对于大型商业银行而言,内部审计的目标是采用系统化、规范化的方法对组织的风险管理、控制及治理程序进行评估和改善,从而为企业增加价值并提高运营效率,促进企业目标的实现。达到以上预期成果或目标的程度,我们称之为内部审计效能,它是内部审计质量和审计成果运用的综合反映。就目前国内外内部审计理论的研究情况看,对大型商业银行总行本部的内部审计研究还存在一定程度的理论及制度空白,尤其是深入分析总行本部的审计效能。提升大型商业银行总行本部审计效能的必要性随着经济全球化及国际化程度的加深,国内各大型商业银行陆续完成了集约化生产运行体系的建设,不断推进科技与业务的深度融合,更好实现了信息化的不断深入和业务的快速发展,交易量屡攀新高。随着大型商业银行大集中、大管控管理模式的推进,大型商业银行总行本部设置的部门较多,涉及业务范围广、专业化程度深、数据高度集中、资产管理规模巨大,呈现了“两高一集中”的特点,即:管理层级高、经营层次高和作业平台集中(如:业务处理、授权审批、资金运用)。以上这些特点使得总行本部积聚的风险压力在不断加大。因此,加强总行本部审计是提高大型商业银行风险管理质量和内部控制水平的重要措施,也是提升内部审计效能的必然选择。具体体现在以下三个方面:一是适应外部监管要求的必然选择。大型商业银行的总行本部作为决策与管理的首脑、体制与机制的总源头,既对全行经营管理水平的高低起到决定性作用,更对把控和贯彻落实外部监管要求起到决定性作用。巴塞尔银行业监督委员会认为,“银行内的每一项活动以及每一个机构都应该在内部审计监控的范围之内”。加强大型商业银行总行的内部审计工作尤显重要。二是公司治理的必然选择。公司治理是银行持续健康经营的重要基础和保证。总行本部作为大型商业银行公司治理和内部控制的重要组成部分,其经营管理状况的好坏是保障全行业务安全稳健运行、提高银行效益与知名度的关键因素。加强总行本部审计工作有利于大型商业银行完善公司治理、实现股东价值最大化。三是风险防控的必然选择。由于总行本部风险的聚集,使得其自身的固有风险和控制风险加大。总行本部的经营管理活动往往辐射全行,其风险状况、内部控制与风险管理水平对控制和缓释全行业务风险具有举足轻重的作用。加强总行本部审计工作是大型商业银行风险防控的现实需求。
建立与大型商业银行总行本部经营管理特点相适应的审计模式和方法
现阶段,多数大型商业银行采用总分行制的组织模式,总行本部除了领导和管理各分支机构外,本身也对外营业,办理部分银行业务或建立事业部模式。本文即探讨此模式下的总行本部内部审计效能。在此架构下,总行若干职能部门按照职责分工,划分为支持保障、业务管理、营销管理、直接经营等不同板块,如图1所示。对总行本部审计就是对总行各板块、各部门的内部控制状况、管理职责履行及效率、经营活动的真实性、合法性、效益性进行独立与客观的监督与评价,督促总行相关部门落实组织战略目标并控制好营运风险,促进总行本部乃至全行运营与管理活动不断改善。近些年,随着后金融危机时期大型商业银行公司治理的不断完善,银行内审转型工作也在不断深化。内部审计方向由内部控制有效性的合规导向型审计向风险导向型审计、管理导向型审计转变,内部审计重心由财务审计为主向财务审计与管理审计并重转变。对总行本部审计工作,要突出问题导向和需求导向,应根据内部审计方向及重心的变化趋势以及总行本部不同板块的职能特点,积极推进审计转型,采用有利于实现审计目标的不同审计模式,最大限度地发挥内部审计的效能。因为选择有效的内部审计模式有助于企业完善公司治理。具体体现在:在内部控制有效性审计基础上,运用系统化、标准化和规范化审计方法,对直接经营板块应侧重于风险导向型审计;对营销管理与业务管理板块应侧重于风险导向型审计与管理导向型审计并重;对支持保障板块应侧重于管理导向型审计,通过开发和运用内部审计信息系统平台,尽快完成从传统的审计向数据式审计转变,努力改进总行本部审计质量,最终实现价值增值型审计职能。要全面揭示总行本部经营管理中的风险,及时提出预警和改进建议,还要以持续性的日常非现场风险监测、评估和预警为先导,并加大工作力度和创新手段,特别是在信息数据大集中的前提条件下,要以先进的计算机审计技术为支撑,努力实现远程快速反应的方式,预警业务经营主要风险点和业务管理的主要薄弱环节。在日常非现场监测对象方面。实现“横纵结合”,“横向”即监测总行本部各部门的内部控制和风险管理状况;“纵向”为监测各业务条线中总行本部发挥的职能作用,从而形成全方位覆盖与全过程控制的风险监测反应机制,有效防范总行经营管理风险。在日常非现场监测手段方面。采用数据式审计方式,利用计算机技术对业务操作系统或管理信息系统等数据进行整理、比较和分析,并结合外部公共查询系统信息最终形成非现场监测成果。在风险分析与评估方面。关注宏观与微观经济环境对相关行业的影响程度,坚持总体分析与特征分析相结合,适当考虑地区差别因素,引入国际先进的审计方法和理念,对非现场监测结果进行风险分析和评估,并就风险程度划分制定统一标准。在风险预警方面。对风险分析及评估的结果,依照重要性原则进行核实验证。根据核实情况形成风险预警信号并及时发布,供相关职能部门和高管层参考。督促其及时采取适当防范措施,规避或缓释风险。
精细化过程考量是提升总行本部审计效能的有效途径
企业的内部审计应适应和应对来自企业外部和内部的风险,有效防范因外部欺诈和内部舞弊引发的案件和风险事件。明确适合总行本部不同业务板块职能特点的审计模式后,在具体实施过程中,要强化和精细化过程控制,严格过程考量,尤其是影响审计效能的重要环节,更需采取针对性的过程控制措施。其中,总行本部相关职能部门的审前风险评估和审后审计质量评估是影响审计效能的两个重要环节,应该进行有效控制。
(一)通过审计评级精细化被审计对象的剩余风险
判断和评估风险的前提就是对风险充分的识别与计量。审计评级是运用系统、规范的方法,对总行本部相关职能部门内部控制系统的充分性与有效性、风险管理的效果以及公司治理的情况,独立开展调查、测试、分析、评估的系统性活动,是风险识别与计量的有效手段。开展总行本部的审计评级是提升总行本部审计效能的重要步骤。总行本部审计和其他审计一样,要降低审计风险,离不开对固有风险、控制风险和检查风险三个要素的有效把控。审计风险=固有风险×控制风险×检查风险=剩余风险×检查风险固有风险、控制风险与被审计对象有关,内审人员对此只能评估、不能控制。但审计人员可以通过对被审计对象的了解、监测、分析和数据积累,来评价被审计对象内部控制与风险管理的健全性、合理性、遵循性,以及所采取的整改措施及其效果的可接受程度,判断剩余风险的高低,绘制风险态势图,这就是总行本部的审计评级。通过审计评级,确定可以接受的检查风险,确定需抽查的重点、产品、环节和范围,进而控制审计风险,保证审计质量。审计评级中的指标设置非常关键,必须要适应大型商业银行总行本部的运营特点。笔者认为,对总行本部的审计评级可划分为决策管理、风险管理、绩效评价及监督评价等四个环节,通过16子项的评级指标来进行具体操作。在设定的16个评级指标中,每个评级指标分三个等级,分别是:“优良”、“可控”、“一般”。“优良”是指内部控制、风险管理及公司治理充分、适宜、有效,基本没有发现重大的问题和缺陷;“可控”是指内部控制、风险管理及公司治理比较健全、适宜,并得到较好的效果,但评级发现存在个别的问题和缺陷,可以接受和容忍。“一般”是指内部控制、风险管理及公司治理基本健全、适宜,效果一般,评级发现存在一些明显的问题和缺陷,风险控制工作还需进一步改进。总行本部不同职能部门职责分工不同,分属于不同的业务板块,审计评级侧重的风险类型也应不同。如:直接经营板块应侧重于经营风险;营销管理与业务管理板块应该是经营风险与公司治理风险并重;支持保障板块应侧重于公司治理风险。“优良”等级得分为相应权重的全部权重分值,“可控”等级得分为相应权重分值的80%,“一般”等级得分为相应权重分值的60%。决策管理、风险管理、绩效评价及监督评价四个环节得分的汇总,即为该部门的审计评级得分。对总行本部的审计评级遵循全面、独立和客观的原则,采取全年动态评级(季度/半年/年度)的方法,利用评级年度内各种审计、检查成果,并结合现场评级结果进行综合测评打分,最终根据审计评级得分确定审计评价等级。审计评级结果可划分四个等级,分别是“:控制优良”、“满意”、“需要改进”、“较差”。评级得分为90分以上的,评为“控制优良”;评级得分为80~90分的,评为“满意”;评级得分为70~80分的,评为“需要改进”;评级得分为70分以下的,评为“较差”。对评为“控制优良”的部门,审计频率可以三年审计一次;对评为“满意”的部门,审计频率可以一年审计一次;对评为“需要改进”的部门,审计频率可以半年审计一次;对评为“较差”的部门,审计频率可以每季度审计一次(见表1)。随着大数据、云计算为代表的技术工具升级,数据仓库和数据挖掘技术深度应用于各个业务管理信息系统。对不同业务条线之间的数据分析、信息整合,扩展了总行本部审计的应用范围、方式和反应能力,可以建立更加全面、专业的审计监督测评系统,做到无死角、无盲区、无遗漏,使审计的精准度和服务效率大幅改进。
(二)通过审计质量评估强化审计质量控制
对总行本部审计质量评估采用点、面结合的方式。“点”就是具体项目的质量评估,“面”就是总行本部审计工作总体情况的质量评估。这两个层级的评估,因评估的对象不同,在评估的内容上也有所不同,本文基于欧洲品质管理基金会(EuropeanfoundationforQualityManagement,EfQM)的评价模型,建立了对总行本部审计质量的评估框架(见图2)。分别围绕“公司治理与领导”、“审计策略”、“人、知识与技能”、“审计程序与资源”“、其他确认业务”“、审计结果”及“审计成效”七个方面建立和审计评级操作相类似的评估标准并细化评估指标权重。在此基础上,对总行本部审计项目质量的内部评估至少每年开展一次,由审计项目组以外的其他人员负责实施。对总行本部审计工作质量总体评估至少每两年开展一次,可由授权实施总行本部审计的上级部门或董事会审计委员会或监事会履职尽职监督委员会组织实施。通过各个指标及其权重得出审计质量的最终评估结果。质量评估结果可分为“满意”、“需要改进”、“较差”三个等级,与审计人员、内审部门的年度绩效考核挂钩。评估结果为“较差”的,应引起高度重视,并采取有效措施督促整改。评估结果为“满意”的,应提出表扬并给予适当奖励,将项目经验与其他审计人员分享。
不断提升总行本部审计效能,更好体现内部审计增值目标
提升总行本部审计效能,是适应大型商业银行发展的需要,总行本部审计要适应互联网金融和各种新型业务的快速发展,并不断改进、借鉴和创新,为商业银行提供价值增值服务。本文借鉴美国质量管理专家戴明博士提出的PDCA循环模型,对总行本部增值型内部审计进行了一些尝试。PDCA循环是指能使任何一项活动均可在计划(Plan)—实施(Do)—检查(Check)—处理(Adjust)四个阶段循环,持续改进。即:在计划阶段,通过审计评级,对总行本部风险进行充分的识别与计量并制定方案;在实施阶段则制定详细计划和有效措施;在检查阶段,则运用总行本部内部审计质量评估模型充分评估项目质量;在调整处理阶段,则总结经验,不断完善相应标准(如图3所示)。总行本部审计可以通过PDCA循环,使审计结果和审计建议逐渐得到高管层的重视,促进内部控制水平的提升,改善经营管理办法,有效防范外部欺诈和内部舞弊差错等引发的案件、风险事件以及管理缺陷和决策失误,防微杜渐,持续提升核心竞争力。
小结
大型商业银行总行本部审计工作是大型商业银行内部审计工作的重要组成部分,也是大型商业银行内部监督工作的重要组成部分。大型商业银行要组建适应总行本部审计工作的人员队伍和运作机制,明晰审计流程和操作规范,保证审计工作的连续性和计划性,积极创新审计手段和方法,建立系统化、规范化、制度化、标准化和模块化的审计技术手段和方法,借助大数据挖掘技术,推广数据式审计在总行本部审计工作中的广泛应用,与外部监管部门建立联席、信息沟通机制。整合银行内部监督资源,形成监管合力。把现场审计与日常常态化的审计监测、评估和预警结合起来,把现场审计与网路诊断、专家判断结合起来。关注并应对信息技术、互联网技术深度使用可能带来的系统性风险,开发应对创新业务的计算机审计软件及工具,进一步完善审计评级设计的参数指标,准确识别和量化总行本部风险,动态设立总行相关化学与农业论文业务风险态势图,推进总行本部审计质量控制长效机制建设,扎实提升总行本部审计效能,更好实现审计增值服务。
作者:田孟刚 李镔 李屹东