中央銀行風險導向內部審計模式的構建與實踐

[摘要]完善中央銀行治理，改善風險控制管理，提高宏觀調控水平，是當前中央銀行面臨的一項重大任務。本文構建了一套風險導向型內部審計模式，從中央銀行履職目標出發，梳理職能和業務風險，形成風險評估數據庫，并強化其審計業務指導作用，進一步拓展內部審計確認和咨詢職能，以此制定審計規劃、開展審計立項和實施現場審計。

[關鍵詞]中央銀行 風險導向 內部審計 模式

一、引言：合規性內部審計面臨發展瓶頸

一是內審工作以賬項查錯和制度合規為主要工作理念，審計檢查主要停留于事后監督階段，導致發現的問題基本集中于操作層面和程序性事項，且各類問題具有普遍性和反復性。

二是審計配套機制不完善，審計成果運用的渠道狹窄，大量的信息和成果得不到充分運用，導致審計主要停留于發現問題層面，審計整改不充分、不徹底，難以從根本上改善業務管理，屢審屢犯、前審后犯等現象普遍存在，審計建設性功能未得到充分有效發揮。

三是以監督和評價為主要工作方式的內部審計，明確區分審計發現問題責任主體，進一步強化了監督與被監督的關系，引起審計雙方情緒對立，難以調動被審計單位參與審計或管理的積極性，不利于營造良好、和諧的內部審計環境，制約了審計效果的發揮。

此外，在全覆蓋審計要求下，有限的審計資源與繁重的審計任務矛盾加劇，影響了審計工作質效。因此，如何推動內部審計變革，克服目前工作弊端，最大限度發揮審計作用，使其在央行治理和內部控制中發揮更大作用，成為當前重點研究的問題。

二、發展路徑：風險管理、內部控制的融入

中央銀行內部審計必須變革思維理念和工作角色，主動融合風險管理、內部控制、央行治理，建立風險、控制、監督、治理集中統一的管理體系，推動傳統的“為管理進行審計”向“對管理進行審計”轉變，由管理者“耳目”變為組織治理“守門員”。一方面，立足央行履職目標，通過風險評估了解內部控制設計和實施，獲取不同單位、不同職能、不同業務風險的管理情況，以此引導審計立項和審計實施，進一步提升審計前瞻性和針對性；另一方面，站在央行治理的高度，關注內外部影響因素和央行目標實現，促使審計視角前移，推動從源頭和深層次解決問題，有效杜絕屢審屢犯現象，同時區分風險輕重緩急，協調分配審計資源，提高審計效率效果。

將風險管理和內部控制融入內部審計具備一定的現實基礎和較強的可行性。2006年，《人民銀行分支機構內部控制指引》實施，其中風險評估、內部控制審計成為內部控制機制建設的重要內容。按照該指引，各分支機構根據實際，通過成立內部控制領導小組、工作小組或風險防控委員會等相關組織機構，制定《內部控制實施辦法》《風險防控指引》等，加強內部控制建設和實施。在此決策部署下，風險評估研究探索、內部控制機制建設等工作開展得如火如荼。2011年，我國中央銀行開始開展以現代內部審計為目標的內審轉型與發展活動，經過多年的理論研究和實踐探索，已形成一系列成果。如明確了中央銀行主要風險種類和特征；分類梳理中央銀行職能和業務，形成了分行層面24個職能、96個業務領域、887個事件的對象清單庫；采取模糊評價法、德爾菲專家法、凈風險評估法、風險坐標法等多種評估方法，探索開展風險評估。

三、構建框架：風險導向型內部審計模式

（一）構建思路

基于風險管理的內部審計模式，以央行履職目標為基礎，充分考慮內外部影響因素，進行風險識別與評估，形成風險基礎數據庫。在此基礎上，充分發揮內部審計的確認與咨詢職能，揭示風險識別漏洞和管理控制缺陷，并強化領導、協調、建議角色或職能，推動完善風險管理，促進履職目標實現和中央銀行完善治理。工作思路如圖1所示。

該模式具有以下特征：首先，審計出發點是影響中央銀行履職目標實現的內外部各類風險。與傳統內部審計關注預算財務和業務事項是否符合制度要求相區別的是，本模式將中央銀行履職中所面臨的各類風險作為審計對象，關注風險識別與風險應對，評價風險識別的全面性、充分性與風險應對的適當性、有效性。其次，審計重點是確認關鍵性風險與測試風險管理方法。與傳統內部審計關注業務控制相比，本模式從中央銀行職能、目標和完善治理的高度出發，將分析、確認、揭示重要和關鍵性風險作為審計重點，以促進改善風險管理和治理程序，同時保留對控制過程和效果的監督評價，提升審計層次，推動內部審計實現央行價值增值。再次，審計具體目標是審查各層面是否充分識別所有風險，并評價控制系統是否有效將風險降至可承受范圍，以向黨委、行領導提供風險管理的保證。最后，審計路徑具有特殊性。傳統內部審計的路徑是根據各類政策或業務管理制度規定，明確控制要求，通過開展審計檢查，發現控制薄弱環節和管理漏洞，提出管理建議，即政策或制度規定→明確控制要求→審計對照檢查→確認控制缺陷和執行漏洞→提出改進建議。而在風險導向審計模式下，先確定央行總體職能與目標，細分為若干履職目標，再分析目標，實現內外部影響因素，評估風險，據此進行審計規劃和立項計劃，進而通過具體審計，發現風險識別和管理缺陷，提出風險管理的對策建議，即職能與目標→分析內外部影響因素→確定和評估風險→審計立項和具體審計→揭示風險管理缺陷→提出改進建議。以上區別也體現出對風險理解和運用上的差別：傳統審計關注制度控制風險，審計評價側重控制充分性、健全性和遵循執行的有效性；新模式下關注中央銀行履職目標風險，側重風險識別的充分性和管理控制的有效性。

（二）審計流程

本模式具體劃分為三個階段，分別為風險識別與評估、審計計劃編制、審計實施與報告。

1.風險識別與評估。圍繞中央銀行履職目標，運用流程圖分析法、SWOT分析法、實地查驗法、交流訪談法等方法，分析內外部影響因素，全面識別各類風險，在此基礎上分析評估風險，形成風險評估數據庫。該階段主要明確以下內容：

（1）風險類別。參照主要發達國家中央銀行審計實務，將風險類型分為法律風險、操作風險、聲譽風險、信用風險、市場風險和流動性風險。在明確風險內容和事項基礎上，建立與之對應的歸口管理部門，如表1所示。

（2）評估標準。從財務和非財務兩個維度建立風險影響程度評判標準，梳理有歷史業務數據和無歷史業務數據，區分風險發生概率，兩者均以5分值劃分等級，如表2、表3所示。

（3）風險計量模型。使用剩余風險模型，既考慮風險的固有屬性，又關注管理控制措施的適當性和有效性，得出剩余風險作為評估結果，如圖2所示。通過業務實踐、經驗判斷、調查分析、模型預測及專家意見等方式方法，對風險事件影響程度和發生概率進行評估，得出固有風險。綜合審計巡視檢查結果（內部監督類）、各類總結考核（業績考核類）、整改情況（整改類）以及結合調查訪談結果等，對控制的有效性進行評價，如表4所示。

（4）評估結果。與風險相關的控制活動主要影響風險發生概率，對風險本身的損失影響并不大（董大勝，韓勝梅，2010），由此基于5分值法，從影響程度和發生概率兩個維度建立風險評估量化矩陣，如圖3所示，其中A區域風險影響程度大或發生可能性大，對其監督管理的要求最為迫切，必須優先進行審計立項，深入開展重點審查；B區域處于中等風險狀況；C區域風險較小。作為審計立項和具體實施的重要依據，同時形成風險事件記錄列表，如表5所示。

2.審計計劃編制。風險評估形成了全面的風險數據庫。圖3綜合考慮了風險影響程度和發生的可能性，將所有風險歸為A、B、C三個區域。但受審計資源與其他監管項目重疊等影響，無法且沒必要對所有風險領域或事項開展審計。因此，將以下方面進行風險過濾，將部分風險剔除：一是承受能力范圍內的風險；二是程度極低或較低的風險；三是已納入其他監督檢查計劃的風險，避免重復監督造成資源浪費；四是遵循黨對內審工作領導的要求，征求黨委管理意見，對部分風險暫不需要關注。由于內外部影響因素不斷變動，風險影響程度和發生概率也并非一成不變，風險評估結果必須持續動態調整，審計計劃也隨之調整更新。另外，審計計劃不僅要考慮審計范圍，而且必須考慮審計頻率。某項發生概率較高的風險，可能需要進行連續審計。某項發生概率不高但損失較大的風險，可能以幾年為周期開展審計。此外，對于不納入審計計劃的風險，內審部門應積極發揮審計咨詢職能，提醒關注和改進管理。審計立項程序如圖4所示。

3.審計實施與報告。內審部門根據審計計劃安排審計資源，制訂審計方案，明確具體審計時間、內容及重點、人員及任務分配、抽樣比例等，既要全面覆蓋，又要突出重點，有的放矢，有針對性實施。對高風險職能或業務領域，將更多、更優質的審計資源向其傾斜，審計方式為全面檢查而不是抽查。與之對應的是，對風險較低的職能或業務，匹配較少的審計資源，實施抽樣審計。另外，風險管理是一項全行性工作，涉及各個層面。作為決策層對風險管理戰略反映的中央銀行治理，以及管理層對風險管理戰術反映的內部控制，內部審計通過測試必須對其作出反映，以確認內部控制健全和風險管理有效。相應地，審計必須覆蓋央行治理、內部控制和風險管理。

（1）央行治理。戰略層次的風險主要通過建立完善治理結構進行管理應對。因此，內部審計應著重關注治理環境、治理流程和治理程序三個方面，評價央行治理文化、政策制度和組織結構框架是否健全，治理流程設計是否合理，與治理環境是否匹配，包括權力制衡、決策公開在內的治理活動落實是否有效等。

（2）內部控制。戰術層面的風險主要通過健全內部控制進行管理。因此，內部審計必須審查控制系統是否完善、運行是否有效，評價其在識別、評估、管理風險方面是否科學與恰當。具體來說，通過三個方面進行：一是測試控制覆蓋是否全面、控制設計有無缺陷，評價內部控制健全性與科學合理性；二是測試控制手段是否適應外部環境變化和單位實際情況，評價其科學性和適用性；三是檢查控制運行情況并與控制目標建立關聯，評價其控制效果是否實現預期目標，評判其有效性。

（3）風險管理。內部審計除對治理層面和業務控制層面進行監督和評價外，還必須強化其在風險管理中的第三道防線職責，即對中央銀行風險管理情況進行監督，以促進完善風險應對。審查風險識別是否全面充分、風險評估是否科學合理、風險防控措施是否恰當有效，并針對問題和缺陷提出改進建議。

（4）審計報告。風險導向型內部審計模式不僅將風險作為管理軸心，而且將改進風險管理作為終極目標。因此，審計項目完成后，必須針對風險管理編寫審計報告，評價風險整體管理狀況，反映風險在各職能和業務中的分布態勢，分析風險產生原因及管理控制缺陷，提出有針對性、可操作性和富有建設性的審計建議。審計結果要及時報送具有相應權限并能采取足夠措施的行領導或部門管理層。另外，審計報告完成不代表審計過程的終結，必須加強審計整改跟蹤，督促落實審計意見建議，必要時通過開展后續審計，確保風險缺陷能夠得到及時恰當的糾正。

（三）配套機制

風險導向審計各個階段匯集了豐富的風險信息和審計信息，內審部門必須建立完善相關配套機制，暢通運用渠道，才能提高審計效果，更好地促進風險管理。

建立橫向溝通磋商機制。一是內審部門主動加強與業務部門進行審前、審中、審后溝通，通過對風險問題的探討，提升審計建議的合理性和可操作性，達成監督和管理共識。二是加強與相關監督部門的協商，建立監督聯席會議制度，通報風險評估情況，分享監督計劃與共享成果，形成監管合力，提升管理效果。

深化審計綜合分析，提升審計成果價值。組織開展審計發現問題的綜合分析工作，形成內部審計情況綜合分析，匯總分析審計發現的問題，深度挖掘轉型工作成果。針對傾向性、典型性和普遍性問題及潛在風險進行梳理，按照操作風險、聲譽風險、資金風險等進行歸類，找出系統風險易發、多發的領域和風險類型，深入分析問題產生的根源，提出改進建議，形成風險提示，向本行黨委匯報，發揮服務領導決策的參謀作用。

采取多方激勵措施，實現“一果多用”。一是將風險管理成果運用效果作為優秀內審項目、優秀審計案例評選和對下級行內審部門業績考核的重要依據。二是在本級行內部事務管理中，將各部門內審成果運用情況作為部門績效考核的參考依據。三是建立健全與紀檢監察、組織人事、會計財務、辦公室等部門的信息共享機制，將風險管理結果作為干部考核、財務經費考核、目標管理考核的重要依據。

四、結語：研究價值及改進方向

本文構建了風險導向型內部審計模式，體現了較好的成果價值。一是以評估模型和風險事件清單為依托，實現了對中央銀行履職風險的清單化、數量化、信息化管理。二是以風險為導向配置審計資源，提升了內審工作的效率和針對性。三是以風險導向審計為切入點，推動了全面風險管理理念在基層央行的貫徹和實踐。

風險導向型內部審計模式研究是一項長期工作，建立的風險影響程度和發生概率判斷標準存在一定局限性，必須根據業務發展不斷補充完善。控制有效性判斷也存在一定的主觀性，必須在今后的研究中不斷完善。另外，風險計量模型還需在更多實踐中加以檢驗，審計配套機制必須不斷創新拓展。

（作者單位：中國人民銀行廣州分行，郵政

編碼：510000，電子郵箱：15989002084@163.com，

課題組成員：繆鐵文 劉舉達 范良軍 顏雄兵 鐘傲霜 蔡麗玲 劉嘉穎 趙濱）

主要參考文獻

陳毓圭.對風險導向審計方法的由來及其發展的認識[J].會計研究， 2004（2）：8-63

鄧銳廷.風險導向內部審計與內部控制結合的實踐與探索[J].中國內部審計， 2011（10）：53-60

董大勝，韓勝梅.風險基礎內部審計[M].大連：大連出版社， 2010

馬新彬.我國中央銀行內部審計部門風險導向審計模式研究[J].審計研究， 2015（6）：108-112

繆啟軍，王躍堂.風險導向視角下高校科研經費的內部審計[J].財會月刊， 2015（7）：65-68

唐大鵬，于洪鑒.基于風險導向的行政事業單位內部控制研究[J].管理現代化， 2013（6）：66-68