聊一聊新下发的《商业银行内部审计指引》(四)--审计工作流程

关于第四章审计工作流程

1.第二十一条“审计规划和审计计划”

“内部审计部门应根据商业银行的内部审计章程、业务性质、风险状况、管理需求及审计资源的配置情况，确定审计范围、审计重点、审计频率，编制中长期审计规划和年度审计计划，并报审计委员会批准。”无论是中长期的审计规划还是年度审计计划，在制定时，除了要考虑各种综合因素，还要对历史数据作分析，对未来趋势作预判。确定审计范围和审计重点是制定规划和计划的关键。审计范围既要符合业务趋势，又要符合现在和未来的审计能力。审计重点在中长期规划和年度计划应该有不同的表现形式。

“商业银行的年度内部审计计划应充分考虑监管关注事项，包括但不限于：全面风险管理、资本充足、流动性、内控合规、财务报告等。”对于金融行业，如银行、保险、证券等，外部监管都是比较严格的，外部监管关注的事项往往也是内部审计年度计划的重点。不然的话，企业自身的风险先不说，外部处罚可是很重的啊，还会影响到金融高管的任职的。

2.第二十二条“实施审计前”

“内部审计部门应根据年度审计计划，选派合格、胜任的审计人员组成审计组，收集和研究相关背景资料，了解审计对象的风险概况及内部控制，编制项目审计方案，组织审计前培训并在实施审计前向审计对象下发审计通知书。特殊情况下，审计通知书可以在实施审计时送达。”组成审计组、收集资料、了解审计对象、编制方案、审前培训、下发通知，这是实施审计前的一系列步骤。建议内审部门为审计对象建立长期的资料档案，以便于全面了解审计对象，掌握审计对象的基本特征。

3.第二十三条“审计过程”

“内部审计人员应根据项目审计方案，综合运用审核、观察、访谈、调查、函证、鉴定、调节和分析等方法，获取审计证据，并将审计过程和结论记录于审计工作底稿。”内部审计所运用的方法种类和外部审计差别不大，但每种方法在使用的侧重和效果也是不同的。例如，访谈对内部审计来说是非常重要的环节，所要获取的信息种类和数量相对外部审计要多。再例如，函证对于内部审计的实施难度要比外部审计要大。

“内部审计采取现场审计与非现场审计相结合的方式，并通过加强非现场审计系统建设，增强内部审计的广度与深度。”现场审计与非现场审计都是实施审计的手段，两者不能割裂开来，需要统筹安排，形成互补和有机结合。非现场审计系统建设最首要的任务是搭建起科学、合理的机构，必须把审计流程考虑进去，而不能为了建设系统而建设系统，把一些看似先进但不实用的软件硬塞进去。

“内部审计部门应加强信息科技在审计工作中的运用，不断完善内部审计管理信息系统。”通过信息系统进行审计作业的管理是内部审计的必然趋势。内部审计管理信息系统能够规范审计作业，也能够提升审计作业效率，改进审计作业流程。

4.第二十四条“异议解决机制”

“商业银行应建立异议解决机制。对审计对象提出异议的审计结论，应及时进行沟通确认，根据内部审计章程的规定，将沟通结果和审计结论报送至相关上级机构并归档保存。”一般来说，审计对象不会对审计事实产生过多的异议，更多的是会对审计问题的定性产生的。审计问题的定性不同对审计对象产生的后果也不同。

5.第二十五条“审计报告”

“内部审计人员在实施必要的审计程序后，应征求审计对象意见并及时完成审计报告。审计报告应包括审计目标和范围、审计依据、审计发现、审计结论、审计建议等内容。”审计报告是实施审计程序后的最终成果，体现了审计人员的专业化水平。每家银行的内部审计报告模板会有差异，但主要内容应该是大致相同的。审计发现和审计建议能够体现内部审计的价值。

“内部审计人员应将审计报告发送至审计对象，并上报审计委员会及董事会，同时根据内部审计章程的规定与高级管理层及时沟通审计发现。”审计报告的发送、上报以及审计发现的沟通要及时。再重要的审计发现，如果不能及时反馈至审计委员会、董事会或管理层，审计发现的价值也会打折扣的。

6.第二十六条“整改落实”

“商业银行董事会及高级管理层应采取有效措施，确保内部审计结果得到充分利用，整改措施得到及时落实；对未按要求整改的，应追究相关人员责任。”审计发现问题的整改落实情况应该作为审计对象的考核任务之一。

7.第二十七条“后续审计”

“内部审计部门应跟进审计发现问题的整改情况。必要时可开展后续审计，评价审计发现问题的整改进度及有效性。”后续审计可以单独开展，也可以与下一年度的审计项目同时开展。后续审计是否单独开展，视审计发现问题的严重程度及涉及范围而定。

8.第二十八条“档案管理”

“内部审计部门应建立健全内部审计档案管理制度，妥善保管内部审计档案资料。”内部审计档案应该包括两部分：纸质档案和电子档案。保存电子档案时，要注意备份和加密。

9.第二十九条“质量控制”

“商业银行应建立健全内部审计质量控制制度和程序，定期实施内部审计质量自我评价，并接受内部审计质量外部评估。”无论是内部审计质量自我评价还是外部评价，都要有可观、公正的标准，而评价标准也要和审计作业指南或手册相一致，不然评价就不具有指导性。