如何打造我行审计第三道防线

1、如何打造我行内部审计第三道防线桂林银行审计部近年来，伴随着着我行业务跨区域、跨越式大发展，对我行的内 部控制与管理水平， 特别是风险管理等方面都提出了严峻的考验。 如 我行近年发生小额重帐事件、 商业贿赂事件、 冒名开户事件等等都说 明了业务快速发展以后， 我行的风险管理存在一定的问题。 审计部作 为我行风险管理的最后一道防线， 在提高我行风险管理水平方面如何 发挥更大的作用是当前作为审计部门负责人需要思考的重点问题。 笔 者认为，解答这个问题的关键在于准确定位当前城商行内部审计工作 重点，具体而言就是要回答三个问题，即当前我行审计存在什么问 题？应该做什么？如何做？、当前我行审计工作存在什么

2、问题？1. 审计部职能定位不是很清晰，常常与第二道防线一些职能混淆在一起。作为第三道防线的审计部职能主要是围绕银行战略目标和工作 重点，在第一、二道防线的基础上，以评价内部控制的充分性、合规 性、适宜性和有效性为主要任务， 重点关注重大风险和系统性风险的 管理状况，以促使董事会和高级管理层能够从宏观层面把握银行整体 的内部控制状况和高风险领域， 同时提出改进建议， 完善内部控制和 风险管理体系， 促进银行发展战略和经营目标实现， 服务对象是董事 会、董事长。第二道防线主要是指合规风险管理部门和业务条线管理部门。 其 主要任务是统筹内部控制制度建设、 制定业务检查计划， 就各项规章 制度和内控要

3、求的落实情况开展检查， 并对第一道防线的业务部门工 作进行指导、检查、监督、评估（通俗称为“尽职监督”），同时也为第 三道防线的内审部门开展再监督、再检查、内控制度评价提供基础。由此可见，第三道防线的内审部门与第二道防线的合规风险管理 部门、条线管理部门工作重心是不同的。但实际情况是，我行对两者 之间的边界定位不是很明确。 审计部除承担着正常的审计工作外， 承担着内控建设、各类业务临时检查、查库、清收费用审核等其他非 审计类工作，无法更好地发挥内部监督和评价的职能。2. 审计部权威性、独立性弱，绩效考评体系不尽合理。我行目前虽已建立了相对独立的内部审计体系， 根据我行内部审计章程的规定， 设立

4、董事会垂直管理的内部审计机构审计部，向董事会负责并报告工作， 接受监事会的指导， 接受审计委员会的检查、 监督和评价。但是由于对审计部门的考核往往与被审计单位挂钩在一 起，其工作成效和业绩由被审计单位来决定， 这样的制度安排本身就 是一种对审计独立性削弱，使审计人员不敢放开手脚审计。3. 审计部工作效能不高、效果不明显。目前，由于人手紧张，审计工作只注重对问题的发现，而没有审 计力量对发现问题整改情况的后续审计， 导致违规问题并未真正得到 彻底解决。审计目的是发现问题并更好地解决问题，否则，审计效能 就会受影响。另外，由于审计权威性不够、没有相应的处罚措施和办法，经常出现屡查屡犯或整改不到位的

5、现象，你查你的，我做我的， 被审计单位一个整改报告了事，审计效果不明显。4. 审计部招人难，业务量大、人员少、任务重，审计质量不高，存在风险隐患。审计工作在常人看来是得罪人的工作， 一般人不愿意来， 内部招 聘又找不到合适的人，离监管部门要求人数占 1%有很大差距。 2013年，审计部门共完成 55 个项目，今年至今已完成 39个项目。根据与桂林银监局有关科室沟通交流，他们一个科 6-8 个人，一年最多 5个项目，这样看，我们的项目确实多了。对于一个只有 11 人的审计部 门，审计业务量这么大、任务这么重，很多时候多个项目并行，疲于 应付，审计质量确实难以保障。象总行个金部、风险管理部、授信管

6、 理部、南宁分行等部门、分支机构运转多年， 还没有进行全面的审计， 存在风险隐患。5. 外部监管要求越来越高，内审部门压力越来越大。除了人民银行、银监会提出必做的项目，如：反洗钱审计、关联 交易审计、薪酬审计、信贷资产五级分类审计、信息科技安全审计、 流动性风险审计、信息系统权限管理审计、 信息科技外包风险审计等， 内审部门还承担了管理人员离任及任期经济责任审计， 以及其他因业 务发展需要的专项审计， 甚至还承担许多不是内审部门职能范围内的 其他条线管理部门或合规管理部门应该做的事项， 内审部门压力不堪 重负。二、当前城商行内部审计应该做什么？笔者以为， 要准确清楚我行审计工作应该做什么， 首

7、先必须正确 看待审计与查问题的关系。 因为在大多数人的眼里， 审计就是查问题， 将审计的作用发挥大小与查出问题的多少直接挂钩。 审计工作主要是 查问题，并且审计作用也要通过问题的查处来体现出来， 但是如果直 接把审计等同于查问题， 那么审计工作可能就会迷失方向、 陷入困境， 这一点对正处于跨区域经营快速发展的我行内部审计工作而言更是 致命的。我们认为，内审部门必须独立于第一、二道防线，帮助董事 会监督管理层的内控建设和自我评估活动， 并对内部控制体系进行客 观评价。其主要职能是以评价内部控制的充分性、合规性、适当性和 有效性做为主要任务，重点关注重大风险和系统性风险的管理状况， 并提出改进建议

8、。 按照风险导向型的审计要求， 内审部门首先考虑的 是对董事会最关注、 风险权重最大的经营风险进行审计。 其次工作重 心为总行和分行的重大风险、 重大决策事项和发展战略、 财务信息披 露、风险管理过程与内控系统的健全性、合理性、有效性的监督、评 价。再则是开展重要岗位履职、离任审计、重大财务异常情况专项审 计，以及协调外部审计。笔者认为， 我行审计要立足本行的发展大局， 要根据我行现阶段 跨区域发展的要求，坚持风险导向审计，突出重点，把有限的审计资 源投入到我行现阶段最需要的领域中去， 具体而言， 我行当前审计工 作主要体现在以下三个方面：1. 揭示当前我行内部控制存在的重大缺陷我行跨区域经营

9、以后， 普遍存在大量经验丰富的老员工外调、 大量还未经过我行企业文化熏陶的新员工引入、 对异地市场环境的不熟 悉、管理半径短时间内急剧加大、 总行管理人员的综合素质有待于进步提高等问题， 这些问题一方面使得我行原有的内部控制措施开始 失灵、失效，另一方面使得原有的内部控制缺陷被进一步放大，这两 方面都有可能对我行的发展带来巨大风险， 我行审计部都需要给予重 点关注。为此，审计部需要定期对全行各项内部控制措施进行全面评 估，及时发现全行内部控制存在的重大缺陷， 并提出改善内部控制的 有效建议，防范可能存在的潜在风险，为全行的快速发展保驾护航。2. 发现当前本行可能存在的系统风险银行作为经营货币的

10、特殊企业， 其本身面临的风险与其他行业相 比要大。虽说风险是银行每天营业都必须面对的， 但是不同种类的风 险对于银行影响是不同的。损失一户 1000 万元的贷款，就财务能力 而言，我行可以承受，只要没有员工参与，对我行的影响也是小的、 有限的，但是如果贷款损失金额同样为 1000 万元，且涉及几十户有 关联的贷款户，那么这一系列贷款将会在社会公众、政府部门、监管 部门心中产生对我行极不好的负面影响， 这可能将直接影响我行跨区 域发展的大局。 诸如小额重帐此类计算机系统风险也是如此， 涉及成 百上千甚至上万客户，负面影响巨大。相对于个体风险而言，系统风 险涉及面更广， 更容易引起各方面的关注，

11、特别是处于信息快速传递 的现在，其影响面之广、影响程度之深， 其造成的声誉风险是巨大的， 可能我行花费很大精力、时间、成本才有可能挽回。3. 加强对员工道德风险的查处纵观近年来我行发生的重大事件， 可以发现这么一个共同点： 几 乎每起事件背后都有银行内部员工参与， 监督管理存在或多或少的问 题，我行制定的严密内部控制措施在内外勾结的情况下统统失效。 众 所周知，银行从业人员需要经常与金钱打交道， 时刻都要面临来自各 方面的诱惑，不管采取什么样的措施都很难保证每位银行从业人员能 经受住这些诱惑， 因此加强对员工道德风险的监控是银行内部审计部 门重要的日常工作。 这一点对我行审计部门尤为如此， 因

12、为相对其他 全国性的商业银行而言， 当前我行处于快速扩张时期， 人员积聚膨胀、 流动性较大、社会背景较为复杂。在这种背景下，我行审计部门加强 对员工道德风险的监控就显得更加重要。 在高管离任审计等工作中强 化对高管的账户资金往来进行排查也是这个道理。三、当前我行审计工作应该如何做？针对当前我行所处的发展阶段， 结合内部审计的工作重点， 笔者 认为当前我行审计应着力在牢固树立内部审计为业务发展服务的理 念、全面推行计算机辅助审计、 从单一审计方法到复合型审计方法的 融汇贯通、加强沟通交流实现审计作用最大化、加强审计队伍建设、 加强内部审计与外部审计合作、 推行审计结果公告制度不断加大审务 公开力

13、度、 将审计成果运用到领导干部的任用及考核中、 建立审计整 改考核指标纳入被审计单位年度考核中、 打造具有桂林银行特色的内 部审计品牌等十个方面下功夫，进一步提高审计效果，为本行持续、 快速、健康、稳定的发展提供保障。1. 牢固树立内部审计为业务发展服务的理念审计部作为我行内部的一个部门， 其根本目的是为我行的业务发 展服务，脱离我行业务发展谈审计工作，是完全不现实的。为此，我 行审计人员应该牢固树立内部审计为业务发展服务的理念， 不要就审 计谈审计， 要站在审计之外去看待审计所发现的各种问题， 积极主动 扩大自身的视野， 密切关注本行业务发展的各种动态， 对于决策层已 经意识到的风险， 要准

14、确评估风险的大小， 对于决策层暂时还未意识 到的风险，要以决策层所能理解的方式，全面、清晰、准确的上报给 决策层，为我行决策层的各项决策提供有价值的参考建议。 与此同时， 我行的内部审计工作应该在每个项目、每类型项目结束后进行总结， 向相关业务条线、管理条线的部门提出整改建议，并且督促落实；另 一方面应该按年编写屡查屡犯汇编， 以此对前台的业务做有针对性的 指导和规范。2. 全面推行计算机辅助审计与生产性企业相比， 银行经营的一个最大特点就是每天都会产生 海量的信息， 依靠人工对这些海量信息进行检索与分析， 那是根本不 可能的。且我行现在多数查询、比对、分析的工作都需要审计部门投 入大量的时间

15、和人力才能梳理出结论。 在这种情况下， 只有借助计算 机技术强大的数据处理能力， 才能有效对银行产生的海量数据进行检 索与分析， 对相关数据进行比对和分析。 计算机辅助审计就是借助计 算机技术， 按照预先设定好的审计经验模型， 对海量数据进行全面分 析，为现场审计提供审计方向和重点，实现审计的精确定位，以此提 高审计的质量和效率。利用计算机技术开展非现场审计，能够及时、有效、准确的发现具有一定数据特征的各类违规问题， 实现审计覆盖 面 100%，精确定位审计方向与重点，大大提高审计效果与效率。首先要建立实时监测系统， 审计部门可以掌握部门、 单位的资金 运用及人员的经济活动数据， 并从中发现或

16、揭露可能存在的问题， 从 而起到防范作用。 这样的实时监测如与经济责任审计相结合， 更能充 分发挥经济责任审计对领导干部进行监督、 考核的意义。 经济责任审 计的内容不是一成不变的，各个时期，审计的侧重点有所不同。一是 国家政策监控的关注点； 二是资金使用的集中点； 三是制度监管的疏 漏点，如单位发展过快而管理相对滞后的部门或业务领域； 四是经济 活动关键点。与经济责任审计关联的实时监测系统应该按照这几个审 计关键点， 设置监测的关键环节和主要指标， 通过与实时监测系统中 存储的参照指标进行比较， 为审计人员提供相关警情信息， 以便于及 时发现任期中存在的问题。其次是，要建立智能预警系统，自动

17、对实 时监测系统传来的数据进行计算分析， 结果以特殊形式 （即不同的警 度对应不同的报警信号） 传送到审计部门， 主动向审计人员发出提示， 帮助审计人员发现潜在的问题。 为了更好的发挥审计信息化对预警系 统的支持作用， 应将审计信息系统与信贷系统、 工资管理信息系统等 实现对接，实行信息共享， 为审计信息系统建立健全预警指标提供数 据支持。3. 从单一审计方法到复合型审计方法的融汇贯通审计方法很多， 既可以采取诸如普遍调查、 抽样调查、重点调查、 分析研究、 召开座谈会等调查方法进行调查， 以掌握总体情况和问题线索。也可以通过诸如检查、观察、查询等传统的审计方法来核实问 题，以获取真实性强、准

18、确性高的重要证据。也就是说，在严格遵守 审计程序的前提下， 审计调查能将上述具体的技术方法有机地结合起 来运用，丰富了审计调查方法，比一般的审计方式，工作效果和调查 效率更加明显。 如在运用常规审计方法的同时， 推广以账户为基础和 以资金流为主线的审计方法，抓源头，掌握资金流向。而且内部审计 还可以根据事先确定的某一专题， 或根据审计发现的线索， 有的放矢， 广泛地开展调查， 以达到解决问题的目的， 既可以围绕领导关注的焦点、热点和监管部门关注的难点有针对性地确定专项审计调查的题目，又可以根据审计中发现带有普遍性、倾向性问题，组织人员在更11大的范围内进行专门调查，从而达到理想效果。4. 加强

19、沟通交流，实现审计作用最大化加强沟通交流就是要实现对有关信息的科学管理，通过数据库、模型库、方法库，对信息及时予以识别、获取和加工，并便于审计部及其员工在履行其职责时使用这些信息， 保证内部审计信息在上下审 计机构之间得到有效传递。建立统一的信息管理平台，将内部管理、 项目实施的组织、依据、经验等各项信息集中归纳，供全系统共享和 借鉴。给予内部控制丰富的信息资源和最终的决策支持。 因此审计部 门还要加强与合规风险管理、 纪检监察部门的联系， 以期达到资源共 享的目的。一方面，要将审计检查、外部监管机构发现的问题及时向 风险管理部门通报， 便于风险管理部门全面掌握风险状况； 另一方面， 要根据风

20、险管理、纪检监察部门提供的风险管控重点、要点，为审计检查提供方向。此外，根据审计部门的独立审计职责，还可以对风险 管理、纪检监察部门的履职情况进行审计检查， 督促其提高风险管理、 纪检监察的有效性，切实履行各自职责。5. 加强审计队伍建设审计人员综合素质高低直接影响审计工作质量， 加强员工队伍建 设，提高审计人员综合素质是我行审计部门重要的日常性工作， 需要就做好他们长抓不懈， 只有高素质的审计人才才能做出高水平的审计工作。 怎样 才能招到高素质的审计人才呢？一个是发现审计好苗子， 的思想工作， 直接抽调； 二是改变审计人员薪酬激励体系和考核管理 办法，借监兰州银行模式，由董事长、监事长考核打

21、分，不再由被审 计单位对审计人员考评打分； 三是理顺审计人员职业上升通道， 解决 后顾之忧。 为促使广大审计人员自主学习， 同时也为我行审计工作提 供人才储备， 满足我行跨区域发展对审计人才快速增长的需要， 可以 根据审计人员的业务素质， 对全行审计人员实行等级管理； 积极鼓励 广大审计人员参加注册会计师、 国际注册内部审计师、 中级审计师等 各类关于审计证书方面的考试， 通过考试促进审计人员对审计业务的 学习，并将各类考试结果作为审计人员等级评定的条件之一； 按照银 行业务种类的不同， 组织经验丰富的审计人员撰写各类审计经验， 建 立审计经验共享机制， 这对于刚从事审计工作的人员快速掌握必要

22、的 审计技术和方法、 全面提高我行行内所有审计人员的业务水平有着非 常重要的意义；组织审计人员有针对性参加各级内审协会组织的审计 培训，学习审计业务知识；定期举办本行审计人员研讨会和培训班， 邀请有关专家和审计经验丰富的审计人员授课，传授审计相关经验； 适时组织审计人员参加各项业务知识培训与资格考试， 促使审计人员 加强对本行各项业务知识的学习。6. 加强内部审计与外部审计合作内部审计可以通过审计工作对我行面临风险的深入了解， 来帮助 外部审计对我行有效地进行财务报告的审计， 而且内部审计和外部审 计共享对我行风险分析的信息。 内部审计还可以选择合作审计、 部分 外包等方式进行审计。通过聘请有

23、关专家，开展合作审计，借助他们 丰富的专业知识， 既可以提高审计结果的可信度， 又能够节省审计人 力成本和时间，还可以更好的实现信息交流，实现合作共赢。7. 推行审计结果公告制度，不断加大审务公开力度实行审计结果公告制度， 有利于增强审计的透明度， 扩大审计的 影响力，有利于发挥审计监督在银行发展中的威慑作用。经常公布、 通报审计信息，定期公布审计报告，让全行员工了解内部审计，内部 审计的权威和威信就会提高， 员工也会帮助支持内部审计， 及时提供 内部审计线索。通过对审计发现的披露，警示全行员工引以为鉴，有 效发挥警示作用。8. 将审计成果运用到领导干部的任用及考核中积极探索新举措，采取新办法，充分发挥内部审计的职能优势， 认真