商业银行内部审计指引

第一章 总 则

为了促使商业银行完善公司治理，对内部控制和风险管理进行强化，使内部审计体系得以健全，提升内部审计的独立性与有效性，依据《中华人民共和国银行业监督管理法》以及《中华人民共和国商业银行法》等相关法律法规，从而制定了本指引。

第二条 中华人民共和国境内依法设立的商业银行适用本指引。

从而促进商业银行稳健运行和价值提升。

三是监督相关审计对象能够有效履行职责，共同达成本银行的战略目标。

商业银行的内部审计工作需与业务经营、风险管理以及内控合规相独立。内部审计工作要对业务经营、风险管理和内控合规等职能履行的有效性进行评价。内部审计活动应当遵循独立性原则，同时也要遵循客观性原则。并且要不断提升内部审计人员的专业能力以及职业操守。

银行业监督管理机构依据本指引来对商业银行的内部审计工作实施监管评估。

第二章 组织架构

第七条 商业银行应建立独立垂直的内部审计体系。

第八条 董事会对内部审计的独立性和有效性承担最终责任。董事会需依据本银行业务的规模以及复杂程度，配备足够且稳定的内部审计人员；需提供充裕的经费并将其列入财务预算之中；需负责对内部审计章程、中长期审计规划以及年度审计计划等进行批准；需为独立且客观地开展内部审计工作提供必需的保障；需对内部审计工作的独立性和有效性进行考核，同时对内部审计质量进行评价。

审计委员会的负责人原则上应由独立董事来担任。

审计委员会需对董事会负责。它经董事会授权，能够审核内部审计章程等重要制度以及相关报告。同时，它还可以审批中长期审计规划和年度审计计划。并且，它能够指导、考核以及评价内部审计工作。

监事会有权要求高级管理层提供审计方面的相关信息。

高级管理层应给予内部审计部门独立履行职责的支持，要确保内部审计资源充足且到位；需及时向审计委员会汇报业务发展方面的情况，包括产品创新、操作流程、风险管理以及内控合规等方面的最新发展和变化；还要依据内部审计所发现的问题以及审计建议，迅速采取有效的整改措施。

第十二条规定，商业银行可以设立一名总审计师或者首席审计官（以下统称“总审计师”）。董事会负责对总审计师进行聘任以及解聘的工作。同时，商业银行应当及时将总审计师的聘任情况和解聘情况报告给银行业监督管理机构。

总审计师对内部审计的整体质量负有责任。

商业银行若未设立总审计师，那么就由内部审计部门的负责人来承担总审计师的职责。

商业银行应设立一个独立的内部审计部门。这个部门要对商业银行的经营活动进行审查评价，同时督促其改善。还要对风险管理、内控合规和公司治理效果进行审查评价并督促改善。该部门需编制并落实中长期审计规划和年度审计计划。并且要开展后续审计，对整改情况进行评价。同时，内部审计部门要对审计项目的质量负责。内部审计部门向总审计师负责，并且向其报告工作。

商业银行应配备足够多的内部审计人员，从原则上来说，其数量不得比员工总数的 1%少。

内部审计人员要保持和提升专业胜任能力。

内部审计人员从事内部审计活动时，要遵循客观原则，也要遵循保密原则。他们要秉持诚信正直的道德操守，并且按规定使用在履行职责时所获取的信息。内部审计人员不能参与有利益关系的审计项目，不能利用职权去谋取私利，不能隐瞒审计发现的问题，不能做缺少证据支持的判断，也不能做误导性陈述。

第三章 章程、职责与权限

商业银行应制定内部审计章程。内部审计章程需至少涵盖以下这些事项：

（一）内部审计目标和范围；

（二）内部审计地位、权限和职责；

（三）内部审计部门的报告路径以及与高级管理层的沟通机制；

（四）总审计师的责任和义务；

（五）内部审计与风险管理、内部控制的关系；

（六）内部审计活动外包的标准和原则；

（七）内部审计与外部审计的关系；

（八）对重点业务条线及风险领域的审计频率及后续整改要求；

内部审计人员的职业准入标准、退出标准；内部审计人员的后续教育制度；内部审计人员的人员交流机制。

内部审计章程应由董事会批准并报监管部门备案。

第十六条 商业银行的内部审计事项应包括：

（一）公司治理的健全性和有效性；

（二）经营管理的合规性和有效性；

（三）内部控制的适当性和有效性；

（四）风险管理的全面性和有效性；

（五）会计记录及财务报告的完整性和准确性；

（六）信息系统的持续性、可靠性和安全性；

（七）机构运营、绩效考评、薪酬管理和高级管理人员履职情况；

监管部门进行监督检查后，要关注发现问题的整改情况；同时，还要负责监管部门指定项目的审计工作。

（九）其他需要进行审计的事项。

内部审计部门有权参加相关业务培训。

内部审计部门具备检查各类经营机构（包含分支机构以及附属机构）各项业务和管理活动（包含外包业务）的权力。它能够及时且全面地获取经营管理相关信息，并且可以就相关问题向审计对象以及行内相关人员进行调查、质询和取证。

内部审计部门还有权向有关部门提出处理和处罚建议。

内部审计部门能够就风险管理以及内部控制等相关事项给出专业建议。然而，它不可以直接参与到内部控制的设计工作中，也不能负责经营管理方面的决策与执行事宜。

第四章 审计工作流程

内部审计部门要依据商业银行的内部审计章程、业务性质、风险状况、管理需求以及审计资源的配置情况来确定审计范围、审计重点和审计频率，同时编制中长期审计规划和年度审计计划，之后将这些计划报审计委员会批准。

商业银行的年度内部审计计划要充分把监管关注事项考虑进去。这些监管关注事项包含但不限于全面风险管理方面、资本充足方面、流动性方面、内控合规方面以及财务报告方面等。

内部审计部门要依据年度审计计划，挑选出合格且胜任的审计人员，将他们组成审计组。接着，收集并研究相关的背景资料，对审计对象的风险概况以及内部控制进行了解。之后，编制出项目审计方案，组织开展审计前的培训工作，并且在实施审计之前，向审计对象下发审计通知书。在特殊的情形下，审计通知书是可以在实施审计的时候送达的。

内部审计人员需依据项目审计方案，运用多种方法来获取审计证据。这些方法包括审核、观察、访谈、调查、函证、鉴定、调节以及分析等。同时，要将审计过程和结论记录在审计工作底稿中。

内部审计会采用现场审计这种方式，同时也会采用非现场审计这种方式，并且会通过强化非现场审计系统的建设，来提升内部审计的广度以及深度。

内部审计部门需强化信息科技在审计工作里的运用，持续对内部审计管理信息系统进行完善。在开展审计工作期间，内部审计人员应当做好与审计对象之间的沟通交流事宜。

商业银行应当建立起异议解决的机制。对于审计对象所提出的异议的审计结论，需要及时展开沟通并予以确认。按照内部审计章程的规定，要把沟通的结果以及审计结论报送至相关的上级机构，并且进行归档保存。

内部审计人员在实施了必要的审计程序之后，应当征求审计对象的意见，并且要及时完成审计报告。审计报告包含审计目标与范围、审计依据、审计发现、审计结论以及审计建议等方面的内容。

内部审计人员要把审计报告发送给审计对象，还要上报给审计委员会以及董事会，并且按照内部审计章程的规定，及时与高级管理层沟通审计发现。

商业银行的董事会以及高级管理层应当采取有效的举措。其一，要保证内部审计的结果能够被充分地运用起来。其二，要让整改的措施能够及时地得以落实。倘若有未按照要求进行整改的情况，就应当对相关的人员追究其责任。

内部审计部门需要跟进审计发现问题的整改情况。在必要的情况下，可以开展后续审计工作，以此来对审计发现问题的整改进度以及有效性进行评价。

内部审计部门要妥善地对内部审计档案资料进行保管。

商业银行应当建立起完备且健全的内部审计质量控制制度以及相关程序。同时，要定期开展内部审计质量的自我评价工作，并且还需接受内部审计质量的外部评估。

第五章 部分审计活动外包

商业银行不可以将内部审计职能进行外包。不过，它可以把有限的、特定的内部审计活动外包给第三方。这样做的目的是缓解内部审计资源所面临的压力，同时提升内部审计工作的全面性。

商业银行董事会要对内部审计活动外包承担最终的责任。并且，商业银行内部审计活动进行外包时，应当符合本银行内部审计章程的相关要求。

商业银行不能把内部审计活动外包给正在为本银行提供外部审计服务的会计师事务所以及其关联机构。

商业银行不能把内部审计活动外包给在近三年内给审计对象提供过与该项审计外包业务相关咨询服务的第三方以及其关联机构。

以及明确质量控制标准等。

商业银行在进行内部审计活动外包时，其内部审计人员需要参与其中。同时，要对项目实施进行监督。并且，还应负责向总审计师报告关于外包活动的相关情况。

商业银行总审计师应当建立起相应的外包审计项目知识转移机制。这样做的目的是要确保内部审计人员能够以最大程度的方式获取专业技能。通过这种方式，能够提升内部审计部门的专业能力。

第六章 考核与问责

商业银行董事会需针对内部审计部门构建科学的激励约束机制。董事会要对总审计师履行职责、尽责的情况进行考核与评价。同时，内部审计部门要定期对内部审计人员的专业胜任能力进行评价。

内部审计人员的薪酬水平需不低于本机构其他部门处于相同职级的人员的平均水平。

经过责任认定，若内部审计部门和审计人员已经勤勉尽职，那么可以减轻或免除他们的责任。

整改情况也应作为审计对象绩效考评的重要依据。

审计对象应当积极配合内部审计工作。如果出现拒绝内部审计工作的情况，商业银行应及时制止；如果出现妨碍内部审计工作的情况，商业银行也应及时制止；对于整改不力的行为，商业银行同样应及时制止，并追究相关责任人的责任。

第七章 监管评估

商业银行内部审计部门需建立与银行业监督管理机构的正式沟通机制。该机制要用于定期讨论银行所面临的主要风险。同时，也要讨论已经采取的风险化解措施以及整改情况。并且，双方沟通的频率应依据银行的规模、风险偏好和业务复杂性来进行匹配。

第四十条 商业银行内部审计部门应向监管部门提交以下报告：

（一）内部审计计划；

（二）重要审计发现及其整改情况；

（三）向董事会提交的全面审计工作报告；

（四）外部机构对银行的审计报告；

（五）监管部门监督检查发现问题的整改报告；

（六）内部审计质量自我评价报告；

（七）银行业监督管理机构要求的其他报告。

银行业监督管理机构能够要求商业银行的内部审计部门去完成特定项目的审计工作，并且要把审计结果报送至监管部门。

银行业监督管理机构会运用非现场监管这种方式，对商业银行内部审计的有效性进行评估；也会通过现场检查这种方式，对商业银行内部审计的有效性进行评估；还会利用监管会谈这种方式，对商业银行内部审计的有效性进行评估。评估的内容包含以下这些方面：

（一）内部审计章程；

（二）内部审计的范围、频率和效果；

（三）确保内部审计职能充分发挥作用的公司治理机制；

（四）银行集团内部审计的有效性；

（五）内部审计人员的专业胜任能力；

（六）内部审计人员的薪酬机制；

（七）内部审计活动外包情况；

（八）内部审计报告及审计建议的整改落实情况；

（九）内部审计问责情况；

（十）其他事项。

银行业监督管理机构有权利依据评估结果，向商业银行内部审计工作给出监管意见。同时，要求商业银行限期进行整改，并提交整改报告。并且，内部审计的有效性以及整改情况，应当被纳入公司治理以及内部控制的整体有效性评估当中，也应当被纳入监管评级之中。

第八章 附 则

商业银行应在集团层面建立内部审计制度，该制度要与集团的规模、风险偏好以及复杂程度相适应。同时，要确保内部审计能够覆盖集团的全部业务和全部机构。董事会对集团内部审计的适当性和有效性负有最终的责任。

银行集团的内部审计部门需明确集团针对附属机构的审计监督机制。该部门要依据审计权限对附属机构开展审计工作。同时，还要指导附属机构内部审计机制的建设以及内部审计工作。

附属机构的内部审计部门需依据集团内部审计章程的相关规定，将附属机构的内部审计工作报告给银行集团总审计师，同时也需报告给内部审计部门负责人。

本指引所称的银行集团，指的是在中华人民共和国境内依法设立的商业银行以及它的附属机构。附属机构包含多种类型，其中包括但不限于境内外的其他商业银行、非银行金融机构以及非金融机构。

农村中小金融机构的审计委员会，其多数成员在原则上应当是独立董事。

村镇银行若已设立监事会，便可不设立审计委员会，此时由监事会来履行审计委员会的职责。而村镇银行如果已经设立了审计委员会，那么可以由董事会聘请主发起行的审计部门负责人来兼任审计委员会委员。

村镇银行若未设立内部审计部门，就应当设置专门的内部审计岗位。同时，要委托主发起行来承担村镇银行的审计职能，明确对村镇银行的审计监督机制，以确保能够有效实施审计活动。

商业银行应依据本指引来制定实施细则，并且要将其报给银行业监督管理机构进行备案。

银行业监督管理机构负责监管的其他金融机构按照本指引来执行。

本指引从印发之日开始施行。《银行业金融机构内部审计指引》（银监发〔2006〕51 号）在此时也被废止。