基層央行開展內審風險評估工作的實踐與思考

洪 杰 中國人民銀行西安分行內審處

一、風險評估的現狀

人民銀行內審部門風險評估是指內審部門在風險識別的基礎上，運用規范的定性定量方法，對人民銀行履職過程中的風險事項進行評級和計算，并將評估結果運用于風險導向審計和風險管理過程。隨著信息技術的發展，計算機技術對人民銀行業務中各個環節的影響也越來越大，業務的發展越來越快，要求也越來越高。為了能夠更好發揮審計的作用，人民銀行總行在2018年制定了《中國人民銀行內審部門風險評估工作管理辦法》，用以指導人民銀行風險評估工作，規范評估標準，為進一步提高評估質量奠定了基礎。

(一)風險識別及評估

在基層行的風險評估實踐中，人民銀行內審部門根據各業務的特點建立了17個業務單元，將各業務單元所面臨的風險分為固有風險和控制風險。固有風險是指不考慮內部控制的前提下，影響業務目標實現的內務部負面事件。控制風險是指影響業務目標實現的內部管理和控制缺陷。控制風險影響內部控制的效果，控制風險與內部控制有效性成反比。有效的內部控制可以很大程度的降低固有風險的發生可能性或影響程度。對一個單位的風險評估應綜合考慮各類風險的發生可能性和影響程度。無論固有風險事項還是控制風險事項都應按不同的業務分別識別。風險識別遵循重要性和全面性原則。

(二)剩余風險模型及運用

在基層行的風險評估實踐中，各業務單元的固有風險值取該業務單元所有固有風險事項風險級別中的最大值。控制風險取該業務單元所有控制風險事項風險級別的算術平均值。各業務單元的內部控制有效性通過控制風險控制風險值進行衡量。各業務單元的剩余風險等于各業務單元的固有風險值減去內部控制有效性，剩余風險的平均值反映的是一個單位所包含業務的剩余風險平均水平，通過剩余風險這個指標，引導審計方向，提高各項業務的管理水平。

二、風險評估存在的問題

(一)傳統審計思想猶在，風險評估關注不高

目前基層央行各單位對于風險評估的重要性有著不同程度的認識錯誤，認為內審工作僅僅只是起到監督的作用，沒有認識到內審工作可以有效推進各部門風險防控，這也造成了各部門風險概念缺失、風險管理不到位的問題。而人民銀行內部審計當前仍以合規性審計為主，“只關注結果，忽視內部控制和風險管理過程”的傳統審計理念在內審人員的心中仍然根深蒂固。現階段內審工作仍然基本依賴于傳統的翻閱憑證、賬冊等手段，合規性審計的工作量也使內審人員沒有足夠的時間去探索和開展新模式的審計項目。

(二)人員素質有待提升，人才結構更需合理

隨著內部審計職能的不斷演化，對內審人員的業務素質與能力要求也越來越高，為了確保內審工作的客觀性，實現內部審計工作目標，需要配備具有較強專業勝任能力和較高綜合素質的專職內審人員。但是目前，“人員老化，掌握傳統審計方法人員多、熟悉現代風險導向審計人才少”幾乎是所有基層央行面臨的共同問題，而風險評估的涉及面十分廣泛，專業性強，內審人員又缺乏系統的理論培訓和實務指導，發現、分析和準確定性風險能力不足，使得評估結果不夠準確、客觀，難以實現風險評估的價值。

(三)風險認識仍不到位，制度建設有待完善

一方面是由于當前人民銀行風險管理未提升為全行性工作，主要通過內審部門風險評估來進行風險管理，缺乏總體上的組織和協調。業務部門對風險評估工作的了解程度也不夠，想當然的認為這只是內審部門的事情，對風險評估工作的配合程度不夠。導致在實際開展風險評估工作時，出現了個別單位的風險評估交由新人去做，將業務部門的自評結果直接當作風險評估結果”等情況，嚴重影響了風險評估的客觀性和有效性。另一方面，開展風險評估是建立在對被評估單位或部門了解的前提下，做出對內部管理和業務操作風險情況的整體評價，在客觀公正的基礎上，判斷發生重大風險的業務領域。但是到目前為止，人民銀行還沒有制定出統一完整、全面科學的風險管理制度，很難對審計風險進行合理恰當的評估預測。

(四)數據資料共享不足，評估手段仍顯落后

風險評估需要豐富的信息資料和歷史數據來作為分析的基礎支撐，人民銀行雖然已經建立了許多信息管理和業務操作系統，但由于各系統在設計開發過程中存在一定的限制和缺陷，并沒有為內部審計提供系統接口，導致風險評估工作所必需的業務部門數據難以共享，無法為內審部門的風險評估提供依據。而基礎信息數據不準確也使得風險判斷標準難以把握。其次在收集風險評估數據資料的過程中，一些業務部門對于上級行或自身部門的業務檢查結果，擔心將檢查問題交給內審部門后會影響自身考核，不愿意向內審部門提供，或者未全部向內審部門提供，這也導致各級行內審部門在開展風險評估時數據依據可能存在較大差異，影響風險評估結果。

(五)評估結果運用不足，風險隱患仍然存在

部分單位對評估結果的運用形式單一，并未將風險評估結果的運用提升到全行風險防控的層面，而內審部門在也未及時將風險評估結果共享給其他業務部門，導致業務部門風險控制并未有效實施，風險隱患仍然存在，風險評估的指導性作用沒有得到較好的體現。而且由于管理層對內審工作支持力度不大，從而影響了高質量風險評估報告的產生，而風險評估工作對改進內部控制和防控風險的價值不高，就難以引起管理層的足夠重視，一定程度上導致了惡性循環的產生。在實際工作中，受全球宏觀環境、國家經濟金融政策、人民銀行業務處理等各方面的影響，風險評估中的風險點是隨著新情況、新工作的出現不斷變化著的。在審計過程中風險點的甄別與選取都是由內審人員著手，同級業務部門普遍處于一種“被動參與”的狀態。目前風險評估工作僅靠內審部門收集數據并實施，風險評估的相關制度也只適用于內審部門，其他業務部門對此項基本不了解，認為風險評估是內審部門的工作，對風險評估缺乏主動性，部門之間協調配合難度較大。

三、風險評估工作改進的對策

(一)確立風險評估工作重要性

要提高和改善目前人民銀行省級行的風險評估工作，首先是要突出風險評估在內部管理中的重要性，將風險評估的結果當作是制定審計計劃、評價一個單位的管理水平的重要參考。一是成立風險評估工作委員會，由單位“一把手”擔任組長協調單位風險評估工作，確立內審部門在風險評估中的主導作用。同時調動各業務部門的主動性，與內審部門相互配合，深入開展風險評估并將評估結果合理有效的運用。二是建立風險評估長效機制，持續動態開展風險識別。根據基層人民銀行履職環境和業務變化，全面梳理本機構風險事件清單，加強與業務管理部門及內審同行的交流磋商，溝通各級檢查中發現的問題，共同分析存在的風險和控制薄弱的環節，使內審部門走出信息“孤島”。

(二)加強評估方法創新

一是進一步優化當前評估的方式方法，在確定風險等級時，要科學的制定標準，確保評估結果具有可比性。同時要加強對評估人員的培訓，做到一把尺子量到底。二是實現科學評估與經驗評估的有機結合。當前，在基層行內審部門風險評估工作中，主觀判斷和經驗評估仍占較大比重，易導致評估結果出現偏差，應加強科學評估，提高風險評估工作信息化程度。

(三)加強風險評估成果轉化

要注重評估結果運用渠道，擴大評估結果運用范圍。既要保證風險評估面上的全覆蓋，又要確保對重點風險實施連續性跟蹤。要將每年的內審工作要點和風險評估結果統籌考慮，體現“風險引導審計，審計關注風險”的理念。要在審計項目的安排上考慮風險評估結果，結合領導關注的內容和當年的工作重點，優先安排對高風險業務單元、業務職能和機構開展審計，重點關注高風險事項的控制有效性、高風險問題的整改情況，充分發揮審計在風險防范和綜合治理方面的導向作用。

(四)建立風險評估人才庫

從各業務部門選派經驗豐富的管理人員參與風險評估，建立風險評估人才庫，提高評估隊伍的綜合能力。一是多視角提出意見建議。圍繞高風險的業務單元、職能和機構加強數據分析，重點識別和評估影響履職目標的高風險事項，開展專題分析，著重反映內部控制的缺陷和薄弱環節，從不同的視角提出改進意見建議，在考慮各方意見的基礎上，綜合確定評估對象的風險級別，避免“關門評估”、“單人評估”和“拿來主義”完善組織治理。二是多層次評估業務風險，結合人民銀行新業務和面臨的新形勢進行數據分析，從不同的業務層面，深入揭示苗頭性、趨勢性現象，堅持數據分析與具體業務相結合的分析原則，避免就數據分析數據。為實施有效業務控制提供基礎。■