转型背景下商业银行内部审计研究综述

闫禹彤 王妍 朱容昕

2013年中国内部审计协会对《中国内部审计准则第1101号——内部审计基本准则》（以下简称新准则）进行了全面、系统的修订，明确了内部审计是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标。这揭开了内部审计转型发展的序幕。新准则实施以来，我国内部审计呈现出良好的发展态势，商业银行则因其特有的经济调节职能以及在金融体系乃至国民经济的发展中的重要作用得到了在学者们的广泛关注。学者们在这一领域也取得了较为丰硕的研究成果，本文回顾和梳理了内部审计转型以来，商业银行内部审计的相关研究成果，期望为内部审计转型建设提供有益的参考。

     一、商业银行内部审计的文献分析

为保证研究质量和研究内容的连续性，笔者以“内部审计”和“商业银行”为关键词，搜索了知网和万方上2013-2018年的全部核心期刊文献，共计122篇，分布情况如表1所示。

结合表1可以看出，研究的总体趋势较为平稳，2013-2014年的文献共占比42.62%，这与准则的修订与实施密切相关;2017年则出现的另一个研究峰值则与《商业银行内部审计指引》的出台密切相关。

经过泛读和精读，笔者以7个关键词为核心，整理了122篇文献的内容，分布情况如表2所示。

由表2可见，审计技术的应用及改进、内部审计组织机构以及内部审计人员胜任力建设、如何在实务中落实以风险导向审计为主的审计理念是学者们探讨的3个核心话题。关于内部审计转型的相关研究集中于内部审计新准则发布和运行初期（2013-2015），2017年，学者们则集中探讨了内部审计机构建设以及内部审计人员胜任力。

在研究方法的运用上，92.62%的文献采用了理论或案例分析的方式，其中78篇文献选用了理论研究，35篇文献分析了银行内部审计操作实务和案例，实证研究仅有9篇文献。

     二、商业银行内部审计文献的研究内容

笔者从内部审计转型相关研究、内部审计组织机构和人员胜任力建设、内部审计技术方法应用、内部审计质量控制及成果转化四个方面系统梳理了122篇文献的研究内容。具体情况如下：

（一）内部审计转型

2013年修订的新准则明确了内部审计应从传统的合规性和真实性审计，转变成基于风险导向理念的服务型审计即内部审计向监督、评价、咨询、服务多职能发展，通过全方位多维度的风险识别评估为企业的战略发展提出切实可行的意见建议，真正发挥内部审计为组织增加价值的作用。[1-2]。基于此，学者们主要探讨了如何落实这一审计理念以及如何通过内部审计增加组织价值。

首先，难以对内外部环境进行分析评价、审计信息化系统不健全、理论与实践相脱离[3]是目前风险导向审计应用过程中的主要问题。学者们则分别从改进审计模式、推行全面风险管理、完善内部审计风险控制、构建银行责任审计制度和独立的内部审计监控体系等方面提出了解决对策。学者们同时结合数据挖掘技术、区块链技术、模糊综合评价法等构建了商业银行风险导向审计模型、内部审计远程风险监测模型等。在风险的识别和评估方面，除传统的信贷资产、理财和投融资业务外，审计人员还应重点关注“经济新常态”和“互联网金融”背景下的金融创新业务、信息科技风险已成为学者们的共识。[2]

增值型审计即内部审计应基于全新的信息化运行与管理体系，持续提供更前瞻、更有价值的审计服务，不仅要保护组织价值，更要为组织增加价值，并创造未来价值。其关键内涵是审计服务与组织价值的增值性的高度统一。[4] 雷智军[5]将商业银行增值型内部审计分为服务型增值审计、控制性增值审计和评价型增值审计。孙畅（2014）[6]提出以财务、客户、员工成长学习、内部流程、风险管理五个维度构建以价值创造为导向的商业银行内部审计体系。贾梅（2012）[7]提出通过内部审计咨询职能实现“三次增值”。此外，学者们分别结合了“免疫系统论”、“价值链”等探讨了如何通过内部审计实现商业银行价值增值。需要指出的是，增值型内部审计具有渐进性的特征，或者说是经历从初级到成熟的发展阶段，经历从价值保护到价值提升、价值创造的过程，并最终實现从“合规性审计”向“增值型审计”的延伸。因此要实现内部审计的增值型目标，就必须加快审计信息化建设步伐。以增值型审计为目标的审计信息化不仅是为了获得技术本身、解决传统审计作业的电子化问题，而是内部审计思想、管理理念与信息技术的高度融合。[4]此外，王雪 [8]（2018）认为，除经济效益容易衡量外，管理效益不易衡量和评价，而内部审计的增值效益更多体现在为组织改善管理、改进流程、实现战略目标的管理增值，这就造成了内部审计监督有力、服务不足的局面。这是目前转型过程中急需解决的关键。

（二）内部审计机构设置和人员胜任力

关于内部审计机构建设，尽管分类标准、角度不同，垂直管理的内部审计组织体制的独立性最强、权威性最高、资源整合效果最好[9]已成为学者们的共识。根据对国有五大行的内部审计管理及报告架构的分析，目前各行虽然都采用垂直管理体制，但将各审计分局定位为总行审计部门的派出机构增加了委托和管理层次，也导致了总行内部审计部门的职责定位模糊[10]。因此学者们也从明确审计派驻机构定位、加强日常监督、正确处理审计与被审计单位之间的关系[11]等角度提出了不同观点。田孟刚[10]等（2017）提出建立垂直集中式的内部审计汇报管理体系，将总行内部审计部门定位为职能机构，其余各审计派出机构向董事会负责并报告工作。于孙健（2015）[12]提出按照“上审下”原则构建独立、垂直式的三级审计组织体系等。

关于内部审计人员胜任力建设，培养“复合型人才”，提升综合素质成为学者们的共识。首先，要引导工作人员转变审计理念和方式，树立风险导向、全量审计、持续审计等思维模式;[13]树立“大非现场审计”理念将审计工作日常化、生活化、数据化;[14]树立管理意识、不断学习内部审计相关理论，提高自身业务能力。[15]其次，要加强对于内部审计人员的教育培训，拓展内部审计部门与银行业务、管理部门的沟通渠道，通过交流增进内部审计工作人员对商业银行整体发展战略的把握，优化内部审计人员专业知识结构，提高非现场审计能力、查证能力、交流沟通能力、专业化研究、责任意识等。最后，建立审计人员的准入、激励、考核和退出机制，从职业知识、技能、道德三方面切入，突出对综合素质的考核。[16] 此外，中国工商银行广州内部审计分局课题组[17]探析了商业银行柔性内部审计模式的实践情况，通过调研发现建立内部审计人员与业务人员轮岗制度、推广全员审计理念、拓展内部审计咨询职能等方式能够有效推动这一模式的落实。

目前农村商业银行存在下设机构众多、网点分散、内部审计定位模糊、隶属关系混乱、独立性弱、效能不高、审计技术、理念、体制更新不及时、内部审计人员配置及胜任力不足等问题。[18-19] 与国有商业银行、全国性的股份制商业银行相比，农村商业银行在业务规模、员工素质、信息化水平、法人治理结构的完善程度、风险控制能力、内部管理水平等方面的差距短时间内难以消除[20]。因而农村商业银行要更加注重基础性工作即明确管理主体、抓住审计重点、选择恰当的审计内容，做到全过程优化。[21]

（三）内部审计技术和方法的应用

随着技术创新的不断推进和数据分析、挖掘技术的日益成熟，以大数据为依托，综合运用多种审计技术和方法，将成为商业银行内部审计信息化管理机制建设中的常态。[4]目前，商业银行审计信息化建设已初具成效，但内部审计部门参与度不足、重硬件轻软件、重开发轻应用、重系统轻数据等问题导致了信息系统脱离了内部审计发展的实际需求。审计基础数据不完整、对非结构数据的利用不足、数据传输和共享机制不完善造成了公共资源数据信息利用效率低。信息超载、信息技术操作中的局限性、数据安全存储薄弱等现象也对信息系统及信息安全风险建设提出了新挑战。[8]此外，中国工商银行上海分局课题组[22]提出了以实现内部审计增值为目标的审计信息化建设框架，以文化、技术、管理为核心，提升审计层面与效能，全面及时预判各类风险传导、聚集、演化趋势，为银行战略性经营决策、风险决策、管理决策提供增值服务。在审计方法的改进方面，学者们则从信贷资金、创新业务、不良资产债权管理、第三方支付管理等一系列具体审计业务切入，探讨了如何改进内部审计的方法和流程。

“非现场审计”因具有审计范围更广阔、审计对象更精准、审计角度独立性[4]更强等特性，在商业银行中得到普遍推广。工商银行在此方面取得了积极进展，提出了以 “四项基础性建设工作”推进“非现场审计”建设[23]。但 “非现场审计”编写方法“不能用”、“不好用”和“不实用”的问题依旧突出[24]。此外，韦霞（2016）[25]认为，“非现场审计”技术的正反馈和自强化特质增加了“非现场审计技术”被取代的成本，使商业银行内部审计对非现场审计技术产生了“路径依赖”，这在一定程度上加剧了商业银行内部审计信息化的风险。

学者们还具体探讨了经济责任审计、管理审计、内部控制自我评价、绩效审计等内容。路程等[26]（2014）指出商业银行在经济责任内审中难以区分风险识别责任和贷款决策责任，难以准确界定受托责任。“先离后审”的干部管理程序阻碍了审计成果的转化运用;闻淑云（2013）[27]认为审计风险计量缺失、履职评价指标体系不完善是制约履职审计的突出问题;杨教儒（2016）[28]指出，商业银行内部控制审计报告和缺乏统一认识与规范，报告路径不统一;内部控制审计成果在公司治理中的应用不足;审计技术不完善、信息化技术没有充分推广;内部审计人员胜任能力不足等因素制约了内部控制自我评价水平的提升。总体而言，未能正确认识内部审计的重要性、缺乏统一的评价标准、评价指标体系不完善、内部审计部门缺乏明确分工、审计过程和结果缺乏客观性和时效性、审计方法不完善、审计成果难以有效转化、内部审计人员胜任力不足则是各项审计业务发展中的共性問题。因此，完善相关评价标准、强化工作制度建设、明确审计工作流程、采用系统化、规范化的方法、加强对内部审计人员的培训、提高治理层、管理层以及与员工对于内部审计作用的认知是解决相关问题的关键所在。

（四）内部审计质量控制及成果转化

由于金融机构内部审计质量控制具有全程性、环境性、动态性的特点，[29]要实现规范内部审计工作、确保内部审计机构和人员遵循准则规定、提高内部审计人员的胜任力和各层级对内部审计的满意度等目标，就要构建一套综合性的质量控制机制。首先，审计委员会需要建立检查考核机制、完善针对内部审计报告中反馈意见的处理机制、同时由董事会直接领导的质量控制中心，与审计委员会实现职能对接。其次，从事前、事中和事后控制切入，制定一套合理的审计质量控制程序和风险防范体系，可以将审计准则、质量控标准运用于审计程序的各个方面[30-31]。针对这一程序，学者们也根据EQA模型、层次分析、模糊数学、“平衡计分卡”、卓越绩效等理念构建了可以对内部审计质量定性和定量评估模型。最后，需要对内部审计人员开展多元化培训、根据审计任务合理配置审计资源、落实报告复核和奖励考核制度、质量控制责任追究和奖惩制度。[32]总而言之，要从审计机构、人员质量、审计项目质量、质量责任控制[33] 为核心建立全方位、多角度的内部审计质量控制机制。

关于内部审计成果的转化，审计成果运用保障机制不完善如处罚权执行难、检查技术单一;审计成果转化形式少、运用辐射面窄[34]是当前的内部审计转型建设中的突出问题。此外，学者们还探讨了内部审计文化建设、咨询与确认职能、内部审计对象、内部审计的独立性、有效性等问题。

     三、商业银行内部审计文献的评述与展望

根据对研究趋势的分析以及研究内容的梳理，笔者认为学者们在审计技术的改进和应用、审计质量评估及控制、审计模型的构建、如何落实风险导向审计理念等方面取得了较多的成果;但这些成果局限于理论层面的探讨而缺少实证检验，这是目前研究过程中最突出的问题。

在审计方法和技术上，非现场审计模式以及以大数据、互联网为核心的信息化技术以及结合风险导向理念的各种审计模型已被商业银行广泛应用。学者们也能够结合商业银行内部审计发展现状和特点、以及实务操作中的具体需求，能够准确定位审计技术改进和信息化发展过程中的现存问题，并提出切实有效的整改方案。

关于内部审计组织机构以及人员胜任力建设，学者们在商业银行应采取垂直集中式的组织机构体制、培养复合型的审计人才，突出对内部审计人员综合素质的考核;引导商业银行治理层、管理层以及内部审计人员树立风险导向审计理念;正确认识到内部审计在提升公司治理、增加商业银行价值中发挥的作用等方面达成了共识。但对于如何高效建立以及建立何种形式的垂直集中式体制、如何在商业银行现有体制的基础上进行相关整改，目前只是在理论层面上探讨了相关内容或对针对少数试点机构的案例进行分析总结，尚未形成具体、切实有效的建议。

目前关于内部审计如何实现增值目标的相关研究尚在起步阶段，除需要提高商业银行高管人员以及全体员工对内部审计增值作用的认知外，在理论及实践层面均未就增值的理念、方法、路径等达成共识。学者们并未针对目前内部审计增值发展的现状、特点以发展中存在的问题进行深入的调查研究。尽管学者们基于“价值链”、“免疫系统论”等原理初步探索了增值途径并建立了相关模型，但这些结论仅仅停留在理论和假设层面，普遍缺乏实证验证。

笔者认为，随着内部审计转型发展的不断深入推进，关于如何通过内部审计实现商业银行价值增值依然会是学者们研究的重点。此外，在2016年修订的《商业银行内部审计指引》提出了建立内部总审计师制度的基本框架，未来如何落实和在实践中不断完善这一制度，将成为学者们关注的新热点。最后，学者们的研究中缺乏对于内部审计相关准则、法律法规的探讨，而法律、法规和内部审计准则、行业指引是内部审计人员开展工作的规范化要求和内部审计评估的依据，因此对于与商业银行相关的内部审计法律法规体系及行业及单位内部的制度建设的探讨不容忽视，希望未来学者们可以填补这一领域的研究空白，并在研究中更加关注实证研究方法的运用。

参考文献：

[1]章建刚.新常态下商业银行内部审计战略转型思考[J].中国内部审计，2017，（9）：8-11.

[2]黎大兴.商业银行的风险关注与内部审计创新[J].中国内部审计，2017，（9）：30-34.

[3]苗宁.风险导向审计在商业银行内部审计推行的问题及建议[J].中国经贸导刊，2018，（23）：104-105.

[4]中国工商银行内部审计局上海分局课题组，周志方，顾红英， 等.以增值型审计为目标的审计信息化建设研究[J].中国内部审计，2014，（2）：74-81.

[5]雷智军.商业银行增值型内部审计实现路径及保障机制的构建[J].银行家，2017，（3）：77-79.

[6]孙畅.建立商业银行内部审计价值体系探讨[J].甘肃金融，2014，0（8）.

[7]贾梅，张蓓.服务治理视角下人民银行内审增加价值的探討[J].经济研究考，2014（37）：54-57.

[8]王雪.商业银行内部审计效益增值对策探讨[J].中国内部审计，2018，（7）：29-31.

[9]张竹林，郑石桥.内部审计组织体制：理论框架和例证分析[J].会计之友，2017（09）：132-136.

[10]田孟刚，马陆方.大型商业银行内部审计模式的实证研究[J].中国内部审计，2017，（10）.

[11]王新震.金融机构审计派驻机构应处理好审计与被审计关系[J].中国内部审计，2018（01）：69-71.

[12]于孙健.对商业银行内审组织体系建设的思考[J].中国邮政，2015（05）：38-39.

[13]郑志元.大数据下的银行审计思维[J].中国金融，2016（14）：52-53.

[14]陈小其.树立“大非现场审计”理念向事前审计转型[J].中国内部审计，2018，（5）：56-59.

[15]赵风.银行内部审计的风险控制与对策分析[J].企业导报，2013，（21）：85-85，86.

[16]李颖.金融机构内部审计人员的胜任能力探究[J].中外企业家，2013（32）：190.

[17]中国工商银行广州内审分局课题组，邱志刚.商业银行柔性内部审计模式探析[J].杭州金融研修学院学报，2015（04）：19-21.

[18]刘瑾.农村商业银行内部审计体系转型实践——以成都农商银行为例[J].中国内部审计，2017，（1）：68-71.

[19]李烨，徐润，陈媛.基于内部审计视角的农商行信贷风险管理研究[J].中国市场，2013，（33）：138-139.

[20]邱兆祥，邱俊杰.农村商业银行内部审计转型升级：现实意义与实践路径[J].西南金融，2013，（6）：12-15

[21]冯小平，王炜娟.中小城市商业银行内审中存在的问题和解决对策[J].法制与经济（中旬刊），2013，（2）：114-115，117.

[22]李强.浅析风险导向内部审计在商业银行的应用[J].经济研究导刊，2013（18）：134-135.

[23]许瑞填.以实施EAST数据标准为契机促进银行内部审计信息化[J].金融科技时代，2015（09）：54-55.

[24]崔晓红.商业银行非现场审计的主要缺陷[J].中外企业家，2013，（11）：87-88.

[25]中国工商银行内部审计局南京分局.依托审计分析模型强化运营风险防控[J].中国内部审计，2017，（2）：44-47.

[26]赵红艳.现代风险导向审计在银行内部审计的运用思考[J].财经界，2013，（20）：220-221.

[27]韦霞.基于路径依赖理论的商业银行内部审计信息化风险分析及应对措施[J].区域金融研究，

[28]路程，许莉.商业银行经济责任审计的难点与对策[J].江苏商论，2014，（3）：56-60.

[29]闻淑云.人民银行领导干部履职审计转型的路径探索[J].华北金融，2013（11）：71-72.

[30]杨教儒.经济新常态下商业银行内部审计策略调整浅探[J].区域金融研究，2016，（7）：32-35.

[31]唐巧玲.浅谈金融机构如何做好审计项目质量控制[J].中国商论，2018（13）：105-106.

[32]陈丽娜.城市商业银行内部审计质量控制体系重构[J].中国内部审计，2014，（7）：40-43.

[33]张祖洋，曾信平，周爱东.编制问题类审计工作底稿的误区与矫正方法[J].中国农业银行武汉培训学院学报，2013，（5）：64-65.

[34]黄丹.现代商业银行内部审计质量控制浅析[J].中国内部审计，2013，（10）：28-29.