英国商业银行内部审计调研心得一

一、英国商业银行内部审计的主要特征

英国商业银行的内部审计理念、组织架构和方法体系主要有三个特征：

（一）完善的银行大监管体系为内部审计创造了良好的控制环境

控制环境是指对建立、加强或削弱特定的政策程序及其效率产生影响的各种因素。它是一种氛围，是内部控制其他要素发挥作用的基础，影响控制环境的因素是多方面的。对英国的商业银行而言，其良好的控制环境主要得益于一个完整有效的银行大监管体系。此体系由内外两个部分构成：外部监管包括金融法规、中央银行监管及银行外部独立审计；内部控制包括商业银行的内部控制制度和内部审计。内部控制分为内部会计控制和内部管理控制两个部分，它是一个过程，这个过程是通过纳入管理过程的大量控制制度及控制活动来实现的。要确保内部控制制度被确实地执行且执行效果良好，内部控制能够随时适应新的情况等，内部控制就必须被监督，在内部控制被监督的过程中，有二种活动能够发挥作用，一是“内部审计”，二是企业内部定期或不定期的“控制自我评估”，其中内部审计既是内部控制的一部分，也是监督其他控制环节的主要力量。英国大监管体系，既为英国商业银行内部审计的现实运作提供了强有力的实务指导和法律保证，也为其不断克服危机长期发展提供了理论依据和制度框架。

事实上，英国商业银行内部审计的每一次重大进展，无不留下英国商业银行所面临危机的烙印，无不得益于大监管体系的具体指导。如1984年约翰逊·马斯银行(Johnson Mathey Bank)倒闭催生的《1987年银行法》，对银行的内部审计进行了原则性的规定，同时在英格兰银行的“原则报告”(Statement of Principles)及其监管指南中规定银行内部审计机构的工作包括：检查银行的会计处理系统，其他记录体系及内部控制环境；检查内部控制系统的恰当性、有效性、涵盖范围；测试各种交易及余额的情况，每个内部控制程序的运作，以保证内控目标的实现；检查银行管理政策和方针的实施情况；以及为管理当局提供特定的调查和检查。又如1991年国际商业信贷银行(BCCl)和1995年巴林银行的破产，促使英国监管当局进一步提出了强化内部审计的指导意见：1、为了保证银行关键的问题和弱点能及时地得到解决，同时确保计划和资源配置具有全局性，内部审计必须由银行决策层成员之一直接领导和管理；2、内部审计人员应当与外部审计人员在业务方面进行密切的合作，并及时向外部审计人员通报发现的问题；3、内部审计报告应当涉及内部控制的薄弱环节，并注明管理部门相应的改进计划和时间进度表；4、英格兰银行应当与商业银行内部审计部门和审计委员会主席进行会商。正是由于大监管体系的强有力支持，保证了内部审计在英国商业银行中的合理地位，促进了其在现代商业银行风险防范领域中发挥出不可替代的作用。

(二)科学的目标定位和职责分工为内部审计发挥建设性作用提供了良好的内部保证。

德勤国际会计师事务所将英国商业银行内部审计定义为：用来评估控制的充分性和有效性并且增加价值和提高组织的运作的一个独立的，客观的确保和咨询行为。其目标定位包括六个方面的内容：1、控制体系的充分性和有效性；2、信息的可靠性和完整性；3、符合政策、计划、程序、法律和法规；4、资产的保卫；5、经济而有效的使用资源；6、目标和任务的完成。

从内部审计的上述定义及其定位来看，其职能包含两个层面的内容：一是为管理层提供全面综合的内部审计信息。这主要通过内部审计以独立和专业的方式，对内部控制系统的适当性、效力和效率以及管理的质量进行检查和评价来完成。二是内部审计应当融入经营管理全过程，但不参与决策以保持自身的独立性。也就是说，管理层负责承担设计、建立、运转银行内控系统的责任，内部审计负责承担对其工作进行分析、评价并提出建议或咨询的责任。

科学的目标定位和职责分工，保证了内部审计部门能够适应形势的变化和管理当局的新要求，逐步将工作内容从传统的查错防弊审计转向富有建设性的现代经营审计(经营活动的评价和改进)。传统内部审计的目标是查错防弊，发挥保护性制约性作用，因而其工作重点放在财务审计上。而以查错防弊为重点的内部审计既不能直接协助企业提高经济效益，增强竞争能力，又容易导致内审部门重视了细枝末节，忽略了主要风险，而且还代替管理层履行了其应当履行的职责。因此，英国商业银行内部审计部门目前很少开展诸如财务收支审计、雇员欺诈行为调查之类的制约性审计，而是将工作重点致力于改进管理效率、增加企业利润等建设性审计上。其他发达国家的情况与英国相似，据全美天然气协会和爱迪生电力协会调查，1989年美国公用行业的企业内审工作时间只有19％用于财务审计上(且还侧重于内部会计控制的测试和评价)，其余时间都转向了经营审计。反映到理论界，这一转变过程可从国际内部审计师协会(11A)颁布的《内部审计师职责说明书》对内部审计所下定义的变化中清楚地反映出来。该协会于1947年最初发布的《职责说明书》指出：“内部审计师主要处理会计和财务方面的问题，但也可以适当处理经营方面的问题。”这时，强调内部审计人员的根本职能是进行会计和财务审计，审计对象刚刚涉足经营活动领域。1957年修订后的《职责说明书》指出，“内部审计是组织内部审核会计、财务及其它经营活动的独立评价行为”，从而将经营审计和财务审计并列起来，同等重视，向前迈进了一大步。1971年，协会再次修订《职责说明书》时进一步指出“内部审计作为对管理当局的一种服务，是组织内部审核经营活动的独立评价行为。”这就将现代内部审计的活动范围扩展到组织活动的每一个方面，大大拓宽了内部审计的作用领域。此外，1971年的《职责说明书》还为内部审计师增加了一项新的职责，即“提出改善经营的建议”，从而极大的增强了内部审计工作的建设性。此后，协会于1981年和1993年修订《职责说明书》时更明确地指出，内部审计师应评价所在企业各方面的经营与管理活动，从增强企业整个内部控制系统的效能着眼，为企业的董事会和经理层提供实现经营目标所需的顾问服务。

内部审计内容从财务审计转向经营审计为主导，这是英国，乃至整个西方商业银行现代内部审计理念的最显著特点，而这又恰恰是建立在内部审计目标和职责的准确定位基础上的。

(三)现代化的审计方法体系为内部审计提供了科学的技术保障

1、风险评估与控制方法的运用使内审能够科学安排审计频率和审计周期。

英国商业银行的内部审计，从审计计划、审计程序的制订到具体实施均以防范风险为核心，各项审计技术操作以防范风险为目标、以风险评估系统的结果为依据来构造的。风险评估的结果成为整个审计工作的计划起点，同时又将最终的审计结果反馈到风险评估系统中，从而形成动态循环。一个完整的风险评估系统通常由一系列的经营指标和各类主要风险要素，以及相应建立的风险模型或风险矩阵及其评估结果构成。

以嘉诚集团风险评估系统——“红黄绿”交通指示灯系统为例，其在审计计划阶段，通过该系统的评估结果，合理分配审计资源，科学安排审计频率和周期。首先，根据风险发生的载体不同，按分支机构和各种业务分类相结合，将所有被审计的单位和业务划分为若干可审计的单元；其次，是汇总每个单元的有关风险因素的风险评估得分，从而得到其风险总分并归人相应的高、中、低三级(其中高风险为301— 500分，中等为251—300分，低风险为100—250分)；再次，是结合上次审计时间归人相应的“红黄绿”指示灯区域(红灯区为‘高风险且距上次审计超过2年，或中等风险且距上次审计超过3年’；黄灯区为‘高风险且距上次审计不超过2年，或中等风险且距上次审计在2—3年，或低风险且距上次审计超过3年’；绿灯区为‘中等风险且距上次审计小于2年，或低风险且距上次审计小于3年’)，最后，据此确定具体的审计频率、审计人员数量和时间以及经费预算，以优先满足红灯区和黄灯区的审计，从而确保了所有重大的风险事项得到了优先的审计，使有限的审计资源投入到了最能实现审计价值的领域。

在审计实施阶段，通过内部控制评价方法和风险分析方法等，实时确定和调整审计范围和深度以及具体采用的审计程序，分析确定所涉及的风险因素，评估固有风险，根据内部控制状况评估控制风险，同时进一步确定检查风险，为测试和抽样提供依据，从而达到降低审计风险、提高审计质量和审计工作效率的目的。

2、网络和计算机等电子化风险控制手段的运用，确保了审计监控覆盖风险的事前、事中、事后全方位全过程。

西方商业银行危机案例表明，道德风险(Moral Hazard)的存在，即使是最严密的内控制度也难以防范。英国商业银行为了有效控制经营管理中的失误尤其是人为因素造成的失误，将电子化控制作为审计监督风险防范机制的有机组成部分，形成了从风险识别、风险控制、到风险挽救的事前、事中、事后全方位全过程审计监督体系。例如参与本次授课的艾比银行，就通过与其外部战略伙伴共同开发的“桌面上的审计”这一电算化系统，实现了对用于衡量下属分行表现的重大控制指标的实时跟踪记录，从而使其审计重点由审计所有的分行转移到测试整个系统，确保其审计能够覆盖所有存在问题的领域。与此相类似，德意志银行开发的风险审计监督系统 (Gxxs系统)，甚至具备对全球各分行每项金融衍生交易进行同步审计的强大功能。通过对可能的风险进行细分，由该系统按照不同的层次、环节、部门进行计算机自动控制，相互核对和授权管理，保证了业务的准确安全运行，防止风险的发生，实现了从“人员之间相互牵制的控制”向“风险细分下的计算机控制”转变。现代化审计手段的运用，不仅仅使非现场审计真正成为了一种可行的审计方式，大大提高了审计监管的效率，其特别重要的意义还在于有效地在事前及事中就控制住了最难控制的“人为”风险因素。

另外，英国商业银行的审计部门还专门配备或外聘信息技术方面的人员或机构，对银行计算机系统进行监控检查，并对重要的业务软件项目开发进行审计，如对项目开发人员资格、开发程序与制度政策、应急措施、安全措施等方面进行审查和质询，并适时提出改进建议。

3、大量运用数学模型、定量分析促使其内部审计实现了审计技术方法的模块化、规范化、标准化。

此次学习考察的内部审计监控所采用的方法体系，代表着目前国际上最先进的管理水平。他们运用的一些数学模型和定量分析技术，有不少受到了国际清算银行巴塞尔委员会以及国际内部注册审计师协会的认同，成为银行内部审计监控技术发展的导向标；另一方面，这些方法体系也体现了英国商业银行非常善于将其长期实践经验进行理论升华，进而体现了他们高度的创新能力，例如，为完成经营审计确定的审计目标，在审计实践中逐步建立和形成了内部控制制度的评价方法体系、经营风险的识别、衡量与评估方法体系、数理统计和系统分析方法体系、计算机审计技术方法、审计风险控制技术等方法体系，都是以定量分析为基础的。模块化、规范化、标准化的审计技术方法，已经成为其内审部门保证审计质量和统一作业标准的重要手段。