引言 1、强有力的内部控制包括内部审计活动和独立的外部审计,是良好公司治理的一部分。这对于银行营运的安全与稳健也同样重要,并且有助于在银行管理层和银行监管者之间形成高效的、有建设性的工作关系。银行监管者与银行内、外部审计师之间适当的沟通有助于提高审计和监管的有效性。 2、2001年8月,巴塞尔银行监管委员会颁布了一份极具操作性的文件——《银行内部审计和监管者与审计师的关系》(以下简称内部审计文件)[9],该文突出强调了银行机构内部审计师工作的重要性,以及银行监管者与银行内、外部审计师进行合作的必要性。 3、重要的是,内部审计文件要求所有银行都应有持续和独立的内部审计,并提供了大量与内部审计有关的指导原则。这份文件的核心是强调董事会和高级管理层在内部控制、风险计量和合规性方面的责任,也强调了内部审计师独立性的重要性。因此,每家银行都应有一个由高级管理层批准和董事会认可的内审部门来强化内审功能的地位和权威性。由于现代银行的运作日益复杂,内部审计师必须具备足够的专业能力,并在工作中使用风险为本的方法。内部审计文件还进一步指出,银行内部审计师的工作有助于银行监管者的工作。因此,银行监管者也应与每家银行的内部审计师有定期的协商,来讨论采用所识别的风险领域和采取的手段。 4、本报告的调查结果说明,巴塞尔委员会倡导的内部审计重要原则在银行业中获得了广泛的认可。 5、2002年1月,巴塞尔委员会与国际审计实务委员会(IAPC)[10]联合发布了《银行监管者和银行外部审计师之间的关系》[11]文件的修订版本。巴塞尔委员会和IAPC都认为,更好地理解银行监管者和外部审计师各自的工作和职责,将会增强各自工作的有效性。 6、本报告中提到的巴塞尔委员会的文件可以在位于www.bis.org的国际清算银行网站上查到。 调查情况 7、2001年到2002年期间,巴塞尔委员会的会计工作小组以13个国家的银行为样本开展了一项调查,力图发现为促进内部审计有效性所作出的安排。按照内部审计文件的原则[12],这次调查也对银行监管者、内部审计师和外部审计师之间的关系进行了研究。得益于内部审计师学会[13](简称IIA)的支持,这份报告表述了对调查结果的总体看法。 8、调查涉及巴塞尔委员会以下成员国家的银行监管当局和71家银行:比利时、法国、德国、意大利、日本、卢森堡、荷兰、西班牙、瑞典、瑞士和美国。作为委员会会计工作小组观察员的奥地利和新加坡也参与了调查。 9、本次调查所收集到的相关银行信息是基于各国监管当局自身的认识,并通过与参与调查的国家中各种规模银行的内部审计师和其他人的会谈进行了补充。尽管这些样本银行并不一定代表参与国银行业内部审计工作的现状,但调查提供了有用的结果。由于这种调查多少都带有片面性,因此应当谨慎对待。 调查的主要发现 内部审计 10、根据巴塞尔委员会的《内部审计文件》,一般说来,内部审计的范围主要包括以下内容: 对内控体系充分性和有效性的测试和评估; 对以下内容的审查: -风险管理流程和风险测评方法的应用及其效果; -管理和财务信息系统,包括电子信息系统和电子银行业务; -会计记录和财务报告的精确性和可靠性; -保护资产的措施; -与风险评估相关的银行资本评估体系,建立的合规性体系; -业务运作效率和经济性的评价; -各项交易及其相应内部控制程序的运行测试; -报送监管报告可靠性和时效性的测试; -特别调查的执行情况。 11、调查显示,在实际操作中内部审计的范畴也很广阔,包括诸如内部控制体系、风险管理流程、财务信息系统、对交易和程序的测试、遵守法律法规的情况、测试监管报表和开展特别调查等主要领域。 12、尽管大多数参与调查的国家认为会计记录的审计属于内部审计的范围,但有些国家对银行财务报告的审计并不包括在内部审计的工作中。在这种情况下,对财务报告的审计似乎应被视为银行外部审计师的唯一责任,内部审计师在这一领域的作用应限于向外部审计师提供支持。 13、调查显示,由单独的合规部门而不是内审部门对合规性进行评估的趋势正在增强。最近的公司倒闭,以及巴塞尔委员会的文件《银行客户尽职调查》[14](2001年10月)都显示,银行作出恰当的安排以确保合规具有重要意义。委员会将考虑制定指引,以鼓励在合规领域开展良好的做法。 14、被调查银行认为由内部审计师向监管者透露信息会影响其工作,因此他们认为这是董事会的职责,至少在许多国家中也是外部审计师的工作。 15、调查结果发现,内部审计的范围与IIA的内部审计定义基本一致:“内部审计是一项独立、客观的咨询活动,用于改善机构的运作并增加其价值。通过引入一种系统的、有条理的方法去评价和改善风险管理、控制和公司治理流程的有效性,内部审计可以帮助一个机构实现其目标。”(来源:http://www.theiia.org.) 内部审计和咨询 16、关于内部审计的一个重要问题是如何利用内部审计师作为内部顾问的问题。对公正性和客观性的要求并不一定排除他们在专业领域中给出建议。但是,委员会确信建议或咨询是内部审计的辅助职能,内部审计的基本职能是在银行内部建立独立评价功能以测试和评价其内部控制体系。在审计委员会授权内部审计师提供咨询意见时,应小心评估活动的客观性不得受到损害。内部审计师学会发布的《内部审计专业操作标准》[15](简称IIA标准)涉及了内部审计师提供咨询服务相关的问题。 17、调查显示,到目前为止内部审计师的大多数时间(在75—95%之间)花费在内部审计工作上,花费在培训和咨询方面的时间则分别在5—20%和0—20%之间。就咨询工作而言,审计师强调他们并不承担任何操作责任。被调查银行指出,咨询活动应限于向特殊的主要项目或计划提出与内控有关的意见。由内部审计师提供的咨询工作不得损害内部审计工作的独立性和职责,这一点银行是了解的。 内部审计功能的目标和任务 18、巴塞尔委员会的《内部审计文件》指出,银行董事会对确保高级管理层建立并保持适当和高效的内部控制体系、评估银行活动各种风险的测评体系、银行风险和资本水平的联系机制、监测合规性负有最终责任。董事会应至少每年审查一次内部控制体系和资本评估流程。银行的高级管理层应负责制定确认、计量、监测和银行的风险控制程序。高级管理层应至少每年向董事会报告一次内部控制体系的范围和运作情况以及资本评估程序。 19、调查显示,银行董事会和高级管理层都意识到这些良好做法的重要性,并且董事会和高级管理层承担了内部审计文件中描述的职责。 20、被调查银行的董事会采取了各种措施来履行其职责,包括: 制定审计章程; 在董事会中组建审计委员会或审计和风险管理委员会; 促进内、外部审计师的经常接触; 根据监管要求重组内审部门; 发布内部审计指引; 审查和批准内部审计师的年度审计计划。 内部审计的原则 永久性职能——连续性 21、巴赛尔委员会的《内部审计文件》指出,每家银行都应有常设的内审部门。高级管理层应采取一切必要的手段,建立一个与其规模和业务特征相当的内审机制。这些手段包括提供恰当的物质条件和人员配备使内部审计能完成其目标。 22、所有被调查的银行证实他们已经建立起了持续的内部审计机制。 23、总体来看,高级管理层采取了各种措施确保其已经为内审部门提供了适当的资源和工作人员,这是通过连续地或按年度地对内部审计师的实际工作与工作计划相比较来达到的。另外一个决定资源合理配置的方法是,实施周期性的基准评价活动,来对一家银行与其他同类银行的内部审计职能进行比较。 24、内部审计在银行中并非相当大的活动,因为内部审计师平均约占银行全部员工的1%,不同银行的内部审计人员的实际占比都不一样,这取决于该银行的规模及其业务活动。 独立性、客观性及公正性 25、巴塞尔委员会发布的《内部审计文件》强调了内审部门的运行应符合独立性、客观性和公正性原则的重要性。遵守IIA的标准也有助于支持以上原则。生效于2002年1月的IIA标准要求审计部门持续地改进质量,包括每五年进行一次独立的质量评估。 26、所有被调查的银行指出,他们的内部审计部门都独立于被审计的业务活动和日常的内部控制流程。所有的内部审计部门认为他们可以在没有管理层的干涉下执行他们的任务;可以自由报告他们的发现和评价,并在没有管理层干涉的情况下将这些发现和评价在银行内部披露出来。内部审计部门的这些权利由制定的审计章程或者是监管规章(或者两者都有)加以保障。审计章程提高了内部审计部门在银行中的地位和权威。 27、尽管各国不同的公司治理模式各有其自身特征,但所有的审计章程均被董事会或类似的机构批准。通常,银行的所有内部职员都应当了解或者至少有渠道获得(例如通过内部网)审计章程。但是,少数被调查银行的审计章程只传达给了少数有限的人员,譬如审计人员和管理层。 28、几乎所有被调查的银行均授权内审负责人可以就有关情况直接、自主地地与董事会进行沟通(一般通过董事长或审计委员会的成员),在适当的情况下也可与外部审计师进行交流。巴塞尔委员会在其内部审计文件里强调,银行的内审部门负责人应有权按照各家银行审计章程中界定的规则采取这种方式进行传达。 29、各被调查银行分别采用了不同的方式保障内部审计的客观性和公正性。最常采用的措施有: 审计部门工作人员职责分工的轮换; 不介入银行业务运作; 在审计章程中确保内部审计师的独立性; 在一定时间内,任何一名从银行内部聘用的审计员不能介入对他/她以前从事的业务活动的审计。 其它措施有: 内部审计师应该从银行外部招聘; 对审计工作、工作底稿的正式审查和评价程序; 内部审计师的报酬不与银行业绩和利润挂钩; 与执行整改措施的职责相分离; 审计人员不应参与控制和其它管理程序的设计。 专业能力 30、巴塞尔委员会的《内部审计文件》指出,内部审计师的专业能力是内部审计正常发挥作用的关键。调查显示,内部审计师都接受了良好的培训,特别是在大银行和譬如交易活动和信息技术(IT)的审计等专业领域中。但这并不排除内部审计部门将对专业的信息技术审计外包。规模较小的银行在招聘内部审计人员时,应更看重他们特有的专业知识和银行从业经验,而不是他们接受的正规教育或专业职务。 31、保持专业能力有各种各样的方法。以下是最常采用的方式: 在职培训; 正式的内部和外部培训(注册审计师也应继续接受强制性的再培训); 审计部门内部的轮岗(尽管有人认为这与专业化的要求相冲突); 鼓励取得注册内部审计师资格。 审计范围和内部审计部门的组织 32、对于监管者来说特别重要的是,所有被调查的银行报告显示他们的每项业务和每个实体都在内部审计的范围内,这点与《内部审计文件》是一致的。为此,调查涉及内审部门的组织方式,特别是那些大型的国际银行和金融企业集团内的银行。 33、调查显示,最通用的内部审计组织模式是成立一个集中化的内部审计部门。在大型的银行里,海外分行可能设立当地的内部审计单位,但是这些当地的审计单位由总部的内审部门进行协调。对于金融集团内部规模较小的银行,其内部审计一般外包给金融集团的内审部门。 34、在被调查的大型机构,内部审计往往根据业务线来进行组织,各条业务线上的内部审计部门负责人向集团的内审部门领导报告。 内部审计的运作 审计工作方法和类型 35、内审部门的活动应包括制定风险为本的审计计划、审查和评估获得的信息、传达审计结果并跟踪整改情况。调查显示,银行都遵守了上述原则。内审部门的管理者通常负责按年制定风险为本的审计计划。审计计划由银行高级管理层或董事会(或其审计委员会)批准,这取决于各银行的公司治理模式。 36、几乎所有银行都反映,各种类型的内部审计工作都是由内审部门完成的。他们列举的审计类型有财务审计、合规性审计、业务操作审计和经营管理审计[16]。进行经营管理审计的频率要少于其他类型的审计。 37、被调查银行反映,他们的审计计划是以风险为本的,并通过一系列不同的方法来达到目的,比如采取打分模型来评估数量及质量信息。IIA标准指出,内部审计活动应支持机构识别和评估重要的风险敞口,并帮助该机构改善风险管理水平和控制体系。至少每年向审计委员会提交一份正式的风险评估报告被证明是一种良好做法。 内部审计程序 38、所有被调查的内部审计部门都反映,他们会准备审计方案,并在工作底稿上记录审计流程。每次审计任务完成后,他们都会及时地准备一份书面报告。审计报告一般会递交给被审计者和高级管理层。有些被调查银行提到,审计报告是否传递取决于审计发现问题的严重性。 39、在所有被调查的银行,内审部门都会对整改意见是否落实进行跟踪,其频率通常取决于整改意见的重要性。 40、所有被调查银行的内部审计部门都反映,他们通常会向高级管理人员通报内审部门整改意见的落实情况。内审部门会根据审计发现问题的严重性向董事会或审计委员会报告。 内部审计部门的管理者 41、调查显示,内审部门的负责人对确保本部门的工作符合良好的内部审计原则是负起了责任的。这与巴塞尔委员会内部审计文件规定的原则是一致的。 42、根据被调查银行的反馈,内部审计部门的负责人也有责任确保:审计人员执行良好的内部审计标准、有及时更新的审计章程、制定适当的审计计划、审计工作班子有适当的和及时更新的书面政策及程序、审计工作人员有恰当的专业能力并得到培训、内审部门有充足的资源。本次调查没有专门涉及使用外部对内部审计质量的进行评价,但2002年1月开始生效的IIA标准要求至少每5年作一次这样的评价。 43、被调查银行指出,他们相应的管理层将从内审部门负责人收到一份常规报告用于讨论,这份报告包括了比较审计计划与最近的审计结果所取得的进步。 监管当局及内审部门及外部审计师之间的关系 监管当局与内审部门之间的关系 44、如《内部审计文件》所推荐的,所有参与调查的监管者都会对他们所监管的银行的内审部门工作情况进行评价。这项工作是通过定期召开会议、现场评议、或直接向监管者报告的方式开展的。监管者报告,他们要与内部审计师讨论内审部门的运作以及内审部门发现的问题,特别是在一些表现出重大风险的领域。监管者还对内部审计报告进行审查以发现风险控制问题并识别潜在风险。在外部审计师扮演特定监管角色的监管框架下,监管者也使用外部审计师提供的报告来获取内审部门的工作信息。 45、一些国家的监管者会组织与所有银行内部审计部门进行讨论,讨论常常涉及各种普遍关注的问题,如监管法规的发展及其对内部控制与内部审计的影响。 内部审计与外部审计之间的联系 46、几乎所有的监管者都强调内、外部审计师之间进行常规磋商的重要性。在许多国家中,外部审计人员使用内部审计的工作成果,但前提是首先采取各种方法来确定可以在多大程度上依赖内部审计师的工作。这种合作能使外部审计更有成效,且避免了审计工作的重复。 监管者和外部审计师的关系 47、在不同国家,外部审计师在银行业监管中扮演了不同角色,从与监管几乎没有联系到与监管者保持非常紧密的合作。 48、在许多领域,银行监管者与银行外部审计人员的工作是彼此促进的。监管者与外部审计人员之间的关系应基于《银行监管者和银行的外部审计师之间的关系》这一文件描述的标准。委员会在这份文件中建议,法律应当保证外部审计师不因为善意、依法地向监管当局透露信息承担负责。这可能采用法律规定的形式,或采取银行及其管理层、外部审计师和监管当局之间达成协议的方式。建立一种合法的渠道使监管当局能够向外部审计师披露其关注的信息也很重要,因为这可能有助于外部审计师理解监管者关注的问题,并影响其审计工作或其他的报告责任。 监管当局和外部审计师、内部审计师的合作 49、监管当局、外部审计人员和内部审计人员的合作,目的是使各方的工作效率更高、效果更好,这种合作一般基于三方的定期会议。 50、大多数国家报告说,通常情况下,监管者与银行的内部审计人员及外部审计人员会举行专门会晤,例如讨论审计或现场检查的结果。 51、在一些国家,监管当局通常和银行的外部审计机构和内部审计部门举行定期会议。 内部审计的外包 52、巴塞尔委员会的《内部审计文件》指出,无论内部审计活动是否外包,董事会和高级管理层都应承担确保适当的内部控制及内部审计体系高效运转的最终责任。 53、根据调查,内部审计在所有国家都被视为银行的核心活动。因此,内部审计职能的外包在大多数国家并不普遍,即使有,也仅限于银行所属集团一部分的服务提供商。 54、在大多数国家,内部审计的外包对于那些较小的银行来说是一个更能被接受的做法。应当强调的是,在这种情况下银行外包的并不是内部审计的责任而仅仅是审计工作。 55、作为一项原则,有的国家不允许将内部审计外包给银行的外部审计师。 银行内部审计的最新发展趋势 56、提升内审部门的质量和效率似乎应是银行首席审计官的优先考虑的工作之一。据报道,主要趋势包括培养审计师更强的专业性以便更好地跟踪那些被审计的活动(比如兼并和收购),强化内部模型的审计和评估,以及更加重视风险为本的审计。 1原文为“supervisoryboard” [2]即“EnhancingCorporateGovernanceforBankingOrganisations” [3]即“FrameworkforInternalControlSystemsofBankingOrganisations” [4]在有些国家,法律特别鼓励机构为外部或内部人员反映问题建立渠道。在这些国家,法律保护那些主动披露发现不正当行为的雇员。 [5]即“StandardsfortheProfessionalPracticeofInternalAuditing” [6]即“InternationalAuditingPracticeStatement1004” [7]即“CommunicationsofAuditMatterswiththoseChargedwithCorporateGovernance” 通常包括以下事项:审计的一般方法和总体范围,包括任何可预计的限制及额外要求;对实体的财务报告有或可能有重要影响的重大会计政策和会计处理方法的选择或变化;披露诸如未决诉讼等对可能对财务报告有潜在影响的重大风险;对实体财务报告有或可能有重大影响的审计调整,无论其是否被记录下来;对实体持续经营能力产生重大影响的不确定性;与管理层在实体财务报告或审计报告方面的争议(这些问题单个或整体上都对财务和审计报告有影响),这些沟通包括考虑这些事项是否解决,以及这些事项的重要程度;预计对审计报告的修改;负责公司治理的人员有理由关注的其他事项,比如内部控制的重大薄弱环节,对管理层操守的疑问,涉及管理层的欺诈行为;其他在合同中约定的事项。 [8]例如,欧洲委员会《关于法定审计师独立性的建议(草案)》(EuropeanCommissionsDraftRecommendationonStatutoryAuditors’Independence),美国证券交易委员会《关于审计师独立性的要求》(theU.S.SecuritiesandExchangeCommissionsAuditorIndependenceRequirements)。 [9]即“Internalauditinbanksandthesupervisor’srelationshipwithauditors” [10]InternationalAuditingPracticesCommittee,已更名为国际审计和保险标准委员会InternationalAuditingandAssuranceStandardBoard(IAASB)。 [11]Therelationshipbetweenbankingsupervisorsandbanks’externalauditors,这份文件也即《国际审计实务1004》(InternationalAuditingPracticeStatement1004)。 [12]原则10,关于银行内部资本的评估程序的审查未包括在调查中,因为这一评估还不是巴塞尔资本协议的一个正式部份。 [13]InstituteofInternalAuditors(IIA) [14]即“Customerduediligence” [15]即“StandardsfortheProfessionalPracticeofInternalAuditing” [16]以下概念没有在调查中给出定义,但其通常的含义如下:财务审计指的是对会计系统、财务信息和财务报表的可靠性和真实性进行审查;合规性审计是指对确保合规性相关制度质量和恰当性的审查;操作审计是指对与业务有关的其他系统和流程的质量和恰当性进行审查,用批判的态度和合适的方法分析组织结构的合理性,并评估与任务相关的资源和方法的充分性;经营管理审计是指对管理层在经营目标架构内识别、控制风险的行为进行审查.
2002年8月 巴塞尔银行监管委员会
