一、问题的提出

　　随着国有商业银行的股份制改造和陆续上市，公司治理被提到越来越重要的地位。

　　在股份制商业银行公司治理机制中，内部审计是一项重要保障，尤其对激励约束机制的有效发挥作用有着重要影响。

　　正是在这种情况下，内部审计自身也面临着一些新的问题和困惑。

　　（一）内部审计如何在股份制商业银行公司治理中发挥作用

　　内部审计在现代公司治理中，根据在股东大会、董事会、监事会以及公司管理层等不同机构领导下的区别，有着不同的组织模式。

　　当今商业银行内部审计的发展趋势是将它定位于公司治理结构的有效组成部分，以往由管理层领导内部审计的模式已经开始逐渐向董事会领导内部审计的模式转变。

　　在这一变化过程中，内部审计如何面对管理层和董事会的双重领导，又如何与董事会审计委员会的相关职能对接，将直接影响内部审计的职能定位与业务发展。

　　（二）内部审计如何在强化独立性的过程中保持执行有力

　　近年来，各大型商业银行都加大了内部审计的改革力度，实行由总行审计部门垂直领导的条线管理模式，这使得内部审计的独立性大大加强。

　　但是各地方审计机构从驻地行分离出来后，基本上脱离了所在地分行的管理约束，总行审计部限于空间距离也无暇顾及其日常管理，而地方审计机构在人事关系、业务利益等方面仍与驻地行有着千丝万缕的联系。

　　这时如何保证各地审计机构尽职尽责、严格按照决策层和审计总部的要求开展工作，又成了一个必须面对的新课题。

　　（三）内部审计的服务质量与效率如何适应银行业务的发展创新

　　随着商业银行股改上市，产权制度发生了根本变化，这带来了新的资本方面的风险问题；信息披露将按国际规范更加及时、全面和公开，社会关注程度也显著提高；而市场变化与竞争加剧导致银行业务创新层出不穷，信息化进程与数据集中不断提速等都对内审工作提出了新的要求。

　　因此，内部审计必须考虑怎样在与业务部门保持独立的同时，加强业务交流，提高审计质量与效率，适应银行业务发展的节奏。

　　（四）如何在充分发挥内审职能的同时实现对内部审计的有效约束

　　经过近几年的内审体制改革，我国大型商业银行内部审计的独立性得到加强，审计权威得以逐步建立，审计监督职能发挥比较充分，在部分领域的评价结果也被业务考核体系所采纳。

　　但与此同时，任何权力都必须要有监督和制约，随之而来的困惑是，谁来监管监督者，怎样实现对内部审计的监督制约。

　　二、基于内部审计系统治理机制假设的根源探析

　　目前，各大型商业银行大都规定内部审计主要负责人由董事会任免，“内部审计部门及其负责人向董事会负责并报告工作”，这在某种意义上的确类似于一种委托代理关系：即审计负责人代表内审部门，接受董事会的委托，在系统内组织开展审计工作。

　　这时，如果把内部审计对应为公司治理的主体，借鉴公司治理相关机制进行分析，我们可以发现上述问题很大程度上源于某些治理缺陷，包括在委托代理关系、权力制衡结构、内部控制体系和激励约束机制等方面的不足。

　　（一）委托代理关系不够清晰，代理层级过多

　　根据已经上市的各家大型商业银行公布的相关公司治理文件来看，目前各银行都在董事会内设了审计委员会，但审计委员会与内部审计的：关系却依然模糊，审计部门除向董事会负责之外，“并应向行长、监事会汇报工作”。

　　这使得内部审计不得不同时面对董事会、监事会和经理层，与这三大权力机构之间都确实有可能形成事实上的委托代理关系，而这三者之间由于职责不同必然导致对审计的要求存在差异，这直接导致内部审计在目标定位和审计理念上出现摇摆和偏差。

　　从审计部门内部组织架构来看，大多数商业银行的内审机构设置仍然对应于业务管理层级，内部呈现多级委托代理状况，出于历史原因和管理惯性，审计工作的开展和结果的报告仍然受到相应层级管理者的很大影响。

　　根据张维迎的“变压器理论”，从最初的委托人到最终的代理执行人之间的关系由若干“变压器”串联而成，其中每一个“变压器”都是“降压器”，变压器越多，降压幅度就越大。

　　众多的代理层次可能将委托人监督约束的强度不断减弱，从而使处于链条终端的代理者不能得到有效约束。

　　（二）权力制衡力量错位，审计职能发挥不充分

　　良好的治理机制需要以合理的权力制衡架构为基础，形成决策权、执行权、监督权三权分离、相互制约的局面。体现在内部审计系统，则应该是董事会审计委员会拥有审计工作的决策权，审计部门受托行使执行权（实施具体审计任务），监事会对审计决策与执行进行监督。

　　而通过对几家上市的大型商业银行公司章程进行分析，可以发现其中的职能制衡关系颇为微妙：董事会的职责包括“聘任或解聘总审计师”，“听取总审计师和银行内部审计部门负责人的工作汇报，并检查、监督、考核、评价内部审计工作”，董事会审计委员会负责“监督及评价银行内部审计工作”，而监事会的相关职责是“根据监督需要……对银行内部审计工作进行指导”，这似乎表明董事会审计委员会在行使对内部审计决策权的同时，直接对内部审计工作开展监督，而监事会只进行指导。

　　这种监督职能的设计会不会弱化对审计规划、导向等的约束，并进而影响审计职能的定位确实还有待观察。

　　进一步讲，从各大型商业银行审计工作实际来看，在审计系统的权力制衡体系中，银行经营管理层在其中形成了另一支重要力量。

　　从内部审计的角度来看，银行经营管理层实际上是内审的服务对象之一，在治理机制中属于来自审计外部的一种影响力，正如客户之于银行，应该以它为中心，但却不能受其控制。

　　而现在恰恰是这一“客户”，却实际上行使着对内部审计自身人、财、物管理的职能，这必然使得内部审计约束机制软化，相应的审计职能难以充分发挥。

　　（三）内部控制体系尚不完善，风险管理有待加强

　　关于现代内部控制的理论内涵，比较权威的描述来自美国COSO委员会所做出的定义，它是“由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。它主要包括：控制环境、风险评估、控制活动、信息和沟通、监督等几个要素。”如果借鉴内部控制五要素对内审系统进行分析，我国大型商业银行内部审计的自身控制至少存在以下不足：

　　1.风险识别与评估手段操作性不强。

　　一是对审计业务风险没有设计合理的识别和计量方法，尽管理论上已经有审计风险模型，但还没有针对具体项目的参数设置与实证运用。

　　二是对审计操作风险没有着手进行分析研究，更谈不上如何评估和有效控制。

　　三是对基础管理中的问题甚至是道德风险重视不足。

　　2.流程控制与标准化管理仍不到位。

　　主要表现在对审计项目实施的过程控制不够，过于注重问题数量与审计报告这些明显的结果，忽视了在审计过程中将高层的导向和质量意识渗透传导到每个环节。

　　此外对不同的审计项目没有进行合理归类，流程的标准化设计与优化仍显不够，仅个别银行内审部门对个别审计业务如任期经济责任审计设计了标准化流程。

　　3.信息屏蔽现象依然存在。

　　一方面是审计发现和重大问题信息，限于层级之间的复杂关系，局部仍存在下级机构对上级机构的选择性屏蔽。

　　另一方面是业务信息在机构之间缺乏合适的交流平台，也存在相互之间被动屏蔽的盲区，大量信息无法实现共享。

　　4.没有科学合理的评价体系。

　　不论是审计委员会，还是监事会和总审计师，对各级审计机构的评价都只能使用模糊评价方法，没有建立一个客观、可比的评价体系，即便是对具体项目质量的考核，抛开只重结果不重过程的弊端不说，光是结果的比较就会因评判时目标取向的不同而出现很大的弹性。

　　（四）激励约束不力，激励手段滞后

　　激励机制和约束机制的搭配有四种可能情况：

　　一是激励和约束都不足；

　　二是激励不足，约束充分；

　　三是激励充分，约束不足；

　　四是激励和约束都很充分。

　　从几家大型国有商业银行内部审计的情况来看，可以说激励机制与约束机制均存在不足。在约束机制方面，审计人员来自制度约束、契约约束与市场约束三方面的限制都十分不足。当然在现实生活中，委托人对代理人的约束不可能过严，因为约束过严会增加约束成本，也不利于代理人工作主动性的发挥。

　　关键是内部审计系统在激励方面的不足也十分明显：

　　第一，与外部对比，内部审计系统的收人受制于业务经营管理层，同档次员工平均收入低于其他业务条线被视为理所当然，与内审所需要的地位极不相称。

　　第二，在内部比较，审计人员的收入没有根据工作的责任大小和复杂程度拉开档次，分配中存在着严重的平均主义，导致对审计队伍中低层次员工激励过度和对高层次员工激励不足，出现了激励的严重偏差。

　　第三，激励手段单一，“官本位”现象严重，物质激励基本限于短期激励，长期激励方式目前仅有一家银行将职工持股计划惠及普通员工，而且物质激励也主要与行政职务直接挂钩，刺激各级内审人员潜意识中将升官作为重要的激励方式，偏离了业务导向。

　　三、持续改进我国大型商业银行内部审计治理机制

　　（一）平衡内审制衡机制，压缩委托代理层级

　　银监会在《银行业金融机构内部审计指引》中，规定“董事会对内部审计的适当性和有效性承担最终责任”、“审计委员会对董事会负责，根据董事会授权组织指导内部审计工作”、“内部审计应对董事会和审计委员会负责”，从制度上明确了各商业银行必须采用董事会领导内部审计的模式。

　　各大型商业银行可以考虑在此基础上明确审计委员会代表董事会行使内部审计的决策权，赋予监事会对审计业务包括审计决策进行监督指导的权力，形成均衡有效的制衡机制，以保证内部审计治理目标与整个银行的价值最大化相契合。

　　同时，从机构设置和业务管理两个方面解决内部委托代理层级过多的问题。

　　一方面缩短委托代理链条，进一步打破机构设置的层级对应关系，取消三级审计机构，在全国分区域（最好按大区域划分）设立审计执行机构，将内部审计的人、财、物管理分立出来，并建立起审计委员会对内部审计工作的检查考核机制，增强委托约束力。

　　另一方面建立跨层级、跨机构的专业化团队，根据银行业务分类划分审计专业方向，在整个审计系统组建若干由总行审计部直接指导、管控的团队，从业务上保证总审计师和审计总部的政策意图能直接贯彻到一线业务骨干，避免多层委托导致的目标偏离。

　　（二）加强内控体系建设，强调过程控制，管理审计风险

　　一是不断完善内控制度建设，突出规范化与标准化管理，要不断根据业务实际完善内部审计的具体业务准则，以适应银行业务和审计管理的需要，并逐步针对具体审计项目大类制定规范化业务要求和标准化业务流程。

　　二是要加强风险识别与量化技术问题的研究工作，量化管理和模型化分析是国际先进商业银行风险管理在技术上的重要发展趋势，先进的风险管理技术已经达到可以主动控制风险的水平，审计系统也应考虑将风险计值法引入到审计风险管理领域，并关注操作风险与小概率风险事件，建立相关应变机制。

　　三是进一步畅通报告渠道，搭建信息共享平台，纵向上要保证审计发现与结果等信息在上下审计机构之间的充分沟通，最好通过审计项目的同步参与实现信息对称；横向上要建立一个统一的信息管理平台，在审计管理信息系统之外，将内部管理、项目实施的组织、依据、经验等各项信息集中归纳，供全系统共享和借鉴。

　　四是充分发挥监事会与审计委员会的职能，加强内部检查力度，包括审计业务检查和基础管理检查，必要时引进外部审计，保证内审系统上下严格遵循内部控制的有关规定。

　　同时，要特别强调内部审计业务的流程管理，实施全过程的质量控制。从内部审计的整个流程来看，审计报告是前期审计过程中各项结果的集中反映，也是提供给委托人的“产品”，内审人员对此都非常重视。但从本质上看，审计报告并非最重要的“产品”，委托人需要的不仅仅是通过一份漂亮的报告来了解情况，更重要的是形成报告的过程中能给经营管理带来什么样的改善，也就是在审计执行过程中要能够促进内部控制的不断完善和经营业绩的提升。

　　而从质量效率管理的角度看，前期各个环节如果都能规范并减少差错，自然会更好地达到报告的质量与时间要求。

　　摩托罗拉公司在实施6∑战略时，在审计部门的质量控制小组将审计业务流程进行了详细分解，通过对报告前各环节进行优化改进，3年内内部审计的错误率从1％下降到了0.002％，现场结束后，完成并发布最终审计报告的周期从51天减少到了5天。

　　（三）构建合理的激励约束机制

　　内部审计系统激励机制和约束机制的改进必须相互协调。如果激励机制不改进，突然加大约束力度，审计人员就会失去工作的动力；如果仅仅加大激励力度，而约束力度没有相应得到强化，则很有可能出现为了拿到更多的收益而编造或虚报成果的现象。

　　从目前我国大型商业银行的实际来看，除了提高审计人员整体待遇外，内部审计系统可考虑从以下方面强化自身的激励约束机制。

　　1.加强人员准入与分流管理。

　　目前商业银行内审人员配置主要是靠从银行其他部门转入，并不断与其他业务系统进行交流。由于历史的原因，初始转入人员的专业化程度、执业修养和业务技能等方面确实存在一定的差距，而银行业务的发展也要求审计人员不断更新业务知识，这就需要内审系统今后在交流过程中提高准入门槛，多渠道吸收专业人才，同时打通输出通道，实现定期交流，提高人员整体素质，加强队伍建设。

　　2.设计合理的考核指标体系。

　　内部审计的产生与发展主要源于组织内生的控制需要，内审工作应服务于银行的战略和经营管理。国际内部审计师协会（IIA）认为，确认服务（assur－ance service）和咨询服务（consulting service）是现代内部审计的两大服务领域，前者以严格的标准对经营和管理活动进行监督和评价，后者有助于增加价值并改善与管理层的关系。这反映到考核指标的设计上，就既要重视审计过程、审计发现、审计报告以及基础管理水平，还要考虑“客户满意度”，即银行主业对内部审计在服务、增值等方面的评价。

　　3.激励手段多样化。

　　一是合理使用行政激励。

　　尽管这并不符合市场经济规律，但目前各级管理人员的行政级别意识仍然很浓，而且越往高层，由于物质激励受到一定限制且边际效应下降，行政激励的效用更为明显，重要的是要将行政职务的晋升与考核结果明确挂起钩来，增加透明度。

　　二是加大激励性薪酬占比。

　　目前内部审计人员的薪酬管理基本上与业务考核没有直接关联，只有很小的一部分绩效与年度考核结果挂钩，激励效果很不明显，要加大激励性薪酬的比例，拉开差距，增强各级审计人员薪酬绩效的敏感性。

　　三是深化业务技术等级管理。

　　将审计人员基本工资与岗位等级系数挂钩，使固定薪酬带有心理激励和一定的物质激励意义，提升员工薪酬的激励强度。

　　4.建立内审问责制度。

　　银监会在《银行业金融机构内部审计指引》中明确要求，“建立内部审计工作问责制度，明确内部审计责任追究、免责的认定标准和程序。”各商业银行审计委员会应根据自身实际，建立专门制度，对未尽职导致重大问题未被发现，隐瞒不报或未如实反映审计发现问题，审计结论与事实严重不符，未按要求执行保密制度，以及其他有损银行利益或声誉的行为进行责任追究。

　　当然，有充分证据表明内部审计部门和审计人员勤勉尽职地履行了职责的，还应有明细的免责条款。

　　（四）重视外部治理力量，更新内审理念，服务主业价值创造

　　随着市场形势和管理当局要求的变化，内部审计部门要逐步将工作定位从单纯的监督制约转向富有建设性的审计服务，把各级经营管理机构当作客户，重视来自业务部门的外部治理力量，树立服务意识，更新内审理念。

　　一是要及时沟通审计信息，强调解决问题比渲染问题更重要。

　　随着银行合规经营意识的增强和后台监控系统的完善，各经营单位在正常业务中有意的违规大大减少，倒是由于市场变化和银行股改上市等带来的业务创新不断增多，使得经营活动中面临很多新的问题。

　　因此内部审计策略应更多地采取参与合作的方式，对被审计单位抱着信任的态度，共同分析解决问题。对业务中的不合理之处，及时与被审单位进行沟通探讨，既要指出其中不合理的地方，更要分析问题并找出解决办法，或向上级管理部门提出解决问题的建议。

　　二是要恰当认定审计差异，强调风险趋势比历史缺陷更重要。

　　内部审计应更多关注被审单位差异事项的影响和风险变化趋势，如果差异事项比正常处理更能够防范风险，更能够改善流程提高效率，促进业务发展，那么即便是有一定不合规之处也应另行提示；如果差异事项已经导致了比正常处理更大的风险，那么应根据风险程度和演变趋势列入相应的审计发现类别，但仍应关注对差异的弥补和调整手段，毕竟历史缺陷已经存在，关键在于如何防止风险扩大，并进而采取措施防止类似差异的继续产生。

　　三是要重视运用先进技术，强调综合分析比单个查证更重要。

　　加大科技开发力度，充分利用银行内部各种数据信息进行综合分析，全面地把握被审计对象的内部控制、风险状况和分布结构，这样比单个查证具体问题更有说服力，也更具有管理意义。

　　一方面要通过建立对主业经营各项数据的整合平台，对各项数据进行综合对比，更快更准地确定审计疑点样本，提高效率。

　　另一方面对被审对象不同机构和业务中的问题也要通过信息系统及时进行综合对比分析，为审计项目中的整体判断和定性提供更准确的把握和更宽阔的视野。

　　四是要注重发挥内审效果，强调价值创造比数据统计更重要。

　　要深入挖掘审计潜在价值，不能仅局限于对项目数量、审计发现、审计问题、要情简报等的统计上，要注重将审计结果的传递作为向管理当局提供服务和帮助的一种良好机会。

　　通过对具体项目中的现象分析，为被审单位提出解决问题、改进工作的切实有效的审计意见；通过对一定期间所有项目进行认真分析，为高管层或委托人提出加强管理和促进价值创造的咨询建议，充分发挥内部审计为主业服务、促进价值创造的最高功效。