商业银行内部审计手册

商业银行内部审计手册纲要前言一、内部审计总体工作1、内部审计指引与内控管理要求2、内部审计监管评价3、典型处罚案例二、内部审计机构设置、制度设计、人员管理1、内部审计机构设置2、内部审计制度设计3、审计中心4、内审人员管理5、典型处罚案例三、审计工作与审计方式1、全面审计2、专项审计3、远程审计4、审计强度（频率）5、审计系统6、监审联动7、典型处罚案例四、内部审计与公司治理1、审计委员会2、监事会3、高管任职资格4、高管履职评价5、离任审计6、绩效薪酬7、关联交易8、资本管理9、并表管理10、外审管理11、信息披露12、典型处罚案例五、商业银行风险管理中内部审计监管要求1、全面风险2、操作风险3、市场风险4、流动性风险5、集中度风险6、声誉风险7、国别风险8、压力测试9、风险分类10、典型处罚案例六、商业银行业务管理中内部审计监管要求1、授信2、授权3、贷款4、存款5、理财6、衍生品7、银行卡8、保理9、电子银行10、代理销售11、运营管理12、票据13、同业业务14、外汇业务15、表外业务16、交叉金融17、私人银行18、资产托管19、境外业务20、典型处罚案例七、信息科技与外包管理1、信息科技2、外包管理3、典型处罚案例八、消费者权益保护1、消保工作2、消保评价3、服务收费3、典型处罚案例九、合规案防1、合规管理2、案防工作3、员工管理4、反洗钱5、典型处罚案例十、差异化监管1、国有大型银行2、股份制商业银行3、城市商业银行4、农村中小金融机构

前言商业银行内部审计作为“三道防线”中最后一道防线，对银行稳健运营起到压舱石的保障作用。内部审计隶属于董事会主管、监事会协管，审计工作区别于二道防线合规管理、风险管理的重要点在于审计稽核对银行机构制度、流程、系统等层面开展高屋建瓴式的建议。银行机构通过内部审计工作对全行日常内部管理进行系统性完善。《商业银行内部审计手册》分为十篇分别是一、内部审计总体工作，二、内部审计机构设置、制度设计、人员管理，三、审计工作与审计方式，四、内部审计与公司治理，五、商业银行风险管理中内部审计监管要求，六、商业银行业务管理中内部审计监管要求，七、信息科技与外包管理，八、消费者权益保护，九、合规案防，十、差异化监管。《商业银行内部审计手册》编写来自于银保监会监管规定与处罚案例。通过审计稽核业务处罚案例分析撰写对应提升审计工作质量重点措施，为银行业金融机构审计稽核工作人员日常工作开展提供积极帮助。一、内部审计总体工作1、内部审计指引与内控管理要求2016年，银监会颁布《商业银行内部审计指引》。银监发〔2016〕12号文废止沿用10年《银行业金融机构内部审计指引》。2016版《商业银行内部审计指引》主要对7个方面进行了修订。2016版内部审计指引的八大特点：一是强化商业银行内部审计的独立性；二是完善内部审计组织架构；三是强化商业银行内部审计制度建设；四是明确商业银行内部审计工作流程；五是对内审活动外包加以规范；六是明确监管评估的机制安排；七是对银行集团提出差异化要求，八是对村镇银行提出差异化要求。2006版银行业金融机构内部审计指引制定之处，国内尚未有村镇银行、银行集团等组织形式，监管制度存在空白。此外审计外包方面，2006版仅规定内部审计部门根据工作需要，经董事会批准后，可将部分内部审计项目外包，但需事先对外包机构的独立性、客观性和专业胜任能力进行评估。监管规定比较粗，对什么是独立性未做规范。2016版内审指引中明确了2种情形不得外包，监管部门重视审计独立性，通过禁止性规定防范审计活动独立性缺失的情形。2、内部审计监管评价监管部门重视银行机构审计工作，半年度、年度监管会谈中，银行机构审计部门负责人与总行高管（董事长、监事长、高管）一同出席监管会谈，对监管部门会谈中指出问题。内审部门负责人签字确认，后续撰写监管会谈整改报告上报属地监管部门。监管会谈及整改报告一式两份留存档案。监管部门对内部审计监管评价来自于两份监管文件，一是《商业银行内部审计指引》，二是《商业银行内部控制评价指南》。属地监管部门细化内部审计监管评估，笔者以宁波银保监局《股份制银行宁波分行内部审计履职评价办法》为例，监管部门对内部审计的履职评价实行百分制评价。其中内部审计独立性20分，内部审计资源充分性20分，内部审计充分性和有效性30分，内部审计报告30分。3、典型处罚案例笔者查询银保监会内审方面处罚案例，篇幅所限仅列出部分案例。2018年中国邮政储蓄银行股份有限公司渭南市分行内部审计严重违反审慎经营规则，中国银行业监督管理委员会渭南监管分局罚款350万元。

二、内部审计机构设置、制度设计、人员管理1、内部审计机构设置商业银行建立独立垂直的内部审计，内部审计机构设置属于舶来品，源自于COSO内部控制体系。从银行机构组织构架图上看，审计稽核部门隶属于董事会，监事会协助管理审计稽核部门。实际业务中，部分银行机构高管层也会干预到审计稽核部门日常工作。内审机构的独立性如何确保？《商业银行内部审计指引》规定商业银行应设立独立的内部审计部门，审查评价并督促改善商业银行经营活动、风险管理、内控合规和公司治理效果。内部审计部门与董事会、监事会、高级管理层关系图。内审机构在开展“三道防线”工作，人力资源配置隶属于行长室分管部门人力资源部、审计稽核中发现问题需要提交给行长室下辖具体部门、分支机构进行整改。内审机构对董事会负责，受到监事会监督，审计中发现问题涉及到纪律监察的需及时与纪检监察部门沟通。2、内部审计制度设计2017年，监管部门“三三四十”系列专项治理以来，监管的步调趋于“严”。2020年8月27日，银保监会颁布银保监发〔2020〕40号文，《关于印发健全银行业保险业公司治理三年行动方案（2020—2022年）的通知》中提出2020年重点加强对机构外部审计工作的规范，2021年银行业应重点完善内部审计工作机制。监管部门现场检查的第一步是要求被查机构提供银行内部制度。银保监会对商业银行开展内部审计监督检查，入场前要求被查机构提供内部制度。内部审计制度是否齐全、审计制度是否符合外部监管规定作为检查部门必查项目。内部审计制度设计采用两分类：一是审计稽核部门管理制度，二是分布在具体业务制度中。内部审计制度设计的依据来自于外部监管要求。审计稽核部门管理制度制定依据如《商业银行内部审计指引》、《商业银行内部控制指引》。分布在具体业务制度中审计稽核相关规定，监管制度依据如《商业银行表外业务风险管理指引》、《电子银行业务管理办法》、《银行业金融机构衍生产品交易业务管理暂行办法》等。3、审计中心审计中心在股份制商业银行（中信银行、民生银行、光大银行等）、农村中小金融机构（省联社）中出现的审计组织架构。2014年，中国银行业监督管理委员会办公厅出台《关于加快推进省联社行业审计体系建设的通知》。银监办发〔2014〕144号要求积极稳妥推进区域审计中心改制工作。省联社在省内的办事处改制为审计中心，如江苏省农村信用社联合社设立4个区域审计中心对辖内农村商业银行开展审计稽核工作，由于专职审计稽核人员数量不够，采用从基层农商行调用工作人员交叉审计的方法。股份制商业银行方面，民生银行设立东北、华北审计中心，中国光大银行西部审计中心等。为什么要设立审计中心？股份制商业银行、省联社管理区域大，审计中心分片区管理直接对总行（总部）负责，加强了内部审计的独立性，进而确保审计工作的有效性，防范分支机构干涉分支机构审计部门独立审计工作。4、内审人员管理内审人员管理是商业银行有效开展内审工作的保障，如何配置内审人员直接关系到内部审计是否有效，是否独立等。1）人员数量《商业银行内部审计指引》商业银行应配备充足的内部审计人员，原则上不得少于员工总数的1%。2）审计部门负责人审计部门负责人任职资格必须符合《中国银保监会中资商业银行行政许可事项实施办法》（中国银行保险监督管理委员会令2018年第5号）。不同金融机构类型还需要符合差异化监管规定，如农村中小金融机构审计部门负责人必须符合《中国银保监会农村中小金融机构行政许可事项实施办法》（中国银行保险监督管理委员会令2018年第5号）监管规定。2021年8月，通辽银保监分局不予核准内蒙古开鲁农村商业银行韩冰审计部门负责人任职资格。3）任职回避举个例子：某银行内审负责人李某（男），该银行分支机构负责人张某（女）。张某与李某为夫妻关系，两人在行内恋爱与结婚，相继被提拔到中层管理岗。案例中岗位设置将导致内审稽核独立性受到影响，审计有效性削弱。制度依据：《关于银行保险机构员工履职回避工作的指导意见》，银保监发〔2019〕50号（六）关键人员任职回避。本人与亲属不得在同一单位担任双方直接隶属于同一管理层成员的职务或有直接上下级管理关系的职务；不得在其中一方担任管理层成员的单位从事人事、财务、监察、内控、内审、风险管理、授信审批、投资决策、投资交易等工作。“同一单位”指银行保险机构关键人员所在机构本部。具有独立人事管理权限的各级直属机构、事业部等视为同一单位。4）内审条线薪酬绩效审计部门员工的薪酬应独立于所监督的业务条线，且薪酬的规模和质量应得到适当保证。内部审计人员的薪酬水平应不低于本机构其他部门同职级人员平均水平。5、典型处罚案例审计稽核部门负责人方面，湖南各地监管部门对属地银行业机构内审部门负责人开出7张罚单，7人均被处以行政警告。

三、审计工作与审计方式1、全面审计内部审计部门向董事会提交的全面审计工作报告。监管部门会对新开立机构或者重点监管机构派员参加全面审计问题反馈会议。监管部门推动管辖机构进一步建立健全内部控制，规范管理，提高合规经营意识，防范金融风险，积极推进监审联动。比如：2014年，宁波银监局监管二处派员参加恒丰银行宁波分行全面审计项目问题反馈会。根据委托审计相关要求，恒丰总行审计部联合授信管理部、合规管理部、票据管理部、运营管理部、中间业务审查委员会办公室等各条线人员组成审计组，于2014年2月至3月，对宁波分行开业两年以来的各项业务开展情况进行了全面审计。5月5日下午，恒丰银行审计组就审计发现的主要问题召开反馈会。监管二处派员参与了此次会议。2、专项审计专项审计是审计人员对被审单位特定事项进行的审核、稽查。银行机构专项审计操作风险、案件防控、激励约束、员工行为管理、网络信息安全、信息科技、理财、关联交易、不良贷款等领域。3、远程审计2020年，《关于预防银行业保险业从业人员金融违法犯罪的指导意见》指出不断更新排查工具和方法，通过远程审计、大数据筛查、反洗钱监测系统等手段排查隐蔽性强的风险案件，摸清案件风险底数，强化案防工作主体责任。商业银行经历了数据治理，银行的核心数据得到规范，为远程审计提供了数据保证。监管部门EAST模型的使用，推动了银行机构借助远程审计对定量数据开展分析。如员工账户排查、案件风险排查、反洗钱监测等，通过交易数据、影像系统、业务系统等排查可疑案件。系统建模可疑查到可疑交易，进一步核实是否真实需要借助其他系统或翻看具体业务交易凭证、资料等。4、审计强度（频率）审计强度（频率）：审计频率太高，被审计业务部门会感觉到影响业务开展。被审计机构为审计部门提供资料、后续整改等。审计频率低了，可能发现不到风险隐患或不符合监管规定。查找监管制度中审计频率规定。审计强度一是符合监管规定（必做），二是及时发现重点业务风险领域，有针对性地提高审计强度（选做，突出重点）。5、审计系统2011年，中国银行业监督管理委员会办公厅颁布《印发银行业信息科技“十二五”发展规划监管指导意见的通知》首次提出加强稽核审计系统建设。制度颁布十年了，部分中小银行未普及审计系统。如村镇银行、农村中小金融机构。商业银行采用电子化审计系统，由于监管制度变化。审计系统未及时迭代更新。比如审计系统中建模，模型的丰富和更新需要技术、人员配置。部分商业银行采取外包方式，委托外部机构制作审计系统。审计系统主要是通用版，未区分差异化监管。如大型商业银行、股份制商业银行、农村中小金融机构等在审计方面，监管部门采取差异化监管。审计系统中重点模块管理是否到位，尤其是整改。后续整改材料收集（真实性）是否校验，涉及制度、流程等是否及时修订、废止。审计系统发挥“站得高、看得远”功效。6、监审联动监管部门统一负责对商业银行审计的监督指导，双方加强沟通，建立监审联动机制，充分发挥监督合力。监审联动表现为立项联动、检查联动、整改处罚联动、风险监测联动。监管部门现场检查、非现场监管会要求被检查机构提供内审报告，从中查询疑似违规点，通过疑似违规点发现其他类似的问题。7、典型处罚案例2019年、2018年廊坊银保监分局和甘孜银监分局对辖内农村信用社未对重要风险领域开展稽核，分别开出1张罚单。此处处罚表现为审计强度、频率不符合监管规定。

四、内部审计与公司治理1、审计委员会2018，银保监会开展乱象整治工作中，监管部门指出银行机构审计委员会等专业委员会形同虚设，未实际履职或履职不到位、不充分。比如专业委员会工作时间不够，银行机构未设置专门办公场所等。1）人数与构成审计委员会成员不少于3人，多数成员应为独立董事。审计委员会成员应具有财务、审计和会计等专业知识和工作经验。审计委员会负责人原则上应由独立董事担任。2）工作时间审计委员会主任委员每年在银行保险机构工作的时间不得少于20个工作日。2、监事会监事会应当积极指导商业银行内部审计部门独立履行审计监督职能，有效实施对内部审计部门的业务管理和工作考评。此外外部审计聘用管理方面，监事会监督聘用、解聘、续聘外部审计机构的合规性。3、高管任职资格高管任职资格方面，银行机构有内部审查拟任高管任职资格的监管要求。其中独立董事任命方面，《银行业金融机构董事（理事）和高级管理人员任职资格管理办法》，中国银行业监督管理委员会令2013年第3号文规定独立董事任职情形中六种禁止情形，其中（五）本人或其近亲属任职的机构与本人拟（现）任职金融机构之间存在因法律、会计、审计、管理咨询、担保合作等方面的业务联系或债权债务等方面的利益关系。4、高管履职评价金融系统将健全公司治理作为推动银行保险机构强化风险防控、实现高质量发展的重要抓手。《银行保险机构董事监事履职评价办法》中规定银行保险机构重点关注董事在提升内部审计的有效性的工作表现。5、离任审计拟任曾任金融机构高管或平行调动向属地监管部门报送离任审计报告。2020年光大银行石家庄分行未按规定进行离任审计受到河北监管局行政处罚。6、绩效薪酬绩效薪酬方面，内部审计涉及到薪酬管理、绩效考评以及追索扣回。审计部门除了对薪酬绩效开展专项审计外，对追索扣回等负有监督责任。7、关联交易银行保险机构应当每年至少对关联交易进行一次专项审计，并将审计结果报董事会和监事会。审计结果报送董事会与监事会，涉及到部门整改的需要高管层配合落实。8、资本管理银行机构通过巴塞尔资本协议建设，构建零售内评系统，内评结果和参数广泛应用于信贷流程。商业银行资本管理方面，监管部门规定商业银行应当明确内部审计部门在资本管理中的职责，向董事会提交资本充足率管理审计报告、内部资本充足评估程序执行情况审计报告、资本计量高级方法管理审计报告。9、并表管理银行保险集团并表管理，内部审计部门要定期对集团并表管理的有效性进行审计。建立集团层面的统一风险视图，将集团范围内各类信用风险业务纳入统一授信管理体系，做好关联交易和内部交易管理，重点关注集团内部跨境、跨业、跨机构的风险传染、风险隐匿、延迟暴露和监管套利，持续加强内部防火墙体系建设。10、外审管理国际上，许多国家银行监管当局都很重视外部审计的作用和相应的管理和指导工作，如英国金融机构在委托会计师事务所前，必须通知英国金融监管当局（FSA），报送该会计师事务所的相关资料，并保证会计师事务所具备法定执业资格、审计能力、独立性等条件。外审管理方面涉及到外审机构更换，监管部门未要求必须定期更换外审机构。《银行业金融机构外部审计监管指引》对注册会计师提出更换要求，外审机构同一签字注册会计师对同一家银行业金融机构进行外部审计的服务年限不得超过五年；超过五年的，银行业金融机构应当要求外审机构更换签字注册会计师。11、信息披露信息披露作为商业银行的市场约束的方式，《商业银行信息披露办法》规定商业银行应对全面审计情况进行说明。12、典型处罚案例2019年6月，中国银行保险监督管理委员会对时任浦发银行行长开出1张罚单，处以警告并处罚款20万元。银保监会规定商业银行的高级管理层应支持内部审计部门独立履行职责，确保内部审计资源充足到位；及时向审计委员会报告业务发展、产品创新、操作流程、风险管理、内控合规的最新发展和变化；根据内部审计发现的问题和审计建议及时采取有效整改措施。

五、商业银行风险管理中内部审计监管要求1、全面风险全面风险管理方面，内审部门承担业务部门和风险管理部门履职情况的审计责任。内部审计与全面风险管理关系如图。2、操作风险在不少金融机构中,操作风险导致的损失已经明显大于市场风险和信用风险，比如巴林银行破产案。操作风险内审管理方面，一是离岗审计二是委托社会中介机构对其操作风险管理体系进行审计的，还应提交外部审计报告。比如2016年，部分银行机构委托第三方审计机构（除与银行机构签订外审协议的会计师事务所）对银行具体业务开展内部审计，发现操作风险。第三方外部审计对银行保险机构操作风险的审计有效性还是有待商榷的。操作风险审计主要还是依靠内部审计力量，原因是银行业务专业度较高与部分监管制度非公开（保密）。外审机构、律师事务所仅能看到公开类型的监管制度。部分外审人员仅学习监管制度未操作过银行系统或实际经历过具体业务，制度与实际操作容易脱节，操作风险外审有效性待商榷。3、市场风险市场风险管理方面，商业银行的内部审计部门应当定期（至少每年一次）对市场风险管理体系各个组成部分和环节的准确、