導語：商業銀行內部審計增值路徑一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

[摘要]作為組織結構的一部分，內部審計目標與組織高度一致——尋求組織價值的最大化。內部審計增值將始終圍繞防風險、強內控、促發展的主線展開，并在工作內容選擇、工作方式方法創新、工作機制流程優化等不同維度跟進相應措施，保障審計價值增值路徑暢通，效果符合預期。

[關鍵詞]內部審計;價值;增值;路徑;商業銀行

近年來，銀行內部審計的作用日益凸顯，得到各方認可。但是，伴隨外部經濟形勢、金融環境日益復雜化，面對經營風險多樣化、交叉傳染以及影響面日益擴大等新特點，商業銀行風險防控與穩健運行面臨前所未有的壓力，監管部門、商業銀行管理層、業務經營部門及一線機構等對審計工作的期望更高，主要體現在對內部審計工作職能發揮的幾點疑問：一是風險大面積暴露，審計作用是否充分發揮？部分問題為何過去未能揭示，事前未能提示？二是審計每年揭示大量問題，但問題數量為何未顯著減少，部分問題為何屢查屢犯？三是經濟新常態下，審計怎樣才能更好地發揮作用？如何在揭示風險的同時著力解決問題？疑問幾乎鎖定同一焦點，就是審計如何跳出對照制度查錯糾弊、事后審查揭示問題的傳統工作模式，主動尋求提升價值貢獻的新路徑、新模式。內部審計價值增值正成為評價審計履職盡責的核心標準。

一、價值增值模型與增值路徑

作為內部審計標準的制定者，國際內部審計師協會(IIA)對內部審計定義進行了持續優化：1999年重新定義并強調內部審計職能為確認與咨詢，通過評價和改善風險管理、內部控制和治理過程的有效性，幫助組織增加價值、改善經營、實現目標。該定義將內部審計落腳點最終體現在增值，也明確了內部審計發展的方向。（一）三種價值增值模型。基于IIA重新定義，《國際內部審計專業實務框架》(IPPF)持續修訂并推出一系列有益實踐的價值增值模型：公共部門內部審計能力模型(IA-CM)（IIARF，2009）將內部審計能力分為五個層級：初始級、基礎級、整合級、管理級與最優級，旨在評價內部審計自身活動狀況，培養和發展內部審計能力，指導內部審計提高在公共部門治理和問責中的作用。內部審計價值主張模型（IIA，2010）建立在內部審計向組織提供的核心服務之上，即“客觀”“確認”和“洞察”。“客觀”是以客觀事實為基礎，公正無偏地開展分析審核、做出判斷與結論；“確認”是對內部控制、風險管理和治理過程有效性進行的評價；“洞察”是在敏銳發現問題的基礎上，提供前瞻性、建設性的見解。該模型目的在于激發內部審計價值創造的意識，將價值創造作為與組織利益相關者實現有效溝通的主題與途徑，增進各方的協調與信任。三線防御模型（IIA，2013）意在統籌規劃組織投入內部控制與風險管理的各項資源，通過明確經營經理層、風險管理與合規、內部審計三道防線的角色與定位，協調加強風險管控。這三個模型與內部審計的價值緊密關聯，體現了IIA對內部審計的規范性指導。關于內部審計發展方向，相關理論無一不統一到價值增值這個核心，并因此系統規劃了“增值時代”內部審計發展的理念、宗旨、活動實施、制度與資源安排，成為內部審計構建轉型框架與具體策略的重要指導。（二）三種價值增值路徑的選擇。綜合各方要求與基礎理論，對新形勢下的內部審計轉變傳統觀念，主動探索轉型之路，著力提升價值貢獻提出了要求：首先，著眼于組織全局，服務于組織目標的實現，最終目標是實現價值最大化。其次，客觀、確認是內部審計的履職基礎，但突出前瞻預判的洞察能力是體現價值的關鍵。最后，在保持作業模式相對獨立的同時，內部審計增值還需依托三道防線相互協作。基于以上要求，確定審計增值的三條路徑：一是揭示風險并促進化解以實現價值。揭示風險是履行審計職能的首要任務，是體現審計價值的基礎。通常有兩種模式：一是傳統事后審計模式。內部審計在經營活動完成后，基于活動軌跡、活動資料進行事后審核。此模式風險往往已經存在，通過審計揭示出來，督促經營管理條線及時處置風險，防止風險蔓延，或減少風險造成的損失。這是最常見的審計模式，關鍵節點在于促進風險化解。怎樣促進，基于準確的查證，即指出風險產生的環節、風險的表現形式、風險的責任主體，從而使風險化解成為一項目標責任清晰的工作。二是基于視角前移的前瞻性審計模式。前瞻即“洞察”，提前識別。通過前瞻性分析，加大風險研判力度，及時捕捉新情況、新動向和新特征，發現一些潛在影響較大的傾向性、苗頭性問題，提出解決措施，幫助組織避免更大問題的發生和更多損失，使審計職能由“治病”轉變為“防病”，乃至“防治結合”。在這個環節，查和證是審計工作的兩個重點：一方面，合理運用方法技術，快速查找風險線索；另一方面，調動各方力量，全方位證實風險的存在。審計需要做實這兩個步驟，保證該揭示的風險得以全面揭示，促進被審計單位充分識別風險并及時采取有效的化解措施，防止風險蔓延，避免造成更大損失。二是揭示控制缺陷并促進改善管理以實現價值。履行監督職能、揭示風險只是審計工作的第一步。“增值型”審計要求從“揭示問題”切入，以“解決問題”落腳，內控缺陷往往是問題的根源，特別是頻率高發問題。審計工作始于風險，歸于內控。內控缺陷的改進是審計工作鏈條閉環、風險閉合的重要參考因素。因此，在查與證的基礎上，審計還要著力抓實“挖”與“煉”兩個環節，通過深層次分析，努力挖掘找到風險背后的根源性內控缺陷，致力于促進管理層牽頭，推動自上而下的源頭整改，幫助組織改善內部控制，使業務持續發展、價值實現最大化，實現審計價值創造、組織價值提升的高度統一。三是促進增收節支以實現價值。這是審計職能的進一步延伸。銀行的核心價值是吸收和防控風險，但銀行經營目標依然是風險可控前提下的股東價值最大化。內部審計作為銀行的重要組成部分，其目標與全行經營目標具有一致性。因此，審計工作要體現融入性，不能僅局限在問題揭示的傳統思維框架內，要充分利用審計信息處理應用方面的優勢，立足機構整體，通過挖掘數據流、業務流，著力尋找增收節支的重要突破口，主動拓寬審計價值創造的空間。

二、創新增值路徑的實踐選擇

（一）突出監督機制創新，使項目審計與日常監測共同構建起審計監督立體防線。1.確認與咨詢相結合，科學立項，實現項目審計對業務的周期覆蓋。（1）突出風險導向。評價審計價值與效果高低，取決于該查出的問題是否查出，該揭示的風險是否全方位揭示。監督是內部審計的首要任務，而流程規范的審計項目是審計監督最重要的載體。審計要從組織增值目標出發，合理安排審計項目和確定審計重點，針對關鍵環節、關鍵風險，以充分的人員、資源保證審計項目實施，實現對主要環節、業務、機構、產品的周期性覆蓋。通過對相關業務領域風險開展評估，綜合運用風險因素分析法、內部控制評價法等專業風險評估工具，有效識別和評估銀行面臨的風險，針對重點風險領域投入優勢兵力，拓展審計深度，著力揭示重大問題、重大風險，從行業、區域以及新業務、新產品等不同維度進行風險分析，及時作出風險預警，幫助組織防范系統風險。（2）緊跟監管導向。持續關注監管重點領域風險，項目安排主動契合監管理念、監管方向及重點變化。內部審計應及時跟進外部監管政策變化，并及時融入各類審計項目中。聚焦信貸、柜面、印章、集中采購等高風險領域和外部監管系列專項整治重點，定期審計，持續關注風險。加強經濟責任審計，把經濟責任審計作為防范區域風險的重要手段。（3）關注經營管理中的難點、熱點。審計對象借力審計的意愿不斷增強，為雙方共同研究經營管理問題打下基礎。對此，應著力提供管理咨詢，審計年度項目計劃安排應從幫助解決經營管理中的問題出發，更多開展咨詢類項目，將服務領域逐漸拓展到管理層關心的集約化管理、成本控制、業務營銷與業務拓展等領域。2．從項目內向項目外延伸，以日常監測進一步實現審計的動態、全面覆蓋。審計部門在項目監督的基礎上，還需探索建立日常審計監測機制，通過提升審計的時效性體現前瞻洞察力。（1）建立健全“橫向到邊、縱向到底”的責任體系，落實日常監測的機制保證。建立責任分解和壓力傳導機制，采取分專業、分機構、分組包片的方式，將日常監督責任層層落實到部門和審計人員。明確審計人員在風險信息收集、監測、分析、核查工作中的具體工作內容和考核質量標準，實現每項業務、每個重點客戶都有人管，每名審計人員都有自己的“責任田”。（2）立足計算機審計平臺，突出重點事項，以日常監測保障監督覆蓋。隨著業務數據化，依托數據開展非現場分析，提前鎖定重要疑點成為可能。大力推廣基于業務模組化管理、業務數據關聯分析的計算機審計技術，按照業務流程提前梳理審計分析模型，實現重點業務、重點事項、重點環節、重要崗位監督常態化，動態跟蹤銀行經營管理變化和風險演變，動態排查風險。（3）發揮日常監測靈活性優勢，成果及時查、及時報，提升審計風險的快速反應力。與項目審計相比，日常監測具有不立項、全員參與、依托數據與技術平臺非現場經常性分析、動態查證等優勢，可以實現小而靈的“點穴式”審計，使及時反饋風險、快速推進風險應對成為可能。（二）突出審計分析方法創新，精準揭示問題與全景展示風險結合。依托計算機審計平臺，開展非現場數據分析，及早鎖定疑點線索，提升問題查證與風險揭示精準度。一方面，審計準備階段，集中分析數據，突破統計抽樣、大海撈針的瓶頸，提前鎖定疑點線索，實現現場審計定點查證；另一方面，現場查證階段通過內外部數據關聯分析、比較分析，實現深層次揭示問題。更重要的是，成果提煉階段，以全量業務數據為分析對象，以現場查證所掌握的某一問題為切入點，有助于批量揭示一個區域甚至組織全量風險，促進準確計量風險敞口并采取有效措施。搭建主要業務風險評估與預警體系，立足業務數據整體分析，及早把握風險發展態勢。大數據時代為業務整體分析與風險趨勢預警提供了可能。內部審計應將數據分析應用到整個審計生命周期，立足業務整體數據，結合外部數據，整合構建風險評估及預警模型體系，實現動態預測風險和趨勢，集中提示業務指標異常的風險集中區域，為經營決策提供更具價值的信息。一方面，多維度、多方法搭建數據整體分析框架。從區域、機構層級、時間序列等維度，對經營機構的主要業務指標和科目余額占比、增量變化、系統排名等情況進行綜合比對，形成以系統分析和主要科目變動分析為主、以靈活分析為輔，數據準備和自定義數據源為數據基礎的主要業務風險評估及預警體系。從宏觀層面反映了經營機構整體風險、主要業務風險和區域風險，構建業務全景視圖。從中觀層面反映經營機構重點科目異常變化情況，通過同層級機構的對比分析，直觀反映機構的風險狀況，實現異動精準監控。另一方面，科學應用體系分析結果，促進審計價值創造。一是為審計工作計劃制定提供參考。從區域、機構、時間等維度，對主要業務指標進行機構間的橫向分析和機構內縱向分析，從宏觀層面提供支撐。二是為日常審計提供關注重點。通過科目余額多維度分析，及時反映經營機構重點科目異常變化情況。三是為經濟責任等審計項目提供數據支持。采集一、二級分行歷史數據，初步實現向經濟責任等審計項目直接提供業務評價數據的目標。四是為信貸決策提供更具價值的參考。對于信貸業務的評估，基于當年貸款核銷金額還原不良貸款額和不良貸款率指標的假設，這種分析模式下的評估結果更真實地體現經營機構信貸資產質量。還原信貸資產質量的真實面貌，促進提升信貸政策制定的科學性。（三）探索內控基礎審計模式創新，多維度分析內控問題根源。內部審計經歷了從賬表審計、控制導向審計，逐步向風險導向審計發展的歷程。但是，揭示風險只是審計履職的一個部分，以確認為主。審計履職與創造價值需要體現在管理咨詢的更高層次，這是價值主張模型的核心內涵。所以，風險導向審計最終需要回歸內控，透過風險表象深挖內控根源，以此推動高層次的風險化解與主動防控。從這個意義上說，“內控基礎審計”是對“風險導向審計”理念的最終“落地”和實踐探索。1．從兩個層次構建多維度內控分析體系。（1）第一個層次涵蓋制度、流程與操作執行的淺層內控缺陷。結合操作實際，可以歸納為七個層次：一是執行缺陷。即有控制不執行，繞開控制導致控制失效。該項缺陷具有普遍性，因為主要取決于人的主觀因素。二是能力不足。業務培訓不到位，主觀學習不足，都會帶來操作能力的不足，從而導致固有的內控審計未得到遵循并產生風險。三是責任心不夠。表現為能執行未執行，或者敷衍了事、降低執行標準等。四是產品設計缺陷。五是流程設計缺陷。六是系統控制缺陷。七是制度缺陷。前三類問題可歸入個體主觀層面的執行缺陷，具有個體性、分散性，對應的往往是“點”上的問題。后四類基于固有控制理念，在控制設計方面存在的不足，對應的往往是“線”的問題，即一類業務的一類問題，是需要從局部整體層面推動改進完善的內容。（2）第二個層次涵蓋觀念、文化的深層內控缺陷。隨著認識與技術水平的提升，商業銀行業務系統控制、制度流程越加規范全面，解決同質問題頻發的難題，內部審計亟需破解更深層次的內部控制缺陷——內控環境建設不足。內控環境往往是系列問題的最終源頭，是決定內控架構的核心要素，站在組織管理全局視角，無疑是內部審計評價應著力關注的深層次因素：一是考核機制缺陷。二是人才評價模式。實踐證明，當前重規模獎勵、輕風險問責的考核與人才評價模式，一定程度上導致不同層級的機構與人員漠視違規成本，導致問題與風險高發。三是發展觀、政績觀、價值觀與企業文化。走以規模為主還是風控為主的發展之路，關注短期政績還是尋求組織可持續發展，是發展觀與政績觀的核心內涵，屬于組織整體層面問題。不同發展觀決定了不同的內控框架，也衍生了不同的價值觀與企業文化，規模導向的價值觀難以真正構筑以風險控制為核心的內控基礎框架。2.立足內控基礎分析合理規劃審計工作實踐。（1）區別一般審計發現和內控缺陷，對審計成果合理分類。審計發現和內控缺陷的關系可分為三種：一是“審計發現”即內控缺陷；二是對單個“審計發現”產生的原因進行深入分析，原因即內控缺陷；三是通過對多個“審計發現”進行匯總以及關聯性綜合分析，揭示整體性、深層次的內控缺陷。第一種情況通常以符合性測試為基礎，所揭示問題反映的是內部控制兩個層次12個維度內的某一類缺陷。第二種情況關鍵在于透過審計發現的表象，揭示其背后的制度、流程、系統等缺陷。對于第三種情況，不僅針對業務或管理的流程控制，也要針對業務或管理的整體控制；不僅要關注風險目標，也要關注效益或效率目標。通過分析，找準問題背后的深層次根源。（2）通過內控分析指導審計重點，提高審計查證的準確性。內控分析指導查證重點，至少有兩種途徑：一是通過對業務流程的分析，從影響內部控制目標實現的角度，確定審計關注的重點控制環節，并根據審計實施結果，驗證和評價業務流程控制的有效性。基于流程分析的審計方法，更適用于部分符合“大數原理”的高頻率交易業務。二是通過對以往審計發現及內控缺陷的匯總分析，梳理出重要的控制缺陷和控制環節，指導審計組通過現場審計，跟蹤相關內部控制缺陷是否仍然存在，是否由此引發重大問題，并以此評價內控持續改進機制是否完善。（3）突出內控缺陷分析，提煉成果，體現審計結論的價值性。重點體現在以下三個方面：一是從跨業務、跨產品、跨管理領域的審計樣本、審計疑點或審計發現中，揭示、分析、歸納出共性、深層、核心的內部控制缺陷。二是從問題成因入手，按照兩個層次12個維度，分析缺陷的發生層面，增強審計建議的針對性和可操作性。三是從影響內部控制目標實現的角度，確定審計關注的重點控制環節，判斷控制缺陷對目標實現的影響程度，分析和評價業務流程控制的有效性。（四）推動多層次跟蹤整改創新，努力將審計成果轉化為實際價值。揭示問題只是內部審計履職的一個方面，促進問題解決，服務組織發展大局才是審計的最終目標。也就是說，審計必須主動推動成果價值轉化利用。按照內部審計準則關于審計流程的設計，從計劃立項到準備實施，從現場查證到成果匯總，這是審計工作的一條主線。但審計跟蹤作為審計流程的最后一個環節，是審計工作實現閉環管理、創造價值的關鍵環節。審計人員通過必要的方式手段，持續跟進并推動審計揭示問題的有效整改，促進審計建議的有效應用，才能真正體現審計成果的價值，審計才真正服務于內控改進、風險識別防控與發展增值的大局。1.審計查證與跟蹤整改同步，推動“點、線、面”立體整改，提高成果轉化的及時性。銀行經營風險包括信用風險、市場風險、流動性風險、操作風險、道德風險、聲譽風險等方面，風險的主要特征表現在三個方面：風險演進速度快、風險交叉傳染、風險帶來的損失數量大。內部審計必須將查證與跟蹤保持同步，促進邊審邊改，才能在有效降低風險影響的過程中實現增值。在這個過程中，加強與審計對象的溝通合作，推動各方及早介入，層層推進、快速整改是重點。要力爭在審計期間，整改措施及時跟進，審計結束，整改效果開始顯現。（1）現場查證階段，著力促進“點”的整改。銀行審計多以基層分支機構作為抽樣對象，要主動協調分支行紀委與監察部門力量，審計與被審計相互協調，共同取證。實質上是促進基層機構及早直面問題，識別風險，提升風險化解主動性與及時性。能有效避免審計單方查證、定性，客觀上形成的信息不對稱、對風險及影響的認識不統一、對問題整改標準的雙邊博弈現象。調動基層機構參與查證，有利于推動整改前置，問題查證的同時，點對點的整改快速啟動，有利于遏制風險快速蔓延。（2）審計成果溝通階段，著力促進業務條線管理部門“線”的整改。審計揭示的問題，最終可以歸集到某一個對應的業務板塊，問題源頭也可能指向相關業務制度、流程、管理方面的缺陷與不足。這類問題單靠問題所在機構推進整改，只能解決單點，無法促成條線整改，此查彼犯現象因此而生。要提升審計成果價值，必須調動條線部門的力量。在審計成果提煉過程中，主動將同類單點問題連接成線，主動征求條線管理部門意見，共同找準問題實質與問題根源，在機構單點整改的同時，條線部門牽頭，快速啟動制度、流程優化層面的整改，通過規避控制漏洞促使整改上層次。（3）重大問題與重大風險事項，著力促進管理層“面”的整改。按照內控缺陷分層，在操作執行與機制流程之上，考核、理念、文化等更高層次因素才是造成某些問題多業務、多領域高發的原因，推動重大問題的解決，必須致力于推動組織管理層自上而下，由點及面的整改。在重大問題整改與重大風險化解過程中，審計要與組織機構管理層黨委直接對接，同向分析，著重從考核導向、用人評價、經營戰略、經營文化的角度探尋真正意義上的改進之道，共同推動頂層發起的源頭整改。2.突出持續跟蹤與整改效果評價，提升審計成果轉化的有效性。（1）明晰跟蹤責任主體，根據問題重要程度采取差別化跟蹤策略。跟蹤整改需體現重要性原則，提高工作效率。對于一般性審計發現，以審核評價審計對象報送整改信息為主要手段。對于重大風險，應以風險敞口是否縮小并消失作為跟蹤整改及效果評價的核心內容。對于涉及內控缺陷性源頭的問題，要抓好兩頭，既要抓住單點問題的有效解決，更要抓制度、流程、系統層面的整改措施是否到位、效果是否充分。（2）推動全員參與，推進循環審計，進一步檢驗整改效果，促進整改進一步升華。每個全新審計項目都應通過充分分析以往審計成果與整改結果，鎖定某類高發問題，在審計實施過程中重點關注同質問題發生概率，進而實現循環審計、持續跟蹤，循環整改，使審計推動成果轉化應用成為工作鏈條上的重要環節，將每名審計人員根植于價值創造的閉環當中。

作者:丁平李萍 黃斌斌 單位:中國建設銀行股份有限公司武漢審計分部