王雨倫

一般來說，內(nèi)部審計作為第三道防線，不會直接執(zhí)行業(yè)務(wù)控制措施，但是當(dāng)治理和監(jiān)督職能緊密結(jié)合時，商業(yè)銀行內(nèi)部審計部門可能會被要求承擔(dān)風(fēng)險管理、合規(guī)管理、法規(guī)監(jiān)督，以及其他活動。當(dāng)個人或部門被賦予雙重責(zé)任時，應(yīng)考慮實施職責(zé)分離。在內(nèi)部審計可能作為第二道防線的情形下，IIA發(fā)布的《內(nèi)部審計與第二道防線》為確保內(nèi)部審計獨立性和客觀性不受影響提供了指引。

一、良好的治理架構(gòu)概覽

1.三道防線模型。

如圖1所示，三道防線模型有效描述了風(fēng)險管理和控制職責(zé)。第一道防線負(fù)責(zé)在業(yè)務(wù)操作過程中有效執(zhí)行各項內(nèi)外部控制措施，以及監(jiān)控業(yè)務(wù)流程。第二道防線由單獨建立的風(fēng)險控制和合規(guī)監(jiān)督職能構(gòu)成，以確保第一道防線內(nèi)業(yè)務(wù)流程和控制措施有效運行，其性質(zhì)和類型受行業(yè)和組織成熟度等諸多因素影響。第三道防線包括內(nèi)部審計，主要為業(yè)務(wù)流程和控制過程提供獨立保證。第二道防線和第三道防線均承擔(dān)風(fēng)險監(jiān)督或管理職責(zé)，兩者的主要區(qū)別在于是否擁有獨立性和客觀性。

2.內(nèi)部審計部門的獨立性和客觀性。

《國際內(nèi)部審計專業(yè)實務(wù)標(biāo)準(zhǔn)》“1100——獨立性與客觀性”規(guī)定，內(nèi)部審計部門必須保持獨立性，內(nèi)部審計師必須客觀地開展工作。根據(jù)該條釋義，只有當(dāng)首席審計執(zhí)行官在職能上直接向董事會報告，其任免、薪酬均由董事會批準(zhǔn)的情況下，內(nèi)部審計組織上的獨立性才能有效實現(xiàn)。如果第二道防線領(lǐng)導(dǎo)者在職責(zé)上直接向管理層報告，通常認(rèn)為，該第二道防線不具備獨立性。

內(nèi)部審計獨立性和客觀性強(qiáng)化了董事會和管理層對內(nèi)部審計的依賴。董事會和管理層依靠內(nèi)部審計有效開展風(fēng)險控制和管理，不斷提高組織治理水平。然而，隨著風(fēng)險范圍的擴(kuò)大和組織治理要求的提高，要保證內(nèi)部審計的獨立性和客觀性，則需要更多的控制和保障措施。

二、內(nèi)部審計與第二道防線職責(zé)

1.第二道防線的功能。

在部分商業(yè)銀行，可能要求首席審計執(zhí)行官額外承擔(dān)第二道防線職責(zé)，這往往是受組織規(guī)?；虺墒於扔绊?，或是采取新的風(fēng)險管理或合規(guī)舉措所導(dǎo)致的結(jié)果。如果不妥善客觀處理，內(nèi)部審計的獨立性和客觀性將可能受損。另外，監(jiān)管標(biāo)準(zhǔn)和業(yè)界經(jīng)驗做法也可能要求采取特定的第二道防線活動，如加強(qiáng)風(fēng)險管理協(xié)調(diào)或合規(guī)審查。在商業(yè)銀行工作實務(wù)中，與第二道防線職責(zé)相關(guān)的行業(yè)標(biāo)準(zhǔn)可能包括：金融服務(wù)業(yè)監(jiān)管要求、法律法規(guī)事務(wù)、案件防范與員工禁止性行為的規(guī)定等。

2.內(nèi)部審計與第二道防線活動。

即使一個組織具備良好的風(fēng)險管理和治理規(guī)劃，以及強(qiáng)大的資源稟賦，內(nèi)部審計與第二道防線的職責(zé)仍然可能模糊。例如，在表1所列情形下，首席審計執(zhí)行官可能被要求承擔(dān)第二道防線的部分活動。

在不受特殊監(jiān)管要求或資源限制時，內(nèi)部審計與第二道防線職能重合的活動也有可能發(fā)生。例如，當(dāng)薩班斯·奧克斯利法案（Sarbanes·Oxley Act）應(yīng)用于美國上市公司時，許多公司管理層要求內(nèi)部審計擔(dān)任合規(guī)管理角色。另外，在某些情形下，因內(nèi)部審計采用特定的風(fēng)險管理技術(shù)，以及遵循特定的治理原則，管理層可能認(rèn)為，內(nèi)部審計承擔(dān)第二道防線中的某項職責(zé)最為合適，如表2。

如果第二道防線的職責(zé)由內(nèi)部審計承擔(dān)，那么首席審計官應(yīng)該向管理層和董事會報告該行為存在的風(fēng)險。內(nèi)部審計承擔(dān)第二道防線職責(zé)的安排不管是長期還是短期安排，了解這一做法可能產(chǎn)生的風(fēng)險，對于首席審計官、管理層和董事會都非常重要，并且應(yīng)當(dāng)采取適當(dāng)?shù)谋Ｗo(hù)和控制措施，定期評價這些措施是否有效，以確保內(nèi)部審計客觀性。

三、保持獨立性和客觀性的保障措施

不同組織機(jī)構(gòu)在其規(guī)模、業(yè)務(wù)部門設(shè)置、資源可得性、組織文化、風(fēng)險承擔(dān)、董事會構(gòu)成等方面存在差異，組織治理機(jī)制自然有較大的差異，但作為提供獨立、客觀保證和咨詢服務(wù)職能的內(nèi)部審計，其有效性都應(yīng)當(dāng)?shù)玫奖Ｗo(hù)。因此，對任何可能損害內(nèi)部審計獨立性或客觀性的活動，都應(yīng)予以評估和改進(jìn)。

1.國際內(nèi)部審計專業(yè)實務(wù)標(biāo)準(zhǔn)關(guān)于“雙重職責(zé)”的討論。

“1110標(biāo)準(zhǔn)”要求至少每年一次向董事會確認(rèn)內(nèi)部審計關(guān)于組織獨立性的地位。“1130標(biāo)準(zhǔn)”要求向適當(dāng)?shù)膶ο笈度魏螌嵸|(zhì)上或形式上對內(nèi)部審計獨立性造成的損害。披露的性質(zhì)取決于損害的性質(zhì)，并聲明如下事項：一是對獨立性和客觀性造成損害的情形;二是對獨立性和客觀性損害造成的后果和風(fēng)險;三是應(yīng)采取的保障措施;四是如果有過渡計劃，應(yīng)披露過渡計劃。

2.應(yīng)采取的保障措施。

如果管理層和董事會接受內(nèi)部審計承擔(dān)第二道防線活動可能產(chǎn)生的風(fēng)險，需要制定保障措施以確保獨立性和客觀性不受損害。對內(nèi)部審計承擔(dān)的任何第二道風(fēng)險防線活動都應(yīng)考慮采取保障措施。例如：對第二道和第三道防線重疊的活動進(jìn)行清晰的定義和界定，包括但不限于以下內(nèi)容：（1）對組織和內(nèi)部審計的沖擊和導(dǎo)致的風(fēng)險;（2）角色、責(zé)任和職責(zé)分工;（3）控制措施，以確保保障措施有效運作;（4）確定是臨時任務(wù)還是長期任務(wù)，如果是臨時任務(wù)，需要制定過渡計劃;（5）高級管理層和董事會的書面授權(quán)和批準(zhǔn);（6）內(nèi)部審計履行第二道防線職責(zé)至少應(yīng)每年一次在章程中作出規(guī)定，或納入董事會調(diào)整更新事項。

3.應(yīng)避免參與的活動或承擔(dān)的職能。

內(nèi)部審計應(yīng)注意避免參與損害其獨立性或客觀性的活動，具體如表3。

四、過渡計劃

如果內(nèi)部審計承擔(dān)第二道防線職責(zé)僅僅是暫時性的，也應(yīng)制定一個正式的過渡計劃，并在與管理層和董事會進(jìn)行討論后執(zhí)行，以解除內(nèi)部審計的相關(guān)責(zé)任。過渡計劃應(yīng)當(dāng)考慮表4所列事項。

過渡計劃應(yīng)包含相關(guān)條款，以確保在已有資源條件下，對第二道防線職責(zé)進(jìn)行完整、有效的過渡（考慮到獨立性和客觀性，第三方可能需要指揮這一工作）。在制定和執(zhí)行過渡計劃期間，首席審計執(zhí)行官、高級管理層和董事會應(yīng)考慮以下事項：一是考慮長期的組織結(jié)構(gòu)，確保建設(shè)恰當(dāng)?shù)捻攲蛹軜?gòu);二是考慮組織治理方案的適當(dāng)性;三是考慮法律、監(jiān)管和其他合規(guī)性管理要求;四是考慮風(fēng)險管理文化;五是考慮三道防線方針一致性，以及組織規(guī)模和復(fù)雜度等。

五、管理層對影響?yīng)毩⑿院涂陀^性風(fēng)險的接受程度

部分商業(yè)銀行可能會選擇讓內(nèi)部審計承擔(dān)第二道防線職責(zé)，這通常出現(xiàn)在規(guī)模較小的機(jī)構(gòu)中，以及管理層認(rèn)為對組織機(jī)構(gòu)風(fēng)險影響較小的業(yè)務(wù)領(lǐng)域。管理層應(yīng)當(dāng)基于風(fēng)險分析，對合并第二道防線和第三道防線職責(zé)的長期戰(zhàn)略決定認(rèn)真深入思考。管理層接受內(nèi)部審計承擔(dān)第二道防線職責(zé)的做法，可能暫時性合適，但不應(yīng)視為是永久性的。管理層和董事會應(yīng)至少每年開展一次評估，包括適當(dāng)?shù)娘L(fēng)險分析，以評價內(nèi)部審計執(zhí)行第二道防線的作用。

從質(zhì)量保證和改進(jìn)項目來說，第二道和第三道防線職責(zé)重合部分應(yīng)當(dāng)成為重點關(guān)注領(lǐng)域。內(nèi)部審計應(yīng)評估對獨立性和客觀性可能造成損害的風(fēng)險，將風(fēng)險評估結(jié)果報告給管理層，定期向管理層確認(rèn)其接受這些風(fēng)險，同時考慮過渡計劃。管理層和董事會應(yīng)在評估、討論和接受相關(guān)風(fēng)險后再將這些職責(zé)合并。首席審計執(zhí)行官應(yīng)確保適當(dāng)?shù)谋Ｕ虾涂刂拼胧┑玫綄嵤┖投ㄆ隍炞C，以保持內(nèi)部審計的獨立性和客觀性。

（作者單位：江西銀行股份有限公司）