简介：银行业作为一个高风险行业，因其与整个社会经济生活的紧密联系和风险的高度外部性与危害性，一直是政府部门、实业界、理论界乃至平民百姓关注的焦点，而商业银行的内部审计是防范银行业风险的重要保障机制。本文对现阶段我国商业银行内部审计的现状、改进内部审计的重要性以及如何完善内部审计机制，推进商业银行全面风险管理机制的构建等问题加以探讨，以期促进我国商业银行内部审计风险管理机制的完善。

　　就防范银行业风险而言，银行内部审计位属一线防控屏障，尽管银行监管部门的监管、存款保险制度、社会监督以及行业自律等均不失为有效的手段，但上述外部监管的防范效果最终取决于银行内部审计风险防范效能的发挥。加强内部审计风险管理机制的建设是防范银行业风险的重要保障。

　　一、完善商业银行内部审计风险管理机制是现实的需求

　　近年来，金融领域风险不断显现，并且有愈演愈烈之势，严重威胁着金融业的安全和发展。银行业风险的频繁发生，无不与内部审计制度不完备相关。改进与完善商业银行内部审计是商业银行防范金融风险，提高核心竞争能力的现实需求。

　　（一）防范金融风险要求改进并完善商业银行内部审计

　　目前全世界每天上万亿美元的金融交易只有2％与物质生产和交换有关。金融交易的泡沫化导致金融风险的急剧增大。而商业银行从产生那天起就与失败和危机联系到一起。一部商业银行发展的历史，可以说就是人类社会与银行失败、银行危机较量的历史。一般而言，银行失败（bank failure）是指一家银行被清算，在政府的监督下被一家健全的银行合并，或依赖政府的财务援助而生存。银行危机（bank crisis）是指实际或潜在的银行挤兑与银行失败引致银行停止偿还负债或为防止此情况的出现政府被迫大规模提供援助。由此可见，银行失败是银行危机的必要条件，防止银行失败是防范银行危机乃至金融危机的基础。

　　美国货币监理署在对1979—1989年间破产的162家国民银行进行研究后发现，破产银行中分别有35％和11％是由内部犯罪与金融诈骗引致。美联储的研究表明，在1990－1991年破产的286家银行中，有26％是由内部犯罪造成，61％的破产银行存在诈骗、非犯罪性违规、内部贷款损失等内部问题。

　　我国商业银行的经营风险也逐步由隐性转向显性，主要是贷款质量下降、呆账增加、经营亏损严重、支付能力不足而引起的信用风险，从业人员欺诈与越权经营而产生的操作风险，决策管理层缺乏科学的管理和经营而导致的管理风险等。

　　正如国际银行监管权威机构巴塞尔委员会在剖析法国里昂银行、日本大和银行等几起著名银行失败案例时得出的结论：商业银行的内部审计不到位，内部控制失效是导致银行失败的主要原因。伴随世界金融一体化进程的加快，中国加入WTO之后，开始参与激烈的国际竞争，不断改善商业银行内部审计制度，无疑是商业银行的现实选择。

　　（二）提高核心竞争能力需要改进并完善商业银行内部审计

　　商业银行作为一种经营货币的特殊企业改进并完善内部审计制度尤为重要。在商业银行内部存在所有者与经营者，上级行与下级行的委托代理关系，他们之间的信息是不对称的，在这种信息不对称的情况下由于经纪人的有限理性，银行内部会出现道德风险和逆向选择问题，从而给银行带来风险和导致银行经营的不稳健。为了减少这种道德风险和逆向选择的出现，最好的办法就是提供一种使所有者能够监督经营者，上级行能监督下级行，不同岗位，不同部门之间能够互相监督的制度，这种制度以商业银行的内部审计制度为主导。

　　面临银行危机，无论发达国家还是发展中国家，有相当一批银行陷入了经营困境。然而，在这样恶劣的环境中，仍然有一批商业银行表现不凡，增长率迅速恢复，市场份额不断增加。《亚洲货币》（Asia Money）列举了亚洲地区10家这样的银行，他们有着共同的特点，即善于开拓新的业务领域、注重风险管理。可见，创新能力和风险控制能力是商业银行保持可持续经营的两种最基本的能力。创新是商业银行发展的动力，风险控制是商业银行的安全保证。商业银行内部审计是以风险控制为主的一种内部约束机制，它是保持商业银行稳健运行最直接最有效的一种方式，它是提高现代商业银行核心竞争力的关键所在。

　　二、我国商业银行内部审计的现状有待改善

　　商业银行内部审计是商业银行内部的一个独立监督评价体系，其重点是对内部控制的有效性进行独立的监督和评价。在内部控制的五大要素：控制环境、风险评估过程、信息系统与沟通、控制活动、对控制的监督中，内部审计居于主导地位，属于对各类控制执行专门评价的活动，具有再控制、再监督的职能。商业银行内部审计是银行内部的审计部门对银行的各种经营活动和内部控制系统进行独立监督和评价的过程，其目的是确保银行合规合法经营、确保银行发展战略和经营目标的全面实施，确保将各种风险控制在规定范围之内、确保会计和管理信息的可靠与完整。

　　近几年，我国各大国有商业银行相继进行了内部审计体制改革，初步建立了相对独立和垂直管理的内部审计组织体系，审计整体合力逐渐形成。但在内部审计参与风险管理的方式、方法等方面仍存在诸多不足。

　　2002年9月7日，中国人民银行发布了《商业银行内部控制指引》，其中提到要提高对商业银行内部审计部门重要性的认识。我国各商业银行也相继对内审部门作了调整。如中国工商银行组建了稽核（审计）监督委员会，将原稽核部改组为稽核监督局；在沈阳、西安、南京等六个中心城市派出了稽核专员办公室，加大了总行对分支行的稽查力度。中国银行和中国建设银行在全国建立了若干个稽核中心；中国农业银行建立了稽核特派员制度等。近年来，商业银行各级内审部门通过内部审计的监督，在强化商业银行内部管理，规范商业银行各项业务、纠正违规问题、有效防范风险、确保经营目标实现等方面发挥了较大的作用。但受诸多因素影响，我国商业银行内部审计在参与风险管理方面功能的发挥与发达国家的商业银行相比较仍有一定差距，有待改进与完善。

　　三、完善商业银行内部审计风险管理机制的建议

　　发达国家商业银行在长期的实践中，已逐步建立起比较完善的内部审计风险管理机制。我们认为，对于我国商业银行内部审计问题，应结合自身特点，并借鉴发达国家商业银行先进的内部审计经验，从以下几方面进行相应的改进和完善。

　　（一）构建独立的监控体系，增强内部审计的风险管理效能

　　稽核部门是我国商业银行内部审计的职能部门和执行机构。商业银行总行要建立隶属董事会领导的稽核监督委员会，负责研究制定内部审计工作制度及主要的内审业务领域。总行设稽核部，对上向董事会负责，对下实行垂直管理。总行以下按区域设稽核分部，向总行稽核部负责，具体负责所管辖分支行的内部审计工作，稽核部门具有独立的监督检查权、问题认定及处分权。

　　面临新的国内外经济环境，商业银行应建立一套新的审计风险管理规范。其中第一条应是加强内部审计工作的组织领导，增强其独立性。各银行一级领导应严格按照《中国人民银行内部审计工作制度》要求，切实加强对内部审计工作的领导，支持内部审计人员大胆有效地展开工作，再分配内部审计任务时，尽量避免实际存在的和可能出现的利益冲突。针对县（市）支行内部审计力量不足的现状，还应将基层内审人员编制全部集中到中心支行，并结合县（市）支行健全内控机制的进程，加大内部审计对风险监控的力度，与此同时，建立、健全内部审计法规，合理界定内部审计的职责。此外，为有效降低内审风险，必须严格界定会计责任与内部审计责任，有效规避因责任划分不清而使内审人员遭受的风险。

　　（二）前移内部审计风险控制切入点，开展动态审计

　　《巴塞尔新资本协议》明确指出“对于新产品、新业务，银行应确保这些产品、业务在引进来之前就为其制定出适当的风险管理程序和控制方法”，也就是风险管理应先行。与此相应，在风险管理中发挥主导作用的内部审计，为控制风险，减少损失，亦应把内部审计切入点逐步前移，由原来的事后审计，变为事前控制、事中监督，全方位、多层次的动态审计，将内部审计渗透到商业银行风险管理的全过程。事中、事前审计可以从被审计单位的经济运行过程中发现问题，利用审计掌握的内外部信息，提出改进意见和建议，协助其挖掘发展潜力，预测并防止可能出现问题的环节，向董事会或管理部门反馈信息。实现审计职能由监督型向服务导向型的转变，在服务中监督，在监督中服务，寓监督于服务之中，实现审计监督与服务的有机结合。

　　商业银行在新的内审风险管理规范中应提出不断树立科学的内审理念，其中包括服务理念。内审职能不应仅仅是监督和评价，其更深层次的职能应该是为银行提供高附加值的服务。因此，内审部门和人员要切实为商业银行领导决策和管理服务，为被审单位强化内控、改进工作服务，推动商业银行内部审计向增值型转变。

　　（三）借助风险导向内部审计，推进全面风险管理

　　2004年6月26日十国集团的央行行长们一致通过《资本计量和资本标准的国际协议：修订框架》，即《巴塞尔新资本协议》。全球主要的国际化大银行在今年实施新协议。尽管新协议还存在着诸多不足，但是它强调风险管理是银行竞争的关键因素，强调树立以风险为导向的全面风险管理和监管理念等内容，体现出对1988年《巴塞尔协议》的重大改进，值得我国商业银行借鉴。国内商业银行正在为新巴塞尔协议做准备，应借助风险导向内部审计，积极推进商业银行全面风险管理机制的构建。

　　审计风险的形成受内外多方面因素的影响，商业银行内部审计工作应积极开展风险导向审计。依据国际惯例，风险导向内部审计流程主要包括以下步骤：评估重大错报风险并制定审计计划；实施内控测试确定被审计主体内部控制的有效性；执行实质性程序获取充分、适当的审计证据；得出审计结论并提出改进风险管理的审计建议书；实施后续审计，监督审计结果的落实。风险导向内部审计流程的重点是全面识别和评估被审计主体的风险状况。对此内部审计应将引发商业银行重大错报风险的可能性因素细分为：信用风险、市场风险、操作风险、利率风险、流动性风险、国家风险和转移风险等部分，建立不同的评估标准，找到关键控制点。银行内部审计应建立风险防范模型，重点评价被审计主体的风险管理是否能够及时识别商业银行所面临的各种风险；评价被审计主体的风险管理体系是否在所有关键风险控制点上都设有专门的、对应的岗位人员负责控制，其风险管理是否能够覆盖所有业务和所有环节中的一切风险。借助风险导向内部审计旨在促使商业银行以风险组合的观点，从贯穿整个银行的角度看待风险，实现整体性风险控制，推进其全面风险管理机制的构建。

　　（四）完善电子化建设，强化内部审计的风险预警能力

　　随着竞争的日益加剧，商业银行纷纷将产品创新及业务运作的电子化、网络化作为提高竞争力的主要手段。这迫切需要建立具有风险预警能力的非现场审计系统，通过对日常业务数据的检测分析做出风险预报，然后进行现场的稽核检查，使审计方式由过去的事后检查型向风险预警型转变。同时要加强对超越市场一般规律的业务现象进行研究分析，通过对个案现象的非现场审计，及时进行风险提示，将风险点、风险面及时通报给各分支机构，以引起重视，及时采取防范措施。

　　商业银行在新的内审风险管理规范中应提出完善内审电子化建设；加强非现场审计；加强审计案例研究的要求。构建和改善公用审计信息平台，通过现代审计信息处理系统对大量的审计信息进行及时采集、处理、分析和反馈，逐步实现与业务部门审计接口的对接，实现从业务部门直接提取数据进行审计，将风险点、风险面实时通报给各分支机构，从而达到实时监控的目的。通过强化非现场审计手段，使现场审计有的放矢，缩短现场审计时间，可达到节约审计成本，增强风险预警能力的目的。

　　（五）适应风险控制的需要，组建专业化内部审计团队

　　商业银行内部审计首先应树立和强化全面风险控制理念，保持较高的职业道德水平；其次，伴随金融市场细分程度的不断提高及电子化、网络化在银行业务中的不断应用，越来越需要组建一支专业化、高素质的内部审计团队，对决策过程及业务执行流程实施风险导向内部审计。培养出一批精通国际及国内审计准则、信息系统审计标准、会计准则及其他相关知识的内部审计师已成为当务之急。为适应不断变化的风险控制的需要，内部审计人员应加强审计技能和计算机相关知识的培训，不断更新金融知识，了解新的金融产品、相关业务流程及其风险。应制订中长期审计人员的培训计划，通过送出去培训、请进来讲学等方式，接受专业机构的外部培训和银行的内部培训，不断充实内部审计人员的风险控制理论和实践技能。

　　结束语

　　在中国加入WTO组织后，我国政府已庄严承诺：根据WTO有关协议，我国将在5年内逐步取消对外资银行外币业务、人民币业务营业许可方面的限制。中国银行将面临实力雄厚、业务范围广泛、管理先进的跨国银行的竞争。银行安全关系金融安全，金融安全关系政治安全。现阶段，我国商业银行应认识到内部审计存在的诸多不足，借鉴国外内部审计经验，改进并完善内部审计风险管理机制。

　　加强商业银行内部审计的风险管理效能，保障内部控制制度的有效实施，对构建商业银行全面风险管理机制，防范和化解银行业风险，提高我国银行业的国际竞争力，促进银行业健康、快速发展，无疑具有深远影响。我国目前对商业银行内部审计问题的研究尚处于探索阶段，愿本文能对促进我国商业银行内部审计理论与应用的发展有所帮助。