第三章 商业银行内部审计特色
2006年银监会《银行业金融机构内部审计指引》(银监发[2006]51号)中,将银行内部审计定义为:“一种独立、客观的监督、评价和咨询活动,是银行业金融机构内部控制的重要组成部分。通过系统化和规范化的方法,审查评价并改善银行业金融机构经营活动、风险状况、内部控制和公司治理效果,促进银行业金融机构稳健发展。”指引明确了内部审计的独立性、客观性,以及审计服务的增值作用,明确内部审计与外部审计、行政管理层和审计委员会一起,成为有效的公司治理的四大支柱,内部审计成为商业银行发展不可或缺的管理力量。
2012年6月,银监会出台了《商业银行资本管理办法(试行)》(以下简称《办法》),对国内银行提出了更严格的资本要求。内部审计是商业银行申请成为新资本协议银行的重要组成部分,《办法》要求内部审计部门应负责对内部评级体系及风险参数估值的审计工作,具体包含对治理架构、数据治理、计量模型、信息系统、政策流程、资本管理、业务应用、验证工作、ICMP (内部资本评估程序)建设、信息披露等各个层面的审计,主要工作体现在:一是评估资本管理的治理结构和相关部门的履职状况;二是至少每年一次检查ICMP相关政策和执行情况;三是至少每年一次评估资本规划的执行情况;四是至少每年一次评估资本充足率管理计划的执行情况;五是检查资本管理的信息系统和数据管理的合规性和有效性;六是向董事会提交资本充足率管理审计报告、内部资本充足评估程序执行情况审计报告、资本计量高级方法管理审计报告,报告内部评级体系审计情况。商业银行通过内审对《办法》各项实施工作情况进行独立监督与评价,督促商业银行尽早发现银行内部在资本管理和全面风险管理过程中存在的问题,并要求相关部门积极整改,从而规范新资本协议的实施,提高商业银行整体的资本和风险管理水平。此外,内部审计还有助于监管部门了解商业银行实施资本管理高级方法过程的合规性和有效性,从而使得商业银行申请合规达标更加顺利,最终实现节约资本的目的。
商业银行作为一种特殊的国有企业,其主营业务与百姓息息相关,与国家经济发展密不可分,因此,商业银行审计相对其他国有企业内部审计,对审计手段的要求、审计关注的对象、审计的有效性都有更加严格的要求。
第一节、对风险管理与风险衡量有更高要求
近年来,风险管理已成为内部审计的重要领域。国际内部审计师协会在1999年通过的内部审计的最新定义,把评价和改善组织的风险管理和控制的有效性作为内部审计的主要内容,内部审计部门所进行的风险管理是在一般部门所进行的风险管理基础上的再监督。
商业银行是以信用为基础,以风险换取收益的行业。商业银行的所有业务,从传统的信贷业务到创新的中间业务,都广泛存在各类风险,且通过对风险的衡量、匹配和分散,获得盈利的最大化。商业银行内部审计部门,作为银行内部风险管理的第三道防线,必须发挥其独立于经营机构的地位和高度,准确识别风险、量化风险,在确保风险可控的前提下寻求银行利益最大化。
内部审计对商业银行风险的监督,是维护金融秩序的第一道屏障。金融市场的运行,就是整合投资者的资金,并传递给最有价值的贷款人,实现资金和资源的最优配置,提高整个经济的运行效率。一旦这种资金配置出现偏向,就会影响实体经济的健康持续发展。由于商业银行在我国是金融市场的主体,中国社会的储蓄率又较高,因此,商业银行的稳健性极大影响到国计民生,商业银行的永续经营,成为保证老百姓家庭财富保险,企业运行正常,社会就业情况稳定,GDP增速持平,社会稳定的定海神针。商业银行经营过程所遇到的风险,也影响着所有依赖商业银行进行融资的家庭和企业[4]。
银行的高杠杆性和短借长用的业务特点,是银行风险的主要来源;银行风险所带来的损失,远远超过一般企业的风险损失,具有涉及金额大、涉及面广等外部性特点,有极强的传染性。同时,银行由于业务的专业性和复杂性,和实体企业相比,信息不对称的问题也更为突出。因此国家对商业银行的安全性和流动性的要求更高,对银行的监管也更加严格。
监管层也暗示将允许银行破产。在2013年12月召开的“北大经济国富论坛”上,银监会副主席阎庆民表示,银监会正在酝酿加快推出银行破产条例,如果商业银行最后资不抵债,有必要让其退出金融市场。因而商业银行的内部审计,成为真正的风险导向型审计,风险衡量成为审计最重要的任务之一。内部审计作为内部控制的最后一道防线,成为维护金融秩序的第一道屏障。商业银行必须衡量各经营机构的内部控制是否有效,对风险的控制是否合理,流动性是否充足。
内部审计对商业银行风险的控制,是约束商业银行趋利行为的合理范围。商业银行经营对象的特殊性,使得商业银行的审计对风险控制尤为重要。一般企业依赖于提供、销售实用性产品获得收益,如电器、汽车或其他生产性、消费性物资等。
而商业银行并不提供具体的产品,而主要通过提供金融服务获得收益,包括与资产运用有关的存贷款利差,和与资产运用无关的表外业务、中间业务的收入。
所以,商业银行经营者必然的趋利心理,和目前缺位的问责机制,使得管理过程的风险偏好极强。更为重要的是,金融机构知道一旦出了问题国家会救市,就存在道德隐患,会放松对业务风险的控制,甚至为了谋求短期暴利故意进行高风险投资。因此,也有观点认为,商业银行存在的根本原因已不再是“最具能力充当存款人和借款人之间的融资中介和支付中介”,而是愿意承担风险。也就是说,商业银行传统融资功能的核心地位已让渡于风险经营和风险管理职能。
因此,银行内审所需要识别的风险,是与银行利润息息相关的,与高收益共存的高风险。内部审计的目的,不是也无法将风险降低至零,而是考量风险管理的合理性和有效性。
内部审计对商业银行风险的衡量,是调整商业银行经营收益与成本的标尺。
由于商业银行的风险与收益共存,因此,与一般企业不同,商业银行的风险必须量化。巴塞尔协议的核心内容,即是要求商业银行能够实现全面风险量化,并将量化的风险与作为保证银行稳健经营、安全运行核心指标的资本充足率挂钩,进而达到风险控制。新巴塞尔协议提出将信用风险、市场风险和操作风险作为银行最低资本要求的计算参数,同时亦需关注集中度风险、银行账户利率风险、流动性风险、声誉风险、战略风险和对商业银行有实质性影响的其他风险。在风险的识别控制上,能够量化的风险尽量量化,减少主观判断的不确定性;对声誉风险、战略风险这类不容易量化的风险,则重在识别,制定有效的风险管理措施进行缓释和控制。
内部审计需要对各经营机构实际承受的风险水平进行量化考核,才能进而对银行总体风险进行评估,强化资本约束,增强风险管理全覆盖,保障银行稳健运营。
第二节、对管理层社会责任与道德风险有更强监督
传统的公司以股东价值最大化作为其经营目标,其公司治理和组织架构亦围绕这一目标展开。但商业银行作为金融市场的主要机构,其管理层不仅要实现股东价值最大化,还必须保证金融体系稳健和宏观经济的稳定;同时,股东与债权人、股东与员工、股东与监管者等的利益冲突,也极大影响着管理层的决策。因此,商业银行公司治理的目标,应该设定为实现股东、客户、员工,乃至政府和社会所组成的商业银行“利益相关者”群体的利益最大化。商业银行的内部审计,作为公司治理的重要支柱,也应在审计目标上与一般公司有所区别。
首先,商业银行内部审计应关注银行的社会责任履行情况。银行作为我国金融机构的主体,担负着将社会资源配置到效率最高的部门,提高社会生产率的责任。因此,银行的贷款投放成为关系经济发展的重要因素,银行的经营管理者也许仅仅关注经营机构放贷的合规性和利润水平,而内部审计部门则应时刻关注贷款是否符合国家鼓励的投向,是否有悖于国家的宏观调控。另外,银行稳健经营,也能够改善经济环境,增加社会的流动性,促进企业的创立和发展,增加就业,因而内审部门也应监督银行经营者的管理风格是否稳健。
第二,商业银行内部审计应关注存款者的利益。2014年3月江苏射阳农村商业银行的挤兑事件,反映了存款者对金融机构违约风险的担忧。一般企业的债权人在清偿顺序中高于股东,因此债权者的利益与股东利益一致。但在商业银行,老百姓作为存款者,也即商业银行的债权人,其利益与股东利益不完全一致。商业银行的高负债运营特征,和资产负债流动性错配,使存款者的利益未得到有效保障。而商业银行债权人由众多信息不对称且不具备监管能力的存款者构成,我国的存款保险制度又尚未建立。因此,当商业银行出现兑付困难时,就会面临“挤兑”,如果挤兑严重到需要贱卖资产提供流动性,则会影响到银行资本,严重的会导致银行倒闭。但商业银行的股东仍旧能获得分红。除了存款者外,理财客户、信用卡客户、票据使用者等,都属于银行经营的利益相关者。内部审计部门必须保证银行管理层的经营原则不仅重视盈利性,也要重视流动性和安全性,保障存款者等利益相关者不受损失。
第三,商业银行内部审计应关注经营管理层的道德风险。商业银行作为借款人和贷款人之间的信用中介,其经营者成为掌握社会资源的个人。一方面,巨大的经济利益,加上贷款本身的不确定性,使经营者极易用银行的不良成本为个人谋私利,将大量贷款发放给资质较差的企业,或进入生产效率低下的行业。另一方面,由于高风险带来高收益,但风险带来的不良资产处理对管理层影响较小,追究力度不够,管理层亦倾向于追求高风险的贷款投向,享受较高的绩效水平。
这就需要内部审计部门监督经营行为,从合规角度填补制衡机制的缺失,防范道德风险[5]。
第三节、对业务更新与职业胜任能力有更高挑战
银行资产的发展迅猛,分支机构的不断设立,使审计业务无法达到完全覆盖。
按照《银行业金融机构内部审计指引》[6]中要求,对每一营业机构的风险评估每年至少一次,审计每两年至少一次。其他监管指引亦对许多专项内容提出审计频率要求(具体参见附录1)。
新兴业务的蓬勃发展,对内部审计人员的职业胜任能力带来极大的挑战;随着利率市场化脚步逼近,银行的息差收入逐渐缩水,不论是四大国有商业银行,还是股份制银行,都在积极改变盈利模式,寻找最后的蓝海。各类新兴业务领域产品创新活跃,贸易融资、理财、基金托管等业务蓬勃发展。
而监管机构对银行业务的加强管理,也对内部审计的时效性提出更高的要求。
为了应对日益火爆的银证业务、银基业务,2013年3月,银监会下发《关于规范商业银行理财业务投资运作有关问题的通知》,即业内所谓“8号文”,对银行理财资金的投向、风险拨备提出明确要求。为规范商业银行同业业务,降低同业业务流动性错配程度,银监会更联手央行出台综合性同业监管细则,停止第三方买入返售业务,并对同业业务规模设限。2013年底国务院办公厅印发的《关于加强影子银行业务若干问题的通知》(“107号文”),监管部门已于2014年开始安排专项检查,对票据业务等影子银行业务交易量较大的中小金融机构进行重点检查。
为了防范合规风险,审计部门必须时刻关注监管热点,在监管要求下发之后甚至之前,对行内业务进行梳理整顿,以免措手不及影响业绩。要求内部审计部门与监管机构及时沟通交流,了解最新监管动态。