◆赖才林 王家华/南京审计大学 张玲/中国联合工程有限公司

随着利率市场化进程加快以及金融科技的发展，商业银行业务呈多元化、跨市场等特征演变，加上国内外复杂的经济金融环境以及新冠疫情冲击的叠加，对商业银行的公司治理提出了更高的要求。现阶段，我国商业银行公司治理建设还跟不上形势发展需要，商业银行公司治理“神形分离”的现象仍然存在，公司治理机制落实不到位，“两会一层”制衡失效、内部审计体系缺失等问题在不同程度上依然存在。

面对越来越复杂的经营形势，提升商业银行公司治理水平是加强商业银行稳健经营、维护金融安全的重要举措。2021年，银保监会最新颁布的《银行保险机构公司治理准则》提出，商业银行必须按照相关法律完善公司治理框架，提升治理水平。新修订的《中华人民共和国审计法》（以下简称新修订《审计法》）施行后，拓宽了金融审计功能，为金融审计促进商业银行加强公司治理建设提供了更坚实的支撑。

新形势下商业银行公司治理存在的突出问题

（一）商业银行治理层运作不规范

商业银行要同时兼顾盈利性和安全性，但许多治理层仍然存在“重盈利、轻风险”的思想，且治理层运作不规范，其中涵盖“两会一层”履职，股东股权治理和关联交易等多个方面。在“两会一层”履职方面，董事会存在为达到监管指标和相应的绩效指标，拆分贷款，降低贷款集中度，伪造相关数据，违规出具金融票据等问题；在监事会层面，存在监事长履职不到位、监事会形同虚设，没有对高风险贷款保持审慎处理的态度，贷款贷中、贷后审查不到位，高风险案件没有按照银保监会的要求报送等问题；在高级管理层方面，部分高级管理层存在代替董事会、监事会履职的情况，同时部分风险防范部门独立性缺失，无法发挥向上监督的作用。商业银行股权治理方面，在我国商业银行股份制改革下，诸多商业银行以股份有限公司的形式设立，导致较多商业银行特别是中小银行存在股权分散，股东违规股权质押和违规分红，股东以非自有资金或信贷资金入股等问题。股权治理的不规范，难以发挥股东会对“两会一层”的制约作用，导致商业银行内部控制架构的缺失。在关联交易方面，存在重大关联交易未经审批，关联交易未按规定按时披露等问题。公司治理层的运作不规范，造成了商业银行内部控制顶层设计的缺陷，降低商业银行对风险的抵御能力，容易产生重大风险。

（二）相关社会责任履行不到位

银保监会在《商业银行公司治理指引》中明确指出商业银行应履行良好的社会责任。在2022年银保监会新下发的非现场监管报表中，将绿色融资、普惠金融等关系到社会发展的项目单独列示，表明了社会责任履行在商业银行发展过程中的重要性。商业银行在谋求自身盈利发展的同时，应积极作为，发挥好金融支持实体、支持绿色发展、支持乡村振兴的作用，切实履行好相应的社会职能。但在商业银行履行社会责任的过程中仍存在诸多问题。一是文化建设中不重视商业银行社会责任的履行。部分商业银行仍以盈利性为自身企业文化的中心，忽视企业文化中履行社会责任意识的培养。二是商业银行“两会一层”履职的过程中无法兼顾盈利性和社会责任，制定的发展框架仍以业绩为核心，治理层对贷款的控制不到位，仍存在违规向“两高一剩”行业发放贷款的情况，而忽略了对绿色环保型产业的支持，造成了贷款资源的错配和贷款结构的失衡。三是违规使用相关政策资金。央行等有关部门出台了诸多支持商业银行履行社会责任的政策，然而部分商业银行治理层不能有效对资金流向进行监督。四是商业银行相关社会责任履行信息披露不足。目前我国商业银行治理层在社会责任信息披露方面重视程度不高，只有少数大银行每年进行披露，众多中小银行并未每年披露社会责任履行情况，且在已披露的社会责任履行情况中，披露内容较为简单，并未涵盖定性指标和定量指标。

（三）信息治理不到位

随着互联网技术的不断发展，大数据、云计算等先进技术被运用到商业银行的经营管理当中，数据治理成为商业银行公司治理的重要组成部分。在大数据时代下，商业银行的数据运用具备范围广、复杂性强等特点，不易管理。诸多犯罪分子得以通过商业银行数据治理出现的漏洞进行洗钱等违法活动，加强商业银行数据治理刻不容缓。现阶段，商业银行数据治理仍存在诸多问题，一是商业银行收集的数据较多，范围较广，不易整合，除少数大银行外，许多中小银行缺乏对数据进行整理、运用、分析的能力，相对应的人才储备也较为缺乏，无法及时、有效地对数据安全漏洞进行识别，在运用相关科技的时候过多注重操作而忽视风险防范。二是在规章制度方面，诸多银行并未将数据治理列为自身重点治理领域，没有出台相关的数据风险防范政策。三是外部对商业银行数据治理的监管缺失，对于新型金融科技的监管，相关地方监管部门，如银保监局等，仍然处于探索阶段，监管手段仍较为传统，对商业银行的数据治理监管力度存在较大不足。四是银行自身也存在监管数据报送违规等行为。根据银保监会2021年对商业银行的罚单公示，当年银保监会及其派出机构对银行机构开出32张罚单，涵盖范围涉及数据错报、数据造假、数据报送不及时等诸多违规行为。

（四）内部审计体系不健全

内部审计是商业银行公司治理的重要组成部分，向上对管理层负有监督职责，向下监督银行各条业务线的运行。在新形势下，商业银行监管日渐趋严，内部审计部门在商业银行公司治理中发挥着重要作用。现阶段，商业银行内部审计职能发挥不充分，诸多商业银行内部审计部门“有形无实”。在向上监督方面，内审人员人事任免由董事会决定，名义上由董事会直接任命，直接对董事会负责，但在履行职责时，较多银行的高管直接由董事会成员担任，造成内部审计部门权力被架空，不能对管理层施行有效的监督。此外，内部审计人员在发现违法违规行为时，只能向上级提出整改或处罚建议，自身没有执行处罚的权力，无法对违规人员进行直接处罚；在向下监督方面，由于内部审计部门与其他业务部门处于同一银行，难以做到严格审计，审计对象往往不配合内部审计部门的工作，造成商业银行的内部审计工作最终以“走过场”的形式匆匆收场。在审计内容和方式方法方面，随着商业银行金融科技进步、业务多元化发展，商业银行内部审计仍以查账为中心的财务审计已然不合时宜，而内部控制审计和信息系统审计等方面重视程度不够，不能对整个银行体系的风险点进行有效评估和整体把握，审计作用范围的局限导致内部审计在银行风险管控方面起到的作用有限。

新修订《审计法》视角下商业银行公司治理的审计策略

（一）加强银行治理层经济责任审计

新修订《审计法》将相关领导干部经济责任审计部分写进附则，保持审计法与党内相关法规的衔接，加强了党对领导干部经济责任审计工作的领导。在新形势下，金融稳定是防范化解国家重大风险的重要一环，银行稳则金融稳，商业银行治理层的稳定又是银行稳定的大前提。在现阶段对商业银行治理层的股权制约等监督机制受限的情况下，审计监督的加强能够及时揭示银行治理层不作为甚至腐败的现象，一定程度上弥补其他监督机制的缺失。新修订《审计法》施行后，党组织作为相关商业银行经济责任的领导方，审计组织得以优化，审计流程更为明确，审计与其他部门的协同也更为密切。国家金融审计机关应该在党的带领下，通过经济责任审计联席会议制度，与财政、人力资源等部门以及相关金融监管机构一起在更大范围、更深层次对商业银行“两层一会”主要责任人进行经济责任审计，包括不仅限于对商业银行治理层经济责任审计的对其在任职期间贯彻落实政策情况、经营决策情况、风险管控情况等进行客观公正的评价。同时，审计机关的审计成果应在党组织的牵头下，及时与相关协同部门共享，作为商业银行治理层考评依据。

（二）加强商业银行履行社会责任的审计监督

新修订《审计法》新增第二十六条“根据经批准的审计项目计划安排，审计机关可以对被审计单位贯彻落实国家重大经济社会政策措施情况进行审计监督”，同时合并修改了对金融机构的审计条款，特别强调了“遇有涉及国家财政金融重大利益情形，为维护国家经济安全，经国务院批准，审计署可以对前款规定以外的金融机构进行专项审计调查或者审计”。新形势下，国家为支持普惠金融、绿色发展、小微企业的发展，出台了大量金融支持政策，而商业银行是相关政策资金周转重要一环，相关政策资金的运用直接关系到我国经济金融安全。新修订《审计法》施行后，审计机关一方面可以加强对商业银行履行国家相关政策情况的审计监督，依法对相关金融机构应服务于普惠金融、绿色发展、小微企业等社会职责的情况进行审计，重点审查相关金融机构是否在公司治理层面制定了服务于社会职能的相关规章制度，服务于相关领域的资金是否流向应投向领域，是否存在盗取资金违规发放贷款等情况，是否在社会责任报告上正确披露自身社会责任履行情况，是否设置了投向服务于社会职责贷款的风险管控措施等。另一方面，依据新修改的对金融机构的审计条款，对相关金融机构社会责任履行情况的审计，在涉及国家财政金融重大利益的情况下，可以扩大审计范围，将审计对商业银行履行国家经济社会政策的监督渗透到更多的金融机构。

（三）运用大数据技术开展商业银行信息治理审计

新修订《审计法》第三十四条强调“审计机关对取得的电子数据等资料进行综合分析，需要向被审计单位核实有关情况的，被审计单位应当予以配合。”且第三十六条强调“审计机关有权检查被审计单位信息系统的安全性、可靠性、经济性，被审计单位不得拒绝”。在新修订《审计法》实施后，进一步明确了国家审计机关在信息系统审计方面的强制性，从立法层面规范了被审计单位在大数据审计过程中应尽的义务，并且首次将“信息系统”列在审计机关的审计范围当中。具体到对商业银行信息治理的审计监督中，可以建立与商业银行数据库的连接接口，成立大数据审计协同工作组，发挥信息化时代下大数据信息共享的优势，最大限度地获取商业银行公司治理过程中的数据，再通过大数据审计软件，对商业银行数据进行数据清洗、数据关联集中分析、系统把握、抽丝剥茧，强化国家审计在审计监督方面的穿透性，得以从错综复杂的数据当中寻找商业银行信息治理的漏洞。相关的法律亦可规范在对商业银行大数据审计过程中审计机关与审计对象的行为，确保用于审计的数据资料不会外泄。

（四）通过协同审计加强对商业银行内部审计的指导与监督

新修订《审计法》新增第三十二条，强调“审计机关应当对被审计单位的内部审计工作进行业务指导和监督”。促进商业银行公司治理体系完善，需要国家审计机关与被审计单位内部审计部门密切配合，构建全面覆盖的审计监督体系。一方面，新修订《审计法》要求被审计单位高度重视内部审计部门建设，加强国家审计对商业银行内部审计工作的指导和监督，能够促进内部审计部门发挥其职能，增强其独立性，并且内部审计在工作中除了受商业银行董事会的监督外，还应对国家审计机关负责，发现违法违纪问题可直接向国家审计机关进行汇报，一定程度上可摆脱单独受制于自身银行董事会的缺陷。另一方面，国家审计有着独立性的特点，可以在协同审计过程中，对内部审计尚未发现，或发现了不予上报、不予处罚的情况加以处理，通过协同审计强化商业银行公司治理情况的监督。同时，国家审计还具备专业性的特点，能在内部审计对商业银行公司治理监督履职过程给予一定的指导，从而帮助内部审计部门弥补在对商业银行公司治理监督过程中出现的漏洞，对商业银行公司治理容易出问题的重点领域，可以通过交流学习、现场指导的方式对内部审计予以相应的帮助。