上市商業銀行動態風險審計體系的構建研究
——基于公司治理視角的分析

陳 燊

（福建江夏學院會計學系，福建福州350108）

上市商業銀行動態風險審計體系的構建研究
——基于公司治理視角的分析

陳 燊

（福建江夏學院會計學系，福建福州350108）

21世紀爆發的安然事件、世通丑聞和次貸危機，引發了全球企業對“什么才是良好公司治理”的思考，作為金融體系主體的商業銀行，在《新巴塞爾資本協議》的指引下，開始實施全面風險管理理念和方法，完成了公司治理與內部審計靜態模式的構建和運行，并卓有成效。但經濟的高速發展和治理風險的不斷加大，迫切需要內部審計通過構建一套靈活、實時性的動態風險審計體系，實現事后事中審計相結合、靜態動態審計相結合、現場與非現場審計相結合的內部審計模式，用更加超前的眼光，動態調整風險預警和評估能力，嚴格內部控制，防范風險，不斷降低不良資產比例，從而促進治理發展，實現價值增值。

商業銀行；內部審計；公司治理；研究

銀行業是金融體系中的高風險行業，21世紀發生的一系列經濟金融案件以及美國次貸危機引發的全球金融危機，凸顯了公司治理、風險管理在金融工作中的核心地位，國內外均在尋找能夠實現良好公司治理和完善風險管理的有效途徑，而內部審計以其獨立客觀性和對企業充分了解的優勢，成為最有效的受托責任主體，成為企業強化內部控制、提高風險管理和強化公司治理方面的重要手段，成為投資者判斷商業銀行治理水平的重要指標。

一、商業銀行內部審計研究的必要性

（一）公司治理及內部審計法規指引的需求

基于我國金融環境的快速變遷，信息化的發展，我國商業銀行內部審計模式也與時俱進地發生了翻天覆地的變化，進行了重新定位，自2001年中國加入WTO，銀行信息的真實性就亟待審計確認，緊接著國有商業銀行的改制上市更是對治理、內部控制和風險管理提出了更高要求，銀行業的急劇變化成為我國商業銀行內部審計發展、強化風險管理的一次重要契機。國際上涌現了諸多研究成果，以COSO內部控制報告、ERM風險管理框架和銀行金融業的《新巴塞爾資本協議》為代表，在國際理論浪潮的推動下，我國也積極推進治理、風險、控制的研究和規范，2006年根據COSO、ERM和《中央企業全面風險管理指引》，推出了中國式全面風險管理標準“3C框架”，銀行業監督委員會也陸續頒布了一系列指引，包括《國有商業銀行公司治理及相關監督指引》、《商業銀行合規風險管理指引》、《銀行業金融機構內部審計指引》、《商業銀行操作風險管理指引》，其中《銀行業金融機構內部審計指引》對銀行業金融機構內部審計的職能、組織構架、人員配置、報告路線等均作出了明確規定。

（二）內部審計是公司治理的必備要素

公司治理是由股東大會和董事會、董事會和高級管理層組成的兩個控制系統，為實現有效監管，治理參與者要對各利益相關者承擔受托責任。在“安然”等財務丑聞爆發之后，SOA法案彌補了美國上市公司治理結構的缺陷，提出健全的公司治理結構是建立在審計委員會、管理當局、外部審計和內部審計“四大基石”的協同之上。商業銀行上市之后，注重建立健全完善的治理結構，在治理受托責任關系中，內部審計從傳統的合規審計發展到風險導向審計，參與到治理層面，參與銀行經營決策、監督和評價，通過“風險監控”和“控制確認”，行使著確認和咨詢的職能，幫助銀行評價內控有效性，充分發揮內部審計在防范信用風險、市場風險，降低操作風險中的作用，及時為治理層和管理層提供加強內部控制和風險管理的建議，幫助企業改善治理環境。內部審計已然成為公司治理的重要工具。

（三）價值增值服務理念要求開展風險管理審計

IIA對內部審計的新定義規定，內部審計是一種獨立、客觀的確認和咨詢活動，旨在增加價值和改善組織的運營，通過應用系統化、規范化的方法，評價并改善風險管理、控制和治理過程的效果。在公司治理視角下，內部審計融風險管理、內部控制審查于一體，更關注企業在整個治理過程中的戰略決策風險和經營風險，將增加組織價值和改善運營作為目標，體現了內部審計目標與組織目標的一致，內部審計逐步從事后審計向事中、事前審計延伸，從監督復核向防范風險提高效益發展，風險導向審計理念已經成為21世紀商業銀行審計的主導。

二、上市商業銀行內部審計發展現狀及不足

（一）內部審計組織架構

筆者通過對上市17家商業銀行2006年至今招股說明書的分析，發現隨著商業銀行改制上市，06年后上市的銀行都進一步完善了治理架構，實行了內部審計體制改革，均按照銀監會的規定建立垂直管理的內部審計體系，在董事會下設審計委員會，保證內部審計的獨立性，并要求推行風險導向內部審計。內部審計局負責審查評價風險管理、內部控制及公司治理的有效性。下圖是根據各大銀行的內部審計組織結構圖，整理出通用的商業銀行內部審計組織結構及報告路線。

圖1 商業銀行內部審計組織結構及報告路線

（二）商業銀行內部控制與風險管理

公司治理機制的核心在于內部控制和風險管理，各大銀行董事會下設專門委員會，包括戰略委員會、審計委員會、風險管理委員會、提名與薪酬委員會及關聯交易控制委員會，總行設立內控合規部和風險管理部。各行積極推進內部控制建設，建立全面風險管理框架、開發風險量化方法、推行內部評級以及監測管理不良貸款。2006年新巴塞爾資本協議出臺后，新協議提供了更多的風險管理選擇方式，各商業銀行根據其業務的復雜程度和自身的風險管理水平等靈活選擇風險管理模式，加快制度化建設進程，跟蹤資本充足狀況，積極建立內部信用評估體系，建立完備的資產分類制度安排、內部風險評估制度安排，并規范風險處理方法。這些風險管理措施已使商業銀行在很大程度上清晰地分離信貸調查、信用審批與貸后監控職能，促進了資產質量的改善，大大提升了風險管理能力。

（三）不良貸款率、不良貸款余額實現“雙降”

研究內部控制、風險管理以及內部審計效應，不良貸款指標是關鍵。目前我國金融風險主要來自商業銀行，商業銀行信貸在企業融資總額中占90%左右，綜合分析各上市銀行年報，2009－2011年我國大部分上市商業銀行繼續實現了不良貸款余額與比例的“雙降”，中行、工行、交行、招商、浦發、中信、興業、民生等銀行不良貸款率均降至1%以下，其中單一客戶貸款比例及最大十家客戶貸款比例都滿足監管的要求，目前資產質量良好，減值準備計提充足，貸款撥備覆蓋率逐年上升，這些主要歸功于不斷提高的風險管理水平。

資料來源：商業銀行2009－2011年年報計算及整理得出。

綜上所述，上市商業銀行在嚴格的監管環境下，已經建立了較為完善的制度體系，風險導向審計已經為商業銀行改善治理環境和風險防控起到了事半功倍的效果，實現了不良貸款余額和不良貸款率的雙降，并為重大金融案件提供了有效線索。但縱觀中國經濟結構的優化，中國銀行業必定跟隨快速發展的外部環境，不斷出現新的技術和工具，實施更多元化的經營戰略，監管當局則更注重對金融企業過程與程序的監督評價。而商業銀行現有的內部審計體系的現狀僅完成了靜態模式的構建和運行，基本以定性分析為主，欠缺量化分析，風險審計模型基本以綜合評分法為主，未能實現動態風險管理，未能真正根據風險因素的變化及時作出變化。從不良貸款率指標來看，2011年中行、工行、建行三大行的不良貸款率四季度環比三季度上升，潛在的金融風險尚未根除。因而，內部審計必須與時俱進，在靜態審計模式的基礎上，不斷探索和深化動態風險審計體系的構建，用更加超前的眼光，靈活的動態調整風險預警和評估能力，加強對潛在風險的監管與處置，從根本上有效防范金融風險，保障金融安全。

三、上市商業銀行動態風險審計體系的構建建議

上市商業銀行動態風險審計體系由七大審計模型組成，包括“綜合、資產、負債、會計業務核算、資金運營、表外及中間業務以及客戶群”，七大模型的構建要緊緊圍繞“風險”中心，按照資金脈絡和業務循環流程，通過指標定量分析、通過分析性測試方法和經驗定性判斷，對銀行存在的風險隱患進行全面、動態的分析。

（一）適應后危機時代《新巴塞爾協議》監管要求

《新巴塞爾協議》對銀行內部審計工作提出了更高的標準和要求，提出了動態風險審計的理念，強化對銀行風險管理全過程的監督和控制，協議中涉及內部審計的六條規定，明確要求商業銀行必須完善全面風險管理審計，要求銀行內部審計程序中要經常評估風險計量系統；通過有效的內部過程來評估信用風險；必須有一個健全的體系來驗證評級體系、過程和估計所有相關風險要素的準確性和一致性；銀行的董事會和高級管理層適當參與操作風險管理框架的管理，保證銀行風險管理系統概念穩健，執行正確有效；根據戰略重點和業務計劃，將風險水平和資本聯系在一起，設定與風險相關的目標程序；對資本評估程序的有效控制，包括獨立檢查在適當情況下安排內部或外部審計。

（二）動態優化公司治理結構

公司治理與內部審計是相輔相成的關系，要實現動態風險審計，首先要動態優化治理結構。在治理視角下研究商業銀行內部審計的關鍵在于對運行效率和提升競爭力的研究，股份制改革之后，各大商業銀行致力于建立有效的治理結構，較好地解決了行政干預和高不良貸款率等重大歷史問題，提升了競爭力，但仍存在治理的約束、激勵機制不完善以及運行效率較低的問題，特別是國有商業銀行代理人履職有效性問題特別突出。因此，要優化公司治理結構，重點在于保證經營決策的科學性和公正性，在正確的戰略指導下，建立高效的信息溝通機制，建立科學的代理人選擇機制、約束機制和激勵機制，在良好的靜態治理結構中不斷動態優化治理結構，通過動態治理結構來促進動態審計體系的構建與完善，最終保證治理的有效性。

（三）構建動態風險審計體系

1．發揮戰略審計的過程監督作用。內部審計作為治理的一項制度安排，發展到動態風險審計階段的任務，就是要從戰略角度來完善治理的過程監督評價機制，時現指出，“因應增加價值的需要，內部審計必須將其內容延展到戰略審計，因為公司戰略是影響公司價值的主要因素，要實現公司價值最大化的治理目標，必須優化公司戰略設計和提高戰略實施的有效性。”戰略審計應從加強責任人責任追究、強化股東監督、評估激勵制度出發，關注管理審計的四大職能，為商業銀行機構設置、權責分配、運行效率、決策有效性等進行評價建議，只有把內部審計的深度、廣度延伸到戰略層面，開展戰略審計才能順應現代企業變革的發展，及時識別和預警風險，實現動態風險審計，充分發揮內部審計在治理中的作用。

2．促進內部控制和風險管理的融合。內部控制和風險管理在早期被認為是相對獨立的系統，隨著全面風險管理理念的發展，兩者逐步走向融合，商業銀行的內部控制體系也有必要向全面風險管理體系升級，COSO框架已明確指出，內部控制被涵蓋在企業風險管理之內，是其不可分割的一部分，根據《中央企業全面風險管理指引》的要求，全面風險管理是一個過程，它的各項要求必須融入企業管理和業務流程中，這也就意味著在商業銀行組織架構中內控合規部和風險管理部的工作需要融合，兩者的職能作用有所交叉，容易造成重復性工作，同時很多工作還需要花費時間去溝通協調，因此，為了提高工作效率效果，動態評價控制與風險，將兩個業務部門合并設置一個風險控制部是兩者融合的發展趨勢，是全面風險管理理念的升級與完善，也有利于內部審計以風險為導向，以控制為中心的動態整合與發展。

3．動態風險審計體系構建的內容。（1）首先應加強風險管理的文化建設。由于體制和歷史因素，商業銀行雖然已經開始構建實施全面風險管理體系，但總體理念還不到位，風險管理是貫穿整個銀行、涉及每一名員工、貫穿每個業務環節的過程管理，任何一個業務活動的變化都會導致潛在風險，并且由于經營者樂于追求業績增加和利潤增長，都可能冒更大風險達到目的，國內外銀行危機案件均表明，道德風險是最難以防范的，內部審計部門應協調風險管理部門做好全員的理念更新和認識工作，通過持續宣傳、引導、培訓等方式讓全員樹立起正確的風險管理意識和原則，樹立良好的企業文化。（2）建立動態綜合風險審計指標體系。商業銀行綜合風險審計模型的選擇，主要涉及風險指標、風險權重和評價方法。指標的選擇主要根據風險預警模型指標來設定，風險預警模型指的是在選取特定樣本的基礎上，用定量定性的方法，通過函數關系對風險做出分析判斷，筆者查閱了美國、英國、日本、中國和國際貨幣基金組織（IMF）的預警指標，發現其指標體系已經非常龐大，具有代表性的美國CAMEL指標和IMF提出的微觀審慎指標，均從資本充足率（Capital Adequacy）、資產質量（Asset Quality）、管理穩健性（Management Robustness）、收益（Earning）、流動性（liquidity）以及對市場風險的敏感度（Sensitivity to Market）等幾個方面綜合進行設計和考核，這些宏觀經濟變量的惡化往往是金融危機預警的先行信號。因此，在動態綜合風險審計指標建設上，應充分考慮以上風險因素，在建立統一的評估指標基礎上，因地制宜根據自身銀行特點設立靈活多面的總行和分行檢測分析指標，保證風險分析的深度廣度。（3）健全綜合風險評估方法。建立了風險審計指標后，更重要的工作是對指標進行分析，通過指標分析找到經濟信息背后可能存在的問題。指標分析方法包括比較分析法、趨勢分析法、杜邦分析法和綜合評分法。風險評估要同時注重靜態評估和動態監測，我國銀行現行的方法基本屬于簡單、易操作的靜態風險評估，而面對高度復雜的金融風險，實現動態風險監測尤為重要，風險指標是監測的重要內容，此外，還要選取綜合與專項相結合的指標，選取關聯性高、敏銳性高的重要指標值和絕對額，同時隨著時間空間的變化不斷對指標進行調整，保證動態監測的及時、有效性。（4）推進動態風險審計在信貸業務的應用。信貸業務作為商業銀行的核心業務之一，其不良貸款是誘發金融危機的主要原因，信貸風險需始終保持高度警惕，將防范、化解信貸風險放在突出位置。內部審計人員應根據銀行的具體特點，首先在風險識別階段捕捉和分析風險因素，按照實用性、可取性和動態性的原則選擇全面風險評價指標，并將風險因素分為固有風險和控制風險來確定權重，進行評分，根據評分結果分析總體風險，推導關鍵環節，確定剩余風險。

（四）積極推進IT審計進程

商業銀行IT進程發展迅速，基本形成了計算機網絡為中心的業務處理系統，網上銀行、銀證通、一卡通等金融產品和服務手段推陳出新，業務流程、業務信息、交易信息不斷膨脹，作為商業銀行的內部審計，要實現動態發展，電子化應用范圍應進一步擴大，利用網絡化提高審計手段和方法，建立健全非現場審計系統，實現現場審計與非現場審計的相互補充、配合，并不斷擴大非現場審計模式。首先建立健全有關金融業法律法規、行業狀況、市場信息的數據庫，以便及時獲得固有風險的評估數據；其次，完善網絡信息系統，構建總行與分支機構之間信息溝通平臺，實現信息上傳下達的流動暢通；再次，運用IT技術完成對內部控制和風險因素評估；最后，提高分析性測試速度和準確性，提高審計質量和效率。

（五）構建風險管理審計隊伍

在構建動態風險審計體系中，審計隊伍建設至關重要。風險導向審計對內部審計人員提出了很高的職業要求，首先要積極提高內審人員職業道德水平，嚴格按照《內部審計人員職業道德規范》來約束內審人員，培養內審人員責任感，對內審人員工作、業績進行考評，充分調動積極性。其次，面對商業銀行業務的快速發展，金融工具創新以及混業經營的趨勢，電子銀行產品和衍生金融工具等都給銀行帶來了新的風險，這就要求內審人員要不斷提高風險評估能力，了解商業銀行經營環境，把握被審計單位總體風險，作出恰當評價。此外，應加強內審人員培訓與交流，積極推進持證上崗制度，鼓勵內審人員參加CIA等職業資格考試，加強戰略管理培訓，積累更豐富的管理經驗，不斷提高履職能力，努力成為財務管理、風險控制、銀行治理、信息應用等方面的專家。

［1］劉靜，高翔．基于新巴塞爾協議的商業銀行風險管理審計研究［J］．財會通訊，2012，（1）．

［2］王培培．不良貸款的“雙降”與“雙升”［J］．中國市場，2011，（48）．

［3］時現，田選章，于伯新．風險管理審計研究－基于企業內部審計視角的分析［J］．中國內部審計，2010，（6）．

陳燊（1980－），女，碩士，福建江夏學院會計學系講師，國際注冊內部審計師（CIA），國際注冊風險管理確認師（CRMA），福建省教育審計學會副秘書長，主要從事內部審計研究。