中国银监会下发了《商业银行内部审计指引》(全文)

商业银行作为金融业的主要支柱之一，一直以严格的内部控制和领先的风险管理着称。商业银行的内部审计也领先于大多数行业。经过几十年的商业银行内部审计发展，商业银行建立了一支制度健全、组织完善、手段先进的内部审计队伍。商业银行内部审计的先进经验也成为其他行业学习的典范。但世界并不总是和平的，商业银行的风险事件也层出不穷。一些商业银行要么没有发生重大事件，要么突然爆发了一些重大案件。无论如何，银行业对内部审计非常重视，至少在投入的资源方面，几乎没有其他行业可以与之匹敌。 2016年4月16日，银监会发布了《商业银行内部审计指引》。接下来，我们就和内审同行一起聊聊指引的相关规定。同时也欢迎内审同行参与讨论。

一、关于本指南的结构

指南共8章，48篇，5000多字，不是很长。审计指南的八章分别是：总则、组织结构、章程、职责和权限、审计工作流程、部分审计活动的外包、评估和问责、监管评估和补充规定。这八个方面也应该适用于其他行业的内部审计。

二、关于第一章“总则”

1.第三条内部审计定义

第三条：“内部审计是商业银行内部独立、客观的监督、评价和咨询活动。通过采用系统化、标准化的方法，审查评价和督促改进业务经营、风险管理、内部商业银行的控制与合规。公司治理的作用将促进商业银行的稳健经营和价值提升。首先，商业银行内部审计的职能是监督、评估和咨询。二是商业银行内部审计方法系统化、规范化。第三，内部审计的范围是银行的经营活动、风险管理、内控合规和公司治理。最后，内部审计的作用是促进银行稳健经营和价值提升。可见，稳健经营对于商业银行来说非常重要，这与其他行业不同。

2.第四条内部审计目标

“商业银行内部审计的目标包括：促进国家经济金融相关法律法规和监管规则的有效实施；推动商业银行建立并不断完善有效的风险管理、内控合规和公司治理结构；督促相关审计对象有效履行职责，共同实现本行战略目标。”指引把促进国家经济金融法规和监管规则的有效实施作为内部审计的首要目标，这与非金融行业的内部审计目标确实有很大的不同。一个国家的整体经济稳定性，无论是宏观经济还是微观经济。至于其他内部审计目标，与其他行业几乎没有区别。

3.第五条内部审计的独立性

“商业银行的内部审计工作应当独立于业务经营、风险管理和内控合规性，并对履行上述职能的有效性进行评价。”众所周知，内部审计独立于业务运营。但是，独立于风险管理和内控合规，其他行业和中小企业很难做到。许多公司将内部审计作为其风险控制系统的一部分。对于银行业来说，内部审计是除风险管理和内控合规之外的最后一道防线。

三、关于第二章“组织架构”

1.第七条内部审计制度

“商业银行应建立独立、垂直的内部审计体系。”一个独立的、垂直的内部审计制度至少可以减少被审计单位对内部审计工作的影响。但也要注意，独立性和垂直性并不能成为内部审计部门自行关闭的借口。没有被审计单位的理解与配合，内部审计部门的工作将难以开展。

2.第八条董事会内部审计职责

“董事会对内部审计的独立性和有效性承担最终责任。董事会应根据本行业务的规模和复杂程度，配备充足、稳定的内部审计师；提供充足的资金并纳入财务预算；负责批准内部审计章程、中长期审计计划和年度审计计划等；为独立、客观的内部审计工作提供必要的保障；评价内部审计工作的独立性和有效性，评价内部审计的质量。”事实上，很少有公司拥有负责内部审计的董事会。很多企业的内部审计部门的人力配置、资金和计划都受到企业人力资源、财务等部门的制约，因为内部审计部门不直接对董事会负责。还有一个问题是，董事会在企业中能起到多大的作用，这也值得探讨。

3.第十一条高级管理人员支持

“高级管理层应支持内部审计部门独立履行职责，确保内部审计资源充足；及时向审计委员会报告业务发展、产品创新、操作流程、风险管理、内控合规等方面的最新进展和变化；对内部审计发现的问题和审计建议，要及时采取有效整改措施。”在实践中，高级管理层不仅不能保证审计资源充足，而且影响审计工作的过程和结果。原因是内部审计部门不直接对董事会负责，往往由一位高管负责。一旦内审部门的工作影响到业务渠道主管的利益，该高管就会对内审部门施加压力。

4.第十二条总审计师

“商业银行可以设置首席审计师或者首席审计官（以下统称“首席审计师”）。首席审计师由董事会聘任和解聘。”它叫什么并不重要。如果首席审计师由董事会任命，将进一步加强内部审计部门的独立性。

5.第十三条内部审计部

“商业银行应设立独立的内部审计部门，对商业银行业务活动、风险管理、内控合规和公司治理效果的改善情况进行审查、评价和监督，制定并实施中长期审计计划和年度审计计划，并进行后续审计。 ，评估整改情况，对审计项目质量负责。内审部门对总审计师负责并向总审计师报告。”很多内审部门的中长期审计计划，尤其是长期审计计划不明确。一方面是因为内审部门是忙于日常繁重的审计任务，没有时间考虑长远规划。

6.第 14 条对内部审计师的要求

“商业银行应配备足够的内部审计师，原则上不低于员工总数的1%。”银行财力雄厚，内部审计师的数量也相当可观。但除人数要求外，还可以增加内审信息化建设投资占IT建设总投资比例的指导性要求。

“内部审计人员应具备履行内部审计职责所需的专业知识、专业技能和实践经验，掌握银行业务的最新发展动态，并通过后续教育和专业培训学习和掌握相关法律、法规、专业实务。实践。知识、技术方法和审计实务的发展变化，保持和提高专业能力。”没有一个内部审计部门不说是一个学习型和知识型的团队。学习理论知识相对容易，但要掌握组织的最新业务发展，这并不容易，内部审计部门需要配备专门的人力来解读组织的业务政策和业务流程的最新变化。

“内部审计人员在从事内部审计活动时，应当遵循客观、保密的原则，秉持诚信正直的原则，在履行职责时按照要求使用所获取的信息。内部审计人员不得参与审计项目，不得利用职权谋取私利，不得隐瞒审计发现的问题，做出缺乏证据的判断，不得发表误导性陈述。”内部审计师确实拥有并严格保守着许多组织的商业机密，所以领导者还是要善待内部审计师。从组织内部审计人员的现状来看，内部审计人员很难利用自己的权力谋取私利。很少有内部审计师愿意隐瞒审计中发现的问题，这与他们的职业生涯有关。

四、关于第 3 章“章程、职责和权限”

1.第十五条商业银行内部审计章程。

商业银行内部审计指引要求内部审计章程至少应包括以下内容：内部审计的目标、范围、地位、权限、职责、内部审计部门的报告途径以及与高级管理层的沟通机制，首席审计师的职责和义务、内部审计与风险管理、内部控制的关系、外包内部审计活动的标准和原则、内部审计与外部审计的关系、审计频次和关键业务条线的后续整改要求及风险领域、内审员职业进出标准、后续教育制度和人员交流机制。其中，“重点业务条线和风险领域的审计频率”不知道你是怎么理解的？重点业务和风险领域并非一成不变，将根据宏观政策和商业银行战略进行调整。审计章程一般比较固定，不会轻易修改。这就产生了一定的矛盾。确定审核频率也有一定的标准和依据。

2.第十六条商业银行内部审计事项

商业银行内部审计指引列举了以下事项：公司治理的健全性和有效性；业务管理的合规性和有效性；内部控制的适当性和有效性；风险管理完整性的全面性和会计记录和财务报告的准确性；信息系统、机构运作、绩效考核、薪酬管理和高级管理人员绩效的持续可靠性和安全性；监管部门监督检查发现问题的整改情况和监管部门指定项目的审计工作；其他。在内部审计中，很少对公司治理的健全性和有效性进行审计，而在进行审计时，往往通过外部审计进行。另外，除了审计会计记录和财务报告的完整性和准确性外，还应对真实性进行审计，并且存在完整性、准确性和真实性的区别。以上所列事项可作为内部审计报告反映的主要内容。

3.第十七条内部审计获取信息和参加会议培训的权利

“内审部门有权获取审计相关信息，出席或参加与内审职责相关的会议，参加相关业务培训。”这应在内部审计章程中明确说明。内部审计部门应当自行参加或参加与内部审计职责相关的会议或业务培训。内审部门应及时掌握最新的业务政策和业务流程，尽早评估业务调整带来的新风险。

4.第十八条内部审计部门的检查权

“内部审计部门有权检查各经营机构（包括分公司、附属机构）的各项业务和管理活动（包括外包业务），及时、全面地获取经营管理信息，并将有关问题报告给审计署。审计对象和行业相关人员进行调查、询问和取证。”如果内部审计部门并非由董事会或审计委员会直接管理，而是与公司总部其他职能部门同级，并由公司主管部门管理，则，内部审计部门对总部职能部门的检查难度加大。内部审计部门对公司分支机构的经营管理情况进行评价相对容易，但一旦涉及到对公司总部其他职能部门制定的政策进行评价，就会遇到很大的阻力和阻力。例如，当总部业务管理部门制定的业务政策正在分公司执行时，虽然存在不科学和不合理的方面，但内部审计部门很难获得更多评估所需的业务数据和信息。的商业政策。 .

5.第十九条处理处罚建议

“内部审计部门有权向董事会、高级管理层及相关部门提出处理和处罚建议。”虽然没有直接的处罚权，但建议处罚的权力也会对被审核单位或被审核方起到一定的威慑作用。

6.第20条相对独立和超然

“内部审计部门可以就风险管理和内部控制等事项提供专业意见，但不直接参与或负责内部控制设计和运营管理的决策和实施。”内部审计部门可以为业务单位提供风险控制建议。专业意见，但这并不意味着这些建议成为内部控制设计和决策执行的一部分。不参与或不负责内部控制设计和业务决策与实施也意味着内部审计部门不应对内部控制设计缺陷或决策失误直接负责。内部审计部门不能保证系统设计或决策执行中的所有缺陷都会被发现。

五、关于第四章审计工作流程

1.第 21 条“审计计划和审计计划”

“内部审计部门应根据商业银行内部审计章程、业务性质、风险状况、管理需要和审计资源配置情况，确定审计范围、审计重点和审计频率，制定中长期审计计划和年度审计计划。 ，并报审计委员会批准。”无论是中长期审计计划还是年度审计计划，除了考虑各种综合因素外，还必须对历史数据进行分析，以预测未来趋势。确定审计的范围和重点是规划和规划的关键。审计范围必须与业务趋势以及当前和未来的审计能力保持一致。审计重点在中长期规划和年度规划中应有不同的体现。

“商业银行年度内部审计计划应充分考虑监管关注，包括但不限于：全面风险管理、资本充足率、流动性、内控合规、财务报告等。”对于金融行业，如银行、保险、证券等，外部监管较为严格，外部监管关注的事项往往是年度内部审计计划的重点。否则，别说公司本身的风险，外部的惩罚是很重的，还会影响到财务高管的任期。

2.第 22 条“审计前”

“内部审计部门应根据年度审计计划，选择合格、胜任的审计人员组成审计组，收集和研究相关背景资料，了解审计对象的风险概况和内部控制，编制项目审计计划，并组织审核前培训。并在审核前向审核对象发出审核通知。特殊情况可在审核时下达审核通知。”组建审核组、收集数据、了解审核对象、制定方案、预审培训、下发通知等一系列步骤在进行审计之前，建议内部审计部门为审计对象建立一个长期的数据档案，以便全面了解审计对象，掌握审计对象的基本特征。

3.第 23 条“审计程序”

“内部审计人员应根据项目审计计划，综合运用审计、观察、访谈、调查、确认、识别、调整、分析等方法获取审计证据，并将审计过程和结论记录在审计中工作文件。 “内审和外审使用的方法类型差别不大商业银行风险偏好，但是每种方法的侧重点和效果也不同。比如，访谈是内审非常重要的一个环节，要获取的信息种类和数量是多少？”比外审要多。又比如内审比外审更难实现佐证。

“内部审计采取现场审计与非现场审计相结合的方式，加强非现场审计制度建设，提升内部审计的广度和深度。”现场审核和非现场审核都是实施审核的手段。它们之间是不可分割的，需要相互协调、排列，形成互补、有机的结合。非现场审计制度建设最重要的任务是建设科学合理的组织，审计过程要兼顾，而不是为了建设制度而建设制度，塞一些看似先进的东西但不实用的软件。

“内部审计部门要加强信息技术在审计工作中的应用，不断完善内部审计管理信息系统。”通过信息系统管理审计工作是内部审计的必然趋势。内部审计管理信息系统可以规范审计操作，提高审计操作效率，完善审计操作流程。

4.第 24 条“异议解决机制”

“商业银行应建立异议解决机制。对审计对象提出的审计结论应当及时沟通和确认。根据内部审计章程的规定，沟通结果和审计结论应当报送有关上级机构并存档保存。 “一般来说，审计对象不会对审计事实有太多的异议，而更多的是对审计问题的定性提出异议。不同的定性审计问题对审计对象有不同的影响。

5.第 25 条“审计报告”

“内部审计师在执行必要的审计程序后，应当及时征求审计对象的意见，完成审计报告。审计报告应当包括审计目标和范围、审计依据、审计发现、审计结论、审计建议等。”审计报告是审计程序实施后的最终结果，反映了审计人员的专业水平。每个银行的内部审计报告模板会有所不同，但主要内容应该大致相同。审计发现和审计建议可以体现内部审计的价值。

“内部审计人员应当按照内部审计章程将审计报告送达审计对象，向审计委员会和董事会报告，并及时与高级管理层沟通审计发现。”发送、报告和审计报告的审计结果 沟通应及时。无论审计结果多么重要，如果不能及时反馈给审计委员会、董事会或管理层，就会降低审计结果的价值。

6.第二十六条“整改的实施”

“商业银行董事会和高级管理层应当采取有效措施，确保内部审计结果得到充分利用，整改措施得到及时落实；对未按规定整改的，有关人员追究责任。”审计发现问题的整改落实情况应作为审计对象的考核任务之一。

7.第 27 条“后续审计”

“内部审计部门要对审计发现问题的整改情况进行跟进。如有必要，可进行后续审计，以评估审计发现问题整改情况的改进情况和有效性。”项目同时运行。后续审核是否单独进行，取决于审核中发现问题的严重程度和范围。

8.第28条“文件管理”

“内审部门应当建立健全内审档案管理制度，妥善保管内审档案。”内部审计档案应包括纸质档案和电子档案两部分。保存电子文件时，注意备份和加密。

9.第29条“质量控制”

“商业银行应建立健全内部审计质量控制制度和程序，定期实施内部审计质量自评估，接受外部内部审计质量评估。”无论是内部审计质量自我评估还是外部评估，都必须有相当、公平的标准，并且评价标准必须与审计工作指南或手册一致，否则评价将没有指导性。

六、关于第5章“外包部分审计活动”

1.第 30 条“内部审计活动的外包”

“商业银行不得将内部审计职能外包，但可以将有限的、具体的内部审计活动外包给第三方，以缓解内部审计资源压力，提高内部审计工作的综合性。”这篇文章可以看出，商业银行只能外包部分内部审计活动，而不能外包内部审计职能。内部审计活动可以包括调查、分析等活动，但这些活动只能以有限和具体的方式外包，以免泄露商业银行机密，影响金融环境的稳定。由于内部审计职能不能外包，商业银行必须有自己的内部审计部门。

2.第 31 条“外包审计活动的责任”

“商业银行董事会对内部审计活动的外包承担最终责任。商业银行内部审计活动的外包，应当符合银行内部审计章程的相关要求。”内部审计活动的外包不是由内部审计部门承担商业银行风险偏好，而是由银行董事会承担最终责任，这表明商业银行对内部审计活动的外包非常谨慎，内部审计部门不能随意决定将部分审计活动外包。

3.第 32 条“审计活动外包的限制”

“商业银行不得将内部审计业务外包给为其提供外部审计服务的会计师事务所及其关联方。”将内部审计工作外包给为银行提供外部审计服务的会计师事务所会影响注册会计师对银行的最终审计意见。

“商业银行不得将内部审计活动外包给过去三年内为审计对象提供审计外包业务相关咨询服务的第三方及其关联方。”这篇文章很好理解。如果第三方机构既向审计对象提供与审计活动相关的咨询活动，又由审计部门提供审计活动外包服务，将极大地影响内部审计的客观性和独立性，同时也会影响内部审计部门的审计对象。审计结论如下。

4.第33条“外包制度”

“商业银行应建立内部审计活动外包制度，明确外包服务机构的资质标准、准入和退出条件、外包流程和质量控制标准。”虽然应限制内部审计活动的外包，但也应考虑外包也将节省审计资源，提高审计效率和有效性。选择外包一些内部审计活动，也可以从另一个方面表明，审计部门可以分析自身的优势和劣势，对审计资源有深入的了解。

“商业银行实施内部审计活动外包时，银行内部审计师应当参与并监督项目的实施，并负责向首席审计师报告外包活动。”第三方机构承担了一些内部审计活动的优势，这取决于长期积累的技术经验，但内部审计人员也需要指导和监督，以掌握组织的审计政策和方向。

5.第34条“知识转移机制”

“商业银行首席审计师应对外包审计项目建立相应的知识转移机制，确保内部审计师能够最大程度地掌握专业技能，提高内部审计部门的专业能力。”通过外包外部审计活动促进内部审计 人们获得专业知识相对容易，但获得技能并不是一两个外部项目就能做到的。获取知识和获取技能是不同的概念和结果。事实上，通过外包活动，内部审计师从方法学而非具体知识中获益最多。

七、关于第 6 章“评估与问责”

1.第35条“评价与报酬”

“商业银行董事会应对内部审计部门建立科学的激励和约束机制，对首席审计师尽职调查的绩效进行评价。内部审计部门定期对内部审计师的专业能力进行评价。 。”既定的约束比创建激励要容易得多，因为有很多规则和规定。 Whether the audit object is punished by external supervision, whether the audit object has major risk events during the audit period, whether the audit project is implemented in accordance with the requirements of the audit guidelines, the rectification of the audit object, etc., can be used as reference factors for evaluating internal auditors. There are external regulations, guidelines from the Internal Audit Association, internal assessment requirements of banks, etc., and there are internal and external provisions restricting internal auditors. However, the establishment of the incentive mechanism must be more creative, otherwise it will be difficult to stimulate the subjective initiative of internal auditors. Just look at the retention rate of internal auditors in the organization. Before you can evaluate, many internal auditors have already found another job. Before evaluating the professional competence of internal auditors, the internal audit department must first build a professional competence system and framework, so that the internal auditors know where and how to improve their professional competence.

“The compensation level of internal auditors should not be lower than the average level of staff at the same level in other departments of the institution.” The compensation of internal auditors depends on the board or management's perception of the value created by internal auditors. Labor is a commodity, and labor provided by internal auditors is also a commodity.你得到你所付出的。 What kind of salary you give, you will also get the corresponding level of internal audit services.

2.Article 36 "Internal Audit Responsibility System"

“Commercial banks should establish an internal audit responsibility system, and clearly stipulate the due diligence requirements and accountability procedures for internal auditors. After the responsibility is determined, the internal audit department and auditors have performed their duties diligently, and their responsibilities may be reduced or exempted.” The internal audit responsibility system can regulate and restrain the behavior of internal auditors. Responsibility is the most basic requirement for good internal audit. Only by diligently performing audit projects in accordance with the bank's internal audit manual can reduce or avoid audit risks and reduce or relieve the responsibilities of internal auditors.

3.Article 37 "Performance Evaluation Basis for Audit Objects"

"The internal audit results and rectification should be used as an important basis for the performance evaluation of the audit object." The audit results and rectification can be used as an important basis for the performance evaluation of the audit object, but the question is, how to quantify the audit results and rectification? How to convince the human resources department to incorporate the audit results and rectification into the evaluation system? Who should promote the use of audit results and rectification as an important basis for the performance evaluation of audit objects?

4.Article 38 "Cooperation of Audit Objects"

"The audit object should actively cooperate with the internal audit work. Commercial banks should promptly stop the behavior of refusing, obstructing the internal audit work and rectifying ineffectiveness, and hold the relevant responsible persons accountable." Unless the audit object seriously refuses or hinders the internal audit work It is not necessary to report to the board of directors or the management how the audit object cooperates with the internal audit work, but only need to write the audit object's cooperation in the audit report. For internal audit inspections that fail to find major risks or bring major audit risks due to the subjective reasons of the audit object, the audit object or the principal person in charge of the audit object shall bear direct responsibility.

八、About "Chapter VII Regulatory Assessment"

1.Article 39 "Communication Mechanisms

“The internal audit department of a commercial bank should establish a formal communication mechanism with the banking supervision and management institution, and regularly discuss the main risks faced by the bank, the risk mitigation measures that have been taken, and the rectification situation. The frequency of communication between the two parties should Matching risk appetite and business complexity." The frequency of communication between banking supervisors and commercial banks should not only match the bank's size, risk appetite, and business complexity, but also refer to the regulator's risk rating for the bank, the bank's recent The major risk events, the degree of punishment and other factors.

2.Article 40 "Elements of Reporting to Regulatory Authorities"

The report that the internal audit department of a commercial bank should submit to the supervisory department has seven major contents: "internal audit plan, important audit findings and their rectification, comprehensive audit work report submitted to the board of directors, audit report on the bank by external institutions, The rectification report of the problems found in the supervision and inspection of the regulatory department, the self-assessment report of the internal audit quality, and other reports required by the banking regulatory authority.” Generally speaking, regulatory agencies or departments will not investigate management responsibilities for the audit findings reported by the internal audit department of a commercial bank, or determine whether to impose penalties according to the rectification situation. The report submitted by the internal audit department of a commercial bank shall not be used as the basis for the punishment of the commercial bank by the regulator or department. Institutions or departments should also give timely feedback and guidance according to the level of importance of various reports submitted by the internal audit department of commercial banks.

2.Article 41 "Designated Project Audit"

"Banking regulatory agencies may require the internal audit department of a commercial bank to complete the audit of designated projects and submit the audit results to the regulatory department." For regulatory agencies requiring the internal audit department of a commercial bank to complete designated audit projects, the internal audit department It will definitely be taken seriously, but it is also necessary to apply for the necessary resource support to the board of directors or the audit committee depending on the difficulty of the audit project and the annual audit plan. Since the regulators require the internal audit department to complete the designated projects, rather than personally perform inspections, it also shows that the regulators trust the internal audit department of commercial banks.

3.Article 42 "Regulatory Evaluation Content"

“Banking regulatory agencies evaluate the effectiveness of internal auditing of commercial banks through off-site supervision, on-site inspections, and regulatory talks. The evaluation contents include: internal audit charter; scope, frequency and effect of internal audit; company Governance mechanism; effectiveness of bank group internal audit; professional competence of internal auditors; remuneration mechanism of internal auditors; outsourcing of internal audit activities; rectification and implementation of internal audit reports and audit recommendations; internal audit accountability; others matters.” The internal audit department of a commercial bank conducts a self-assessment before the supervisory agency evaluates the internal audit work. The internal audit department's self-assessment of the internal audit work can be carried out once a year according to the above 10 items, and can be carried out together with the annual summary.

4.Article 43 "Supervision opinions on internal audit work

“Banking regulatory agencies have the right to put forward regulatory opinions on the internal audit work of commercial banks based on the evaluation results, and require them to rectify within a time limit and submit a rectification report. The effectiveness of internal audit and rectification should be included in the overall effectiveness of corporate governance and internal control. Evaluation and supervisory rating.” The internal audit department of a commercial bank should welcome the evaluation of the internal audit work by the supervisory institution, because the supervisory opinions put forward by the supervisory institution can promote the improvement of the internal audit work, and can promote the board of directors or the audit committee to pay more attention to the internal work. If conditions permit, commercial banks may increase resource investment in internal audit work and improve the status of the internal audit department and the treatment of internal auditors after the supervisory authority issues a supervisory opinion on the internal audit work.