商業(yè)銀行內(nèi)部審計(jì)與第二道防線關(guān)系的思考

王雨倫

一般來說，內(nèi)部審計(jì)作為第三道防線，不會(huì)直接執(zhí)行業(yè)務(wù)控制措施，但是當(dāng)治理和監(jiān)督職能緊密結(jié)合時(shí)，商業(yè)銀行內(nèi)部審計(jì)部門可能會(huì)被要求承擔(dān)風(fēng)險(xiǎn)管理、合規(guī)管理、法規(guī)監(jiān)督，以及其他活動(dòng)。當(dāng)個(gè)人或部門被賦予雙重責(zé)任時(shí)，應(yīng)考慮實(shí)施職責(zé)分離。在內(nèi)部審計(jì)可能作為第二道防線的情形下，IIA發(fā)布的《內(nèi)部審計(jì)與第二道防線》為確保內(nèi)部審計(jì)獨(dú)立性和客觀性不受影響提供了指引。

一、良好的治理架構(gòu)概覽

1.三道防線模型。

如圖1所示，三道防線模型有效描述了風(fēng)險(xiǎn)管理和控制職責(zé)。第一道防線負(fù)責(zé)在業(yè)務(wù)操作過程中有效執(zhí)行各項(xiàng)內(nèi)外部控制措施，以及監(jiān)控業(yè)務(wù)流程。第二道防線由單獨(dú)建立的風(fēng)險(xiǎn)控制和合規(guī)監(jiān)督職能構(gòu)成，以確保第一道防線內(nèi)業(yè)務(wù)流程和控制措施有效運(yùn)行，其性質(zhì)和類型受行業(yè)和組織成熟度等諸多因素影響。第三道防線包括內(nèi)部審計(jì)，主要為業(yè)務(wù)流程和控制過程提供獨(dú)立保證。第二道防線和第三道防線均承擔(dān)風(fēng)險(xiǎn)監(jiān)督或管理職責(zé)，兩者的主要區(qū)別在于是否擁有獨(dú)立性和客觀性。

2.內(nèi)部審計(jì)部門的獨(dú)立性和客觀性。

《國際內(nèi)部審計(jì)專業(yè)實(shí)務(wù)標(biāo)準(zhǔn)》“1100——獨(dú)立性與客觀性”規(guī)定，內(nèi)部審計(jì)部門必須保持獨(dú)立性，內(nèi)部審計(jì)師必須客觀地開展工作。根據(jù)該條釋義，只有當(dāng)首席審計(jì)執(zhí)行官在職能上直接向董事會(huì)報(bào)告，其任免、薪酬均由董事會(huì)批準(zhǔn)的情況下，內(nèi)部審計(jì)組織上的獨(dú)立性才能有效實(shí)現(xiàn)。如果第二道防線領(lǐng)導(dǎo)者在職責(zé)上直接向管理層報(bào)告，通常認(rèn)為，該第二道防線不具備獨(dú)立性。

內(nèi)部審計(jì)獨(dú)立性和客觀性強(qiáng)化了董事會(huì)和管理層對(duì)內(nèi)部審計(jì)的依賴。董事會(huì)和管理層依靠內(nèi)部審計(jì)有效開展風(fēng)險(xiǎn)控制和管理，不斷提高組織治理水平。然而，隨著風(fēng)險(xiǎn)范圍的擴(kuò)大和組織治理要求的提高，要保證內(nèi)部審計(jì)的獨(dú)立性和客觀性，則需要更多的控制和保障措施。

二、內(nèi)部審計(jì)與第二道防線職責(zé)

1.第二道防線的功能。

在部分商業(yè)銀行，可能要求首席審計(jì)執(zhí)行官額外承擔(dān)第二道防線職責(zé)，這往往是受組織規(guī)模或成熟度影響，或是采取新的風(fēng)險(xiǎn)管理或合規(guī)舉措所導(dǎo)致的結(jié)果。如果不妥善客觀處理，內(nèi)部審計(jì)的獨(dú)立性和客觀性將可能受損。另外，監(jiān)管標(biāo)準(zhǔn)和業(yè)界經(jīng)驗(yàn)做法也可能要求采取特定的第二道防線活動(dòng)，如加強(qiáng)風(fēng)險(xiǎn)管理協(xié)調(diào)或合規(guī)審查。在商業(yè)銀行工作實(shí)務(wù)中，與第二道防線職責(zé)相關(guān)的行業(yè)標(biāo)準(zhǔn)可能包括：金融服務(wù)業(yè)監(jiān)管要求、法律法規(guī)事務(wù)、案件防范與員工禁止性行為的規(guī)定等。

2.內(nèi)部審計(jì)與第二道防線活動(dòng)。

即使一個(gè)組織具備良好的風(fēng)險(xiǎn)管理和治理規(guī)劃，以及強(qiáng)大的資源稟賦，內(nèi)部審計(jì)與第二道防線的職責(zé)仍然可能模糊。例如，在表1所列情形下，首席審計(jì)執(zhí)行官可能被要求承擔(dān)第二道防線的部分活動(dòng)。

在不受特殊監(jiān)管要求或資源限制時(shí)，內(nèi)部審計(jì)與第二道防線職能重合的活動(dòng)也有可能發(fā)生。例如，當(dāng)薩班斯·奧克斯利法案（Sarbanes·Oxley Act）應(yīng)用于美國上市公司時(shí)，許多公司管理層要求內(nèi)部審計(jì)擔(dān)任合規(guī)管理角色。另外，在某些情形下，因內(nèi)部審計(jì)采用特定的風(fēng)險(xiǎn)管理技術(shù)，以及遵循特定的治理原則，管理層可能認(rèn)為，內(nèi)部審計(jì)承擔(dān)第二道防線中的某項(xiàng)職責(zé)最為合適，如表2。

如果第二道防線的職責(zé)由內(nèi)部審計(jì)承擔(dān)，那么首席審計(jì)官應(yīng)該向管理層和董事會(huì)報(bào)告該行為存在的風(fēng)險(xiǎn)。內(nèi)部審計(jì)承擔(dān)第二道防線職責(zé)的安排不管是長期還是短期安排，了解這一做法可能產(chǎn)生的風(fēng)險(xiǎn)，對(duì)于首席審計(jì)官、管理層和董事會(huì)都非常重要，并且應(yīng)當(dāng)采取適當(dāng)?shù)谋Ｗo(hù)和控制措施，定期評(píng)價(jià)這些措施是否有效，以確保內(nèi)部審計(jì)客觀性。

三、保持獨(dú)立性和客觀性的保障措施

不同組織機(jī)構(gòu)在其規(guī)模、業(yè)務(wù)部門設(shè)置、資源可得性、組織文化、風(fēng)險(xiǎn)承擔(dān)、董事會(huì)構(gòu)成等方面存在差異，組織治理機(jī)制自然有較大的差異，但作為提供獨(dú)立、客觀保證和咨詢服務(wù)職能的內(nèi)部審計(jì)，其有效性都應(yīng)當(dāng)?shù)玫奖Ｗo(hù)。因此，對(duì)任何可能損害內(nèi)部審計(jì)獨(dú)立性或客觀性的活動(dòng)，都應(yīng)予以評(píng)估和改進(jìn)。

1.國際內(nèi)部審計(jì)專業(yè)實(shí)務(wù)標(biāo)準(zhǔn)關(guān)于“雙重職責(zé)”的討論。

“1110標(biāo)準(zhǔn)”要求至少每年一次向董事會(huì)確認(rèn)內(nèi)部審計(jì)關(guān)于組織獨(dú)立性的地位?！?130標(biāo)準(zhǔn)”要求向適當(dāng)?shù)膶?duì)象披露任何實(shí)質(zhì)上或形式上對(duì)內(nèi)部審計(jì)獨(dú)立性造成的損害。披露的性質(zhì)取決于損害的性質(zhì)，并聲明如下事項(xiàng)：一是對(duì)獨(dú)立性和客觀性造成損害的情形;二是對(duì)獨(dú)立性和客觀性損害造成的后果和風(fēng)險(xiǎn);三是應(yīng)采取的保障措施;四是如果有過渡計(jì)劃，應(yīng)披露過渡計(jì)劃。

2.應(yīng)采取的保障措施。

如果管理層和董事會(huì)接受內(nèi)部審計(jì)承擔(dān)第二道防線活動(dòng)可能產(chǎn)生的風(fēng)險(xiǎn)，需要制定保障措施以確保獨(dú)立性和客觀性不受損害。對(duì)內(nèi)部審計(jì)承擔(dān)的任何第二道風(fēng)險(xiǎn)防線活動(dòng)都應(yīng)考慮采取保障措施。例如：對(duì)第二道和第三道防線重疊的活動(dòng)進(jìn)行清晰的定義和界定，包括但不限于以下內(nèi)容：（1）對(duì)組織和內(nèi)部審計(jì)的沖擊和導(dǎo)致的風(fēng)險(xiǎn);（2）角色、責(zé)任和職責(zé)分工;（3）控制措施，以確保保障措施有效運(yùn)作;（4）確定是臨時(shí)任務(wù)還是長期任務(wù)，如果是臨時(shí)任務(wù)，需要制定過渡計(jì)劃;（5）高級(jí)管理層和董事會(huì)的書面授權(quán)和批準(zhǔn);（6）內(nèi)部審計(jì)履行第二道防線職責(zé)至少應(yīng)每年一次在章程中作出規(guī)定，或納入董事會(huì)調(diào)整更新事項(xiàng)。

3.應(yīng)避免參與的活動(dòng)或承擔(dān)的職能。

內(nèi)部審計(jì)應(yīng)注意避免參與損害其獨(dú)立性或客觀性的活動(dòng)，具體如表3。

四、過渡計(jì)劃

如果內(nèi)部審計(jì)承擔(dān)第二道防線職責(zé)僅僅是暫時(shí)性的，也應(yīng)制定一個(gè)正式的過渡計(jì)劃，并在與管理層和董事會(huì)進(jìn)行討論后執(zhí)行，以解除內(nèi)部審計(jì)的相關(guān)責(zé)任。過渡計(jì)劃應(yīng)當(dāng)考慮表4所列事項(xiàng)。

過渡計(jì)劃應(yīng)包含相關(guān)條款，以確保在已有資源條件下，對(duì)第二道防線職責(zé)進(jìn)行完整、有效的過渡（考慮到獨(dú)立性和客觀性，第三方可能需要指揮這一工作）。在制定和執(zhí)行過渡計(jì)劃期間，首席審計(jì)執(zhí)行官、高級(jí)管理層和董事會(huì)應(yīng)考慮以下事項(xiàng)：一是考慮長期的組織結(jié)構(gòu)，確保建設(shè)恰當(dāng)?shù)捻攲蛹軜?gòu);二是考慮組織治理方案的適當(dāng)性;三是考慮法律、監(jiān)管和其他合規(guī)性管理要求;四是考慮風(fēng)險(xiǎn)管理文化;五是考慮三道防線方針一致性，以及組織規(guī)模和復(fù)雜度等。

五、管理層對(duì)影響?yīng)毩⑿院涂陀^性風(fēng)險(xiǎn)的接受程度

部分商業(yè)銀行可能會(huì)選擇讓內(nèi)部審計(jì)承擔(dān)第二道防線職責(zé)，這通常出現(xiàn)在規(guī)模較小的機(jī)構(gòu)中，以及管理層認(rèn)為對(duì)組織機(jī)構(gòu)風(fēng)險(xiǎn)影響較小的業(yè)務(wù)領(lǐng)域。管理層應(yīng)當(dāng)基于風(fēng)險(xiǎn)分析，對(duì)合并第二道防線和第三道防線職責(zé)的長期戰(zhàn)略決定認(rèn)真深入思考。管理層接受內(nèi)部審計(jì)承擔(dān)第二道防線職責(zé)的做法，可能暫時(shí)性合適，但不應(yīng)視為是永久性的。管理層和董事會(huì)應(yīng)至少每年開展一次評(píng)估，包括適當(dāng)?shù)娘L(fēng)險(xiǎn)分析，以評(píng)價(jià)內(nèi)部審計(jì)執(zhí)行第二道防線的作用。

從質(zhì)量保證和改進(jìn)項(xiàng)目來說，第二道和第三道防線職責(zé)重合部分應(yīng)當(dāng)成為重點(diǎn)關(guān)注領(lǐng)域。內(nèi)部審計(jì)應(yīng)評(píng)估對(duì)獨(dú)立性和客觀性可能造成損害的風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)評(píng)估結(jié)果報(bào)告給管理層，定期向管理層確認(rèn)其接受這些風(fēng)險(xiǎn)，同時(shí)考慮過渡計(jì)劃。管理層和董事會(huì)應(yīng)在評(píng)估、討論和接受相關(guān)風(fēng)險(xiǎn)后再將這些職責(zé)合并。首席審計(jì)執(zhí)行官應(yīng)確保適當(dāng)?shù)谋Ｕ虾涂刂拼胧┑玫綄?shí)施和定期驗(yàn)證，以保持內(nèi)部審計(jì)的獨(dú)立性和客觀性。

（作者單位：江西銀行股份有限公司）