商業銀行內部審計風險研究

張旭東

（海南銀行，海南 海口 570100）

近年來，隨著商業銀行違法違規案件頻發，中國人民銀行和中國銀行保險監督管理委員會對商業銀行的監管逐年趨嚴，各家銀行對風險管控的重視程度越來越高，不斷細化和創新風險管理模式，強化全面風險管理能力。作為銀行第三道防線的內部審計部門，是商業銀行最后一道防火墻，對于風險把控起著更加直接和關鍵的作用，其地位和職能的重要性也越來越凸顯。關于內部審計，國際內部審計師協會（IIA）將其定義為一種獨立、客觀的確認和咨詢活動，旨在增加價值和改善組織的運營。它通過應用系統、規范的方法，評價并改善風險管理、控制及治理過程的效果，幫助組織實現其目標。[1]對于商業銀行這類經營風險的盈利性金融機構來說，IIA關于內部審計的定義很好地詮釋了銀行內部審計的職責和作用。

一、商業銀行內部審計風險定義及特征

1.商業銀行內部審計風險定義

商業銀行內部審計可以理解為：在商業銀行內部設立一個獨立的內審部門，選拔相對獨立的審計人員，對各分支銀行的經濟業務實施必要的審計程序，從而減少錯誤和舞弊，提高銀行的運作效率，增加商業銀行的價值。[2]審計范疇涉及制度規定、信貸管理、產品銷售、業務流程、信息系統等方面，具有全業務、全流程、全人員的特征。美國注冊會計師協會（AICPA）將審計風險定義為：審計風險是指審計人員針對含有實質性錯誤陳述（或重大錯誤陳述）的財務報表發布不恰當審計意見的風險。[3]從商業銀行內部審計職能來看，這個定義明顯是不恰當的。商業銀行內部審計風險應當涵蓋內部審計部門和人員未能從組織架構、制度建設、信息系統、業務流程、人員管理等全方位揭示商業銀行在日常經營中存在的重大內控缺陷、違規行為、虛假信息、財務舞弊等問題，從而給銀行帶來風險損失和不良影響的可能性。

2.商業銀行內部審計風險特征

內部審計風險的產生，既受社會經濟復雜性、企業經營穩定性等審計外部環境的影響，也與內部審計機構、審計人員的執業水平、質量控制情況等自身因素有關，[4]結合商業銀行內部審計風險的定義和銀行業特點，可以看出商業銀行內部審計風險具有客觀性、隱蔽性和部分可控性的特征。

（1）審計風險的客觀性

首先，無論我們做任何事情、無論我們身處何時何地，風險都一直伴隨著我們，它是必然存在的，是不以人的意志為轉移的。商業銀行內部審計風險也是一樣，從制定審計項目計劃開始直至審計項目完結，審計風險貫穿整個審計流程，只要開展審計工作，審計風險就會產生，并且伴隨整個審計項目的生命周期。其次，當前政治環境、經濟環境和抗疫環境復雜多變，銀行規模化、多元化發展成為主流趨勢，雖然監管體系和制度規定已經在持續更新和完善，但是內部審計在動蕩的外部環境下仍然面臨著諸多不確定的變量，這些變量就是潛在的風險。再次，內部審計會因組織架構、人員狀況、業務管理等各方面因素的變化形成新的風險點，這些內部環境也會對審計風險產生影響。

（2）審計風險的隱蔽性

商業銀行審計風險不會寫在明面上告訴所有人哪里有風險，并提醒大家注意，一般情況下審計人員在開展審計工作時，已經做了充足的準備預判風險點，并提前采取措施防止審計風險發生。但是在實際工作中，還是經常會產生審計風險，這些往往都是沒有意料到的。審計風險存在審計工作每一個環節，涉及面廣、涉及程度深、覆蓋時間長，即便是審計經驗十分豐富的審計人員也不能將全部風險點一一識別出來，因此審計風險的隱蔽性非常明顯。

（3）審計風險的部分可控性

雖然商業銀行審計風險是客觀存在的，而且不容易被發現，但是部分人為造成的審計風險是可以進行管理和控制的，主要體現在：一是通過完善審計工作組織架構和制度規定控制風險環境；二是通過加強審計流程和審計人員管理控制風險源頭；三是通過對風險事件進行總結和分析強化風險反饋；四是通過制定預警機制和應急預案強化風險預防。

二、商業銀行內部審計風險分類

從商業銀行內部審計風險特征來看，審計風險受到先天因素和后天因素兩方面影響，先天因素是人為無法改變的，而后天因素基本上是人為導致的，因此內部審計風險可以分為系統性風險和非系統性風險兩類。

1.系統性風險

系統性風險也稱為整體風險或不可分散風險，是由于全局性共同因素導致人為不可控的負面結果產生的可能性。商業銀行的系統性風險包括政策風險和行業風險。

（1）政策風險

從宏觀層面來看，國家宏觀政策的調整，會直接影響商業銀行貨幣供給和存款準備金率等一系列指標的變化；從微觀層面來看，人民銀行和銀保監會根據最新風險事件和政策調整不斷對監管要求進行更新，而且監管趨勢越來越嚴，這些政策的更迭會因審計人員無法及時了解和掌握導致審計風險增加。

（2）行業風險

國內外的商業銀行監管機構每年都會對當年違法違規事件進行統計分析，并持續建立健全監管制度，完善金融行業管理。但是商業銀行因其職能的特殊性，它不僅會受到金融行業的影響，還會受到其他各行各業的影響，比如前些年煤炭和鋼鐵行業的動蕩，很多資源大省的銀行都受到了牽連；再如海航和恒大集團的暴雷，也對諸多銀行產生巨大影響。對于內部審計人員來說，除了要及時掌握最新金融行業監管要求，還必須對其他行業有一定敏感性，對可能給銀行產生不良影響的行業變動進行預判，提前對潛在風險作出估計。

2.非系統性風險

非系統性風險也稱為可分散風險，由某一特殊因素引起，只對單獨個體產生的風險。從商業銀行內部審計模式和流程兩個層面來看，非系統性風險主要包括操作系統與模型風險、檢查風險和人員風險。

（1）操作系統與模型風險

在實施內部審計項目時，審計人員經常會用到審計系統、財務系統、信貸系統等各類銀行內部操作系統，如果這些系統本身存在一些例如數據抓取不完整、數據跑批不及時等問題，會導致審計結果出現偏差。除此以外，審計人員在審計過程中還會建立模型對數據進行分析，如果模型參數設置不當或者配置有誤，會影響審計結果的正確性。上述風險如果情況比較嚴重，甚至會導致審計人員做出與正確結果相反的結論。

（2）檢查風險

檢查風險是指商業銀行內部審計人員未能將檢查內容中存在的重大錯誤和問題完全揭示出來的風險。檢查風險一般包含三類情況：一是審計方法本身存在的無法規避的風險，如在開展信貸業務審計時，因無法覆蓋全部檢查總體，審計人員要選用抽樣審計法，而抽樣方法本身就存在無法將全部問題進行揭示的風險；二是審計人員未能選擇正確的審計方法或者未規范實施審計流程產生的操作風險；三是因為項目時間緊迫、人員數量不足、被審計對象配合度較差等各類人為因素，導致審計項目開展深度和廣度不夠，部分問題無法進行揭示的風險。

（3）人員風險

審計項目是由審計人員進行實施的，項目的結果會受到審計人員的影響，影響的因素包含兩方面，即審計人員的能力和道德。一方面，商業銀行流動性風險審計、資產管理審計、信息科技審計等一些專業性較強的審計項目對審計人員的勝任力要求很高，如果審計人員專業能力不足，會導致審計項目的目的無法實現。另一方面，盡管有審計法、職業道德規范等一系列法律法規對審計人員進行約束，但商業銀行內審人員能否遵紀守法、堅守底線，合法合規的開展審計項目，是與個人的品德密不可分的，否則會導致審計項目流于形式，無法發揮內部審計防線作用。

三、商業銀行內部審計風險成因分析

影響商業銀行日常運營的因素較多，這也給內部審計帶來了挑戰，盡管銀行可能已經采取了多種措施保證審計結果的準確性，但是還是有一些問題和情境會導致內部審計風險的產生。

1.內部審計的獨立性不足

內部審計部門和人員的獨立性程度，直接決定了內部審計的權威和作用效度，也在一定程度上導致審計風險的產生。目前各家商業銀行無論從風險管控角度還是迫于監管壓力，基本上都建立了較為完善的內部審計組織架構，有獨立的審計委員會、內部審計部門和審計人員，且審計工作能直接由銀行一把手直管，但仍存在部分銀行一把手及高級管理層對內部審計工作不重視，對審計發現問題不過問，對未落實整改單位不追責，導致審計部門威信不足、被審計單位配合度較差、審計工作處處制肘。上述問題產生的后果將是被審計對象拖延審計時間、提供不完整或虛假資料，審計人員無法正常實施審計流程、無法對真實業務進行檢查或得出錯誤的審計結論，很大程度上加大了檢查風險的發生。

2.內部審計創新不足

商業銀行內部審計項目一般是根據監管規定和銀行實際狀況確定的，所以每年的審計項目過半數都基本相同，目前各家銀行普遍存在的狀況是審計人員一如既往的按照往年的審計思路和審計方法開展項目，變化和創新之處微乎其微。這種固定不變的審計方式帶來的直接后果：一是審計人員的業務能力在達到一個高度之后無法繼續在實踐中得以提升，審計工作發展遇到瓶頸；二是被審計單位的反審計經驗越來越豐富，對于審計人員的審計手段了如指掌，掩飾隱瞞問題的伎倆趨于成熟，以至于審計發現問題難度加大。破解上述問題的關鍵在于內部審計部門和人員要從審計項目、審計制度、審計思路、審計方式等多個角度進行創新，學習先進理論和經驗探索新思路，應用新興科技力量提高技術手段，從思想和能力上全方位進行武裝。

3.審計人員專業素養參差不齊

《銀行業金融機構內部審計指引》規定“銀行業金融機構內部審計人員原則上按員工總人數的1%配備”，內部審計部門為了滿足監管要求，在選人用人上或多或少出現了降低準入門檻的情況，一些職業道德不規范、業務能力不足、團隊協作意愿不強的員工被吸收到審計隊伍中，這些人在開展審計項目過程中，因為本身存在的各種問題增加了道德風險和檢查風險發生的概率，甚至會對其他審計人員產生負面影響，破壞了整個審計隊伍的紀律。另外，審計人員的管理和考核對于審計風險也有很大的影響。一些專業素養良好的審計人員加入到隊伍之后，審計部門未能從思想道德和業務能力上嚴于管理、未定期對項目質量進行考核、未及時了解審計人員工作和生活狀況，導致整個審計隊伍出現道德風險和業務能力下降的問題，無形中增加了審計風險的可能性。

四、商業銀行內部審計風險防范對策

審計風險貫穿內部審計全過程，鑒于非系統風險的不可控性，為了降低商業銀行管理風險，并為穩健運營提供有力保障，針對有效降低審計風險中的非系統風險，本文提出了三個應對策略。

1.加強科技力量并完善系統監督

隨著大數據應用的普及和人工智能的深化，商業銀行內部審計越來越依靠信息科技的力量，通過開發和使用各種功能的信息系統，可以有效減少現場審計時間、增加問題發現概率和提高審計效率。因此，商業銀行內部審計部門可以從以下方面著手：一是要持續加強信息系統建設，構建覆蓋各項業務的風險管控機制和審計監督體系，提高大數據運用能力，發掘銀行運營過程中的重大風險，并制定相應的應對策略；二是科技力量的應用必須依靠穩健的信息系統做支撐，為了防止系統自身存在錯誤，內部審計部門要定期開展信息科技專項審計，對全行各類操作系統進行檢查，并根據環境改變適時提高監督頻率，保證信息系統的準確性，減少審計誤差的產生；三是提升審計人員非現場審計系統應用能力和非現場審計系統使用頻率，運用技術手段提高審計效率、縮減人力成本、降低審計風險。

2.提高審計質量管理能力

商業銀行內部審計風險最重要的就是檢查風險，做好檢查風險的預防和管理，可以有效提高審計質量，更好地促進審計目標實現。一是要加強審前調查和分析，提高審計方案的合理性、適用性和有效性，確保審計工作的方向、選取的抽樣樣本、采取的審計方法、選用的審計模型準確無誤，能夠對現場審計工作起到指揮棒作用；二是強化審計工作的現場管理，審計組成員每日完成工作小結后由主審進行匯總，對現場檢查遇到的問題集體研究并及時解決，遇到特殊狀況時合理調整審計方案、優化審計資源，確保審計方向和方法準確的同時，嚴格管控項目序時進度；三是嚴格對審計底稿、事實確認書及審計報告、管理建議書等進行審核，條件允許的情況下可以由項目主審和組長形成二級審核制度，確保證據確鑿、定性嚴謹、描述準確、用詞恰當，促進審計工作嚴謹規范、扎實有效，讓被審計單位心服口服。

3.培養德能兼備的內部審計人員

首先，職業道德是內部審計人員必須具備的基本專業素養，“做事先做人”講的就是這個道理，如果職業道德不能遵守，專業能力再強也應從審計隊伍中退出。其次，內部審計作為銀行風險防控的最后一道閘門，關鍵性和重要性是非常突出的，審計人員必須有足夠的業務水平和專業技能，才能確保勝任審計崗位，保證銀行內部重大風險和問題充分揭示的同時，有效為其他業務部門提供咨詢意見。商業銀行確保內部審計人員滿足德能兼備的要求，需要從以下三個方面開展工作。

（1）加強內部審計人員隊伍管理

建立健全內部審計人員進出制度，完善人員考核和問責機制。一是嚴格審計人員準入門檻，確保選聘人員德能兼備；二是對現有內部審計人員的考核和問責管理要公平、公正、公開，對違法違規人員嚴肅問責，對多次考核不達標的或者不符合條件的審計人員一律予以清退，保證審計隊伍忠誠、干凈、擔當。

（2）強化內部審計人員培訓學習

定期組織審計人員開展學習，學習內容包括但不限于法律法規、道德規范、案例研究、業務技能等，從職業道德和業務技能兩個層面提升整體審計隊伍的專業素養。學習形式多種多樣，可以聘請外部老師、同行的領先者、銀行內部的業務骨干或者自我學習，還可以輪流選派審計人員去參加行業組織的各項培訓。對于新入職的審計人員，應當安排到審計現場進行學習，通過以審代訓的形式快速提升審計技能。

（3）持續與同行先進經驗進行交流

商業銀行所處的經營環境會經常發生改變，宏觀政策的調整、行業結構的動蕩、國內外市場的變化、科技力量的發展、新型技術的運用等都會給銀行帶來新的風險點，內部審計人員必須摒棄“閉門造車”，與同行先進審計經驗進行交流、學習先進的審計技術和方法，不斷與時俱進創新審計思路，這樣才能與環境變革同步成長，更好地為銀行守住最后一道大門。