如何打造我行审计第三道防线

如何打造我行内部审计第三道防线

桂林银行审计部

近年来，伴随着着我行业务跨区域、跨越式大发展，对我行的内部控制与管理水平，特别是风险管理等方面都提出了严峻的考验。如我行近年发生小额重帐事件、商业贿赂事件、冒名开户事件等等都说明了业务快速发展以后，我行的风险管理存在一定的问题。审计部作为我行风险管理的最后一道防线，在提高我行风险管理水平方面如何发挥更大的作用是当前作为审计部门负责人需要思考的重点问题。笔者认为，解答这个问题的关键在于准确定位当前城商行内部审计工作重点，具体而言就是要回答三个问题，即当前我行审计存在什么问题？应该做什么？如何做？

一、当前我行审计工作存在什么问题？

1.审计部职能定位不是很清晰，常常与第二道防线一些职能混淆在一起。

作为第三道防线的审计部职能主要是围绕银行战略目标和工作重点，在第一、二道防线的基础上，以评价内部控制的充分性、合规性、适宜性和有效性为主要任务，重点关注重大风险和系统性风险的管理状况，以促使董事会和高级管理层能够从宏观层面把握银行整体的内部控制状况和高风险领域，同时提出改进建议，完善内部控制和风险管理体系，促进银行发展战略和经营目标实现，服务对象是董事会、董事长。

第二道防线主要是指合规风险管理部门和业务条线管理部门。其主要任务是统筹内部控制制度建设、制定业务检查计划，就各项规章制度和内控要求的落实情况开展检查，并对第一道防线的业务部门工作进行指导、检查、监督、评估（通俗称为“尽职监督”），同时也为第三道防线的内审部门开展再监督、再检查、内控制度评价提供基础。

由此可见，第三道防线的内审部门与第二道防线的合规风险管理部门、条线管理部门工作重心是不同的。但实际情况是，我行对两者之间的边界定位不是很明确。审计部除承担着正常的审计工作外，还承担着内控建设、各类业务临时检查、查库、清收费用审核等其他非审计类工作，无法更好地发挥内部监督和评价的职能。

2.审计部权威性、独立性弱，绩效考评体系不尽合理。

我行目前虽已建立了相对独立的内部审计体系，根据我行内部审计章程的规定，设立董事会垂直管理的内部审计机构——审计部，向董事会负责并报告工作，接受监事会的指导，接受审计委员会的检查、监督和评价。但是由于对审计部门的考核往往与被审计单位挂钩在一起，其工作成效和业绩由被审计单位来决定，这样的制度安排本身就是一种对审计独立性削弱，使审计人员不敢放开手脚审计。

3.审计部工作效能不高、效果不明显。

目前，由于人手紧张，审计工作只注重对问题的发现，而没有审计力量对发现问题整改情况的后续审计，导致违规问题并未真正得到彻底解决。审计目的是发现问题并更好地解决问题，否则，审计效能就会受影响。另外，由于审计权威性不够、没有相应的处罚措施和办

法，经常出现屡查屡犯或整改不到位的现象，你查你的，我做我的，被审计单位一个整改报告了事，审计效果不明显。

4.审计部招人难，业务量大、人员少、任务重，审计质量不高，存在风险隐患。

审计工作在常人看来是得罪人的工作，一般人不愿意来，内部招聘又找不到合适的人，离监管部门要求人数占1%有很大差距。2013年，审计部门共完成55个项目，今年至今已完成39个项目。根据与桂林银监局有关科室沟通交流，他们一个科6-8个人，一年最多5个项目，这样看，我们的项目确实多了。对于一个只有11人的审计部门，审计业务量这么大、任务这么重，很多时候多个项目并行，疲于应付，审计质量确实难以保障。象总行个金部、风险管理部、授信管理部、南宁分行等部门、分支机构运转多年，还没有进行全面的审计，存在风险隐患。

5.外部监管要求越来越高，内审部门压力越来越大。

除了人民银行、银监会提出必做的项目，如：反洗钱审计、关联交易审计、薪酬审计、信贷资产五级分类审计、信息科技安全审计、流动性风险审计、信息系统权限管理审计、信息科技外包风险审计等，内审部门还承担了管理人员离任及任期经济责任审计，以及其他因业务发展需要的专项审计，甚至还承担许多不是内审部门职能范围内的其他条线管理部门或合规管理部门应该做的事项，内审部门压力不堪重负。

二、当前城商行内部审计应该做什么？

笔者以为，要准确清楚我行审计工作应该做什么，首先必须正确看待审计与查问题的关系。因为在大多数人的眼里，审计就是查问题，将审计的作用发挥大小与查出问题的多少直接挂钩。审计工作主要是查问题，并且审计作用也要通过问题的查处来体现出来，但是如果直接把审计等同于查问题，那么审计工作可能就会迷失方向、陷入困境，这一点对正处于跨区域经营快速发展的我行内部审计工作而言更是致命的。我们认为，内审部门必须独立于第一、二道防线，帮助董事会监督管理层的内控建设和自我评估活动，并对内部控制体系进行客观评价。其主要职能是以评价内部控制的充分性、合规性、适当性和有效性做为主要任务，重点关注重大风险和系统性风险的管理状况，并提出改进建议。按照风险导向型的审计要求，内审部门首先考虑的是对董事会最关注、风险权重最大的经营风险进行审计。其次工作重心为总行和分行的重大风险、重大决策事项和发展战略、财务信息披露、风险管理过程与内控系统的健全性、合理性、有效性的监督、评价。再则是开展重要岗位履职、离任审计、重大财务异常情况专项审计，以及协调外部审计。

笔者认为，我行审计要立足本行的发展大局，要根据我行现阶段跨区域发展的要求，坚持风险导向审计，突出重点，把有限的审计资源投入到我行现阶段最需要的领域中去，具体而言，我行当前审计工作主要体现在以下三个方面：

1.揭示当前我行内部控制存在的重大缺陷

我行跨区域经营以后，普遍存在大量经验丰富的老员工外调、大

量还未经过我行企业文化熏陶的新员工引入、对异地市场环境的不熟悉、管理半径短时间内急剧加大、总行管理人员的综合素质有待于进一步提高等问题，这些问题一方面使得我行原有的内部控制措施开始失灵、失效，另一方面使得原有的内部控制缺陷被进一步放大，这两方面都有可能对我行的发展带来巨大风险，我行审计部都需要给予重点关注。为此，审计部需要定期对全行各项内部控制措施进行全面评估，及时发现全行内部控制存在的重大缺陷，并提出改善内部控制的有效建议，防范可能存在的潜在风险，为全行的快速发展保驾护航。

2.发现当前本行可能存在的系统风险

银行作为经营货币的特殊企业，其本身面临的风险与其他行业相比要大。虽说风险是银行每天营业都必须面对的，但是不同种类的风险对于银行影响是不同的。损失一户1000万元的贷款，就财务能力而言，我行可以承受，只要没有员工参与，对我行的影响也是小的、有限的，但是如果贷款损失金额同样为1000万元，且涉及几十户有关联的贷款户，那么这一系列贷款将会在社会公众、政府部门、监管部门心中产生对我行极不好的负面影响，这可能将直接影响我行跨区域发展的大局。诸如小额重帐此类计算机系统风险也是如此，涉及成百上千甚至上万客户，负面影响巨大。相对于个体风险而言，系统风险涉及面更广，更容易引起各方面的关注，特别是处于信息快速传递的现在，其影响面之广、影响程度之深，其造成的声誉风险是巨大的，可能我行花费很大精力、时间、成本才有可能挽回。

3.加强对员工道德风险的查处