中国建设银行厦门总审计室 

一、内部审计与内部控制的关系

内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。内部审计则以促进建立和健全有效的内部控制、督促审计对象有效地履行职责为宗旨，所以内部控制是内部审计的工作对象，内部控制评价是内部审计的一项审计内容。同时，内部审计作为内部控制的一个重要组成部分，它的职责是履行监督职能，检查内部控制应当建立的“控制点”是否齐全、合理、是否发挥作用，评价内部控制的完整性、合理性和有效性。对存在缺陷或无效的内部控制，内部审计人员应提出改进和完善建议，并督促有关部门执行，所以内部审计又是对内部控制的再控制，实际上就是对内部控制的评价过程。

二、内部审计在内部控制体系建设中的作用

内部审计在银行公司治理、体制再造中处于极其重要而又特殊的地位。它是内部控制体系的重要组成部分，也是监督与评价内部控制其他部分的主要力量，因此它在强化内部控制方面发挥着不可替代的积极作用，主要有风险评估、内部控制评价、遵循性审查和咨询服务四个关键性作用。

（一）主动、持续地发现并评价重要的风险因素，帮助改进风险管理

1.客观地、从全局的角度管理风险。风险在各银行内部具有感染性、传递性、不对称性等特征，即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担，而会传递到其他部门，最终可能使整个银行陷入困境。因此对风险的认识、防范和控制需要从全局考虑，而各业务部门又很难做到这一点。内部审计人员不从事具体业务活动，独立于业务管理部门，这使得他们可以从全局出发、从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。

2.调控、指导银行的风险策略。由于内部审计部门处于银行的董事会、行长与各职能部门之间，内部审计人员能够充当银行长期风险策略与各种决策的协调人，通过对长期计划与短期计划的调节，内部审计人员可以调控、指导银行的风险管理策略。

3.内部审计部门的建议更易引起重视。内部审计部门独立于管理部门，其风险评估的意见可以直接上报给董事会，这会加强管理当局对内部审计部门意见的重视程度。

（二）强化内部控制的动态评价，保证管理层持续获得控制确认

内部审计作为内部控制系统的一个重要组成部分, 与其它控制形式相比,更具全面性、独立性、权威性,是对其它控制的一种再控制。内审人员处在银行内部控制环境中，对各方面因素非常熟悉，了解各项业务活动的关键控制点，定期对经营机构的内控状况进行独立评价，向高管层提供客观、真实的内控报告。同时，内审人员还帮助组织进行“软控制”环境的营造，成为内部控制过程设计的顾问；对怎样利用机会、鉴别风险、强化银行管理，积极贡献有价值的建议。正是因为内部审计具有管理的控制职能, 为内部控制的有效执行提供保证，所以在为改进内部控制提供建设性意见上,它有着其它控制方法无法比拟的作用。

（三）促进对既定制度和程序的遵循，揭示违规和舞弊行为

制度和程序的执行力是衡量银行公司治理有效性的重要标准，内部审计监督职能的体现很重要的一点就是检查并发现逾越政策和规定的现象，并提示管理层关注现实和潜在的风险。这表现为：一是揭示了操作风险及道德风险的范围及影响；二是提高了政策、程序及银行规章制度的严肃性和权威性；三是促进了业务流程的再造、优化和完善。

（四）服务于参与治理过程的各方，为管理活动提供建议

内部审计机构具有监督和服务两种职能。作为银行内部行使监督职能的审计机构,审计监督都是以主动监督为主,以法律服务为己任,以防止银行违法违纪发生为目的。随着内部审计职能的拓展，内部审计的独立经济监督活动转变为以服务为导向的经济控制机制，并且这种服务是双向的，既面向决策层也服务于高级管理者。内部审计在不失原则、恪守独立性的前提下，通过为管理活动提供建议，有效地参与了公司治理的过程。正如内部审计协会在其发布的《内部审计责任书》中认为的，内部审计是在组织内检查各种业务活动以向管理部门提供服务的独立评价活动，是一种通过计量和评价其他控制的有效性来发挥作用的控制。

三、深化审计体制改革，更好地发挥内部审计在内部控制建设中的作用

一要切实维护内部审计的独立性，逐步树立内部审计的权威性。改革审计体制，实施总行垂直管理，根本目的就在于提高审计的独立性。有了基本的制度和体制保障，更主要的还是要在实际工作中切实执行，以真正维护内部审计的独立性。内审部门要坚持“精神独立”的观点，只要精神上独立了就能做到排除内外干扰、客观公正地发表审计意见，体现了实质重于形式的原则。另外内审部门要提高自身的素质和业务水平，审计人员要熟练地掌握银行业务知识、规章制度和审计专业技术，在审计过程中要能够把握关键控制环节和主要风险点，准确查找和分析问题，揭示风险隐患，并从组织结构、运行机制和内部控制等方面提出有价值的建议。这样，我们的审计成果才能得到审计对象的认可、尊重和重视，才能体现审计价值，真正树立审计部门的权威性。
    二要拓宽内部审计的范围，提高审计质量。首先，要以风险为导向，加强对银行整个内部控制及业务流程的审计，找出银行内部控制的关键点和薄弱环节，加强和改善银行的管理，提高抗风险能力，从整体上推进银行经营水平和经济效益服务。其次，加强对银行创新业务审计。目前银行新业务层出不穷，衍生金融产品、电子银行产品等在为银行带来巨大利润的同时也成为银行风险的新来源。内部审计人员要加强对创新业务的审计，发现其薄弱环节并提出改进意见，使银行在保持金融创新能力的基础上能有效地防范金融风险。第三，推进对混业经营业务的审计。混业经营将成为未来商业银行发展的趋势，内部审计人员要拓展知识结构，能够适应未来证券、保险、信托等行业纳入商业银行常规审计范围对审计人员的新要求。

三要实行持续的审计监督，保持风险监控的连续性。为改变对被审计对象现场审计监督的间断性、不连续缺陷，可以从实际出发，实行持续的审计监督。一是明确持续审计的定位。将持续审计作为整个审计循环的重要组成部分，有效填补两次现场审计之间的监督空白。现场审计间隔期间，对被审计对象的业务经营活动继续实施动态监测，对问题疑点进行审计查询，作出风险评价与预警，防范审计间隔期间的风险，且为下一次现场审计提供依据。二是建立持续审计的流程。持续审计一般以远程审计方式进行，基本流程包括信息资料收集、持续监测分析、信息使用反馈三个阶段。三是制定可操作的持续审计措施。对每一个被审计对象，指定监督人员负责持续审计。各级审计部门对监管人员的持续审计工作进行考核。

四要提高审计整体队伍和人员的专业素质和水平。审计人员的专业胜任能力是充分发挥内部审计作用的前提条件，这意味著审计人员必须具备足以完成任务必要的知识、技能和其他专业能力，必须具有独立收集、分析、评价和记录信息的能力。随著内部审计在银行公司治理结构中的地位日益重要，审计部门就不仅仅需要财务会计专家，而且也需要大量具备经济学和银行管理学知识的专家，包括内部控制专家、风险管理专家、公司法理专家和信息系统审计专家。因此，必须通过各种途径比如后续教育、业务培训等来提高银行审计整体队伍和人员的专业素质和水平，这样才能为公司治理提供源源不断的符合要求的监督控制资源。

五是在提高审计人员专业素质和水平的基础上，可适当考虑聘请“外脑”，为内部审计出谋划策。外脑”为旁观者，他既不是我们的客户，又不是我们的竞争对手，他能公正客观地看问题。“不识庐山真面目，只缘身在此山中”，站在银行外看银行，对银行的认识才会更深刻、更客观。所以审计也可以考虑适当引进“外脑”，聘请在不同领域有丰富理论基础和实践经验的研究和分析人员，利用他们在各自领域的研究专长，分析预测行业走势及国家宏观调控带来的影响，这样能够有效地吸收“外脑”的研究精华，帮助内审部门判断和把握各行业的走势与风险等等，进而为审计提供指导，及时调整审计的重点和策略。
    六要重视对信息科技和电子银行的风险控制。信息科技和电子银行的风险与业务方面的风险不同，业务风险及操作风险等一般是局部性的风险，对于银行虽有很大影响，但一般不会造成全局性的问题，而信息科技和电子银行方面的风险是系统风险，一旦出现风险将造成全局性的影响，对一个银行的商誉和形象都将是极大损害，所以应十分重视对信息科技和电子银行风险的控制。

七要重视审计成果的有效转化，提高审计成果利用率。内部审计不是为了审计而审计，而是要通过实施审计事项，准确全面地了解和评价经营管理和内部控制的状况，查错纠弊，揭示经营活动和基础管理中存在的问题，促进审计对象改进工作。为了实现审计成果的有效转化，一方面，审计部门要强化对审计成果的收集整理和加工提炼，加强对典型案例和普遍性问题的分析和总结，提出现实可行和具有建设性的审计建议，为决策层、管理层科学决策和采取对策提供依据。另一方面，要重视审计追踪，建立有效的整改机制，督促被审计单位弥补漏洞，纠正问题和偏差，改善内部控制状况。