论我国商业银行内部审计制度和模式的创新(1)
一、理论背景及商业银行内部审计发展的新趋势和新要求
(一)银行治理结构与内部审计的关系
自20世纪90年代中后期以来,银行治理结构备受国外理论界的关注。20世纪90年代发生的巴林银行破产案、日本银行破产案、亚洲金融风暴等事件使人们认识到银行健康持续经营的重要性,也认识到强化银行治理结构的必要性。1999年9月巴塞尔银行监督委员会(以下简称“巴塞尔委员会”)发布的《加强银行机构的公司治理》,将商业银行治理结构问题推到了从未有过的历史高度。建立良好的公司治理可以促进银行稳健经营,降低金融风险,这一点已得到全球理论界和金融界的共识。
公司治理的一般架构是建立在因分散的所有权结构而引致的所有权与控制权相分离的基础上的。其主要目的是为了解决经理人员的机会主义行为及其他代理问题,以实现公司价值(尤其是股东财富)的最大化(注:由商业银行的特殊性所决定,商业银行公司治理的目标除了公司价值的最大化之外,还应包括商业银行本身的安全与稳健)(李维安、曹廷求,2003)。完整的公司治理体系包括以董事会建设为核心的内部治理机制和以产品市场、资本市场、并购市场、经理市场为主要内容的外部治理机制。商业银行作为一种企业组织形式,其公司治理的基本原则和治理框架符合企业公司治理的一般性。良好的内部治理机制和外部治理机制对于包括银行在内的公司制企业都很重要,但是和一般公司不同,银行治理结构更加强调银行内部治理,如银行的战略目标和价值取向,银行的平衡制约机制、责任机制等。原因在于:
(1)根据规模经济和范围经济原理,银行业市场结构普遍处于不完全竞争甚至寡头垄断的格局,产品市场(即银行提供给客户的金融产品及服务的市场)的竞争机制不能起到外部治理机制的基础性作用;
(2)商业银行独特的资本结构使得债权约束作为外部治理机制中的重要一环对银行的作用甚微;
(3)银行并购成本的巨大限制了并购机制这种外部治理机制的作用;
(4)由商业银行的特殊地位及银行危机的“传染性”和巨大破坏性所决定的商业银行严格的外部监管制度,在相当时期内是一个确定的外生变量,使得商业银行自身无法突破这种外部政策和法规来进行经营和管理创新。
因此,外部治理机制在商业银行治理体系中不能发挥主要作用,商业银行公司治理改革中应更注重由内向外,完善内部治理机制(曹幸仁、赵新杰,2004)。而内部审计制度就是公司内部治理机制的一个重要的制度安排。在《加强银行机构的公司治理》这一指导性文件中,巴塞尔委员会从银行战略目标和价值理念、责权划分、董事会职责和管理者的相互关系、内控系统、薪酬制度和信息透明度等方面阐述了一个有效的银行治理结构所必须具备的基本特征,其中特别指出“要认识到内部审计提供的重要的审计功能,并有效地利用”;美国联邦储备委员会成员Snsan S.Bies强调银行治理结构的关键是建立内部有效的审计程序和内部控制程序,严格的会计、审计制度和信息披露制度是建立有效市场的核心。可见,内部审计是公司治理的重要控制和监督力量,而公司治理则为内部审计提供了一个良好的控制环境和制度基础。
(二)银行治理对商业银行内审工作的新要求
巴塞尔ll在原来的基础上将最低资本要求、资本充足性的监管约束和市场约束结合在一起,构成了三大支柱,更加强调银行自身的内部风险控制和管理,同时对银行风险也做了重新划分。巴塞尔ll的第一个目标就是鼓励银行改进其风险衡量和管理技术。为鼓励银行加强内部控制和风险管理程序,巴塞尔ll将提供直接的经济激励,鼓励银行采用更加精确的风险衡量技术和更为复杂的控制这些风险暴露的方法手段。风险管理必须建立在一个强大的公司治理基础之上,因此在巴塞尔ll中明确强调了良好公司治理的重要性。这些规定包括:要求董事会和高级管理层了解其银行面临风险的性质和水平,确定银行对这些风险的可容忍程度,确保组织建立强大的风险管理和内部控制,并保证他们自身能够不断地、恰当地获知所承担的风险。这些规定促进了良好的风险管理和公司治理。首先,巴塞尔ll对操作风险暴露提出了明确的资本要求,在确立一个清晰的、全面的和整体的风险观方面迈出了重要一步。有理由相信,如果董事会和管理人员对银行面临风险的种类和范围有一个更好的了解,那么他们就能够在企业战略层面和业务层面做出更加正确的决策。其次,巴塞尔ll提出了收集、分析和报告风险数据的严格的操作标准,通过提高收集和解释数据的门槛,期望改进内部报告的质量、有效性和次数。要使高级管理人员和董事在恰当的时间获得正确的信息,以便于他们了解业务的性质。鉴于此,巴塞尔ll再次强调了独立评估和审计的重要性。
如上所述,巴塞尔ll的规定和精神对内部审计工作是一种新的激励,提出了更高的标准,要求内审工作应符合新时期的经济特点,通过独立、客观的保证与咨询活动,通过系统地、规范地评价银行的治理、风险管理与控制过程,通过为高级管理人员和董事提供有价值的经营管理信息,间接地为银行增加价值,发挥内部审计的应有作用。我国是国际清算银行成员国,实施巴塞尔ll是各成员国的应尽义务。银监会用这一标准监管国内的各类商业银行是迟早的要求,因此,分析研究巴塞尔资本协议变化趋势,及早针对巴塞尔ll框架采取措施,才能使我国银行业的风险监管适应国际金融业风险管理发展和我国金融市场平稳发展的需要。
(三)西方商业银行现代内部审计理念及演变趋势
正确认识内部审计及其职能,建立适当的内部审计理念,有助于最大限度地发挥内部审计在银行治理结构中的作用。关于内部审计的职能,英国公司治理和内部控制研究历史上的三大里程碑,即卡德伯利报告、哈姆佩尔报告以及作为综合准则指南的特恩布尔报告对内部审计的阐述,反映了西方内部审计职能的角色由监督者逐步向控制者转变的轨迹(见表1)。
表1 英国公司治理的三大研究报告有关内部审计的主要观点
时间
报告
有关内部审计的主要观点卡德伯利报告
内部审计是对外部审计的补充,建立内部审计机构对关键控制和程序进行监督是良好公司实务的组成部分,这种日常监督也是公司内部控制整体中的一部分,它有利于保持内部控制系统的有效性。内部控制代表董事会对任何有舞弊可疑性的行为执行调查,为保证其地位的独立性,应使内部审计负责人与审计委员会主席的沟通畅通 ﭢ无阻。1998哈姆佩尔报告没有必要对内部审计做出严格的规定,但董事会应经常考虑,是否需要建立独立内部审计机构。1999特恩布尔报告高级管理人员和董事会需要对风险和控制给出客观的保证和建议,一个有效的内部审计部门(或独立第三方)则可以提供这种保证和建议,内部审计亦可以在诸如健康和安全、管制和法律遵守及环境等问题提供保证和建议。内部审计师的主要作用是“确证和建议”,而不再是以往的“监督和复核。”内部审计从财务型审计转向增值型审计是整个西方商业银行现代内部审计理念的最显著特点,而这又恰恰是建立在内部审计目标和职责的准确定位基础上的。科学的目标定位和职责分工,保证了内部审计部门能够适应形势的变化和管理当局的新要求。传统内部审计的目标是查错防弊,发挥保护性制约性作用,因而其工作重点放在财务审计上;而以查错防弊为重点的内部审计既不能直接协助企业提高经济效益,增强竞争能力,又容易导致内审部门重视了细枝末节,忽略了主要风险,而且还代替管理层履行了其应当履行的职责。因此,西方商业银行内部审计部门目前很少开展诸如财务收支审计、雇员欺诈行为调查之类的制约性审计,而是将工作重点致力于改进管理效率、增加企业利润等建设性审计上(注:在安然和世通事件发生后,美国银行内部审计部门又重新加强了对报表的关注)。
综上所述,可以看出国际银行内部审计理念明显出现了一些新趋势和新特点,如图1所示。
图1 西方商业银行内部审计演变趋势 (略)
二、我国商业银行内部审计现状及制约因素
(一)我国商业银行内部审计现状
我国现有的内审工作机制是在计划经济条件下建立起来的,采用的是既受企业主要领导的管理,又接受国家审计机关指导监督的模式,是一种双重领导模式。在实际工作中,国家审计机关往往对内审进行较多的业务管理,使商业银行内审主要代表国家审计机关对企业进行财务审计,很少开展经济效益审计和参与企业经营管理决策。可以说,目前我国商业银行内部审计正处于“财务型审计”阶段,大多数商业银行内部审计主要是一种“警察”型的内审理念,认为内部审计作用就是监督和评价,内部审计部门仅仅是一个监督部门,审计方式主要是查错找弊,纠正违规。从实际效果看,这种审计理念指导下的审计活动发挥作用的层次、领域、深度等都有明显不足,具体表现在以下方面:
1.审计价值未能得到重视和挖掘,内部审计的地位难以真正确立。我国银行一般观念认为,审计作为服务部门并不能创造价值和利润,对于内部审计在银行治理结构中的地位和作用认识不足,未能充分挖掘审计在规避风险、转移风险和控制风险中的价值,未能重视和发挥内审为银行“增加价值”的作用。虽然有些商业银行内部审计机构已经建立了相对独立和垂直管理的组织机构,但总行审计部门不像国外商业银行的审计委员会那样直接对董事会负责,而只是一个职能部门,其没有直接参与监督管理应有的地位。
2.内部审计目标以查错纠弊为主,满足于真实性、遵循性等基础要求,审计职能未能全面发挥。银行内部审计人员应是经营和管理的顾问,而不是单纯的监督者。而长期以来,我国商业银行内部审计主要是证实各种报表、数据的真实性,检查各项业务活动的合法性和规范性,审计人员往往把精力主要集中在经营活动事后的检查上,而对事前分析和事中监控重视不够,内部审计对增强银行风险控制能力作用十分有限。
3.审计理论和技术方法落后单一,审计内容陈旧,审计报告缺乏参考价值。我国商业银行内审工作正处于改革发展阶段,主要采用以查错纠弊为主的真实性审计和以对照制度检查为主的合规性审计方法,审计人员大多沿用传统的审计理论和模式,以账项为基础,围绕报表、账簿、凭证、规章制度开展查账、算账、找问题、提建议、写报告等,审计报告内容越来越模式化,审计建议的“含金量”不高,难以提出具有重要价值的审计信息。
(二)我国商业银行内部审计的制约因素
当前,制约我国商业银行内部审计作用发挥的因素主要有以下三个方面:
1.由于良好有效的公司治理结构这个大前提没有解决,以致内部审计机构独立性不强,权威不高。商业银行及其分支机构都在内部设置了与其他业务部门平行的内审®机构,直接归行内领导分管并向其负责报告工作。内审人员与被审计单位的各种利益(包括经济利益与非经济利益)有着密切的联系,对所在单位有较多的依附。这样的内审组织体制往往因单位领导干预、利益关系制约和人际关系影响,致使内审机构及其人员不能客观、真实、公正、全面、深入地开展工作,其独立性较差,缺乏权威性,所做出的内审意见和处理决定也因这种管理体制上的影响而得不到有效的贯彻执行。虽然我国银行的内部审计体制近年进行了一些改革,但仍没有实现真正意义上的独立。
2.指导思想不明确,致使内部审计工作易于进入误区。长期以来,商业银行部分内审人员对审计工作指导思想认识简单和片面,认为内审工作只是“装样子,给外审看的”,对内部各项业务审计只采取“应付”和“无所谓”的态度,造成内审工作只是务虚。一是在具体审计过程中,对政策界限把握模糊,不能真正行使保驾护航角色,而且行使查处力度不大,对违反财经纪律行为未进行严肃处理;二是不具备超前意识,缺乏主观能动性,不能够坚持高标准、高质量地完成工作任务,对新生事物不能及时接受,形成思想停滞的不良局面;三是不能够快速找准商业银行内部审计工作定位点,难以发挥内审为银行“增加价值”的作用。
3.商业银行的内部审计资源不足,使得内部审计工作不能适应形势发展的需要。突出表现在以下两方面:一是缺少普遍适用的专业实务标准和审计条例;二是内部审计人员整体素质有待提高。我国商业银行原来的内部审计人员大多从会计、出纳、储蓄岗位调入,专业比较单一,其中熟悉计算机技术和法律专业知识的人更少,不能满足需要,特别是在收集信息、检查、评价和交流方面的能力,不能适应银行业务活动日益增加的技术复杂程度和内部审计部门需要承担的繁重任务,难以应对审计环境变化的挑战。
三、我国商业银行内部审计制度和模式的创新
如前所述,西方商业银行内部审计的演变趋势是由财务型审计向增值型审计发展。我国商业银行内部审计也应创新,要以增值型审计为发展目标,以适应巴塞尔ll对内审的要求以及建设现代银行制度和市场化公司治理机制、加强银行经营管理的需要,实现内审在银行公司治理中的增值作用。
(一)我国商业银行创新内审制度和模式的意义
2.有利于加强商业银行内部营运资金管理。风险和收益是商业银行经营管理面临的最主要问题,高风险高收益、低风险低收益,商业银行要取得高收益,就必须面对高风险,而能否承担高风险则取决于风险管理能力。巴塞尔ll的核心内容是全面提高风险管理水平,即准确地识别、计量和控制风险,反映了当今世界先进的风险管理技术和监管理念与实践,风险管理在商业银行居于十分重要的地位。因此,开展以风险为导向的内部增值型审计,是现代商业银行经营管理中内在的必然要求,也是推动和促进商业银行不断提高经营管理水平的有效手段。
3.有利于提高商业银行的经济效益。市场经济的激烈竞争促使银行向管理要效益。世界上先进的现代内部审计——增值型审计,主要是对商业银行经营管理各方面的政策、规定的完善性和有效性进行评价,包括预测与决策、计划与组织、协调与调整、拓展与创新、监督与考核等多项内容,并针对管理中的薄弱环节提出具有针对性、建设性的意见和建议,目的是确保利润的最大化,使商业银行的资源得到最经济和最高效使用。因此,内部增值型审计对于商业银行降低成本、挖掘内部潜力、提高经济效益具有重要的促进作用。
(二)内审制度和模式创新的具体实现途径
由上可知,商业银行内部审计工作是商业银行改革和发展取得顺利进行的重要保障,是整个商业银行工作必不可少的组成部分,对商业银行各项业务正常发展具有重要的意义。随着商业银行业务逐步向多功能、立体化方向发展,传统业务、新兴业务齐驱并进,内部审计的范围不断扩大,需要审计的工作量不断增加,审计质量要求更高。因此,必须创新我国商业银行内部审计制度和模式,其具体实现途径如下:
1.通过创新内审理念,提升商业银行内审价值。应当在有关法律中对内部审计进行明确规定,使人们对公司治理的关注从治理结构上升到公司治理的实质内容,认识到内部审计是公司治理的重要措施,使内部审计机构和人员得到银行应有的重视,使内部审计的效用得以充分发挥,使内部审计参与到公司治理中,帮助银行改进风险管理体系,促进内部控制的改善,与董事会、高级管理层、外部审计师一起构成有效公司治理的四大基石之一。商业银行内部审计作为置身银行内部的一个部门,有着外部监管和审计无法替代的优势,既可对银行各项经济活动进行事前、事中和事后的全面审查,又可对有关问题进行经常、连续、系统深入的了解,从而为银行提供有价值的经营管理信息,帮助银行实现增值目标;同时,内部审计还可以通过完善自身管理机制,更新审计手段等改革措施,提高审计质量,节减审计成本,为银行增加价值。因此,传统的银行内审理念已不能完全满足银行经营管理的需要,应与时俱进,创新内审理念,树立由“财务型审计”向“增值型审计”转变的观念,内审工作的重点应逐步由合规、真实性审计向效益、风险性审计发展,在原来财务收支审计纠错防弊的同时,应更加侧重于经营管理审计和经济效益审计,由原来事后审计变为事前控制、事中监督,全方位、多层次的动态审计,将内部审计渗透到商业银行管理的全过程。充分认识内部审计在风险管理、控制和治理程序中的评价和改进作用,实现内部审计的增值目标。具体来说:
(1)内部审计部门可以通过对银行风险管理过程的充分性和有效性进行检查、评估和报告,帮助银行管理者发现并评价重要的风险因素,指出其控制缺陷,并提出改进意见,提供风险管理的有效方法和控制措施,帮助银行改进风险管理与控制体系,规避经营过程中可能出现的风险损失,从而为银行增加价值(注:如德国联邦银行监管当局明确要求,内部审计部门一旦发现风险高的业务领域时,应及时反馈给董事会;新产品在正式推向市场前,必须经过一段时间的试用,由内审部门对业务流程及风险因素评估以后报董事会,并经全体董事会成员同意后方可投入市场)。
(2)内部审计部门可以通过评价银行内部控制状况,衡量内部控制体系的建立程度和有效性,寻找内部控制薄弱环节,向银行管理层和相关部门提出强化内部控制建设的措施,以防范和化解经营风险,提高经营管理水平,从而为银行增加价值。
(3)内部审计人员以其公认的道德操守和良好的职业技术,通过对银行治理程序的完整性、有效性、合法性等做出结论,并提请银行负责人、管理人员和全体员工遵守法律、法规、道德和社会责任,推进银行依法管理经营,帮助银行完成各项治理目标,从而实现“增加价值”。内部审计部门还通过定期评价银行的道德氛围及其战略、战术、信息流通和为了实现期望的遵纪守法水平而采取的其他过程的有效性,披露银行内部违反道德规范、政策和其他不正当行为的嫌疑,规避道德和法律风险,从而为银行增加价值。
2.通过创新内审体制,为银行增加价值。内部审计隶属于谁,即受谁的领导,这在很大程度上决定了内部审计组织的独立性和权威性。一般地说,内部审计所隶属的层次越高,其权威性和独立性就越强,反之就越低。西方商业银行内部审计主要有受董事会(或监事会)领导或其下设的审计委员会领导等形式。近几年来,我国商业银行也进行了内部审计体制改革的探索,应当肯定,改革的方向与目标是正确的,都有利于提高内审部门的独立性与权威性;但是,大多数商业银行的内部审计仍然是在行长领导下开展工作并直接对行长负责,形式上处于较高地位,但实际上陷入了自己监督自己的怪圈,没有实现真正意义上的独立,究其主要原因是良好有效的公司治理结构这个大前提没有解决。因此,必须按照良好有效公司治理机制的要求,进一步改革我国银行现有的内审体制。应当在商业银行中成立名副其实的能真正发挥其应有职能的董事会。在董事会设立之后,还应当改变内审部门的负责对象,使内审部门直接向董事会而不向总行行长负责(注:美国花旗银行、美洲银行和纽约银行等国际著名银行都是采取这种模式,这些银行的内审部门甚至不向行长提供内审报告)。在具体操作上,可以在董事会中设立常设机构——审计委员会,来代表董事会履行相关的职能。将内审部门的人事与财务管理权全部赋予董事会或它的审计委员会。在机构设置上,应全面上收各分支行设置内审机构的权力,将目前“金字塔”型的内审体系向“倒金字塔”型转变,总行内审机构阵容强大,可根据具体情况采取按业务品种或分布区域划分设立或交叉运用业务与区域两种模式设立,下设机构直接向总部内审部门负责并报告工作;总行以下的分支行一律不设内审机构,采取派出制或出于成本效益因素考虑可实行“内审外包”。这种内审体制模式实现了内部审计的全行统一垂直管理,提高了内部审计的独立性、权威性和科学性,有利于内审部门从全行角度恰当确定审计范围、重点、时间和频率,更有效、更合理地支配内审资源。
3.通过创新内审方法和手段,为银行增加价值。银行是高风险的行业,外部监管、经营环节对银行强化风险防范,提高内控能力提出了全新的、更高的要求。入世后,我国的金融业将融入国际金融体系,将面临更大的风险。这就迫切要求商业银行重视审计风险防范的研究,更新审计理念,增强审计人员的风险意识和责任意识。
(1)将风险导向审计引入商业银行内部审计领域,提升审计质量。风险审计是现代审计方法的最新发展,在商业银行内部审计领域的运用,不仅可以有效地控制商业银行的经营风险,增强内控能力,而且能够用来控制、降低审计风险。通过对商业银行管理行为、资产风险的分析和评价,全面把握被审主体的风险✔状况,并找出高风险的领域,在此基础上确定审计重点和审计频率,以便集中力量对高风险领域进✿行控制和管理,帮助和促进商业银行各级管理层提高管理水平,做到科学决策,有效地进行风险控制和管理。
(2)全面开展增值型审计,需要更新审计手段。近几年来,我国商业银行电子信息技术应用水平迅速提高,电子银行业务也迅速发展,网上银行业务交易量逐年增加,信息科技和电子银行方面的风险控制越来越突出。因为信息科技和电子银行方面的风险是系统风险,一旦出现问题将造成全局性的影响,对一个银行的商誉和形象都将带来极大损害,所以世界各国商业银行都十分重视信息科技和电子银行风险的控制,相应地,电子银行审计也越来越引起人们的重视。巴塞尔委员会专门制定了电子银行风险管理原则,包括董事会和管理层的监控、安全控制、法律和信誉风险三个方面。因此,我国商业银行的内部审计手段要向电子化、网络化、实时化和规范化转变。充分利用电子计算机、网络、信息等现代技术手段,替代原先传统的手工操作办法,加快内部网络建设,逐步建立内部审计资料库,积极探索利用计算机进行审计的途径。通过对内部审计手段的改进,不断提高工作效率,增强内部审计功效,保证审计增值目标的实现。
4.通过创新内审资源,为银行增加价值。
(1)制定符合我国国情的银行内部审计专业实务标准和审计条例。通过审计标准和条例来保证内部审计部门在银行中的地位和权威。实务标准可参照国际内部审计师学会《内部审计专业实务标准》,由中国金融稽核监督研究会等行业协会来制定;审计条例应由各银行制定。巴塞尔委员会要求,一部审计条例至少要包括:内部审计职能的目标和范围;内部审计部门在组织中的地位、权力和责任;内部审计部门负责人的责任。审计条例应当由内部审计部门起草,定期审查。它应当得到高级管理层的同意,随后得到作为监管作用一部分的董事会的确认。在审计条例中,银行高级管理层给予内部审计部门建议权,授权其直接与任何员工进行接触和交流,检查银行的任何一项活动或一个实体,接触银行的任何记录、资料或数据,包括管理信息和所有协商和决策机构的会议记录。
(2)加大培训力度,提高内审人员素质。在西方发达国家,内部审计已走上了职业化道路,其商业银行的内部审计往往由具有职业资格的内部注册审计师来执行,这些人员既来自于组织内部,也可能来自于组织外部。在我国,近年来开始了国际注册内部审计师(CIA)考试。虽然各商业银行目前并没有把取得国际注册内部审计师资格作为从事内部审计工作的必要条件,但囿于提高素质的需要和新形势的要求,无论是内部审计管理部门还是审计人员都应对这样的资格考试日益重视并积极地参与。随着内部审计在银行公司治理结构中的地位日益重要,审计部门不仅需要财务会计专家,还需要大量具备经济学和企业管理学知识的专家,包括内部控制专家、风险管理专家、公司治理专家和信息系统审计专家。因此,必须通过各种途径,比如后续教育、业务培训等措施,提高银行审计整体队伍和人员的专业素质和水平,这样才能为公司治理提供源源不断的符合要求的监督控制资源。通过建立一支专业化、高素质的内部审计队伍,提高内部审计质量,以保证审计增值目标的实现。
【参考文献】
[3]曹幸仁,赵新杰。国有商业银行公司治理改革问题研究[J].金融论坛,2004,(1):3-8
[4]萧英达,张继勋,刘志远。国际比较审计[M].北京:立信会计出版社,2000.523-567
[5]徐政旦,谢荣,朱荣恩,唐清亮。审计研究前沿[M].上海:上海财经大学出版社,2002.299-312
[8]周志宇,徐龙华。国际银行业内部审计的现状、趋势和启示[J].金融会计,2003,(5):17-19
[9]林朝华,陈工孟。国有商业银行内审体制剖析[J].审计理论与实践,2002,(6):39-41