WEMONEY讯 11月18日，在2019北京国际金融安全论坛上，国家金融与发展实验室副主任杨涛发表主题为“理解金融科技时代的金融安全”的演讲。

杨涛提出，可以有两个大的层面理解金融安全，一是从国家的角度来看金融安全问题，另外一个角度是从金融系统自身的角度看金融安全问题。从国家角度看金融安全问题面临的不仅仅是金融自身的事情，既有开放条件下面临的各种各样的外部冲击，又有国与国之间在金融之外的一些政治的角力，与此同时还有一些非金融因素甚至非经济因素对整个经济体系稳定性带来的冲击和影响，间接也跟金融问题纠缠在一起，所以国家金融安全问题首先是在当前各国都绕不开的一个主题。聚焦到金融本身它所面临的安全问题又在不同的层面可以体现出来。比如说从金融的机构、金融市场、金融产品等金融最基本的要素层面，可以看到原有的概念、边界和共识都在慢慢变模糊。

“正如随着新技术涌现而来互联网金融时代已经使我们看到，原有的金融机构的边界、金融市场的边界、金融产品与服务的边界也都变的模糊了。正是出现了这种模糊与原有的监管规则、监管方式难以保持一致性，所以使得我们不得不面对这些新现象不断展开新的探索。”杨涛表示，他还举了四个例子阐述当下出现的新现象。

一是在金融领域持牌金融机构跟大量的导流机构、技术机构、风险控制机构等等做各种各样的合作，这种合作的边界就产生了原有产品与服务的模糊性，值得我们重新来探讨安全的边界在哪里。

二是支付清算基础设施、征信体系与金融信息、金融软硬件设施等都是整个金融体系最重要的基础设施支撑，它们的安全问题某种意义上决定了整个系统未来能否健康可持续的运营。

三是可能关注度没有那么高的经济见证类中介在整个金融体系当中，虽然不是主流的金融机构的组成部分，但是它的重要性仍然不容忽视，包括各种各样的会计、律师、评估等等中介组织。如果它们出了问题，肯定会给整个市场的安全和稳定性带来巨大影响。

四是基于反洗钱跟反恐、技术跟业务规则的标准、债务与资产的安全等等，所以在判断金融安全的时候，跟这些新技术、新的规则联系起来，首先要聚焦究竟关注哪些层面的安全问题，由此再来展开进一步的探讨。

如何理解金融科技时代的金融安全？杨涛从为什么管、管什么、谁来管、何时管、怎么管等五方面进行阐述。

关于“为什么要管”，杨涛认为，面对安全与风险，无论是基于监管的角度、基于政策的角度、还是基于行业的角度总是要应对这些问题，要适度的管理风险来推动金融相对安全的前行。那么究竟为什么管？这就是所谓的政策目标、监管目标或者说金融安全科技创新与发展的目标问题，这是首先需要解决的。

“归根到底，我觉得为什么要管？其实这个过程都是为了进一步的探索未来对于风险与安全的容忍度在哪里，因为金融本身不是说没有任何风险就最好，这肯定是不可能的，风险天然就是金融所有进行活动的最重要的源泉，所以我觉得很重要的探索金融风险容忍度的过程。”杨涛说。

众所周知，当前，我们国家整个金融领域最大的任务就是金融供给侧结构性改革。杨涛认为，对于金融供给侧结构性改革解读的视角不同，就决定了风险管理、监管的安全究竟有哪些优先秩序的选择，这个看起来简单实际上判断当中是挺难的，但是我们需要在当前进行这种目标选择。在此过程中，很重要的一点是要避免对技术中性的扭曲，尤其从监管的角度来讲，如果对于一些在金融领域可应用的潜在技术，有一些特别的偏好乃至于造成扭曲的话，某种程度上对于技术在金融领域的应用不一定是最优选择，这是需要注意的。

杨涛表示，面对金融科技时代最大的问题就是技术用到金融领域，多种多样的AI模型、深度学习用到金融领域，能否保证技术的可解释、可验证性？有些人说技术拿过来足够拟合金融当中的现象得出结论就可以了，但是在现实当中最重要的就是在金融领域还是有差异性的。“用大白话说就是怎么样用新技术+新金融能够足够说人话，能够有足够信息使得我们了解背后的原因是什么。”

关于“管什么”，杨涛提出，通过哪些要素嵌入到金融安全的讨论当中，首先绕不开的是风险要素，需要甄别与金融科技发展相关的特征，比如新技术+新金融的创新，背后所隐含的是不是具有系统性风险的特征还是非系统性风险的特征。以AI+金融为例，在大量的智能投顾、投研发展过程当中，监管部门也在担心，如果未来模型采用的参数具有高度一致性，是否在市场波动当中会加大顺周期风险？这就有一些所谓潜在系统性风险的特征。

另外，杨涛认为，传统的金融风险、信用风险、流动性风险还是全新的基于互联网时代新技术环境下的风险特征又是不一样的。正如过去关注金融市场稳定性的时候关注的是那些大而不倒的机构，但是随着长尾市场快速的发展，晚而不倒似乎又是关注的重要特征。此外，内生性的金融风险还是外生性的着眼点又不一样，是纯粹技术风险导致的需要关注的安全问题还是非技术风险？最后究竟是金融风险还是非金融风险？

“现在希望金融领域对于安全问题进行风险管理，但归根到底很多情况下不是金融安全问题，是非金融问题，也不是金融监管部门能够解决的。正如在股市上出了这么多问题，仅仅靠证监会做一点行政处罚、顶格罚款肯定解决不了问题，背后大量问题都是在金融之外。这也是我们在理解‘管什么’的时候需要甄别的。”杨涛说。

杨涛介绍，在风险的背后现在国际上有两个大的视角，一个视角是经过穿透从过去的主体监管逐渐过渡到功能监管，就是新技术+新金融究竟是哪些产品、哪些功能特征。另外一个视角有一点中国特色，比如近期央行金融科技规划重点其实是规范跟约束的持牌金融机构，间接衍生到纯技术企业身上。但是对于互联网金融企业，如果要做金融业务就要持牌，如果转向技术类企业就遵循着技术企业如何跟持牌金融机构进行合作的规则。这个是我们国家“管什么”的思路，从风险的角度再穿透到背后是关注产品与功能还是关注主体，这应是一个重要视角。

关于“谁来管”的问题，杨涛表示，在明确了管的目标、管的对象之后，要确定谁来管，这也是重中之重，可以关注到的是里面包含监管部门之间的协调问题，监管部门与经济主管部门的协调问题，还有中央与地方、多层次的监管协调问题。那么，大家都希望管好，目标也进一步清晰，但是都困在“谁来管”的问题。在这个过程中，过去出现的一些众所周知的问题，它们或者是发生在监管的交叉地带，或者在监管的空白地带，这是特别需要关注的。

然而，杨涛也提出，当然在新技术环境下，完全要依靠现有监管者的力量和监管资源来完成对新技术、新金融的挑战，实际上也是比较难的。所以，在这个过程当中，出现利用大量的所谓外包、第三方的监管技术来支撑，更有意思的，未来大家还在探讨是不是在原有的规则体系外来探索利用加密算法这种新兴规则的约束。

关于“何时管”的问题，杨涛表示，监管介入、政策介入的时机同样也非常重要，是事前、事中、事后还是全流程的进行监管，当然理想的情况是把整个流程都在整个政策与监管的全面监控之下，所有的信息都可以掌握。但是这更多是一个理想化的状况，因为监管本身还要考虑成本收益，还有各种各样的政治角力。所以从历史上可以看到，众多监管部门、众多学者都希望能够有效的利用新技术来判断系统性风险防范系统性金融危机，但是当真正危机到来的时候多数的所谓理论分析都已经失效，因为现实当中危机的产生不仅仅是一个基于金融角度的思考，而背后有政治资源的角力和人性的问题，众多问题都产生一些深刻的影响。

与此同时，杨涛指出，各国的面向新兴的金融科技的安全与监管都会考虑一个先松后严还是先严后松的问题。先松后严可以给一段探索的时期，留出让“子弹”飞的空间，但是如果说这个空间飞得太远有可能收不回来，最后只能是“一刀切”来整治了。先松后严还是先严后松是一个监管周期的把握问题。

关于“怎么管”的问题。杨涛认为，无论是从监管者的角度谈论监管科技还是推动被监管对象促进合规科技的发展，某种程度上其实都是为了利用新技术解决现有监管当中的一些短板跟难题，包括现场监管能力的不足、信息的不对称、监管资源的稀缺等。大量的难题都困扰着现有的监管模式，而新技术有助于缓解这些矛盾。

有观点认为，可以利用监管科技解决现有监管当中的所有问题。但杨涛表示，这是很难的。“因为归根到底现在金融供给侧结构性改革强调的很多问题，其实某种意义上更为重要的可能在于补短板的内容，我们利用新技术优化监管模式只是一个着眼点，但是我们在现实当中还有大量的短板。比如，人的短板、信息的短板、标准化的短板，当这些短板你不具备解决能力时候，用再高大上的技术+模式和方法都不能解决现有的问题。”

对于上述问题，杨涛举了一个例子，“现在中央在推动金融业综合统计的改革，大量的一些领域其实在金融信息的统计方面就没有形成准确、精准的一些所谓的共识，当你还不了解这个市场上究竟有什么样的产品、它的风险怎么样、资金流动怎么样的时候，这种情况下大量所谓的怎么管的创新容易造成盲人摸象，这也是需要关注的一个细节。”

最后杨涛总结，除了上面提到的问题之外，更重要的不仅仅是预防出问题，而要做风险监管、金融安全的监管，更为重要的是为未来金融的发展创造一个安全的创新生态与发展模式，这个可能长远来说对金融安全更加重要。

未来金融包括新科技环境下的金融体系如何健康安全的发展？杨涛认为离不开十个方面的要素，包括人才、技术、数据、场景、资本、产业、监管、政策、硬件、文化。从长远来看，要解决了上述短板才能真正促进所谓在新金融环境下、新技术环境下金融的健康安全的发展。（WEMONEY 曾仰琳/编辑）

杨  涛：谢谢王院长的主持，也非常高兴在今天这样一个重要的会议上跟各位朋友、嘉宾分享一下我对于今天这样一个主题的思考。我自己围绕今天的主题从一个研究者的角度谈一些我所认为思考金融科技与金融安全的时候我自己所关注的一些核心的问题。大的题目叫《理解金融科技时代的金融安全》。

首先金融安全这个概念大家谈的非常之多，但是金融安全的概念、共识和边界可以从不同的视角来理解，我们都知道金融最本身面对的就是风险与不确定性，把风险与不确定性与金融安全连接起来究竟从哪些视角可以切入？我们可以看到随着新的技术变革、随着众多的制度规则也都在变，我们所面临的金融安全问题实际上它的概念内涵一直在不断的变，也一直在不断的出现一些新的挑战和现象。归纳来说，首先我觉得理解金融安全可以有两个大的层面，一个大的层面是从国家的角度来看金融安全问题，另外一个角度是从金融系统自身的角度看金融安全问题。

众所周知从国家角度看金融安全问题面临的不仅仅是金融自身的事情，既有开放条件下面临的各种各样的外部冲击，又有国与国之间在金融之外的一些政治的角力，与此同时还有一些非金融因素甚至非经济因素对整个经济体系稳定性带来的冲击和影响，间接也跟金融问题纠缠在一起，所以国家金融安全问题首先是在当前各国都绕不开的一个主题。

聚焦到金融本身它所面临的安全问题又在不同的层面可以体现出来。比如说从金融的机构、金融市场、金融产品、这样一些金融最基本的要素层面，可以看到原有的概念、边界和共识都在慢慢的变的模糊了。正如随着新技术涌现而来互联网金融时代已经使我们看到，原有的金融机构的边界、金融市场的边界、金融产品与服务的边界也都变的模糊了。正是出现了这种模糊与原有的监管规则、监管方式难以保持一致性，所以使得我们不得不面对这些新现象不断展开新的探索。

比如在金融领域持牌金融机构跟大量的导流机构、技术机构、风险控制机构等等做各种各样的合作，这种合作的边界就产生了原有产品与服务的模糊性，就值得我们重新来探讨安全的边界在哪里。

再比如还有支付清算基础设施、征信体系与金融信息、金融软硬件设施等等，这样一些其实都是整个金融体系最重要的基础设施支撑。他们的安全问题某种意义上决定了整个系统未来能否健康可持续的运营。

再如，有些人可能关注度没有那么高的，经济见证类中介在整个金融体系当中，虽然它不是主流的金融机构的组成部分，但是它的重要性仍然不容忽视。包括各种各样的会计、律师、评估等等的一些中介组织。如果他们出了问题，肯定会整个市场的安全和稳定性带来巨大影响。在股市和资本市场当中其实我们已经看到了这样一些现象。

再比如，还有基于反洗钱跟反恐、技术跟业务规则的标准、债务与资产的安全等等，所以我们想说的第一句话就是在我们判断金融安全的时候，跟这些新技术、新的规则联系起来，首先要聚焦我们究竟关注哪些层面的安全问题，由此再来展开进一步的探讨。

面对安全与风险，无论是基于监管的角度、基于政策的角度、还是基于行业的角度总是要应对这些问题，要适度的管理风险来推动金融相对安全的前行。那么究竟为什么来管？这就是所谓的政策目标、监管目标或者说金融安全科技创新与发展的目标问题，这是首先我们需要解决的。

当然从一般意义上来说，任何金融创新都会面临效率、安全的翘翘板，也会面临增长的数量与功能与结构之间的权衡问题。但是这里我们想强调的一点就是在关注为什么要管金融风险、为什么要促进金融安全的时候，我们可能某种时候需要确定一个目标的优先秩序选择。正如我们宏观政策面临宏观目标的时候，有时候不同目标之间其实是有矛盾跟冲突的，目标的优先秩序选择决定了下一步改革与创新首先需要选择的方向。比如多数国家在近些年来推动金融监管改革的过程当中可能更关注金融消费者保护，基于这个视角出发考虑后续的一系列工作就有一些差异性的定位。归根到底，我觉得为什么要管？其实这个过程都是为了进一步的探索未来我们对于风险与安全的容忍度在哪里，因为金融本身不是说没有任何风险就最好，这肯定是不可能的，风险天然就是金融所有进行活动的最重要的源泉，所以我觉得很重要的探索金融风险容忍度的过程。

再比如，基于我们国家当前的特征整个金融最大的任务就是金融供给侧结构性改革，对于金融供给侧结构性改革解读的视角不同，就决定了你的风险管理、监管的安全、究竟有哪些优先秩序的选择，这个看起来简单实际上判断当中是挺难的，但是我们需要在当前进行这种目标选择。

当然在此过程当中，很重要的一点是要避免对技术中性的扭曲，尤其从监管的角度来讲，如果说对于技术、对于一些在金融领域可应用的潜在技术，有一些特别的偏好乃至于造成扭曲的话，某种程度上我觉得对于技术在金融领域的应用不一定是最优选择，这是我们需要注意的。而且还是要面对金融科技时代最大的问题就是技术用到金融领域，多种多样的AI模型、深度学习用到金融领域，能否保证技术的可解释、可验证性？有些人说技术拿过来足够拟合金融当中的现象得出结论就可以了，但是在现实当中最重要的就是在金融领域还是有差异性的，用大白话说就是怎么样用新技术+新金融能够足够说人话，能够有足够信息使得我们了解背后的原因是什么。

所有这些都是我们要明确金融安全风险监管的同时首先确定我们为什么要做这些事情，由此再引出下一面的工作。

第二层面的事情就是究竟我们具体要管些什么，通过哪些要素嵌入到金融安全的讨论当中，首先绕不开的是风险要素，如何认识与金融科技发展相关的特征呢？这也是需要甄别的，比如你看到的这些新技术+新金融的创新，背后所隐含的它是不是具有系统性风险的特征还是非系统性风险，同样以AI+金融、相联系，在大量的智能投顾、投研发展过程当中，监管部门也在担心，如果说未来模型采用的参数具有高度一致性，是否在市场波动当中会加大顺周期风险？这里面就有了一些所谓潜在系统性风险的特征，另外你是传统的金融风险、信用风险、流动性风险还是全新的基于互联网时代新技术环境下的风险特征这又是不一样的。正如过去关注金融市场稳定性的时候关注的是那些大而不倒的机构，但是随着长尾市场快速的发展，晚而不倒似乎又是关注的重要特征，再比如是内生性的金融风险还是外生性的着眼点又不一样，是纯粹技术风险导致的需要关注的安全问题还是非技术风险？最后究竟是金融风险还是非金融风险？我们现在希望金融领域进行的一些风险管理一些安全问题，归根到底很多情况下不是金融安全问题，是非金融问题，也不是金融监管部门能够解决的，正如在股市上出了这么多问题，仅仅靠证监会做一点行政处罚顶格处罚肯定解决不了问题，背后大量问题都是在金融之外。这也是我们在理解“管什么”的时候需要甄别的。

当然在风险的背后我们需要看的，现在国际上有两个大的视角，一个视角是经过穿透从过去的主体监管逐渐过渡到功能监管，就是新技术+新金融究竟是哪些产品、哪些功能特征。我们看到巴塞尔委员会这两年不断在做一些全新的研究，慢慢的大家也都通过穿透式的视角来看待这些金融产品的创新，并不是说金融产品的创新主导者自己说什么就是什么，当年巴塞尔委员会对金融科技现象做分类的时候是把数字货币放在支付结算类里面，延续了当年大家研究电子货币这样一个路径，但是在实际不同的监管者面对数字货币的时候，实际上很多人没有把它放在所谓支付结算类产品当中作为所谓监管的界定。比如说美国的CFTC，我印象当中最早是对比特币进行表态的，它把它作为大宗商品，后来众多监管者都作为加密数字货币/数字资产来管，这就是做了穿透，看它究竟背后应该管什么。

另外一个视角有一点中国特色，其他国家现在也再灌注，从主体角度完全绕不开，比如近期我们知道央行金融科技规划重点其实是规范跟约束的持牌金融机构，间接衍生到纯技术企业身上。但是对于互联网金融企业，如果你做金融业务就要去持牌，如果你转向技术类企业就遵循着技术企业如何跟持牌金融机构进行合作。这个是我们“管什么”的思路，从风险的角度再穿透到背后你是关注产品与功能还是关注主体，这应是一个重要视角。

第三个视角是“谁来管”的问题。我们明确了管的目标、管的对象，要确定谁来管，这也是重中之重，起码大家可以关注到的里面有监管部门之间的协调问题，有监管部门与经济主管部门的协调问题还有中央与地方、多层次的监管协调问题那么众多情况下我们都希望管好，目标也可能进一步清楚了，但是都困在“谁来管”的问题，这个过程当中过去出现的一些问题众所周知，或者是在监管的交叉地带，或者在监管的空白地带，这是我们特别需要关注的。当然在新技术环境下，完全要依靠现有监管者的力量，它的监管资源来完成面对新技术、新金融的挑战，实际上也是比较难的，所以我们可以看到，在这个过程当中利用大量的监管技术的所谓外包、第三方的支撑，更有意思的，未来大家还在探讨是不是在原有的规则体系外来探索利用加密算法这种新兴规则的约束。同样这些都是面向未来值得我们进一步探讨、进一步思考的。

下一个问题是“何时管”的问题，因为监管介入的时机、政策介入的时机同样也是非常重要的，你是事前、事中、事后还是全流程的进行管，当然理想的情况是把整个流程都在整个政策与监管的全面监控之下，所有的信息都可以掌握，但是这更多是一个理想化的状况，因为监管本身还要考虑成本收益，还有各种各样的政治角力，所以历史上我们可以看到，众多监管部门、众多学者都希望能够有效的利用新技术来判断系统性风险防范系统性金融危机，但是当真正危机到来的时候多数的所谓理论分析都已经失效，因为现实当中危机的产生不仅仅是一个基于金融角度的思考，而背后有政治资源的角力，有人性的问题、众多问题都产生一些深刻的影响。与此同时各国的面向金融科技新兴的安全与监管都会考虑一个你是先松后严还是先严后松。

先松后严可以给一段探索理解让子弹飞的空间，但是如果说这个空间飞的太远有可能收不回来，最后只能是一刀切来整治了。

先严后松很多东西就没法做了，给大家举一个例子，如果按照现在欧元区考虑的PSD2支付服务指令里面讨论的一个问题就是银行业持牌金融机构如何跟第三方的机构包括支付企业进行合作的问题，包括第三方支付机构能否调用银行的数据接口做会计做网关，如果说欧元区到现在为止还在讨论这个问题，实际上我们多年以来已经在现实当中相对宽松的让这样一些创新在不断的往前走了。

所以一个先松后严还是先严后松值得我们考虑，这是一个监管周期的把握问题。

最后一个是涉及到“怎么管”的问题，怎么管，现在大家谈了很多，无论是从监管者的角度谈论监管科技还是推动被监管对象促进合规科技的发展，某种程度上其实都是为了利用新技术解决现有监管当中的一些短板跟难题，哪些难题呢？现场监管能力的不足、信息的不对称、监管资源的稀缺，这个过程当中大量的难题都困扰着现有的监管模式，新技术有助于缓解这些矛盾。当然有些人认为可以利用监管科技解决现有监管当中的所有问题，我觉得这也是很难的，因为归根到底现在金融供给侧结构性改革强调的很多问题是在这里可以思考，就是其实某种意义上更为重要的可能在于补短板的这些内容，我们利用新技术优化监管模式只是一个着眼点，但是我们在现实当中还有大量的短板，什么短板呢？人的短板、信息的短板、标准化的短板，当这些短板你不具备的时候，你用再高大上的技术+模式和方法都不能解决现有的问题。

仅举一个例子，现在中央在推动金融业综合统计的改革，我们大量的一些领域其实在金融信息的统计方面，就没有形成那么准确、精准的一些所谓的共识，当你还了解不清楚这个市场上究竟有什么样的产品、它的风险怎么样、资金流动怎么样，这种情况下大量所谓的怎么管的创新也是容易造成盲人摸象，这也是需要关注的一个细节。

最后总结一点，除了刚才说的那些问题之外更重要的不仅仅是出了问题或者说预防出问题而要做风险监管、金融安全的监管，更为重要的是为未来金融的发展创造一个安全的创新生态与发展模式，这个可能长远来说对金融安全更加重要。从系统上来解决未来路径可能会出现的一些扭曲，如果一旦出现了扭曲，踏错了周期，这个风险肯定是最大的风险也是最大的安全问题。我自己总结了一下，未来金融包括新科技环境下的金融体系如何健康安全的发展，个人认为离不开十个方面的要素关注：包括人才、对技术本身、数据、场景、资本、产业、监管、政策、硬件、文化，这十个方面的要素似乎都是绕不开的，简单多说一句，人才，人才大家谈的非常之多，个人认为在金融科技时代对于人才提出了更高的要求，这个要求一方面是体现在你的专业化程度需要进一步的提升，而不是很多人所人为的需要进一步的复合型人才，大家可以想象一下在金融科技时代真正的复合型人才通才是很难的，很难在各个领域都成为专才，而你要避免被AI和深度学习所替代，只能在原有的专业化技术上进一步提升自己的专业化能力。所以人才无论对于监管和行业来说都是重中之重。

另外一个视角，人才还绕不开对于职业道德、社会责任这样一些最基础的能力的所谓把握，过去这些年我们都在推动金融科技新金融的快速发展，推动人才的快速成长，但是我觉得对于职业道德、社会责任这些方面反而重视有所不足，我们追求的是技术迅速的改善现有的效率，迅速的融资、迅速的变现，这个过程当中反而对于职业道德、社会责任强调的有所不足。

归根到底长远来看我们要解决了这些短板才能真正促进所谓在新金融环境下、新技术环境下金融的健康安全的发展。以上是这点粗浅的分享，谢谢大家！

考试大　随着金融体制改革的逐步推进，商业银行要建设成为资本充足、内控严密、运营安全、服务和效益良好的现代金融企业，商业银行自身就必须建立起严密有效的内部控制，增强风险控制能力，提高资产质量，保证资金安全，确保改革目标的实现。内部审计是内部控制的重要组成部分，审计质量的高低直接影响着内部控制的有效性，也影响着审计作用的发挥。加强审计管理工作，提高审计质量，构建科学规范的审计质量控制体系，是发挥内部审计的职能作用，增强审计工作的有效性和权威性的关键所在。
内部审计质量控制是指商业银行为保证审计工作符合有关审计章程、审计准则和其他适用的审计规范而制定和运用的控制政策和措施。商业银行构建内部审计质量控制体系，其重要性和必要性究竟体现在哪里呢？
（一）建立健全内部审计的质量控制体系是审计管理工作的需要。近年来，四大国有商业银行相继实行了内部审计体制改革，建立了总、分行分级管理、向上一级负责的相对垂直的内部审计体制，上收了二级分行及以下机构的审计权限，减少了审计管理层次，加大了总行、一级分行直接管理的力度。以建设银行为例，总行在全国建行设立了八个审计分部，总行审计部负责对审计分部的管理工作；各一级分行根据实际情况在全省设立了若干个审计办事处，省分行总审计室负责对审计办事处的管理工作。除审计监督的职能外，总行审计部和省分行总审计室都担负了对所属审计机构的管理职能。实施有效的审计管理，提高审计工作的整体水平，是摆在各级审计管理部门的一项重要任务。在审计管理工作中，加强审计质量的管理是一项重中之重的工作。从目前情况看，审计管理的手段不够先进科学，管理的内容和标准不够全面系统，对所属审计机构的考核、评价制度不够完善，对审计人员的激励约束机制还没有真正建立起来，由此而导致了审计管理的效果不明显，审计的总体质量有待于进一步提高。在这种情况下，建立健全科学规范的审计质量控制体系，明确审计质量控制的标准，实施有效的审计质量控制，成为履行管理职能、改进管理工作的一项重要课题。
（二）建立健全审计质量控制体系是提高审计质量的重要保证。目前，世界上许多国家内部审计机构都普遍执行《国际内部审计实务标准》。我国的国家审计署新近也出台了《内部审计基本准则》和《内部审计具体准则》。就商业银行自身来说，建设银行早在2000年就开始陆续制定了《中国建设银行内部审计章程》和12项《中国建设银行内部审计准则》，这些审计规范的制定和实施，为审计机构开展审计监督活动，规范审计人员的执业行为提供了严格的规范标准，审计机构和人员必须严格遵照执行。但是，从实际情况看，审计准则在执行过程还存在一些问题，这些问题一方面是由于准则本身存在一定的局限性，另一方面则是由于准则的贯彻执行不到位，导致了实际执行结果与准则要求存在一定的差距，从而形成一定的审计风险。在这种情况下，建立健全内部审计质量控制体系，对于规范审计执业行为，引导审计机构强化审计质量管理，培养审计人员的质量意识和风险防范意识，提高审计质量和工作效率，推动审计工作的健康发展具有积极的重要意义。
（三）建立健全内部审计质量控制体系是发挥审计工作有效性的重要措施。内部审计区别于国家审计和社会审计的一个显著特点就是服务内向性，这一特性决定了内部审计除了具有监督、评价职能外，还具有建设性职能。这一职能对于发挥审计工作的有效性，提高审计成果的利用价值，改进商业银行的经营管理，具有十分重要的意义。建立健全内部审计质量控制体系是发挥审计有效性的一项重要措施：一是建立审计质量控制体系，有利于加强对审计质量的管理和控制，揭示和纠正经营管理中存在的违规违章问题，为防范风险，提高效益发挥作用；二是建立审计质量控制体系，有利于充分运用审计信息的资源优势，积极提出合理化建议，为改进经营管理发挥建设性作用；三是建立审计质量控制体系，有利于加强审计部门对审计发现问题的督促整改力度，努力提高整改率，防止有章不循、违章操作现象的屡禁不止；四是建立审计质量控制体系，有利于引导审计人员注重审计成果的加工利用，通过对审计发现问题的分析研究、总结归纳工作，从体制上、制度上和机制上查找形成问题的深层次原因以及解决途径，为经营管理决策提供有价值的意见或建议；五是建立审计质量控制体系，有利于提高审计结论定性的客观性和准确性，对有关责任人提出处理建议，移交相关部门，协助作好对责任人的处罚工作。
近年来，随着商业银行的不断发展，粗放型发展模式正在逐步被集约化发展模式所代替，商业银行越来越注重加强内部管理，增强风险防范能力，不断强化内部控制。在这种形势要求下，内部审计工作越来越受到重视，审计工作的质量不断提高，审计工作的有效性不断增强。但是，金融改革的形势也向商业银行内部审计工作提出了更高的要求。与现代商业银行的要求相比，目前的内部审计工作还存在较大差距，尤其是在审计质量的管理和控制方面存在一些问题和不足，其中比较突出的有以下几点：
（一）审计项目的选择立项缺乏针对性和科学性。审计计划的制定直接影响着审计工作的有效性，因此年度审计计划的确定要具有科学而准确的依据。但目前，审计部门没有建立全行经营管理的风险评估制度，审计项目的选择多侧重于主观判断，缺乏科学的客观依据。在地区差异上，由于各分行的经营管理状况不同，风险状况不同，在确定审计项目上应有所差别。而目前审计工作计划主要是由总行统一制定，各级审计部门遵照执行，各一级分行根据自身实际风险状况确定的审计项目非常有限，全行各经营管理机构实施的审计项目具有高度的一致性，没有体现各分行的实际风险差异。
（二）内部审计制度建设存在不足。一是审计规章制度的标准化不够，没有按照审计业务流程和审计操作岗位建立起标准化的岗位说明书，制度规定只在文件中列明，与审计岗位之间没有建立起一一对应的关系，制度的可操作性不强；二是审计规章制度的系统性不强。现行的制度规定较为零散，制定的形式有以审计章程、审计准则形式印发的，有以文件形式印发的，还有以领导讲话的形式印发的，这些内容分布广泛，不宜收集、保管和掌握；三是规章制度的内容不够完善，达不到精细化管理的要求。现行的规章制度不够全面，没有涵盖所有审计岗位和业务操作环节，在制度控制上存在漏洞；现行的规章制度在内容上不够详尽明确，审计人员在把握制度的尺度上存在差异；四是规章制度的修订、更新不及时。随着审计业务的发展，有些不适用的规定没有及时清理，新的制度又没有及时补充，致使审计制度的制定滞后于业务发展，影响了审计工作的质量。
（三）审计报告的质量有待于提高。审计报告是审计成果的集中体现，审计报告质量的高低直接反映了审计工作的质量。但是，有些审计报告在形式上千篇一律，缺乏重点，特别是审计发现问题的原因分析缺乏深入的剖析、审计结论不明确或没有审计结论，审计建议缺乏针对性和可操作性，审计成果的利用价值明显不足。
（四）审计质量的考核评价机制不够完善有效。审计质量的考核评价是审计管理部门对所属审计机构和人员组织实施审计项目的质量和审计工作管理水平的综合考评，包括审计机构的考核和审计人员的考核。审计质量的考核结果应作为评价审计机构和审计人员的工作业绩、绩效工资的发放、内部资源的分配的重要依据。但是，目前实行的审计质量考核体系还不够完善，考核的组织程序还不规范，考核结果与奖惩措施之间的挂钩程度还不紧密，导致了考核评价的效果不明显，尚未对审计质量总体水平的提高起到应有的促进作用。
（五）审计人员的管理存在不足。对审计人员的管理体制不健全，审计专业人才的晋升通道不畅通；管理人员的聘任缺乏明确的目标和考核评价体系；审计人员的收入与工作绩效挂钩的机制不完善；审计人员的业务培训受到限制，人员的整体素质不能满足业务发展的需要。
以上问题的存在，在很大程度上影响了审计工作的质量，也影响了审计职能作用的发挥，如果这些问题得不到根本的解决，将会使商业银行的内部控制出现漏洞，对商业银行的风险防范产生不利影响。因此，加强审计质量控制应当作为一项重要而紧迫的工作抓紧抓好。商业银行必须高度重视审计工作，审计部门要将质量控制作为各项工作的重点，逐步研究和探索质量控制的有效途径和措施，从而形成一套完整有效的审计质量控制体系，用于指导审计实践活动。
商业银行要构建的内部审计质量控制体系的基本思路是：针对审计风险点，以审计制度规范为控制标准，以完善审计操作流程为核心，以提高审计质量、发挥审计的有效性为目的，加强审计的组织、管理，整合和完善现有的审计管理制度，形成有效的审计质量控制体系。内部审计质量控制体系是一系列质量控制政策和措施的总和，也是实施这一系列政策、措施的活动过程，它包括目标控制、制度控制、过程控制、机制控制和人力资源控制等几个方面。具体内容如下：
（一）目标控制。审计质量的目标控制取决于内部审计的职能定位。商业银行内部审计的职能是监督、评价和建设职能，内部审计担负着促进商业银行建立有效的内部控制，监督审计对象合法合规经营，揭示和纠正经营管理中的违规违章行为，督促审计发现问题的整改落实，提出改进经营管理的审计建议等任务。因此，商业银行内部审计质量控制的最主要的目标是充分行使审计职能，发挥审计工作的有效性。在这一目标指引下，审计部门和人员在实际工作中，要准确把握和界定审计职责，认真行使审计监督的权利，提高审计工作的有效性和权威性。
按照既定的控制目标，审计部门在制定年度审计工作计划时，要把握好全行的宏观政策，在对全行业务进行风险评价的基础上，按照风险导向的原则，确定审计的重点。审计重点的确定要体现以下三个原则：一是跟进银行改革发展的进程，关注业务发展中出现的新情况、新问题以及一些苗头性风险；二是根据案件发生的重点区域，关注重点行处的风险控制能力和内控执行情况；三是围绕全行的中心工作，关注决策层以及上级和外部监管部门重点强调的工作和风险区域。
（二）制度控制。制度控制是指建立和完善审计制度体系，使审计机构和人员在审计过程中有章可依，照章行事。审计质量的制度控制是一项全面控制，是对影响和制约审计质量的各个因素建立全面的控制标准，它包括审计工作计划、组织实施、总结考评；审计项目的确定、组织、实施、追踪、考核；审计技术、方法手段的运用和创新；审计信息的传导沟通及交流反馈；审计队伍的组织管理；审计基础建设和基础管理等各个方面。制度的建设应体现标准化、系统化，满足精细化管理的要求。建立以岗位说明书为载体的制度规定，限制和减少以文件形式印发的规章制度，增强制度的操作性。制度控制要实行动态管理，审计管理部门要根据业务发展的需要，对原有的制度规定进行经常性的维护，不断的补充、修改和完善，以满足业务发展的需要。
（三）过程控制。管理学理论明确要求，质量管理和控制应贯穿于组织活动的全过程。质量控制不仅表现为一系列的控制政策和措施，更表现为制定和实施这些政策和措施的活动过程。审计质量控制贯穿于审计活动的始终，充分体现动态的过程控制理念，对审计计划、组织、考核、追踪和信息披露等审计程序，实施全过程的跟踪控制管理，提高控制活动的连续性和有效性。
过程控制以审计项目的过程控制为主要内容。审计项目的过程控制是按照审计项目的程序，对实施审计项目的各个阶段进行质量控制，包括审计准备阶段控制、取证阶段控制、报告阶段控制、终结阶段控制等几个方面。各阶段控制的主要内容如下：
审计准备阶段控制：准备阶段的审计风险主要表现在审计方案编制的客观性、全面性。因此，准备阶段的质量控制应以编制总体和具体审计方案为重点。审计组应广泛收集审计对象背景资料，了解审计对象的基本情况，对审计对象的管理状况做出初步判断，根据其内部控制情况评价固有风险及控制风险。针对审计对象的实际，确定现场审计的范围、审计重点及具体的审计测试步骤和时间安排。审计组成员要对审计方案的编制内容进行充分讨论，使每位审计人员都参与到方案的编制过程。具体方案的编制要力求格式规范，要素完整，依据齐全，目的、范围明确，审计内容全面、重点突出，审计步骤切实可行，提高审计方案的可操作性，发挥其指导作用。
审计取证阶段控制：取证阶段的审计风险主要表现工作底稿记录的准确性。审计人员应当严格执行既定的审计程序，将所有审计发现记录于工作底稿，底稿内容必须客观公正，实事求是，摘录事项要完整、详实，重点要突出，数字要准确，表述要恰当，条理要清晰。审计组对审计发现要充分讨论，确认填写工作底稿的各要素的准确性，将审计发现与审计对象或取证对象充分交换意见，并签字确认。工作底稿应当经主审人、审计组长和项目经理三级复核。审计中发现严重违规违章问题，应及时以审计要情形式向审计机构领导和上级审计部门报告。
审计报告阶段控制：审计报告的质量至关重要，因此在以下几个方面进行控制：一是在审计准备阶段就做好编写审计报告的准备工作，要讨论审计报告的设计问题，确定审计报告的基本要素；二是对现场审计时间较长的审计项目，要充分发挥期中报告的作用，及时与审计对象管理层和上级审计部门反馈信息，便于问题的及时解决；三是从审计分组报告的质量抓起，详细规定分组报告的格式、内容，并将其作为审计组成员考评的重要依据；四是主审人对分报告、审计工作底稿、审计证据等进行审查，逐一分析和鉴定，以保证其真实、可靠、完整，然后综合汇总撰写审计报告初稿。初稿形成后，审计组长应组织审计组成员进行充分讨论，征求审计对象意见，对有异议的内容经复审后予以认定。形成的审计报告必须事实清楚、证据充分，表述完整、重点突出，评价客观、定性准确，审计建议具有针对性、可操作性，对严重违规行为责任人要提出处理建议。
审计终结阶段控制：一是项目结束后，审计部门应及时组织对审计项目的总结与考评，全面评价审计项目质量和审计风险控制水平，考评中发现的审计风险应作为下一次审计需要进一步改进的重点；二是审计部门应加强对审计发现问题的督促整改力度，及时印发审计意见书，对被审行整改反馈结果进行落实，对重大违规问题进一步追踪；三是审计部门应确保审计信息的沟通与反馈，审计结果除向被审行反馈外，还应向上一级行的业务主管部门沟通，便于上级行了解和指导所辖行经营管理，促进整改工作的落实。
（四）机制控制。机制控制就是建立内部审计的激励约束机制。在建立科学的审计质量考核体系的基础上，对审计人员的工作质量进行考核，将资源配置、岗位职务晋升和薪酬分配与审计人员实现的经济增加值（即挽回的经济损失）、风险责任以及所承担工作的难易、复杂程度直接挂钩，形成激励有力、约束有效的内在机制，从制度上保证审计人员的切身利益，激发审计人员的工作热情，促进审计人员以高度的事业心和责任感投入到工作中去。
质量考核体系的建立应科学合理。在考核内容上应反映每一位员工日常工作量和工作的难易复杂程度，以审计项目质量为重点，突出对履岗能力和岗位作业质量的考核；在考核方式上应以上级对下级考核为主，自评和互评为辅，突出下级对上级负责，兼顾团队支持协助能力的考核；在评价标准上应力求清晰、明确，突出量化考核，避免程序繁琐，便于操作比较；在考核时间上应以日常定期考核为主，按季或按年汇总结论，对日常考核结果应建立绩效考核台帐，实行积分累计制管理；在绩效挂钩上，应将考核结果与绩效工资挂钩，体现激励约束作用。
（五）人力资源控制。人力资源的管理和控制是现代质量控制管理的核心。从质量标准的制定到控制程序的实施都依赖于人的参与和实践，质量控制水平的高低最终取决于人的业务素质和主观努力。商业银行的快速发展，促使银行的服务产品更加丰富，服务功能更加完善，服务手段更加先进，内部审计作为银行风险防范和内部控制的重要组成部分，对审计人员综合素质的要求越来越高。因此，人力资源控制是审计质量控制体系中的一项重要内容，是持续提高质量控制水平的根本保证。人力资源控制主要包括以下几个方面：
1、明确对审计人员素质和能力的要求。首先是强调职业道德原则，应当要求并督促全体专业人员，遵守职业道德规范，恪守独立、客观、公正的原则，敢于坚持原则，保持职业审慎性，廉洁自律、勇于创新；其次是具有较高的专业胜任能力。审计人员不仅要掌握审计技术、理论和方法，还要具有较高的职业敏感性、分析判断能力和实际操作水平；不仅要有扎实的银行专业知识功底，还要精通银行各项业务的操作流程和风险控制环节。
2、建立审计专业技术岗位职务序列。在进行岗位职务分析、制定岗位职责说明书的基础上，根据学历要求、工作业绩、工作年限、工作经历等条件，建立合理的审计专业技术岗位职务序列。采取公开选拔、择优竞聘的方式，确定审计专业的技术人才，为审计人员开辟专业职务晋升通道和发展空间。
3、加强对审计人员的培训。引入人力资本投资理念，建立和完善审计人员培训管理体制，制定远期审计培训规划和年度审计培训计划，分步实施。针对不同层次的审计人员，开展多形式、多角度的审计培训和审计职业继续教育培训；鼓励审计人员参加国际内部审计师和注册会计师的学习考试，培养熟悉国际惯例和标准的审计人才；利用业务讲座、经验交流、论文研讨以及信息网页等多种形式，开展新业务品种和审计专业知识交流，扩大培训的覆盖面，实现审计经验和成果的交流与共享。
4、严格执行审计岗位准入与退出制度。规范审计人员管理，建立人员分流和竞争淘汰机制，形成正常的审计人员交流机制，不断调整和优化人力资源结构，使审计队伍永远充满生机与活力。
5、建立审计风险责任认定和追究制度。对未按审计准则和有关制度规定要求进行审计，出现审计事项不清，证据不足，造成定性不准，判断错误；故意隐瞒审计发现的重大违规问题；对审计对象提供的资料中存在重大违规问题应查出而未查出，造成审计风险的，要进行审计风险的认定责任，并追究相应的责任。这一制度的建立和实施是增强审计人员的风险意识和责任意识，提高执业水平的一项重要措施。
商业银行要构建内部审计质量控制体系，必须采取切实可行的工作措施，重点应当抓好以下几个方面：
（一）提高认识，加强领导。内部审计是现代商业银行建立安全有效的内部监督制约机制的重要组成部分，也是银行抵御各种金融风险的基础和关键防线，因此，在任何情况下内部审计只能加强，不能削弱。内部审计职能作用发挥的程度，主要取决于审计工作的质量。内部审计质量越高，银行内部自我约束、自我控制和自我纠改能力就越强，审计作用的发挥就越充分。反之，审计质量不高，经营中存在的风险隐患没有被及时的发现和改正，管理漏洞随处可见，银行内部抗风险能力薄弱，那么作为内部控制第三道防线的内部审计，其作用就没有得到很好的发挥。建立健全审计质量控制体系是提高审计质量，程度发挥审计职能作用的有效措施，是强化银行内部控制，增强风险防范能力的重要途径。商业银行应高度重视审计质量控制体系的建设，将其当作一项全行性的工作来抓，以审计部门为主，相关部门协调配合，在人力、物力、财力、技术等各种资源上给予必要的保障，确保体系建设的顺利进行。全体审计人员作为审计质量控制的主体，肩负着所有控制措施的组织实施任务，必须在思想上高度重视审计质量控制的管理，这是体系建设能否取得预期效果的关键。
（二）精心组织，抓紧抓好。审计质量控制体系建设是一项全新的系统工程，涉及面广，内容全面，体系的建设不是一朝一夕的事，而是一项长期的任务。审计部门应制定明确的规划设计和年度实施计划，在工作安排上要以保证审计质量为前提，组织开展各项审计监督活动。质量控制体系的建设是一个循序渐进的过程，它来源于实践，又用来指导实践。在审计实践活动中要不断摸索和研究质量控制的方法和手段，通过不断的总结、改进和完善，形成质量控制的模型和指标控制体系。对质量控制的管理要实行动态管理，根据实际工作需要，适时调整更新和补充完善，形成定期检讨和修正的动态机制，增强控制政策和措施的科学性、可行性、前瞻性以及控制活动的针对性、连续性和有效性。
（三）勇于实践，不断创新。随着审计业务范围扩大和审计职能任务加重，对审计质量控制的技术方法和手段的要求不断提高，传统的现场检查、事后核对等方法，形成了复杂的审计程序和纸式化的审计操作轨迹，造成了大量的手工劳动和资源的浪费，降低了审计工作的质量和效率。因此，必须积极应用科技手段，实行审计过程的无纸化操作，尽快采取以非现场审计为主辅之以现场审计的审计模式，实现审计程序的网上实时或及时跟踪检查，在一定范围内建立起可以信息共享的审计成果数据库，使审计系统真正具备检测准确、反馈迅速的工作能力。同时，审计部门应组织专门力量，积极实践，勇于创新，不断强化控制手段，应用管理科学中新的研究成果，发挥科技优势，丰富和细化控制方法和体系，增强质量控制的效果。
（四）深化改革，完善体制。随着金融改革的不断深入，商业银行法人治理结构不断完善，内部审计的地位必将得到进一步的加强。按照股份制商业银行的要求，参照国外股份制银行内部治理结构的模式，应当建立董事会直接领导下的审计委员会，实施独立的内部审计监督，提高审计工作的有效性和权威性，保证审计质量控制能力的增强。