商业银行内部审计增值路径.docx

《商业银行内部审计增值路径.docx》由会员分享，可在线阅读，更多相关《商业银行内部审计增值路径.docx（17页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、商业银行内部审计增值路径 摘要作为组织结构的一部分，内部审计目标与组织高度一致寻求组织价值的最大化。内部审计增值将始终围绕防风险、强内控、促发展的主线展开，并在工作内容选择、工作方式方法创新、工作机制流程优化等不同维度跟进相应措施，保障审计价值增值路径畅通，效果符合预期。 关键词内部审计;价值;增值;路径;商业银行 近年来，银行内部审计的作用日益凸显，得到各方认可。但是，伴随外部经济形势、金融环境日益复杂化，面对经营风险多样化、交叉传染以及影响面日益扩大等新特点，商业银行风险防控与稳健运行面临前所未有的压力，监管部门、商业银行管理层、业务经营部门及一线机构等对审计工作的期望更高，主要体现在对内

2、部审计工作职能发挥的几点疑问：一是风险大面积暴露，审计作用是否充分发挥？部分问题为何过去未能揭示，事前未能提示？二是审计每年揭示大量问题，但问题数量为何未显著减少，部分问题为何屡查屡犯？三是经济新常态下，审计怎样才能更好地发挥作用？如何在揭示风险的同时着力解决问题？疑问几乎锁定同一焦点，就是审计如何跳出对照制度查错纠弊、事后审查揭示问题的传统工作模式，主动寻求提升价值贡献的新路径、新模式。内部审计价值增值正成为评价审计履职尽责的核心标准。 一、价值增值模型与增值路径 作为内部审计标准的制定者，国际内部审计师协会(IIA)对内部审计定义进行了持续优化：11019年重新定义并强调内部审计职能为确认

3、与咨询，通过评价和改善风险管理、内部控制和治理过程的有效性，帮助组织增加价值、改善经营、实现目标。该定义将内部审计落脚点最终体现在增值，也明确了内部审计发展的方向。（一）三种价值增值模型。基于IIA重新定义，国际内部审计专业实务框架(IPPF)持续修订并推出一系列有益实践的价值增值模型：公共部门内部审计能力模型(IA-CM)（IIARF，2022）将内部审计能力分为五个层级：初始级、基础级、整合级、管理级与最优级，旨在评价内部审计自身活动状况，培养和发展内部审计能力，指导内部审计提高在公共部门治理和问责中的作用。内部审计价值主张模型（IIA，2022）建立在内部审计向组织提供的核心服务之上，即

4、“客观”“确认”和“洞察”。“客观”是以客观事实为基础，公正无偏地开展分析审核、做出判断与结论；“确认”是对内部控制、风险管理和治理过程有效性进行的评价；“洞察”是在敏锐发现问题的基础上，提供前瞻性、建设性的见解。该模型目的在于激发内部审计价值创造的意识，将价值创造作为与组织利益相关者实现有效沟通的主题与途径，增进各方的协调与信任。三线防御模型（IIA，2022）意在统筹规划组织投入内部控制与风险管理的各项资源，通过明确经营经理层、风险管理与合规、内部审计三道防线的角色与定位，协调加强风险管控。这三个模型与内部审计的价值紧密关联，体现了IIA对内部审计的规范性指导。关于内部审计发展方向，相关理

5、论无一不统一到价值增值这个核心，并因此系统规划了“增值时代”内部审计发展的理念、宗旨、活动实施、制度与资源安排，成为内部审计构建转型框架与具体策略的重要指导。（二）三种价值增值路径的选择。综合各方要求与基础理论，对新形势下的内部审计转变传统观念，主动探索转型之路，着力提升价值贡献提出了要求：首先，着眼于组织全局，服务于组织目标的实现，最终目标是实现价值最大化。其次，客观、确认是内部审计的履职基础，但突出前瞻预判的洞察能力是体现价值的关键。最后，在保持作业模式相对独立的同时，内部审计增值还需依托三道防线相互协作。基于以上要求，确定审计增值的三条路径：一是揭示风险并促进化解以实现价值。揭示风险是履

6、行审计职能的首要任务，是体现审计价值的基础。通常有两种模式：一是传统事后审计模式。内部审计在经营活动完成后，基于活动轨迹、活动资料进行事后审核。此模式风险往往已经存在，通过审计揭示出来，督促经营管理条线及时处置风险，防止风险蔓延，或减少风险造成的损失。这是最常见的审计模式，关键节点在于促进风险化解。怎样促进，基于准确的查证，即指出风险产生的环节、风险的表现形式、风险的责任主体，从而使风险化解成为一项目标责任清晰的工作。二是基于视角前移的前瞻性审计模式。前瞻即“洞察”，提前识别。通过前瞻性分析，加大风险研判力度，及时捕捉新情况、新动向和新特征，发现一些潜在影响较大的倾向性、苗头性问题，提出解决措

7、施，帮助组织避免更大问题的发生和更多损失，使审计职能由“治病”转变为“防病”，乃至“防治结合”。在这个环节，查和证是审计工作的两个重点：一方面，合理运用方法技术，快速查找风险线索；另一方面，调动各方力量，全方位证实风险的存在。审计需要做实这两个步骤，保证该揭示的风险得以全面揭示，促进被审计单位充分识别风险并及时采取有效的化解措施，防止风险蔓延，避免造成更大损失。二是揭示控制缺陷并促进改善管理以实现价值。履行监督职能、揭示风险只是审计工作的第一步。“增值型”审计要求从“揭示问题”切入，以“解决问题”落脚，内控缺陷往往是问题的根源，特别是频率高发问题。审计工作始于风险，归于内控。内控缺陷的改进是审

8、计工作链条闭环、风险闭合的重要参考因素。因此，在查与证的基础上，审计还要着力抓实“挖”与“炼”两个环节，通过深层次分析，努力挖掘找到风险背后的根源性内控缺陷，致力于促进管理层牵头，推动自上而下的源头整改，帮助组织改善内部控制，使业务持续发展、价值实现最大化，实现审计价值创造、组织价值提升的高度统一。三是促进增收节支以实现价值。这是审计职能的进一步延伸。银行的核心价值是吸收和防控风险，但银行经营目标依然是风险可控前提下的股东价值最大化。内部审计作为银行的重要组成部分，其目标与全行经营目标具有一致性。因此，审计工作要体现融入性，不能仅局限在问题揭示的传统思维框架内，要充分利用审计信息处理应用方面的

9、优势，立足机构整体，通过挖掘数据流、业务流，着力寻找增收节支的重要突破口，主动拓宽审计价值创造的空间。 二、创新增值路径的实践选择 （一）突出监督机制创新，使项目审计与日常监测共同构建起审计监督立体防线。1.确认与咨询相结合，科学立项，实现项目审计对业务的周期覆盖。（1）突出风险导向。评价审计价值与效果高低，取决于该查出的问题是否查出，该揭示的风险是否全方位揭示。监督是内部审计的首要任务，而流程规范的审计项目是审计监督最重要的载体。审计要从组织增值目标出发，合理安排审计项目和确定审计重点，针对关键环节、关键风险，以充分的人员、资源保证审计项目实施，实现对主要环节、业务、机构、产品的周期性覆盖。

10、通过对相关业务领域风险开展评估，综合运用风险因素分析法、内部控制评价法等专业风险评估工具，有效识别和评估银行面临的风险，针对重点风险领域投入优势兵力，拓展审计深度，着力揭示重大问题、重大风险，从行业、区域以及新业务、新产品等不同维度进行风险分析，及时作出风险预警，帮助组织防范系统风险。（2）紧跟监管导向。持续关注监管重点领域风险，项目安排主动契合监管理念、监管方向及重点变化。内部审计应及时跟进外部监管政策变化，并及时融入各类审计项目中。聚焦信贷、柜面、印章、集中采购等高风险领域和外部监管系列专项整治重点，定期审计，持续关注风险。加强经济责任审计，把经济责任审计作为防范区域风险的重要手段。（3）

11、关注经营管理中的难点、热点。审计对象借力审计的意愿不断增强，为双方共同研究经营管理问题打下基础。对此，应着力提供管理咨询，审计年度项目计划安排应从帮助解决经营管理中的问题出发，更多开展咨询类项目，将服务领域逐渐拓展到管理层关心的集约化管理、成本控制、业务营销与业务拓展等领域。从项目内向项目外延伸，以日常监测进一步实现审计的动态、全面覆盖。审计部门在项目监督的基础上，还需探索建立日常审计监测机制，通过提升审计的时效性体现前瞻洞察力。（1）建立健全“横向到边、纵向到底”的责任体系，落实日常监测的机制保证。建立责任分解和压力传导机制，采取分专业、分机构、分组包片的方式，将日常监督责任层层落实到部门和

12、审计人员。明确审计人员在风险信息收集、监测、分析、核查工作中的具体工作内容和考核质量标准，实现每项业务、每个重点客户都有人管，每名审计人员都有自己的“责任田”。（2）立足计算机审计平台，突出重点事项，以日常监测保障监督覆盖。随着业务数据化，依托数据开展非现场分析，提前锁定重要疑点成为可能。大力推广基于业务模组化管理、业务数据关联分析的计算机审计技术，按照业务流程提前梳理审计分析模型，实现重点业务、重点事项、重点环节、重要岗位监督常态化，动态跟踪银行经营管理变化和风险演变，动态排查风险。（3）发挥日常监测灵活性优势，成果及时查、及时报，提升审计风险的快速反应力。与项目审计相比，日常监测具有不立项

13、、全员参与、依托数据与技术平台非现场经常性分析、动态查证等优势，可以实现小而灵的“点穴式”审计，使及时反馈风险、快速推进风险应对成为可能。（二）突出审计分析方法创新，精准揭示问题与全景展示风险结合。依托计算机审计平台，开展非现场数据分析，及早锁定疑点线索，提升问题查证与风险揭示精准度。一方面，审计准备阶段，集中分析数据，突破统计抽样、大海捞针的瓶颈，提前锁定疑点线索，实现现场审计定点查证；另一方面，现场查证阶段通过内外部数据关联分析、比较分析，实现深层次揭示问题。更重要的是，成果提炼阶段，以全量业务数据为分析对象，以现场查证所掌握的某一问题为切入点，有助于批量揭示一个区域甚至组织全量风险，促进

14、准确计量风险敞口并采取有效措施。搭建主要业务风险评估与预警体系，立足业务数据整体分析，及早把握风险发展态势。大数据时代为业务整体分析与风险趋势预警提供了可能。内部审计应将数据分析应用到整个审计生命周期，立足业务整体数据，结合外部数据，整合构建风险评估及预警模型体系，实现动态预测风险和趋势，集中提示业务指标异常的风险集中区域，为经营决策提供更具价值的信息。一方面，多维度、多方法搭建数据整体分析框架。从区域、机构层级、时间序列等维度，对经营机构的主要业务指标和科目余额占比、增量变化、系统排名等情况进行综合比对，形成以系统分析和主要科目变动分析为主、以灵活分析为辅，数据准备和自定义数据源为数据基础的

15、主要业务风险评估及预警体系。从宏观层面反映了经营机构整体风险、主要业务风险和区域风险，构建业务全景视图。从中观层面反映经营机构重点科目异常变化情况，通过同层级机构的对比分析，直观反映机构的风险状况，实现异动精准监控。另一方面，科学应用体系分析结果，促进审计价值创造。一是为审计工作计划制定提供参考。从区域、机构、时间等维度，对主要业务指标进行机构间的横向分析和机构内纵向分析，从宏观层面提供支撑。二是为日常审计提供关注重点。通过科目余额多维度分析，及时反映经营机构重点科目异常变化情况。三是为经济责任等审计项目提供数据支持。采集一、二级分行历史数据，初步实现向经济责任等审计项目直接提供业务评价数据的

16、目标。四是为信贷决策提供更具价值的参考。对于信贷业务的评估，基于当年贷款核销金额还原不良贷款额和不良贷款率指标的假设，这种分析模式下的评估结果更真实地体现经营机构信贷资产质量。还原信贷资产质量的真实面貌，促进提升信贷政策制定的科学性。（三）探索内控基础审计模式创新，多维度分析内控问题根源。内部审计经历了从账表审计、控制导向审计，逐步向风险导向审计发展的历程。但是，揭示风险只是审计履职的一个部分，以确认为主。审计履职与创造价值需要体现在管理咨询的更高层次，这是价值主张模型的核心内涵。所以，风险导向审计最终需要回归内控，透过风险表象深挖内控根源，以此推动高层次的风险化解与主动防控。从这个意义上说，

17、“内控基础审计”是对“风险导向审计”理念的最终“落地”和实践探索。从两个层次构建多维度内控分析体系。（1）第一个层次涵盖制度、流程与操作执行的浅层内控缺陷。结合操作实际，可以归纳为七个层次：一是执行缺陷。即有控制不执行，绕开控制导致控制失效。该项缺陷具有普遍性，因为主要取决于人的主观因素。二是能力不足。业务培训不到位，主观学习不足，都会带来操作能力的不足，从而导致固有的内控审计未得到遵循并产生风险。三是责任心不够。表现为能执行未执行，或者敷衍了事、降低执行标准等。四是产品设计缺陷。五是流程设计缺陷。六是系统控制缺陷。七是制度缺陷。前三类问题可归入个体主观层面的执行缺陷，具有个体性、分散性，对应

18、的往往是“点”上的问题。后四类基于固有控制理念，在控制设计方面存在的不足，对应的往往是“线”的问题，即一类业务的一类问题，是需要从局部整体层面推动改进完善的内容。（2）第二个层次涵盖观念、文化的深层内控缺陷。随着认识与技术水平的提升，商业银行业务系统控制、制度流程越加规范全面，解决同质问题频发的难题，内部审计亟需破解更深层次的内部控制缺陷内控环境建设不足。内控环境往往是系列问题的最终源头，是决定内控架构的核心要素，站在组织管理全局视角，无疑是内部审计评价应着力关注的深层次因素：一是考核机制缺陷。二是人才评价模式。实践证明，当前重规模奖励、轻风险问责的考核与人才评价模式，一定程度上导致不同层级的

19、机构与人员漠视违规成本，导致问题与风险高发。三是发展观、政绩观、价值观与企业文化。走以规模为主还是风控为主的发展之路，关注短期政绩还是寻求组织可持续发展，是发展观与政绩观的核心内涵，属于组织整体层面问题。不同发展观决定了不同的内控框架，也衍生了不同的价值观与企业文化，规模导向的价值观难以真正构筑以风险控制为核心的内控基础框架。2.立足内控基础分析合理规划审计工作实践。（1）区别一般审计发现和内控缺陷，对审计成果合理分类。审计发现和内控缺陷的关系可分为三种：一是“审计发现”即内控缺陷；二是对单个“审计发现”产生的原因进行深入分析，原因即内控缺陷；三是通过对多个“审计发现”进行汇总以及关联性综合分

20、析，揭示整体性、深层次的内控缺陷。第一种情况通常以符合性测试为基础，所揭示问题反映的是内部控制两个层次12个维度内的某一类缺陷。第二种情况关键在于透过审计发现的表象，揭示其背后的制度、流程、系统等缺陷。对于第三种情况，不仅针对业务或管理的流程控制，也要针对业务或管理的整体控制；不仅要关注风险目标，也要关注效益或效率目标。通过分析，找准问题背后的深层次根源。（2）通过内控分析指导审计重点，提高审计查证的准确性。内控分析指导查证重点，至少有两种途径：一是通过对业务流程的分析，从影响内部控制目标实现的角度，确定审计关注的重点控制环节，并根据审计实施结果，验证和评价业务流程控制的有效性。基于流程分析的

21、审计方法，更适用于部分符合“大数原理”的高频率交易业务。二是通过对以往审计发现及内控缺陷的汇总分析，梳理出重要的控制缺陷和控制环节，指导审计组通过现场审计，跟踪相关内部控制缺陷是否仍然存在，是否由此引发重大问题，并以此评价内控持续改进机制是否完善。（3）突出内控缺陷分析，提炼成果，体现审计结论的价值性。重点体现在以下三个方面：一是从跨业务、跨产品、跨管理领域的审计样本、审计疑点或审计发现中，揭示、分析、归纳出共性、深层、核心的内部控制缺陷。二是从问题成因入手，按照两个层次12个维度，分析缺陷的发生层面，增强审计建议的针对性和可操作性。三是从影响内部控制目标实现的角度，确定审计关注的重点控制环节

22、，判断控制缺陷对目标实现的影响程度，分析和评价业务流程控制的有效性。（四）推动多层次跟踪整改创新，努力将审计成果转化为实际价值。揭示问题只是内部审计履职的一个方面，促进问题解决，服务组织发展大局才是审计的最终目标。也就是说，审计必须主动推动成果价值转化利用。按照内部审计准则关于审计流程的设计，从计划立项到准备实施，从现场查证到成果汇总，这是审计工作的一条主线。但审计跟踪作为审计流程的最后一个环节，是审计工作实现闭环管理、创造价值的关键环节。审计人员通过必要的方式手段，持续跟进并推动审计揭示问题的有效整改，促进审计建议的有效应用，才能真正体现审计成果的价值，审计才真正服务于内控改进、风险识别防控

23、与发展增值的大局。1.审计查证与跟踪整改同步，推动“点、线、面”立体整改，提高成果转化的及时性。银行经营风险包括信用风险、市场风险、流动性风险、操作风险、道德风险、声誉风险等方面，风险的主要特征表现在三个方面：风险演进速度快、风险交叉传染、风险带来的损失数量大。内部审计必须将查证与跟踪保持同步，促进边审边改，才能在有效降低风险影响的过程中实现增值。在这个过程中，加强与审计对象的沟通合作，推动各方及早介入，层层推进、快速整改是重点。要力争在审计期间，整改措施及时跟进，审计结束，整改效果开始显现。（1）现场查证阶段，着力促进“点”的整改。银行审计多以基层分支机构作为抽样对象，要主动协调分支行纪委与

24、监察部门力量，审计与被审计相互协调，共同取证。实质上是促进基层机构及早直面问题，识别风险，提升风险化解主动性与及时性。能有效避免审计单方查证、定性，客观上形成的信息不对称、对风险及影响的认识不统一、对问题整改标准的双边博弈现象。调动基层机构参与查证，有利于推动整改前置，问题查证的同时，点对点的整改快速启动，有利于遏制风险快速蔓延。（2）审计成果沟通阶段，着力促进业务条线管理部门“线”的整改。审计揭示的问题，最终可以归集到某一个对应的业务板块，问题源头也可能指向相关业务制度、流程、管理方面的缺陷与不足。这类问题单靠问题所在机构推进整改，只能解决单点，无法促成条线整改，此查彼犯现象因此而生。要提升

25、审计成果价值，必须调动条线部门的力量。在审计成果提炼过程中，主动将同类单点问题连接成线，主动征求条线管理部门意见，共同找准问题实质与问题根源，在机构单点整改的同时，条线部门牵头，快速启动制度、流程优化层面的整改，通过规避控制漏洞促使整改上层次。（3）重大问题与重大风险事项，着力促进管理层“面”的整改。按照内控缺陷分层，在操作执行与机制流程之上，考核、理念、文化等更高层次因素才是造成某些问题多业务、多领域高发的原因，推动重大问题的解决，必须致力于推动组织管理层自上而下，由点及面的整改。在重大问题整改与重大风险化解过程中，审计要与组织机构管理层党委直接对接，同向分析，着重从考核导向、用人评价、经营

26、战略、经营文化的角度探寻真正意义上的改进之道，共同推动顶层发起的源头整改。2.突出持续跟踪与整改效果评价，提升审计成果转化的有效性。（1）明晰跟踪责任主体，根据问题重要程度采取差别化跟踪策略。跟踪整改需体现重要性原则，提高工作效率。对于一般性审计发现，以审核评价审计对象报送整改信息为主要手段。对于重大风险，应以风险敞口是否缩小并消失作为跟踪整改及效果评价的核心内容。对于涉及内控缺陷性源头的问题，要抓好两头，既要抓住单点问题的有效解决，更要抓制度、流程、系统层面的整改措施是否到位、效果是否充分。（2）推动全员参与，推进循环审计，进一步检验整改效果，促进整改进一步升华。每个全新审计项目都应通过充分分析以往审计成果与整改结果，锁定某类高发问题，在审计实施过程中重点关注同质问题发生概率，进而实现循环审计、持续跟踪，循环整改，使审计推动成果转化应用成为工作链条上的重要环节，将每名审计人员根植于价值创造的闭环当中。 作者:丁平李萍 黄斌斌 单位:中国建设银行股份有限公司武汉审计分部 第17页 共17页第 17 页 共 17 页第 17 页 共 17 页第 17 页 共 17 页第 17 页 共 17 页第 17 页 共 17 页第 17 页 共 17 页第 17 页 共 17 页第 17 页 共 17 页第 17 页 共 17 页第 17 页 共 17 页