內部審計在現(xiàn)代商業(yè)銀行風險管理中的作用

1、內部審計在現(xiàn)代商業(yè)銀行風險管理中的作用簡介： 隨著金融體制改革的日益深化，建立科學的公司治理結構和 風險管理體制成為擺在每個商業(yè)銀行面前的重要課題，而內部審計作為一項獨立、客觀、公正的約束與評價機制，在現(xiàn)代企業(yè)風險管理中 正發(fā)揮著越來越重要的作用，履行和發(fā)揮內部審計在風險管理中的職 責與作用是現(xiàn)代商業(yè)銀行轉化經(jīng)營機制、建立現(xiàn)代企業(yè)制度的客觀需 要，也是內部審計充分發(fā)揮和提升審計價值實現(xiàn)增值服務的重要途 徑。本文就內部審計與企業(yè)風險管理的關系及內部審計如何參與企業(yè) 風險管理進行了思考，并提出一些建議。隨著金融體制改革的日益深化，建立科學的公司治理結構和風險管理 體制成為擺在每個商業(yè)銀行面前的重要

2、課題， 而內部審計作為一項獨 立、客觀、公正的約束與評價機制，在現(xiàn)代企業(yè)風險管理中正發(fā)揮著 越來越重要的作用，履行和發(fā)揮內部審計在風險管理中的職責與作用 是現(xiàn)代商業(yè)銀行轉化經(jīng)營機制、 建立現(xiàn)代企業(yè)制度的客觀需要， 也是 內部審計充分發(fā)揮和提升審計價值實現(xiàn)增值服務的重要途徑。本文就內部審計與企業(yè)風險管理的關系及內部審計如何參與企業(yè)風險管理 進行了思考，并提出一些建議。一、內部審計與企業(yè)風險管理的關系風險是指發(fā)生對目標的實現(xiàn)可能產(chǎn)生影響的事件的不確定性。風險的衡量標準是后果與可能性。風險管理是指對影響組織目標實現(xiàn)的 各種不確定性事件進行識別與評估，并采取應對措施將其影響控制在 可接受范圍內的過程。

3、風險管理主要包括風險識別、風險評估、風險 應對三個階段。可見，風險管理是現(xiàn)代企業(yè)管理的一項主要內容，為 了實現(xiàn)企業(yè)的工作目標，企業(yè)管理層應當確保企業(yè)中存在良好的風險 管理過程并使其發(fā)揮作用。中國內審協(xié)會對內部審計的定義是：“內部審計是指組織內部的 一種獨立客觀的監(jiān)督和評價活動，它通過審查和評價經(jīng)營活動及內部 控制的適當性、合法性和有效性來促進組織目標的實現(xiàn)”，而“風險 管理是組織內部控制的基本組成部分，內部審計人員對風險管理的審 查和評價是內部控制審計的基本內容之一 ”， 也就是說風險管理是內 部審計的重要內容。國際注冊內審師協(xié)會對內部審計的描述是：“內部審計是一種獨立、客觀的保證工作與咨詢活

4、動，它的目的是為機構增加價值并提高 機構的運作效率。它采取系統(tǒng)化、規(guī)范化的方法來對風險管理、控制 及治理程序進行評價，提高它們的效率，從而幫助實現(xiàn)機構目標?！?并且指出“內部審計應該就管理層的風險管理過程的充分性和有效性進行檢查、評估、報告，并提出改進意見”。可見，國際先進內審 理念已明確將風險管理作為內部審計的重要內容， 現(xiàn)代內部審計的范圍已從傳統(tǒng)的財務審計擴大到風險管理和公司治理層次上， 有效的風險管理機制和健全的公司治理結構已成為現(xiàn)代內部審計關注的重點。在現(xiàn)代內部審計工作中， 內部審計與風險管理有了明確的結合點風險管理審計。 風險管理審計是在帳項基礎審計和制度基礎審計基礎上發(fā)展起來的一種

5、審計模式， 是指審計人員在對被審單位的內部控制充分了解和評價的基礎上，運用一定的審計手段，分析、判斷被審單位的風險所在及其風險程度， 針對不同風險因素狀況、 程度采取相應的審計策略， 加強對高風險點的實質性測試， 將內部審計的剩余風險降低到可接受水平。 2005 年 5 月 1 日中國內審協(xié)會頒布了“內部審計具體準則第 16 號風險管理審計”， 風險管理審計作為先進的審計理念和審計內容正式步入我國內審領域。因此， 作為現(xiàn)代企業(yè)管理的重要內容， 內部審計與風險管理的聯(lián)系日趨緊密。 內部審計本身就是企業(yè)管理的一種手段和方式， 是內部管理的延伸； 風險管理是企業(yè)管理的重要內容， 同時也是現(xiàn)代內部審計

6、的重要內容之一， 內部審計負有識別和評估風險的責任。 風險管理作為管理層一項關鍵責任， 企業(yè)管理層對其負有不可推卸的責任； 內部審計師則有職責定期評價并協(xié)助其他部門進行風險管理， 在改善管理層的風險管理流程效果和效率方面進行檢查、 評價、 報告和提出審計建議，幫助識別、評價和實施風險管理方法和控制。內部審計和風險管理在企業(yè)中的目標是一致的，都是為了實現(xiàn)企業(yè)的組織目標。二、內部審計在現(xiàn)代企業(yè)風險管理中的作用在風險管理審計中，風險管理成為組織中的關鍵流程，分析、確認、揭示關鍵性的風險，成為內部審計的主要職責。（一）內部審計將風險管理納入審計范疇，有助于實現(xiàn)企業(yè)全面工作和總體目標的實現(xiàn)?，F(xiàn)代企業(yè)面臨

7、的經(jīng)營環(huán)境日趨復雜， 風險日益增大， 減少面臨的風險是企業(yè)實現(xiàn)價值最大化目標的關鍵。 內部審計采取系統(tǒng)化、 規(guī)范化的方法促進建立風險管理過程， 通過內控制度的評價， 對公司經(jīng)營活動進行風險識別和評價， 改進風險管理與控制體系， 提請管理層關注風險，從而完善企業(yè)管理，轉化負面風險，提升企業(yè)競爭能力和應變能力，最終實現(xiàn)企業(yè)目標。對企業(yè)而言，對風險識別、防范和控制需要從全局考慮，而企業(yè)本身是多個部門的集合， 各業(yè)務部門很難做到這一點。 內部審計在企業(yè)中具有相對獨立的地位， 決定其能站在全局的高度相對超脫地獲得 企業(yè)內部控制、 經(jīng)營管理活動及風險管理等方面的信息， 向管理層提供創(chuàng)造性思維，提出科學合理

8、的建議，避免風險帶來的損失。所以無論是從全局工作還是實現(xiàn)總體目標的角度來看， 內部審計都有職責融入風險管理。 內部審計將風險管理納入審計范疇， 對實現(xiàn)企業(yè)全面工作和總體目標將發(fā)揮及大的作用。（二）內部審計的相對獨立和與企業(yè)一體性的獨特地位，決定了其對企業(yè)風險的揭示更準確更有效。從企業(yè)內部看， 現(xiàn)代企業(yè)建立了各級風險管理組織層次， 包括風險控制委員會、內部審計部門、專職風險監(jiān)管部門。但風險監(jiān)管部門往往做為一個職能部門隸屬于各級管理層， 不具有獨立性， 其意見有時會屈服于管理當局的壓力，這使得風險管理部門的作用受到限制。在現(xiàn)代企業(yè)中， 內部審計部門獨立于管理部門， 在現(xiàn)代企業(yè)公司治理構架中， 內部

9、審計往往隸屬于董事會或審計委員會， 直接向董事會負責， 其風險評估的意見可以直接報送給董事會， 提出的意見與建議更具權威性。從企業(yè)外部看， 外部審計從獨立、 客觀的角度對企業(yè)的財務報表 進行審計和對企業(yè)的內部控制進行復核， 經(jīng)常能提供一些有用的信息影響到企業(yè)風險管理。 但他們更多地圍繞企業(yè)會計報表的合法、 公允、 一貫性開展工作， 對企業(yè)管理環(huán)境和運作過程不十分熟悉， 決定其提供的風險管理服務不能做到貼近內部管理， 不能對企業(yè)風險管理的有效性負責。 而內部審計部門對企業(yè)面臨的風險更了解， 在風險管理方面擁有外部審計師無可比擬的優(yōu)勢。 他們以風險發(fā)生可能性大小為依據(jù)，深入經(jīng)營管理過程和行為，在業(yè)

10、務經(jīng)營、財務管理、費用控制等各方面查找并防范風險， 通過內部視角， 敏銳觀察經(jīng)營過程中不斷變化的風險因素， 快速傳遞管理中存在的缺陷或失敗， 促使董事會和高級管理層做出快速反應，及時采取措施，防范和糾正不當行為。（三）風險因素始終貫穿于內部審計的整個審計程序，使內部審計成為風險控制程序的重要補充。內部審計人員應用現(xiàn)代風險導向審計模式， 從整體上把握審計風險因素，合理整合審計資源，警惕可能影響目標、運營和資源的重大風險，最大限度地減少審計風險。在審計計劃、審計實施、審計報告階段， 將風險作為重要考慮因素， 在整個審計過程貫穿對風險的關注，充分考慮風險管理的充分性和有效性。具體講，在審計計劃階段，

11、內部審計應該考慮企業(yè)活動存在的風險， 在評估風險優(yōu)先次序的基礎上 安排審計工作，按照風險大小分配審計資源；在審計實施階段中，審 計通過檢查、 評價風險管理過程的充分性和有效性， 發(fā)現(xiàn)風險控制的 漏洞和薄弱環(huán)節(jié)；在審計報告階段，對風險管理狀況進行評價，對風險管理中存在的漏洞和不足提出改進建議， 協(xié)助確定、 評價并實施針對風險管理的方法和控制措施。三、內部審計如何參與現(xiàn)代企業(yè)風險管理內部審計可以從風險識別、 風險評估、 風險應對三個階段參與企業(yè)風險管理，通過審查和評價企業(yè)風險識別、風險評估、風險應對的充分性、適當性、有效性，來識別、報告潛在重大風險，提出應對措施，同時通過落實審計建議督促企業(yè)采取有

12、效的風險控制措施。（一）審查和評價企業(yè)風險識別的充分性和適當性。風險識別是管理層的職責， 主要是根據(jù)企業(yè)的組織目標、 戰(zhàn)略規(guī)劃等識別企業(yè)所面臨的各類內、外部風險。是對企業(yè)所面臨的、以及潛在的各類內、外部風險加以判斷、歸類和鑒定風險性質的過程，實質上就是對風險進行定性研究。內部審計人員通過實施必要的審計程序， 對企業(yè)風險識別過程進行審查與評價，重點關注企業(yè)面臨的內、外部風險是否已得到充分、 適當?shù)拇_認。 外部風險是指外部環(huán)境中對組織目標的實現(xiàn)產(chǎn)生影響的 不確定性， 其主要來源于國家法律法規(guī)及政策的變化、 經(jīng)濟環(huán)境的變化、科技的快速發(fā)展、行業(yè)競爭、資源及市場變化、自然災害及意外損失等。 內部風險是

13、指內部環(huán)境中對組織目標的實現(xiàn)產(chǎn)生影響的不確定性，其主要來源于組織治理結構的缺陷、組織經(jīng)營活動的特點、組織資產(chǎn)的性質以及資產(chǎn)管理的局限性、組織信息系統(tǒng)的故障或中斷、組織人員的道德品質、 業(yè)務素質未達到要求等。 內部審計部門要關注企業(yè)已識別風險的完整性， 即企業(yè)所面臨的主要風險是否均已被識別出來， 并找出未被識別的主要風險。 這就需要內部審計人員也要對企業(yè)的風險進行有效識別， 從而審查和評價企業(yè)對風險識別的充分性和適當性。 內部審計熟悉公司的經(jīng)營管理過程， 以風險敏感性分析為起點開展工作， 有效識別風險， 從潛在的事件及其產(chǎn)生的原因和后果來檢查風險，收集、 整理可能的風險，并充分征求各方意見以形成

14、風險列表。 內部審計通常要關注的主要風險有： 財務和經(jīng)營信息不足而導致決策錯誤；資產(chǎn)流失，資源浪費和無效使用；顧客不滿意，企業(yè)信譽受損等。（二）審查和評價企業(yè)風險評估的適當性和有效性。風險評估是對已識別的風險，評估其發(fā)生的可能性及影響程度。風險評估主要應用各種管理科學技術，采用定性與定量相結合的方式，找出主要的風險源，并評價風險的可能影響，最終定量估計風險大小。 風險評估的目的是確定每個風險要素的影響大小， 一般是對已經(jīng)識別出來的風險進行量化估計， 從風險發(fā)生的可能性和影響兩方面對風險進行評估，通過公式：風險值 =風險概率x風險影響，計算出風險值。內部審計部門在審查和評價企業(yè)風險評估時要重點關

15、注風險發(fā)生的可能性及風險對組織目標的實現(xiàn)產(chǎn)生影響的嚴重程度。 為了更好地審查和評估企業(yè)的風險評估， 內部審計人員應當充分了解和掌握風險評估的方法， 風險評估可以采用定性或定量的方法進行： 定性方法，是指運用定性術語評估并描述風險發(fā)生的可能性及其影響程度； 定量方法，是指運用數(shù)量方法評估并描述風險發(fā)生的可能性及其影響程度。 內部審計部門和內部審計師要對已有的風險的評估結果進行再檢驗，以確定其是否恰當，對不恰當?shù)脑u估予以更正。風險分析中，審計師不僅要關注風險的數(shù)量方面， 還要關注風險的屬性方面或其承載價值的后果。 同時， 內部審計人員應當對管理層所采用的風險評估方法進行審查， 以評價風險評估方法的

16、適當性和有效性， 審查時重點考慮以下因素： 已識別的風險的特征、 相關歷史數(shù)據(jù)的充分性與可靠性、管理層進行風險評估的技術能力、成本效益的考核與衡量及其他因素。 內部審計人員在評價風險評估方法的適當性和有效性時， 應當遵循以下原則：定性方法的采用需要充分考慮相關部門或人員的意見， 以提高評估結果的客觀性； 在風險難以量化、 定量評價所需數(shù)據(jù)難以獲取時， 一般應采用定性方法； 定量方法一般情況下會比定性方法提供更為客觀的評估結果。（三）審查和評估風險應對措施的適當性和有效性。風險應對是采取應對措施，將風險控制在組織可接受的范圍內。完成了風險評估后， 確定存在的風險以及它們發(fā)生的可能性， 排列出風險

17、的優(yōu)先級，就可以根據(jù)風險性質和承受能力制定相應的防范措施。根據(jù)風險評估結果作出的風險應對措施主要包括以下幾個方面：一是回避，是指采取措施避免進行可產(chǎn)生風險的活動；二是接受，是指由于風險已在組織可接受的范圍內， 因而可以不采取任何措施； 三是降低， 是指采取適當措施將風險降低到組織可接受的范圍內； 四是分擔，是指采取措施將風險轉移給其他組織或保險機構。內部審計人員在評價風險應對措施的適當性和有效性時， 應當考慮以下因素： 一是采取風險應對措施之后的剩余風險水平是否在組織可以接受的范圍之內； 二是采取的風險應對措施是否適合本組織的經(jīng)營、管理特點； 三是成本效益的考核與衡量。內部審計人員對有關部門針

18、對風險所采取的防范措施進行審查， 對于風險缺乏充分的控制措施的情況， 內部審計部門和內部審計人員應提出改進措施和建議， 協(xié) 助完善風險反應方案，以強化企業(yè)的風險防范管理，降低風險損失。（四）充分利用高科技手段對風險進行持續(xù)、動態(tài)的監(jiān)控。企業(yè)風險并非一成不變， 隨著時間的推移， 風險有可能會增大或者減小。因此， 需要時刻監(jiān)控風險的發(fā)展與變化情況，并確定隨著某些因素的出現(xiàn)或消失而帶來的新的風險。 風險監(jiān)控包括兩個層面的工作： 其一是跟蹤已識別風險的發(fā)展變化情況， 關注風險產(chǎn)生的條件和導致的后果變化， 衡量風險減緩計劃需求。 其二是根據(jù)風險的變化情況及時調整風險應對措施， 并對已發(fā)生的風險及其遺留風險和新增風險及時識別、分析，并采取適當?shù)膽獙Υ胧?。對于已發(fā)