一、准确定位内部审计职能 《金融机构内部审计指引》指出,内部审计具有监督、咨询和评价的职能作用。具体而言,就是内部审计应对金融机构所有经营管理活动的合规性、有效性等进行全方位的监督检查;对金融机构内部控制的缺陷和适当性提出改进意见和建议,并对有效性、合理性进行综合评价。同时,监管部门对内部审计也提出明确要求,我国证监会要求上市公司披露其内部审计部门对内部控制的评价;美国SOX法案第404条款要求在美上市公司的内部审计师必须对管理层的内部控制评估结果提出鉴证报告。可见,内部审计是内部控制的重要组成部分。对于金融控股集团这样的高风险行业,内部控制必然是其有效防范和控制风险的关键,而内部审计作为内部控制的重要组成部分,必须着眼于公司经营管理的大局,通过对公司整体管理组织构架、内部控制建设与执行等多方面实行有效监督、评价,促使公司改善运营,将风险控制在可接受的水平内,增加核心价值。 二、构建内部审计管理机制 金融控股公司具有规模经济与范围经济的优势,能够产生巨大的协同效应,分散金融风险,促进金融创新,还可以达到合理避税的目的。同时,金融控股公司也会带来风险传递速度加快、关联交易风险加大以及资本监管难度加大等不利因素。如何充分发挥金融控股公司内部审计在防范风险中的作用,构建一个有效的内部审计管理机制成为关键。另外,银监会发布的《银行集团并表监管指引(试行)》对金融控股集团和附属机构的内部审计管理机制的建立提出了明确要求,金融控股公司内部审计构架的设计应重点考虑建立归属董事会直接管理的控股集团审计机构;确立集团内部审计的重点;健全子公司或控股公司的审计机构。本文在总结实践的基础上,提出“两个体系、一个机制”相互结合的内部审计管理机制,即垂直化管理体系、专业化审计体系和流程化运作机制。 1、垂直化管理体系。在传统的内部审计组织结构中,内部审计多实行属地化管理,使审计独立性不能得以充分发挥,审计结果可能被层层消化,难以保持审计结果的客观性,审计质量也难以从根本上得到保证,在很大程度上制约了内部审计的发展。实行垂直化管理体系,将分支机构或控股公司的审计处(室)行政上归,可以确保审计的独立性和客观性、合理调配审计资源、提高审计工作质量,有效保证审计结果。 2、专业化审计体系。随着金融改革和发展,金融控股集团为增强核心竞争力,提高资产收益水平,实行专业化经营是其发展方向。金融控股集团内部审计只有实施专业化审计体系,才能适应专业化分工越来越细的要求。专业化审计体系根据不同专业分工设立专业审计工作室来统领各个领域的内部审计工作,由资深的业务专家履行各个领域的审计监督及检查职责。具体来说,就是在对行业线、产品线进行梳理的基础上,遵循公司化运作理念,按金融产品线和行业线对公司实施事业部制度改革,如按金融产品分类设立投资银行、贸易金融、金融市场和工商企业等事业部,按行业分类设立房地产、冶金、交通、能源等事业部,可设立派驻事业部审计中心;对会计、信息系统、人力资源等公共服务和运营平台设立公共管理审计中心。 3、流程化运作机制。当今,实现流程化管理模式已成为金融控股集团必然的趋势,通过重新构造业务流程、组织流程、管理流程以及文化理念,颠覆性地改造传统管理模式并使其彻底地脱胎换骨,形成以流程为核心的全新模式。为此,金融控股集团内部审计也必须向流程化管理模式靠拢,建立流程化审计运作机制,改变过去风险控制以单点控制、间断控制为主的局面,实现连续性的、系统的控制。 三、实现内部审计管理机制的途径 内部审计管理机制可以通过建立审计业务信息化平台、审计管理信息平台、内部控制评价体系和规范的制度体系来实现。 1、审计业务信息化平台。审计业务电子化平台是审计业务信息化的基础,因为在审计业务信息化平台中必须要有强大的数据库支撑,实现审计业务流程电子化、数据处理电子化。审计业务信息化平台,可以实现对各项业务、各类风险进行实时、系统的监控、分析与评价;同时为实现非现场审计监控创造条件。非现场审计监控体系因具有覆盖面广、连续性和及时性强等优点而得以推广。 2、审计管理信息平台。建立审计管理信息平台,通过审计管理信息(AMIS)系统,对审计项目立项和审批进行有效控制;对审计报告审核、审批等进行有效控制,并使总部审计工作检查人员能够随时查阅所属单位的审计报告及审计工作底稿,使审计信息资源得到充分有效地利用。通过运用AMIS的审计文档管理子系统,实现审计文档的统一和规范管理。 3、内部控制评价体系。内部控制评价体系以内部控制要素评价指标为基础构成。内部控制要素评价指标设计主要考虑四个层级:借鉴COSO内部控制框架的研究成果和监管部门对内部控制评价的指导意见;按照内部控制环境、风险识别与评估、内部控制措施、信息与沟通以及监督评价与纠正控制五要素来设计总体评价指标;对业务流程及管理流程进行梳理,明确流程控制目标以及控制点,制定相应的控制评价指标,同时确定风险权重;控制评价指标应涵盖综合管理、授信业务、会计管理、贸易融资、信息技术、存款业务、理财、电子银行、财务管理等业务及管理流程的风险点。 4、规范的制度体系。首先,应制订《内部审计章程》,明确内部审计的地位、职能和职责等。其次,制定各业务领域的审计检查操作规程,规范业务检查的程序和方法。第三,制定总部审计管理办法、派驻分支机构审计专员办管理办法等,对审计机构的分级管理和统一管理作出规定。第四,建立各级管理人员和业务人员的考核办法,建立良好的激励机制。