基于央行治理視角下的風險管理審計

郭春慧

（中國人民銀行德州市中心支行，山東 德州 253012）

一、風險管理審計的概念

風險管理審計是內部審計的組成部分，是管理審計中新的審計類型。它是內審部門采用系統化、規范化的方法，針對承擔風險管理職責的部門所制定的應對程序、對策方案以及對機制的合理性與有效性進行監督、評價和咨詢，用以改進風險管理、為組織增加價值的一種審計類型。與傳統內部審計相比，風險管理審計的范圍由內控審計擴展到所有風險管理技術審計，它更加注重確認和測試風險管理部門為降低風險而采取的措施及效果。

風險管理審計的目標主要包括：范圍的科學合理性；評價標準與指標體系的科學性；識別與評估的科學合理性；措施、方法與程序的合理性；風險應對的合理性等。

開展風險管理審計可以提高內部審計工作的針對性，使管理層了解風險現狀，提高風險應對方案的效率、效果，保障央行各項業務安全、高效運行，實現風險管理與組織戰略的優化結合。

二、風險管理審計的主要步驟及方法

（一）建立風險管理評價模型

2004年美國COSO委員會發布了研究報告《企業風險管理—整體框架》（以下簡稱ERM框架），該框架由內部環境、目標制定、事項識別、風險評估、風險應對、控制活動、信息和溝通、監控等相互關聯的要素組成。該框架發布后，得到了風險管理理論界和實務界的認可。德州中支依據ERM框架，結合2013年總行下發的《中國人民銀行內審部門風險評估工作試行辦法》（以下簡稱《辦法》），建立了風險管理評價模型。

1.評價模型。將基層央行履職的存在風險，按照風險管理情況劃分為不同類別的風險等級，設計《風險管理評價標準表》（見表1）、《風險管理總體評價計算表》（見表2），加權匯總風險管理得分，依據得分情況衡量被查單位內部控制整體狀況。即：

其中：Y為風險管理總體評價分值，Qi分別代表風險影響程度所占權重，Xi分別代表風險管理得分。

2.劃分風險等級，確定風險系數。將ERM框架揭示的風險管理要素內容，按照《辦法》明確的風險影響程度，由低到高依次劃分為1—4級，4級風險為高風險，3級風險為較高風險，2級風險為一般風險，1級風險為低風險。對同一級別風險的不同風險狀況，進一步劃分不同的風險系數。

3.計算得分。評價采取評分制，根據風險影響程度分別賦予不同的風險等級，進行測評打分，匯總最終得分確定被查單位風險管理總體狀況。

（二）審計流程

1.確定審計對象。2014年初，德州中支對轄區某縣支行的風險點及內部控制有效性開展了重點調查。該縣支行2010—2013年期間在中心支行的年度目標考核一直為B級。除2012年中心支行會計部門對其大型修繕項目開展過檢查外，自2010年以來，中心支行未對該縣支行開展審計或全面檢查。該支行現有員工27人，其中50歲（含）以上12人，占比44.4%；40—49歲之間（含40歲）13人，占比48.4%；40歲以下2人，占比7.4%。第一學歷大專3人，占比11.1%；第一學歷中專12人，占比44.4%；第一學歷高中12人，占比44.4%；無第一學歷本科畢業生。自兩部兩室改革定崗以來，該支行未開展崗位輪換，僅是由于業務調整進行過相應的崗位調整，且輪換僅限于個別崗位之間，崗位輪換率為7.4%，92.6%的職工長期從事同一崗位。

基于該縣支行考核、人員年齡及學歷結構、崗位輪換情況及上級行監督檢查頻率，該縣支行風險較高。2014年4月，中心支行審計組對該縣支行開展風險管理審計。

表1：風險管理評價標準表

表2：風險管理總體評價計算表

2.開展風險評估。一是進行風險識別，確定了576個風險點。二是評估風險等級，識別4級風險53個、3級風險218個、2級風險236個、1級風險69個（見表3）。三是風險評估結果運用，將4級風險、3級風險、2級風險作為重要審計點，制定了可審計對象清單，作為制定審計方案的重要內容。

3.實施自我評估。結合進點座談，組織被查單位行級領導及部室主任、副主任、業務骨干，分別采取專題討論、問卷調查、管理結果分析等方式實施風險控制自我評估，進一步確定了審計重點。

4.總體評價。通過現場符合性測試、實質性測試、座談、問卷調查等，對該縣支行進行了定量與定性評價。

（三）審計評價

1.定量評價。審計落實該縣支行4級風險隱患12項、3級風險隱患25項、2級風險隱患14項，總體評價得分為85.4分，評價結果為B級，屬于風險管理基本正常單位。

表3：縣支行風險級別分類表

2.定性評價。審計組依據量化評價結果，結合調查問卷和談話情況，充分考慮該縣支行內、外部風險管理環境和全行的風險管理水平后認為，該縣支行能夠對風險進行識別和控制，風險防范措施基本能夠發揮作用；對業務運行活動的風險控制基本有效，能夠按照有關規章制度規范操作，風險隱患發生的可能性較低。但由于受主、客觀因素的影響，一些業務環節管理偏松，存在一定的風險隱患，風險管理工作亟待加強。

三、審計成效

審計實踐表明，基層央行借鑒ERM框架，并依據《辦法》開展風險管理審計具有一定的科學性、可操作性，可以幫助審計人員明確審計重點，使管理層能夠發現和了解風險，做出的風險管理決策更加契合實際，從而保障了基層央行有效履職。

（一）圍繞著“服務治理”，推動成果有效轉化

一是審計關注央行治理重點。風險管理審計將津補貼、公務用車、辦公用房清理、公務出國與出差、公務接待、會議六方面內容納入審計，將審計重點“聚焦”到央行治理重點。二是審計成果有效轉化。建立風險管理評價模型，運用分值量化被查單位的風險狀況，使風險管理評價更客觀、更直接，風險提示更具針對性、建議更具可行性，使管理層直觀地了解了基層央行面臨的重大風險及管理狀況，并根據審計建議，做出優化激勵機制、細化集中采購流程、落實強制休假等改進管理的決策，使審計成果有效轉化。

（二）立足于“風險導向”，服務于央行治理

一是優化資源配置。審計針對央行治理中的高風險領域，根據風險評估結果確定審計對象，把有限的審計資源投放到能更好提升履職效果的領域，避免了重復審計帶來的資源浪費。二是實施控制自我評估。全員參與是ERM框架的重要特征，實施控制自我評估，采取管理法與管理層就單位的風險管理體系進行分析，采取專題討論法與業務骨干就風險管理環節進行探討，采取調查問卷法與全行員工就風險管理狀況進行調查，調動了全員參與風險管理的積極性。

（三）著眼于“內審轉型”，保障服務治理的效果

風險管理審計是內審轉型的突破口，是管理審計的新模式，為此，內審部門創新審計方式，保障了服務效果。一是審計內容更寬泛。在編制審計方案時融入了風險評估結果，使固有風險的評估從審后拓展到審前，避免了事后審計帶來的風險。同時，風險管理評價使風險管理不再局限于制度執行，而是拓展到被審計對象的戰略目標、風險應對等要素，提升了內審服務層次。二是審計抽樣更加客觀。審計抽樣時，綜合考慮了固有風險及風險發生的可能性及影響程度，并進行了符合性及實質性測試，提高了抽樣檢查結果的針對性、客觀性，保障了服務央行治理效能的發揮。

四、風險管理審計存在的不足及建議

（一）風險影響程度的評級標準界定尚需改進

德州中支借鑒ERM框架，結合《辦法》，建立了評價模型，明確了被查單位風險影響程度的評定標準。但從審前風險評估實踐看，《辦法》的個別標準值與當地縣支行業務實際存在差異。例如，“風險影響程度的評級標準”對各級人民銀行機構產生的“資金損失”的風險等級進行了界定，但這個數值范圍劃分過于籠統，忽略了區域之間的經濟總量差別，存在經濟欠發達地區風險等級被放大的可能，因此會產生不必要的風險關注點。因此，內審部門開展風險管理審計時，應依據《辦法》的要求，結合本單位實際，進一步完善風險事件的影響級別以及發生可能性分級界定標準，要做到善于拓寬視角，立足本單位實際，而又不束縛于《辦法》“標準”框架體系，客觀評估風險點，體現被審計對象的風險管理成效。

（二）風險評估工作尚需持續有效地開展

開展風險管理審計試點，審前評估梳理了576個風險點。審前風險評估工作強度大，審計人員在審前準備階段耗費了大量的時間和精力。此次試點也引發了審計人員對風險管理審計更為現實的思考，如：如何將風險評估工作流程化、如何利用相關職能部門的風險評估結果、如何在審計資源與效率間求得平衡、如何科學地評價風險等等。因此，內審部門應依據《辦法》要求，每年組織人員開展評估，將風險評估結果作為基礎數據，據此制定轄區全年審計計劃，確定審計重點。同時，建議上級行要求每個單位的風險評估結果錄入內審綜合管理系統，使各分支機構的評估結果互相利用，達到評估結果的共享，使風險評估結果運用最大化，節約審計資源，從而節約審計成本、提高審計效率。

（三）基層央行管理層的風險治理尚需關注

從央行治理的角度看，管理層面的風險是影響基層央行履職成效的重要因素。風險管理審計仍是注重從業務領域的風險著手，關注點多在業務領域引發的操作風險，對于領導層與地方政府溝通協調可能引發的信用風險、貨幣政策實施引發的流動性風險、窗口指導引發的流動性風險及市場風險、履行服務職能引發的聲譽風險以及領導班子治理決策風險、領導班子建設風險、領導班子成員遵守規章制度等引發的風險狀況關注不夠。因此，內審部門應立足于服務央行治理，以管理者視角開展風險管理審計，關注人民銀行履行職責過程中可能引發的聲譽風險、法律風險、貨幣政策貫徹執行風險等，站在政府、金融機構以及公眾角度層面看風險，為領導決策提供更加實用的咨詢服務。