金融危机下我国商业银行实行风险导向型审计的思考

2009-8-3

　　摘要：由美国次贷危机演变而来的全球性金融风暴，已经击垮了不少知名的金融机构。究其原因，除过度投机、金融监管缺失等外部因素外，信用体系的错位乃至崩溃也直接导致次贷危机的发展蔓延。素以严格的商业银行内部审计何在?对我国商业银行特别是基层行在防范风险上又有何启示?本文就我国商业银行内审部门在防范操作风险中，如何运用风险导向型审计方法，进一步发挥审计监督在防范和控制风险中的积极作用进行了阐述。

　　关键词：风险导向型审计，风险防范，内部控制

　　商业银行是经营风险的特殊企业，面临信用风险、流动性风险、市场风险、操作风险、法律风险等诸多金融风险，使得各经营环节都蕴含着风险。从商业银行的现状来看，薄弱环节引发的重大违法违规问题和经济案件是最大的金融风险，这些重大问题和经济案件对金融体系危害严重、影响广泛，受损的不仅是有形的资产，而且使商业银行在社会公众和投资人心中的形象、声誉受到贬损，近年来发生的典型金融风险案例都证实了这一点。因此，在商业银行内部审计中，首要的任务是防范风险，尤其是基层经营行的操作风险。审计部门必须充分借鉴国际商业银行的经验，探索建立新的内部审计模式，树立风险导向型审计理念，进一步发挥审计监督在防范和控制风险中的积极作用。

　　一、风险导向型审计的基本概述

　　1.风险导向型审计的概念。风险导向型审计是在账项基础审计和制度基础审计上发展起来的新型的审计模式。审计人员在对被审计单位的内部控制充分了解和评价的基础上，判断、分析被审单位的风险所在及其风险程度，通过审计风险模型对风险进行量化，把审计资源集中于高风险的审计领域。针对不同风险因素状况、程度采取相应的审计策略，审计人员加强对高风险点的实质性测试，将审计的剩余风险降低到可接受水平，达到降低检查风险、节约审计成本、提高审计质量和效率的目的。同时，在此基础上提出建设性的意见和建议，协助企业管理风险，实现企业价值增值的独立、客观的鉴证与咨询活动。

　　2.风险导向型审计的特点。风险导向型审计的主要特点是合理地扬弃了制度基础审计模式下“无利害关系假设”，把指导思想建立在“合理的职业怀疑判断假设”的基础上，不只依赖对被审计单位内部控制制度的检查与评价，而是实事求是地对被审计单位管理层和操作层是否诚信、是否存有舞弊造假的驱动保持一种合理的职业警觉，将审计的视野扩大到被审计单位所处的经营环境(微观、中观乃至宏观)，将风险评估贯穿于审计工作的整个过程。

　　3.风险导向型中计与制度基础审计的区别。一是制度基础审计模式以内部控制为核心，对风险的评估主要依赖内部控制的检查与评价，而对固有风险的评估常常流于形式；而风险导向型审计不仅通过内部控制评估控制风险，还结合固有风险等其他因素综合考虑，通过对企业环境、发展战略、公司治理结构等方面的评估，发现潜在的风险点、风险源、风险域。二是制度基础审计以内部控制制度为基础，根据被审计单位内部控制制度的健全性及符合性评估结果，确定实质性测试的范围和重点；风险导向型审计则以风险评估为基础，对影响被审计单位经济活动的多种内、外风险因素进行评估，确定审计范围、重点和方法，不仅重视与内部控制系统直接相关因素，而且重视各种环境因素。

　　二、商业银行应用风险导向型审计的必要性

　　1.巨大的业务量需要风险导向审计。目前，商业银行的财务报表具有业务量大、金额大、资金往来频繁等特点，而审计资源的供需矛盾比较突出，在信息系统条件下，详查法虽然可行，但显然不具有经济性、科学性。运用现代风险导向审计，能够科学地解决业务数据海量的的问题，以全面评估风险为基础，对风险高的业务与内容加大审计力度，将审计资源按风险控制更合理地进行分配与使用，加大对风险高的业务与内容的审计力度，提高审计效率，保证审计质量。

　　2.操作风险的特性需要运用风险导向审计。根据《巴塞尔薪资本协议》，操作风险是指内部不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险。与信用风险和市场风险等相比，操作风险具有四个明显的特征：一是风险的内生性；二是复杂性和隐蔽性；三是风险与收益不对称性；四是关联性。这些特性与风险导向型审计的审计特长决定了防范操作风险需要风险导向型审计。

　　3.操作风险防范的及时性需要运用风险导向审计。风险导向审计是以“风险”为核心的理念与方法利用电子信息技术，从其账户管理系统、信贷管理系统等采集大量电子审计数据，充分了解被审银行的资产质量、负债状况、结算业务操作及其内部控制等方面情况，进行有效分析、风险评估，及时找出当前业务管理、操作突出的风险点与风险域，按风险高低程度、紧急性等因素排出次序，确定审计重点，做到“有的放失”，合理配置审计资源实施审计的。

　　4.有效防范管理层舞弊需要风险导向审计。近年来发生的比较典型的金融风险案例证实商业银行光有内部控制是不够的，尤其是当管理层、操作层共同参与舞弊时内部控制制度就流于形式了，若不把审计视角扩展到内部控制以外，就很容易受到蒙蔽和欺骗，不能发现由其它因素而导致的舞弊行为。而风险导向型审计从内外环境及内部控制等更广泛的审计范围把握被审计银行的风险，便于发现管理层、操作层舞弊以及两者串通舞弊等行为。

　　三、风险导向型审计在防范操作风险中的组织实施

　　以合规性审计和风险排查为基础，以严重违规行为和案件的防范为重点，以风险的内部控制为核心，根据被审计对象的风险程度排序结果，配置审计资源，制订审计项目计划。审计的主要内容围绕着控制环境、风险识别评估、控制措施、信息交流反馈、监督评价纠正等内部控制“五要素”展开。我国的商业银行存在规模大、地域分布广、分支机构众多、内部控制基础不牢固、潜在操作风险较高的情况。为此，对基层行风险导向型审计步骤应如下进行。

　　1.内部控制环境的调查。应以评价内部控制和风险管理环境框架作为审计的切入点，通过对内部控制环境的调查和各项业务流程的审查，测评内部控制制度的健全性和风险管理的有效性，揭露问题、堵塞漏洞，建立健全内部控制体系，加强制度执行力建设，防范经营风险。

　　2.评价对信贷风险控制的状况。在信贷资产质量方面，从对客户的准入控制、贷前调查、贷时审查、贷后管理四环节入手，评价对信贷风险控制的状况，主要审计贷款企业资料的真实性，内部操作流程和审贷行为的合规性；审查贷款担保手续即第二还款来源的真实合法、足值、有效性；审查贷后管理措施、效率和效果，着重检查对隐患、风险的揭示和提出防范、化解资产风险的建议情况。

　　3.进行会计精力的..审计。在会计业务审计方面，要重点对会计业务的政策、制度、流程和金库管理、银企对帐、柜员卡管理、印押机证管理、内部帐务管理、重要岗位人员管理等方面情况进行审计，确保会计内部控制制度覆盖所有风险点和实现帐帐、账据、账款、账实、账表、内外账“六相符”。

　　4.审计对信息系统和金融创新情况进行实时监控。从目前目前现状来看，信息系统和金融创新业务的内部控制相对较弱，相应的法规和制度建设滞后，容易成为新的风险点，应重点审查是否建立了制度制约与机器制约的控制体系，即提高了通过技术手段防范操作风险的能力，计算机操作系统能够支持各类管理信息的适时、准确生成，做到系统的可验证性。业务操作的每一个步骤都要在计算机系统中“留痕”，为业务操作复核和稽查提供基础，可实现实时监控和集中远程监控，使得能够通过数据链接，运用预警软件及分析性复核，及时发现潜在的风险，并能够迅速采取有效的措施予以清除。

　　5.要加强对“关注类”人员排查工作情况的审查。内部控制制度的建设和执行要依靠人，案件的发生也是人所为的，因此要审查基层行在人力资源管理上开展关注类人员排查工作的情况。主要检查内容包括基层行有无建立相应的各级管理者、员工行为失范监察制度，严格记录了重要岗位和敏感环节工作人员八小时内外的行为，就这些工作人员的有无经商、买卖股票、彩票等行为建立内部报告制度，分析其工作表现、生活习性、经济往来、家庭情况以及社会往来情况。审查对排查出来的行为失范员工进行教育记录，对发现有涉黄、涉赌、涉毒以及未报告的股票买卖和经商办企业等行为的人员采取的检查、调整措施。审查对排查工作责任追究情况，对确有问题而排查工作马虎酿成案件的，要追究有关当事人的责任。

　　四、风险导向型审计在防范操作风险运用中应注意的事项

　　1.强化风险导向审计的理念。从商业银行内部审计的职能看，主要体现在监督职能上。如以查错纠弊、堵塞漏洞为目的，则难以从全局的角度来分析和解决问题，难以从制度上纠正审计发现的问题。为使风险导向审计顺利开展，首先，内部审计的职能应从监督职能为主转为以评价服务职能为主，不能仅局限于查错防弊和保护资产，更重要的是要针对存在的各种风险提出有效的控制措施，明确内部审计职能重点，无疑会推动风险导向审计这一先进模式在商业银行内部审计领域的运作与实施。其次，建立积极的、正确的风险导向审计理念。风险导向审计理念主要是指在全面理解被审计部门风险的前提下，识别出固有审计风险，并进一步评价被审计对象对这些固有风险的控制措施，而被审计部门控制不足或无效部分则会形成剩余风险，针对剩余风险，审计师需要制定相应的策略和措施，从而将其降至可接受水平。第三，审计实务中风险导向审计要求内审人员不仅对控制风险进行评价，而且要对产生审计风险的各个环节进行评价，还需要将风险导向审计与制度基础审计结合起来运用。风险导向审计不能取代制度导向审计，风险导向虽然代表内部审计的发展方向，应用价值较大，但它有一定的适用范围，必须正确认识和运用；同时，操作风险的产生与银行内部控制制度不健全、不完善时分不开的，有效防范操作风险，内部控制仍然是基础，即制度导向审计仍是根本，也是风险导向审计的基础。

　　2.编制审计方案的审计内容时要以风险导向为重点。内部审计活动总的目标是“评价并帮助改进机构的风险管理、控制和治理系统”，具体审计活动要围绕更为具体的风险管理目标进行。由此，在研究制定方案之前，关键是要确定审计监督的目标。风险导向审计不像其他审计模式过早地侧重于控制活动的环节，而是以审计部门的目标为起点，通过确认、衡量风险，确定其重要性，以确定如何控制管理风险。因此，在编制审计方案时，内审人员应着重以审计目标为起点，注意评估被审计对象的风险点，从分析被审计对象业务易产生的问题入手，通过风险的导向和严密的逻辑推理，一步一步的推导和落实审计的范围和重点，最终确定相关审计程序。

　　3.注意审计方法的综合运用及其相互配合。风险导向型审计要求审计人员应有系统、综合运用审计方法的能力。在审计的期初，应侧重分析法，分析可能产生风险的各种因素；在实质性测试阶段，则主要运用查账的方法；在审计终结阶段，更多运用的是比较法、归纳法等。风险导向审计并未完全抛弃传统审计的方法，仍需要大量运用分析性复核、抽样审计等传统审计手段。

　　4.大力推进计算机辅助审计。随着计算机及网络技术的发展，计算机通信技术、管理信息系统、应用系统软件等在商业银行得到广泛应用，需要大力推行计算机信息技术审计。通过开发专门针对操作风险防范的审计软件，建立以计算机技术为核心的非现场内部审计监督体系，以更有效地开展现代风险导向审计。

　　5.不断提高内部审计人员综合素质。由于金融业务的不断创新，各种金融衍生工具层出不穷以及金融工具、管理方法不断更新，这一方面要求审计人员要对各类业务的风险进行识别、检测、度量，必须掌握更多与之相关的金融、数理统计、数据分析等方面的知识和能力，不断提高自身综合素质和业务技能，强化控制风险和指导管理的意识，准确掌握风险导向审计工作的内涵，才能有效开展现代风险导向审计。同时，按照全面的内控理论，内审人员不再是内部控制的唯一责任主体，被审计对象所有成员都对内部控制负有相应的责任，必须同步提高被审计单位人员的风险意识，以便能够主动与内审人员共同查找主要风险点和控制薄弱环节等方面，制定有效的业务风险点控制措施。

金融危机下我国商业银行实行风险导向型审计的思考