王雨伦

一般来说，内部审计作为第三道防线，不会直接执行业务控制措施，但是当治理和监督职能紧密结合时，商业银行内部审计部门可能会被要求承担风险管理、合规管理、法规监督，以及其他活动。当个人或部门被赋予双重责任时，应考虑实施职责分离。在内部审计可能作为第二道防线的情形下，IIA发布的《内部审计与第二道防线》为确保内部审计独立性和客观性不受影响提供了指引。

一、良好的治理架构概览

1.三道防线模型。

如图1所示，三道防线模型有效描述了风险管理和控制职责。第一道防线负责在业务操作过程中有效执行各项内外部控制措施，以及监控业务流程。第二道防线由单独建立的风险控制和合规监督职能构成，以确保第一道防线内业务流程和控制措施有效运行，其性质和类型受行业和组织成熟度等诸多因素影响。第三道防线包括内部审计，主要为业务流程和控制过程提供独立保证。第二道防线和第三道防线均承担风险监督或管理职责，两者的主要区别在于是否拥有独立性和客观性。

2.内部审计部门的独立性和客观性。

《國际内部审计专业实务标准》“1100——独立性与客观性”规定，内部审计部门必须保持独立性，内部审计师必须客观地开展工作。根据该条释义，只有当首席审计执行官在职能上直接向董事会报告，其任免、薪酬均由董事会批准的情况下，内部审计组织上的独立性才能有效实现。如果第二道防线领导者在职责上直接向管理层报告，通常认为，该第二道防线不具备独立性。

内部审计独立性和客观性强化了董事会和管理层对内部审计的依赖。董事会和管理层依靠内部审计有效开展风险控制和管理，不断提高组织治理水平。然而，随着风险范围的扩大和组织治理要求的提高，要保证内部审计的独立性和客观性，则需要更多的控制和保障措施。

二、内部审计与第二道防线职责

1.第二道防线的功能。

在部分商业银行，可能要求首席审计执行官额外承担第二道防线职责，这往往是受组织规模或成熟度影响，或是采取新的风险管理或合规举措所导致的结果。如果不妥善客观处理，内部审计的独立性和客观性将可能受损。另外，监管标准和业界经验做法也可能要求采取特定的第二道防线活动，如加强风险管理协调或合规审查。在商业银行工作实务中，与第二道防线职责相关的行业标准可能包括：金融服务业监管要求、法律法规事务、案件防范与员工禁止性行为的规定等。

2.内部审计与第二道防线活动。

即使一个组织具备良好的风险管理和治理规划，以及强大的资源禀赋，内部审计与第二道防线的职责仍然可能模糊。例如，在表1所列情形下，首席审计执行官可能被要求承担第二道防线的部分活动。

在不受特殊监管要求或资源限制时，内部审计与第二道防线职能重合的活动也有可能发生。例如，当萨班斯·奥克斯利法案（Sarbanes·Oxley Act）应用于美国上市公司时，许多公司管理层要求内部审计担任合规管理角色。另外，在某些情形下，因内部审计采用特定的风险管理技术，以及遵循特定的治理原则，管理层可能认为，内部审计承担第二道防线中的某项职责最为合适，如表2。

如果第二道防线的职责由内部审计承担，那么首席审计官应该向管理层和董事会报告该行为存在的风险。内部审计承担第二道防线职责的安排不管是长期还是短期安排，了解这一做法可能产生的风险，对于首席审计官、管理层和董事会都非常重要，并且应当采取适当的保护和控制措施，定期评价这些措施是否有效，以确保内部审计客观性。

三、保持独立性和客观性的保障措施

不同组织机构在其规模、业务部门设置、资源可得性、组织文化、风险承担、董事会构成等方面存在差异，组织治理机制自然有较大的差异，但作为提供独立、客观保证和咨询服务职能的内部审计，其有效性都应当得到保护。因此，对任何可能损害内部审计独立性或客观性的活动，都应予以评估和改进。

1.国际内部审计专业实务标准关于“双重职责”的讨论。

“1110标准”要求至少每年一次向董事会确认内部审计关于组织独立性的地位。“1130标准”要求向适当的对象披露任何实质上或形式上对内部审计独立性造成的损害。披露的性质取决于损害的性质，并声明如下事项：一是对独立性和客观性造成损害的情形;二是对独立性和客观性损害造成的后果和风险;三是应采取的保障措施;四是如果有过渡计划，应披露过渡计划。

2.应采取的保障措施。

如果管理层和董事会接受内部审计承担第二道防线活动可能产生的风险，需要制定保障措施以确保独立性和客观性不受损害。对内部审计承担的任何第二道风险防线活动都应考虑采取保障措施。例如：对第二道和第三道防线重叠的活动进行清晰的定义和界定，包括但不限于以下内容：（1）对组织和内部审计的冲击和导致的风险;（2）角色、责任和职责分工;（3）控制措施，以确保保障措施有效运作;（4）确定是临时任务还是长期任务，如果是临时任务，需要制定过渡计划;（5）高级管理层和董事会的书面授权和批准;（6）内部审计履行第二道防线职责至少应每年一次在章程中作出规定，或纳入董事会调整更新事项。

3.应避免参与的活动或承担的职能。

内部审计应注意避免参与损害其独立性或客观性的活动，具体如表3。

四、过渡计划

如果内部审计承担第二道防线职责仅仅是暂时性的，也应制定一个正式的过渡计划，并在与管理层和董事会进行讨论后执行，以解除内部审计的相关责任。过渡计划应当考虑表4所列事项。

过渡计划应包含相关条款，以确保在已有资源条件下，对第二道防线职责进行完整、有效的过渡（考虑到独立性和客观性，第三方可能需要指挥这一工作）。在制定和执行过渡计划期间，首席审计执行官、高级管理层和董事会应考虑以下事项：一是考虑长期的组织结构，确保建设恰当的顶层架构;二是考虑组织治理方案的适当性;三是考虑法律、监管和其他合规性管理要求;四是考虑风险管理文化;五是考虑三道防线方针一致性，以及组织规模和复杂度等。

五、管理层对影响独立性和客观性风险的接受程度

部分商业银行可能会选择让内部审计承担第二道防线职责，这通常出现在规模较小的机构中，以及管理层认为对组织机构风险影响较小的业务领域。管理层应当基于风险分析，对合并第二道防线和第三道防线职责的长期战略决定认真深入思考。管理层接受内部审计承担第二道防线职责的做法，可能暂时性合适，但不应视为是永久性的。管理层和董事会应至少每年开展一次评估，包括适当的风险分析，以评价内部审计执行第二道防线的作用。

从质量保证和改进项目来说，第二道和第三道防线职责重合部分应当成为重点关注领域。内部审计应评估对独立性和客观性可能造成损害的风险，将风险评估结果报告给管理层，定期向管理层确认其接受这些风险，同时考虑过渡计划。管理层和董事会应在评估、讨论和接受相关风险后再将这些职责合并。首席审计执行官应确保适当的保障和控制措施得到实施和定期验证，以保持内部审计的独立性和客观性。

（作者单位：江西银行股份有限公司）