商业银行内部审计增值路径

[摘要]作为组织结构的一部分，内部审计目标与组织高度一致——寻求组织价值的最大化。内部审计增值将始终围绕防风险、强内控、促发展的主线展开，并在工作内容选择、工作方式方法创新、工作机制流程优化等不同维度跟进相应措施，保障审计价值增值路径畅通，效果符合预期。

[关键词]内部审计;价值;增值;路径;商业银行

近年来，银行内部审计的作用日益凸显，得到各方认可。但是，伴随外部经济形势、金融环境日益复杂化，面对经营风险多样化、交叉传染以及影响面日益扩大等新特点，商业银行风险防控与稳健运行面临前所未有的压力，监管部门、商业银行管理层、业务经营部门及一线机构等对审计工作的期望更高，主要体现在对内部审计工作职能发挥的几点疑问：一是风险大面积暴露，审计作用是否充分发挥？部分问题为何过去未能揭示，事前未能提示？二是审计每年揭示大量问题，但问题数量为何未显著减少，部分问题为何屡查屡犯？三是经济新常态下，审计怎样才能更好地发挥作用？如何在揭示风险的同时着力解决问题？疑问几乎锁定同一焦点，就是审计如何跳出对照制度查错纠弊、事后审查揭示问题的传统工作模式，主动寻求提升价值贡献的新路径、新模式。内部审计价值增值正成为评价审计履职尽责的核心标准。

一、价值增值模型与增值路径

作为内部审计标准的制定者，国际内部审计师协会(IIA)对内部审计定义进行了持续优化：1999年重新定义并强调内部审计职能为确认与咨询，通过评价和改善风险管理、内部控制和治理过程的有效性，帮助组织增加价值、改善经营、实现目标。该定义将内部审计落脚点最终体现在增值，也明确了内部审计发展的方向。（一）三种价值增值模型。基于IIA重新定义，《国际内部审计专业实务框架》(IPPF)持续修订并推出一系列有益实践的价值增值模型：公共部门内部审计能力模型(IA-CM)（IIARF，2009）将内部审计能力分为五个层级：初始级、基础级、整合级、管理级与最优级，旨在评价内部审计自身活动状况，培养和发展内部审计能力，指导内部审计提高在公共部门治理和问责中的作用。内部审计价值主张模型（IIA，2010）建立在内部审计向组织提供的核心服务之上，即“客观”“确认”和“洞察”。“客观”是以客观事实为基础，公正无偏地开展分析审核、做出判断与结论；“确认”是对内部控制、风险管理和治理过程有效性进行的评价；“洞察”是在敏锐发现问题的基础上，提供前瞻性、建设性的见解。该模型目的在于激发内部审计价值创造的意识，将价值创造作为与组织利益相关者实现有效沟通的主题与途径，增进各方的协调与信任。三线防御模型（IIA，2013）意在统筹规划组织投入内部控制与风险管理的各项资源，通过明确经营经理层、风险管理与合规、内部审计三道防线的角色与定位，协调加强风险管控。这三个模型与内部审计的价值紧密关联，体现了IIA对内部审计的规范性指导。关于内部审计发展方向，相关理论无一不统一到价值增值这个核心，并因此系统规划了“增值时代”内部审计发展的理念、宗旨、活动实施、制度与资源安排，成为内部审计构建转型框架与具体策略的重要指导。（二）三种价值增值路径的选择。综合各方要求与基础理论，对新形势下的内部审计转变传统观念，主动探索转型之路，着力提升价值贡献提出了要求：首先，着眼于组织全局，服务于组织目标的实现，最终目标是实现价值最大化。其次，客观、确认是内部审计的履职基础，但突出前瞻预判的洞察能力是体现价值的关键。最后，在保持作业模式相对独立的同时，内部审计增值还需依托三道防线相互协作。基于以上要求，确定审计增值的三条路径：一是揭示风险并促进化解以实现价值。揭示风险是履行审计职能的首要任务，是体现审计价值的基础。通常有两种模式：一是传统事后审计模式。内部审计在经营活动完成后，基于活动轨迹、活动资料进行事后审核。此模式风险往往已经存在，通过审计揭示出来，督促经营管理条线及时处置风险，防止风险蔓延，或减少风险造成的损失。这是最常见的审计模式，关键节点在于促进风险化解。怎样促进，基于准确的查证，即指出风险产生的环节、风险的表现形式、风险的责任主体，从而使风险化解成为一项目标责任清晰的工作。二是基于视角前移的前瞻性审计模式。前瞻即“洞察”，提前识别。通过前瞻性分析，加大风险研判力度，及时捕捉新情况、新动向和新特征，发现一些潜在影响较大的倾向性、苗头性问题，提出解决措施，帮助组织避免更大问题的发生和更多损失，使审计职能由“治病”转变为“防病”，乃至“防治结合”。在这个环节，查和证是审计工作的两个重点：一方面，合理运用方法技术，快速查找风险线索；另一方面，调动各方力量，全方位证实风险的存在。审计需要做实这两个步骤，保证该揭示的风险得以全面揭示，促进被审计单位充分识别风险并及时采取有效的化解措施，防止风险蔓延，避免造成更大损失。二是揭示控制缺陷并促进改善管理以实现价值。履行监督职能、揭示风险只是审计工作的第一步。“增值型”审计要求从“揭示问题”切入，以“解决问题”落脚，内控缺陷往往是问题的根源，特别是频率高发问题。审计工作始于风险，归于内控。内控缺陷的改进是审计工作链条闭环、风险闭合的重要参考因素。因此，在查与证的基础上，审计还要着力抓实“挖”与“炼”两个环节，通过深层次分析，努力挖掘找到风险背后的根源性内控缺陷，致力于促进管理层牵头，推动自上而下的源头整改，帮助组织改善内部控制，使业务持续发展、价值实现最大化，实现审计价值创造、组织价值提升的高度统一。三是促进增收节支以实现价值。这是审计职能的进一步延伸。银行的核心价值是吸收和防控风险，但银行经营目标依然是风险可控前提下的股东价值最大化。内部审计作为银行的重要组成部分，其目标与全行经营目标具有一致性。因此，审计工作要体现融入性，不能仅局限在问题揭示的传统思维框架内，要充分利用审计信息处理应用方面的优势，立足机构整体，通过挖掘数据流、业务流，着力寻找增收节支的重要突破口，主动拓宽审计价值创造的空间。

二、创新增值路径的实践选择

（一）突出监督机制创新，使项目审计与日常监测共同构建起审计监督立体防线。1.确认与咨询相结合，科学立项，实现项目审计对业务的周期覆盖。（1）突出风险导向。评价审计价值与效果高低，取决于该查出的问题是否查出，该揭示的风险是否全方位揭示。监督是内部审计的首要任务，而流程规范的审计项目是审计监督最重要的载体。审计要从组织增值目标出发，合理安排审计项目和确定审计重点，针对关键环节、关键风险，以充分的人员、资源保证审计项目实施，实现对主要环节、业务、机构、产品的周期性覆盖。通过对相关业务领域风险开展评估，综合运用风险因素分析法、内部控制评价法等专业风险评估工具，有效识别和评估银行面临的风险，针对重点风险领域投入优势兵力，拓展审计深度，着力揭示重大问题、重大风险，从行业、区域以及新业务、新产品等不同维度进行风险分析，及时作出风险预警，帮助组织防范系统风险。（2）紧跟监管导向。持续关注监管重点领域风险，项目安排主动契合监管理念、监管方向及重点变化。内部审计应及时跟进外部监管政策变化，并及时融入各类审计项目中。聚焦信贷、柜面、印章、集中采购等高风险领域和外部监管系列专项整治重点，定期审计，持续关注风险。加强经济责任审计，把经济责任审计作为防范区域风险的重要手段。（3）关注经营管理中的难点、热点。审计对象借力审计的意愿不断增强，为双方共同研究经营管理问题打下基础。对此，应着力提供管理咨询，审计年度项目计划安排应从帮助解决经营管理中的问题出发，更多开展咨询类项目，将服务领域逐渐拓展到管理层关心的集约化管理、成本控制、业务营销与业务拓展等领域。2．从项目内向项目外延伸，以日常监测进一步实现审计的动态、全面覆盖。审计部门在项目监督的基础上，还需探索建立日常审计监测机制，通过提升审计的时效性体现前瞻洞察力。（1）建立健全“横向到边、纵向到底”的责任体系，落实日常监测的机制保证。建立责任分解和压力传导机制，采取分专业、分机构、分组包片的方式，将日常监督责任层层落实到部门和审计人员。明确审计人员在风险信息收集、监测、分析、核查工作中的具体工作内容和考核质量标准，实现每项业务、每个重点客户都有人管，每名审计人员都有自己的“责任田”。（2）立足计算机审计平台，突出重点事项，以日常监测保障监督覆盖。随着业务数据化，依托数据开展非现场分析，提前锁定重要疑点成为可能。大力推广基于业务模组化管理、业务数据关联分析的计算机审计技术，按照业务流程提前梳理审计分析模型，实现重点业务、重点事项、重点环节、重要岗位监督常态化，动态跟踪银行经营管理变化和风险演变，动态排查风险。（3）发挥日常监测灵活性优势，成果及时查、及时报，提升审计风险的快速反应力。与项目审计相比，日常监测具有不立项、全员参与、依托数据与技术平台非现场经常性分析、动态查证等优势，可以实现小而灵的“点穴式”审计，使及时反馈风险、快速推进风险应对成为可能。（二）突出审计分析方法创新，精准揭示问题与全景展示风险结合。依托计算机审计平台，开展非现场数据分析，及早锁定疑点线索，提升问题查证与风险揭示精准度。一方面，审计准备阶段，集中分析数据，突破统计抽样、大海捞针的瓶颈，提前锁定疑点线索，实现现场审计定点查证；另一方面，现场查证阶段通过内外部数据关联分析、比较分析，实现深层次揭示问题。更重要的是，成果提炼阶段，以全量业务数据为分析对象，以现场查证所掌握的某一问题为切入点，有助于批量揭示一个区域甚至组织全量风险，促进准确计量风险敞口并采取有效措施。搭建主要业务风险评估与预警体系，立足业务数据整体分析，及早把握风险发展态势。大数据时代为业务整体分析与风险趋势预警提供了可能。内部审计应将数据分析应用到整个审计生命周期，立足业务整体数据，结合外部数据，整合构建风险评估及预警模型体系，实现动态预测风险和趋势，集中提示业务指标异常的风险集中区域，为经营决策提供更具价值的信息。一方面，多维度、多方法搭建数据整体分析框架。从区域、机构层级、时间序列等维度，对经营机构的主要业务指标和科目余额占比、增量变化、系统排名等情况进行综合比对，形成以系统分析和主要科目变动分析为主、以灵活分析为辅，数据准备和自定义数据源为数据基础的主要业务风险评估及预警体系。从宏观层面反映了经营机构整体风险、主要业务风险和区域风险，构建业务全景视图。从中观层面反映经营机构重点科目异常变化情况，通过同层级机构的对比分析，直观反映机构的风险状况，实现异动精准监控。另一方面，科学应用体系分析结果，促进审计价值创造。一是为审计工作计划制定提供参考。从区域、机构、时间等维度，对主要业务指标进行机构间的横向分析和机构内纵向分析，从宏观层面提供支撑。二是为日常审计提供关注重点。通过科目余额多维度分析，及时反映经营机构重点科目异常变化情况。三是为经济责任等审计项目提供数据支持。采集一、二级分行历史数据，初步实现向经济责任等审计项目直接提供业务评价数据的目标。四是为信贷决策提供更具价值的参考。对于信贷业务的评估，基于当年贷款核销金额还原不良贷款额和不良贷款率指标的假设，这种分析模式下的评估结果更真实地体现经营机构信贷资产质量。还原信贷资产质量的真实面貌，促进提升信贷政策制定的科学性。（三）探索内控基础审计模式创新，多维度分析内控问题根源。内部审计经历了从账表审计、控制导向审计，逐步向风险导向审计发展的历程。但是，揭示风险只是审计履职的一个部分，以确认为主。审计履职与创造价值需要体现在管理咨询的更高层次，这是价值主张模型的核心内涵。所以，风险导向审计最终需要回归内控，透过风险表象深挖内控根源，以此推动高层次的风险化解与主动防控。从这个意义上说，“内控基础审计”是对“风险导向审计”理念的最终“落地”和实践探索。1．从两个层次构建多维度内控分析体系。（1）第一个层次涵盖制度、流程与操作执行的浅层内控缺陷。结合操作实际，可以归纳为七个层次：一是执行缺陷。即有控制不执行，绕开控制导致控制失效。该项缺陷具有普遍性，因为主要取决于人的主观因素。二是能力不足。业务培训不到位，主观学习不足，都会带来操作能力的不足，从而导致固有的内控审计未得到遵循并产生风险。三是责任心不够。表现为能执行未执行，或者敷衍了事、降低执行标准等。四是产品设计缺陷。五是流程设计缺陷。六是系统控制缺陷。七是制度缺陷。前三类问题可归入个体主观层面的执行缺陷，具有个体性、分散性，对应的往往是“点”上的问题。后四类基于固有控制理念，在控制设计方面存在的不足，对应的往往是“线”的问题，即一类业务的一类问题，是需要从局部整体层面推动改进完善的内容。（2）第二个层次涵盖观念、文化的深层内控缺陷。随着认识与技术水平的提升，商业银行业务系统控制、制度流程越加规范全面，解决同质问题频发的难题，内部审计亟需破解更深层次的内部控制缺陷——内控环境建设不足。内控环境往往是系列问题的最终源头，是决定内控架构的核心要素，站在组织管理全局视角，无疑是内部审计评价应着力关注的深层次因素：一是考核机制缺陷。二是人才评价模式。实践证明，当前重规模奖励、轻风险问责的考核与人才评价模式，一定程度上导致不同层级的机构与人员漠视违规成本，导致问题与风险高发。三是发展观、政绩观、价值观与企业文化。走以规模为主还是风控为主的发展之路，关注短期政绩还是寻求组织可持续发展，是发展观与政绩观的核心内涵，属于组织整体层面问题。不同发展观决定了不同的内控框架，也衍生了不同的价值观与企业文化，规模导向的价值观难以真正构筑以风险控制为核心的内控基础框架。2.立足内控基础分析合理规划审计工作实践。（1）区别一般审计发现和内控缺陷，对审计成果合理分类。审计发现和内控缺陷的关系可分为三种：一是“审计发现”即内控缺陷；二是对单个“审计发现”产生的原因进行深入分析，原因即内控缺陷；三是通过对多个“审计发现”进行汇总以及关联性综合分析，揭示整体性、深层次的内控缺陷。第一种情况通常以符合性测试为基础，所揭示问题反映的是内部控制两个层次12个维度内的某一类缺陷。第二种情况关键在于透过审计发现的表象，揭示其背后的制度、流程、系统等缺陷。对于第三种情况，不仅针对业务或管理的流程控制，也要针对业务或管理的整体控制；不仅要关注风险目标，也要关注效益或效率目标。通过分析，找准问题背后的深层次根源。（2）通过内控分析指导审计重点，提高审计查证的准确性。内控分析指导查证重点，至少有两种途径：一是通过对业务流程的分析，从影响内部控制目标实现的角度，确定审计关注的重点控制环节，并根据审计实施结果，验证和评价业务流程控制的有效性。基于流程分析的审计方法，更适用于部分符合“大数原理”的高频率交易业务。二是通过对以往审计发现及内控缺陷的汇总分析，梳理出重要的控制缺陷和控制环节，指导审计组通过现场审计，跟踪相关内部控制缺陷是否仍然存在，是否由此引发重大问题，并以此评价内控持续改进机制是否完善。（3）突出内控缺陷分析，提炼成果，体现审计结论的价值性。重点体现在以下三个方面：一是从跨业务、跨产品、跨管理领域的审计样本、审计疑点或审计发现中，揭示、分析、归纳出共性、深层、核心的内部控制缺陷。二是从问题成因入手，按照两个层次12个维度，分析缺陷的发生层面，增强审计建议的针对性和可操作性。三是从影响内部控制目标实现的角度，确定审计关注的重点控制环节，判断控制缺陷对目标实现的影响程度，分析和评价业务流程控制的有效性。（四）推动多层次跟踪整改创新，努力将审计成果转化为实际价值。揭示问题只是内部审计履职的一个方面，促进问题解决，服务组织发展大局才是审计的最终目标。也就是说，审计必须主动推动成果价值转化利用。按照内部审计准则关于审计流程的设计，从计划立项到准备实施，从现场查证到成果汇总，这是审计工作的一条主线。但审计跟踪作为审计流程的最后一个环节，是审计工作实现闭环管理、创造价值的关键环节。审计人员通过必要的方式手段，持续跟进并推动审计揭示问题的有效整改，促进审计建议的有效应用，才能真正体现审计成果的价值，审计才真正服务于内控改进、风险识别防控与发展增值的大局。1.审计查证与跟踪整改同步，推动“点、线、面”立体整改，提高成果转化的及时性。银行经营风险包括信用风险、市场风险、流动性风险、操作风险、道德风险、声誉风险等方面，风险的主要特征表现在三个方面：风险演进速度快、风险交叉传染、风险带来的损失数量大。内部审计必须将查证与跟踪保持同步，促进边审边改，才能在有效降低风险影响的过程中实现增值。在这个过程中，加强与审计对象的沟通合作，推动各方及早介入，层层推进、快速整改是重点。要力争在审计期间，整改措施及时跟进，审计结束，整改效果开始显现。（1）现场查证阶段，着力促进“点”的整改。银行审计多以基层分支机构作为抽样对象，要主动协调分支行纪委与监察部门力量，审计与被审计相互协调，共同取证。实质上是促进基层机构及早直面问题，识别风险，提升风险化解主动性与及时性。能有效避免审计单方查证、定性，客观上形成的信息不对称、对风险及影响的认识不统一、对问题整改标准的双边博弈现象。调动基层机构参与查证，有利于推动整改前置，问题查证的同时，点对点的整改快速启动，有利于遏制风险快速蔓延。（2）审计成果沟通阶段，着力促进业务条线管理部门“线”的整改。审计揭示的问题，最终可以归集到某一个对应的业务板块，问题源头也可能指向相关业务制度、流程、管理方面的缺陷与不足。这类问题单靠问题所在机构推进整改，只能解决单点，无法促成条线整改，此查彼犯现象因此而生。要提升审计成果价值，必须调动条线部门的力量。在审计成果提炼过程中，主动将同类单点问题连接成线，主动征求条线管理部门意见，共同找准问题实质与问题根源，在机构单点整改的同时，条线部门牵头，快速启动制度、流程优化层面的整改，通过规避控制漏洞促使整改上层次。（3）重大问题与重大风险事项，着力促进管理层“面”的整改。按照内控缺陷分层，在操作执行与机制流程之上，考核、理念、文化等更高层次因素才是造成某些问题多业务、多领域高发的原因，推动重大问题的解决，必须致力于推动组织管理层自上而下，由点及面的整改。在重大问题整改与重大风险化解过程中，审计要与组织机构管理层党委直接对接，同向分析，着重从考核导向、用人评价、经营战略、经营文化的角度探寻真正意义上的改进之道，共同推动顶层发起的源头整改。2.突出持续跟踪与整改效果评价，提升审计成果转化的有效性。（1）明晰跟踪责任主体，根据问题重要程度采取差别化跟踪策略。跟踪整改需体现重要性原则，提高工作效率。对于一般性审计发现，以审核评价审计对象报送整改信息为主要手段。对于重大风险，应以风险敞口是否缩小并消失作为跟踪整改及效果评价的核心内容。对于涉及内控缺陷性源头的问题，要抓好两头，既要抓住单点问题的有效解决，更要抓制度、流程、系统层面的整改措施是否到位、效果是否充分。（2）推动全员参与，推进循环审计，进一步检验整改效果，促进整改进一步升华。每个全新审计项目都应通过充分分析以往审计成果与整改结果，锁定某类高发问题，在审计实施过程中重点关注同质问题发生概率，进而实现循环审计、持续跟踪，循环整改，使审计推动成果转化应用成为工作链条上的重要环节，将每名审计人员根植于价值创造的闭环当中。

作者:丁平李萍 黄斌斌 单位:中国建设银行股份有限公司武汉审计分部