商业银行内部审计风险研究

张旭东

（海南银行，海南 海口 570100）

近年来，随着商业银行违法违规案件频发，中国人民银行和中国银行保险监督管理委员会对商业银行的监管逐年趋严，各家银行对风险管控的重视程度越来越高，不断细化和创新风险管理模式，强化全面风险管理能力。作为银行第三道防线的内部审计部门，是商业银行最后一道防火墙，对于风险把控起着更加直接和关键的作用，其地位和职能的重要性也越来越凸显。关于内部审计，国际内部审计师协会（IIA）将其定义为一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统、规范的方法，评价并改善风险管理、控制及治理过程的效果，帮助组织实现其目标。[1]对于商业银行这类经营风险的盈利性金融机构来说，IIA关于内部审计的定义很好地诠释了银行内部审计的职责和作用。

一、商业银行内部审计风险定义及特征

1.商业银行内部审计风险定义

商业银行内部审计可以理解为：在商业银行内部设立一个独立的内审部门，选拔相对独立的审计人员，对各分支银行的经济业务实施必要的审计程序，从而减少错误和舞弊，提高银行的运作效率，增加商业银行的价值。[2]审计范畴涉及制度规定、信贷管理、产品销售、业务流程、信息系统等方面，具有全业务、全流程、全人员的特征。美国注册会计师协会（AICPA）将审计风险定义为：审计风险是指审计人员针对含有实质性错误陈述（或重大错误陈述）的财务报表发布不恰当审计意见的风险。[3]从商业银行内部审计职能来看，这个定义明显是不恰当的。商业银行内部审计风险应当涵盖内部审计部门和人员未能从组织架构、制度建设、信息系统、业务流程、人员管理等全方位揭示商业银行在日常经营中存在的重大内控缺陷、违规行为、虚假信息、财务舞弊等问题，从而给银行带来风险损失和不良影响的可能性。

2.商业银行内部审计风险特征

内部审计风险的产生，既受社会经济复杂性、企业经营稳定性等审计外部环境的影响，也与内部审计机构、审计人员的执业水平、质量控制情况等自身因素有关，[4]结合商业银行内部审计风险的定义和银行业特点，可以看出商业银行内部审计风险具有客观性、隐蔽性和部分可控性的特征。

（1）审计风险的客观性

首先，无论我们做任何事情、无论我们身处何时何地，风险都一直伴随着我们，它是必然存在的，是不以人的意志为转移的。商业银行内部审计风险也是一样，从制定审计项目计划开始直至审计项目完结，审计风险贯穿整个审计流程，只要开展审计工作，审计风险就会产生，并且伴随整个审计项目的生命周期。其次，当前政治环境、经济环境和抗疫环境复杂多变，银行规模化、多元化发展成为主流趋势，虽然监管体系和制度规定已经在持续更新和完善，但是内部审计在动荡的外部环境下仍然面临着诸多不确定的变量，这些变量就是潜在的风险。再次，内部审计会因组织架构、人员状况、业务管理等各方面因素的变化形成新的风险点，这些内部环境也会对审计风险产生影响。

（2）审计风险的隐蔽性

商业银行审计风险不会写在明面上告诉所有人哪里有风险，并提醒大家注意，一般情况下审计人员在开展审计工作时，已经做了充足的准备预判风险点，并提前采取措施防止审计风险发生。但是在实际工作中，还是经常会产生审计风险，这些往往都是没有意料到的。审计风险存在审计工作每一个环节，涉及面广、涉及程度深、覆盖时间长，即便是审计经验十分丰富的审计人员也不能将全部风险点一一识别出来，因此审计风险的隐蔽性非常明显。

（3）审计风险的部分可控性

虽然商业银行审计风险是客观存在的，而且不容易被发现，但是部分人为造成的审计风险是可以进行管理和控制的，主要体现在：一是通过完善审计工作组织架构和制度规定控制风险环境；二是通过加强审计流程和审计人员管理控制风险源头；三是通过对风险事件进行总结和分析强化风险反馈；四是通过制定预警机制和应急预案强化风险预防。

二、商业银行内部审计风险分类

从商业银行内部审计风险特征来看，审计风险受到先天因素和后天因素两方面影响，先天因素是人为无法改变的，而后天因素基本上是人为导致的，因此内部审计风险可以分为系统性风险和非系统性风险两类。

1.系统性风险

系统性风险也称为整体风险或不可分散风险，是由于全局性共同因素导致人为不可控的负面结果产生的可能性。商业银行的系统性风险包括政策风险和行业风险。

（1）政策风险

从宏观层面来看，国家宏观政策的调整，会直接影响商业银行货币供给和存款准备金率等一系列指标的变化；从微观层面来看，人民银行和银保监会根据最新风险事件和政策调整不断对监管要求进行更新，而且监管趋势越来越严，这些政策的更迭会因审计人员无法及时了解和掌握导致审计风险增加。

（2）行业风险

国内外的商业银行监管机构每年都会对当年违法违规事件进行统计分析，并持续建立健全监管制度，完善金融行业管理。但是商业银行因其职能的特殊性，它不仅会受到金融行业的影响，还会受到其他各行各业的影响，比如前些年煤炭和钢铁行业的动荡，很多资源大省的银行都受到了牵连；再如海航和恒大集团的暴雷，也对诸多银行产生巨大影响。对于内部审计人员来说，除了要及时掌握最新金融行业监管要求，还必须对其他行业有一定敏感性，对可能给银行产生不良影响的行业变动进行预判，提前对潜在风险作出估计。

2.非系统性风险

非系统性风险也称为可分散风险，由某一特殊因素引起，只对单独个体产生的风险。从商业银行内部审计模式和流程两个层面来看，非系统性风险主要包括操作系统与模型风险、检查风险和人员风险。

（1）操作系统与模型风险

在实施内部审计项目时，审计人员经常会用到审计系统、财务系统、信贷系统等各类银行内部操作系统，如果这些系统本身存在一些例如数据抓取不完整、数据跑批不及时等问题，会导致审计结果出现偏差。除此以外，审计人员在审计过程中还会建立模型对数据进行分析，如果模型参数设置不当或者配置有误，会影响审计结果的正确性。上述风险如果情况比较严重，甚至会导致审计人员做出与正确结果相反的结论。

（2）检查风险

检查风险是指商业银行内部审计人员未能将检查内容中存在的重大错误和问题完全揭示出来的风险。检查风险一般包含三类情况：一是审计方法本身存在的无法规避的风险，如在开展信贷业务审计时，因无法覆盖全部检查总体，审计人员要选用抽样审计法，而抽样方法本身就存在无法将全部问题进行揭示的风险；二是审计人员未能选择正确的审计方法或者未规范实施审计流程产生的操作风险；三是因为项目时间紧迫、人员数量不足、被审计对象配合度较差等各类人为因素，导致审计项目开展深度和广度不够，部分问题无法进行揭示的风险。

（3）人员风险

审计项目是由审计人员进行实施的，项目的结果会受到审计人员的影响，影响的因素包含两方面，即审计人员的能力和道德。一方面，商业银行流动性风险审计、资产管理审计、信息科技审计等一些专业性较强的审计项目对审计人员的胜任力要求很高，如果审计人员专业能力不足，会导致审计项目的目的无法实现。另一方面，尽管有审计法、职业道德规范等一系列法律法规对审计人员进行约束，但商业银行内审人员能否遵纪守法、坚守底线，合法合规的开展审计项目，是与个人的品德密不可分的，否则会导致审计项目流于形式，无法发挥内部审计防线作用。

三、商业银行内部审计风险成因分析

影响商业银行日常运营的因素较多，这也给内部审计带来了挑战，尽管银行可能已经采取了多种措施保证审计结果的准确性，但是还是有一些问题和情境会导致内部审计风险的产生。

1.内部审计的独立性不足

内部审计部门和人员的独立性程度，直接决定了内部审计的权威和作用效度，也在一定程度上导致审计风险的产生。目前各家商业银行无论从风险管控角度还是迫于监管压力，基本上都建立了较为完善的内部审计组织架构，有独立的审计委员会、内部审计部门和审计人员，且审计工作能直接由银行一把手直管，但仍存在部分银行一把手及高级管理层对内部审计工作不重视，对审计发现问题不过问，对未落实整改单位不追责，导致审计部门威信不足、被审计单位配合度较差、审计工作处处制肘。上述问题产生的后果将是被审计对象拖延审计时间、提供不完整或虚假资料，审计人员无法正常实施审计流程、无法对真实业务进行检查或得出错误的审计结论，很大程度上加大了检查风险的发生。

2.内部审计创新不足

商业银行内部审计项目一般是根据监管规定和银行实际状况确定的，所以每年的审计项目过半数都基本相同，目前各家银行普遍存在的状况是审计人员一如既往的按照往年的审计思路和审计方法开展项目，变化和创新之处微乎其微。这种固定不变的审计方式带来的直接后果：一是审计人员的业务能力在达到一个高度之后无法继续在实践中得以提升，审计工作发展遇到瓶颈；二是被审计单位的反审计经验越来越丰富，对于审计人员的审计手段了如指掌，掩饰隐瞒问题的伎俩趋于成熟，以至于审计发现问题难度加大。破解上述问题的关键在于内部审计部门和人员要从审计项目、审计制度、审计思路、审计方式等多个角度进行创新，学习先进理论和经验探索新思路，应用新兴科技力量提高技术手段，从思想和能力上全方位进行武装。

3.审计人员专业素养参差不齐

《银行业金融机构内部审计指引》规定“银行业金融机构内部审计人员原则上按员工总人数的1%配备”，内部审计部门为了满足监管要求，在选人用人上或多或少出现了降低准入门槛的情况，一些职业道德不规范、业务能力不足、团队协作意愿不强的员工被吸收到审计队伍中，这些人在开展审计项目过程中，因为本身存在的各种问题增加了道德风险和检查风险发生的概率，甚至会对其他审计人员产生负面影响，破坏了整个审计队伍的纪律。另外，审计人员的管理和考核对于审计风险也有很大的影响。一些专业素养良好的审计人员加入到队伍之后，审计部门未能从思想道德和业务能力上严于管理、未定期对项目质量进行考核、未及时了解审计人员工作和生活状况，导致整个审计队伍出现道德风险和业务能力下降的问题，无形中增加了审计风险的可能性。

四、商业银行内部审计风险防范对策

审计风险贯穿内部审计全过程，鉴于非系统风险的不可控性，为了降低商业银行管理风险，并为稳健运营提供有力保障，针对有效降低审计风险中的非系统风险，本文提出了三个应对策略。

1.加强科技力量并完善系统监督

随着大数据应用的普及和人工智能的深化，商业银行内部审计越来越依靠信息科技的力量，通过开发和使用各种功能的信息系统，可以有效减少现场审计时间、增加问题发现概率和提高审计效率。因此，商业银行内部审计部门可以从以下方面着手：一是要持续加强信息系统建设，构建覆盖各项业务的风险管控机制和审计监督体系，提高大数据运用能力，发掘银行运营过程中的重大风险，并制定相应的应对策略；二是科技力量的应用必须依靠稳健的信息系统做支撑，为了防止系统自身存在错误，内部审计部门要定期开展信息科技专项审计，对全行各类操作系统进行检查，并根据环境改变适时提高监督频率，保证信息系统的准确性，减少审计误差的产生；三是提升审计人员非现场审计系统应用能力和非现场审计系统使用频率，运用技术手段提高审计效率、缩减人力成本、降低审计风险。

2.提高审计质量管理能力

商业银行内部审计风险最重要的就是检查风险，做好检查风险的预防和管理，可以有效提高审计质量，更好地促进审计目标实现。一是要加强审前调查和分析，提高审计方案的合理性、适用性和有效性，确保审计工作的方向、选取的抽样样本、采取的审计方法、选用的审计模型准确无误，能够对现场审计工作起到指挥棒作用；二是强化审计工作的现场管理，审计组成员每日完成工作小结后由主审进行汇总，对现场检查遇到的问题集体研究并及时解决，遇到特殊状况时合理调整审计方案、优化审计资源，确保审计方向和方法准确的同时，严格管控项目序时进度；三是严格对审计底稿、事实确认书及审计报告、管理建议书等进行审核，条件允许的情况下可以由项目主审和组长形成二级审核制度，确保证据确凿、定性严谨、描述准确、用词恰当，促进审计工作严谨规范、扎实有效，让被审计单位心服口服。

3.培养德能兼备的内部审计人员

首先，职业道德是内部审计人员必须具备的基本专业素养，“做事先做人”讲的就是这个道理，如果职业道德不能遵守，专业能力再强也应从审计队伍中退出。其次，内部审计作为银行风险防控的最后一道闸门，关键性和重要性是非常突出的，审计人员必须有足够的业务水平和专业技能，才能确保胜任审计岗位，保证银行内部重大风险和问题充分揭示的同时，有效为其他业务部门提供咨询意见。商业银行确保内部审计人员满足德能兼备的要求，需要从以下三个方面开展工作。

（1）加强内部审计人员队伍管理

建立健全内部审计人员进出制度，完善人员考核和问责机制。一是严格审计人员准入门槛，确保选聘人员德能兼备；二是对现有内部审计人员的考核和问责管理要公平、公正、公开，对违法违规人员严肃问责，对多次考核不达标的或者不符合条件的审计人员一律予以清退，保证审计队伍忠诚、干净、担当。

（2）强化内部审计人员培训学习

定期组织审计人员开展学习，学习内容包括但不限于法律法规、道德规范、案例研究、业务技能等，从职业道德和业务技能两个层面提升整体审计队伍的专业素养。学习形式多种多样，可以聘请外部老师、同行的领先者、银行内部的业务骨干或者自我学习，还可以轮流选派审计人员去参加行业组织的各项培训。对于新入职的审计人员，应当安排到审计现场进行学习，通过以审代训的形式快速提升审计技能。

（3）持续与同行先进经验进行交流

商业银行所处的经营环境会经常发生改变，宏观政策的调整、行业结构的动荡、国内外市场的变化、科技力量的发展、新型技术的运用等都会给银行带来新的风险点，内部审计人员必须摒弃“闭门造车”，与同行先进审计经验进行交流、学习先进的审计技术和方法，不断与时俱进创新审计思路，这样才能与环境变革同步成长，更好地为银行守住最后一道大门。