中国上市银行内部控制审计现状分析及对策建议,本文主要内容关键词为:中国论文,内部控制论文,对策论文,现状分析论文,建议论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、引言
2001年,安然事件、世通事件等影响巨大的财务舞弊案,直接催生了2002年美国《萨班斯一奥克斯利法案》(以下简称SOX法案)的出台;而2008年全球金融危机的爆发,则直接拷问着企业的风险管理和公司治理,其间暴露的不足又一次证明内部审计在企业内部控制、风险管理和公司治理中的重要意义。至此,强化对内部控制的监管已经逐渐成为全球关注的焦点与热点。迄今为止,我国的企业内部控制也走过了漫漫长路。自20世纪90年代起,我国企业逐步加强了内部控制建设,这既出于企业自身发展需求,也离不开监管部门的监督推动。而银行业作为高风险行业的特征和内控漏洞频发的现实①使得其内部控制在后金融危机时代面临着前所未有的挑战。中国银监会副主席王兆星指出:“中国银行业在‘十二五’时期……要进一步提升公司治理能力、风险管理能力,提升国际核心竞争力(曹文萱,2010)。”因此,研究如何更好地进行风险管理和内部控制是银行业面临的共同课题。而事实上,我国监管部门一直在寻找加强银行业内部控制的监管措施②。直至2008年,财政部等五部委联合发布《企业内部控制基本规范》(以下简称《基本规范》),更被称为中国版的《萨奥法案》(简称CSOX);2010年4月财政部等五部委又联合发布《企业内部控制配套指引》,自此,我国企业内部控制规范体系基本建成。
内部控制审计,是指银行内部审计部门对银行内部控制有效性所进行的独立、客观的确认和咨询活动,旨在满足监管要求、改善内部控制和增加公司价值。内部控制审计是确保受托责任履行的一种控制机制,是对内部控制系统的再监督,是内部控制的关键环节。《基本规范》要求:“自2011年1月1日起在境内外同时上市的公司施行,自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行”,而迄今为止,尚未有研究对中国上市银行的内部控制审计现状进行全面分析。本文以国内A股市场上市的商业银行为研究对象,着重了解其内部控制审计现状,以期梳理、分析中国银行业内部控制审计的亮点和不足,为监管部门制定行业内部控制审计操作指南提供依据。
二、调研设计
区别于现有文献基于上市银行年报等公开信息的内部控制研究,本文的数据资料依托于中国工商银行内部审计局对中国所有A股上市银行的问卷或访谈调研结果;而针对未收回问卷的3家银行③则以公开披露的信息为资料来源,以期描绘中国上市银行内部控制审计的全景图。
(一)调查问卷的设计
结合内部控制审计的应用框架和审计流程(中国工商银行内部审计局,2010),本调查问卷的设计包括以下12个方面的内容,即历史沿革、组织体系、审计主体、审计目标、审计内容、审计标准、审计方法、审计流程、质量控制、审计报告与沟通、审计团队和发展展望(见表1)。
(二)问卷的发放与回收
此次调研包括两个阶段;第一阶段为问卷调研阶段,以A股上市银行为对象发放调查问卷,共发放了16份;第二阶段为访谈调研阶段,针对收回的调查问卷进行分析,对回答模糊、没有回答以及没能收回问卷的银行进行实地或电话访谈调研。此次调研共收回13份答复,其中,1家银行采用实地访谈调研的方式,3家银行针对收回的问卷进行了进一步的电话访谈,问卷回复率达到81.25%④回答问卷的人员63%为从事内部控制审计的人员.37%为内审部门负责人。
三、调研问卷分析
调查结果显示.随着2005年银监会出台《商业银行内部控制评价试行办法》,各银行都相继成立了内部控制的监督部门,行使对内部控制体系的评价职能;而随着2011年境内外上市企业以及2012年主板上市企业即将执行《基本规范》及其配套指引,各家上市银行都加快了规范内部控制建设、梳理、实施与评价的步伐。以下分别从内部控制审计的组织体系、应用框架各要素、审计报告与沟通、审计团队、发展展望等几方面展示中国上市银行内控审计现状。
(一)内部控制审计地位凸显,但仍存差异
内部控制审计作为公司治理的“四大基石”之一,在完善公司治理和加强风险管理中发挥了重要作用。
1.内部控制审计在公司治理中的作用。在监管的推动下,我国上市银行都建立了“三会一层”的公司治理机制,内部审计通过确认内部控制信息、揭示内部控制缺陷、证明内部控制缺陷原因和提出减少内控缺陷的咨询建议,为董事会及其审计委员会提供公司治理的根据。调查问卷显示(见表2),经过银行上市期间对内部控制和内部审计体制的改革,大部分银行的内审部门已经从“稽核部”改制为“内审部”,侧重在对内部控制的确认和咨询功能上,但仍有7家银行的内审部门名称中冠以“稽核”、“合规”的字眼,这说明内审部门主要承担的是监督确认职能,而在咨询职能上略有欠缺,在公司治理中的作用尚有发挥空间。
另外,从表2的内审部门的报告路线可以看出,63%的银行能直接或在职能上向董事会(或董事会审计委员会)报告,同时向监事会和高管层报告;而仍有6家银行由行长直接负责或行长主要领导,但同时有权向董事会和监事会报告。根据《国际内部审计专业实务框架》,内审部门向董事会、审计委员会或其他相关治理机构报告业务工作,向高管层报告行政工作,是最有利于现代企业制度下内部审计职能发挥的制度安排,是真正将内审纳入到了公司治理结构中,从而使内部控制审计具有较高的相对独立性和权威性。而如果内部审计部门直接由行长负责,则由于内审部门与其他职能部门地位平行,难以真正进行独立的监督。而回收的问卷中,基本都认为最理想的报告路线应该是向董事会(或董事会审计委员会)报告,这说明从实践的角度,较高的独立性和权威性更有利于内审职能的充分发挥。
2.内部控制审计在风险管理中的地位。内部控制审计是全面风险管理体系中的重要组成部分,充当风险管理的第三道防线,是在第一和第二道防线⑤的基础上,从银行整体战略和全面风险水平的角度出发,抓关键控制,进行重点检查,保证银行的整体风险水平在可控范围之内,服务于银行战略目标的实现。调查结果显示,所有上市银行都将内部控制审计作为风险管理的第三道防线,行使对第一、第二道防线的再控制和再监督,内部控制审计成为风险管理的必要环节。
3.内部审计部门的管理体系。内部审计的独立性还体现在内部审计部门内部的管理体系上。如表3所示,除了两家城市商业银行因为发展规模有限而不需要设置内审分部以外,其他14家上市银行都设有内审分部,都受总部的垂直领导,进而在组织架构上保证了一定的独立性。然而,进一步的调研发现,有一家银行的内审分部同时还受所在分行的领导,而且有71%的内审分部能对当地分行进行审计。我们认为,最独立的组织架构应该从交叉审计、机构设置、人员配备、经费预算等实质性方面来保证内审部门能够独立客观地进行审计。可见,现阶段我国上市银行的内部审计独立性仍存差异,有进一步改善、增强的空间。
(二)内部控制审计应用框架尚未构建,各要素水平参差不齐
内部控制审计的应用框架⑥是由审计主体实施的,以审计内容为基础,以审计标准、审计流程、审计方法为支柱,服务于审计目标的屋形结构,全程一以贯之的是质量控制。在此次的调研中,我们发现,中国银行业的内部控制审计应用框架尚未构建,各银行对行业标准的出台非常期待,而应用框架各要素的水平参差不齐。
1.审计主体。根据《基本规范》第十五条规定:“内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查”,因此,内部控制审计应该由单独的部门——内部审计部门执行,因为内部其他部门的加入,都会削弱内审的独立性和权威性,当然,在企业内部控制审计制度和技术尚不成熟时,可以聘请外部的会计师事务所合作或直接外包。调研结果显示,58%的上市银行的内部控制审计由内部审计部门独立完成,而42%的上市银行则由内审部门牵头、公司其他部门协助完成。结合这些银行的内部审计团队规模及其内部审计的内容,我们认为造成这种现象的原因可能有两点:一方面,上市银行并没有真正发挥内部控制审计抓关键控制、进行重点检查的第三道防线职能,而更多地充当了内部控制全面监督确认的职能;另一方面,上市银行尚未建立完善的内部控制审计体系,方法技术、标准流程等都不甚成熟,尚需要其他部门(如内控合规部)的协助。
2.审计动因。在对内部控制审计的动因调查时,77%的上市银行都认为银行自身的风险管理需求是内部控制审计的第一动因,其中60%的银行认为管理层要求是第二动因,外部监管是第三动因,说明多数银行将内部控制审计已经内化为银行风险管理的必要部分;但仍有少数银行认为内部控制审计是外部监管的要求,或者认为是管理层的要求才开展了内部控制审计。我们认为,内部控制审计见到实效必须找到一个核心的推动力,这种推动力应该来自于银行内部,因为真正的执行主体只可能是银行自身,所以应该从银行内部风险管理需要出发,而不是简单地满足外部监督的要求。
3.审计内容。调查显示,我国上市银行基本都能按照COSO五要素⑦或者划分为几个层面(如公司层面、流程层面和信息科技层面)进行全面审计,过半数的银行更是构建了矩阵式的审计框架,将COSO五要素贯穿在公司层面、流程层面和信息科技层面的审计中。
而对确定内部控制审计内容的重要工具——识别关键控制,一直是实务界最困惑而亟待解决的难点。此次的调研也显示,大部分问卷只是列示了审计中关键的业务环节,而并非关键控制和关键风险点。在对部分银行的进一步访谈中,大部分的回答是“凭经验判断来确定关键控制”,包括来自内部审计师多年工作的经验积累和来自外部会计师事务所的经验借鉴。另一种识别方法即是定量的分析方法,按照与控制点相关的风险重要性水平和控制失效发生的可能性,将控制点区分为关键控制点、次关键控制点和一般控制点。但这种方法的局限性在于,银行的业务是不断更新的、风险是动态变化的,该定量分析方法并不能持续动态地自动识别关键控制点。而作为抓关键控制、进行重点检查的内部审计部门,不可回避的就是对关键控制的识别,因此,进一步加强对动态关键控制识别的方法论研究是非常必要的。
4.审计标准。审计标准包括两部分,一是实务标准,与内部控制要求具有相通性,是内部审计视角的控制标准,一般以监管法规、银行控制制度、控制目标和国内外领先控制实务为依据编制而成,是用以衡量银行内部控制是否合规、合理和有效的审计准绳;另一个是认定标准,是对内部控制审计结果的衡量准则,包括对内部控制缺陷和有效性的定义、分类和界定依据。
调研显示,我国上市银行基本建立了以外部监管法规、银行自身的控制制度及控制目标为依据的实务标准,但对国内外领先控制实务提及较少。我们认为,银行自身的控制制度既是编制内部控制审计标准的依据,也是内部控制审计的对象,在将内部控制制度作为编制审计标准的依据时,必须保持必要的审慎和进行独立的判断。
而对于认定标准,中国上市银行主要有两种做法,一种是按照银监会的《商业银行内部控制评价办法(试行)》,采用评分方法来确定内部控制有效性;另一种是银行已经按照《基本规范》,将控制缺陷分为重要、重大和一般缺陷,而在从控制缺陷判断内部控制有效性时则更多地采用定性判断,没有统一的标准。
鉴于内部控制审计标准的重要性,在问卷和访谈调研中,很多上市银行都希望监管部门能够出台一套可操作的内部控制审计行业标准,以实现对全行、各业务板块和各分支机构内控状况的持续监督评价。
5.审计方法。调研结果显示,中国上市银行的内部控制审计方法和工具创新性不足。在收回的13份上市银行调研问卷中,高达76.92%的银行尚未使用流程描述或流程图、专题讨论会或风险控制矩阵等方法,更多的是采用询问、访谈、实地检验等传统方法。结合过半数银行的审计方法都来自于银行历年的审计实践经验,我们认为,中国上市银行的审计方法创新有较大的提升空间。
在风险导向审计理念下,上市银行识别和评估风险的方法显得尤为重要。调研结果显示,我国上市银行更多地关注银行内部机构、业务条线等方面的风险,而较少关注外部宏观环境的风险,在当前内外部环境较为复杂的情况下,外部宏观环境风险是需要特别加以关注的。另外,我国上市银行内部审计部门对风险的识别和评估缺乏独特的全面风险观,大部分都在其他部室风险评估(如风险管理部)或自评估(CSA)的基础上直接确定风险所在。我们认为,鉴于内部审计部门在组织架构中超然独立的地位和战略视野,在借鉴其他部室风险评估的基础上,还应该有自己独立的风险判断,应该充分利用非现场技术、以往审计的经验以及现场与被审计对象的访谈等机会,合理确定和适时调整风险判断,形成一套银行集团层面的风险观。
在内部控制审计信息化程度方面,92.3%的上市银行都拥有或正在开发⑧内部控制审计的信息系统,并且其中83.3%的上市银行的审计信息系统已经与业务系统实现了对接。但在审计信息系统所发挥作用的调研中,近70%的银行都仅仅局限在对审计流程的管理和信息汇集上,没有充分发挥信息系统的全部功能。调研显示,工行、招行、深发展和兴业银行的内部控制审计信息系统功能较为全面,大致包括:审计管理系统,其实现了审计过程记录、后续监督和审计质量控制等方面的功能;监测系统,一般通过具体模型的设定和关键指标的设定,实现对风险数据、重大业务风险、机构业务风险等的持续和全面监测;审计业务系统,即通过与业务信息系统对接,将与审计有关的业务数据进行全面汇集;不属于内部控制自身的系统,但内部审计部门可以根据需要随时调阅相关数据。与信息化密切关联的是非现场审计工作,调研结果显示,77%的上市银行实施了专门的非现场审计,其中50%的银行非现场审计所占用的时间占整个项目的审计时间近30%。非现场的作用主要体现在审计项目中,包括数据获取、数据分析,发现可疑样本,进而确定审计样本,以提高审计的精准度,节约审计资源;同时,在审计项目中,非现场审计技术还辅助现场审计,节约现场审计资源。但非现场审计技术在中国上市银行的风险评估和日常监测上作用有限,只有23%的银行不同程度地发挥了风险评估和日常监测功能。由此可见.中国上市银行的信息化平台已经搭建,但其功能的充分发挥还有待于进一步的开发和挖掘。
6.审计流程。调研结果显示,大多上市银行审计的基本流程包括了审计计划、审计准备、审计实施、整改落实等步骤。但在实践中,各银行所执行的具体审计流程繁简各异。大多数银行都没有进行风险点和控制点的梳理,审计方案没有经过专家委员会的评审,没有构建风险控制矩阵。这说明中国上市银行的内部控制审计尚未实现标准化流程,急需监管部门出台统一的行业标准。
7.质量控制。审计质量是内部审计赢得声誉和信任的重要保障。调研显示,中国上市银行全都建立了质量控制手段,主要包括审计方案和审计报告的评审、审计过程的逐级复核、审计项目的评估等。但我国上市银行的质量控制手段纷繁不一,缺乏对外的一致性,所以仍然缺乏可比性,进而影响银行业内部审计的可信度。
(三)审计报告能揭示缺陷,但标准尚不统一;沟通充分,并建立了相应的考核机制
根据上交所和深交所的《上市公司内部控制指引》及五部委发布的《企业内部控制评价指引》的信息披露要求,上市公司都应该披露内部控制评价报告,且内部控制的缺陷及其认定情况是必须披露的要素。通过阅读上市银行年报和问卷访谈调研,结果显示所有上市银行都披露了内部控制评价报告,并且77%的报告由内审部门撰写,如建行由内审部门牵头、其他部门人员参与组成评价工作组,内审部门已成为内部控制评价部门的中坚力量。然而,通过对评价报告撰写依据的调研发现,61.54%的银行都依据所实施的专门内部控制评价而撰写,其中75%的银行还综合了日常审计成果和其他各部门的内控信息后汇总完成;但仍然有38.46%的银行并未实施专门的年度内部控制评价,这些银行中大多数只是简单地收集了银行各部门的内控信息就直接撰写报告。结合内部控制评价报告的信息含量,近半数的受访者没有回答或者直接认为不能向投资者有效传递内部控制整体面貌,也不能提供投资者决策的依据。我们认为,中国上市银行的内部控制评价报告编制过于简单,格式也不甚一致,报告离真正有效传递上市银行内部控制整体面貌还有很长距离,这还有赖于监管部门的进一步规范。
对于内部控制缺陷的沟通机制、整改机制和整改监督机制,调研结果显示,73%的上市银行都建立了顺畅的沟通机制,通过审计现场的事实确认、控制缺陷一览表和审计报告披露前的沟通等,实现了与被审计单位的充分沟通。同时,对于发现的审计缺陷都制定了详细的整改计划,且都开展了后续跟踪审计或检查,其中3/4的上市银行都进行了专项的后续审计,整改效果良好,整改率达90%以上。为将内部控制审计结果落到实处,所有银行都将内部控制审计结果不同程度地与分行或高管层的绩效挂钩,除了中信银行尚未强制规定内部控制审计结果与绩效挂钩,其他银行都进行了强制挂钩。可见,中国上市银行都充分重视内部控制的结果利用。
(四)审计团队专业胜任能力加强,但尚有提升空间
审计人员是内部审计的宝贵资源,一支拥有强大专业胜任能力的审计队伍是高质量审计的重要保障。接下来将分别从审计团队的规模、年龄结构、学历结构、专业背景和资质、培训机制等方面调查了我国上市银行内部审计团队的现状。
调研结果显示,61.54%的上市银行中有超过0.5%的人员从事内部审计工作,可见我国上市银行对内部审计的人力投入较大。但是,审计团队规模是否就代表了审计质量?我们认为,在银行业高度依赖计算机信息系统审计的情况下,加上内部控制审计作为第三道防线抓关键控制的特定地位,审计团队规模并不一定直接代表了审计质量,团队规模还必须同时考虑计算机审计技术。相反,更多的审计人员从事内部控制审计,可能是一种不经济的行为,或者对内部控制审计的定位出现了偏差。
从年龄结构来看,我国上市银行的审计团队主要集中在35~40岁,拥有相对较丰富的审计经验。例如,交行拥有5年以上审计工作经验的人员占比达到50%,3~5年审计经验的占比为19%。
从学历结构来看,内审团队学历层次逐步提高,本科以上学历人员高达75%以上,其中,兴业银行和南京银行内审团队100%达到本科学历,并且硕士学历的比例也进一步提升,南京银行的内审团队40%都是硕士学历。
在专业背景上,基本涵盖了财务、会计、审计、金融和IT技术等专业背景,但随着银行业务的转型、业务领域和区域的扩大、监管的日趋严格以及经济形势的复杂多变,受访者均表示为了更好地实施内部控制审计,审计人员急需的知识主要包括:对监管法规和政策法律的把控力和敏感度;风险管理知识和风险意识,尤其当前对巴塞尔Ⅲ的解读和运用;对内部控制理论、方法论、内容和手段的研究;对银行新兴业务领域的掌握,如衍生产品、中间业务等;随着中国银行业经营的国际化,审计人员的语言能力、良好的沟通艺术、更为精湛的IT技术越来越成为内审人员的必备素质和技能。
在获取的专业资质上,上市银行⑨获得国内外专业资质(如CFA、CPA、CIA、FRM)的内审人员平均占比达到36%,每家银行的具体情况见图1。
在内审人员的培训机制上,各家银行都制定了周密、多层次的培训计划,主要包括对银行业务知识的培训、新员工培训、内审部门每年的常规培训、员工的自我学习、网络培训系统的开放、对员工参加职业资质考试的鼓励等形式,培训计划基本能保证员工时刻保持知识的更新,提升其专业胜任能力。
(五)内部控制审计发展向好,空间很大
在对中国银行业内部控制审计未来发展趋势展望的调研中,受访者认为中国银行业的内部控制审计将呈现如下趋势:第一,在重要性方面,受访者一致认为,内部控制和内部审计已经进入了一个新阶段,内部控制审计将越来越受到董事会和高管层的高度重视,各方的期望也会越来越高,内部控制审计将在完善公司治理方面发挥日渐重要的作用;第二,在审计职能方面,受访者认为,随着重要性的增强,未来内部控制审计的结果将得到更好地利用,其咨询职能将逐渐发挥,内审的增值性将逐步彰显;第三,在审计标准化方面,受访者认为监管层将逐步推进统一规范的构建,将来会出台银行业的具体操作指南;第四,在审计范围上,随着内部控制审计标准化步伐的加快,审计领域也将逐渐扩大,内审人员将更多地站在全行战略层面进行审计,更具全局观;第五,在审计方法论上,受访者认为,风险导向审计理念会逐步加强并深入人心,内部审计信息系统将会逐步完善,非现场审计将是未来必不可少的审计手段。
四、完善中国银行业内部控制审计的建议
根据陈汉文教授(2010)发布的中国上市公司内部控制指数⑩及深圳迪博企业风险管理技术公司(2010)发布的《中国上市公司2010年内部控制白皮书》,金融行业公司的内部控制质量在我国所有上市公司中质量最高,全部位于内部控制百强之列,内部控制指数最高的前5家企业全部是银行,前10家企业中有9家是银行。同时,对比我们此次的问卷访谈调研结果和中国工商银行内部审计局课题组(2010)对138家上市公司的问卷调研和32家上市公司的访谈调研结果,不难发现,银行业的内部控制审计水平仍然是走在所有上市公司前列的。但银行业作为高风险行业,在风险管理方面天然地面临着比其他行业更高的要求,因此,银行业的内部控制审计应该向更精细化的方向发展。
1.从组织架构和管理体制上确保内部审计的地位。内部审计的独立性和权威性是其充分发挥公司治理和风险管理作用的重要保障,银行必须从组织架构和内部审计部门的管理体制上确保内部审计的独立权威地位。根据委托代理理论,内部审计部门是受董事会委托,对管理层的经营管理行为进行监督,因此内审部门直接接受董事会委托最有利于其独立客观地行使审计职能。因此,建议我国商业银行应构建董事会(或董事会审计委员会)直接领导内部审计部门,内部审计部门有权向董事会直接报告的组织架构。
另外,有关内控合规部门和内部控制审计部门的职责划分。各家银行虽然都将内部控制审计部门定位于风险管理第三道防线,但各家银行对其理解却是迥异的。内控合规部作为第二道防线,承担对各部门和各经营机构的内部控制进行监督检查,并督促落实整改的职能;而内部控制审计是从公司整体战略和全面风险水平角度出发,只抓关键的控制点,进行重点检查,以保证公司整体风险可控,服务于公司战略目标的实现,并不是面面俱到的。因此,内控合规部门要更多地往流程控制发展,而内部审计部门则往后延伸至集团内部控制的最后一道防线,故中国商业银行应该从成本—效益的角度考虑精简内审规模,同时进一步开发信息科技审计技术。
在管理体制上,为了保证内部审计的独立性,建议从交叉审计、机构设置、人员配备、经费预算等实质性方面来保证内审分部能够独立、客观地进行审计。
2.治理层和管理层要更加充分地重视风险文化的建立。相对于外部审计,内部审计的独立性是相对的。因此,银行治理层和管理层的风险态度和经营风格将对最终的风险管理结果起到关键作用。虽然我国上市银行都设置了相应的风险管理部门,构建了风险管理三道防线,但管理层的经营风格却各不相同。银行的风险管理是一个全方位的系统,最终将体现为企业的稳健经营和风险文化,而这是一个上至治理层和管理层、下至普通员工,深入思想理念的过程,建议中国商业银行的治理层和管理层更加重视银行风险文化的建立。
3.注重对内部控制审计方法、技术和内容等的精细化研究。我国上市银行基本都已经搭建了内部控制审计平台,但具体的审计方法、审计内容、审计技术等都相对较为粗糙。而在国际范围内,对内部控制和内部审计的探究都处于摸索阶段,因此没有成熟经验可以借鉴。我国的银行业应更加注重对内部控制审计方法论、技术和内容等的精细化研究,如关键控制点的动态识别、缺陷等级的定量化和非现场审计技术的进一步开发等。
4.培养一定数量专家型和研究型的审计人员。内部控制审计的精细化发展需要一定数量的专家型和研究型的审计人员,通过此次对审计团队构成的调研,我们发现拥有传统财务、会计、审计等专业知识的人员较多,而拥有全面风险管理知识、IT审计高端技术、对内部控制审计理论和方法深入研究的专家型和研究型人员在每家银行都相对缺少。因此,建议在未来的审计团队中,配置一定数量的专家型和研究型人员。
5.充分利用内部审计信息化系统,开发更多的计算机审计技术。我国上市银行现在基本都已构建了内部审计的信息化系统,但对系统的开发利用相对缺乏。中国上市银行应该充分利用现有的系统平台,充分发挥日常监测、审计管理、审计数据分析、风险评估等功能,利用系统平台进行非现场审计,为内部控制审计的精准审计提供有力保障并节约审计资源。
6.监管部门加快出台银行业内部控制审计操作指南。此次调研结果显示,虽然在众多有关内部控制的规范强制规定下,中国银行业已经实施了内部控制审计,并也披露了内部控制评价报告,但在具体的操作上都是“各显神通”,缺乏监管部门统一的规定。因此,建议监管部门尽快出台银行业的内部控制审计规范系列,具体包括:第一,搭建一个统一的内部控制审计应用框架;第二,对审计主体、审计目标、审计原则、审计方式、审计内容、审计流程、审计标准构建具体的操作指南;第三,出台银行业的内部审计质量控制规范;第四,对内部控制评价报告做出更为具体的披露规则规定;第五,对内部控制的建设、督导和牵头主体做出明确规定。
注释:
①例如,巴林银行倒闭案、法兴银行舞弊案、齐鲁银行特大金融诈骗案、北京农商行的骗贷案等。
②1997年中国人民银行颁布了《加强金融机构内部控制的指导原则》;2005年银监会出台了《商业银行内部控制评价办法》;2007年银监会出台了《商业银行内部控制指引》。
③光大银行、宁波银行和华夏银行的问卷由于种种原因,没能收回。
④对于个别问题,部分银行认为涉及商业秘密,故未能回答。
⑤第一道防线是指业务部门自身实施的日常检查和内部控制措施,第二道防线通常指风险管理部门和内控合规部门对业务部门的监督、检查和控制。
⑥根据中国工商银行2010年承担的审计署课题《我国上市公司内部审计部门实施内部控制审计的研究》的结论。
⑦COSO是美国反对虚假财务报告委员会发起组织委员会的简称。在1992年的《内部控制——整合框架》中,COSO五要素是指控制环境、风险评估、控制活动、信息与沟通、监控等五个要素;其后,2004年9月,COSO又发布了《企业风险管理——整合框架》,内部控制演变为八要素,包括内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。而我国发布的《企业内部控制基本规范》在引进COSO内部控制框架时做了适当的修改,内部控制五要素是指:内部环境、风险评估、控制活动、信息与沟通、内部监督。由于《基本规范》于2011年和2012年才正式施行,故我国国 上市银行的内控五要素没有统一,但都是依据COSO五要素为原型。
⑧中国农业银行的审计信息系统正在开发过程中。
⑨中信银行因没有回复此项数据,没有纳入统计。
⑩资料来源:2010年6月11日《证券时报》。
标签:内部控制论文; 银行论文; 风险管理论文; 内部审计论文; 企业内部控制评价指引论文; 企业内部控制与风险管理论文; 内控体系建设论文; 银行风险论文; 审计报告论文; 内控管理论文; 银行监管论文; 内部控制缺陷论文; 审计方法论文; 审计计划论文; 审计质量论文; 审计流程论文; 会计与审计论文; 审计目标论文; 审计准则论文; 审计职业论文;