1、中国银监会关于印发商业银行内部审计指引的通知银监发 201612 号各银监局,各政策性银行、大型银行、股份制银行,邮政储蓄银行,外资银行,金融资产管理公司,其他会管金融机构:现将商业银行内部审计指引印发给你们,请遵照执行。2016 年 4 月 16 日(此件发至银监分局和地方法人银行业金融机构)商业银行内部审计指引第一章 总 则第一条 为促进商业银行完善公司治理,加强内部控制和风险管理,健全内部审计体系,提升内部审计的独立性和有效性,依据中华人民共和国银行业监督管理法、中华人民共和国商业银行法等法律法规,制定本指引。第二条 中华人民共和国境内依法设立的商业银行适用本指引。第三条 本指引所称内部
2、审计是商业银行内部独立、客观的监督、评价和咨询活动,通过运用系统化和规范化的方法,审查评价并督促改善商业银行业务经营、风险管理、内控合规和公司治理效果,促进商业银行稳健运行和价值提升。第四条 商业银行内部审计目标包括:推动国家有关经济金融法律法规和监管规则的有效落实;促进商业银行建立并持续完善有效的风险管理、内控合规和公司治理架构;督促相关审计对象有效履职,共同实现本银行战略目标。第五条 商业银行内部审计工作应独立于业务经营、风险管理和内控合规,并对上述职能履行的有效性实施评价。内部审计活动应遵循独立性、客观性原则,不断提升内部审计人员的专业能力和职业操守。第六条 银行业监督管理机构依据本指引
3、对商业银行内部审计工作实施监管评估。第二章 组织架构第七条 商业银行应建立独立垂直的内部审计体系。第八条 董事会对内部审计的独立性和有效性承担最终责任。董事会应根据本银行业务规模和复杂程度配备充足、稳定的内部审计人员;提供充足的经费并列入财务预算;负责批准内部审计章程、中长期审计规划和年度审计计划等;为独立、客观开展内部审计工作提供必要保障;对内部审计工作的独立性和有效性进行考核,并对内部审计质量进行评价。第九条 董事会应下设审计委员会。审计委员会成员不少于 3 人,多数成员应为独立董事。审计委员会成员应具有财务、审计和会计等专业知识和工作经验。审计委员会负责人原则上应由独立董事担任。审计委员
4、会对董事会负责,经其授权审核内部审计章程等重要制度和报告,审批中长期审计规划和年度审计计划,指导、考核和评价内部审计工作。第十条 监事会对本银行内部审计工作进行监督,有权要求董事会和高级管理层提供审计方面的相关信息。第十一条 高级管理层应支持内部审计部门独立履行职责,确保内部审计资源充足到位;及时向审计委员会报告业务发展、产品创新、操作流程、风险管理、内控合规的最新发展和变化;根据内部审计发现的问题和审计建议及时采取有效整改措施。第十二条 商业银行可设立总审计师或首席审计官(以下统称“总审计师”)一名。总审计师由董事会负责聘任和解聘。商业银行应及时向银行业监督管理机构报告总审计师的聘任和解聘情
5、况。总审计师对董事会及其审计委员会负责,定期向董事会及其审计委员会和监事会报告工作,并通报高级管理层。总审计师负责组织制定并实施内部审计章程、审计工作流程、作业标准、职业道德规范等内部审计制度,组织实施中长期审计规划和年度审计计划,并对内部审计的整体质量负责。商业银行未设立总审计师的,由内部审计部门负责人承担总审计师的职责。第十三条 商业银行应设立独立的内部审计部门,审查评价并督促改善商业银行经营活动、风险管理、内控合规和公司治理效果,编制并落实中长期审计规划和年度审计计划,开展后续审计,评价整改情况,对审计项目的质量负责。内部审计部门向总审计师负责并报告工作。第十四条 商业银行应配备充足的内
6、部审计人员,原则上不得少于员工总数的 1%。内部审计人员应当具备履行内部审计职责所需的专业知识、职业技能和实践经验,掌握银行业务的最新发展,并通过后续教育和职业实践等途径,学习和掌握相关法律法规、专业知识、技术方法和审计实务的发展变化,保持和提升专业胜任能力。内部审计人员在从事内部审计活动时,应遵循客观、保密原则,秉持诚信正直的道德操守,按规定使用其在履行职责时所获取的信息。内部审计人员不得参与有利益关系的审计项目,不得利用职权谋取私利,不得隐瞒审计发现的问题,不做缺少证据支持的判断,不做误导性陈述。第三章 章程、职责与权限第十五条 商业银行应制定内部审计章程。内部审计章程应至少包括以下事项:
7、(一)内部审计目标和范围;(二)内部审计地位、权限和职责;(三)内部审计部门的报告路径以及与高级管理层的沟通机制;(四)总审计师的责任和义务;(五)内部审计与风险管理、内部控制的关系;(六)内部审计活动外包的标准和原则;(七)内部审计与外部审计的关系;(八)对重点业务条线及风险领域的审计频率及后续整改要求;(九)内部审计人员职业准入与退出标准、后续教育制度和人员交流机制;内部审计章程应由董事会批准并报监管部门备案。第十六条 商业银行的内部审计事项应包括:(一)公司治理的健全性和有效性;(二)经营管理的合规性和有效性;(三)内部控制的适当性和有效性;(四)风险管理的全面性和有效性;(五)会计记录
8、及财务报告的完整性和准确性;(六)信息系统的持续性、可靠性和安全性;(七)机构运营、绩效考评、薪酬管理和高级管理人员履职情况;(八)监管部门监督检查发现问题的整改情况以及监管部门指定项目的审计工作;(九)其他需要进行审计的事项。第十七条 内部审计部门有权获取与审计有关的信息,列席或参加与内部审计职责有关的会议,参加相关业务培训。第十八条 内部审计部门有权检查各类经营机构(含分支机构和附属机构)的各项业务和管理活动(含外包业务),及时、全面获取经营管理相关信息,并就有关问题向审计对象和行内相关人员进行调查、质询和取证。第十九条 内部审计部门有权向董事会、高级管理层和相关部门提出处理和处罚建议。第
9、二十条 内部审计部门可就风险管理、内部控制等事项提供专业建议,但不得直接参与或负责内部控制设计和经营管理的决策与执行。第四章 审计工作流程第二十一条 内部审计部门应根据商业银行的内部审计章程、业务性质、风险状况、管理需求及审计资源的配置情况,确定审计范围、审计重点、审计频率,编制中长期审计规划和年度审计计划,并报审计委员会批准。商业银行的年度内部审计计划应充分考虑监管关注事项,包括但不限于:全面风险管理、资本充足、流动性、内控合规、财务报告等。第二十二条 内部审计部门应根据年度审计计划,选派合格、胜任的审计人员组成审计组,收集和研究相关背景资料,了解审计对象的风险概况及内部控制,编制项目审计方
10、案,组织审计前培训并在实施审计前向审计对象下发审计通知书。特殊情况下,审计通知书可以在实施审计时送达。第二十三条 内部审计人员应根据项目审计方案,综合运用审核、观察、访谈、调查、函证、鉴定、调节和分析等方法,获取审计证据,并将审计过程和结论记录于审计工作底稿。内部审计采取现场审计与非现场审计相结合的方式,并通过加强非现场审计系统建设,增强内部审计的广度与深度。内部审计部门应加强信息科技在审计工作中的运用,不断完善内部审计管理信息系统。在审计过程中,内部审计人员应做好与审计对象的沟通交流。第二十四条 商业银行应建立异议解决机制。对审计对象提出异议的审计结论,应及时进行沟通确认,根据内部审计章程的
11、规定,将沟通结果和审计结论报送至相关上级机构并归档保存。第二十五条 内部审计人员在实施必要的审计程序后,应征求审计对象意见并及时完成审计报告。审计报告应包括审计目标和范围、审计依据、审计发现、审计结论、审计建议等内容。内部审计人员应将审计报告发送至审计对象,并上报审计委员会及董事会,同时根据内部审计章程的规定与高级管理层及时沟通审计发现。第二十六条 商业银行董事会及高级管理层应采取有效措施,确保内部审计结果得到充分利用,整改措施得到及时落实;对未按要求整改的,应追究相关人员责任。第二十七条 内部审计部门应跟进审计发现问题的整改情况。必要时可开展后续审计,评价审计发现问题的整改进度及有效性。第二十八条 内部审计部门应建立健全内部审计档案管理制度,妥善保管内部审计档案资料。第二十九条 商业银行应建立健全内部审计质量控制制度和程序,定期实施内部审计质量自我评价,并接受内部审计质量外部评估。第五章 部分审计活动外包第三十条 商业银行不得将内部审计职能外包,但可将有限的、特定的内部审计活动外包给第三方,以缓解内部审计资源压力并提升内部审计工作的全面性。
