的审计人员撰写各类审计经验，建立审计经验共享机制，这对于刚从事审计工作的人员快速掌握必要的审计技术和方法、全面提高我行行内所有审计人员的业务水平有着非常重要的意义；组织审计人员有针对性参加各级内审协会组织的审计培训，学习审计业务知识；定期举办本行审计人员研讨会和培训班，邀请有关专家和审计经验丰富的审计人员授课，传授审计相关经验；适时组织审计人员参加各项业务知识培训与资格考试，促使审计人员加强对本行各项业务知识的学习。

6.加强内部审计与外部审计合作

内部审计可以通过审计工作对我行面临风险的深入了解，来帮助外部审计对我行有效地进行财务报告的审计，而且内部审计和外部审计共享对我行风险分析的信息。内部审计还可以选择合作审计、部分外包等方式进行审计。通过聘请有关专家，开展合作审计，借助他们丰富的专业知识，既可以提高审计结果的可信度，又能够节省审计人力成本和时间，还可以更好的实现信息交流，实现合作共赢。

7.推行审计结果公告制度，不断加大审务公开力度

实行审计结果公告制度，有利于增强审计的透明度，扩大审计的影响力，有利于发挥审计监督在银行发展中的威慑作用。经常公布、通报审计信息，定期公布审计报告，让全行员工了解内部审计，内部审计的权威和威信就会提高，员工也会帮助支持内部审计，及时提供内部审计线索。通过对审计发现的披露，警示全行员工引以为鉴，有效发挥警示作用。

8.将审计成果运用到领导干部的任用及考核中

积极探索新举措，采取新办法，充分发挥内部审计的职能优势，认真履职尽责。一是通过建立相关制度，推进高管经济责任审计审计成果运用，集中研究解决重大疑难问题；审计组织人事、纪检监察等部门互相支持协作，实现优势互补，形成监督合力。二是把经济责任审计知识纳入高管教育培训计划，增强高管审计意识。三是大力开展任中审计，突出对重点部门、重点岗位的管理干部经济责任审计，做到一审多果、一果多用。四是着手建立管理干部个人审计档案，将审计情况纳入审计档案数据库，变过去的静态管理为动态管理，为组织人事部门管理、使用领导干部及时提供较为全面的依据。

9.建立审计整改考核指标纳入被审计单位年度考核中

现在我行对被审计单位的整改情况纳入审计部年度考核指标中，而被审单位对审计中发现的问题缺乏对被审单位进行整改的约束机制，通常总行对分支行的考核主要以量化指标为主，尚未建立对审计发现问题及整改情况进行整体考核评价体系，造成被审单位不重视审计部的整改意见，甚至存在屡查屡犯的现象，很难使审计建议得到真正的落实。

10.打造具有桂林银行特色的内部审计品牌

企业品牌价值是企业整体实力和管理的体现，提升企业品牌价值需要我行各业务线、各分支机构的共同努力。内部审计作为我行内部控制的重要组成部分，对于提升我行品牌价值有着重要的作用。建立我行自身特色内部的审计品牌，对内有利于维护审计工作的威信，使得那些本想违规的人不敢违规，从心理上将员工的违规念头消灭在萌芽状态，以此实现内部审计在一定范围内的无为而治，从而提高内部审计的无形效果；如果我行内部审计工作富有成效，其本身就说明了我行内部控制较为健全与完善，因此，建立具有桂林银行自身特色的内部审计品牌，对外有助于改善我行监管环境、提升我行监管评级、增加我行品牌价值，从而为我行营造良好的外部经营环境。