浅析美国银行内部风险导向审计的经验及启示
内部控制对经营货币资金的商业银行而言非常重要,尤其是在巴林银行、大和银行、爱尔兰联合银行等机构出现重大风险后,世界各国银行和监管当局都高度重视内部控制建设。商业银行的内部审计直接监督评价内部控制状况,在商业银行的公司治理和内部控制体系中具有重要作用;同时,内部审计的作用要得到充分的发挥,离不开完善的内部控制系统的支持。
全国虚假财务报告委员会的发起人委员会(即著名的COSO 组织)1992 年颁布的《内部控制整体框架》(1994 年增补,以下简称COSO 报告)是当前内部控制领域最具权威性的文献。根据COSO 报告,内部控制是一个受企业管理层、董事会和其他人员影响的过程,目的是为实现以下目标提供合理的保证:一是企业运作的效率和有效性;二是财务与管理信息的可靠性和完整性;三是遵循现有法律法规。内部控制由五个基本要素构成,分别为控制环境、控制措施、风险评估、信息与交流,以及监测与纠正。与以往的内部控制理论相比,COSO 报告更强调动态控制和控制环境的重要性。该框架已成为国际商业银行内部控制方面最具有指导意义的标准。国际银行权威监管机构巴塞尔银行监管委员会1997 年颁布的《加强金融机构内部控制的指导原则》、1998 年颁布的《关于内部控制制度的评价原则》,均采用了COSO 报告中提出的内部控制框架。
一、美国银行内部审计的控制环境
控制环境位列内部控制五要素之首,是内部控制其他要素的基石,对内部控制有至关重要的意义。控制环境涵盖管理层经营理念、风格、分权情况及组织员工的方式;内部人员的品质、道德观和胜任程度;董事会发挥的作用;等等。美国银行内部审计的控制环境的突出特点有以下两个方面:
(一)体现了很高的审计独立性
独立性是审计的灵魂,美国银行监管当局高度重视并制定法律法规提高内部审计的独立性。《1991 年联邦存款保险公司改进法》(FDICIA)第36 条规定,所有总资产超过5 亿美元的银行都必须设立独立的审计委员会,委员会必须全部由外部董事构成,每年评估银行内部控制的有效性和合法合规情况,并对内部审计职能执行情况进行检查。2003 年,美国四大银行监管机构美联储、美国联邦存款保险公司、货币监理署和储蓄监管机构联合颁布了多机构政策声明(Interagency Policy Statement,简称IPS)《内部审计职能和外包》修订稿,大大加强了1997 年IPS 中董事会和高管层对内部审计职能和地位、负责人和人员素质,以及交流会计和内控薄弱环节负有的责任,认为理想的安排是内部审计直接并仅向审计委员会报告审计发现和其他预算、评价等方面的所有工作, 即使在双线报告制下,即向审计委员会报告审计发现,向高管层报告预算等管理性工作,但由于存在独立性问题,也需要CFO 等高管回避,以保证审计的独立性。美联储认为银行治理结构的关键是建立有效的内部审计程序和内部控制程序,严格的会计、审计制度和信息披露制度是建立有效市场的核心(美国联邦储备委员会委员Susan Schmidt Bies,2003)。2002 年《萨班斯奥克利法案》规定,审计委员会成员必须全部由独立董事构成,以保持独立性,且其中至少有一人是财务专家,审计委员会有任免、监督审计人员的权力,并有权决定审计人员的薪酬。
在实践中,美国商业银行也都非常重视内部审计。如花旗银行、纽约银行和美洲银行等国际著名银行的内部审计部门都是直接并仅向审计委员会报告所有工作,审计委员会由外部独立董事构成,与银行及管理层不存在利益关系。银行行政和日常管理层无权干预内部审计体系的运作,内审部门甚至可以不向行长提供内审报告。银行各业务部门都将内部审计视为独立的内部监管部门,主动接受、配合检查。如花旗银行的公司章程就明确规定,审计部负责对花旗银行全球业务和机构开展独立审计,直接对董事会下设的审计委员会报告工作。审计部门的独立地位受花旗银行所有董事、高级管理层和全体员工的理解和尊重。董事长兼CEO John S.Reed 还曾专门发表主席声明,称审计部是花旗银行的神经中心。
(二)审计人员专业素质很高
审计人员的综合素质和专业水平对审计工作质量起着决定性作用。美国商业银行审计人员都是由总行审计部直接从各业务部门中优先筛选的,具有多年相关从业经验(一般要求从业经验在8 年以上,最低也在6 年以上),对专业领域非常熟悉,同时,审计人员大都具有审计专业背景。2000 年对美国银行内部审计师的调查表明,33% 的内部审计师持有注册会计师、内部审计师、信息系统审计师等执业证书;内部审计部门负责人从事审计工作的平均时间为16 年,且几乎所有负责人都持有注册内部审计师等执业资格,如27% 持有注册内部审计师资格,41% 持有注册会计师资格,11% 持有注册信息系统内部审计师资格,20% 为注册银行审计师。由于对审计工作的重视和审计人员素质较高,审计部门的待遇从优,不低于实权业务部门,而且内审部门被视为未来管理者的锻炼基地,许多高管层就是审计人员出身。值得注意的是,由于监管有力,美国银行内部审计师的比例并不高,一般低于1%。
二、美国银行内部审计的控制措施
控制措施主要包括高层检查、程序控制、职责分离等内容。
(一)遵循国际内部审计实务标准
国际内部审计师协会(The Institute of Internal Auditors,以下简称IIA)是内部审计标准制定的权威机构。美国银行全部执行了IIA 的内部审计标准。IPS《内部审计职能和外包》明确要求各家银行采用IIA 审计标准,并要求董事会了解内部审计是否根据IIA 颁布的内部审计实务标准等专业标准开展。IIA 的国际内部审计标准包括属性标准(1000 系列)、工作标准(2000 系列)和实施标准。属性标准说明开展内部审计活动的组织及人员的特征;工作标准描述了内审活动的性质并提出了衡量内部审计活动实施的质量准绳。这两项标准适用于所有的内审服务。实施标准则是将前两项标准适用于特定方面(如合规性审计、欺诈调查或内控的自我评价)。国际内部审计标准为银行内审工作提供了基本准则,使各家银行内审人员有了共同的目标、理念和程序,也建立了对内审业绩进行评价的基础。
(二)遵循美国银行管理协会相关标准
除了遵循国际内部审计协会的标准外,美国银行还遵循美国银行管理协会(ABA)颁布的《银行业内部审计的原则和方法》中提出的内部审计标准。该标准主要内容有:一是机构标准。如机构必须设立内部审计部门,并创造内部审计师自由采取行动的环境。二是人员标准。主要指内部审计师必须保持独立性,且具备专业胜任能力。三是执行标准。主要指内部审计师必须做好审计计划,并提供足够的证据。四是交流标准。主要针对审计报告提出标准。
此外,美国银行大多还专门制定了审计手册或具体的审计指南,对审计人员的工作予以必要的指导和规范。
三、美国银行内部审计的风险评估
每个实体都面临着众多内外部因素产生的风险。风险评估的前提是在不同层次上确立目标,风险评估就是要识别并分析实现目标过程中的相关风险,并决定风险管理措施。风险评估是内部控制的重要构成要素,COSO2004 年专门发布的企业风险管理框架就足以体现这一要素的重要性。商业银行的内部审计既是商业银行进行风险评估时采取的方法之一,又是风险评估的主要对象之一。
美国商业银行内部审计对风险评估的重视主要表现在以下四个方面:
(一)采用风险导向审计
审计资源是很有限的,特别是对大型商业银行而言,审计范围和内容非常广泛,要发挥最大效果,必须有重点地开展审计。美国银行已从传统的账项基础审计、制度基础审计向风险基础审计(risk-based audit)或风险导向审计(risk-oriented audit)全面转化,将有限的资源用于高风险领域。与传统的账项审计和制度审计相比,其主要特点是:以风险为中心开展审计。具体过程如下:首先,对各分支机构、业务流程、产品的固有风险进行分析,列出主要风险点;其次,针对其应对固有风险所采取的化解和防范措施进行分析,据此得出其控制风险的能力和主观态度;第三,用固有风险减去控制能力,得出其净风险值;最后,根据审计对象的净风险值最终确定审计频率,风险越高,则审计频率越高,反之亦然,但即使是风险最低的审计对象,每5 年必须接受一次内部审计。在对每个审计对象控制风险评估的基础上,制定科学合理的内部审计计划,通常包括关键内部控制环节的概要描述、审计时间和频率以及资源预算;在审计计划实施中,还将不断根据实际情况进行一定的调整。
(二)科学划分审计实体,明确审计范围
以花旗银行为例,为了更好地分配审计资源,避免审计资源的交叉浪费和出现审计真空,该行以发生风险的载体为单位对审计对象进行划分,即以分支机构和业务作为二维标准,确定可审计实体。可审计实体的划分标准由总行审计部统一制定,然后由区域审计经理按所辖区域的具体机构和业务进行划分,总行职能部门经营业务的可审计实体则由总行审计部直接确定。1997 年,花旗银行有1371 个可审计实体。
(三)侧重内部控制审计
美国联邦存款保险公司(FDIC)认为,银行内部审计师最关注的应是内部控制的有效性、恰当性,而非经营成果的真实性。美国银行内部审计师最主要的工作为内部控制审计,调查表明,其31.8% 的工作为内部控制审计,24.4% 用于财务、合规等类型的审计,此外,还有信息系统、欺诈等方面的审计和培训,以及协助外审。
(四)高度重视控制环境审计
控制环境是内部控制的基石,其中很重要的一点就是管理层的经营理念与风险意识。实践中,美国银行认为,尽管在银行体系中管理层人员较少而具体操作员工人员众多,但在风险方面却是相反,决策层的决策对银行具有重大影响,因此风险最大,而具体操作员工仅负责日常操作,自我发挥空间最小,风险也最小。因此,审计重点应由操作层转向管理层,应对公司治理等控制环境,尤其是管理层风险意识进行审计。以花旗银行为例,它建立了 管理层认识等级系统(Management AwarenessRating System-MARS) ,对管理层风险意识进行专门的评估。该系统对每个可审计实体的管理层在以下四方面的表现进行评价:一是对所管理业务的熟悉状况;二是确保所管理业务的合规性情况;三是对存在问题的纠正整改情况;四是与审计部门的交流配合情况。根据这四方面的情况,审计部门对其作出评价,分为1~5 级,5 级最好,一般要求4~5 级,1~3 级就表明该单位的问题较多、风险较大,都是不能接受的,如果评级为1~2 级的,该可审计实体的管理层就需要整顿、调换。此外,美国银行内审部门广泛参与、了解决策过程:一是内审部门负责人参加银行内部的全部有关决策的会议,监督决策的过程和程序,及时获知有关决策的相关信息;二是内审部门负责人组织相关人员依据已获知的决策信息,对决策的内容、可能带来的风险、政策依据、必要的前提准备实施审计,提出管理建议,为管理层决策提供参考。但同时内审部门在实施决策审计时只负责独立提出管理咨询,不能最终干预最高决策层的决策。
四、美国银行内部审计的信息与交流
信息与交流包括两个层次,即对信息的及时性、准确性、客观性的要求,以及各层面的交流。正如花旗银行声明内部审计是银行的神经中枢,良好的信息交流是开展内部审计的重要基础。美国银行内部审计的信息与交流要素具有以下特点:
(一)审计部门与各业务部门开展交流
2000 年对美国银行业的调查表明,内部审计师每年交流12%~18% 到其他部门工作,每年有5%~10% 的人调入其他机构工作。当然流动不可能是100% 的流动,一般有25% 的审计人员被作为骨干,固定地在内部审计部门工作。
(二)成为银行的顾问
美国银行将内部审计师视为银行内部顾问,而非内部的敌人,是家中的来客,而非巡逻的警察,除了发现并揭示问题外,还要善于合作,帮助银行改善业绩。在这方面,国际内部审计师协会(IIA)也在不断地改进,如将内部审计标准的2410A 规定,从审计报告中应对令人满意的业绩予以承认改为应将绩效良好的人员和部门信息告知管理层,而非仅仅由审计人员承认其绩效良好。这样做的好处有:与被审计单位建立良好的合作信赖关系,同时也有利于推广好的做法,帮助银行改善经营。
(三)广泛采用内部控制自我评估等参与式审计技术
美国银行认为,内部控制是受人影响的过程,无论采用什么方式评价内部控制,都必须评价诸如管理层意识、沟通等柔性、非正式的控制,而这类控制主观性较强,外部检查者通常很难单独作出正确评价,有些控制事项甚至只有参与员工才能有效评价,因此需要管理层、员工与内审人员共同参与内部控制的评价。
内部控制自我评估(control self-assessment,简称CSA)就是一项很好的参与式审计技术,即由各业务部门的管理层和员工对其自身内部控制状况进行检查和评估,并回答问题,问题形式通常为是/ 不是,有/ 没有 ,措辞严谨简单,容易理解。20 世纪90 年代中期开始,自我评估在美国银行得到广泛应用,成果显著。根据得勤会计师事务所国际银行与证券委员会1996 年对全球45 家顶级金融机构的调查,绝大部分都很熟悉自我评估。自我评估强调内部控制系统不仅是内部审计的责任,也不仅是高管层应该关心的问题,而是组织中全体成员的事;认为应该最先询问那些参与了风险评价过程并进行全过程评价的人,这样有利于更深入地审视内部控制,并发现文化缺陷,尽管它们表面看起来是很小的问题,但汇总起来对银行是很大的风险;提高管理层内控和风险意识,使得员工认识到内部控制是所有人员的事,并改进信息交流,消除不信任气氛,迅速发现风险点,提供内部控制的早期预警信号,促进问题的解决,提高审计的价值。
FDIC 等美国银行监管机构都鼓励商业银行采用内部控制自我评估方法,IIA 甚至还设立了内部控制自我评估师资格(CCSA)。不过,由于开展控制自我评估存在利益冲突,容易导致隐藏控制缺陷,IPS 并不赞成过度依赖于自我评估,特别是高管层对其运作不熟悉时,可能导致问题变得非常严重时才被发现,因此美国银行即使广泛采用内部控制自我评估等参与式审计技术,仍必须由内部审计等独立的部门对其进行相关的检查。
五、美国银行内部审计的监督
(一)审计工作质量检查
对审计工作质量进行检查是必不可少的,检查有助于审计人员根据制定的审计计划和审计规范开展审计,避免遗漏与错判。美国银行通常采取两种方式进行审计质量检查;即内部评估与外部评估,并将审计质量作为考核审计人员的重要标准。其中,内部评估由自我评估和内部检查构成;外部评估是由外部独立的专业审查人员对其内审工作进行评价,评价的关键内容就是内部审计活动是否遵循《国际内部审计专业实务标准》,要求5 年内至少一次,内审部门负责人应如实地向内审委员会汇报外部评价结果。
(二)大量采用非现场审计
美国银行认为现场检查具有封闭型、单向式的特点,往往对被审计部门的正常经营有一定的影响,且容易造成审计部门与业务部门的对立;而非现场检查是开放、互动的,有助于审计部门与业务部门互信意识的培养,对业务部门的自我控制也具有良好的催化作用,减少对业务部门的干扰。因此绝大部分美国银行不鼓励大量采用封闭型的现场检查方式,而是提倡开放式、自律型的非现场检查,只有在非现场检查发现无法解释的问题时才考虑进行必要的现场检查。这样就有效提高了审计的针对性和效率,也提高了审计质量。这也是美国银行内部审计人员比例并不高的一个重要原因。当然,高效的非现场检查是以美国银行先进的管理信息系统支持为基础的。
六、对我国商业银行的启示
虽然美国商业银行的内部审计职能并非十全十美,但是对我国商业银行而言,仍然有许多管理思想和行为值得借鉴参考。
(一)控制环境方面
长期以来我国商业银行对内部审计重视不足,近年来因人民银行、银监会等监管机构的大力推动,内部审计得到了更多的重视。一些银行也正在进行提高内部审计独立性的尝试,如成立了地区审计部(审计中心),与所在分行脱钩等措施,在很大程度上提高了内部审计的独立性。然而,与美国银行相比,我国银行内部审计的独立性还有待提高。内部审计尚未完全独立,尤其是分行层面,尽管多数银行已明确由总行审计部对分支机构审计部门实施统一领导,但由于待遇等方面尚未脱离分行,实际仍受分行行长很大影响。在总行层面,组织结构上最突出的特点是审计部门不是直接对审计委员会负责,而是由行长等高级管理层直接分管(审计委员会多为新设立,其作用尚未充分发挥)。因此,我国银行还需要进一步调整审计体制,转为对审计委员会负责,加强内部审计的独立性。
与美国银行的审计人员相比,我国银行内审人员比例其实并不低,但是总体素质不高,尤其是一些基层行的内部审计人员,甚至存在部分人员因无法胜任业务要求而从业务部门转岗至内审部门的情况,这部分人员不仅不具备必要的商业银行业务知识,更缺乏足够的审计经验和专业能力。同时,我国银行审计人员的普遍缺乏审计专业背景,持有注册会计师,尤其是持有注册国际内部审计师资格的人占比很低。
由于特有的传统行政任命机制,目前我国各商业银行审计部门负责人中具有审计专业背景的比例也非常低,虽然大部分内审部门的负责人承认并重视内部审计的作用,但是专业背景知识的缺乏和知识的更新不及时,仍导致银行高管层对内部审计的定位、理念理解不足。因此,我国银行需要加强内审队伍建设,在现有的人事制度安排下强化内审部门与业务部门的交流沟通,引进业务骨干,加强对这些业务骨干审计专业知识的培训,同时鼓励原有审计人员(包括内审部门的负责人)继续学习,及时更新调整自身的知识结构,必要的时候可以专门组织内审人员参加国际内部审计师资格考试,通过考试督促内审人员学习并掌握当前先进的内部审计理念、方法和技术。在招聘新的内部审计人员时既要重视银行业务能力,也要重视审计专业能力的考核,考核内容要包括最新的审计理念、方法和技术。
(二)风险评估方面
长期以来,我国银行实行红头文件式管理,各项规章制度较为分散,基层行不容易掌握,从而造成内部控制过度与缺失的情形并存。相应的内部审计也多以合规性审计为主,审计结果发现基层行违反规定的主要原因往往是因为不了解相关文件精神,这类的内部审计效果并不明显,更多的是起到制度宣传的作用。在进行合规性审计时,大多数商业银行的内部审计对象仍然多以分行为单位,而非业务条线,这很容易造成审计对象的重复与缺失。比如,目前审计内容多为授信和财务会计等传统业务,这些传统业务审计的目标是查错防弊,主要发挥保护性、制约性作用,因而其审计重点更多地放在财务以及对基层行的具体操作控制方面,这些审计活动不仅对企业提高经济效益、增强竞争能力没有直接助益,还容易导致内审部门只重视细枝末节,而忽略了主要风险,实际是代替管理层履行了其应当履行的职责。对零售银行、信息系统等新业务审计较少,因此,尽管各银行对分行审计频次较多,但实际上传统业务审计重复与新兴业务审计缺失并存是目前需要解决的一个主要矛盾。
新巴塞尔协议的颁布引发了全球银行业关于风险管理的大讨论,我国一些大型银行也根据协议制定了风险管理实施规划,但大多银行对于具体的实施步骤还没有排上日程。在手册式管理已经起步、信息系统控制不断完善、条线管理改革逐步深入的今天,内部审计应顺应形势,重视控制环境,重视管理层风险意识评价,做到从源头上加强风险控制。积极加快开展风险基础审计,审计计划、审计程序的制定和实施要以风险防范为核心,各项审计技术操作则以风险防范为目标、以风险评估系统的结果为依据。在内部审计中,风险评估结果是整个审计计划的起点,同时,最终的审计结果又将反馈到风险评估系统中,作为下一次审计计划的起点,形成一个动态循环。
以分行和业务条线为标准,引入风险意识,科学划分审计对象。在审计计划阶段,通过风险评估结果,根据不同的风险发生载体,并结合分支机构和各种业务分类,将所有被审计的单位和业务划分为若干审计对象,确定每个审计对象的有关风险因素的风险评估得分,再根据风险评估得分的高低为每个审计对象确定具体的审计频率、审计人员数量、审计时间以及经费预算。在审计实施阶段,借助内部控制评价方法和风险分析方法等不同技术方法,确定审计范围、深度以及具体采用的审计程序,分析确定所涉及的风险因素,评估固有风险,根据内部控制状况评估控制风险,同时进一步确定检查风险,为测试和抽样提供依据,从而达到降低审计风险、提高审计质量和效率的目的。
(三)控制措施方面
我国银行监管部门尚未对银行内部审计制定具体的指引,可考虑参照国际内部审计协会的《内部审计实务标准》和巴塞尔委员会有关指导文件,制定适合我国银行情况的内部审计指引,引导我国银行加强内部审计,提高审计效率和质量。各家银行尤其是海外上市银行,可考虑加入国际内部审计协会,学习并根据国际内部审计标准开展审计,制定更为具体的内部审计工作手册,提高内部审计的规范性。
(四)信息交流方面
在我国银行信用风险、操作风险较高的情况下,内部审计更多扮演的是警察的角色,而非顾问。但随着国有银行股份制改革的不断深入,风险管理和内部控制不断加强,审计人员有必要转换审计理念,淡化内部审计的监督职能,同时强调其经营管理顾问的职能,使全行上下了解其为管理层提供的建设性意见,改进管理和内部控制,增加组织价值的审计目标。
我国商业银行内部审计人员与业务部门的交流机制、尤其是人员流动还非常缺乏。有必要加强与业务部门的交流,人员定期流动,这样既有利于内部审计人员进一步提高业务知识,也有利于加强审计部门与其它部门的沟通理解,消除业务人员对内部审计人员的敌意,积极配合内部审计人员的工作,共同促进审计目标的实现。
(五)监督方面
内部审计的监督目标是为了内部审计质量的提高,确保内部审计目标的实现。但目前我国银行的审计质量评估往往还停留在对量的关注上,也就是说关注的是内部审计工作发现问题的多少上,这是一个非常不合理的审计指标,因为问题的多少与被审计对象自身的风险、内控状况有很大关联,发现的问题多并不一定代表审计质量高。两个内审人员在对不同的审计对象进行审计时,我们并不能说某一个内审人员发现问题多,他的审计质量就更高。而且内部审计的目的并不仅仅是发现问题,更主要的目的是改善管理。因此,我国商业银行需要制定更为合理的审计质量评价指标体系,参照合理的质量评价指标体系,加强审计质量的自我评估与外部评估,科学评价审计效果,并总结经验与教训。
随着我国商业银行信息系统的不断完善,大集中系统上线,为数据的获取与分析提供了很大的便利,我国商业银行可以考虑尽快开发非现场审计系统,真正实现风险预警,提高审计效率和效果,降低现场审计成本。