国家开发银行于2002年11月30日至2002年12月23日组团赴加拿大、美国进行内部控制与风险审计考察。笔者作为考察团成员走访了加拿大、美国的主要金融机构。对其银行的内部审计的主要特点有了一个粗浅的认识和了解。据笔者看,衡量一个银行的内部审计是否具有国际水准,主要体现在内部审计是否具有以下特点:
(一) 内部审计的独立性是否得到了有效保证
独立性是内部审计的基础,是内部审计能否客观、公正地履行职责的保障。独立性不是一种主观上的独立或保证,需要一种客观上和实质上的保障。美国、加拿大主要银行在保证内审部门独立性方面的做法主要体现在以下几个方面:(1)在董事会内设审计委员会,作为银行负责内部审计的最高权力机构。内审委员会的成员由两部分人员组成,一部分来自公司董事,另一部分来自公司以外的资深专业人士,他们在内审委员会中占大多数,内审委员会主席由公司以外的资深专业人士担任,内审部门负责人直接向内审委员会汇报工作。(2)内审机构垂直管理,向各分支机构派出的内审人员全部向总行内审部门负责人汇报工作,其业绩考核、职务升迁和薪酬变化由总行内审部门直接管理,不与所监督部门发生任何利益关系。(3)全行内审费用的预算、总行内审部门及其主要负责人的业绩考核、职务升迁和薪酬变化由内审委员会直接决定,银行的管理层,尤其是各业务主管层与内审部门无直接的利益关系。
(二)内部审计是否参照国际内部审计从业标准
此次考察的美国、加拿大的银行无一例外地执行国际内部审计师协会制定的内部审计从业标准,且全部实施风险审计。内部审计从业标准倡导内部审计实施以防范风险为目标的风险审计方法和内部控制评价。该标准包括属性标准(1000系列),业绩标准(2000系列),以及执行标准。属性标准描述了企业及个人进行内审活动的特征;业绩标准描述了内审活动的本质并提供了可对内审服务业绩进行考核的标准。这两项标准适用于广义上的内审服务。执行标准是将前两项标准适用于特定方面(如合规性审计、欺诈调查或内控的自我评价)。执行国际内部审计从业标准的好处是显而易见的,首先,它为内审界提供了一份从事内审工作的基本准则,使不同国家、不同地区、不同行业的内审人员有了共同的语言和标准;其次,它为能带来附加值的内审活动提供了可供实施与推广的框架;再次,建立了对内审业绩进行评价的基础。
(三)内部审计是否以风险审计为基础
国际一流银行普遍采用风险审计方法,风险审计方法的主要内容为:以风险防范为中心开展审计工作,首先,按照各分支机构、各业务流程、各金融产品分析其固有风险,列出主要风险因素;其次,对各分支机构、各业务流程、各金融产品自身针对其固有风险所采取的化解和防范措施进行分析,得出其控制风险的能力和主观态度;再用固有风险减去控制能力,得出净风险值。内审部门依据各分支机构、各业务流程、各金融产品的净风险值从大到小列出高风险部门(环节、产品)、中风险部门(环节、产品)和低风险部门(环节、产品),同时依据内审部门所拥有的审计资源,从高风险到低风险适时安排内部审计。通常高风险部门(环节、产品)6~12个月审计一次,中风险部门(环节、产品)24~36个月审计一次。审计计划的制定与调整也是依据风险因素,而需要特别强调的是因为内部审计受不确定性因素影响较大,临时性任务较多,年度审计计划一般安排不宜过满,否则将影响内部审计部门对突发性事件或风险临时审计能力。同时审计计划在执行过程中,要依据当时的具体情况和风险变化,适时进行调整,以保证内部审计的活力和对风险的应变能力。
(四)内部审计是否已从注重对操作层的审查转向对决策进行审计,为决策服务
国际一流银行的内部审计部门已经从过去只关注操作层的风险,发展为现在更关注决策的风险,实施决策审计,为决策服务。其理论为:美、加银行界普遍认为,银行的人员结构是个正三角,上层为决策层,是整个银行的灵魂,人员最少;中层为具体组织实施决策意图的管理层,人数居中;下层为操作层,是只负责具体操作的一般员工,人数众多。而对整个银行来说,风险恰恰是倒三角,决策层因为在不断做出关系整个银行命运的各项决策而处于最高风险;中层管理者,因为负责具体实施已做出的决策,承担中度风险;下层操作者,因为只负责具体业务操作,能自我发挥的空间极小,所以处于最低风险。当然,这个理论的前提是银行 的内部控制水平较高,操作风险已得到有效控制。基于上述理论,美、加银行的内部审计部门现在已经将审计的重点由操作层转向管理层,实施决策审计,其具体做法为:(1)内审部门的主要负责人参加银行内部的全部有关决策的会议,对决策的过程和程序实施监督,同时获知有关决策的相关信息;(2)内审部门的主要负责人组织相关人员依据已获知的决策信息,对决策的内容、可能带来的风险、政策依据、必要的前提准备实施审计,提出管理建议,为管理层决策提供参考。但同时内审部门在实施决策审计时,必须摆正位置,它只是作为内审部门独立提出管理咨询,不能最终干预最高决策层的决策。
(五)内部审计是否已经从简单的对单项业务或部门的审计,发展到为银行整个的管理目标服务
国际一流银行的内部审计已经从过去简单的对单项业务或部门的审计,发展到为银行整个的管理目标提供服务。内审部门已经从过去的警察的角色转变为管理层的合伙人。其主要做法表现在:(1)更注重与业务部门的沟通与交流。现在内审部门已经改变了过去那种比较秘密的工作方式,而更强调与业务部门的沟通,共同探讨问题,提出更好的解决方案,为实现整个银行的管理目标服务。(2)审计的重点发生了变化。过去内审部门更多地关注财务和会计的控制,关注对赤字的检查,现在则更多地关注程序、业务流程、整个银行的内部控制等问题。当然,在安然和世通事件发生以后,美国银行内部审计部门又重新加强了对报表的关注。(3)对审计人员的业绩考核标准改变。过去考核审计人员的业绩,主要看他发现了多少个问题,多少错误,而现在则是考察他实施监控的价值,对整个银行业绩的贡献度,为银行带来了多少附加值。(4)审计灵活性的转变。过去内部审计只是简单依据内、外部各种规定对业务部门实施检查,而现在,审计部门则更关注随着时间和环境的变化,哪些规章已经偏离管理目标或阻碍管理目标的实施,这时需要的是提示有权部门修订规章,而不是简单地依据规章进行审计。
(六) 内部审计的质量是否得到有效保障
审计质量是审计的生命,是审计部门树立较高威望的基础。国际一流银行内审部门现在已普遍实施内部审计质量控制。其主要做法为:(1)重视审计质量,在审计人员中树立质量意识,并将审计质量作为审计人员业绩考核的重要依据。(2)制定审计手册或具体审计指南,对审计人员的审计工作予以必要的规范和指导。(3)制定审计人员职业道德准则,强调职业操守、执业审慎和从业资格,保证审计人员具备应有的职业道德水准和必备的从业技术要求。(4)注重审计的时效性,将时效性作为审计质量的重要考核依据,因为任何审计结果都离不开特定的时间和环境。(5)在审计部门内部成立专门的审计质量检查机构,专门负责审计质量的鉴证,检查内部审计人员是否严格执行审计手册、具体审计业务指南和职业道德准则,对违反要求的审计人员提出处理意见。(6)各类对外签发的审计报告、审计意见等文件均由总行内审部门负责把关、审定。(7)至少应该每5年由来自银行外部的一名独立的、专业上能胜任的审查人员或审查小组来对整个银行内审部门的工作进行验证和评价,内审部门负责人应如实地向内审委员会汇报外部评价结果。
(作者单位:国家开发银行稽核评价局)
来源:中国内部审计
