近年来,随着金融体制改革的推进和中央银行职能的转换,尤其是《中国人民银行分支机构内部控制指引》、《内控评价办法》实施后,基层央行健全了内部控制机制,强化了内部审计的职能和地位,并逐步建立了以经济治理为核心、以风险管理为导向的内部审计体系,基层央行内部审计在优化内控环境、加强综合治理、增强风险控制能力、确保资金安全等方面发挥了重要作用。在风险管理日益受到重视的背景下,如何更有效发挥内部审计的作用,已经成为当前基层央行研究的重要课题。
一、内部审计和风险管理的关系
内部审计是一项独立、客观的确认与咨询活动,其目的在于增加价值,改善组织经营。它通过系统化和规范化的方法,评估和改进风险管理、控制和管理过程的有效性,帮助组织实现其目标。而风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响,从企业战略制定一直贯穿到企业的各项活动中,用于识别那些可能影响企业的潜在事件和管理风险,使之在企业的风险偏好之内,从而合理确保企业取得既定的目标。风险管理的本质就是采取合理的控制措施,将各种风险控制在组织可接受的范围之内,保证组织目标的实现。内部审计是风险管理不可或缺的组成部分,是一种行之有效的方法和手段,在现代管理中发挥着日益重要的作用。从发展趋势来看,人民银行内部审计越来越关注风险,且更强调风险规避、风险转移和风险控制,通过有效的风险管理提高整体管理的效果和效率,以保障央行依法、正确、有效地履行职责。
二、基层央行内部审计在风险管理中发挥的作用
(一) 发挥监控作用。内部审计作为人民银行内部独立的监督机构,主要负责对各项业务管理活动是否达到预定目标、是否遵循了规章制度等进行审计监督,属于单位内部控制系统中的一个重要组成部分。2010 年- 2015 年,株洲中支对所辖县支行和中支职能部门开展了53 次内部审计,其中: 领导干部离任审计18 次,履职审计8 次,风险导向审计3次、内控审计3 次,业务专项审计21 次,发现并纠正各类问题和隐患281 个,提出审计建议112 条。内审部门通过项目审计行使着管理层对下属机构和部门的受托责任进行监督评价的权利,向管理层报告业务及管理控制情况,向治理的参与者提供信息和咨询服务,从而达到对央行的业务活动进行监督反馈,对现存的规章制度进行查错防漏来提高风险管理水平,在检查监督各业务系统安全合规运行的同时,对本单位经营业绩起到了鉴证作用,较好反映了本单位各个时期在贯彻落实上级行的工作部署、执行货币政策、维护金融稳定、提供金融服务方面的履职绩效和内控管理状况。
( 二) 发挥评价作用。随着央行对治理问题重视度的不断提升,促进了风险导向审计的发展,也激发了风险导向审计评价作用的发挥。近年来,基层央行针对央行履职中容易产生风险的业务活动,采用有效的风险评估方法,对各个风险控制环节、各种风险控制措施进行风险评估,以此确定审计对象并开展风险导向审计,全面、客观地评价其固有风险、风险控制措施与成效,达到促进央行风险管理水平提高的目的。2012 年以来,株洲中支紧密围绕人民银行的中心工作,以重点业务和重要风险两个关键环节为切人点,组织实施了国库业务、货币发行、会计核算、再贷款管理、科技综合管理、办公设备管理、预算管理等重要业务管理专项审计、风险导向审计20 项,平均每年审计4 项业务。通过风险导向和专项审计发现业务管理中操作风险问题、业务处理不规范、检查监督等制度执行等问题,及时揭示其风险隐患,对有关部门和单位管理者受托责任和履行情况作出客观评价,通过内部审计评价,督促相关部门建立健全制度、完善操作程序、改进工作方法、严格制度执行,保证了各项重点业务操作的合规性,有效防范了业务风险。
( 三) 发挥风险导向作用。基层央行内部审计的服务作用,不仅体现在服务于职能部门的有效履行职责上,更体现在服务于实现组织的整体发展目标上。目前,基层央行内部审计通过实行风险引导审计,审计关注风险,使审计资源向风险突出、控制薄弱的领域倾斜,帮助央行提高效率实现组织目标。一方面,内审部门要与相关部门进行风险管理沟通,对风险管理过程的充分性和有效性进行检查、评价,对重大的审计发现及时向管理层进行报告,并传递给相关部门和相关人员,以便及时采取相应的控制措施,同时对审计发现问题的落实情况要进行跟踪,使风险得到及时控制; 另一方面,以防范风险为核心的内审部门,能从组织的利益和实际出发管理风险,提出防范风险的有效建议,为管理层决策当好参谋,通过有效的风险管理建议反馈,从而提高组织的整体管理效率。2015 年,株洲中支更加注重内控建设,把加强内控体系建设作为全年工作目标之一,在全辖组织开展了内控制度大学习、大讨论、大完善、大落实活动,修订和完善各项规章制度61 项,建立了23 个一级流程、66 项二级流程,确立风险控制点218 个,编制了内部控制手册、内控流程、风险清单、权限指引表等内控建设成果,内控体系框架更加完善。内审部门对审计发现的问题实行分级预警通报制度,按照违规行为次数和可能造成后果的严重程度由高到低实行一、二、三级预警分类管理,对其中可能存在的风险苗头、错误倾向,向有关单位( 部门) 予以警示提示,并将全年审计情况及结果进行通报。通过分级预警通报,促使有关部门落实内控制度,杜绝查而不改和屡审屡犯等问题发生。
三、影响内部审计在风险管理中作用发挥的制约因素
( 一) 风险管理的职能不明确。内审部门的一个职责是评价风险管理的恰当性,确保风险管理信息的真实准确性,协助管理层将风险控制在可承受范围之内,但应避免承担具体的风险管理职责。内审部门应以审计项目为依托,认真查找并掌握本单位相应的风险情况,通过职业判断,向管理层就风险管理提出专业的意见建议。如果参与的程度过深,渗透到具体的日常管理环节,就会出现职责冲突,导致内审承担责任过大的问题,会造成内审工作中自我评价,对内部审计独立性和客观性带来损害。目前实际工作中,内审与各业务部门在风险管理中的职责划分不构清晰,往往把风险管理与内部控制等同起来,相当一部分人认为内部控制就是内审部门的事,只要内审部门参与的事,就谈不上风险,致使业务部门过度依赖内部审计,而忽视自身在内控风险管理中的主体责任,内审部门则被动应付风险管理工作。
( 二) 内部审计的权威性不突出。被审计对象往往将内审部门视作对立面,很难从内心深处对内审工作给予积极支持和配合,内审部门对此缺乏有效的手段,内部审计的权威性有待提高。如: 上级制定的政策规定未及时传达至内审部门,内审人员了解政策滞后; 审计过程中被审计对象配合不积极,特别是同级审计存在的消极应付现象,自查时对风险管理存在的问题避重就轻,对检查发现的违规问题讨价还价,最后往往是大事化小,小事化了; 审计发现问题整改在一些管理层未引起高度重视,整改落实不到位、问题屡查屡犯的现象时有发生,审计达不到应有的效果。
( 三) 内审部门自身建设不理想。一是思想准备不足,内审人员大多还停留在传统的思维方式,习惯于对照制度规定进行合规性审计,对新业务、新知识的学习速度赶不上业务发展步伐,缺乏深入的审计专业知识及业务风险判断能力。地市级人民银行具有CIA 资格证书的审计人员的比例很低,使内部审计队伍综合素质很难适应内审转型的需要; 二是监督方式落后。目前,基层央行内部审计的方法和手段仍主要依靠手工操作及事后监督,信息技术审计和审计的信息化水平还不高,内审部门对风险信息的收集只能被动地进行,不能实现从业务系统中依靠实时监督来获取风险信息,达到事前、事中有效预防控制,削弱了内审监督的作用; 三是审计结果运用欠佳。审计工作中还存在重审计过程轻结果运用、重检查问题轻经验总结的情况,对问题的分析有时过于表面,缺乏对制度、机制等深层次的分析,提出建议的针对性和建设性不强,不能从根本上发挥内部审计服务组织治理的作用。
四、进一步发挥内部审计在风险管理中作用的建议
( 一) 合理界定风险管理职责,有效发挥内审职能作用。
基层央行要合理界定内审部门和业务部门在风险管理的职责,业务部门是风险管理的主体,负责具体落实风险管理和内部控制措施,确定和排查部门和各类业务的风险点; 内审部门是风险管理的监督者,对各业务部门风险管理和内部控制情况进行检查评价,发现本行各部门、各业务环节的潜在风险,提出改进建议,不能全权包揽全行的风险管理职责。要强化内审部门风险管理审计职能。根据当前形势发展的需要,内部审计应当围绕风险防范这个重点,逐步从合规性检查向风险性、有效性评价转变,内部审计的职责定位也应逐步从再监督向评价转变,重点评价内控制度的健全性和合理性,评价决策的科学性,评价资源利用的效率和效果。现场检查不仅要对照法规制度检查各项业务和职责履行情况,还要围绕风险点和风险环节,查找风险控制盲点和缺陷,分析评价现行管理和控制手段能否保证目标的实现,帮助改善内控和风险管理,从制度上、机制上解决存在的问题,促进基层央行依法、有效履行职责。
( 二) 完善风险管理体系,增强内部审计的权威性。
建立科学的风险管理体系,保持内部审计的独立性、客观性和权威性,是增强内部审计效果的重要前提。一要建立统一的内部审计组织体系。可在基层央行试行内部审计派驻制,建立由总行集中统一管理的内部审计监督管理体制,对管辖机构实行逐级派驻、下派一级,下级对上级负责,一级对一级负责,从管理体制上保证内部审计监督的高层次、权威性,消除来自各方面的对内审工作干预和制约,使内审部门能够真正依法独立行使职权。二是完善内部控制制度。业务部门要按照《中国人民银行分支机构内部控制指引》的有关要求,以风险防范为目标,适应业务发展要求,全面梳理、查找现有制度层面存在的空白点和执行层面薄弱环节,以制度、办法、操作流程等形式,构建科学完整的内控制度体系。三是建立基层行风险预警评估体系。内审部门要以信贷资金、联行资金、国库资金、发行基金为重点,结合本行实际,对重要部门、重要岗位、关键环节等容易发生风险部位的业务进行全面、有效的风险识别,排查并锁定风险点,设立具体的风险预警和评估指标,从人员配置、岗位设置、风险控制等各个方面进行约束牵制和测评,对风险控制情况进行通报,对不达标的部门和专业开展后续审计。
( 三) 加强内审自身建设,不断提升风险管理水平。
一是加强业务培训,提高队伍综合素质。基层央行要有计划地组织内审人员定期开展专业培训,交流先进的审计理念、方法和技巧,使其不断适应风险管理的需要。同时,要鼓励内审人员积极参加注册内部审计师考试,学习和掌握审计新理念、新业务、新方法,加快知识更新,更好地服务于风险管理实践,提升风险识别能力。二是创新监督方式,确保风险信息全面有效。基层央行要提高计算机应用程度,积极开发和利用风险评估、内部控制状况评价、业务数据分析等专门的审计软件,并与现行的业务操作系统对口衔接,使各项业务数据能够直接为内部审计所利用; 要重视非现场审计工作,多渠道收集有关风险管理的信息,通过对被审查单位业务数据和有关资料进行连续性的搜集、整理和分析,对所辖机构的内部控制状况进行连续、动态的监测,及时获得必要的审计线索,有针对性地开展审计。三是重视审计成果的综合运用,促进内审良性发展。要建立整改跟踪督办制度,加强对审计建议、意见的整改落实,发挥好内审审、帮、促的作用;加大审计成果信息反馈力度,将审计中发现的一些普遍性、倾向性及屡查屡犯问题以适当方式公开,引起领导和有关部门的重视,确保审计建议得到有效采纳,审计整改工作落实到位,切实提高审计成果的利用率。