银行内部审计及监管当局与审计师的关系

银行内部审计及监管当局与审计师的关系引言1、巴塞尔银行监管委员会（以下简称委员会）一直致力于研究银行监管问题，并通过制定鼓励稳健做法的指引来提高监管水平。

制定银行内部审计及监管当局与内、外部审计师关系这一文件是这项长期工作的一部分。银行完善的内部控制必须得到有效且能够独立评价内部控制体系的内审部门的支持。另一方面，外部审计师也能为这一过程的有效性提供重要的反馈信息。银行监管者要求有效的政策和惯例应得到遵守，管理层要对内、外部审计师发现的内部控制薄弱环节采取了恰当的改正措施。最后，监管者、内部审计师和外部审计师的合作将提高监管的有效性。2、尽管本文中规定的各项原则只有放在具体的监管框架内才能得以实施，但原则力求能够得到普遍的应用。关于现场和非现场监管技术的使用，各国之间有明显的差异。同样，在监管中使用外部审计师的程度也有较大的区别。尽管各国监管当局到底选择何种方法取决于上述因素，但委员会全体成员都赞同本文提出的原则。3、本文提到的管理组织结构是由董事会和高级管理层组成的。委员会意识到，董事会和高级管理层的职能在各国的法律和监管框架下存在明显差异。在有些国家，董事会的主要职能（也许还包括其它职能）是监督执行主体（管理层）以确保后者履行职责。出于上述原因，在某种情况下它也被称作监事会[1]，这就意味着董事会没有执行职能。相反，在其他国家，董事会在设置银行管理层的总体框架方面有宽泛的职能。由于存在这些差异，本文中使用董事会和高级管理层的概念并非为了界定两者的法律内涵，而是为了明确银行内部的两种决策方式。在适用本文提出的原则时，应考虑各个国家公司治理结构的具体情况。另外，参阅委员会1999年9月出版的《加强银行机构的公司治理》[2]一文可能会有帮助。4、本文可被视作监管当局的基础性指引，它阐明了银行监管当局对银行内部审计及监管当局与内、外部审计师之关系的看法。委员会支持国际上协调和改进内部审计标准的努力，并提倡在制定国内和国际内部审计标准时应充分考虑审慎性问题。5、按照本文阐明的原则建立和运行的银行内部审计有助于银行监管当局工作的开展。强有力的内部控制，包括内部审计和独立的外部审计，是良好公司治理的一部分，它能反过来促进银行管理层与银行监管者之间形成高效的、协作的工作关系。对银行管理层和银行监管者来说，有效的内部审计是关于内部控制体系质量很有价值的信息来源。6、本文阐明的原则适用于银行（包括属于银行集团的银行）和子公司主要是银行的控股公司。7、本文详尽说明了委员会1998年发布的《银行机构内部控制体系框架》[3]一文中的政策指引，特别是内部审计的原则。基于现代先进的内部控制框架，1998年的框架在评价银行的内部控制方面提供了重要的国际监管指引。内部审计的定义8、1999年6月，内部审计师学会董事会通过了内部审计的如下定义：“内部审计是一项独立、客观的咨询活动，用于改善机构的运作并增加其价值。通过引入一种系统的、有条理的方法去评价和改善风险管理、控制和公司治理流程的有效性，内部审计可以帮助一个机构实现其目标。”9、对于客观性和公正性的需要（这一点对于银行业内审部门尤其重要）并不一定排除内审部门参与咨询或建议工作的可能性。由于需要对决策行为进行控制，为确保管理层作出有根据的决策，建议高级管理层完善内部控制常常是一种节省成本的做法。但是，其他形式的建议或咨询应当是内部审计基本职能的辅助性工作，因为内部审计是一项银行内部的独立评估工作，用于审查和评价银行的内控体系（包括对财务报告过程的控制）。同时，即使内审人员已经建议高级管理层如何设置内部控制，他们也可就高级管理层直接或指导下建立起来的内控体系作出分析和评判。10、有的银行已经选择引入对控制的自我评估体系。这可以描述为一种正式的书面流程，管理层和（或）工作班子可以通过这一流程分析其活动的运行情况，并评价相关内控程序的效率和有效性。这种自我评估也许是评价内部控制效率和有效性的实用技术，但它还不能替代内部审计。内部审计的目标和任务原则1、银行董事会对确保高级管理层建立和实施以下方面负有最终责任：适当而有效的内部控制体系；评估银行各种业务风险的检测体系；风险与银行资本的联系机制；监测合规性的恰当方法。董事会应至少每年对内控体系和资本评估程序进行一次审查。11、董事会应经常核实银行是否建立了一套恰当的内控体系以确保业务活动有序、审慎地开展，还应定期核实银行是否建立了一套风险与银行资本的联系机制。最后，董事会应确保银行有一套规程，用于：识别和充分控制在追求商业目标过程中发生的风险；测试财务信息和管理信息的完整性、可靠性和及时性；监测合规性。原则2、银行的高级管理层应负责建立一套流程，用于识别、计量、监测、控制银行承担的风险。高级管理层应至少每年向董事会报告一次内部控制体系和资本评价程序的覆盖范围和运行情况。12、高级管理层应维持一套责任、权力和报告关系清晰的组织架构，并确保下放的职责得以有效履行。高级管理层也应负责开发识别、计量、监测和控制风险的风险管理流程。最后，高级管理层还要制定恰当的内部控制政策，并监测内部控制体系的充分性和有效性。原则3、内部审计是持续监测银行内控体系及内部资本评估程序的一部分，因为内部审计可以为银行制定的政策及流程是否适当和合规提供独立的评估。这样，内部审计才能支持高级管理层和董事会高效地履行他们的上述职责，并取得成效。13、通常来看，内部审计的范围包括：-检查和评价内控体系的适当性和有效性；-审查风险管理流程和风险评估方法的适用性和有效性；-审查管理和财务信息系统，包括电子信息系统和电子银行业务；-审查会计记录和财务报告的准确性和可靠性；-审查妥善保管资产的措施；-审查与预期风险相关的银行资本评估系统；-评价业务活动的经济性和效率；-测试各种交易及其内控程序的运行情况；-审查应合规要求和政策程序的执行要求而建立的各项制度；-监测向监管当局提交报告的可靠性和及时性；-执行特别调查。14、高级管理层应保证内审部门能完全了解最新发展情况、业务创新以及产品和操作方面的变化，以确保尽早识别所有相关的风险。内部审计的原则永久性功能——持续性原则4、每家银行都应建立常设的内审部门。高级管理层应采取一切必要的手段，建立一个满足其规模和业务需要的的内审机制。这些手段包括提供恰当的物质条件和人员配备使内部审计能完成其目标。15、在大型银行和从事复杂业务的银行，内部审计一般应当由拥有专职工作人员的内审部门来完成。小银行的内审活动则可以外包给承包商。有的国家允许小银行可采用一套对关键内控环节进行独立审查的系统。16、本文给出的关于内审部门的指引同样适用于外包的内部审计活动。17、关于第4条原则对集团的适用问题将在第9条原则中进行讨论。独立性原则5、银行内部审计必须独立于被审计的活动，也必须独立于日常的内部控制程序。这意味着内部审计应在银行内部具有恰当的地位，以便客观、公正地执行任务。18、内审部门必须能够对银行的所有部门、制度和职能自主地采取审计行为，必须自由地报告发现的问题和作出的评价，并在内部进行披露。根据公司治理结构的不同，独立性原则要求内审部门在银行首席执行官或董事会或其审计委员会（如果有的话）的直接控制下开展工作。19、内审部门负责人应有权根据各家银行在其审计章程中界定的规则，自主地决定在合适的时候直接与董事会、董事会主席、审计委员会（如果有的话）成员或外部审计师进行沟通[4]。例如，内审部门负责人可以报告银行管理层违法违规决策的情况。20、独立性也要求内部审计师不应与银行有利益冲突，避免利益冲突的补救方案也应与内部审计的目标一致。内部审计应接受独立审查，这种审查可能由独立的一方来执行（比如外部审计师），也可能由审计委员会（如果有的话）来完成。审计章程原则6、每家银行都应有一部内部审计章程以强化银行内审部门的地位和权威。21、审计章程至少应确立：-内部审计的目标和工作范围；-内审部门在本机构中的地位及权力、职责和与其他控制部门的关系；-内审部门负责人的职责。22、章程应由内审部门拟定并定期审查，由高级管理层批准，然后经董事会确认（作为董事会监督职能的一部分），如果有审计委员会的话，一般由审计委员会进行确认。23、在章程中，银行高级管理层应赋予内审部门自主权，并授权它在执行任务时可以采取以下措施：直接与任何人员进行沟通；检查银行的所有活动或实体；获取银行所有的记录、档案或数据（包括所有咨询和决策主体的管理信息和会议记录）。24、章程应说明在哪些条件和情况下可以要求内审部门提供咨询和建议服务或执行其他的特别工作。25、章程应在整个机构中进行传达。公正性原则7、内部审计应当具有客观性和公正性，这意味着它应当可以不带偏见且不受干扰地执行任务。26、客观性和公正性要求内审部门自身力求避免一切利益冲突。为达到这一目的，内审部门的工作人员在可行的情况下应定期进行轮换。内聘审计师不应审计其在最近12个月内从事过的业务活动和工作过的部门。27、公正性要求内审部门不介入银行的业务，也没有对内部控制方式的选择权和实施权，否则它不得不承担责任，这会损害内审部门作出判断的独立性。28、但是，公正性的要求并不排除高级管理层可能会就一些与需要遵循的内部控制原则相关的特别事项向内审部门征求意见。例如，高级管理层出于效率的考虑，可能在考虑重大重组、启动重要的或高风险的新业务活动、出台新的高风险业务计划、建立和重组风险控制体系、信息管理系统以及信息技术系统时征求意见。然而，这些手段最终的形成和实施仍然是管理层的责任。但是，这种咨询职能只能是一种辅助性的工作，它决不能妨碍内审部门的基本职责和独立性。最终的内部审计报告可以包括对相关不足与薄弱环节的意见以及改进内部控制的建议。专业能力原则8、内部审计师和内部审计部门整体的专业能力是银行内部审计正常发挥作用的根本。29、内部审计师的专业能力、从业动机和持续培训都是保证内部审计有效性的先决条件。评估专业能力必须考虑审计工作的本质，以及审计师信息收集、审查、评价和交流的能力。基于以上因素，在评价审计人员的能力时还应考虑，金融业的发展所带来的不断增长的银行业务技术复杂性和内审工作多样性。30、专业能力，特别在内审部门工作的知识和经验，应得到特别重视。这就意味着，内审部门作为一个整体必须具备足以胜任检查银行所有活动领域的能力。31、长期从事类似或日常的工作，可能对内部审计师作出正确判断的能力有负面影响。因此在可行的情况下，建议在内审部门内部进行人员轮换。但这种轮换必须采取不损害内部审计师独立性的方式。32、每位员工都有权获得系统的持续培训以保持专业能力。内审部门所有工作人员都必须充分了解在审计技巧和银行业务方面的最新知识。审计范围原则9、银行的所有业务和所有实体都应纳入内部审计的范围。33、所有银行业务和实体（包括分支机构和子公司以及外包的业务活动）都应受到内审部门的审查。只要与分派的任务有关，内审部门就应当有权获得银行的任何记录、档案和数据，包括管理信息及咨询和决策主体的会议记要。34、一般来说，内部审计的范围应包括检查、评估内控体系和职责履行方式的有效性及适当性。这在许多方面代表了银行内控体系的风险分析。35、内审部门尤其还应评价以下内容：-银行的合规性和风险控制（包括可量化和不可量化的内容）；-财务和管理信息的可靠性（包括完整性、准确性和全面性）和及时性；-电子信息系统的连续性和可靠性；-人事部门的运作。36、内审部门应当充分重视涉及银行业务活动的法律和规章，包括监管当局发布的关于银行组织架构和经营管理方式的政策、原则、规则和指引。但是，这并不意味着内审部门应承担合规职能。37、有些银行建立了控制和监测银行特定业务或实体的独立部门。这些部门是内控体系的一部分，因此他们的存在并不能代替内审部门对那些特定的业务或实体进行检查。但是，考虑到效率问题，内审部门可以在开展工作时使用各个控制部门报告的信息。尽管如此，内审部门仍然应负责对银行业务和相关实体内部控制的运行情况进行检查及评价。38、如果银行有重要的海外分行，内审部门就应考虑成立当地办事处以确保其工作的效率和连续性。这种当地的办事处应当是银行内审部门的一部分，并且应当按照一种与本文列明的原则一致的方式组建。39、作为独立的法律实体，银行或非银行子公司应依照本文规定建立健全其内部控制及内部审计。在这些子公司中，内审职能可由母公司的内审部门行使，如果子公司设有自身内审部门，后者应当向母公司的内审部门报告。在这种情况下，母公司应采取一切必要的手段（但不能违背当地法律和监管规定）以确保其内审部门可以不受限制地接触子公司的所有活动和实体，并按合理的时间间隔开展现场审计。40、如同对子公司一样，对海外分行的内审政策应当由总行在不违背当地法律法规条款的前提下集中制定。总行应当为整个集团制定审计制度。总行的内审部门应当参与当地内部审计师的招聘和考核工作。41、在比上述情况更为复杂的集团架构中，内审部门同样应当按照与本文列明原则一致的方式组建。银行内部资本评估程序原则10、在银行内部资本评价程序的框架中，内部审计应经常对银行开发的涉及风险大小与资本水平的风险管理系统开展独立的审查，内部审计还应独立对监测内部资本政策执行情况时所采用的方法进行审查。42、银行的风险识别和资本评估流程不同于风险管理流程，这种风险管理流程专门用来处理不同领域的风险，以求实现最大化风险回报。43、银行应当清楚地指定负责审查资本评估程序的人或部门。这项工作可能由内审部门完成，也可能由足够独立于银行业务活动的另外的人或部门来完成。44、监管者对银行内部的资本充足性评估体系和遵守监管资本充足率情况的评价和审查可能利用内、外部审计师的工作，如果他们为上述目标恰当地开展了工作。内部审计的运作审计的工作方式和类型原则11、内部审计工作包括制定审计计划，检查和评估获取的信息，就审计结果进行沟通，并跟踪整改建议的落实情况及其它问题。45、内部审计有不同的类型，包括下列但不限于：-财务审计，其目的是评估会计体系、会计信息和形成财务报告的可靠性；-合规性审计，其目的是评估合规体系的质量和合理性；-操作审计，其目的是评估其他系统和程序的质量和合理性，以批判性的态度分析组织结构，评价与任务相关的资源是否充分、方法是否恰当；-管理审计，其目的是评估管理层在实现银行目标过程中采用的风险控制手段的质量。46、内审部门应将银行在其所有实体中的活动作为一个整体来检查和评价。因此，他不能盯住某种单独的审计类型，而应根据要达到的审计目标采取最合适的审计类型。而且，内审部门不应局限于审计银行内部各个部门，它还应当特别注意审计银行所有实体中开展的银行业务。对风险的关注和审计计划47、内审部门的管理层应为将要执行的所有任务准备一份计划。这份审计计划应包括将要开展的内审工作的时间和频率，并以系统的风险控制评估为基础。对风险控制的评估体现了内部审计师对机构的重要活动及与之相联系的风险的理解。内审部门的管理层应当以书面形式确立风险评估方法的原则，并经常进行更新使之能反映内部控制或工作流程体系的变化，并把新业务纳入其中。风险分析应检查银行所有的活动和实体，以及完整的内部控制体系。在风险分析结果的基础上，应制定一套未来几年的审计计划，其中应考虑银行活动固有的风险程度。这份计划还应考虑可预期的发展和创新、新业务固有的高风险、在合理的时间段（审计周期原则，比如三年）审计所有重要活动和实体的目的。所有这些考虑将决定要执行的审计任务的深入程度、特征和频率。48、内审部门的审计计划必须现实可行，也就是说，它必须包括对其他任务和活动的时间预算，比如专项检查、提出整改建议和培训。审计计划包括一份详细说明必需的人力和其他资源的报告。对于人力资源来说，不仅要考虑人员数量，还应考虑必要的专业能力。审计计划应当根据需要经常完善和更新。49、审计计划应由内审部门制定，并由银行首席执行官或董事会（或其审计委员会，如果有的话）批准。这种审批表明银行将为内审部门提供适当的资源。程序50、每一项审计任务都应准备审计方案，审计方案描述了审计工作的目标，以及为达到审计目标所必需的工作要点。制定审计方案是一种相对灵活的做法，应当根据识别的风险来修订和完善。51、审计过程应作为审计任务的一部分全部记载在工作底稿上。工作底稿必须反映检查情况，并突出对检查事实的评价。工作底稿必须根据适当的方法填制，这种方法必须提供充足的信息来证实任务是否被恰当地执行，并使其他人能够检查执行的方式。52、每项审计任务的书面报告应当尽快形成，并被传递给审计对象及其管理部门和高级管理层（原则上以概要的形式）。53、审计报告表述了审计的范围和目的，包括内审部门发现的问题和整改建议，也包括审计对象的意见。审计报告也应揭示在审计工作结束时形成共识的事项。内审部门应就发现的不足或提出的整改建议指明其相对重要性。54、对执行的任务和发布的审计报告，内审部门应保存档案记录。55、高级管理层应确保内审部门关注的问题得到了恰当的处理，为此，他们应批准内审部门制定一套相应的程序，如果合适的话，还应确保内审部门的整改建议得到及时落实。56、内审部门应跟踪其提出的整改建议是否得到执行。根据公司治理结构的不同，整改情况应至少每半年与高级管理层、董事会或者审计委员会（如果有的话）进行一次沟通。内审部门的管理层原则12、内审部门负责人应负责确保本部门遵守良好的内部审计原则。57、内审部门负责人应确保诸如内部审计师学会制定的《内部审计准则》[5]等良好的内部审计标准得到遵守。特别是，内审部门负责人应制定适用于内审工作人员的审计章程、审计计划和书面政策及流程。他必须确保内审工作人员具备专业能力并得到培训，同时能获得必要的资源。他还应当对审计人员的从业动机和质量意识给予特殊关注。58、内审部门应经常就内部控制体系的运行和内审部门的目标完成情况，向高级管理层和董事会或审计委员会（如果有的话）报告并提出建议。特别是，该部门应当让高级管理层和（或）董事会或审计委员会了解审计计划的进展情况。作为其监督工作的一部分，董事会或审计委员会应经常讨论内审部门的组织构架和资源（包括人力资源和其他资源）、审计计划、活动报告和内审部门整改建议及其落实情况的摘要。监管当局与内审部门和外部审计师的关系监管当局与内审部门的关系原则13、银行监管者应当评价银行内审部门的工作，如果满意的话，就能信赖该部门来识别潜在的风险领域。59、各国监管当局已经发布了各种各样覆盖银行内部控制体系的监管要求。尽管管制的程度各国可能不同，但通常都包括一些基本的原则，目标是促进健全的内部控制体系，同时也加强关于资本充足性的监管。大多数监管当局还在不同的领域，象信贷风险和其他银行业核心风险（比如外汇风险、利率风险、流动性管理、计算机和电子信息系统、衍生产品风险管理）的管理方面制定了政策、实施细则和规程。60、监管者可能采取许多方法来评价内部控制的质量，其中一种方法是评价银行内审部门的工作，包括其对高级管理层识别、计量、监测和控制风险程序的检测。如果监管者对内审部门的工作感到满意，就可能采用内部审计师的报告作为识别银行的控制问题、或识别审计师最近未审查的潜在风险领域的主要机制。原则14、监管当局应与银行的内部审计师进行定期磋商，讨论识别出的风险领域和拟采取的措施。同时，也会讨论银行内审部门和外部审计师间的合作情况。61、尽管内审部门有广泛的工作范围，但不能制定银行的政策（除非与内部控制有关），通常也不能质疑这些政策或者某种政策决定的恰当性。从审慎的观点来看，这一规定非常重要，因为不审慎的政策可能会导致损害对存款人和其他债权人的保护以及股东的利益，还可能损害信贷系统的正常运作。但是，当银行管理层做出与法律、监管法规或机构的书面政策和程序相反的决定时，内审部门应作出反应，并提示董事会或其审计委员会（如果有的话）。62、一种好的实践做法是，当银行内审部门负责人停止履行职责时，银行业监管当局应得到银行管理层就此事有关情况的及时通知。当内审部门负责人被解除职务时，银行业监管当局应考虑与其进行会晤。原则15、鼓励监管者经常与被监管银行内审部门负责人就政策问题经常开展讨论。63、一种好的实践做法是，各家银行内审部门负责人一起，就共同关心的问题与监管当局进行磋商。内部审计师和外部审计师的关系原则16、监管当局应鼓励内、外部审计师进行磋商，以使他们的合作尽可能高效和有效。64、外部审计师通过其审计活动对内部控制的质量产生重大影响，包括与管理层和董事会或审计委员会进行商讨，以及提出改进内部控制的建议。65、通常内部审计有利于决定外部审计程序的特征、时间间隔和深入程度。但是，外部审计师对于财务报告的审计意见承担唯一责任。外部审计师应当获知内部审计情况并有渠道接触相关的内部审计报告，并且了解内部审计师发现的、可能影响外部审计师工作的重大事项。同理，外部审计师通常会告知内部审计师任何可能影响内部审计的重大事项。66、内审部门负责人应确保内部审计师开展的工作不会与外部审计师有不必要的重复。双方审计工作协调的内容有：定期召开会议讨论共同关心的问题，交换审计报告和管理建议书，在审计技巧、审计方法和审计术语方面达成共识。监管当局和外部审计师之间的关系原则17、由银行监管当局执行的工作交由外部审计师执行，应当以法律和合同为基础。监管当局分派给外部审计师的任何工作都应当是其常规审计工作的补充，并应在其专业能力以内。67、正如在《国际审计实务1004》[6]一文中阐明的银行监管者与银行外部审计师之间的关系（目前正在审定），监管者和外部审计师关注的内容互为补充：监管者关于银行“稳定性”的观点是对审计师“可持续性”观点的补充；稳健的内控体系，作为安全和审慎管理的基础，是对确保财务报告质量的内控体系的补充。此外，监管者和外部审计师都应关注恰当的会计体系的建立情况。68、外部审计师的准确定位各国各有不同。但我们期望外部审计师对银行内控体系应该达到精确了解银行财务报告的程度。我们通常也希望，外部审计师确认的重要缺陷将报告给管理层，在许多国家也会报告给监管当局。高级管理层和董事会或其审计委员会（如果有的话）应确保由外部审计师出具的报告中指出的、与内部控制缺陷有关的纠正措施得到执行。这种外部审计师的早期预警职能应当放在监管者采取预防措施的总体框架中。69、在许多领域，监管者和外部审计师的工作是可以相互帮助的。监管者通过现场检查、与管理层进行会谈或其他与银行的沟通等方式获得的信息，有助于外部审计师深入地了解银行的情况。在那些外部审计师与监管当局有密切联系的国家，外部审计师经常被要求就内审部门的工作质量和运作情况发表看法。同理，管理建议书和其他报告能帮助监管者深入了解银行内部控制体系。70、在其他情况下，外部审计师可以获知一些重要信息，这些信息可能与监管者有关，或者要求监管者采取紧急行动。其中几种情况包括在ISA260《涉及公司治理的审计事项的沟通》[7]一文中。除了在ISA260中确认的情况，以下情况可能与监管者有关：-未满足银行准入要求的信息；-决策体内部的严重冲突或重要部门管理人员的意外离职；-严重违背法律法规或银行章程、审计章程或条例的信息；-审计师辞职的意向或审计师的调动情况；-银行业务风险的严重恶化以及产生潜在风险。71、许多国家都要求及时向监管当局报告上述情况。72、监管当局和外部审计师之间的关系应当建立在《国际审计实务1004》（目前正在审议）提出标准的基础之上。特别重要的是，对于外部审计师为监管者承担的所有工作，银行和监管者之间应当有法律依据或合同约定，这些依据或约定中应当有保密条款。同样重要的是，外部审计师为监管者承担的工作必须是对其常规审计工作的补充，并且在其专业能力范围以内。监管当局对外部审计师的要求必须作出明确界定。73、在一些国家，外部审计师的角色延伸到承担监管者特别关注的其他工作，比如：-审查银行填报监管报表的方法；-评估组织和内部控制体系的恰当性；-评估银行的合规性；-评价银行的内部控制体系（包括内审部门）；-发表银行遵守会计政策情况的意见。74、法律应当保证外部审计师不因为认真、依法地向监管当局透露信息承担责任。75、监管当局可能拥有外部审计师感兴趣的信息，这些信息可能有助于外部审计师理解监管者关注的问题，或者可能对其审计工作或其他报告责任产生重大影响。重要的是，为使监管者更好地达到其目标，应该存在合法渠道使监管者能够向外部审计师披露这些信息。监管当局、外部审计师和内部审计师之间的合作原则18、监管当局、外部审计师和内部审计师合作的目的，是使各方的工作效率更高和效果更好。这种合作可以采用监管者、外部审计师和内部审计师定期举行会议的方式。76、合作的目标是使三方的工作效率更高、效果更好，这样每一方都能集中精力履行自身的职责。77、在有些国家，这种合作建立在监管当局和内、外部审计师之间举行定期会议的基础上。监管者可以考虑让高级管理层适当地参加这些会议。在会上，每一方都会提供共同感兴趣的领域的信息，并且对将要检查的领域和工作时限给予特别关注。而且，所有三方都会讨论机构对内、外部审计师整改建议的执行情况。78、合作以银行、外部审计师和监管当局之间的信任为前提。没有信任就不存在合作。因此，监管当局希望银行高级管理层及时报告对银行产生重大影响的决策、事件和发展情况。审计委员会定义79、审计委员会一般被作为董事会的一个委员会，通常由独立于管理层的非执行董事组成。但其特征和名称国与国之间不同。原则19、常设审计委员会可以解决董事会在建立和维持一套有效的控制体系时面临的实际困难。此外，这样一个委员会可以强化内控体系和内、外部审计。因此，鼓励银行成立一个常设的审计委员会，特别是当银行从事复杂的业务活动时。银行的子公司也应考虑在其董事会中成立审计委员会。构成、权力和运转80、在成立审计委员会时，董事会应制定专门的书面章程，指明审计委员会的构成、授权和职责，也包括向董事会的报告路线。这份文件应由董事会批准，并定期审查和更新。81、审计委员会应至少包括三名非现任或前任高级管理层成员的董事会成员。如果当地法律或规章允许高级管理层成员进入审计委员会，他们不应在委员会成员中占多数。审计委员会成员应具备与其职责相适应的背景，至少一名成员应当具备财务报告、会计或审计方面的背景。为提高效率，可以允许下列人员经常参加审计委员会的会议：首席执行官或一名高级管理层成员，内审部门负责人和外部审计师。82、审计委员会有权获得任何必要的数据或记录并要求开展任何调查。审计委员会应经常向董事会报告。其他相关方面83、审计委员会鼓励董事会成员、高级管理层、内审部门、外部审计师和监管当局之间的沟通。84、内部审计章程和审计计划，以及所需的资源（包括人员和工具）应得到审计委员会认可。审计委员会还要听取审计活动报告和主要内部审计师个人的建议以及管理层的整改计划。85、外部审计师应向审计委员会提交其审计工作计划，并告知审计委员会审计结论和整改建议。86、审计委员会通常会讨论：-内部控制体系的运转；-内审部门的活动；-本年度内、外部审计所涉及机构的营运风险；-提供给管理层和外部使用者的财务信息的可靠性和准确性；-内、外部审计识别的所有重大的会计或审计方面的问题；-银行在法律和监管规定，银行章程，审计章程，条例，以及董事会制定的规则方面的合规性。87、审计委员会应向董事会提出任命外部审计师的建议。审计委员会通常会决定任命外部审计师的规定，并定期对这些规定进行审查。88、有的监管当局希望经常与每家银行审计委员会主席举行会议，以增强其对银行公司治理和营运体系的理解。这些会议为审计委员会主席讨论其关注的银行管理问题提供了机会，并使监管当局能够了解审计委员会的有效性。内部审计的外包定义89、内部审计的外包安排是一家机构与提供内审服务的外包商之间的合同。90、一方面，特别是当内审活动的外包是基于有限的和明确的目标时，它会带给银行明显的好处，比如获得机构内部本来无法获得的特殊审计项目的专业技术和知识。另一方面，外包可能会给银行带来风险，比如失去或减少对外包的内部审计活动的控制。这些风险需要进