审计论文富有特色的工商银行内部审计.doc

富有特色的工商银行内部审计 富有特色的工商银行内部审计 中国工商银行股份有限公司 编者按中国工商银行股份有限公司(以下简称工商银行)顺利完成股份制改革后，成功地在沪港两地同步上市，并成为全球市值最大的上市银行，其业绩屡创新高。内部审计在其中发挥了积极的作用，不仅赢得董事会的充分信任，也得到各级管理层的普遍认可。内部审计以风险为导向，以增值为目的，审计覆盖境内37家一级分行、境外10家分行，412个二级分行及1756个县支行，总行22个部室及直属机构；审计事项涉及操作风险、信用风险、合规风险等各类风险领域，提出许多有针对性的意见和建议。内部审计作为董事会重要的监督资源，正在成为改善组织风险管理机制的倡导者、内部控制有效性的评价者和改善组织效能的推动者。 一、富有特色的内部审计体制 可以说，工商银行内部审计体系的发展始终与工商银行的发展相伴相生，与国家的改革开放及公司治理机制的发展如影随形。1984年至今，工商银行走过了从国有专业银行到股份制商业银行，最终发展成国际公众持股公司的辉煌历程，内部审计也同样经历了不断改革、持续发展的演变过程。1984年至2004年，内部审计体制由逐级负责的四级稽核逐步发展到三级、二级稽核。2004年，工商银行党委决定进一步改革稽核管理体系，成立内部审计局，为股份制改革做好充分的组织准备。2005年10月，随着中国工商银行股份有限公司的正式成立，向董事会负责的内部审计体系应运而生；2006年10月，工商银行公开上市，公司治理架构得到进一步完善，开始实行垂直的、独立的内部审计体制。 工商银行内部审计体制的鲜明特点主要表现在： 1、垂直、独立的内部审计体制基础框架。工商银行总行设内部审计局，内部审计局向董事会负责并报告工作，接受监事会的指导，接受审计委员会的监督检查和评价；在全国十个重点城市设立内部审计分局，向内部审计局负责并报告工作；在人员、薪酬、经费、考核、激励、培训等方面实行统一集中管理。几年来，这一垂直、独立的内部审计体制的基础框架，得到工商银行董事会、监事会、高管层、审计委员会的重视和支持。这种垂直、独立的体制，体现了现代公司治理的要求，为内部审计客观、独立地履行监督评价职责提供了组织保障。 2、全新的内部审计价值理念。工商银行内部审计的核心价值观将国际主流的内部审计理念和工商银行的特色文化结合起来，包括多个方面的内容。比如，强调执业理念和遵章意识，倡导国际内部审计准则中强调的客观、审慎、保密与胜任的从业原则，并且把各种审计活动都建立在公司章程之下，强调服务与增值的审计理念。工作的定位是为董事会和管理层提供增值服务，内部审计与管理层不仅仅是“面对面”，更要“肩并肩”，在坚持内部审计应有职业操守的前提下，能指出问题所在、给出有价值的建议，实现内部审计发展与经营管理同步提升的“双赢”效果。强调服务“客户”观念，把审计的相关方作为自己的“客户”，把审计服务作为自己的“产品”，在坚持审计客观性的前提下，与“客户”保持坦诚沟通，与监管机构、外部审计师以及同业建立协调与合作机制，形成一种良好的“客户”管理机制。倡导在审计者和被审计者之间建立一种信任、友善的和谐关系，倡导与管理层一路同行，促进被审计者乐于接受审计的心理认同。 3、内部审计在风险管控中的独特地位。在工商银行现行的风险管控体系中，相关部门各司其职，管理层的业务经营部门和内部控制合规部门主要履行对风险的管理、自查自纠职责，分别构成了风险防控的第一、二道防线。内部审计则是相对独立的监督系统，主要职责是对全行公司治理、风险管理和内部控制的有效性进行再监督和再评价，构成风险管控体系的第三道防线。这种体系的结构，非常符合工商银行机构规模庞大，管理层级多，业务种类复杂的特点，同时也和国际先进的商业银行的主流做法相吻合。内部审计在风险管控中的独特地位，一方面，提升审计分析的层次，由原先的合规检查、查错纠弊为主的账项基础审计转向以风险为导向、以增值为目的风险管理审计，通过发现风险、管理和发展等方面存在的问题，深入分析体制、机制和流程上存在的缺陷及薄弱环节；通过发现个案和局部问题，认真研究系统性和整体性的问题。另一方面，强化了审计建议的价值，内部审计作用不仅在于能够发现问题，更重要的还在于能够提出解决问题的建议，审计确认与审计建议的关系是49与51的关系。 4、完整的规划及有序实施。工商银行制定了20062008年内部审计工作发展规划，明确提出了“建设国内领先，与国际接轨，具有工商银行特色的内部审计体系”这个中长期发展目标，并从职能转型、制度架构、管理机制、报告路径、技术方法、团队建设等方面进行了全方位的规划。 这个发展规划成为内部审计的行动指南。规划的实施采取循序渐进、逐步升级的方式，并提出了“三年三步走”的升级发展思路。第一年通过制度建设、人员培训及观念转变等基础性工作，使全行开始“听到”内部审计的声音；第二年通过开展一系列较为专业的审计项目，使全行开始“看到”内部审计的作为；第三年通过提供更多有价值的增值服务，使全行开始“用到”内部审计的成果。 5、标准化的内部审计管理和作业体系。围绕“国际标准本土化、本土做法标准化”的目标，坚持“借鉴、整合、补缺、优化”的原则，结合国际内部审计理论和最佳实务与工商银行的实际，不断探索、不断创新，逐步形成包括管理模式、业务流程、实务框架以及技术方法等方面的、具有工商银行特色的标准体系。一是管理模式。针对审计对象分布广、要聚焦董事会关注重点的情况，提出“一体化管理”的思路，统一调动全系统的力量和资源，保证最重要工作的完成。“一体化管理”主要包括计划统一管理、项目统一运作、资源统一配置、流程统一规范、过程统一控制与结果统一报告“六个统一”和对审计项目分级、方案审批、团队实施、专家支持、质量控制与报告评定等关键环节进行“六个环节”重点控制的管理模式。管理思路循序渐进、逐年深入，较好地体现了逐步精细化的过程。同时，实行全流程质量控制、统一实务标准和方法等内部审计质量管理措施。二是技术方法。已经初步建立风险监测、内部控制评估的指标体系，开发了审计业务和审计管理信息系统，在非现场审计、项目管理、问题统计分析等方面发挥了重要的作用。 二、职业化的内部审计团队 工商银行的内部审计人员由三个方面组成：一是原先稽核系统的人员；二是从各级管理层交流过来的中高级管理人员；三是从系统内外招聘的年轻人。工商银行内部审计立足于队伍的现状，始终把提升内部审计团队和个人的履职能力作为推进内部审计发展的一项重要任务，先后出台内部审计员工培训规划、加强内部审计履职能力建设的意见等重要文件，把整个团队作为培训目标，持续开展了大规模、分层次的专业培训和职业资格培训，实现了100%的内部审计人员全年接受100个课时培训的“双百”目标。 为塑造一支职业化的审计团队，工商银行一方面，遵循国际内部审计协会对内部审计职业能力框架的要求，通过业务培训和职业道德建设，努力提高审计人员的“硬技能”和“软能力”，并采取一些积极有效的办法，着重于培养审计人员的转型适应能力、专业胜任能力、风险识别能力、学习创新能力和构建和谐内部审计文化能力等核心履职能力。一是从转变思想观念入手，根据新的形势和任务，重点开展多种形式的内部审计职能转型培训和职业道德教育，通过重塑理念和统一思想，增强队伍的职业认同感和使命感，解决内部审计“做什么”的问题，为科学履职奠定思想基础。二是从加快提高队伍的专业水平入手，重点开展内部审计理论实务和方法技术培训，保证内部审计人员精通内部审计主要原理与实务标准，熟练运用先进的审计方法与技术，掌握相关政策、制度、流程的核心内容，解决内部审计“怎么做”的问题，为规范履职夯实专业基础。 三是从适应职能转型发展需要入手，重点开展关于全行战略、公司治理改革以及风险防控体系等方面的培训，解决内部审计“视野、层次与效率”的问题，为高效履职提供智力支持。四是从落实总行高端人才培训计划入手，积极开展审计职业资质认证培训，鼓励审计人员取得国际权威的内部审计和其他相关资质认证，全面强化内部审计人员的职业素养，促进内部审计队伍职业化水平的整体提升。3 另一方面，在保持内部审计独立性的基础上，尝试建立一套审计人员的使用和交流机制，通过与全行各管理层面双向交流优秀的管理与业务人才，拓展行政职务与审计专业职级的“双轨”晋升通道，为审计员工的职业成长提供更大的发展空间。 目前，持续的职业化建设取得了很大成效，队伍的整体素质以及人员结构都发生了一些可喜的变化。一是内部审计团队的职业资质水平快速提升。审计人员中，取得国际注册内部审计师(CIA)等11种国际国内职业资质的有149人，占审计人员的43%，比2005年初建时增加了121人。这个职业水平，不仅在工商银行各专业条线中是最高的，而且在国际内部审计业界也是比较高的。二是形成日益浓厚的学习氛围。审计人员从工作实践中真切感受到，丰富的学识与能力的提高对于适应工作需要、团队健康成长和个人职业发展都非常重要和紧迫。创建学习型组织、争做学习型高素质员工已成为审计人员的共识；知识经验共享的氛围也日益浓厚。三是核心业务团队和专家团队正在逐步形成。通过培养和锻炼，培养了一批懂得经营管理、熟悉风险和内部控制、掌握先进技术及审计业务专长的人才，并正在成为提高审计活动质量与效率的骨干力量。同时，审计队伍年轻化、专业化、职业化的特征日趋明显，核心业务团队和专家团队逐步形成，在内部审计职能转型时期发挥着积极的作用。 三、信息化的内部审计业务和管理系统 近年来，工商银行内部审计顺势而为、苦练内功，依托工商银行强大的信息科技系统，着力加快内部审计信息化建设的步伐，初步构建了内部审计信息化的总体框架。即：依托工商银行信息化基础设施和技术应用，充分利用全行业务和管理系统的数据及功能，建立以审计业务信息系统、审计管理信息系统为主要内容的审计信息化系统平台(见图1)，同时，有机结合其他辅助工具和办公自动化手段，为内部审计工作提供全方位支持。 (一)审计业务信息系统平台 1、风险评估体系。风险评估是识别、计量风险的重要手段，是工商银行制定审计规划、年度计划和开展审计活动的重要依据。通过对总体或局部的风险进行评估，了解各个机构和产品的风险水平，并根据风险等级排序情况确定应该重点关注的风险，为制订审计计划、审计方案提供参考，为开展内部控制评估、风险监测提供方向。风险评估主要侧重于两个层面：一是面向全行总体的风险评估，目的在于确定应重点关注的机构、业务或产品，以科学地制订审计计划、合理地配置审计资源和确定审计频率。二是针对审计项目的风险评估，目的在于确定应重点关注的流程、部位或环节，以指导审计方案的制订。风险评估过程大致分为五个步骤：第一步，梳理业务流程，确定审计单元。根据全行业务经营情况并结合内部审计工作实际，从机构和产品两个维度划分审计单元。产品维度方面，对应纳入审计范围的业务活动和管理职能进行梳理和归类，划分为产品线（即对外提供的产品或服务）和管理线（即内部管理职能衍生出来的、无法与对外产品线进行明确对应的内部管理流程，也可以理解为对内的产品）。 机构维度方面，根据分支机构设置情况和业务特征，划分为境内机构、境外机构和直属机构。审计单元是开展审计活动的基本单位，通过审计单元划分，明晰内部审计应覆盖的范围。虽然审计单元相对稳定，风险评估体系具有开放性，应随着业务的发展变化和机构的增设与撤并，对审计单元作相应的调整和补充。第二步，构建风险宇宙。风险宇宙是用于描述企业风险分布和类别的一种国际通用的方法，是各类机构、各类业务的风险集合。工商银行的风险宇宙是在参考BASEL、国外大型银行风险分类实践和国内监管机构的监管体系的基础上建立的，包含信用风险、市场风险、流动性风险、经营风险（包含操作风险、合规风险）、战略风险和声誉风险等六大类风险；每类风险又含有多种不同层次的风险因素，每一风险因素用若干风险指标反映。风险宇宙的建立，有利于统一审计和业务部门对风险的认识和理解，有利于统一衡量风险的方法和标准。风险宇宙是动态的，每年都应当根据当期经济环境、监管要求、公司流程、产品创新等因素的变化进行调整。第三步，固有风险评估。主要是通过对固有风险和控图1工商银行审计信息化系统平台制有效性的评估，推算剩余风险并对剩余风险进行排序，其中，固有风险可分解为风险发生可能性和影响程度。用公式表示为：剩余风险固有风险×（1控制有效性），固有风险风险发生可能性×风险影响程度。 风险发生可能性评估，主要是基于已建立的风险宇宙，采用指标打分法，根据评估指标及评分标准进行打分及加权，得出各风险因素的分值，再进一步计算，推算风险发生的可能性。 为确保评估结果的客观性，可针对每个二级风险因素制定具体的评估指标和评分标准。同一风险因素可以用一个或多个评估指标进行衡量，评估指标分定量和定性两种。风险影响程度评估，主要是根据评估对象对全行战略的影响程度，确定与战略目标实现相关的指标，如盈利水平、资产/负债规模、市场份额、收入结构、发展速度等，并针对不同性质的评估对象（产品线/管理线/境内机构/境外机构）设置不同的指标权重，通过对各大类指标（全部为定量指标）的计算与评分，得出评估对象的风险影响程度分值。在实践中，发现工商银行风险影响程度的分值对固有风险的分值影响较大，而从风险评估和制订审计计划的需要来看，风险发生可能性应是风险评估关注的重点。由于风险评估是对所有产品和机构风险状况的大体把握和风险高低的排序，不需要精确计量，可以将风险影响程度对固有风险的影响相对弱化，因此，对风险影响程度进行了降幂处理。即：（其中：x代表风险发生可能性，y代表风险影响程度，z代表固有风险。）第四步，控制有效性评估。充分利用内部控制评估（后面进行介绍）的成果，综合考虑内部控制评估所发现缺陷的性质、数量以及覆盖范围。第五步，剩余风险评估。在固有风险评估和控制有效性评估的基础上，计算评估对象的剩余风险。鉴于剩余风险不应高于固有风险，实际评估计算公式为：剩余风险=固有风险×（控制有效性+n）÷5。其中，n可以根据管理层的风险偏好以及审计资源等情况得出，若管理层认为，随着全行管理水平的提高，控制可以更加有效地防范风险的发生或降低风险的影响，则n可以逐渐减小，反之亦然。最后，根据剩余风险得分，生成剩余风险热点图，直观反映评估对象的风险状况。 2、内部控制评估体系。工商银行根据上海证券交易所制定的上市公司内部控制指引和财政部等五部门联合下发的企业内部控制基本规范的要求，参照COSO内部控制框架，借鉴国际大型商业银行的经验，结合自身发展特点，建立了内部控制评估体系及评估标准。目前，基于价值链的全流程内部控制评估体系覆盖公司、流程和IT三个层面的关键控制领域。在公司层面，按照COSO五要素进行划分，共涉及公司治理等18个重要控制领域，84个子领域；在流程层面，按照巴塞尔协议业务分类原则，涉及银行和非银行2个类别，银行类分为8条业务线，24个一级流程，138个二级子流程；非银行类3个一级流程，7个二级子流程。在IT层面，涉及公司层面控制、一般控制及应用控制3个层面，27个重要控制领域。内部控制评估标准分为一般标准和具体标准两部分，二者相辅相成，共同构成完整的评估标准体系。内部控制评估的实施步骤大致分为七步：第一步，梳理和评估风险。根据内部控制评价目标和评价对象，梳理工商银行主要的业务流程，明确相关的风险点和控制点，确定需评估的重要领域。第二步，测试和记录相应的控制。测试工作可在公司治理、流程控制、IT控制层面分别展开，测试方法为调查问卷、访谈、穿行测试和控制测试等。第三步，评价制度设计的有效性。 目前，制度设计导致的控制问题主要体现在各个基层部门的业务操作环节，并且问题出现的频率高、覆盖面广，表现为屡查屡犯。第四步，评价制度执行的有效性。通常采用抽样技术作为评价的辅助手段，同时采用定性指标和定量指标，结合问题所属的性质、风险的高中低程度和问题出现频率进行归类和定性。第五步，归纳与汇总内部控制缺陷。根据影响控制目标实现的严重程度，将评估过程发现的内部控制缺陷按照实质性漏洞、重大缺陷、重要缺陷、一般缺陷进行等级评估。第六步，形成总体内部控制评价。 对所有主流程中每一类业务的风险按重要程度进行分级，对每一风险的控制设计和实施有效性进行评价并分级，具体分为有效、基本有效、关注、特别关注和无效五级。第七步，提出整改方案。通过出具评估报告，向董事会和管理层反映评估结果和提出整改方案，并按照相关规定对外进行披露。 3、风险监测体系。内部审计风险监测体系所涵盖的指标包括风险监测指标集和风险分析指标库，从质量、效益、发展三个维度，以及信用、市场、流动性、经营、声誉、战略六大风险出发，建立起风险监测体系，实现监测信息的自动处理和监测流程的自动控制。风险监测指标集归集了能够反映全行产品和机构风险状况的核心指标，风险分析指标库归集了可用于对风险发生的部位、原因、影响等进行辅助分析的分析指标。所有指标分别从风险类别、指标性质（质量/盈利/发展）、机构产品三个维度进行分类归集，可针对多种监测目的，实现从风险和经营视角出发的多角度监测以及对不同级别机构和不同产品的多对象监测。监测分析人员可根据监测目的和需要，从中选择相关指标进行定期风险监测，通过与标杆值的比对，进行监测指标的预警与告警，并结合分析指标进行深入分析。风险监测分析包括3个层面：一是定期风险监测。以指标为起点，通过采集所选监测指标的原始数据，计算指标值并与标杆值相比，把握整体风险状况，即对“面”的监测。二是预警/告警分析。通过设定标杆值，发现预警/告警指标，通过指标的纵向分析、横向对比以及指标之间的相互对比及相互解释，对预警/告警指标进行简要分析，即对高风险点的浅层次分析。三是深入分析。通过对监测过程中发现的高风险点，结合风险分析模型进行“由表到因”的分析，找出风险分布及其影响和造成风险的潜在原因。对重要风险问题或特别关注问题，可根据需要，直接列入对银行经营管理具有重大影响且不能仅以单一监测指标衡量的关键风险点，开展专项问题分析，从多方面、多角度进行深入分析。 工商银行开发的风险评估系统、风险监测系统、内部控制评估系统等，相互联系、互为补充，有机组成综合性的审计业务信息化系统平台，不仅实现了对审计项目所需数据的非现场采集、排查、分析与挖掘等功能，解决了非现场监测、分析与评估以及现场审计检查所需数据问题，而且已逐渐成为内部审计管理信息化系统平台基础。 (二)审计管理信息系统平台 审计管理信息系统平台通过计划管理、项目管理、问题管理与综合管理等几个主要模块，初步实现了对前、中、后台的审计业务全程控制和实时管理。 1、计划管理模块。风险评估是制订年度审计计划的重要基础。根据风险评估结果确定风险等级，从而初步确定审计对象及审计频率；然后根据以前年度的审计发现、审计深度和广度以及审计资源状况等因素，对审计频率进行适当调整；最后根据初步确定的审计对象和审计频率，安排年度审计项目的数量与审计资源的分配，初步制订出滚动审计计划。此外，还要根据董事会、管理层关注的审计范围、监管机构和外部机构的要求以及某些产品或机构在短期内发生的异常变化等因素，对滚动审计计划进行调整。 2、项目管理模块。一是提供覆盖全行主要业务的审计数据平台，审计人员可以准确、方便地获取所需数据；二是提供多样的审计分析模型和审计分析工具，审计人员可以根据需要选择适用的模型和工具；三是为审计项目的管理和控制提供一个统一的信息平台，实现对项目流程的管理（包括项目立项、方案制订、资源分配、工作进度、问题汇总、整改情况的管理），对审计质量的控制以及对审计底稿、审计报告等文档资料的管理。审计人员可以利用系统提供的数据、模型和工具开展审计分析，利用系统对审计项目进行管理和控制。 3、综合管理模块。综合管理包括计划管理、工作支持、综合管理和信息沟通四个方面。计划管理包括对计划制订过程的管理和对计划实施情况的跟踪以及对计划完成情况的汇总和评价；工作支持主要是为审计人员提供审计依据库、知识库、方案库、问题库、案例库和经验库等多方面的信息支持；综合管理包括对审计机构、审计人员、培训、档案和预算等方面的管理以及绩效考核、综合统计等功能；信息沟通主要是为审计组提供前、中、后台相互联系的平台，为审计部门与被审计机构提供沟通的平台，为内部审计局与高层和各分局提供交流的平台。3