論風險導向審計在商業銀行內審中的作用

郭志 山東臨朐聚豐村鎮銀行股份有限公司

引言

隨著經濟全球化的發展，我國商業銀行遭受國內外金融風險的概率不斷增加，傳統的審計方法和模式不再適應經濟全球化背景下商業銀行的發展需求，而風險導向的審計模式能夠深入分析不同層面和業務領域的各類風險，實現審計資源的優化配置，能夠有助于提高商業銀行對各類風險的識別、評估、防控的效率和質量，真正降低金融風險發生概率和破壞性。近年來，我國很多商業銀行已經將金融風險管理理論融入風險管理實踐中去，建立了比較完善的風險庫、風險評估和預防體系，采取系統化和整合化的方法來對商業銀行面臨的各類風險進行防控，并取得了一定成效。本文簡單分析了風險導向審計的內涵、特點以及在商業銀行中的具體應用，并從風險量化評估存在局限性、審計人員綜合素質和審計成本三方面分析了風險導向審計在商業銀行內審應用中存在的問題，針對這些問題提出改進措施，來促進風險導向審計在商業銀行內審中的普及與應用。

一、風險導向審計概述

（一）風險導向審計的內涵

風險導向審計是指審計人員的審計內容以企業面臨或潛在的各類風險分析為導向，通過量化風險發生概率和破壞性的方法來對風險進行分類分級，確定好審計的范圍和關鍵點，并對于風險評估和預防相關的風險管理制度、內部控制制度等進行檢查，及時發現制度中存在的漏洞和問題并提出整改完善建議，不斷完善風險管理制度來降低企業風險發生概率和破壞性。

（二）風險導向審計的特點

風險導向審計是以審計風險理論為基礎的，其作用是做好審計各階段的企業風險的識別與評估，并根據風險評估結果來制定審計工作計劃，確保審計工作的效率和質量。與傳統的合規性審計和制度導向審計相比，風險導向審計具有以下優勢和特點：

一是前瞻性。傳統的內部審計大多是對企業的歷史進行評估，從中吸取教訓來改進當前的各項工作。但是風險導向審計需要審計人員對企業未來發展趨勢進行預測和評估，并及時發現未來潛藏著的風險與危機，并制定科學合理的預防和應對措施來化解未來可能存在的風險與危機，這與傳統的審計模式根據以往的企業信息來進行評估和做出審計結論和建議不同，具有較強的前瞻性和風險防控性。

二是增值性。傳統的審計目標是檢查各類企業活動的合規合法性，確保企業資產安全，但沒有增值效果。風險導向審計的目標是發現企業經營管理中存在的問題并及時解決這些問題，這樣就能夠提高企業經營效率和經濟效益，因此風險導向審計具有增值性。

三是綜合性。風險導向內部審計融合了風險管理、企業管理和內部控制等眾多內容于一體，因此具有綜合性。與傳統的審計相比，風險導向審計更加注重對企業組織架構的評估和風險管理，也更加關注企業經營過程中的各類風險因素及其防控工作，也更加注重企業各項重大決策的科學性和可行性，比傳統審計模式注重的內容更加豐富。

四是廣泛性和全局性。首先，風險導向審計在傳統的審計范圍基礎上將審計范圍擴展至風險管理和企業管理等領域，因此風險導向審計具有廣泛性特點。其次，風險導向審計的審計重點是各類風險，而企業風險覆蓋企業經營活動的各個方面，需要審計人員具有全局觀，因此風險導向審計也具有全局性。

二、風險導向審計在商業銀行內審中的作用

（一）風險因素分析

風險因素分析是風險導向審計在商業銀行內審中應用的第一步。商業銀行的風險包括全部能夠對商業銀行的經營和資產造成不利影響的因素。因此風險導向審計在商業銀行內審中應用時需要根據商業銀行的發展目標與計劃、商業銀行外部環境（政治、經濟、法律和市場等因素）以及商業銀行各項業務和經營活動的開展情況對商業銀行的各類風險進行全面調查和了解，為接下來的風險識別、評估和預防奠定基礎。基于風險導向審計的商業銀行審計人員需要按照《巴塞爾新資本協議》中對商業銀行風險的分類來進行風險因素分析。先確定第一支柱的內容，即信用風險、市場風險和操作風險。然后確定第二支柱的內容，即流動性風險、銀行賬戶利率風險、合規風險和戰略風險等。商業銀行的審計人員也要積極與風險管理部門合作，確定好商業銀行的風險戰略和偏好，進一步完善和優化商業銀行風險庫。審計人員可以借鑒風險管理成果和數據信息，加強與各個部門的溝通交流，實現各部門的數據信息共享，能夠及時了解商業銀行各部門的風險因素，為接下來的業務流程梳理工作奠定基礎。

（二）業務流程梳理

業務流程梳理是商業銀行實施風險導向審計的基礎，因為風險導向審計都是以業務流程為對象開展的。在對業務流程進行風險導向審計時，需要將風險控制作為出發點和終點。審計人員在對商業銀行業務流程進行梳理時，需要將各個流程和環節的風險點都聯系起來，為接下來的風險識別、評估和關鍵控制點的確定奠定基礎。在對商業銀行進行風險導向審計時需要將商業銀行全部業務劃分為多個層次，在劃分過程中要充分考慮與商業銀行業務流程有關聯的銀行組織架構、治理結構和各部門的權責等內容，而且要遵循適用性原則。一般先將業務流程分為資產業務、負債業務和表外業務，然后再將其細分為信貸業務、存款業務、資金交易業務和投資業務等內容，最后再根據各業務的風險類型對各業務中的產品和服務進行細分，例如可以將信貸業務根據風險期限劃分為中長期信貸業務和短期信貸業務，也可以從不同的角度和維度對同類業務產品進行細分。因為銀行風險管理和IT業務具有一定的關聯性，因此要將風險管理和IT業務的審計工作貫穿風險導向審計的全過程，可以對風險管理和IT業務進行單獨審計，也可以將其融入各個業務中進行綜合審計。業務流程梳理越精細，商業銀行風險導向審計結果就越準確，越有利于降低風險發生概率，但也會增加內審成本，所以流程梳理需要綜合考慮內審目標、內審資源、內審成本和內審效率。

（三）固有風險的識別與評估

1.識別固有風險

所謂的固有風險是指在沒有事先進行預防和控制的前提下會對企業造成不良影響的風險。商業銀行業務流程中的固有風險存在于業務流程的各個環節，因為業務流程中的某個工作目標沒有達到預期要求就會成為固有風險。要想識別固有風險，需要先梳理業務流程。審計人員應該通過自己的審計經驗和職業判斷來識別和評估商業銀行不利影響風險因素。通過監控和審計業務流程中的定量指標，例如本息回收率、不良貸款率等指標，也可以發現業務流程中的固有風險。一般商業銀行的業務流程比較固定，這導致固有風險的種類和發生概率在一定期限內變化較小。審計人員可以根據不同的業務流程建立不同的風險庫，將風險庫覆蓋到每一個固有風險點上，這樣可以提高固有風險識別效率。除此之外，審計人員需要定期對固有風險庫進行維護和更新，以應對外部環境或業務流程中的重大變化而產生的新的固有風險。

2.評估固有風險

做好固有風險識別后，審計人員需要對每個風險點進行評估，主要評估風險發生的概率和破壞性，然后利用風險熱圖或其他風險評估方法來評價每個風險點的固有風險。為了更加全面、客觀和準確地分析風險點的風險狀況，審計人員需要在風險發生概率和破壞性上設置等級，并為每個等級的風險設置評價標準。審計人員在設置風險等級和評價標準時需要注意以下幾點內容：一是風險等級設置要合理，風險等級數量要適中，如果風險等級數量過少，則難以真正評估出風險大小；如果風險等級設置數量過多，則需要收集大量的數據來進行風險等級分類，不僅增加了風險評估的人力成本和時間成本，也難以準確描述每個風險等級的真實情況。二是審計人員要從定量和定性兩方面來對風險發生概率和破壞性進行評估。很多風險點具有與其相關的數據以及與其適應的量化指標，這樣審計人員可以對這些風險點進行指標量化。還有一些風險點缺乏數據支持和與之相適應的量化指標，則需要采用定性法來描述該風險點的等級。在對商業銀行各業務流程的風險等級進行評估時要遵循評估標準和評估原則，這樣才可以優化不同業務流程的風險序列，將各業務流程中的風險點根據風險等級排序。

（四）控制的識別與評估

商業銀行風險導向審計的控制工作是與業務流程梳理和固有風險的識別與評估同時進行的，針對各個業務流程中的固有風險點，審計人員應該制定相應的控制內容，一般情況下是一個控制活動對應某一環節和某一類型的風險點，也可能存在好幾個控制活動來對某一風險點發揮作用，因此審計人員應該做好風險控制的識別與評估工作。審計人員識別出風險控制點后，要對這些控制點的固有風險進行評價，也要評價控制措施的有效性。審計人員可以通過一些評價方法或自身經驗來進行評價，也可以參考西方發達國家的成功案例或國家監管規定進行評價。審計人員也需要從各個業務流程中選擇樣本進行測試，來確定各個業務流程中的風險控制活動落實到位。

三、風險導向審計在商業銀行內審中應用存在的問題

（一）風險量化評估有局限性

因為風險評估涉及定量分析，而定量分析又需要充足的數據支持，而且是以歷史數據為主，但是最新的存在經濟變量的歷史數據數量較少也難以收集，審計人員收集到的大多是時間較長的歷史數據，難以反映當前各業務流程中的風險情況。而且目前很多風險量化模型對商業銀行各個系統的風險評估并不深入和全面，因為當商業銀行受到外界各類因素的重大干擾時，會使得業務流程中的很多數據發生重大變化，而風險量化模型難以對這些異常數據進行準確評估。

（二）審計人員能力有限

因為風險導向審計屬于新型審計模式，目前商業銀行內審人員無論是在審計經驗、審計專業知識與能力方面都難以勝任風險導向審計工作，大部分審計人員還是采用傳統的審計模式來進行內部審計，這就與風險導向審計的理念大相徑庭，使得風險導向審計難以落到實處。

（三）審計成本較大

風險導向審計對商業銀行人力資源和審計流程都會提出新要求，需要通過引入專業人才、培訓專業人才、優化更新審計體系等方法來實現審計模式的轉型，僅僅在風險導向審計初期就需要消耗大量資金。而且在對風險進行識別和評估時，需要收集大量的數據信息，也要建立數學模型對風險量化，這些都需要耗費大量時間和人力，無形中增加了人力成本。

四、風險導向審計在商業銀行內審中的應用對策

（一）風險量化評估與定性分析相結合

商業銀行的審計人員在進行風險量化評估時應該先對各業務流程中的風險點定性，因為風險量化過程和風險評估結果都存在一定的誤差，因此在風險識別過程中需要采用定性分析法與定量分析法結合的模式來彌補定量分析法的不足以及量化風險評估的局限性，而且定性分析法也不需要收集大量的數據信息，可以節省大量的人力成本和時間成本，這樣也可以有效提高風險評估的準確性和效率。

（二）提高審計人員專業素質

風險導向審計在商業銀行內審中的應用對審計人員的專業素質提出新要求，審計人員不僅要具備內部控制、企業管理、會計和審計等多專業的知識與技能，還要熟悉商業銀行的金融產品和業務，要有獨立收集、整理和分析各類數據信息的能力，而且要有敏銳的職業判斷力。因為我國風險導向審計模式剛剛起步，在商業銀行中剛剛應用，商業銀行中的審計人員尚缺乏風險導向審計方面的工作經驗和專業素質，因此商業銀行需要加強對審計人員的培訓教育，來提高審計人員在風險導向審計方面的專業知識與能力。

（三）多種審計模式互補

風險導向審計是一種新型的審計模式，但任何審計模式都有優缺點。風險導向審計的缺點就是成本大，對審計人員要求高，收集的數據信息多。為了彌補風險導向審計的這些缺點和不足，需要采用多種審計模式來互補，遵循實事求是原則，根據實際審計環境、審計目標、審計層次和應用場景來選擇不同的審計模式和方法，這樣可以彌補風險導向審計在風險量化評估中的局限性。商業銀行審計工作其實是可以多種審計理念和審計模式共存的，并非新型審計模式取代傳統審計模式，而是發揮各自的優勢，來提高商業銀行內審效率和質量。在開展風險導向審計的過程中也要兼顧審計的成本和效率，只有這樣才能找到審計成本和審計質量的平衡點，從而兼顧風險導向審計質量和審計成本。

結語

風險導向審計是一種全新的審計理念與審計模式，相比于傳統的審計理念和模式，風險導向審計更具有前瞻性、增值性、綜合性、廣泛性和全局性，能夠預防商業銀行的各類風險，提高商業銀行的經濟效益。風險導向審計在商業銀行內審中的作用主要體現在風險因素分析、業務流程梳理、固有風險的識別與評估、風險控制的識別與評估等方面。商業銀行在應用風險導向審計時，也要兼顧其他審計模式和方法，來彌補風險導向審計的成本高、人力資源短缺和風險量化評估不準確等不足之處，并且要加強對審計人員的培訓教育，不斷提高審計人員風險導向審計方面的專業知識與能力，確保審計人員能夠做好風險導向審計工作，充分發揮風險導向審計的效用。