(一)在商业银行公司治理中提供增值服务 1.评价治理环境。好的治理环境为商业银行的公司治理提供了文化、结构和政策基础,直接关系到治理的效率。内部审计通过评价总体治理结构和政策、评价治理道德、评价审计委员会的活动、评价风险管理结构与政策、评价内部审计的组织与结构等措施,以达到优化公司治理环境的目的。 2.评价治理过程。治理过程是支持治理环境的具体活动,内部审计参与公司治理的具体措施是:评价舞弊控制和沟通过程、评价薪酬政策及其相关过程、评价财务治理过程、评价与战略规划和决策相关的治理活动、评价治理业绩的计量。 3.评价治理程序。治理程序是关系到治理过程效率的至关重要的步骤和实践,它是利用评价内外部治理报告程序、评价提升和追踪治理问题的程序、评价治理的改变和学习程序、评价支持治理的软件和技术等手段来达到优化治理程序的目的。 (二)在商业银行风险管理中提供增值服务 国外最新研究认为,内部审计在风险管理中的作用是商业银行内部审计增值功能的新内容。在商业银行的风险管理中,内部审计可通过提供鉴证和咨询服务来增加组织的价值,主要体现在两个方面:一方面,内部审计师可通过评价风险管理过程、评价关键风险的报告、检查关键风险的管理等措施,就公司风险管理活动的效率向董事会提供客观的建议,促使关键的经营风险得到恰当的管理,确保企业的内部控制系统得以有效运行;另一方面,内部审计师可以通过为风险的鉴别和评价提供便利、指导制定应对的风险管理措施、协调企业风险管理活动、强化对风险的报告、维持和开发适合银行的企业风险管理框架、协调制定有待董事会批准的风险管理战略措施等,更好地为风险管理提供咨询服务。 比如,在美国花旗银行、美洲银行、纽约银行和国际城市银行,其内部审计对风险管理的审查主要集中在战略风险、网络风险、政治风险、信用风险、市场风险、操作风险、道德风险、法律风险等方面。近年来,美国通用汽车公司也以“参与风险管理,提供独立评价和建议”为内部审计重新定位,并写进了公司内部审计章程。 我国商业银行内部审计部门可以借鉴国外经验,将其参与风险管理明确写入内部审计章程,以有利于在风险管理过程中提供独立的评价和建议,有效发挥内部审计对于风险的控制作用,提高风险管理的效率和效果。但是,为确保内部审计的独立性和客观性不受损害,内部审计师要注意不能设置风险偏好和对风险管理过程施加影响,不能代为决定风险应对措施,也不能按管理者的意图执行风险应对措施和承担风险管理的责任。 (三)在商业银行遵循管理方面提供增值服务 所谓遵循管理,指的是在各部门及雇员遵守法律法规、银行发展战略以及内部规章制度方面的管理。合规性、遵循性审计是内部审计的传统职能,在这里无需赘述,需要强调的是内部审计在保证商业银行按所设定的目标经营,确保遵守银行内部的政策和程序,忠实于对利益相关者的承诺等方面具有效率评价和持续监测作用。 我们必须认识到,内部审计在公司治理、风险管理和遵循管理中提供的增值服务,具有内在的统一性。风险管理的实施要以遵从和遵守为基础,良好的遵从、遵守可帮助风险管理的实施;公司治理围绕着风险管理和遵从、遵守而展开。把这三者进行有效的整合将为商业银行内部审计充分发挥增值功能、实现增值目标提供更大的空间。而内部审计通过深入参与商业银行的公司治理、风险管理和遵循管理,可以达到促进完善商业银行的内部控制和风险管理,持续支持和保障组织整体价值提高的目标,也在这个过程中完成了内部审计自身价值的提升。