商業銀行內部審計風險評估體系構建研究

王青松 紀偉東

[摘要]構建系統、科學的內部審計風險評估體系，是新形勢下內部審計充分發揮在應對風險挑戰中的作用、有效履行職能的基礎性保障。本文通過分析商業銀行內部審計風險評估的重要性及難點，提出以商業銀行風險管理體系和審計專業體系為“梁”和“柱”，構建適應審計集約化高效運作的內部審計風險評估體系，系統闡述了商業銀行內部審計風險評估體系架構、目標、原則、內容、對象、標準、方法、流程，并對體系在審計計劃階段和審計實施階段的應用進行展示，基于風險評估科學制訂審計計劃，確定審計活動重點，充分揭示重要風險和問題，幫助組織強化治理和管理，防范化解重大風險，有效發揮審計價值增值作用。

[關鍵詞]商業銀行 ? 內部審計 ? 風險評估

風險是指影響業務目標實現的事件發生的可能

性，風險事件是指對組織目標實現產生影響的事件。商業銀行是經營風險的企業，其經營管理活動與風險緊密相關、共生共存。當前我國經濟發展面臨需求收縮、供給沖擊、預期轉弱三重壓力，商業銀行面臨的風險挑戰尤為艱巨復雜。內部審計作為銀行風險防控的重要防線，履行審計監督、評價和建議職能，在應對風險挑戰中具有重要地位和作用。內部審計應針對各類風險挑戰進行系統、科學的風險評估，圍繞增進組織治理效能、防控重要風險、完善內部控制，確定審計工作重點，充分揭示風險和問題，更好發揮審計價值增值作用。風險評估貫穿內部審計全過程，基于風險評估科學制訂審計計劃，確定審計活動重點，評估審計事項的控制風險和剩余風險，是確保審計工作質效的關鍵。構建系統、科學的內部審計風險評估體系，是審計有效履行職能的重要基礎性保障。

一、商業銀行內部審計風險評估的重要性及難點

（一）重要性

1.風險評估是現代內部審計的基礎性工作。

《國際內部審計專業實務框架》將內部審計的使命表述為“以風險為基礎，提供客觀的確認、建議和洞見，增加和保護組織價值”。內部審計實務的核心原則包括“提供以風險為基礎的確認”。風險評估貫穿內部審計業務全過程，是影響內部審計有效發揮職能作用的關鍵因素之一。

2.風險評估是統籌組織審計工作的核心要求。

《國際內部審計專業實務標準》要求“首席審計執行官必須制訂以風險為基礎的計劃，以確定與組織目標相一致的內部審計活動重點”“內部審計部門的業務計劃必須建立在有記錄的風險評估的基礎上，并每年制訂一次”。商業銀行內部審計通過開展系統、持續的風險評估，形成科學、合理的風險評估結果，根據各類業務風險評估情況，確定審計周期覆蓋策略，編制年度審計計劃，明確審計工作重點，差異化、高效化配置審計資源，有序有重點地推進審計工作，實現審計全覆蓋和重點覆蓋的有機結合。

3.風險評估是實現審計價值的重要途徑。

《國際內部審計專業實務框架》將內部審計的定義表述為“內部審計是一種獨立、客觀的確認和咨詢活動，旨在增加價值和改善組織運營。它通過應用系統、規范的方法，評價并改善風險管理、控制和治理過程的效果，幫助組織實現其目標”。內部審計準則要求“內部審計人員應當深入了解被審計單位的情況，審查和評價業務活動、內部控制和風險管理的適當性和有效性”。有效的風險評估，是商業銀行內部審計充分揭示重要風險和內部控制缺陷，客觀評價銀行治理、風險管理、內部控制的過程和效果，促進增加價值和改善組織運營，實現審計價值的重要途徑。

（二）難點

1.風險的多樣性。

商業銀行業務種類繁多，包括貸款、債券、存款、網絡金融、信用卡、金融市場、支付結算、資產管理、投資銀行等業務及金融衍生產品。商業銀行業務管理層級多，一般實行總行、分行、支行多級管理；業務面向的客戶群體差異大，既有單位客戶，又有個人客戶，既有大行業、大企業客戶，又有小微企業、個人長尾客戶；業務辦理渠道既有線上，又有線下。商業銀行業務的復雜性，決定了商業銀行風險的多樣性，商業銀行的所有機構、各業務流程、各崗位都有可能發生風險，其風險主要有信用風險、市場風險、流動性風險、操作風險、國別風險、銀行賬戶利率風險、聲譽風險、戰略風險、信息科技風險及其他風險等。內部審計風險評估需要統籌考慮商業銀行各類風險，同時兼顧審計資源的平衡，全面、高效研判風險，主動應對風險。

2.評估標準的確定。

商業銀行各類風險的影響因素不同，如信用風險來源于銀行外部，源自客戶或交易對手的違約，主要受經濟周期波動因素、客戶自身原因等因素影響，具有一定的演變規律；操作風險主要來源于銀行內部，既包括高頻低損的日常業務差錯，也包括低頻高損的內外部欺詐等。不同的風險，需要與之適應的計量方法。確定內部審計風險評估標準，既要考慮標準的統一性，又要考慮具體標準的差異度。

3.管理信息的應用。

商業銀行經營管理過程中，形成大量風險管理信息，主要支持風險計量、評估、展示、報告所有風險類別、產品、交易對手風險暴露的規模、構成和風險變化趨勢等。相關風險管理信息存儲于各種生產系統、風險管理信息系統、業務文件中，內容繁雜、變化迅速，并且專業性強。內部審計風險評估運用風險管理信息，既要滿足風險評估的時效性，又要保證風險評估的客觀性和充分性。

4.核心指標的選擇。

商業銀行風險管理指標多，如信貸業務風險管理指標包括貸款不良額、貸款不良率、貸款逾期額、貸款逾期率、貸款抵押率、經濟資本占用率、貸款風險回報率、貸款預期損失率等，這些風險管理指標側重點不同，或針對風險管理整體，或針對風險管理的某個具體方面。內部審計進行風險評估時，要選取能夠代表業務風險整體狀況的核心指標。

5.體系的持續維護。

內部審計風險評估是一項核心的基礎性工作，也是一個長期、持續的過程，要為審計周期覆蓋提供科學支撐。保持風險評估的連續性，建立一個可供持續維護的內部審計風險評估體系，既要考慮現實的體系應用，又要考慮未來可能存在的變化。

二、商業銀行內部審計風險評估體系的構建思路

（一）內部審計風險評估體系架構

構建商業銀行內部審計風險評估體系，要解決內部審計風險評估“評估什么、怎么評估、評估結果怎么用”的問題。基于以上三個方面的具體目標，設計內部審計風險評估體系。具體思路是：從風險評估的目標入手，確定風險評估原則；依據風險管理體系，確定風險評估內容；依據審計專業體系，對風險評估對象進行系統分類；根據風險評估原理，確定風險評估標準；結合風險管理實際，應用評估技術方法，形成評估結果；按照審計覆蓋要求，恰當運用評估結果。風險評估體系架構分為三層，第一層為評估目標和原則，第二層為評估內容和對象，第三層為評估標準、方法和結果。如圖1所示。

（二）內部審計風險評估的目標和原則

內部審計風險評估的首要目標是評估可審單元的風險狀況，為年度內部審計計劃提供編制依據；根本目標是提供以風險為基礎的確認、建議和洞見。綜合考慮風險評估目標、實現路徑、技術方法及結果運用，內部審計風險評估需遵循以下五個主要原則。一是審慎性原則。內部審計在進行風險評估時應充分考慮所評估業務的現實風險和未來風險變化，與業務管理部門進行充分溝通。二是重要性原則。內部審計風險評估，不是對風險評估對象面臨的所有風險都進行評估，而是應結合風險評估對象實際，重點對經營目標實現產生重要影響的領域、環節進行評估。三是定性與定量評價相結合原則。考慮風險評估可實現的方法和手段，內部審計部門應根據具體情況，采用定性評價、定量評價或定性與定量評價相結合的方法。四是合理估計原則。結合所評估業務的性質和特點，選取適當的風險評估指標，確定適當的風險評估標準，對風險進行合理估計。五是成果復用原則。應充分使用風險管理部門、業務管理部門的風險評估結果、內部控制評價結果、管理評價結果。內部審計風險評估的原則如圖2所示。

（三）內部審計風險評估的內容

2016年，原中國銀監會出臺的《銀行業金融機構全面風險管理指引》明確銀行業金融機構各類風險包括信用風險、市場風險、流動性風險、操作風險、國別風險、銀行賬戶利率風險、聲譽風險、戰略風險、信息科技風險以及其他風險（以下稱“9+X”風險）。根據監管要求和內部管理的不同劃分標準，“其他風險”可以包括集中度風險、外包風險、數據質量風險、模型風險、合規風險、洗錢風險、法律風險、行為風險、押品風險、估值風險、資產證券化風險等。商業銀行各類業務中的上述“9+X”風險，構成了內部審計風險評估的主要內容，如圖3所示。

（四）內部審計風險評估的對象

根據審計業務不同階段的要求，內部審計風險評估可以分為審計計劃階段風險評估和審計實施階段風險評估。審計計劃階段風險評估的目標是確定高風險的審計單元，風險評估的對象為潛在的審計單元，可以從機構和業務兩個維度劃分。審計實施階段風險評估的目標，一是評估業務事項控制風險的大小，二是評估業務事項剩余風險的大小。

1.風險評估對象劃分的依據。

內部審計風險評估對象可以從五個遞進的層次考慮。依次為機構、業務板塊、業務單元、業務事項、控制點。以上五個層次，構成了不同場景下內部審計風險評估的對象。商業銀行可以通過建立審計專業體系管理架構，為識別潛在的審計單元提供系統性基礎支撐，如圖4所示。

2.審計計劃階段風險評估的對象。

（1）業務維度。

業務審計風險評估的對象由兩級構成，第一級是業務板塊，第二級是業務單元，業務單元是審計計劃風險評估中的最小粒度。審計計劃風險評估時，應依據風險評估標準，對業務單元形成風險評估結果，再對業務單元風險評估結果進行排序，作為制訂審計項目計劃、確定審計項目的依據。如需要，可對同一業務板塊（單元）下所有機構的風險逐個評估，作為機構抽樣的依據。

（2）機構維度。

一般情況下，商業銀行可以將一級分行、二級分行確定為機構審計風險評估的對象。對機構進行風險評估時，可以將機構作為一個整體，對主要風險進行評估；也可以對機構的業務板塊（單元）分別進行評估，綜合形成評估結果。

3.審計實施階段風險評估的對象。

一般情況下，審計實施階段風險評估的對象由兩級構成，第一級是業務事項，第二級是控制點，控制點是審計項目風險評估中的最小粒度。

（五）內部審計風險評估的標準

商業銀行開展內部審計風險評估，需要建立一套統一的總體評估標準，以便于對不同的業務，形成可供比較的風險評估結果。一般情況下，可以綜合風險事件發生的可能性、風險對業務目標的影響程度，確定總體評估標準。在總體評估標準下，可以根據各類業務的具體情況，分別確定具體的評估標準。總體評估標準一般采用定性的方式確定；具體評估標準一般采用定量的方式確定，當難以采用定量方式時，也可以采用定性的方式確定。

1.風險事件發生的可能性評估標準。

綜合考慮引起損失的事件發生頻率、業務的復雜程度、業務變更對原業務流程的改變和沖擊程度等因素，可將風險事件發生的可能性劃分為三類：高可能性——風險事件很可能發生；中可能性——風險事件發生的頻率較低；低可能性——風險事件基本不可能發生。如表1所示。

不同業務判斷標準可能不同。如信貸業務違約概率超過1%，可評估為高可能性；低于1‰，可評估為低可能性。支付結算業務差錯率超過0.4‰，可評估為高可能性。在確定風險事件發生的可能性評估標準時，可以征求業務管理部門的意見。

2.風險對業務目標的影響程度評估標準。

綜合考慮財務損失、聲譽損失、監管處罰、業務連續性損失等因素，可將風險對業務目標的影響程度劃分為三類：影響程度高——風險事件發生對運營有災難性影響；影響程度中——風險事件發生對運營有重要影響但不是災難性影響；影響程度低——風險事件發生對運營影響不嚴重。如表2所示。

不同類型的風險，影響程度評估標準不同。比如，信用風險，可用預期損失金額占撥備前利潤的比例作為標準，超過撥備前利潤總額的5%，為影響程度高。合規風險，可用處罰金額作為標準，處罰金額大于1000萬元，為影響程度高。在確定風險對業務目標的影響程度評估標準時，可征求業務管理部門的意見。

3.風險綜合評估標準。

使用以下風險矩陣，綜合風險事件發生的可能性和風險對業務目標的影響程度，形成風險綜合評估結果，如圖5所示。

風險綜合評估結果可采用星級表示，按照風險由低到高，表示為一星至五星。如圖6所示。

（六）內部審計風險評估的方法

風險評估方法具有多樣性，國家標準《風險管理 風險評估技術》中列示了32種風險評估方法，此外還有其他的風險評估方法。根據所評估業務的特點和風險評估方法的特點，審計業務可以圍繞風險識別、風險分析（風險計量）和風險評價階段的工作目標，組合運用各類風險評估方法。審計常用的風險評估方法包括風險矩陣、頭腦風暴法、問卷調查法、流程分析法等，如表3所示。

（七）內部審計風險評估的流程

內部審計實施風險評估，在運用和參考業務管理部門風險評估結果的同時，充分應用審計專業建設成果，依托審計專業體系和審計實踐，建立并完善內部審計風險評估體系。風險評估的過程可以分為風險識別、風險分析（風險計量）和風險評價階段。

1.風險識別階段。

（1）確定業務目標。

識別潛在的審計單元，確定風險評估的對象。根據商業銀行經營管理目標，確定所評估業務活動的業務目標。具體的業務目標，應與業務管理部門溝通達成一致。

（2）識別主要的風險。

圍繞具體業務目標，結合“9+X”風險體系，識別影響業務目標實現的主要風險。梳理影響業務目標實現的風險事件，查找風險源，識別風險因素。梳理后的風險、風險源、風險因素，應與業務管理部門溝通達成一致。

2.風險分析（風險計量）和風險評價階段。

（1）確定風險評估的具體標準。

對識別出的主要風險，收集、整理、分析有關風險數據，確定風險評估標準，風險評估標準應與業務管理部門達成一致。

（2）選取恰當的風險評估方法開展風險評估。

運用和參考業務管理部門風險計量結果評估風險，綜合考慮風險事件發生可能性和風險對業務目標的影響程度定量或定性評估結果，形成初步風險評估結果。應用管理評價結果對初步風險評估結果進行修正，形成風險評估結果。根據風險評估結果，對評估對象形成周期審計覆蓋策略和當年審計覆蓋策略。通過審計項目，評估業務事項控制風險和剩余風險。使用風險評估結果，指導下次風險評估。

三、內部審計風險評估體系的應用

（一）風險評估體系在審計計劃階段的應用

審計計劃階段風險評估以業務單元、機構單元為基礎，圍繞戰略目標實現，識別主要風險，確定評估標準，評估風險，形成風險評估結果，按照風險導向、監管導向、經營管理中的問題導向和審計活動周期覆蓋原則，確定審計活動優先級，形成審計計劃。根據實施審計項目的業務事項控制風險、剩余風險評估及業務變化情況，開展持續風險評估。審計計劃風險評估一般按年度進行。

1.業務維度風險評估。

（1）識別潛在的審計單元。

①確定審計總范圍。審計計劃階段業務風險評估的總范圍是商業銀行各業務領域。根據風險評估對象劃分依據，應用商業銀行審計專業體系，將各業務領域細分為業務板塊，下設若干業務單元，以保證審計計劃風險評估范圍的體系性。

②確定風險評估對象。審計計劃階段業務風險評估的對象包含若干個業務板塊和若干個業務單元。對于正處于新興階段尚未進入成熟期的業務，可暫不對相關業務單元進行風險評估。

（2）評估風險。

①收集風險評估信息。收集的風險評估背景資料主要包括：

——基本信息：經營管理部門風險評估資料（評估標準、方法及結果），外部經營環境的變化，監管政策的變化，產品及服務創新情況等。

——外部環境信息：國家法律法規變化，經濟、金融環境變化，科技發展，行業競爭，資源與市場變化，自然災害等。

——歷史數據信息：上一次評估至今評估對象的業務變動情況，內外部審計和各類專項檢查發現的問題及整改情況，違規案件，媒體和網絡負面報道等。

②識別主要的風險。圍繞“戰略、運營、報告、合規”四大目標，結合商業銀行全面風險管理體系中所列“9+X”風險，確定影響經營目標實現的主要風險，將確定的主要風險作為風險評估的重點。比如，個人貸款業務經營管理目標主要包括執行國家相關信貸政策，合規適度發放貸款，安全收回貸款資金。影響個人貸款經營目標實現的風險類型包括信用風險、合規風險、戰略風險、操作風險、聲譽風險、法律風險、信息科技風險等，其中信用風險是影響經營目標實現的主要風險。在個人貸款業務審計風險評估時，主要對信用風險進行評估，必要時可以將其他類型的風險作為輔助參考。

③確定風險評估的具體標準。確定各審計單元風險事件發生的可能性、影響程度和風險綜合評估標準。確定評估標準時應與業務管理部門達成一致。比如，可以將貸款違約概率、預期損失額占撥備前利潤的比例作為核心指標，確定貸款相關業務單元風險評估標準，如表4所示。

④使用管理部門結果評估風險。使用管理部門風險評估數據，對照風險評估標準，對可審單元的全行業務整體進行風險評估。比如，對公信貸業務板塊包括大中型信貸業務單元、小微信貸業務單元，個人貸款業務板塊包括個人住房貸款業務單元、個人消費經營貸款業務單元。對這4個業務單元，使用風險管理部門風險評估結果，進行風險評估。評估風險事件發生的可能性時，使用貸款違約概率指標；評估風險對業務目標的影響程度時，使用貸款預期損失額占撥備前利潤的比例指標。綜合形成初步風險評估結果如表5所示。比如，表5中所列大中型信貸業務單元，從歷史數據看（虛擬數據，下同），其全行大中型客戶貸款違約概率為1.2%，預期損失額占撥備前利潤的比例為5.5%，對照評估標準，將風險事件發生的可能性評估為“高”，將風險對業務目標的影響程度評估為“高”，初步綜合評估結果為“高風險”。

采用對業務單元整體進行風險評估的方法和標準，對各一級分行業務進行風險評估，分別形成評估結果，作為機構抽樣的依據。比如，使用一級分行風險評估數據，對各一級分行個人住房貸款業務單元風險評估，形成初步風險評估結果，如表6所示。

（3）形成風險評估結果。

可以將外部監管、行內風險管理部門、內控合規部門和審計評價意見作為修正因子，對初步風險評估結果進行修正，形成最終風險評估結果。以某大型商業銀行為例，可以使用的修正因素主要包括：監管部門的年度評價結果、監管意見，全面風險管理評價結果，信用風險評價結果，資產質量通報，內部控制評價結果，合規工作評價結果，最近一次內部審計作出的評價，大數據分析的疑點分布結果。

①業務單元風險評估結果。使用修正因子對貸款相關業務單元初步風險評估結果進行修正，個人消費經營貸款業務單元因大數據分析部分貸款資金流入限制性領域、貸款資金流向不合規導致較多的監管處罰，由“中風險”修正為“高風險”。使用風險評估結果分級標準，確定貸款相關業務單元風險等級，如表7所示。

②業務單元各分行風險評估結果。使用修正因子對個人住房貸款業務單元各分行初步風險評估結果進行修正，C分行因大數據分析風險樓盤大量增加，由“中風險”修正為“高風險”。使用風險評估結果分級標準，確定個人住房貸款業務單元各分行風險等級，如表8所示。

2.機構維度風險評估。

對機構進行風險評估，主要采取以下兩種形式：一是對機構整體進行直接評估，二是加總各業務板塊風險評估結果。

（1）機構整體直接評估。

①選取對機構經營管理影響大的主要風險類別。在機構層面，一般選取信用風險、市場風險、操作風險、集中度風險、合規風險，作為評估的主要風險類別。

②確定每類風險類別的重要性水平。根據主要風險對經營目標的影響，分別確定各類風險重要性水平，賦予一定權重值，如表9所示。

③選擇每類風險的評估指標，確定評估標準。如表10所示。

④風險評估。將各風險類別評估結果進行加總，按照以下標準判斷整體風險。高風險類別加權占比超過30%時，機構整體風險至少評估為高風險；中風險及以上類別占比超過30%時，機構整體風險至少評估為中風險。

⑤使用管理評價結果進行修正。在銀行風險管理實務中，可以將機構的全面風險評價結果由好到差劃分為A、B、C三檔，全面風險評價B檔的機構，風險評估最終結果應不低于中風險等級。全面風險評價C檔的機構，風險評估最終結果應不低于高風險等級。

（2）業務單元加總評估。

①確定重要性水平。考慮業務規模、對機構整體目標實現的影響等因素，對各業務單元按影響程度賦予權重值。大中型信貸業務單元可賦權重值10，個人住房貸款業務單元可賦權重值5，呆賬核銷業務單元可賦權重值1。

②風險評估。將業務單元風險評估結果進行加總，按照以下標準判斷整體風險。高風險業務單元加權占比超過30%時，機構整體風險至少評估為高風險；中風險及以上業務單元加權占比超過30%時，機構整體風險至少評估為中風險。

③使用管理評價結果進行修正。全面風險評價B檔的機構，風險評估最終結果應不低于中風險等級。全面風險評價C檔的機構，風險評估最終結果應不低于高風險等級。

3.提出立項建議。

（1）業務維度立項建議。

利用審計計劃風險評估結果，結合外部監管要求、管理層的關注程度、審計的覆蓋頻率，確定審計覆蓋策略，對業務板塊中的業務單元，通過常規審計項目、動態敏捷審計進行覆蓋。如表11所示。

對貸款相關業務單元覆蓋策略如下：大中型信貸業務單元、小微信貸業務單元、個人消費經營貸款業務單元評估結果為高風險，當年通過審計項目覆蓋；個人住房貸款業務單元評估結果為中風險，可通過審計項目覆蓋，也可通過動態敏捷審計覆蓋；根據對一級分行風險評估結果，確定重點覆蓋機構。

（2）機構維度立項建議。

根據機構單元風險評估結果，結合周期覆蓋頻率，確定機構審計覆蓋對象。

4.后續管理。

（1）審計計劃中期風險評估。

在年度審計計劃執行中期，根據經營管理環境變化、風險狀況變化重估風險，對風險變化大的業務單元，調整審計覆蓋策略。

（2）持續更新風險評估結果。

根據審計計劃執行結果，對風險評估結果按年度持續維護更新。風險評估年度更新結果，用于指導制訂下年度審計項目計劃。

（二）風險評估體系在審計實施階段的應用

審計實施階段風險評估由審計組或審計人員實施，評估對象是所審業務單元的業務事項和控制點。審計實施階段風險評估，貫穿審計項目各個階段。審計組或審計人員通過控制風險初步評估、控制測試或擴大測試、評估控制風險，得出控制有效性評價結論。在此基礎上，可以形成對所審業務單元的風險評估結論，對審計計劃階段風險評估結果進行驗證。

1.控制風險評估。

控制的目的是防止和減少風險事件的發生，將風險控制在可以接受的程度之內。控制點的風險評估過程實際就是控制有效性的評價過程。通過評估，形成控制點控制有效性的審計結論。控制點控制有效性的評價結果可以用好、一般、差等定性等級表示，對應的控制風險水平為低、中、高。

（1）初步評估控制的有效性。

審計組通過調查和了解內部控制，初步評估所審業務事項各控制點內部控制的有效性，并根據評估情況確定審計策略（控制測試或擴大測試）。比如，大中型信貸業務單元包含流動資金信貸、固定資產貸款、房地產信貸、專項融資、國內貿易融資及供應鏈融資、擔保承諾等業務事項。其中，房地產信貸業務事項包含規模及投向控制、客戶/項目準入管理、風險控制有效性3個控制點。初步評估以上控制點內部控制的有效性，并確定審計策略，如表12所示。

（2）形成控制有效性評價結果。

審計組根據審計測試結果，對控制點的控制風險進行評估，當控制風險大于預期水平時，作為內部控制缺陷出具審計發現底稿，形成控制有效性評價結果和控制風險評估結果。

接前例，對房地產信貸業務事項控制點進行測試，形成控制有效性評價結果，對內部控制缺陷出具審計發現底稿，如表13所示。

2.業務事項的風險評估。

審計組根據審計發現的重要風險事項，對業務事項的剩余風險進行評估，當剩余風險不可接受時，作為重要風險事項出具審計發現底稿，對業務事項作出控制有效性整體評價，形成審計結論。業務事項剩余風險水平分為可接受和不可接受兩類。

接前例，房地產信貸業務事項存在少數大型客戶風險信號明顯的重要風險事項，該業務事項控制有效性評價結果為“差”，剩余風險不可接受，作為重要風險事項出具審計發現底稿。

業務事項的風險評估，更多依靠審計人員的經驗判斷。審計組應就剩余風險是否在組織可接受水平內與審計對象達成一致。如未達成一致，應在審計報告中披露。

四、內部審計風險評估體系應用的配套機制

（一）建立有效溝通的工作聯系機制

內部審計風險評估的大部分信息來源于經營管理部門，評估結果也將應用于商業銀行的風險管理。審計部門應當建立有效溝通的工作聯系機制，在實施風險評估時，增強換位思考意識，與經營管理部門常態化溝通風險評估工作，在部門間共享各類成果信息，形成相融互促的工作聯系氛圍。

（二）建立敏捷高效的動態分析調控機制

內部審計風險評估是一個持續的過程，隨時都會面臨重要的風險變化。審計部門應當建立敏捷高效的動態分析調控機制，隨時關注經營管理環境變化，及時獲取第一手重要經營管理信息，分析影響風險變化的關鍵因素，前瞻識別重要風險，動態調整風險評估結果，因勢調整審計覆蓋策略，提升風險評估的時效性和價值創造力。

（三）建立持續創新的專業研究機制

內部審計風險評估具有很強的專業性，規范化建設尤為重要。審計部門應當建立持續創新的專業研究機制，建立和持續優化審計專業體系，以審計專業體系為基礎，統籌開展包括風險評估在內的各項審計工作，有效發揮風險評估對審計價值增值的保障促進作用。

總之，構建系統、科學的內部審計風險評估體系，是商業銀行內部審計在新形勢下幫助組織應對重要風險挑戰的核心基礎性工作。商業銀行內部審計必須立足于統籌發展和安全，緊跟商業銀行未來發展趨勢和風險變化，持續探索、應用和完善內部審計風險評估體系，不斷提升內部審計工作質效，助力商業銀行高質量發展。

（作者單位：中國建設銀行股份有限公司山東總審計室，郵政編碼：250099，電子郵箱：wangqingsong.zh@ccb.com）

主要參考文獻

[1]國際內部審計師協會.國際內部審計專業實務框架[S].北京：中國財政經濟出版社， 2017

[2]李鳳雛.深入研究探索 推動內部審計高質量發展[J].中國內部審計， 2021（12）：4-9

[3]劉雷，李玲焰，冉洪川.開展商業銀行研究型內部審計的若干思考[J].中國內部審計， 2022（5）：25-28

[4]劉小書，沈璜.以風險為基礎的內部審計探討[J].中國內部審計， 2020（7）：41-43

[5]王周偉.風險管理（第2版）[M].北京：機械工業出版社， 2020

[6]王祖繼，許一鳴.大型商業銀行風險管理[M].成都：西南財經大學出版社， 2020

[7]張曾蓮.風險評估方法[M].北京：機械工業出版社， 2019