金融严监管时代下的内部审计洞察

深化内部审计提升防控能力

天职国际会计师事务所（特殊普通合伙）

2023年5月

内部审计金融严监管时代的制胜良方

21

为了解证券公司内部审计工作的管理机制、管理现状以及行业亟待解决

的共性问题，天职国际会计师事务所（简称“天职国际”）对各证券公司进

行了问卷调研，共收回有效问卷54份。调研问卷显示，伴随着证券市场的

发展，证券公司内审队伍不断壮大，审计独立性和专业性显著提升，承担

了越来越多的重要任务。但与所要履行的职责和面临的挑战相比，证券公

司内审部门在独立性、权威性、有效性和专业能力等方面，仍存在一些的

问题和短板。对此，调研报告提出了相关建议及启示，包括建立敏捷”的三

道线管理模式、建立内部审计价值链标准化管理模式等方式，帮助证券公

司提高内部审计工作的质量和效率。

摘 要

运筹决胜

对证券公司内部审计的建议和启示

他山之石

国内领先内审良好实践

方兴未艾

内部审计的监管沿革与行业展望

2 前言

4

16

18

目录

内部审计金融严监管时代的制胜良方

“ 随着科技进步和新型经济模式的出现，未来的证券市场内部审计也将继续不断演

进，适应市场的变化，为各类参与者提供更完善的内部审查保障。”

证券市场是一个高度复杂和多层次结构的系统，其中包括证券发行人、证券投资者、

证券市场中介、自律性组织和证券监管机构等众多参与者，其业务复杂性和监管规则的多样性，

对于内部审计的工作是个非常大的挑战。

证券投资是世界经济最活跃的领域，每天都涉及数以万亿的投资额。如此巨大的资本在证

券公司内部运转，使证券公司成为管理风险高发的企业。因此，在证券公司发展的早期，内部审

计就成为一种必不可少的内部风险控制手段。

在证券市场的不断发展和完善的过程中，内部审计也在不断壮大，为市场的稳定发展创造

了重要的条件。随着科技进步和新型经济模式的出现，未来的证券市场内审也将继续不断演进，

适应市场的变化，为公司内部提供更加完善的内部审查保障能力，并进一步协助董事会和高管层

加强公司的治理工作。

本文基于天职国际在证券行业管理方面多年的服务经验，以专业的视角和前瞻的角度分析

了内部审计的现状，并指出了重点和难点事项，旨在指导、协助证券公司能有效开展内审工作，

夯实内审管理基础，持续提升风险管控能力。

2

前 言

内部审计金融严监管时代的制胜良方

4

方兴未艾

内部审计的监管沿革与行业展望

内部审计金融严监管时代的制胜良方

放眼国际内部审计师协会（IIA）等国内外各内审权威机构对内部审计定义的沿

革，对内部审计的认知及实践可总结为一个转变：“从财务审查到价值赋能的角色

转变，既是监管高压下的必需，也是企业全面风险管理发展下的主动选择。”

美国会计学会

《基本审计概念公告》

审计是指为了查明有关经济活

动和经济现象的认定与所制定

标准之间的一致程度，而客观

地收集和评估证据，并将结果

传递给有利害关系的使用者的

系统过程”

企业内部审计，是指企业内部审计机狗依据国家有关

法律法规、财务会计制度和企业内部管理现定，对本

企业及子企业（单位）财务收支、财务预算、财务决

算、资产质量、经营绩救，以及建设项目或者有关整

济活动的真实性、合法性和效益性进行监督和评价工

作。

中华人民共和国审计署

《内部审计工作规定》

国际内部审计师协会(IIA)国际内部审计专

业实务框架(IPPF)

内部审计，是一种独立、客观的确认和

咨询活动，它通过运用系统、规范的方

法，审查和评价组织的业务活动、内部

控制和风险管理的适当性和有效性，以

促进组织完善治理、增加价值和实现目

标。

图1:国内外内审权威机构的监管沿革

5

内部审计是部门、单

位实施内部监督，依

法检查会计帐目及其

相关资产，监督财政

收支和财务收支真

实、合法、效益的活

动。

内部审计是一种独立、客观的确认和咨

询活动，旨在增加价值和改善组织的运

营。它通过应用系统的、规范的方法，

评价并改善风险管理、控制和治理过程

的效果，帮助组织实现其目标。

内部审计是独立监督和

评价本单位及所属单位

财政收支、财务收支、

经济活动的真实、合法

和效益的行为，以促进

加强经济管理和实现经

济目标。

国际内部审计师协会(IIA)

《内部审计职责说明》

国务院国资委

《中央企业内部审计管理暂行办法》

中国内部审计协会

《第1101号-内部审计基本准则》

内部审计是建立在审查财务、

会计和其他经营活动基础上的

独立评价活动。它为管理提供

保护性和建设性的服务处理财

务与会计问题，有时也涉及经

管管理中的问题。

一、内部审计的监管沿革

内部审计金融严监管时代的制胜良方

6人以下

11%

7至10人

35%

11至15人

37%

15人以上

17%

22%

13%

26%

28%

11%

图2：券商规模（分支机构占比）

50家（含）以下

51至70家

71至100家

101至200家

200家以上

--证券行业公司内部审计建设现状

为全面了解同业券商内审职能建设现状特征及行业职能痛点，我们对业内54家券

商内审职能进行了问卷调查，并访谈了部分代表性券商的内审部门，对证券业内审

职能总体现状进行了分析，识别行业特性，总结优秀实践，为厘清后续工作及发展

方向提供客观的启示。

2.1 证券公司分支机构及子公司设置情况

券商规模

据统计，分支机构数量在50家（含）以下的券

商为12家，占比22%；分支机构数量在51至70

家的券商为7家，占比13%；分支机构在71至

100家的券商为14家，占比26%；分支机构在

101至200家的券商为15家，占比28%；分支机

构在200家以上的券商为3家，占比11%。调研

显示，大多数券商（78%）的分支机构数量在

200家以下。

2.2 证券公司内部审计机构基本情况

人员数量

总体上，证券公司内审人员数量偏少，相对于

有监管要求的合规、风控人员来占比较低。从

调研结果来看，仅17%的券商配备了15人以上

的内审人员，大部分券商只配备了11至15人的

内审人员。

考虑内审人员数量结合券商规模和业务复杂度等

因素来看，如何在有限的审计资源内最大化内部

审计的覆盖面和监督力度成为了目前比较大的挑

战。

人员配置方面

近年来，审计转型、监管的要求以及金融科技发

展对内审部门、内审人员的信息技术应用能力提

出了更高要求。调研结果显示，信息技术以及数

据相关人才缺失是制约内审工作目标达成的最关

键瓶颈，约占38%；之后是对于证券业务的理

解，约占32%；其次，分别是财会与审计

（13%）、法律与合规（12%）、项目管理

（4%）及其他（2%）。综上所述，表明内审部

门在数字化转型和数据治理等方面存在较大的挑

战和需求，需要优先加强相关人才的招聘培养。

同时，内审人员也需要更深入地了解和把握证券

行业的法规、市场和业务特点，从而更好地评估

和管控风险。

图3:：内部审计人员编制占比

6

二、内部审计的行业展望

内部审计金融严监管时代的制胜良方

27%

19%

12%

15%

8%

4%

3%

12%

工作计划事项达成情况

完成各类型审计项目数量

发现审计问题/内控缺陷数量

审计问题/内部控制缺陷整改率

审计建议采纳数量

促进公司制度规程新建及修订数

查出损失浪费金额

其他部门满意度评价

绩效考核

目前大部分券商采用传统KPI的模式进行绩效考

核，例如，完成年度审计计划的进度和质量、

审计工作中发现的问题和风险，以及提出的改

进建议和控制措施等，但这种方式只能反映发

现出的问题和风险等方面的绩效，不能全面反

映内审部门的价值。因此为了更加注重目标的

实现和价值创造，体现其能更好地推动公司的

工作执行、创新发展以及沟通协作，他们通过

改变其考核方式，从各职能员工专注于各自领

域的绩效考核指标（传统KPI），转变为基于整

体目标和工作计划完成情况进行考核即OKR管理

体系，确保工作目标及个人目标一致。内审部

门可逐层分解工作计划，并围绕最终目标设定

过程指标及结果指标来确保目标可达成。

OKR通过自上而下与自下而上相结合的方式，

由团队成员主动参与制定，任何层级的OKR都

面向全组织公开，所有团队成员均可对任何人

的OKR进行评论互动。

同时，内审部门非常重视发现审计问题/内控缺

陷数量和审计问题/内部控制缺陷整改率这两项

考核指标，这两项指标作为体现内审核心价值

所在，反映了在发现和解决公司内部控制问题

方面的贡献，是加强对公司内部控制问题的发

现和解决能力，推动公司内部控制的不断改进

和提高。

然而，部分券商忽视将其他部门满意度评价、

审计建议采纳数量、促进公司制度规程新建及

修订数以及查出损失浪费金额这四项指标，可

能导致公司在业务活动中的风险和漏洞得不到

有效控制，同时造成管理成本和财务效益方面

的问题被忽视或未能得到充分改善。

图4：审计部门绩效考核模式

OKR(Objectives and Key Results，目标与关键

结果）是关于目标管理的一种最佳实践，是企

业实践的管理理念与经验的总结。

OKR是结构化的目标设定系统：用OKR方法设

定的目标，包含两个组成部分，

即目标 (Objectives 想要 什 么 ？ ) 和 关 键 结 果

(KeyResults如何实现？如何衡量是否完成？)

目标和关键结果，不是随意的结合，而是具有

严谨逻辑关系的构成

• OKR是聚焦思维：OKR需要基于目标严谨

思考什么是最优先的，以及对于达成目标

而言什么是最关键的；

• OKR是组织、团队和个人协同的思维：在

制定OKR时，需要全面深度检查，各层级

全方位合作，确保对其协同；

• OKR是敏捷工作法：OKR是一个开放的系

统，目标和进度信息是透明和共享的，

OKR系统需要定期进行持续的跟踪和更新，

并非一成不变。

7

内部审计金融严监管时代的制胜良方

交互式审计报告 价值

展现区 实时风险推送

知识库管理

审计风险地图

作业管理

审计App

缺陷整改管理

持续审计

质量管理

能力区

（技

术）

能力区

（场景）

受控性数据采集

采集作业

采集计划

作业监控

数据规范

保护性数据接入

资源调度

数据脱敏 数据隔离

接口配置

访问控制

第三方数据整合

外部数据

接入

外部数据

整合

外部数据

监控

外部数据

解析

数据缓存

数据分区 数据整合 异构数据转

换

数据

接入区

数据清洗 数据预处理

审计

管理区 计划管理

通用审计业务

资管业务

经纪业务 投行业务

自营业务

投顾业务

信用业务

信息科技审计

自研业务

知识图谱 图像识别

人脸比对 模式识别 语音识别

数据分析模型

分析指标

专家规则

复杂数据分析

机器学习

增强学习

深度学习

文本挖掘

文档分类

信息提取

情感分析

网络安全

漏洞扫描

渗透测试

图5：审计系统基本介绍

审计系统应用方面。近年来，审计转型和金融科

技发展对内审部门的信息技术应用提出更高的要

求。调研结果显示，大部分证券公司的内审部门

已经开始或计划在短期内引入审计信息化管理系

统或内部控制管理及评价系统，其中有相当一部

分公司（约占36%）已经开始使用包含非现场审

计监测模型的审计分析系统。但同时也有一定比

例的公司（25%）尚未开始引入系统，可能需要

进一步加强内审部门的信息化建设，以适应数字

化时代的审计要求。

8

网络安全 …

人工智能

内部审计金融严监管时代的制胜良方

16%

15%

11%

13%

17%

16%

5%

6% 1%

全面风险管理审计

内控有效性评估含投行内控有效性评估

合规有效性评估

总部各职能专项审计

IT审计

反洗钱审计

财务审计

采购及工程审计

其他，欢迎补充

23

1

41

0

2

16

11

5

7

0 5 10 15 20 25 30 35 40 45

参与招标采购

财务决算

内部控制有效性监督

参与经营决策

参与合同签订

廉洁从业

监察

纪检

无

图6：内部审计履行额外职能示意图

图7：近两年来专项审计开展类型图

项审计类型为全面风险管理审计、内控有效性评

估含投行内控有效性评估、IT审计以及反洗钱审

计。

这些职能的开展有助于帮助公司确保内部控制和

风险管理的有效性，避免和减少损失。此外，内

审部门还可以通过对公司的财务和采购等方面的

审计，为公司提供更有效的经营决策支持。因此，

内审部门在公司内部管理和决策中扮演着重要的

角色。

内审业务外包方面，内审业务的外包一般基于监

管要求、独立性、专业性、审计资源、成本效益

原则等多方面考量。调研结果显示大部分公司的

内审外包平均每年外包两项以下外包项目，仅有

5家券商外包超过9项及以上。说明大部分证券

公司在内部审计外包方面持谨慎的态度。

2.4 内部审计的组织地位

证券公司内审部门均未建立总审计师管理机制，

内部审计工作的权威性和独立性有待提高。同时，

内审人员薪酬保障机制有待完善。

2.3 证券公司内部审计职能情况

总体来看，证券公司内部审计基本实现了对总部

业务及管理部门、分支机构、子公司与经济责任

主体等审计对象的全覆盖。除常规内部审计职能

外，部分证券公司的内审部门还承担了内部控制

有效性监督、招标采购、廉洁从业、纪检监察等

职能。

如下图所示，内部审计部门大多数关注于内部控

制的有效性，帮助公司避免风险。然而，在公司

经营决策中的作用比较有限。这表明未来内部审

计部门需要更多地按照董事会或者管理层的要求，

定期/不定期的对公司战略执行情况进行审计评估，

以合理保障决策的执行。

从内审部门具体职能角度分析，除了常规内部稽

核审计职能外，内审部门还承担了全面风险管理

审计、内控有效性评估含投行内控有效性评估、

合规有效性评估、总部各职能专项审计、IT审计、

反洗钱审计、财务审计、采购及工程审计等职能。

据统计（如图5），内审部门近两年开展最多的专

9

内部审计金融严监管时代的制胜良方

报告对象-调研公司的内审部门大部分向董事长

或合规总监报告，部分调研公司向监事长、总裁

或其他高管报告。作为内审部门报告对象的其他

高管包括监事长、首席风险官等。目前，尚未建

总审计师管理机制（见图6），负责管理内部审

计工作，组织、指导和督促内部审计工作。

薪酬水平-尽管监管公布了《证券公司建立稳健

薪酬制度指引》，明确各证券公司建立行业薪酬

稳定的规章制度，要求内部审计要评估公司薪酬

体系稳健情况。但调研结果表明，依旧有15%的

公司内审部门仍不清楚内审人员与公司总部业务

及业务管理部门薪酬收入对比情况，31%的公司

内审部门内审人员薪酬收入总额低于公司总部业

务及业务管理部门同职级人，未出现高于公司同

职级人员的薪酬收入总额。

14

2

11

0

24

3

0

5

10

15

20

25

30

合规总监 首席风控官 监事长 总审计师 董事长 其他

图8：内部审计部门分管领导示意图

2.5金融严监管下的内部审计工作

金融行业严格监管的背景下，内部审计的作用

变得更加重要。

审计工作模式方面，目前行业主要分为6种审计

模式。

—风险导向型审计模式。它着重关注公司内部

的风险管理制度和流程是否有效，是否能够有

效识别、评估和控制风险。审计人员在进行风

险导向型审计时，会对公司的风险管理制度和

流程进行全面的评估和审计，从而发现和解决

公司内部存在的风险问题，提高公司的风险管

理水平。同时，风险导向型审计也会对公司的

业务流程进行审计，以确保业务活动符合公司

的风险管理要求和政策。

—合规导向型审计模式。其主要聚焦于企业的

合规性管理，包括但不限于法律法规、规章制

度、行业标准等的遵守情况，以及风险控制、

内部控制等的有效性。这种模式下，内部审计

部门主要负责制定和推进企业合规管理的策略

和标准，监测和评估合规风险，及时发现和修

正违规行为，保障企业在经济和社会责任方面

的合法合规运营。

10

“内部审计在公司中的组织地位至关重要，

它直接影响到内部审计工作的有效性和影

响力。如果内部审计部门的组织地位高，

能够直接向高管层汇报工作并得到支持，

那么内审的工作将会更加专业化、深入、

全面，可以有效地发现和解决公司内部的

风险和问题。”

内部审计金融严监管时代的制胜良方

—管理导向型审计模式。以帮助公司管理层实现

战略目标，通过审计活动为管理层提供意见和建

议，以帮助他们更好的制定战略计划和实现管理

目标，同时也督促公司遵守法律法规和内部规定，

保护公司资产安全。

—账项基础型审计模式。主要关注公司的账项核

对和账务记录是否准确、完整、及时，并对公司

的财务报告进行审查。这种审计模式的目标是确

保公司的财务报告的真实性、准确性和完整性，

以及合规性。

—绩效导向型审计模式。其主要关注的是公司

的业绩和绩效。该模式下，内部审计部门会对

公司的各项业务和部门的绩效进行审计，以发

现问题并提出改进意见，从而提高公司的业绩

和绩效。

—问题导向型审计模式。其主要关注的是审计

中发现的问题和风险，而不是简单地按照规定

程序进行审核。该模式的主要特点是强调风险

识别、问题分析和改进建议，具有针对性、实

效性和创新性。它旨在通过审计工作发现和解

决问题，提高企业的经营效率和风险控制能力。

• 这种模式下，内部审计部门主要负责制定和推进企业合规管理的策略和标准，监测和评估合

规风险，及时发现和修正违规行为，保障企业在经济和社会责任方面的合法合规运营。在金

融严监管下，合规导向型审计模式受到越来越多的关注，因为它可以帮助金融机构保持合规

性，降低可能面临的罚款、失信等风险，也能增强企业声誉和社会责任感。 合规导向型

审计模式

• 在进行风险导向型审计时，会对公司的风险管理制度和流程进行全面的评估和审计，从而发

现和解决公司内部存在的风险问题，提高公司的风险管理水平。同时，风险导向型审计也会

对公司的业务流程进行审计，以确保业务活动符合公司的风险管理要求和政策。在金融严监

管的环境下，风险导向型审计可以帮助公司有效管理风险，保证公司的合规性，提高公司的

业务效率和效益。

风险导向型

审计模式

• 管理导向型审计模式通常关注的审计领域包括战略规划、绩效评估、流程优化、成本控制等，

旨在提高公司的整体管理水平。

管理导向型

审计模式

• 它的审计重点通常是公司的战略目标、绩效评估、预算规划、绩效监控等方面，同时也会关

注公司的内部控制和风险管理情况，以确保公司的业绩和绩效符合预期，并且在风险可控的

范围内实现。绩效导向型审计模式需要建立与公司的战略目标相一致的审计指标和评价体系，

以确保审计结果能够对公司的业绩和绩效产生积极影响。

绩效导向型

审计模式

• 将关注公司的核算制度、账务处理、账务确认和账务调整，确保公司的会计准则、会计政策

和会计方法符合国家法规要求，并识别与报告任何可能存在的错误或潜在的风险。此外，该

模式还关注公司的内部控制和风险管理，以确保公司的财务数据和报告在内部管理方面也得

到充分的保障。 账项基础型

审计模式

11

• 它主要强调风险识别、问题分析和改进建议，具有针对性、实效性和创新性，能够深入挖掘

企业的问题和风险，提出针对性强、实效性高、创新性强的改进建议，为企业的发展提供有

力支持。同时，这种模式也能够加强审计师的专业能力和价值观，提高其在企业内部的地位

和作用。 问题导向型

审计模式

审计人员在实施审计时可依据各种模式的特点，可自行选择审计模式。

内部审计金融严监管时代的制胜良方

一般来说，内部审计部门会综合应用以上几种审

计模式，根据具体的审计对象和审计目的来灵活

选择使用的模式。然而，在金融行业的严格监管

环境下，风险导向型审计和合规导向型审计的应

用可能会更为普遍。据统计，81%的券商都以这两

种审计模式为主，绩效导向型审计模式最少仅占

2%，其最重要的原因是传统稽核检查项目所占资

源比重较大。

审计项目难易程度分类考虑方面。为了评估审计

项目难易程度分类，天职国际通过对以下四个维

度进行评估（如下图），这四个维度可以对不同

审计项目进行分类，从而针对不同类别的项目制

定不同的审计计划和策略，更好地实现审计目标

和提高工作效率。

根据调研情况，证券公司普遍以业务的复杂程度

和审计期间的长短作为审计项目难易程度分类的

两个主要考虑要素。业务复杂程度高的审计项目

需要更多的专业知识和技能来完成，审计期间长

的项目需要投入更多的资源和时间。这两个要

素都可以影响审计项目的难度和完成时间。其

他考虑要素，如被审业务对公司利润的贡献程

度和距离上次审计时间，也可以对项目难易程

度产生影响，但相对来说可能不如前两个要素

显著。

审计工作质量控制方面。各家券商的审计部门

在质量控制管控方面都采取了有效的措施和方

法，能够确保审计工作的准确性、合规性和合

理性。具体来说，天职国际通过从报告总体是

否符合审计目标、报告的问题发现证据的支持、

审计结论的准确性、审计建议的合规性和合理

性四个方面进行调查，发现各家目前内部审计

部门在审计质量控制方面具有比较好的管控能

力。但是，在实践中仍需不断完善和加强，例

如加强对审计报告的再审查和审计结论的复核，

以及加强对审计人员的培训和专业能力提升等。

•关键业务往往需要更

高的审计关注度和更

深入的审计分析。

•时间间隔越长，审

计难度往往越大，

需要更高的审计关

注度和更深入的审

计分析。

•时间紧迫的审计项目

通常需要更高的审计

效率和更优秀的团队

配合。

•复杂的业务往往需要

更多的审计资源和更

深入的审计分析。

业务的复杂

程度

审计期间的

长短

被审业务对

公司利润的

贡献程度

距离上次审

计时间

图9： 审计项目难度评估维度说明

12

内部审计金融严监管时代的制胜良方

79%

11%

10%

主要针对各单项审计报告

来讨论并推动整改问题，

尚未制定统一的问题认定

标准

审计部门单独制定了审计

问题的认定标准

公司制定了内部控制缺陷

认定标准，风控、合规及

内审部门对遵循统一的问

题认定标准

随着证券公司的经营活动日益综合化和国际化，业务和产品越来越复杂，风

险事件不断暴露，证券公司内审队伍不断壮大，审计独立性和专业性显著提升，

承担了越来越多的重要任务。但与所要履行的职责和面临的挑战相比，内审部

门在内部控制体系建设、管理成熟度、人员配备、信息科技方面，仍存在较大

的差距。

一、证券公司在内部审计普遍存在的问题

1）内部控制体系建设方面。纵观证券公司在内

部控制体系建设现状，调研结果显示，50%的证

券公司制定了单独的内部控制体系管理制度及

内控流程规范，基本覆盖主要业务流程的控制

标准，20%的公司尚未单独制定内部控制体系管

理相关制度文件，15%的公司制定了单独的内部

控制体系管理制度，尚未制定具体的内控流程

规范（如，内控手册等），仅15%的公司制定了

单独的内部控制体系管理制度及内控流程规范，

全面覆盖所有业务流程及职能流程的控制标准，

并涵盖操作风险。

通过以上数据说明，虽然大部分公司已经制定

了单独的内部控制体系管理制度及内控流程规

范，但仅覆盖了部分业务流程的控制标准，没

有涵盖所有的业务和职能流程。这表明这些公

司对内部控制的重视程度还需要提高。此外，

只有少部分公司涵盖了操作风险，这意味着证

券公司需要更加全面地考虑内部控制体系对业

务运营的风险管控作用。

因此，证券公司仍需要加强内部控制体系建设，

不断完善相关制度和规范，覆盖所有业务和职

能流程，包括操作风险的控制，并且保证制度

和规范的有效执行。

2）审计工作质控方面。在调研过往两年内部审

计部门为达成工作目标已实施的重点举措的过

程中，发现为确保内部审计工作的质量，证券

公司将持续深化完善审计项目管理标准及作业

底稿内容一直作为审计工作的重中之重。但在

针对问题处理标准方面，据调研，近2/3的券商

主要针对各单项审计报告来讨论并推动整改问

题，尚未制定统一的问题认定标准，这可能会

导致内部审计发现的问题未被充分重视和整改，

或者在整改过程中出现重复整改、不规范整改

等问题。

3）资源保障方面。从本次调研反馈的情况看

（如下热力图），证券公司内审部门在人员专

业技能、人员编制不够等方面，仍存在较大的

差距，未能提供充分的工作支持和履职保障。

这可能造成审计工作覆盖范围不足的同时，导

致其工作质量和效率。

13

三、内部审计面临的问题与挑战

图10：内审部针对所发现问题的管理方式

内部审计金融严监管时代的制胜良方

根据调研结果，未来内部审计部门为达成工作目

标而面临的机遇和挑战主要在人员、薪酬竞争力

以及数字化应用方面。

1）人员方面

—人才专业技能不足。审部门需要掌握各种复杂

的业务知识和技能，包括金融市场、投资业务、

风险管理、财务会计等方面的知识。但是，由于

证券行业的复杂性和不断变化的监管要求，内审

人员的专业技能可能不足以应对这些挑战。

—人员编制不够。证券公司内审部门的人员编制

通常比较紧张，难以满足对全面、深入内审的需

求。这可能会导致内审工作的范围受到限制，从

而不能全面了解和监督公司的各项业务和风险。

—人员晋升路径不明确。内部审计部门通常

缺乏清晰的晋升和职业发展路径，这可能导致员

工的职业发展受到限制，从而影响员工的积极性

和工作效率。

—人才结构不合理。证券公司内部审计部门中

可能存在缺乏经验或技能不足的员工，也可能

存在管理层次不明确的问题，这可能导致内部

审计的质量和效率受到影响。

2）薪酬竞争力方面

—薪酬保障机制。内部审计部门的工作需要高

度的专业性和技能，因此需要招聘高素质的人

才。然而，与其他金融机构相比，证券公司在

内部审计领域的薪酬并不具竞争力的，这会影

响到公司吸引和留住高素质人才的能力。

—薪酬结构相对单一。主要以基本工资和绩效

奖金为主，缺少其他激励手段。这也会限制内

部审计员的发展和提高工作积极性。

—薪酬设计。证券公司需要考虑如何在薪酬设

计上更加灵活，为内部审计员提供更多的激励

和晋升机会，以提高员工的工作积极性和忠诚

度。

14

4）第二及第三道（防）线协同方面。传统上，

由于内部审计部门的特性，部门主要关注公司内

部控制的有效性和合规性，缺乏对业务和风险的

深入了解。而风险管理和合规部门主要负责制定

和实施公司的风险管理和合规策略，导致这些部

门在工作重点和方法上存在分歧，不能有效的协

同和合作。

尽管如此，部分券商仍然迎难而上，将深化与

风控、合规的第二及第三道（防）线协同作为

工作重点，确保彼此的工作能够协同起来，实

现整体上的风险管理、合规管理及内控管理三

合一。

二、证券公司在内部审计面临的挑战

领导重视不够

内审独立性、权威性不足

人员编制不够

人员专业技能不足

信息化程度不足

审计经费不足

图11： 制约内部审计业务发展的主要因素

内部审计金融严监管时代的制胜良方

3）数字化方面

—数据管理。数字化应用需要大量的数据支撑，

但是证券公司的数据管理水平参差不齐部分公司

的数据管理能力较弱，难以支持内部审计的数字

化应用。

—缺乏专业技能人才。数字化应用需要专业的技

能人才支撑，但是部分证券公司在内部审计领域

缺乏具备数字化技能的人才，难以开展数字化应

用。

—数据安全问题：数字化应用涉及到数据安全、

网络安全等问题，需要具备较高的安全防护能

力，但是部分证券公司在内部审计领域的数字化

应用安全问题还存在一定的隐患。

—应用程度不足。部分证券公司在内部审计领域

的数字化应用程度不足，尚未充分发挥数字化技

术的优势，难以提升内部审计效率和水平。

综上所述，证券公司在内部审计方面面临着多

重挑战。在人才培养方面，公司需要积极引进

和培养更多具有内审专业技能和业务能力的人

才，以适应不断变化的市场和监管环境；在薪

酬竞争力方面，公司需要给予内审人员更具竞

争力的薪酬待遇，以留住人才和吸引更多高素

质的人才加入内审队伍；在数字化应用方面，

公司需要积极推进数字化技术在内部审计中的

应用，提高审计效率和精度，同时应注重信息

安全和数据保护。除此之外，还需要加强对内

部审计程序和方法的标准化和规范化管理，加

强与风控、合规的第二及第三道（防）线协

同，提高审计工作的质量和效益。

15

内部审计金融严监管时代的制胜良方

16

他山之石

国内领先内审良好实践

内审行业存在的痛点如下：

治理架构

内部审计独立性仍有待提高

制度机制

履职保障机制不够健全

职责划分

第三道（防）线内部审计职能越位

专业能力

专业能力有待进一步提升

建议建立总审计师机制，加强证券公司内部审计

工作的管理和监督，提高审计质量和效率，优化

资源配置，从战略高度审视公司的风险管理和内

控体系建设，对公司的风险点和薄弱环节进行识

别和分析，提出改进建议和措施，并推动公司全

面建立健全的风险管理和内控体系。

制度机制

履职保障不到位是影响内部审计有效性的一个

重要制约因素，主要体现在缺乏独立性，无法

有效发挥审计的监督和风险控制作用以及经营

管理层对审计结果不重视，无法及时采取有效

整改措施。

建议健全履职保障机制，可以加强内部审计工

作，有效发现和纠正公司内部存在的问题和风

险，能够有效提升公司的治理水平。

职责划分

建议夯实三道（防）线，厘清合规、风险管理

与内审部门的职能，强调风险作为每个部门共

同责任，从而提高内部审计的效果。

同时完善优化各部门工作流程和标准化的操作

规范，避免重复劳动和职责交叉。

此外，加强联动机制，共同协调处理重大风险

事件和审计发现问题的整改工作。

专业能力

专业能力有待提升，主要体现在内部审计信息

技术人员占比较低，且缺乏具备投行、资管、

投资等业务背景的专业人员。同时大部分证券

公司审计系统工具与业务发展需求不相适应。

建议加强内部审计人员的培训，提高其审计技

能和业务水平，更好地适应业务需求和信息化

发展趋势。同时，优化审计系统工具，确保审

计系统工具能够实现与业务系统的数据对接和

信息交换。

治理架构

内审行业良好实践如下：

17

证券金融业内部审计良好实践

内部审计金融严监管时代的制胜良方

内部审计金融严监管时代的制胜良方

18

运筹决胜

对证券公司内部审计的建议和启示

内部审计金融严监管时代的制胜良方

为了解决内审监督的痛点，也在证券公司数字化转型的大背景下，应打造

智慧内审的理念，提升公司经营管理水平和风险防范能力，促进证券行业高

质量可持续发展。

13

内审行业的建议和启示

建立边界“敏捷”的三道（防）线的管理模式：

建议证券公司夯实三道（防）线的管理模式，切实

提升三道（防）线的独立性、协同性和有效性。

 一道防线应肩负起内控管理“建设、管理、自评、

反馈”的主体责任；

 二道防线向前融入业务和管理场景之中，以明确

管理要求和标准，进一步加强防线的实效性；向

后强化与三道（防）线的协同联动，形成一条更

加坚固并能快速响应的防线；

 第三道（防）线重点不在于面面俱到，而是从

独立性的角度开展更有靶向性的工作，充分且

深入识别重要的问题及违法违规事件，向一道

防线和二道防线提出管理建议。

1 夯实“三道（防）线”

19

事

前

业务部门

•对任何企业来说，第一个接

触到风险的一定是业务部门。

因此，业务部门作为风险的

第一责任人。

•但是受限于单个业务的局部

性，业务部门通常无法系统

地把单个局部的风险系统的

纳入公司的总体风险框架，

从而再去识别，计量和应对

风险。

第一道防线

事

中

风险和合规部门

•对于金融机构来说，风险管

理的精细度体现在所面临的

风险需要被量化的计算，并

和资本产生直接关系。风险

的识别、计量等需要由专业

的部门承担相应职责。

•而随着全球监管机构对内控

自评工作的要求，内控需要

专业的团队去开展相应的建

设和评价工作。

第二道防线

内审部门

•内部审计站在独立的角度，

基于严谨的工作流程，独立

对整个风险防范体系，包括

风险识别的方法，风险计量

的方法、内控建设、内控自

评等进行独立的监督。

•内审工作已由传统的纪检监

察，转向风险导向、内控为

主的工作模式，而对内审而

言，独立性是其一切工作的

基础。

事

第三道（防）线 后

内部审计金融严监管时代的制胜良方

<20% 20%to50% >50%

较低 中等 较高

自动化可能性 风险等级

财务专项审

计

常规业务审

计

信息科技审

计

试算平衡表

编制、审核

对账检查

会计分录核

查

关联方入账

检查

审计/准则调

整

财务报表分

析

期末关账检

查

法定及管理

报表分析

数据治理

系统效益分

析

IT外包商管

理与采购

重大项目变

更与开发

IT预算管理

信息安全检

查

业务连续性

管理核查

税务管理有

效性

经济责任审

计

离任审计

经济状况

预算安排和

重大调整

法规遵从合

规性

重要项目采

购

以往审计整

改情况

财务经济效

益

法规遵从合

规性

收支合法性

内控管理情

况

收支真实性

计划

管理

审计计划

滚动跟踪

计划执行

考核

审计组与

任务分配

审计风险

分析

审计计划

编制

内部审计价值链

作业管理 知识库

管理

缺陷整

改管理

质量

管理

审计资料

获取

审计底稿

和抽样质

量检查

审计例会

情况

审计方案

质量

审计问题

沟通

审计整改

通知书下

达

整改情况

分析

问题同质

性分析

整改跟踪

审计数据

管理

监管案例

库管理

审计报告

管理

问题库管

理

审计程序

管理

后续整改

跟踪履行

内部审计标准化的审计价值链管理模式：

建议证券公司建立审计价值链，将内部审计

工作整合成一个完整的价值链，从计划管理、

作业管理、知识库管理、缺陷整改管理与质

量管理等模块，形成高效协同的内部审计流

程。同时，根据实际情况梳理各个环节自动

化可能性和风险等级，减少自动化实施过程

中的风险和不确定性，提高自动化实施的效率和

成果。此外，通过对风险水平的评估，可以合理

地安排资源，控制风险，并优化审计工作的流程，

从而提高审计的质量和效益。

20

资管业务专

项审计

自研业务专

项审计

投顾业务专

项审计

自营业务专

项审计

经纪业务专

项审计

投行业务专

项审计

信用业务专

项审计

2 建立内部审计标准化的审计价值链管理模式

图例：

内部审计金融严监管时代的制胜良方

业务系统

主界面

业务协议

附件

业务查询

界面

对报告的一些统计分

析图进行更新

登录系统

RPA自动通过预设规则，

对自动更新报告关键内

容，及比对获取资料清

单生成审计证据清单

更新审计报告

自动比对审计证据并

生成审计证据清单

…

读取本次审计数据

读取审计支持性文档

…

RPA自动通过预设规

则，对部分报告内容进

行更新

报告更新 图谱更新

机器人工作方法示例

内部审计

证据清单

审计报告

统计分析图更新

审计支持性文档

与问题

22

证券公司可以将许多例行和繁琐的任务自动化，

从而减轻员工的工作负担，提高工作效率和准确

性。这种数字化的自动化工作方式已经在许多企

业得到广泛应用。

审计项目同质项目中部分报告已事项报告的标准

化，包括经济责任审计、离任审计、内控审计、

非现场审计报告等，通常人工至少需要投入1天

时间更新报告初稿，且经常会出现审计报告部

分内容更新错误，或数据粘错的情况。通过使

用机器人流程自动化（RPA）技术，可以实现一

些标准报告的自动更新工作，包括自动更新报

告的数据、发现点、建议以及分析图表等。

3 加强流程自动化工具的应用

内部审计金融严监管时代的制胜良方

此外，对于已经搭建非现场检测模型体系，处于

“人有我有”的券商，应体现“人有我优”，进一步

深入内审数据化转型，以领先同侪。我们观察到，

对于进一步深化能力的探索：

—结合自身模型配置的需求，进一步实现模型步

调及节奏的把握，实现”模型中的模型”效果。

1）初步实现模型的监控，及时发现线索与异常

情况。

2）初步实现模型顺序及交互逻辑，编制模型程

序。

3）最后，通过模型的偏离监测，初步实现模型

的自我体检及优化功能。

-- 由规则类基础监测，向风险情景触发的参数

灵活配置型审计监测转型，进一步实现监测主题

域、监测情景库、不同监测参数下灵活运用，解

决了审计监测模型区别于风险及合规监测模型的

难点问题。

-- 从静态的规则类模型跑批模式转型为模型调

度，利用模型不同的关联及触发机制，借助专业

力量，建立模型与模型之间的监测顺序及逻辑关

系，加强模型中的模型效果。

21

近年来，证券行业金融机构的内部管理能力持续

提升，审计管理系统及相关工作模式不断迭代，

非现场监测体系的建设作为证券金融机构实现数

字化、智能化、自动化监测的重要方法与发展方

向，得到了行业金融机构的持续关注与推动。

非现场监测不同于传统管理方法和手段，避免了

大量人工“重复性、冗余性、低增值”的程序性作

业，通过设定风险场景、明确触发因子、建立预

警逻辑及确定取数逻辑，从而明确概念模型构建

等工具有效建立非现场监测体系，从而实现监测

流程自动化、监测成果可视化、管理决策智能化，

助力管理价值提升。

内部审计人员可以通过非现场模型对证券公司的

风险进行监测和管理，提前发现线索并解决潜在

的风险和问题，协同三道（防）线，体现智能监

测的价值创造，为内部审计监督保驾护航。

同时也可以优化审计流程，自动化数据分析和识

别过程，提高审计效率和准确性。

4 建立非现场监测体系

设定风险场景 明确触发因子 建立预警指标 确定取数逻辑

以风险为导向，设定相

应的风险场景

根据不同的触发场景，

明确风险发生的触发因子

建立预警逻辑关系，设

定预警指标

进行数据分析，根据指标

口径获取相关数据字段

系统

落地

系统

对接

确认

字段

及取

数逻

辑

实现系统打通，建立数仓，完成业务及中后台系统的贯穿

 梳理业务常见风险，

以及监管常见的处罚

事项

 针对核心风险领域建

立风险场景

 根据业务脉络梳理风

险场景链路

 明确各类风险场景是

如何产生的

 根据归因分析，确定

风险触发因子，何为

风险爆发的核心要素

 明确这些触发要素的

逻辑以及脉络在哪里

 针对这些触发因子，

梳理监测及发现逻辑

 建立预警模型，设定

预警指标

 根据不同指标，进行

岗位配对，针对各个

核心岗位进行多指标

监控

 根据既定的模型，确

定需要采集的数据以

及系统

 判断数据的系统及端

口是否有链接及字段

对接，数据质量如何

 对于确认数据源的指

标进行系统落地

集中度分析 趋势分析 参照物对比分析

内部审计金融严监管时代的制胜良方

结 语

“ 证券公司作为资本市场最重要的中介机构之一，时刻充满着机遇与挑战，证券

公司也亟待抓住时代机遇，展望未来，从专业化、精细化、智能化等方面夯实基础，

加强数字赋能，充分提升内部审计职能的价值。”

联系我们