X银行内部审计经验

　　第六章 X银行内部审计经验

　　X银行内部审计成立于1992年,在20余年的探索和改革中,不断健全内部审计的组织架构,建立起以项目审计和日常监管为两大支柱,全面质量管理为保障的审计监督体系,实现了对全行机构及业务的持续动态监管,较好地履行了内部审计监督、评价和咨询职能,对全行内部控制机制的完善、管理水平提升和业务健康发展起到积极的促进和保障作用。2012年,X银行获得中国审计署颁布的"内部审计领军企业”荣誉称号,标志着X银行内部审计已达到国内领先水平。

　　X银行内部审计在独立性建设、审计质量管理、非现场审计支持、计算机审计辅助手段等方面,积累了丰富的经验和创新模式,有效地提升了审计工作效益。

　　第一节 内部审计独立性建设

　　一、 内部审计部门体制保障

　　内部审计的体制独立性,是审计工作独立性的根本。X银行于1997年在全国同业中率先推出分行派驻式的审计模式,近年来又按照“统一领导、垂直管理、分级授权、独立负责”的原则,实行两级管理的组织体制,在总行设立审计部,负责对全行机构的审计监督、评价与咨询,直接向董事会、审计与关联交易控制委员会负责并报告工作;在全国按区域设立北京、上海、深圳、武汉、厦门五个审计分部,在总行审计部的垂直领导下,作为总行级别的管理部门对所辖区域内经营机构进行审计监督、评价与咨询,对总行审计部负责并报告工作,其人员编制、人事考核任免、业绩考核、薪酬水平皆由总行统一管理。图3为X银行审计部的组织架构图,由图中可以清晰地看出审计部的管理模式、汇报路径、机构设置及组织体制。

　　同时,X银行在公司章程和内审制度中,亦明确内部审计的独立地位,规定内部审计部门对全行的内部控制、风险管理进行再监督,强调了内部审计人员的审计回避制度和审计纪律,从而确保审计的客观性。

　　二、 内审部门建立全行问责体系

　　(一)问责制度建设

　　审计部作为问责机制主办部门,于2013年开始,修订了《违规行为处理办法》、《信用责任追究管理办法》、《经济责任审计管理办法》、《任期经济责任审计实施细则》等问责体系的上位制度,并要求各分行、总行各部门和各全资子公司根据问责框架,结合本版块业务特点制定实施细则。在《经济责任审计管理办法》中,强调“先审后任”,对被审计人拟任新职务的正式聘任,原则上应在审计部门对其开展任期经济责任审计并出具任期经济责任审计报告之后进行。具体操作上,为了满足时效性要求,对到任干部暂以经营机构“负责人”形式履职,待经济责任审计完成后再正式行文任命,同时明确总分行应对先调整未正式聘任人员的业务授权等管理做好过渡性安排方案。

　　在《信用责任追究管理办法》中,为提高信用责任追究执行率,改变因人员离行导致处理决定无法落实的问题,规定涉及信用追究项目责任人离行前,必须先进行责任认定,未完成信用责任追究的责任人员,通知人力资源部暂缓办理离行手续。针对不良信贷资产处置过程复杂、历时较长、人员变动频繁等问题,明确规定不良信贷资产处置申报前必须完成对相关人员的信用责任认定,以实现对不同阶段人员责任的划分、界定。

　　(二)组织机构

　　问责对象的范围较广,问责事项错综复杂,为实现问责的公正性、客观性、科学性,加强问责工作的统一领导,X银行在管理层设立专门的问责议事决策机构。总行内设问责委员会,作为总行内设专门委员会之一,是总行违规行为处理事项的议事和决策机构。问责委员会由监事长担任主任委员,由审计部、风险管理部、法律与合规部、人力资源部、监察保卫部等部门的主要负责人担任常设委员,委员会办公室设在总行审计部,负责委员会日常工作以及委员会会议的召集与准备。同时,各分行相应成立内部问责委员会,负责分行违规行为处理工作的归口管理,并接受总行内部问责委员会的领导和监督。

　　问责委员会的工作职责包括建立完善本行违规问责机制,指导协调问责工作的实施,审议总行人员和分行班子成员的处理并下达处理决定,受理被处理人的复议申请等。委员会会议定期召开,总结全行问责工作情况,亦可在违规行为处理议案上报时,召开临时会议。会议在各委员充分发表意见的基础上进行审议,经表决通过形成会议决定,经主任委员批准后由审计部组织实施;对存在重大分歧意见的审议事项,由审计部组织相关部门重新论证。对分行班子成员、总行高层管理人员的处理决定,经委员会审议通过后,需报送总行党委审定后执行。

　　(三)工作实施

　　作为问责管理的主办部门,内部审计机构应积极推进项目审计与问责对接。

　　一方面,结合经济责任审计管理办法及操作流程修订,对于审计发现的重要风险事项及重大违规行为,明确要求对有关责任人员提起问责,并纳入后续审计监督范畴,另一方面,对于经济责任审计中涉及的已经责任认定和追究的项目,要求在审计报告中说明问责情况和结果,责任认定离任者对项目承担全部责任或主要责任的,应界定为直接责任;承担次要责任的,则应根据离任者的职责分工决定承担主管责任或领导责任。

　　问责团队平时亦受理风险管理部、法律合规部等二道防线检查中发现的各类违规行为,在进行初步了解之后,组织开展问责项目。问责项目立项需呈行领导审核,审核通过后组建问责检查组开展现场检查。如遇大额信用风险或越权行为情节严重的,可要求人力资源部、监察部加入检查。现场问责结束后,形成详细的违规行为事实报告,以及违规行为处理议案,上报问责委员会审议。

　　X银行问责团队于2013年下半年建立以来,对七家分行进行问责,收到良好效果。问责团队受到分行的极大重视,获取充分的审计资料,对审计项目中发现的问题进行细致的责任认定,并上报问责委员会对责任认定进行表决意见。由于问责团队现场釆集的事实充分,问责委员会能够准确对分行管理界定问责标准,并得到总行党委的同意,向经营机构发出《兴业银行信用责任追究认定告知书》。

　　问责体系的建设有利于审计成效提升,借助问责手段来实现对被审计单位的行为约束,能够促进审计意见的整改和落实。审计部在日常的审计监督过程中加强对发现违规行为的责任认定,将其作为审计监督的必备程序之一,推动审计监督与违规问责工作的有机结合;同时,将各级机构对违规行为的处理情况纳入审计日常监管和后续整改追踪的范围进行持续监督,督促相关机构切实履行违规问责的提请和调查认定职责。

　　同时,强化对问责工作的再监督。将各级机构对违规行为的处理情况纳入审计日常监管和后续整改追踪的范围进行持续监督,如发现各级机构存在“有过不罚、有责不究”,或责任追究不到位的行为,除督促相关机构落实问责外,还将追究相关问责工作管理人员的不尽职责任。

　　三、使用先进审计模式

　　(一)突击审计

　　X银行审计部尝试引进突击审计这一新的审计模式,保证审计效果。突击审计是审计部门在未预先告知审计对象的情况下,直接派遣审计组到被审计单位实地所进行的审计活动。考虑到当前商业银行经营管理面临的内外部环境越来越复杂,传统的事先通知审计对象的预告审计方式已不能完全适应新形势下对内部审计工作的更高要求,为弥补常规立项审计时效性与灵活性方面的不足,切实发挥内部审计的威慑作用,督促各级机构自觉加强内控管理及案件风险防控,应尝试建立突击审计工作机制。建立突击审计工作机制,一方面希望通过“短平快”的审计方式,弥补常规预告审计在时效性和灵活性方面的不足,提高审计查处重大风险、案件的能力;另一方面,也为了切实发挥内部审计的威慑作用,督促各级机构自觉加强内控管理及案件风险防控。突击审计无疑是促进审计成效提升的有力手段之一。

　　突击审计查证作为日常监管工作的现场延伸,应与现场项目审计及现场走访等工作相互配合、相互协调。以非现场审计查证系统为依托,探索建立常态化的风险排查机制,根据宏观调控政策基调变化、外部监管关注重点调整以及本行业务和产品创新情况,结合现场审计和非现场监测发现的一些风险苗头或审计线索,不定期发起针对疑点问题和薄弱环节的突击审计,藉此弥补常规立项审计时效性、灵活性不足的缺陷,切实发挥内部审计的威慑作用,督促各级机构自觉加强内控管理及案件风险防控。突击审计流程拟在现有项目审计的基础上适当简化,以强化审计的时效性、灵活性和保密性。

　　突击审计对审计项目组织实施的要求很高:在立项方面,突击审计比较强调针对性,如何选择突击审计的对象,做到“有的放矢、精准打击”,是对审计部门日常监管能力的一大考验,要善于通过日常的监测和排查找出风险疑点和审计线索,快速深入现场进行突击审计,才更容易有所收获,如果不分青红皂白地瞎打瞎撞,最终难免徒劳无功。在实施方面,突击审计主要强调时效性,审前准备、现场实施、报告编制,都要求做到紧凑高效,这对审计人员的业务熟练度又是一个考验,必须具备快速反应的能力,才能有效应对突击审计的要求。

　　(二)参与式审计

　　为了改善审计部“居高临下”的形象,更有效的传递审计信息,寻求问题解决办法,审计部幵始逐步推出参与式审计。参与式审计是让被审计单位主动邀请审计,参与审计工作开展,共同分析和解决发现问题。目前参与式审计只在总行层面试行展开,内部审计部门与从有关业务部门中抽调出来的从事该项业务的人员一起,共同对主要经营项目的管理过程进行风险评估、风险定性,以确定审计的内容、范围、频率。这种"参与式”的审计,既通过内部审计部门对组织全面深入的了解,客观开放的视角,以及影响高层的特殊地位,为被审计单位提出有效建议和解决问题;另一方面,通过总行管理部门和业务部门在审计中的合作,有助于审计人员对创新业务的深入理解,缩短审计人员穿行测试的时间,提高审计效率。由于业务部门和风险合规部门也是被审计对象,在审计中可能出现参与审计的人员同时经手被审计业务的矛盾,故而目前的参与式审计从审计调查项目开始,逐渐加大合作力度[12]。

　　(三)审计结果

　　确认的前后任制约法为了解决被审计单位对审计组隐瞒事实,导致审计结论不准确,风险认定困难的情况,审计部于2013年开始,尝试使用前后任制约方法。审计部要求审计组发现问题不但要反映业务办理过程中存在的违规越权行为,更要准确揭示项目(或基础资产)的实际风险状况。为此,要求在现场审计阶段,对项目或基础资产的风险状况进行深入核实。对于审计事项明显存疑,审计人员虽然已釆取各种手段多方查证,但仍无法直接定性或准确评估风险的,应在完整记录审计工作底稿的同时,由被审计机构进行确认。对涉及风险项目或存在风险嫌疑的事项,在向经营机构充分沟通交涉后,可将有疑点的风险项目列出清单,注明离任时点的风险状况,与离任交接的资产负债表、损益表等一并,要求离任者、接任者、分行三方确认签字,明确区分各方责任。在后续管理中若发现违规风险暴露,则后任需承担责任。这一创新做法使审计结果免受审计手段局限的影响,虽然延长了确认审计结果的时间,但能够真正有效地督促经营机构管理者重视经济责任审计结果。

　　第二节 审计质量多层次管理

　　为统一质量管理标准,避免各级审计机构各自为战、信息不畅、质量参差不齐的窘境,X银行审计部在总部成立了质量管理处,组建质量管理团队,把总行审计部与各审计分部幵展的各项审计工作都纳入质量管理的范畴。在审计部内部,质量管理团队也独立于其他业务团队,负责对现场审计、日常监管、后续追踪、成果利用等工作实施质量控制。

　　一、 审计项目全流程质量控制

　　X银行审计部建立并完善了事前、事中、事后的全流程质量控制机制。以现场审计质量管理为例,按照审前准备、现场实施、审计报告撰写、整改追踪等不同阶段的特点,分别确定了不同的质量控制重点并严格执行,强化对审计项目实施全过程的质量监督和引导,发现问题及时提醒,及时报告,及时纠正,突出对审计方向的引导和审计成果的把关。

　　(一)审前准备

　　为确保审前准备工作质量,X银行质量管理团队设计并完善了审前准备工作规范和详细要求,坚持风险导向的原则,充分运用IT辅助审计技术对审计对象的业务数据进行分析和风险筛查,发现可疑风险事项,并以此为基础确定审计工作重点和审计抽样策略,为现场审计查证工作提供准确的线索和方向指引。例如,发布了《支行全面业务审计规范——审前准备》,对非现场准备工作中对公信贷、零售信贷、非信贷业务等主要业务板块使用的分析方法、主要业务品种的抽样原则,以及审计方案的主要编制内容等,制定了相关的工作指引,以全面提升支行全面审计的质量与时效性。同时,在非现场准备工作中充分借鉴日常监管及以往审计成果,并据以编制审计方案,保证审计重点、方向及抽样的准确性,提高现场工作的效率。

　　质量管理人员在项目计划确定后就积极介入,配合和指导项目主审编制审计方案,确定审计目标、审计重点、审计抽样策略、工作计划安排等内容,确保审前准备各项质量控制要点落实到位。在审计资源的安排方面,针对不同风险因素状况及程度采取相应的审计策略,将有限的资源集中于高风险点和重点环节,在保证审计质量的前提下有效提高工作效率。如,2011年以来,X银行审计部重点关注受宏观调控和民间融资影响较大地区经营机构信贷资产的实际风险状况以及信贷管理内部控制的有效性,着重对沿海及江浙地区经营机构的开展了信贷资产专项审计,通过非现场分析,对于高风险行业、集中度较高的行业、关联企业以及中小企业,在原有审计抽样率要求的基础上,又增加约5%的抽样比率,重点检查涉及民间融资的直接授信客户或担保客户。以某分行信贷资产专项审计为例,审计组发现某出口企业财务报表存在虚假情况、实际经营状况呈现下降趋势并利用委托贷款实施民间借贷,对该公司2000万元授信提请关注。分行根据审计组建议,果断采取风险防范措施,于2011年四季度及时退出该客户授信业务,该客户在其他银行的授信业务于2012年陆续出现了逾期和欠息,而兴业银行因退出及时有效避免了损失。

　　在审计资源有限的情况下提高审计抽样的科学性是保障审计质量的关键。经过多年来的摸索,审计部推行“以综合风险度为依据确定审计抽样率”的审计抽样方法,将审计抽样工作重点转移到对风险的评估分析上。通过合理评估审计事项的固有风险和控制风险,充分利用内部控制评价、日常监管、以往审计、后续审计等工作的成果,估算审计事项的综合风险度,以评价审计对象和审计事项的风险状况,确定合理的审计抽样率。

　　为将审计风险控制在可接受的水平内,还引入了“最低抽样率”的做法。即,先确定最小抽样数量,在现场实施过程中,再根据现场审计发现问题与风险大小情况,决定是否需要扩大抽样范围,在保证审计质量的前提下有效节约资源成本。

　　目前,审计部已编制了对公和零售信贷业务抽样指南,通过对具体业务品种风险状况以及内部控制情况的评估,明确相应的抽样原则、筛选因素、抽样率、筛选步骤等,进一步提高审计抽样精度。2012年以来抽样率较以往有较大幅度下降(其中对公贷款抽样率平均下降5个百分点左右,个贷抽样率平均下降2个百分点左右),但审计发现问题却更精准、更丰富,在保证质量的同时,大幅提升了审计工作效率。

　　(二)现场实施

　　在现场实施阶段,质量管理的重点是关注现场审计底稿的编写和复核,通过审计底稿了解项目组对审计方案的遵循程度和审计事实的准确程度,并推敲审计证据的可信度和审计结论的严谨度。

　　一是规范审计底稿的编制要求。根据银行各类业务的不同属性,制定了公司信贷、零售信贷、计划财务、安全保卫、资金同业等类型审计底稿模板,明确底稿记录内容,统一编写要求,形成要素齐全、格式规范和质量可靠的工作底稿,使不同审计人员根据同一份审计底稿记录的审计事实能够得出相同的审计结论。

　　二是对审计底稿实行换人复核、主审审批的分级复核流程。在复核过程中发现事实描述不清、审计证据不足等质量方面的问题均退回审计人员进行修改,所有的修改建议和修改情况均实现痕迹化管理,可追溯查询。同时,质量管理人员积极介入现场实施情况的跟踪与监督,实时查阅审计底稿和项目有关资料,加强与主审沟通与联系,随时了解项目进展情况,及时发现重要风险点,对于审计事实不准确、证据不充分、分析不深入、定性不恰当等问题,要求主审在现场阶段予以解决,并做好工作记录,作为项目考核的重要依据。

　　此外,还要求审计项目在撤点后,召幵审计项目总结座谈会,讨论在项目中的主要审计发现和存在的不足以及改进建议,促进审计项目实施的过程不断完善。例如,近年来业务发展较快的新兴业务,由于业务融合度高,跨越多个传统业务门类,在现场审计的时候,容易造成检查尺度的不一致和审计资源的浪费。

　　通过及时召开审计项目总结座谈会,总结项目实施过程中的不足,调整了相关业务的审计资源配置方式,明确了各专业条线审计人员的职责分工,切实保证了审计质量。

　　(三)报告撰写

　　为确保审计报告的质量,X银行审计部按照不同审计项目类型出台相应的报告编制指南,如《全面业务审计(离任审计)报告编制指南》,《审计报告编制基础规范》等,细化报告结构、内容以及文字表述要求,突出审计报告重点内容,提升审计报告的专业水准。同时,对审计报告进行层层质量把关(如图3审计报告流程化控制),有效保证审计报告质量。

　　对于全行范围内较为普遍和典型的审计发现,质量管理团队及时进行深入分析和研究,并在日常监管中加大对各机构相关业务的关注度,督促经营机构规范业务运作,及时提出预警,有效防范风险。如,2011年X银行审计部在现场审计中发现民间借贷风险,及时对该风险进行提示并组织全行风险排查,从时效上来看,远早于银监部门发出的风险提示,实现了前瞻性预防,效果突出。对于关系全行可持续发展能力的体制、机制问题,透过现象看本质,深入分析问题成因,深刻揭示可能产生的各类风险,并提出有针对性的审计建议,促进银行风险防范和综合服务能力的有效提升。如,2012年X银行审计部对全行会计后台作业中心运营管理情况开展了专项审计,综合分析了后台作业中心在运营管理体系、服务时效管理、质量控制机制、人员配套和系统建设等方面存在的不足,并提出了切实可行的审计建议。审计报告受到管理层的高度重视,组织相关部门开展调研,吸取同业经验,优化后台作业中心业务流程,加强内部控制,有效降低操作风险。

　　同时,为了提高审计成果的被接受度,提出精简文风的要求。历年的审计报告尤其是离任审计报告,动辄三四十页,仅介绍被审计单位经营情况就去掉三分之一的篇幅。为了提高报告质量,审计部要求报告撰写者精简报告的篇幅、突出报告的重点,在撰写报告时对项目发现的各类大小问题做出取舍,体现风险导向的原则,在报告正文中重点揭示存在重大风险的事项,而对于一般的操作性问题,则通过附件形式反映。对于不存在实质风险的机构,直接减少报告篇幅。这对主审的项目管理能力提出很高的要求。

　　(四)整改追踪

　　在整改追踪阶段,将督促被审计单位有效整改作为发挥审计成效、改善组织运营、实现价值增值的有效手段。目前己建立整改落实责任制、信息沟通和持续跟踪机制、问责和整改评价考核机制,有效保证了整改追踪工作的实际效果。

　　一是对因未尽职造成的损失,以及违规操作、违章经营、监督不力造成风险等屡查屡犯事件,启动问责机制,追究相关责任人失职责任。二是逐步推动整改督促工作的侧重点从关注操作性、流程性的问题转变到关注总行的决策问题上来,从更根本的层面进行诊断分析,从源头上解决经营管理过程中存在的问题。

　　三是对涉及到总行层面体制、机制、流程方面的问题进行深层次分析研究,查找具体问题背后潜在的风险和内控管理缺陷,以《内部审计问题与建议》、《内部控制分析报告》、《风险提示》和《管理建议书》等形式发送总行管理层和相关经营管理部门。四是对于项目审计过程中发现的违规行为,要求被审计机构在报送整改报告的同时提出处理处罚意见,并将经营机构对违规行为的处理与执行情况纳入后续整改追踪和日常监管的范围进行持续动态监督。如,审计部实施的访问控制专项审计,发现部分经营机构存在访问控制管理不规范的问题,并向总行相关部门发出后续整改通知书,得到了高度重视,及时完善相关系统控制,标本并重解决了各类控制缺陷,有效提升全行各系统访问控制管理的规范性。

　　同时,在现场审计实施中进行相应业务板块的内控评价,并将原审计发现问题的整改情况作为审计的重点,现场落实部分后续整改追踪事项等。从全行整改追踪效果上看,各经营机构及总行管理部门的整改意识不断提升,分行操作层面,通过完善内部组织架构、改进流程控制手段、加强监督检查等方式积极整改,避免屡查屡犯问题的再度发生;总行管理层面,涉及全行体制机制完善、现有系统流程优化等整改牵扯面较大、整改难度较高的问题也陆续得到整改。内部审计发现问题的整改落实力度逐年提高,有效推动全行内控管理措施的不断健全和完益口o二、审计工作考核激励。

　　质量管理团队以考核和评价为主要手段,保证各项审计规范和标准的执行。

　　一是对审计总分部员工集中开展绩效考核工作。对现场审计项目质量、项目组成员、监管员工作都进行考核评价,制定了详细的考核评价细则,对考核的内容、流程、标准、尺度等持续进行优化和细化,并将考核结果与审计人员绩效工资分配、行员等级晋升、职务聘任挂钩,以此形成有效的激励约束机制,引导全体审计人员自觉提升工作质量。二是建立完善审计后评价机制。对于审计人员在审计工作中存在重大失职行为导致风险未能有效揭示的情况,审计部组织力量进行调查,追究有关审计人员的责任,以进一步提高全体审计人员的风险意识和责任意识。同时从审计项目实施质量、日常监管成效、所管辖分行风险揭示状况、内部管理质量等方面对下属审计分部整体工作成效进行后评价管理,以进一步强化各审计分部的尽职意识和责任意识。三是开展“年度优秀审计报告评选”,报告评选区分总分行级专项审计、审计调查类报告以及分行级全面(离任)审计报告、支行级全面(离任)审计报告等三个报告类型,经过审计部全体员工无记名投票、部门评议小组审议复选、总部研究决定等程序评选出年度优秀审计报告,并给予通报表彰和物质奖励,促进审计专业水平和审计工作成效的提升。

　　三、审计资源管理及培养

　　审计部强调审计人员的统一调配安排,实现总分部之间、分部与分部之间在审计资源上的相互支持、优势互补。通过总部对不同项目实施时间的有效统筹,审计小组可以做到一次进点即完成对多个项目相关内容的现场取证工作;同时,可以在部分业务板块实行流程化运作,由专门的条线业务检查小组,依次完成多个项目相关业务板块的审计任务。同时,各分部审计人员由于多次合作,相对专长较为固定,能够做到高效合作,主审与组员之间也不需要太长的磨合期;组员之间还可交流经验,将不同项目的经验迅速传递到整个审计队伍。2013年审计部在仅有100余名审计人员的情况下,共开展现场审计项目70余个,平均每个月完成7个现场项目,极大地提高了审计资源的使用效率。

　　在审计人员素质上,审计系统通过内部调整、外部引进、强化培训等方式,不断优化人员结构,目前审计系统员工均具备本科以上学历,其中硕士及以上学历人员占比41%,业务专长涵盖会计、财务、金融、审计、统计、法律、计算机等银行主要业务领域,中级以上职称人员占比62%,所有审计人员均具备3年以上金融工作经验。

　　同时,审计部门与内部审计协会亦保持紧密联系,审计部将所有业务骨干和中层管理人才主动至内部审计协会人才库报备,并积极配合审计署的审计工作,派出业务骨干参加政府性债务审计和社会抚养费审计调查等全国性审计项目,促进与其他单位内审人员交流。

　　第三节 大力发展非现场审计对审计工作的支持

　　一、参与对经营机构的年度内控评价

　　X银行审计部多年来推行内控评价和内控报告定期披露制度,结合现场审计、持续追踪、现场走访、日常监管、非现场数据分析等所掌握的各类信息,对经营机构的内控状况进行全面了解和评价,向总分行管理层发布了 2011年度所有分行内控管理状况报告,对各机构经营管理中存在的问题进行总结分析,提出改进建议,促进管理层了解掌握各分行内控建设及执行情况,逐步完善内控机制。

　　在内控评价工作中,强调对评价对象内部控制状况的整体性综合判断,和持续动态评价与全面静态评价的结合[13]。

　　同时,审计部积极参与经营机构的年度业务经营与发展综合考评工作,审计部作为内部控制委员会委员,参与分行合规经营与内部控制版块评比,该版块权重在考评中占四分之一。审计部在考评给分时,综合考虑经营机构对审计的配合程度、管理者与审计部门的沟通交流情况,对审计发现的整改情况、业务合规情况,辖内分行对审计通报的重视程度,以及整改后再次发生违规行为的严重程度。

　　通过对经营机构合规经营与内部控制方面作出评价,直接影响经营机构的绩效考核,直接促进管理层对审计工作的重视和支持。

　　二、对经营机构进行持续监管

　　审计部通过日常监管机制,增强与被审计单位的联系。审计部为每家分行指定一名分部内审监管员,定期至分行走访,了解分行的经营情况和风险管理状况;监管员亦协助分行,加强与当地银监局等监管机构的沟通。同时,每个监管员在审计总部有一名对口联系人,管理、协助、指导分部监管员开展具体监管工作,总部对口联系人实质参与对分行的日常监管,指导分部监管员制定年度监管计划,并实地参与部分分行的走访。通过走访方案(报告)的编制、分行整改的专人后续追踪、分行年度内控评价与内控报告的编写等多样化日常监管,审计总分部对全行经营机构实现审计监督的连续性和主动性。2012年,内审监管员共对22家分行开展32次现场走访,并拜访了大多数分行的当地银监部门,一方面增强对被监管机构业务经营及内控管理状况的了解,另一方面促进与外部监管机构的沟通交流和良性互动。

　　为提高走访工作质量和效率,加强对现场走访的过程管理,审计部一方面确定年度重点监管分行,加强对重要性问题的梳理,集中资源开展重点监管。2012年初,在所有分行中根据不同的内控状况、监管情况,确定了 15家重点监管分行,由总部联系人在对分行整体内控状况深入分析的基础上,全面梳理分行的各类问题,结合最新的监管热点,筛选确定年度监管重点,并以范例形式引导分部加强对各分行监管重点的识别和把握。有效区分重要性问题和一般性问题,克服原有监管工作中平均用力、重点不突出的状况,以利于集中精力和监管资源,对切实反映分行内控重点的问题和环节加大持续追踪力度,提高监管成效。通过全面的日常监管,也保障了任期经济责任审计的事前、事中监督,加大“先审后离”的可执行性。同时,还对各分行年度监管计划进行认真审阅、补充完善,督促走访计划的落实,对走访方案进行严格审理,促进监管员提高走访前期准备的充分性和走访工作的针对性。

　　三、审计整改持续追踪

　　对被审计单位的审计整改报告,审计部关注整改落实成效,持续开展后续追踪工作。结合审计和监管中发现的突出性问题、普遍性现象,在持续追踪工作中,重点关注并强调其整改落实的有效性,如房地产业务风险、类信贷业务的风险管控等方面,以非现场为主要手段开展重点分析,揭示潜在的风险隐患,剖析问题及内控缺陷产生的深层原因;同时,对长期未有效整改问题进行梳理和总结,并向总行计划财务部、同业业务部、金融市场风险管理部、资产管理部、信息科技部等部门发出审计后续整改通知书,结合审计和监管中发现的新情况新问题,揭示潜在的风险隐患,督促管理部门加强风险防控。

　　另外,在非现场审计历年积累的基础上,着手建立审计问题库,对屡查屡犯、多发性问题的追踪,分析机构内在管理缺陷或不足,查找控制缺陷;对同质、多发性、长期存在的问题进行深入分析,查找总行层面管理上的不足,并提示相关管理部门加强整改和完善管理;结合本行业务发展新方向新问题,关注外部监管重点和热点,持续更新需重点关注的流程和制度层面的问题。截至目前,X银行审计部巳建立起包含16,000条问题详情及追踪整改情况的问题库,所有问题按机构、词条进行归类,成为非现场系统知识库的重要组成部分。

　　四、审计经验总结传承

　　审计经验传承对审计工作质量的提高起到关键作用,审计部门重视发动各业务处室,进行审计经验的沉淀和分享。质量管理人员在报告审理过程中,对审计抽样、信贷业务、资金同业业务、综合评价、审计建议等方面发现的普遍情况进行归纳总结,整理出代表性的案例,每季度定期发布《审计项目审理案例分析》,促进审计人员提升报告编制水平。

　　为提高内部审计工作的标准化、规范化水平,促进审计工作经验的传承和推广,X银行审计部在全审计系统抽调业务骨干编写审计手册,该手册在现有制度的基础上,总结以往审计工作经验,充分借鉴国内外先进审计方法,对各类业务的内控关键点、审计重点、审计方法、关键控制环节、定性标准、解决途径等内容进行详细描述,对各主要业务板块的非现场审计方法、审前工作要求、审计抽样、工作底稿编制等作出操作要求,并根据本行业务发展情况及审计经验积累情况实时补充完善。该项工作从2007年开始,已陆续完成授信业务、计划财务与资产负债管理、资金业务、中间业务、会计管理、存款与柜面业务、安全保卫管理、IT审计等板块的编写,并根据业务发展情况实时更新。该手册还包含与审计业务相关的所有本行制度和外部法律法规,以供查阅。目前审计手册已经成为审计人员重要的实用工具,有效帮助审计人员以规范化的程序去发现问题和分析问题。该审计手册在规范业务操作的基础上,也为审计人员打造一个学习及成长的平台。

　　第四节 开发各类计算机辅助手段

　　近年来,X银行审计部特别注重加强计算机辅助手段在审计工作中的运用,通过审计信息系统建设实现了审计工作实施及管理的电子化运作。目前,审计部已构建起了以现场审计管理系统和非现场审计信息系统为主体、数据分析工具为辅助的多层次rr审计支持体系,有效促进内部审计工作质量和效率的提升。

　　一、现场审计管理系统

　　现场审计系统是审计部最重要的工作平台之一,是审计部门自主开发的现场审计作业管理信息系统,该系统专门针对审前准备、现场实施、审计报告、整改追踪等不同环节,设计了严格的控制手段,确保现场审计工作的统一可控。一是系统流程完全遵照x银行审计工作程序的要求,通过系统控制确保各项工作的规范。二是提供了强大的审计底稿编制功能和完整的审计底稿复核审批控制,所有审计发现问题都完整保存在系统中,便于审计人员与项目主审随时查阅参考,也有利于实现现场审计工作质量的实时监督。三是为审计项目的管理和控制提供一个统一的信息平台,实现对项目流程的管理(包括项目立项、方案与报告的审批、审计资源配置、工作进度、问题汇总、整改情况的管理),对审计质量的控制以及对审计底稿、审计报告等文档资料的管理。四是综合管理,实现对计划制订过程的管理、实施情况的跟踪、完成情况的汇总和评价以及对审计机构、审计人员的工作量统计分析管理以及绩效考核等功能。截止目前,现场审计系统共承载了800余个审计项目,4万余份审计工作底稿,实现了审计工作实施的电子化运作,在提高工作效率、规范业务操作、保障审计质量等方面起到了重要的支持作用。

　　二、非现场审计信息系统

　　非现场审计信息系统是审计部非现场持续监管和风险监控的工作平台,实行以问题贯穿的风险分析流程。该系统以内外部检查发现问题为脉络,将日常持续监督、后续追踪、内控评价等工作有机结合,通过系统化规范化的工作流程控制,实现对内审监管员日常工作的管理和约束。

　　非现场审计系统对接现场审计系统中的问题词条,将审计报告中提出的审计问题和审计建议进行问题拆分和问题录入,实现整改追踪和日常监管。在问题拆分时,首先对问题进行重要性判断,结合对分行内控整体缺陷的分析,将问题按照性质划分为“重要性问题”和“一般性问题”两类,在持续追踪中监管员亦可根据整改情况和问题性质变化进行手动调整。对重要性问题加大持续追踪和监管力度,对一般性问题灵活安排追踪频率。

　　一是提供实时资产质量监控。对特定的产业、区域经济状况、客户群进行风险指标研究,将客户关联交易、大额资金划转等数据进行分析,系统内部按照行业准入、客户集中度等设定贷款风险预警指标,自动实时对数据进行监测并提出预警,并将预警问题按严重性分类,分别处置。

　　二是对风险点较为突出、表现特征较为明显的问题,通过向总行相关管理部门及分行发送《内部审计日常监管风险提示》的方式,提示管理部门、分行存在的可疑情况,要求其加强自查自纠,防范风险。通过风险提示,及时发现问题,促进总行相关管理部门及经营机构加强问题整改,取得了较好的监管成效。

　　三是对于在数据分析过程中发现的问题表现较为复杂、需进一步核实确认的风险点,形成《非现场数据分析疑点提示》,将相关问题和可疑线索推送给审计分部,由内审监管员在日常工作中结合非现场与现场识别手段进一步分析排查。通过持续、有针对性的数据监测和分析,一方面提高监管人员对经营机构业务的敏感性,深入开展日常监管,为现场审计和分部现场走访以及监管工作提供非现场支持;另一方面,及时发现问题,促进总行相关管理部门及经营机构加强问题整改。

　　除对传统业务的持续监管外,近年来非现场系统亦重视对新兴业务的数据分析。由于类信贷业务的发展已达到一定规模,该类业务品种多样、交易模式繁杂、多渠道审批路径、账务处理较为隐蔽,通过建立新兴业务数据分析模型,能够逐步建立对相关业务的风险点控制。另外,持续关注和逐月监测经营机构重要报表科目(如买入返售、理财业务等)的异常变动情况,及时发现重大变更和数据异常变化,并深入查找和分析异动原因,通过对异动原因的分析,提示相关机构及监管员予以关注,同时持续跟踪后续落实情况,完善内部管理状况。

　　同时,为持续完善和推进数据分析成果利用,审计部亦着手编制《日常监管资料反馈收集汇总表》以及时汇总分析反馈情况,督促整改落实工作,强化日常监管成果的再利用。

　　三、审计查证分析平台

　　X银行基于信息化审计需要,开发非现场审计查证分析平台,利用可视化的图形操作界面,面向审计人员提供一个以数据分析为导向,操作简单,功能强大的智能审计系统数据挖掘工具。

　　审计查证分析平台的模型按业务板块分为企金信用、零售信贷、同业资金、会计业务管理、财务管理、特定问题筛查六大类,每个业务板块包含多种查证模型。平台基本功能由数据层、分析逻辑层与应用系统层实现,如图4所示。

　　(一)数据层实现数据收集转换功能

　　数据层用来完成审计所需各种数据的抽取、转换和加载工作,系统从各种原始的业务系统中抽取原始数据,随后按照预先设计好的规则将抽取的数据进行转换,使本来异构的数据格式统一起来,最后将转换完的数据按新增或全覆盖,加载到内部审计查证平台中。

　　内部审计工作的原始数据量巨大,包括了数据仓库、核心系统、对公和零售信贷系统、商票系统、客户关系系统、企业金融平台、财务系统、STL国际业务系统等全行相关业务经营和风险管理系统的数据,各个系统的数据使用的关系型数据库各不相同,有DB2、Oracle、Sql Server和Informix等,无法直接使用。

　　数据层的主要任务是转换、统一规范数据格式,为其后的建模奠定基础。

　　在查证平台上线之前,审计队伍每每将大量时间耗费在向相关部门申请获取业务数据,以及对数据的筛选整理工作。查证分析平台的数据层直接与各业务系统挂钩并每日下载业务数据,充分保障审计权限,减少了数据获取时间;数据转换整理功能亦极大地提高了审计效率,保证审计项目立项的及时性。

　　(二)分析逻辑层按设定逻辑对数据进行自主分析

　　分析逻辑层根据业务逻辑建立各种自定义审计查证模型,解决常规分析方法不能解决的问题,对海量数据进行智能化和多元化的分析、关联,从而发现审计线索,帮助审计人员做出正确决策。

　　X银行运行过程中积累了大量的财务、交易、业务和风险管理等数据,审计项目的原始数据基本可以达到10T级,这些数据中蕴涵着大量的潜在知识和规贝IJ,为审计提供了丰富的材料,随着审计数据的积累和审计需求的深入与多样化,大规模数据处理技术的应用是其发展的必然要求。分析逻辑层通过调用各种模型实现各种审计分析,对被审计单位的各种事项进行审计。常用模型有:财务模型、统计分析模型、案例模型、法规库和参数库等[14]。

　　X银行的审计模型分为两种,一是通用审计模型,即对上游的数据进行简单的组合查询统计。可以查询企金、零售、同业三大业务条线中的客户基本信息、客户资产负债表、客户利润表、客户现金流量表、客户群组信息、合同明细、担保合同等信息;以及财务会计业务中的万能交易(含分录)、万能交易组合查询、账户历史质押余额统计汇总等基本的数据查询与汇总功能。此外,还可以进行特定的查询,比如员工与敏感行业间接交易清单、员工交易资金拆借清单、员工账户与信贷客户有疑似交易往来、员工与POS商户资金往来等敏感信息的查询。

　　二是专用审计模型,即查证类审计模型平台,对上游数据进行加工并配合审计查证逻辑计算得出结果。如企金信用的还贷资金疑似来源于特征行业、信贷客户资金流向特定公司、信用客户与特定行业往来如财务会计业务中的费用报销直接转账至员工账户、费用报销直接转至员工账户统计分析、费用经供应商直接回流至员工账户,零售业务中的对公客户高管办理个经贷、个贷楼盘疑似集中断供、住房类贷款的一户多贷(含配偶)、通讯地址相同的隐性一户多贷集中还款等。

　　(三)应用系统层

　　应用系统层提供用户所使用的接口。审计人员在该层对审计项目的整个过程进行管理,系统根据用户的角色赋予不同的权限,实现对数据的安全管理。系统具备文档模板管理、文档生成功能,提高审计文书生成,汇总等工作的效率和质量。通过设置规则库、证据库等,实现了用户之间的信息交流和共享。另外系统还对审计各个阶段的数据都进行了详细记录,可以实现反查,便于明确责任。

　　总体而言,内部审计査证系统的开发,推动了信息化形势下的X银行内部审计工作的开展,促使审计工作实现数字化、智能化、网络化;对审计项目的辅助抽样、底稿生成、现场查证提供便利,减少了审计的盲目性,降低审计风险,有效提升风险导向审计工作的实施效率。