基于金融控股集团下分类审计体系构建原则的思考

尚文程

[摘要]金融控股公司的快速发展，使得其利用金控混业经营特点在分业监管体系下套利、盲目扩张等而致的风险不断累积和暴露。充分发挥内部审计在全面风险管理体系中的重要作用，构建金融控股集团下的分类审计体系是关键，体系构建的原则是基础。构建的原则应包括总分合规和补弱固强原则、差异化和权责对等原则，以及风险隔离和健全防火墙制度原则。基于该三项原则构建的内部分类审计体系，推动形成内部审计监督合力，将为金融控股集团公司治理和金融风险管控提供新利器、打开新局面。

[关键词]金融控股集团   分类审计   统筹管理

21年6月4日，中国人民银行正式受理了光大

集团和中信集团关于设立金融控股公司的行政许可申请，光大集团和中信集团成为《国务院关于实施金融控股公司准入管理的决定》（以下简称《准入决定》）印发后第一批申设金融控股公司的企业，这标志着我国金融控股公司迈入持牌经营的监管新时代。但随着金融控股公司的不断发展，其利用金控混业经营特点在分業监管体系下套利、盲目向金融业扩张等而致的风险逐渐累积并暴露。所以，应充分发挥内部审计在全面风险管理体系中的重要作用，加快建设金融控股集团下的分类审计体系。

一、金融控股集团发展概述

分业经营和混业经营是金融业两种不同的经营模式。20世纪90年代以来，混业经营逐渐成为推动全球金融业发展的主要模式，美国、英国等国家的金融控股公司经历了自由萌芽、快速扩张、规范发展三个基本阶段，逐渐成为混业经营主要模式代表。金融控股公司的产生可追溯到1950年为规避法律限制而寻求业务创新和地域扩张的美国银行控股公司。随着美国经济发展对综合金融服务的需求日益强烈，混业发展趋势越发不可阻挡，其后在1999年美国颁布的《金融服务现代化法案》中首次从法律层面明确了金融混业经营与金融控股公司的地位，标志着解除了对金融混业经营的限制，金融控股公司由此进入快速发展阶段。2008年爆发的金融危机标志着独立投行模式的终结，美联储批准摩根士丹利和高盛由投资银行转型为金融控股公司。英国金融控股公司从不受法律限制的金融混业演变为严格分业，进而发展为金融控股公司。金融危机之后，为防范在金融服务局、财政部和英格兰银行“三方”监管体制下暴露的监管分工先天不足、监管效率不高、沟通协调机制不够有效等风险和缺陷，英国形成了审慎监管局和行为监管局“双峰”监管金融控股公司的模式。

我国金融业也经历了由自然混业到分业再到混业过渡的演进历程。特别是党的十九大以来，随着金融“脱媒”态势逐步凸显和利率市场化进程不断深入，我国金融业发展格局出现较大变化。从2002年设立综合金融控股集团试点，到2018年首次设立金融控股集团监管试点，再到2020年发布《金融控股公司监督管理试行办法》（以下简称《金控办法》），我国的金融控股公司经历了由粗放式发展到精细化管理的转变，金融控股公司数量快速上涨，规模逐渐增大，发展面临更多的机遇和挑战。

《准入决定》指出，金融控股公司是依法设立，控股或实际控制两个或两个以上不同类型金融机构（包括商业银行、信托公司、证券公司等），自身仅开展股权投资管理、不直接从事商业性经营活动的有限责任公司或股份有限公司。金融控股集团是金融控股公司及其所控股机构共同构成的企业法人联合体，能够充分发挥规模经济优势，通过对集团内部资源的整合，实现资源优化配置，促进集团利润最大化。

随着实体经济对金融服务的需求更加多元化、综合化，我国一些大型金融机构逐步选择开展跨业投资，一些非金融企业逐步投资控股多家不同类型的金融机构，进而形成金融控股公司（集团），为优化资源配置、降低成本、丰富完善金融服务、满足不同消费者需求提供便利。我国金融控股公司根据不同的主营业务主要分为三类：一是银行金融控股公司，以中国工商银行、中国银行等国有大型商业银行为代表，在注册金融控股公司并完成股份制改革后，逐步控股国内外金融控股公司，形成以银行为主导的金融控股公司。二是非银行金融控股公司，以光大集团、中信集团等为代表的非银行金融机构，在经营过程中利用收并购等多种方式拓展主营业务以外的其他业务，逐步形成全牌照经营格局。三是产业金融控股公司，主要分为国有企业主导、地方政府主导、民营企业主导、互联网企业主导的金融控股公司，如国家电网、蚂蚁金服等。随着我国金融控股公司多种类型并存、发展各异的局面逐渐形成，呈现出风险复杂度高、风险传递性强、信息高度不对称、风险叠加效应显著等特征，对金融控股集团的风险管理带来更高挑战。

二、金融控股集团内部审计面临的新要求和新挑战

金融控股公司作为现代金融业的重要组织形式之一，是探索金融综合经营的主流模式和现实选择，其形成和运行的主要目的是在一定程度上充分发挥协同效应，更好地控制金融风险。与此同时，随着协同效率逐渐提高，金融控股集团各成员企业间的风险传染程度也会变得越来越高。特别是一些非金融企业投资形成的金融控股公司盲目向金融业扩张，加速暴露了金融风险和实业风险交叉传递、风险隔离机制缺失、利用关联交易输送利益、财务杠杆过高、风险隐蔽性强等问题。中国人民银行行长易纲在“中国发展高层论坛2018年会”发表主旨演讲时指出，少数野蛮生长的金融控股集团存在着风险，抽逃资本、循环注资、虚假注资，以及通过不正当的关联交易进行利益输送等问题比较突出，带来跨机构、跨市场、跨业态的传染风险。这些现象表明，有效解决金融控股公司面临的监管缺失和风险管控问题任重道远，需要金融控股集团具备良好的治理结构、监管结构和运营模式。

习近平总书记在中央审计委员会第一次会议上强调，“要落实党中央对审计工作的部署要求，加强全国审计工作统筹，优化审计资源配置，做到应审尽审、凡审必严、严肃问责，努力构建集中统一、全面覆盖、权威高效的审计监督体系，更好发挥审计在党和国家监督体系中的重要作用”，“要加强对内部审计工作的指导和监督，调动内部审计和社会审计的力量，增强审计监督合力”。内部审计制度是为科学决策企业经营、规范企业内部管理、防范企业面临常态化风险、强化企业内部控制而建立的，是国家治理体系的基础环节。完善金融控股集团内部审计体系是推进国家治理体系和治理能力现代化的需要，是推动实现经济高质量发展的需要，是有效防范化解金融风险的需要，是实现审计全覆盖的需要。

《准入决定》和《金控办法》初步搭建了金融控股公司监管制度框架。监管制度框架遵循宏观审慎管理理念，坚持金融控股公司要持牌经营、总体分业经营为主的原则，以并表为基础，对金融控股公司进行全面、持续、穿透监管，对纳入并表管理范围内所控股机构的公司治理、资本和杠杆率等进行全面持续管控，有效识别、计量、监测和控制集团公司总体风险。重点规范了股东资质和资本金来源，要求投资资金来源真实合法，明确资本充足性要求;明晰股权管理体系，实现金融控股公司股权结构简单、清晰、可穿透;完善公司治理和关联交易监管，规范开展关联交易;建立统一全面的风险管理体系，建立健全集团整体的风险隔离机制，完善风险“防火墙”制度。

内部审计作为全面风险管理体系的重要组成部分，是一种独立、客观的确认和咨询活动，着眼于管理层是否采取有效管控措施进行风险管理、风险规避和价值创造。国际内部审计师协会（IIA）提出的“三线模型”提供了简单、清晰、有效的框架，可以帮助企业明确各风险管理和控制职能的职责，能够有效提升风险管理和控制效果，已經较为成熟地应用于一般金融法人。内部审计作为风险管理和控制的第三道线，因其高度的独立性和客观性，可以为董事会和管理层提供综合的确认和咨询服务，对企业内部管理提出更有价值的改进意见和建议，促进企业管理的合规性和有效性。金融控股集团涉及多个法人主体，结构更复杂，内涵更丰富，风险管控资源协同整合的难度更大，对内部审计乃至“三线模型”整体提出了更高的要求。

三、基于金融控股集团下分类审计体系构建的原则

金融控股集团规模较大，关联交易多，在金融体系中具有较明显的系统重要性，容易累积并引发系统性风险，现有的金融控股集团内部审计模式还存在管理体制不够健全、与集团管理体制融合度还不够高、审计范围和目标不够明确等现象。因此，为充分发挥审计监督作用，积极构建集中统一、全面覆盖、权威高效的审计监督体系，应在坚持总分合规和补弱固强原则、差异化和权责对等原则、风险隔离和健全防火墙制度原则的基础上，加快建立金融控股集团下的分类审计体系，加强对金融控股集团下内部审计工作的统筹管理。

（一）坚持总分合规和补弱固强原则

金融控股集团所控股企业涉及银行、证券等多种金融业务，有的还涉及工业、服务业等实体业务，分类审计体系的构建应坚持集团总体分业经营为主的原则，建立符合金融控股集团整体的统一审计标准，同时要确保符合各企业所属行业的监管规定和公司治理要求，能够适应各企业不同的管理模式和业务系统，有效防范具有不同行业特征的风险隐患，特别关注未受监管的实体和活动引发的各类风险。集团审计部门要加强对所控股企业审计部门的审计规划、年度工作计划的统筹和指导，确保集团和各企业的战略决策和工作计划符合国家重大经济和金融政策、集团年度经营计划和发展战略等，还要加强对各企业审计工作计划制订和调整的指导和监督。分类审计体系的构建重点还在于补弱固强，要对审计质效较好、管理规范的企业以鼓励支持为主，对审计质效存在短板和弱项的企业加大管理和指导力度，加强各级审计部门间的沟通协调和信息共享，并在集团内部推广好的经验和做法。同时，要坚持科技强审，推动内部审计人员加强运用信息化技术查核问题、评价判断和分析问题的能力，通过云计算、大数据、人工智能、区块链等金融科技手段与具体审计场景的融合，促进从数据中挖掘财富、从数据中发现风险，提高内部审计工作的精度、质量和效率。

（二）坚持差异化和权责对等原则

为进一步确保审计的独立性和权威性，金融控股集团应建立规范、完善、统一的审计管理平台，支撑和保障各企业审计部门高效开展审计工作，各企业审计部门应在本级党委的统一领导下开展审计工作，并向本级和上级党组织报告工作。对于银行、证券等金融类强监管上市公司，可通过集团在银行、证券等子公司董事会审计委员会任职的股权董事进行分类指导，以体现银行业、证券业不同的监管要求。分类审计体系要体现本级公司董事会负最终责任、与其管理职权对等的要求，以实现各企业内部审计的权责统一。集团审计委员会负责对集团整体审计计划、审计方案和审计报告进行管理;集团审计部门负责对控股层面的风险进行及时揭示，对集团层面审计发现问题负责督促整改;各公司审计委员会负责监督本级审计部门审计计划的执行情况，重大事项及时向上级审计委员会报告;各公司审计部门负责做好本级层面的具体审计工作，定期向本级审计委员会报告;没有单独设立审计委员会和审计部门的企业，要主动、自觉接受集团审计部门的审计监督。同时，要完善集团对各企业内部审计工作的激励约束机制，对集团有突出贡献的子公司审计部门要有明确的激励制度，鼓励内部审计人员忠于职守、认真履职。

（三）坚持风险隔离和健全防火墙制度原则

风险隔离机制和防火墙制度是金融控股公司制度的重要组成部分，对于协调好安全与效率、自由与管制、分业与混业间的冲突，从而实现不同价值目标的平衡和防范金融风险提供了有效保障。分类审计体系建设要坚持统筹考虑市场风险、操作风险、流动风险等传统的业务风险与金融控股集团面临的新的特定风险，统筹考虑推动集团健全风险隔离机制和防火墙制度，按照“三个区分开来”要求，推动防火墙制度建设，为追求效率留下宽容创新的空间;定期开展集团并表管理有效性审计，进行并表管理的自查与交叉检查，特别是对跨境、跨业、跨机构业务。要分级分类关注相关制度措施的落实情况，集团内部审计层面负责统筹集团与各企业之间、各企业之间建立健全合理、有效的风险隔离制度，关注相关措施是否能够隔离不同业务间的风险传递，以及是否存在利用复杂的组织结构过度追求利益等情况;各企业内部审计层面重点关注内部人员、资金和信息是否存在不合理流动，相关内部交易是否合理，是否有效落实维护客户信息保密性等要求。

（作者单位：中国光大银行股份有限公司，邮政编码：100033，电子邮箱：382277743@qq.com）

主要参考文献

[1]贾翔夫.新形势下我国金融控股公司发展现状及监管对策[J].现代管理科学， 2018（9）：79-81

[2]俞勇.拥抱变化，践行使命：金融控股公司的风险管理之道（上）[J].当代金融家， 2021（2）：78-80