第七章 进一步改进商业银行内部审计的设想
当前,商业银行的内部审计工作仍然受到多种因素的制约,X银行作为审计署全国内部审计领军企业,在审计独立性、权威性和前瞻性上,仍有许多局限。X银行应继续完善问责机制,并全面发展非现场审计手段,增强审计工作质量。
第一节 完善内部审计问责机制
问责制作为内部审计有效性和权威性的核心内容,在商业银行内部审计很长一段时间里实质缺失,仅进行信用责任追究,审计效果难以贯彻,审计建议不被重视。建立并推行问责制,成为内部审计部门完善公司治理的重要手段,更是商业银行实现风险管理战略目标的关键因素。
一、 重新梳理岗位职责
为了完善问责机制,商业银行必须解决多方面的问题。首先,高级管理层的岗位职责需进行清晰的界定。董事会、监事会、高级管理层的组织设计主要解决的是制衡问题。国内绝大多数银行具有公有性质和政府背景,监事会与董事会的职责交叉、董事会与高级管理层和党委会的职责交叉,导致职责边界不清、职责下移和个人责任不明确等问题,不仅影响了制衡效果,而且导致难以对高层问责。
对于这些涉及国情、体制的问题,现实的选择是:在允许一定程度职责交叉的前提下加强协调,做到有关银行的重大事项有人决策、有人执行、有人监督,建议明确和充实董事会下设相应委员会在这方面的职责[15]。
其次,总行经营部门之间的业务管理职能归属应明确划分。多数商业银行业务经营与管理职责未能界定主办部门和主要负责部门,例如,商业银行未来大力发展的以手续费为主要盈利方式的中间业务,普遍涉及同业、公司、零售、资金中心、信用卡、投行、资产托管等多个部门,部门之间职责划分不够清晰,存在管理交叉或管理缺位现象,在具体的产品规划、设计、营销、客户群体的培育方面缺乏责任落实主体。正是由于管理职能存在重叠和交叉,在实际运作中职责边界不清晰,职责履行存在模糊地带,一定程度上造成了在审计时无法准确落实到责任部门和相关责任人⑵。
因此,要清晰界定各部门的职责边界,构建权责明晰、运作高效的业务组织体系。根据战略发展目标,结合目前的机构布局,全面梳理现有业务管理流程,将各项经营管理职责科学、明确地分配到有关部门,做到不交叉、不重叠、不缺位,充分体现效率和制衡的原则,并制定相应的制度来规范和保障各项职责的履行。进一步加强对违规行为的问责,尽快建立涵盖各项业务的违规处理办法和责任追究制度。
二、对内审人员端正问责态度
问责应该是过程导向而非结果导向的,以免经营机构抱着侥幸心理,为达目的不择手段。因此,应将问责分为违规的问责和信用责任的问责。既要看业务办理流程是否有违规行为,也要看最后是否对银行带来信用风险。例如,经营机构为了规避外部监管和总行的规模控制,化整为零做了房地产借壳贷款,在问责时既要对该笔业务可能承担的信用风险(结果)问责,也要对业务经办乃至审批中的违规行为(过程)问责。要对贷后管理进行详细审计,评估基础资产,查看资金使用控制(房地产账户资金是否按规定投入到房地产中,资金回笼是否进入专用账户)。如果最后确定不是管理上、信用上的风险,就未必是追究越权的责任,而是追究违规行为的责任。有的经营机构负责人认为虽然违反了内外部规章制度,但最终不会带来信用风险,所以不应对他们进行问责。但实际上,既然有违反外部规章制度,一旦被监管机构发现,必然受到处罚,也会对银行未来的业务发展带来限制。因此,不能说没造成信用风险就可以不问责。
三、对全行机构推广问责文化
在建立基本的问责制度和组织形式之后,商业银行应继续完善违规行为处理工作程序,加大对管理责任的追究力度,逐步扩大问责范畴。要建立一个面向全体员工违规、失职行为的处罚办法,从两个方面扩大问责范围。一是在落实员工违规行为处理的基础上强化对管理人员的责任认定及追究,董事、监事、高级管理层成员以及其他与我行存在劳动关系的所有员工均应成为问责对象,检验有关管理人员是否有效履行了应尽的职责,强化管理者风险责任意识;二是将现行对重大风险事项的责任追究工作拓展至常规性问责,所有业务流程均应有尽职要求,对于违规、失职行为,不管是否造成经济损失,一律追究责任;责任追究范围也应从信用业务板块延伸到到资金同业、财务会计管理等多个板块,编织一张多层严密的问责网,有效遏制各级机构违规经营的冲动。
同时,要优化问责流程。在问责的种类上,除了事故问责即责任追究,还应推广常规问责,通过日常性或年度考核评价工作,检验有关人员是否有效履行了应尽的职责,以此决定其薪酬分配、职位调整乃至岗位去留,除涉及信用责任的问责事项外,其余问责事项均由各级业务主管部门对照制度规定进行处理,作为日常管理工作的主要内容之一,常态化地开展,并逐渐形成一种习惯和文化。
第二节 全面发展非现场审计手段
目前,审计监督手段仍然以现场审计、事后监督为主,随着商业银行规模化和信息化的快速发展,非现场审计是未来银行内部审计的发展方向。全面发展和应用非现场审计手段,才能实现审计关口前移,由事后确认转为兼顾事中、事前的风险预警,增强对商业银行战略转型和整体风险防控的保障作用,实现审计层次和价值的提升。
一是逐步构建覆盖银行主要机构和业务的关键风险指标体系和风险分析模型,建立非现场经营监测分析报告体系,为风险导向审计的有效实施奠定基础。依托非现场信息平台对机构和业务进行持续的监督,实时监测经营数据,弥补现场审计查找问题的滞后性,填补现场审计之间的风险控制的空白。
二是创新和升级非现场审计技术支持平台,实现信息采集、存储和处理的自动化,以及对风险的动态监控。非现场平台承载的数据精确性、监测指标的科学性直接决定非现场审计工作的有效性。随着审计数据的积累和审计需求的深入与多样化,大规模数据处理技术的应用是其发展的必然要求。应在非现场系统中引进数据挖掘算法,用数据产生模型,用数据检验模型,将主观审计经验变为客观分析模型,对海量数据进行智能化和多元化的分析、关联,从而发现审计线索,帮助审计人员做出正确决策。
三是培养稳定的非现场审计队伍,逐步将例行的审计转为完全非现场审计形式。非现场审计以非现场审计信息系统为依托,以数据联网为基础,以非现场的方式完成对审计数据的提取和审计取证,并在异地完成审计全过程,最终出具审计报告。对按照监管要求例行的全面业务审计和支行级别的全面或经济责任审计,在对经营机构充分了解,并达到审计频率的情况下,可逐步转为非现场审计,对加大审计覆盖面、提高审计效率、节约审计成本有积极的作用。
第三节 探索开展审计咨询服务
国际内部审计师协会(IIA)将内部审计的咨询职能定义为:“……在内部审计师不承担管理职责下,为组织增加价值并改进组织的治理、风险管理和控制过程,顾问、建议、推动、培训等均属于咨询业务。”咨询服务包括评估服务,即对各种业务进行评价并帮助管理层作出决策;协调服务,协助管理层检查组织业绩,引导管理层发现改进机会,促进变革;补救服务,发挥预防或补救疑似问题。由于内部审计部门的地位特殊性,审计咨询在许多商业银行还属于空白?。
商业银行管理层应将内部审计作为咨询服务的提供者,服务对象上至管理层、职能部门,下到经营机构;服务内容涵盖战略管理、经营决策、业务流程、内部控制和风险管理等审计业务涉及的各领域;服务方式也应服务对象的要求,采取培训、专项顾问、会议客席等多种方式。咨询服务有助于内部审计全流程参与业务,及时发现和纠正风险管理的薄弱环节,真正做到第三道防线的再评价作用。审计部门作为直接由董事会领导的管理部门,与各审计对象没有直接的利益关系,这使其能够站在管理层和董事会的高度,审视整个商业银行的现况和愿景。
同时,与正式的审计建议不同,咨询建议在制度要求的基础上,进一步提出具体、明确的解决方案,是传统审计任务的优化形式,而以咨询建议形式向审计对象提出提高风险管理水平的各种方案,审计与被审计双方可充分沟通探讨,也是较为有益的尝试。
在管理咨询上,外部咨询公司和会计师事务所都可提供独立的、经验丰富的咨询业务,专业优势明显。但内部审计作为商业银行的重要组成部分,其对银行内部文化、历史、治理结构等具体情况的深入了解是无法替代的,可以提供最量身定做的咨询服务,也能为银行省去不菲的费用。
开展咨询服务,必须建立顺畅的沟通机制,与服务对象进行充分协商;同时,为了保持审计客观性,咨询服务的过程应避免承担决策责任,对咨询对象的审计也应避免紧随其后进行;最后,也是最为关键的是,提供咨询服务需要专业、全能的审计人才,不仅对全行管理有认识高度,也能对具体业务有深入了解。
