第五章 商业银行内部审计存在的问题及原因分析
第一节 内部审计难以保持相对独立性
独立性是内部审计工作开展的根本。如果内部审计独立性差,审计范围就会受到很大限制,审计意见也难以落实,更别论审计质量的提高。商业银行的内审部门独立性受到公司治理结构、人事任免外部规定以及审计部门自身体制的影响,仍有相当大的局限。
一、 内部审计组织定位不明确
当今商业银行的内部审计已由最初的管理层直接领导,转为向董事会这一最高决策层负责并报告工作。但由于内部审计直接管理者和报告路径不清晰,报告人在管理层并未掌握实权等问题,导致内部审计委托代理关系不够清晰,审计独立性不高。
一是内部审计机构的隶属关系和报告路径不够清晰。多数银行都在董事会下设立审计委员会(或审计与关联交易委员会),内审部门直接隶属于审计委员会(或审计与关联交易控制委员会),内审负责人由董事会任免,内审制度和审计人员的职责经董事会批准实施。同时,考虑到监事会对董事会和管理层的监督职能,要求内审部门也接受监事会的指导,监事长成为内审第一汇报人。这种多渠道汇报的局面,使内审机构的监督地位和服务地位都不够清晰,未能有效解决信息不对称的问题。
二是审计委员会的监督职能无法发挥。从表面上看,审计委员会地位独立,在审计委员会领导下的内审机构,受董事长的直接领导,有较强的独立性和权威。但在大股东控制比较突出的国有银行,股东大会由大股东控制,审计委员会只能起到一定的牵制作用,无法真正发挥监督职能。更值得关注的是,由于独立董事不是公司内部员工,被作为外部人对待,许多内部审计报告在提供给审计委员会时,将敏感的审计发现过滤,使审计委员会成为一个虡设的组织。内审部门无法自由地报告审计发现和评价,也无法充分地在银行内部进行通报,审计问题未得到足够重视。
三是监事会地位不高。我国商业银行通行的做法,是由各行领导分管不同管理部门,审计工作通常划归监事长分管。行领导在高层管理中的话语权,决定了分管部门在管理部门内部的重要性排位。我国监事会缺乏独立性,由于银行的国有背景,股东选出的监事多为国有资产或国有法人资产的代表,导致监事会成员往往听命于大股东或董事长,而无法对中小股东负责,监事会在商业银行管理层中的地位较低,从监事会公告可以看出,监事会极少否定董事会和管理层作出的决定,也甚少提出其他意见[9]。
另外值得一提的是商业银行的党委会机制。党委会这一组织的设立是源自国情,源自体制,党管干部这一主张是银行的政治中心。但在党委会这一最高决策层中,董事长和监事长的关系是书记和副书记,是领导与被领导的关系,这与公司治理中的决策和监督关系有冲突。因此,实际上决策事项都由董事会决定,监事长和监事会的功能更为弱化。
表3列出当前我国商业银行监事长的基本情况,可以看出监事长通常由即将卸任的管理层担任,因此极少在任期内有较为勤勉的作为。作为内部审计的第一汇报人,和内部审计部门的直接领导,监事长对审计部门难有明确而由建设性的指导意见,其承担的内审部门和管理层之间的桥梁作用也无从发挥。
二、内部审计未能介入人事任免
我国商业银行金融机构的人事任免流程,使内部审计特别是经济责任审计的有效性极受影响。根据《中国银监会中资商业银行行政许可事项实施办法(2012年10月10日》,我国金融机构高级管理人员任职资格由银监会审查并核准。商业银行多在银监会核准通过之后,方可安排离任者的经济责任审计,普遍存在“先离后审”、“先任后审”的现象。内部审计部门接到离任审计安排时,被审计人员已获得任命,干部任免在审计界定之前,干部人事管理与审计监督脱节;而离任审计报告则仅为提供离任地或到任地属地银监局所用,成为人力资源管理的形式报告,无法成为董事会和高管层干部管理的关键依据,也降低了审计工作的权威性,扭曲了被审计单位对审计工作的认识。再者,被审计人员若获得职务升迁,无形中给审计报告定了调子,审计发现的披露程度会受到一定的限制,审计人员的履职意愿也较不明显。
三、内部审计组织体制尚不成熟
审计部门自身的组织体制,也成为影响独立性的重要因素。全国性商业银行皆在省市分行实行审计部门派驻制,受总行审计部统一管理,向总部汇报工作,但部分商业银行内审分支机构薪酬和福利未能与所在分行有效隔离,分部或派驻办的费用也未与分行预算独立,审计人员招聘由所在分行在分部和分行间流动频繁。因而审计报告常常受到分行领导的影响。
第二节 内部审计缺乏相应的权限
审计署颁布的《关于内部审计工作的规定》中明文列示了内部审计机构的权限,各商业银行的章程中也都规定了内部审计的职能、地位和工作范围。但商业银行内审在实际工作中却受到很大程度的限制。这些限制主要体现在:一,审计手段受限,信息不对称。审计部由于客户信息敏感等原因,未能获得完整数据,同时被审计单位不配合,阻碍审计人员接触经办和客户,由单一部门对审计部进行统一回答,甚至有意隐瞒重要文件。二,审计部门话语权不够。未被邀请参加相关的经营管理会议,会议材料也很少送给内部审计机构;三,审计部与经营机构日常业务沟通不够。在日常监管工作中,经营机构不主动将重要发文抄送审计部,也未将部门的业务通报和文件提供给审计人员。
由于目前审计手段的限制,审计工作的有效性很大程度上取决于审计组获得信息的完整性。一旦被审计单位提供信息不准确,就会极大影响现场审计乃至最终审计报告的问题定性和风险判断。如“违规化解”之类业务,如果被审计单位刻意隐藏化解协议,客户经理矢口否认,审计组就无法查出,在缺乏实质证据的情况下只能定性为疑似化解;再如房地产借壳案例,被审计单位极易隐藏真实情况,审计时只能通过资金投入来判断风险,造成判断障碍。
究其原因,首先是银行管理层对内部审计没有正确的认识。习惯了 21世纪最初几年跑马圈地的业务扩张,商业银行管理层从上到下形成了重业务、轻管理的风气,注重任期内的短期可量化指标,被动监管的情绪浓重。尽管经过次贷危机,银行的风险管理意识有所加强,但固有的抢占先机,摸着石头过河的粗放型业务发展方法,仍然影响着上至高管、下至经营机构人员对内审服务的正确认识。
经营机构审慎经营不足、片面强调速度和规模的经营理念形成风气,对风险采取视而不见的态度,视内部审计为阻断财路,拖累考核的一大因素,谈虎色变,审计人员的业务开展受到诸多干预,无法获得准确的业务信息,无法准确判断风险。另外,投机的所有收益作为管理层的政绩,但高风险带来的经济动荡、金融机构失败乃至资本市场的冻结的外部成本,最终却由社会来承担,这也是高管层不重视风险管理的重要原因。
其次,审计业务开展模式也相对僵化。长期以来,项目审计都是以预告审计为主,项目计划提前制定,进点前正式通知被审计单位,对于这种审计模式,被审计单位早就己经轻车熟路,审计人员在做审前准备的时候,他们可能正在做“被审前准备”,等审计人员正式进点的时候,他们已经有一整套应对方案,在这种情况下,审计组很难拿到第一手真实资料,审计收获也就相对有限。
第三,审计部门没有出台行之有效的问责制度,审计工作缺少震慑力。问责制度的不健全主要表现在,一是责任追究制度尚未覆盖所有的职能和业务岗位。多数银行虽然已就信用、会计结算等方面制定了较为系统的责任追究制度,但尚未建立一个全行统一的,包括问责主体、问责对象、问责方式、问责程序以及涵盖各项管理职责和各条业务线问责条件的系统的责任追究制度。二是现有制度对管理者,特别是高级管理层成员、部门(或分行)负责人和分管负责人的责任界定较为模糊。
由于问责机制存在缺失,对审计问题的定性与处罚可能存在不一致的情况,只能以审计建议和审计报告的形式,推动和督促经营机构重视业务合规和风险控制,对被审计单位缺乏约束和处理的手段,后续处理的主动权却基本上由被审计单位掌握,一些机构对审计提出的问题不够重视,对整改工作敷衍了事,而审计部也很难实施有效的反制措施。另外,存在选择性问责的情况。在董事、监事这一层级,没有建立履职评价办法;对于经营管理人员,实行的是以激励为主的管理方式,没有系统的问责制度,普遍形成了责任追究只追究直接责任人和责任追究“追下不追上”的现象,对项目进行问责时只能锁定客户经理,而对经营机构负责人追究乏力,在目前机制下,此种问责也有不合理之处。
问责制度的缺失,使银行业务人员“责”、“权”、“利”不对等,无法督促信贷人员审慎办理各类信用业务。从近年来内外部检查情况看,各商业银行不同程度存在有法不依、有章不循等现象,且大多明知故犯、屡查屡犯,反映出总行政策对各级经营管理者的约束力已明显不足,进而也影响到总行对全行经营管理的掌控能力。
第四,审计作为第三道防线的工作地位模糊,审计的客观性未被重视。内审稽核部门是风险控制的第三道防线,商业银行按照“一道防线自评、二道防线复评,三道防线独立评价”的机制开展内控自我评估工作。但许多商业银行管理部门对内部审计的职责边界划分不够清晰,常将风险管理和法律合规管理这样二道防线的工作任务与审计的监督工作混淆,在发生经营问题时过多指责审计部门,在检查工作的开展上过多依赖审计部门,审计的监督权与管理权混淆,也在一定程度上影响了审计权限的界定。
第三节 内部审计力量薄弱
我国商业银行普遍存在着内部审计力量薄弱的情况,审计工作不连续,审计深度有限,时效性不够,不能对商业银行的固有问题进行持续监督,不能揭示经营机构未能意识到的风险隐患,也不能就新兴业务和监管热点及时向管理层提出管理意见,弱化了审计的作用。审计力量薄弱主要表现在:
一、 审计队伍建设不能满足需要
内部审计的工作任务政策性强、涉及面广,对内部审计人员要求不仅熟悉财会知识、审计理论,还必须有管理理念、风控意识、银行实际业务经验,和对当前金融发展方向的把握。商业银行审计人员配备严重滞后于银行规模的扩张。银监会在2006年发布的《银行业金融机构内部审计指引》K]中,要求银行业金融机构内部审计人员原则上按员工总人数的1%配备,但我国商业银行内部审计人员数量远未达到这一标准;在员工招聘标准上,审计部门未能与其他管理或经营部门一致,由于其业务的宽泛性,导致准入条件放宽,需要通过长期审计实践进行专业培养,也加重了老审计员的工作负担;同时,在内审人员的选配上,许多商业银行的内审部门未能网罗行内业务的精兵强将,内审机构人才主要为财务会计背景,审计思路有很大的局限性[5]。
银行业务的推陈出新,和监管思路的不断更改,对审计人员知识更新提出了极高的要求。随着银行业务种类的迅速增加,特别是中间业务的蓬勃发展,以及影子银行业务的迅猛扩张,加上政府对金融行业的调控,和监管机构关注点的不断变化,导致审计重点也要相应进行不断调整。内审人员对新兴业务的理解和把握,难与一线经营机构的业务人员相比,更难以提出管理层面的建议,对风险总控的把握也有难度;每年参加各类专业培训的机会和时间少之又少,由于部门职责的敏感性,在单位内外部进行学术交流的机会也屈指可数,内审人员的业务水平难以满足审计要求,无法向管理层提供有参考意见的审计发现[11]。
审计任务繁重和不规则性,严重影响了审计的有效性。监管机构对各类全面审计和常规审计有覆盖面的要求(具体详见附录1),需要频繁对传统业务进行重复梳理,占用大量的工作时间;最后,内部审计部门虽然在年初制定了年度审计计划,但诸如经济责任审计等任务常在任职核准后临时下达,而审计时间跨度则需涵盖整个任职期间,工作量大、时间紧,此类审计通常会占据审计部门一年工作量的50%-70%,无法抽身进行董事会真正关注的专项问题的审计或调查研究。
二、审计人员尽职程度有待提高
一是审计人员工作作风不够严谨,一方面,对审计过程发现可能导致资产风险的项目,没有深入追查,满足于依赖经营机构给出的资料或解释进行风险评判;没有充分利用内外资源,仅从单一维度对真实性进行查证核实;另一方面,对审计问题的分析停留在表层,问题大多发生在基层,但是问题的根源都在管理、制度层面,很多问题之所以屡查屡犯,就是因为根源问题没有得到实质性地改善,只治标没治本,只敢触及表面不敢深入根源,难以避免成因相同问题的复发,审计报告对银行高管层的使用价值也不大。
二是审计人员薪酬水平较低,晋升渠道缺失,成为审计人员尽职程度的瓶颈之一。《银行业金融机构内部审计指引》[6]中要求"内部审计人员薪酬不低于本机构其他部门同职级人员平均水平”。但审计部门作为管理部门,薪资水平难以与经营部门或经营机构比较,优秀的审计人员为了能够调往分行或其他经营部门,在出具审计发现问题的时候,往往不敢得罪分行领导,希望能给自己留“后路”。审计纪律难以保持,审计人员也承受很大压力。常出现审计人员为讨好被审计单位,不敢大胆揭露和反映问题,总想着“两头不得罪”,遇到压力的时候,不考虑怎么解决,只是一味地将矛盾向上转移,或者将问题“大事化小、小事化了”,缺乏职业精神。
三、内部审计手段落后
随着贷款规模的爆炸式膨胀,以及各类创新业务不断推出,内审范围不断扩张,商业银行内部审计手段落后带来的问题日益凸显,成为商业银行风险管理无法忽略的矛盾。
首先,网银业务的发展和无纸化管理使部分内部控制环节向客户端发生转移,但信息系统内部控制的审计技术较弱。银行业内部控制从人工控制,转变为系统预警设置,随之而来的对各业务及管理系统内部控制的适当性和有效性的审计评估成为必然。但目前国内银行大多不具备开展信息系统内部审计的条件。
其次,海量业务数据中进行审计抽样无法满足覆盖面,且对数据缺乏批量处理筛查的工具,更多需要依赖员工对数据的敏感性进行人工排查,降低了审计效率。
另外,以往的审计都是建立在充分采信被审计单位提供资料的基础上,但在具体审计实践中,也确实有发现部分被审计单位制作虚假材料的现象,由于内部审计的内部管理机构的地位,其手段与监管部门相比有相当差距,既不能调阅客户在其他银行的账务,也无法要求其他机关或单位协助核查,对于业务在本行系统外的运作情况,以内部审计手段基本无从追查。
四、业务数据釆集困难
随着信息技术的进步,银行内部的业务以数据形式存在于各业务系统中,而这些数据和数据背后的逻辑关系成为审计的对象,釆集和分析数据也成为审计手段之一。但银行各类系统的数据质量低下,成为阻碍审计深入开展的栏路石,在现场审计过程中,常常出现审计人员花费大量人力筛选有用数据的情况,极大影响了审计工作的开展。造成审计数据质量低下的原因主要有四点:
一是各业务系统的一致性和完整性不足造成数据质量问题。商业银行初期的rr建设以应用系统建设为主,这些应用系统由各业务部门独立开发,满足本部门的业务电子化的需要;后期以分析系统为主,主要为了方便向管理层提供各类信息。这种应用和分析的割裂,极大影响了数据的使用:相同指标在不同系统中标识不统一,使系统间的映射关系复杂化;对银行业务的理解和分类有出入,各系统中业务品种、行业投向等各类分类标准尚未实现统一,造成系统间数据统计标准不一致,数据口径的角度不一,容易引起数据质量问题。
二是重要数据存在缺失。商业银行普遍存在客户资料的缺失、不准确和自相矛盾情况比较普遍,难以形成完整准确的客户视图;部分业务的系统建设没有及时跟上,如资金业务、基金直销业务、理财业务等,业务数据以电子或手工台帐的方式游离在系统之外;系统设计缺陷、基础数据质量偏低等原因造成无法根据业务品种、渠道、部门进行准确的收入、成本核算,阻碍了管理会计的推进。
三是新兴业务的数据釆集不能及时满足监管要求。银行对各类创新业务的核算和统计也会在很短的时间里出现监管规则。这对银行信息系统的功能和适应性提出很高要求。例如近几年监管机构对表外业务的管理,随着监管规范的不断出台,对表外业务信息完整性和会计处理不断提出新的要求,但银行在初期操作不规范,无法及时满足监管要求,容易出现合规风险。
四是对数据需求的支持能力存在缺陷。及时性方面,数据提取的流程冗长,为保证数据安全,设置了数据管理规定,业务数据提取必须经过业务部门会稿,这在很大程度上确实提高了数据的安全性,但过于机械,徒增流转周期,较难实现数据的快速获取。准确性方面,由于系统维护的及时性和有效性不足,对提取的数据也未形成复核机制,数据质量无法根本保障,同时,由于缺少参照标准和不同系统间数据的自动校验,无法建立有效的数据差错发现机制,对审计结果造成误导。
第四节 审计质量参差不齐
一、 审计程序不规范
审计过程一般包括审前准备、现场实施、审计报告撰写、整改追踪四个阶段。审计项目开展过程中,在不同阶段都有发生审计程序不规范、不严谨的问题,影响审计质量。在审前准备阶段,由于时间仓促,常导致审计方案不够成熟,影响审计效率。审前准备是现场审计工作的基础,也是实现审计目标、防范审计风险、保障审计质量的根本所在。许多商业银行未充分利用非现场审计手段对审计对象相关信息进行充分收集和分析,审计方案缺乏系统性,往往为了完成审计项目而匆忙编写审计方案。
在现场实施阶段,由于缺乏质量监督,审计工作随意性大,影响审计权威性。
一是审计取证不够严谨,审计时完全依赖审计人员个人的经验判断,由于主客观因素,容易出现对同样风险的项目采取不同审计定性的情况;二是缺乏必要的现场复核机制,对审计全过程没有建立有效的复核、监督制度,不能及时发现审计过程中的缺陷或是证据不充分、不适当的情况,导致报告阶段对事实定性的不准确。在现场结束、审计报告撰写完成后,向被审计对象征求意见时,屡次修改审计报告事实,说明现场审计工作存在问题。
在审计报告阶段,报告撰写水平参差不齐。许多审计报告,洋洋洒洒,动辄三四十页,报告内容很全面,文字也很流畅,但篇幅太长,重点不够突出。作为审计报告的主要使用者,总分行领导都日理万机,经营压力又很大,对于大篇幅的报告的确没有时间认真研读,就算勉强读完了也很难留下深刻的印象。同时,也常出现审计报告只抓住细枝末节,死靠制度,报告高度不够,缺乏宏观把控的毛病。
另外,由于被审计单位的配合度低、审计时间过紧、抽样覆盖率不足、或是审计人员尽职态度不够,导致在现场审计阶段未能深入调查获得审计事实,在出具审计报告时就只能简单点到为止、敷衍了事,审计报告中频频出现“疑似”、“可能”等字样,既无法确定被审计单位的风险程度,也就无从指导和督促被审计单位的整改工作。
二、审计工作质量管理缺乏统一标准
内部审计工作的质量考核往往徒有其表,其有效性难以真正达到银行发展的要求。首先,许多商业银行的内审稽核部门未设立专门的质量管理人员,质量管理仅靠审计人员自觉实现,审计工作质量未出台详细标准和规范;第二,由于审计报告由各级审计机构分别发文,审计质量不统一,各级审计机构各自为战、信息不畅、质量参差不齐;第三,通常质量管理人员只审核成文的方案和报告的事后管理模式,未能实现全流程质量管控,由于审前准备和现场实施的质量把握不够,导致审计报告质量低下;第四,在出现重大损失和不良声誉的时候,对相应机构的往年审计并未重新进行推敲,未能追究是否曾经就该项问题业务发出审计提示,也未对审计人员的失职进行考核评定。内部审计报告的准确性未作追踪度量。
三、审计成果利用率不高
审计对过往审计成果的利用率低下的问题十分突出。经营机构对审计发现问题,釆用息事宁人的态度,一对一解决,重处罚轻整改,缺乏系统性的追踪调查和借鉴分享。审计发现问题并未引起管理层对流程改造的思考,未能带来经营机构对风险管理的考核、分析、整改和经验分享,难以从根本上解决管理问题。
在审计成果利用率上,非现场审计工作的贡献不够。非现场审计工作是审计部门的重要组成部分,包括单个项目的非现场前期工作,被审计单位整改情况的后续监督,以及对经营部门的非现场日常监管。非现场审计是实现审计工作集约化发展、提高审计工作效率的重要途径。通过非现场前期工作,能够把握被审计对象的审计重点和风险特征;通过后续监督和日常监管,多渠道收集监管信息,能够对经营机构进行更加深入的了解,达到事前监督的目的。
但由于全年审计任务繁重,单个审计项目的非现场前期工作和后续监督都受到相连的前后项目的影响,审计人员常常需要同时进行前一个项目的收尾和后一个项目的前期工作,有时由于对审计工作量预估有误,需要延长项目时间,甚至出现连轴转的情况,非现场审计工作无暇顾及,审计项目对经营机构的整治力度大打折扣。
