导语:以内控评价为引领,将内控评价充分融入计划编制、审计实施、评价与报告等审计监督全过程,形成通过审计监督评价内部控制、通过内控评价引领审计监督方向的内部审计闭环体系,有助于科学兼顾成本效益原则,切实改善商业银行的内部控制,持续厚植合规文化。
重视内控评价与内部审计深度融合的现实价值
当前经济金融环境下,防范化解金融风险任务仍然艰巨,部分商业银行公司治理不健全、重效益轻合规,对业务潜在风险评估不足,对重要岗位关键人员缺乏有效约束,内控要求常常为业务发展让路,部分领域屡查屡犯、屡禁不止,乱象形式花样翻新,迫切需要强化内部控制建设,完善内部控制体系,激发商业银行合规经营的内生动力。2021年,银保监会开展银行业保险业“内控合规管理建设年”活动,专门要求建立并持续完善覆盖总行各部门、境内外各分支机构和附属机构、覆盖各项业务流程和管理活动的内控评价制度体系。
大部分商业银行内控评价工作实施主体为审计部门,还有一部分由内控合规部门或成立专门小组负责。从商业银行审计实践来看,受内控评价工作点多面广等因素制约,一些商业银行实施内控评价工作时,偏重于形式上满足监管合规的基本要求,对于促进内部控制改善、增加银行价值的内在目标实质满足不够,且大多数商业银行将内控评价与内部审计作为两项独立的工作割裂开来,仅在事后的成果利用上存在少量交集,审计成果运用深度不足,内控评价的工作意义被削弱。内控评价与审计监督有效融合,有助于提高商业银行内控管理综合质效。
从当前需要看,内控评价和内部审计深度融合具有必要性。首先,有助于进一步落实监管制度的要求。人民银行金融标准委员会发布的《商业银行内部控制评价指南》要求,内控评价包括日常监督、专项监督和年度评价,内控评价要充分利用和借鉴专业条线的检查和自查结果、行内审计发现及其他检查发现,实现行内检查成果的综合利用。不久前发布的《银行业保险业“内控合规管理建设年”活动工作要点》也指出,业务部门要强化内控合规的直接责任,推动业务流程和管理的重检与规范;内控管理职能部门要牵头做好内控体系的统筹规划、组织落实和检查评估;内部审计部门要夯实内控监督职责,开展内控充分性和有效性审计并监督整改。因此,商业银行需要通过优化内控评价工作程序,将内控评价工作要素贯穿至各项审计监督工作中,实现与审计监督事前、事中、事后深度融合,以准确、客观地评价商业银行内部控制状况。
其次,内控评价和内部审计深度融合有助于满足审计资源统筹高效利用的需要。当前监管政策整体趋严,监管部门对内部审计定位和履职有效性提出更高要求,商业银行风险防控压力大,内外部要求的审计事项不断增多,而商业银行审计资源增长有限,审计需求增长与审计资源紧张的矛盾相对突出。内控评价点多面广、资源耗费大,亟需与审计监督深度融合,提高资源综合贡献度。
从工作内涵看,内控评价和内部审计深度融合具有可行性。人民银行发布的《商业银行内部控制评价指南》指出,商业银行内控评价是指由商业银行董事会或类似权力机构按照规定的程序、标准、内容和方法,对商业银行内部控制有效性进行全面评价,形成评价结论,出具评价报告的过程。银保监会发布的《商业银行内部审计指引》指出,内部审计是商业银行内部独立、客观的监督、评价和咨询活动,通过运用系统化和规范化的方法,审查评价并督促改善商业银行业务经营、风险管理、内控合规和公司治理效果,促进商业银行稳健运行和价值提升。
商业银行内部控制评价的目标是对银行内部控制状况开展监督评价,发现内部控制缺陷,促进相关问题的整改,提升和完善内部控制等,以此促进商业银行内部控制目标的实现。内部审计的目标包括:推动国家有关经济金融法律法规和监管规则的有效落实;促进商业银行建立并持续完善有效的风险管理、内控合规和公司治理架构;督促相关审计对象有效履职,共同实现本银行战略目标。因此,从两者的内涵来看,内控评价和内部审计在工作目标、工作性质、工作范围、工作标准等方面存在一致性。内部审计监督以内控评价结果为工作导向,这为两者深度融合提供了可行性。
图1:内部审计监督可探索以内控评价结果为工作导向
做好四大环节的深度融合
基于内控评价可贯穿于内部审计各流程工作、内部审计监督以内控评价结果为工作导向的可行性实践逻辑,商业银行可创新实践方法,以内控评价为引领,构建审计监督计划编制、审计实施、报告建议、后续审计的全流程闭环管理运行机制,将内控评价工作要求充分融入审计监督全过程各环节,并将大数据审计贯穿全局,形成通过审计监督评价内部控制、通过内控评价引领审计监督方向的深度融合高效运作机制。
以内控评价为引领,就是将商业银行的依法合规稳健经营作为内部审计监督的出发点和落脚点。内部审计既要检查揭示问题事实,还要延伸查找问题背后的内部控制缺陷,做好针对性评价。重点要做好以下环节的融合:
与计划编制深度融合。计划编制前,基于全年审计监督情况及内外部经营发展变化,开展内控评价和风险评估,确定内部控制薄弱的机构和业务领域,作为下一年度审计计划编制的重要依据。审计计划确定的重点机构和重点领域涉及的流程,作为计划年度内控评价的重点机构和重要业务流程。
与审计实施深度融合。统筹考虑全年审计工作计划安排,将内控评价流程统筹分配至各类项目审计中,并将主要风险点纳入审计检查范围,编制统一的审计程序。现场审计深入了解问题成因,延伸查找问题背后的内控缺陷,整体评价审计对象或相关领域内部控制设计和运行的充分性、有效性。
与审计报告深度融合。审计报告从揭示问题向揭示问题背后的内控缺陷转变,增加机构、条线内部控制状况评价,有利于审计对象进行根源性整改,采取针对性举措完善内部控制,避免仅就事论事整改。年末,审计部门从机构、条线两个维度梳理分析商业银行内部控制状况,自下而上、逐级汇总,从集团的体制机制、制度、流程和系统的角度,归纳提炼,寻找问题,出具分行及附属机构、条线内部控制评价分析报告。最终商业银行按规范要求编制内控评价报告,对外披露及报送银保监会。
与后续整改深度融合。内控评价应明确各类型内控缺陷的整改责任单位和纠正措施,内控评价的结果运用要到位,要与被评对象的绩效考评和授权等挂钩。内部审计要加强对内控评价结果运用的监督,促进管理岗位充分履职,不断改进提升内控风险管理水平。另外,内部审计的下一年度工作计划,应以全行和各机构条线的内控评价结果为重要参考,筹划做好后续的审计工作安排,从而形成整体工作的闭环持续改进。
分阶段构建深度融合下的内控评价体系
在《商业银行内部控制评价指南》确定的框架体系基础上,商业银行可构建深度融合下的内控评价体系,包含评价准备、评价实施、缺陷整改跟踪、报告编制和披露等模块。
图 2 深度融合下的内控评价体系
评价准备阶段。首先,开展涵盖风险评估的全面内控评价。在审计计划编制阶段,审计部门对上一年度审计发现问题按内控流程进行归并分析,综合考虑业务单元或机构规模、风险事件、监管检查等因素,识别评估商业银行各业务单位、机构的固有风险和剩余风险,形成全行风险热图。并确定内部控制较薄弱、剩余风险较大的机构及业务流程,作为下一年度计划编制的重要参考。
其次,确定重点机构和重要业务流程。综合考虑商业银行主要经营风险、监管及治理层关注重点领域、业务规模及变化等因素,将内部控制较薄弱、剩余风险较大的机构及业务流程,作为全年内部审计和内控评价的重点。
最后,统筹分配内控评价流程。确定重点机构和重要业务流程后,统筹考虑全年计划安排和审计资源,将内控评价业务流程统筹分配至全年审计项目中;无法分配的流程,通过日常监督进行覆盖。综合考虑审计资源有限性,对于重要业务流程,要求全面、充分覆盖,对于非重要业务流程,可以结合机构实际,选取部分机构进行覆盖。
评价实施阶段。应统筹考虑全年计划安排和审计资源,将内控评价与全年审计监督相结合,可不再单独开展现场测试工作。制定项目审计方案时,将内控评价流程中的主要风险点纳入项目审计范围,编制统一的审计程序,明确具体抽样要求。
在项目审计及经济责任审计方面,首先,在非现场分析环节,项目组应将分配的业务流程纳入非现场分析,分析业务流程涉及的所有业务单元或事项,准确、全面地评估审计对象或领域的业务特征和风险特征,确定现场审计重点和抽样。审计抽样要整体上评估是否符合分行业务特征和风险特征,能否全面、客观地评价审计对象或领域内部控制设计及运行的有效性。非现场分析难以评估样本充分性的,可参照《商业银行内部控制评价指南》确定的标准进行抽样。其次,在问题沟通环节方面,项目组应加强与审计对象沟通交流,深入了解问题成因,延伸查找问题背后的内部控制设计或执行缺陷,并将缺陷进行初步定性和归类。对于普遍性问题、风险性问题,还要从内部环境、风险评估、控制活动、信息与沟通、内部监督等公司层面延伸检查和分析,追溯相关的内部控制缺陷。在审计后期,项目组要整体评估审计抽样的充分性,确保能够全面、客观地评价审计机构或领域的内部控制有效性。审计组要根据缺陷初步定性和归类情况,编制评价工作底稿。抽样样本清单和评价工作底稿作为内控评价汇总分析及评估业务流程覆盖充分性的重要依据,也是审计项目质量控制的载体。主审人、组长、质量控制人需做好质量控制工作。
在日常审计监督方面,专管员开展日常审计监督,应围绕监管关注重点及分支机构经营发展主要风险,对分支机构持续开展日常监测分析,实时了解掌握区域分行主要经营矛盾和重要风险管控,前瞻性地提示并防范机构突出风险。同时收集项目审计未覆盖的分行或附属机构重要业务流程内部控制设计与执行有效性的证据,为年末开展机构内控评价积累素材。日常审计监督发现分支机构风险事件或风险性问题时,应与问题责任人员沟通交流,深入了解问题成因,从风险事件或风险性问题涉及的业务流程、环节入手,延伸查找相关流程及环节的内部控制设计和执行缺陷。
在流程覆盖评估方面,年末审计部门应组织开展内部控制流程覆盖情况的梳理评估工作。根据审计样本清单、评价工作底稿,从机构维度梳理全年审计抽样对内控流程的覆盖情况,对流程覆盖充分性进行评估,确定是否开展补充测试工作。对于一些管理类流程,难以通过抽样量大小体现覆盖情况的,可通过专业判断方式进行评估。确定开展补充测试的,建议根据近三年审计监督对机构覆盖情况,选定部分机构开展现场测试。
缺陷整改跟踪。首先,建立缺陷整改跟踪机制,将问题缺陷纳入项目审计和日常审计监督中持续跟进,重大和重要缺陷审计重点督改。对于报告期内不能整改到位的,要加大建议问责和后续审计再监督力度。
其次,在缺陷认定方面,一是要确定缺陷认定范围。根据缺陷整改跟踪结果,可汇总梳理截至评价年度12月31日末的内部控制缺陷,包括监管检查、审计监督发现的内部控制缺陷,以及可能影响内部控制有效性认定的风险事件。必要时可将专业检查发现的重要缺陷纳入缺陷认定范围,确保评价准确、全面。二是要明确缺陷认定流程。项目组根据审计发现,查找问题背后内部控制成因后,对缺陷进行初步定性和归类。年末,根据内部控制缺陷认定标准,结合内部控制缺陷对内部控制目标实现影响的严重程度及发生可能性,自下而上对全年各类缺陷进行综合评估,提出认定意见。存在重大缺陷时,逐级报送至董事会予以最终认定。对于重大缺陷,审计部门需督促测试机构限期整改,及时采取应对策略将风险控制在可承受度之内,有必要时应移交监察部门追究有关部门或相关人员责任。
报告编制和披露。首先,与外审机构沟通确认。年度内部控制评价报告编制前,就商业银行内部控制领域的重要问题或事项,与外审机构进行沟通交流,确保内部控制有效性认定结论的一致性,并收集外部审计发现的内部控制缺陷、缺陷认定结果、管理建议书等相关工作成果。财务报告方面,内部控制结果可参考外审机构的工作成果运用,发挥外审机构财务方面的审计优势;内审部门着重把有限的审计资源用于非财务报告内部控制流程的测试评价,发挥内部审计在非财务方面的审计优势,同时也关注外审机构在非财务方面的审计意见。
其次,做好机构、条线内控评价分析。年末,审计部门从机构、条线两个维度梳理分析银行内部控制状况,自下而上、逐级汇总,从集团的体制机制、制度、流程和系统的角度归纳提炼,寻找问题,出具分行及附属机构、条线内部控制评价分析报告,安排评价者与被评价对象面对面充分沟通交流,用于风险防控和管理能力提升改进。
再次,编制和披露年度评价报告。在机构、条线内控评价分析的基础上,根据缺陷认定结果,按照证监会信息披露要求及报告模版,编制年度内部控制评价报告,逐级报送董事会审议,通过后对外披露并报送银保监会。对于内部控制评价报告基准日至发出日之间,发生影响内部控制有效性的因素,根据其性质和影响程度对评价结论进行相应调整。
评价结果再运用。要高度重视集团全行内控评价过程中,对各条线、各分行及附属机构的综合评价分析,要将存在的重要问题以及管理方面存在的薄弱方面,除交由责任单位强化整改外,审计部门还应将此纳入后续全行全域风险评估的重点关注内容,并在下一年度审计计划中做好跟踪监督安排,切实形成循环闭环管理机制。
本文首发于微信公众号:中国银行业杂志。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。
(李佳佳 HN153)