基层央行开展风险导向内部审计探析

摘要：本文从风险导向内部审计的内涵着手，通过分析基层央行开展风险导向内部审计的必要性和可行性，探索风险导向内部审计在基层央行的具体应用，以期对基层央行引入风险导向审计模式，加快内审工作转型提供一定借鉴意义。
    关键词：风险导向审计，风险评估，基层央行

风险导向审计作为一种新型审计模式，已经在欧美等发达国家得到充分重视和广泛实施。在我国，风险导向审计模式尚处于初步认识和探索阶段。作为基层央行内审部门，如何在现有内部审计模式下，结合自身发展，逐步引入风险导向审计的理念和方法，积极适应内审工作转型，值得我们深入思考。
    一、风险导向内部审计的内涵
    (一)关于风险导向内部审计的定义
    目前，风险导向内部审计尚无统一权威的定义。我国理论界中，对风险导向内部审计的定义更多从企业角度展开，多数学者认为：风险导向内部审计是指内部审计人员在内部审计的全过程自始至终都要关注风险，依据风险选择项目，识别风险，测试管理者降低风险的方法，并以风险为中心出具审计报告，协助企业风险管理，是一种基于同时降低审计风险及企业经营风险，进行风险管理的一种有效工具。从央行的角度出发，风险导向内部审计的基本内涵可概括为:在审计过程中以组织机构风险分析评估为导向，根据量化的风险水平排定审计项目优先次序，确定审计范围与重点，对组织机构的风险管理、内部控制等情况进行评价，并提出建设性意见和建议，协助组织机构管理风险，确保组织机构安全高效运行的独立、客观的确认和咨询活动。其特点在于可通过风险审计模型量化风险，一方面将审计资源集中于高风险的审计领域，通过降低检查风险把审计风险降低到审计人员可以接受的水平；另一方面通过差别对待提高审计效率，节约审计成本。
    (二)关于风险导向内部审计的理论结
    
    构鉴于内部审计与外部审计在审计理论结构方面的相似性，对内部审计理论结构的研究往往会借鉴外部审计理论结构的研究成果。在我国，较早提出审计理论结构模式的是蔡春(1993)的“环境-本质-假设-目标-规范与信息-控制-环境”的审计理论结构模式。以此为基础，严辉(2004)采用“本质-假设-目标-职业规范”的结构模式，构筑了比较完整的风险导向内部审计理论结构框架。陈宏(2005)按照“目标-对象-职责”的模式，研究风险导向内部审计的基本理论框架。
    从央行角度出发，更倾向于李玲、陈任武(2006)提出的“目标-风险-控制”模式，即审计人员首先确认企业目标或某项交易的目标，然后分析对这些目标产生影响的风险以及能够管理这些风险的控制，最后测试实际的控制，考虑其能否切实管理这些风险。这种模式的内部审计，重视与单位目标直接关联的风险分析，紧密关注高风险领域，并根据风险评估结果调整审计战略，确定审计重点，从而能提供更相关、更符合管理当局需求的确证信息，帮助组织提高风险防范水平和经营效率。
    (三)关于风险导向内部审计程序研究
    胡春元(2001)将风险基础审计的程序分成五个阶段，分别为：第一阶段(识别重要的风险领域)；第二阶段(了解和评估重要的资料来源)；第三阶段(执行初步风险评估)；第四阶段(通过实施审计获取审计证据)；第五阶段(做出审计报告)。王晓霞、孙坤和张宜霞(2004)从一般的审计程序模式衍生出风险导向内部审计的实施程序，即编制审计计划-选择被审计者-审计目标与测试-审计发现与审计报告-后续审计。笔者倾向于郭群(2006)按照内部审计“计划阶段-实施阶段-终结阶段”研究风险导向内部审计的实施程序：在计划阶段，通过系统地分析、识别、衡量企业面临的风险，按照风险的高低，制定年度审计计划，确定被审计对象的先后顺序；在实施阶段，首先确认企业目标或某项交易的目标，然后分析对这些目标产生影响的风险，确定审计风险水平和审计重点，提出风险防范和控制建议，最后通过后续审计，测定风险是否得到有效防范和控制；在审计终结阶段，审计人员以风险评估为基础提出审计发现和审计建议后，出具审计报告。
    二、基层央行开展风险导向内部审计的必要性
    (一)开展风险导向内部审计是基层央行有效履职的需要。随着人民银行宏观调控职能的加强，征信管理、反洗钱等新业务的出现，现代化支付系统等信息技术的建设发展，宏观调控政策中的传导风险、行政管理中的法律风险、业务现代化发展中的信息技术风险、履行职责中的效率风险等各种风险也与日俱增，以至出现了因行政执法不当被提起行政诉讼，因管理不善、重要业务信息系统被病毒破坏、因未严格按照有关规定运用货币政策工具，影响货币政策贯彻实施等问题。实行以对整个组织的风险进行评估与改善为最终目的的风险导向审计，将履职风险置于宏观背景下，分析其生存能力和经营风险，能够促使各级人民银行更加关注管理活动和业务活动中的风险因素，从管理的角度来评估与改善风险，全面促进其履职水平的提高。
    (二)开展风险导向内部审计是基层央行防范运行风险的需要。目前，人民银行已经建立了相对完善的内部控制制度，但近年来一些分支机构的违规案件仍时有发生，这充分暴露了这些行在内部控制中存在的漏洞和缺陷。事后的分析证明：人为的疏忽、过失等“软控制”因素，导致的违规操作等实质上的操作风险没有得到及时、充分的揭示是其发生的主要原因。这也不能不引起肩负监督管理职责的内审部门对内审方式、方法和手段进行理性思考。多年来，基层央行采用的专项审计、全面审计等审计方式仍然是对具体业务的抽样或详细审计。作为以实质性检查为主的详细审计，其特点是强调对交易结果的实质性检查，经过大量的凭证核对，详细的账簿检查，得出最后结论。而面对会计集中核算系统、大额支付系统等等信息系统在人民银行的推广运行，出现的支付结算、国库核算业务的成倍增长；面对与信用风险和市场风险等相比，更具内生性、复杂性、隐蔽性和关联性等特性的操作风险，传统的审计手段面对不断扩大的审计范围和审计内容使内部审计的“发现问题”功能弱化，难免使已潜伏的问题成为“漏网之鱼”，也使屡查屡犯问题难以根除。而风险导向内部审计以“风险”为核心的理念与方法，将审计的重点放在对于系统内各个控制环节的风险审查上，通过对风险适当性和有效性的审计评价，及时发现当前业务管理、操作中突出的风险点与风险域，按风险高低程度、紧急性等因素，确定审计重点，合理配置审计资源实施审计，目的在于发现系统中控制的薄弱环节，找出问题发生的根源，这样可以减少工作量，节约审计资源，提高工作效率，保证审计质量。可见，在目前情况下，以检查系统风险防范可靠性为主的风险导向内部审计是提升人民银行内部控制效能的现实选择。
    三、基层央行开展风险导向审计的可行性
    
    (一)具备了运用的环境条件。近年来，人民银行不断加大对管理风险和业务风险的关注力度，逐渐试行全面风险管理。2006年4月，根据COSO整体框架思想制定、实施的《中国人民银行分支机构内控指引》，将风险评估作为内部控制的关键因素，为各级人民银行分支机构实施有效内控提供了准则依据。要求分支机构有针对性地建立科学、有效、可行的风险识别、分析和应对措施，对每一个具体的工作岗位，制定风险评价量化指标和评价标准，实施对相关风险进行持续监督和有效管理。经过三年多的努力，相对健全的风险管理组织架构已初步形成，为风险导向内部审计的运用打下了坚实的制度基础。
    (二)具备了运用的操作条件。作为在账项导向审计和制度基础审计上发展起来的一种审计模式，良好的制度基础审计是风险导向内部审计的基础。经过十年的发展，人民银行已经建立了以《中国人民银行内审工作制度》为基础，以《中国人民银行内审操作程序》为规范，以《中国人民银行领导干部履行职责审计办法(试行)》等一整套具体的操作办法为指南的系统的内部审计操作依据，通过包括业务审计、内部控制审计等方式，将内部审计的深度和广度延展到了货币政策制定与实施、金融稳定、金融服务及财务管理等央行履行职责的各个方面。积累了宝贵的内审工作经验。同时，培养、造就了一支具备良好业务素质、创新能力和职业道德素质的内审队伍，从而使风险导向内部审计的运用成为可能。
    (三)具备了运用的技术条件。随着信息化建设的发展，人民银行各项业务对计算机的依附程度越来越高，为内审部门搜集审计资料提供了便捷的信息平台。信息化建设的发展，以科技的手段评估全行风险，为人民银行实施风险导向内部审计提供了有利条件。
    四、风险导向内部审计在基层央行的应用
    (一)建立风险评估模型
    风险评估是对风险管理状况进行综合评价的重要手段，也是风险导向审计的关键环节。其核心任务就是对风险值大小进行度量，其重点和关键在于风险评估模型的建立。
    1.建立风险分类模型，实行风险分类管理。在风险辨识的基础上，加强对风险成因的分析，找准其可能发生的环节和最主要的影响因素，分类纳入市场风险、信用风险、流动性风险、操作风险、法律风险、声誉风险进行管理(具体见图1)，增强风险管理的针对性。
    图1风险分类模型2.建立风险评估模型，强化风险分级控制。尽管导致风险发生的因素较多，但风险值大小主要取决于风险系数和内控程度。借鉴当前国际上流行的项目选择程序——“风险分值排序法”以及商业银行贷款风险管理“五级分类”的经验，结合人民银行业务特点、职责要求和风险管理的实际，参照风险矩阵确定的风险区域情况，以内控评价等级为横向指标，以固有风险为纵向指标，建立风险评估数学模型，进行量化评级，分级纳入(H、S、M、L)四级进行管理控制(具体见表1)。
    (1)风险评估数学模型释义：①横向为内控等级指标，是指被审计对象或项目内部控制的健全、合理和有效程度，主要依据内控评价结果，以及近几年内审发现的主要风险部位和风险情况等进行确定，划分为5个等级。1级，内控状况优秀；2级，内控状况良好；3级，内控状况一般；4级，内控状况较差；5级，内控状况很差。②纵向为固有风险，是指假设在没有内部控制的情况下，由于业务出现差错、舞弊等原因，导致资金和财产损失的可能性。它主要依据业务种类、业务性质、要害岗位、风险发生几率和影响程度等进行确定。对不同业务种类的固有风险进行定性分析，并予以量化，由低到高可分为1、2、3、4、5个等级。具体的标准划分为：1级，固有风险最低、无危害；2级，固有风险较低、危害较小；3级，固有风险中等、危害一般；4级，固有风险较高、危害较大；5级，固有风险最高、危害最大。③内部对应栏目代表风险值，风险值的确定由横向与纵向所对应栏目的数值相乘取得，即：风险值=固有风险×内控等级。
    (2)综合风险等级的确定：根据不同的风险值，分别给出“高度、严重、中等、低度”(H、S、M、L)4级不同风险程度的综合分类。具体为：风险值≤6为“低度”；6<风险值≤12为“中等”；12<风险值≤15为“严重”；风险值>15为“高度”。
    (二)基层央行风险导向审计实践
    
    基于对风险导向审计的探索，济南分行辖区选择了因职能调整，恢复行使县支行职能时间较短的A县支行开展审计。一方面该支行恢复行使基层央行职能时间短，具体职能尚不完善，如果仍然采用传统合规性审计则不能保证审计效果；另一方面本次审计工作的目的是指导县支行健全内控制度，以期助推其风险管理体制的形成，更好地履行基层央行职责。
    1.明确业务领域，确定风险评估单元。依据济南分行《辖区县市支行业务岗位设置规范》对业务岗位的规定，结合以往现场审计经验，将A县支行业务领域整合为34个业务评估单元。(具体见表2)。
    2.审前识别并分析各业务领域的风险点，据此确定固有风险等级。首先，对于每个业务领域，进行风险点识别(通过逐个业务领域进行风险点梳理，最终确定A县支行风险点351个)；然后根据对各风险点的具体分析，从风险发生可能性和影响程度两个方面确定各业务领域的固有风险等级(1级至5级)，固有风险判断矩阵见表3。
    3.确定各业务领域的内控等级。审计实施阶段，内审人员通过调查问卷、座谈、查阅资料、现场观察和流程图等方法，进行控制有效性测试，确定各业务领域内部控制体系的健全程度。根据现场审计时的控制测试情况，以及调阅上次审计发现问题及整改情况、业务变动及内控制度建设资料，利用专家意见法，对各业务领域的内控有效性情况进行评估，确定其内控等级(见表4)。
    4.运用风险评估模型(表1)确定各业务领域的风险值。如货币信贷业务领域的固有风险等级为3级，内控等级为2级，则最终风险值为6，风险评估等级为低度。对于风险评估等级低度(L)范围内的业务领域，可适当降低审计频率；而对于风险评估等级为严重(S)和高度(H)范围内的业务领域，则要确定为重点审计对象，通过集中力量重点审计、加大审计抽样比例等方式，开展实质性测试，以此检验、评价各业务领域的风险防范措施的有效性、遵循性。
    5.在现场审计结束后，审计人员根据总行风险量化评估方法，对审计发现的问题进行风险评估，提出针对性的建议，并确定后续审计重点，降低了审计风险。在风险评估基础上形成的审计报告可以更全方位地提示被审计对象正在产生影响的各类风险，帮助被审计对象更加安全有效地提高履职绩效。
    (三)风险导向审计的成效
    对A县支行的风险导向审计较为成功的践行了风险导向审计的理念，基本达到了预定的审计目标。一是审计准备的针对性进一步提高。在审计的准备阶段，对被审计对象的业务领域和风险点进行一次系统的排查和研究，有助于审计人员了解被审计对象的业务和风险分布情况，因此在制定审计实施方案时确定的审计重点更具科学性，为审计实施阶段打下良好基础。二是现场审计的效率和质量明显提升。一方面，在审计过程中开展风险评估，审计人员要统筹运用控制测试、实质性测试，密切关注各种风险，对造成审计风险的多种因素进行全面分析和评估，发现被审计单位内部控制中存在的失控环节和薄弱环节，确定审计的重点和范围，充分发挥了审计资源的最大效用；另一方面，在审计项目中，审计人员综合考虑固有风险和控制风险的评估，在此基础上确定抽样范围，提高了抽样检查结果的合理性和客观性，有效保证了审计质量。三是审计总体效果明显增强。通过风险点排查、固有风险评估和内控等级确定等审计方式方法，对被审计单位内部控制和风险管理理念形成较大的影响，有助于被审计单位了解自身存在的诸多问题，使其将更多的精力放在重点风险领域，加强了风险管理的针对性，对其在有限的资源下高效行使职能提供了全新的管理思路。因此，审计报告更容易被接受，内部审计部门在组织中存在的价值得到更多的重视。
    五、推进风险导向内部审计的建议
    
    (一)树立正确的风险管理理念。内审部门在日常工作中应加强对风险管理理念的学习，同时应将风险管理理论与人民银行实际业务相结合，并通过各种形式向同级部门或下级行进行宣传，使其了解风险管理的好处。同时，在具体实施风险导向审计时，应做好审前的讲解工作，对审计中涉及的评价指标、标准、模型的引用、审计的理论支撑等多方面对被审计对象进行解释，使其认识到审计工作本身的科学性、严密性，合理化解抵触情绪。
    (二)积极推进风险评估数据库建设，为风险导向审计提供技术和信息支撑。一是要运用计算机建立风险档案资料库，储存人民银行的风险评估资料、规章制度、历次审计检查的报告以及业务运行和管理活动的相关历史资料，为内审部门开展风险评估提供基础。二是要积极推进辅助审计工具的开发利用，充分运用计算机软件进行分析性测试、统计抽样和风险评估，监测风险状况，进行风险预警，提出风险控制和防范的对策。三是要进一步完善网络信息系统，建立网络化信息系统资源共享机制，为人民银行上下级机构以及各部门之间进行信息交流搭建平台，实现风险信息在人民银行内部传递畅通。
    (三)注重不同审计方法的综合运用及其相互配合。在进行审计工作时既要运用现代风险导向审计的多种分析方法，又要用到内部审计的一般方法，还要涉及现代管理方法。在审计的不同阶段，如在风险导向审计的初期，应侧重运用分析法，分析可能产生重大错报风险的各种因素；在实质性测试阶段，则主要运用查账的方法；在审计结束阶段，则应更多的运用比较法、归纳法等。
    因此，审计方法不是孤立和唯一的，它是一个系统的方法体系，需要相互配合使用。
    参考文献：
    
    [1]沈荣勤.实现监督模式由业务复核型向风险监控型转变[J].中国金融，2008，(4).
    [2]中国人民上海总部课题组.内部审计对央行风险管理的监督与评价[J].中国内部审计，2008，(3).
    [3]张华昆.实施风险导向审计推进内审工作转型[J].中国审计，2008，(4).
    [4]李玲，陈任武.风险导向内部审计在现代企业中的作用分析——兼论风险导向内部审计的特点[J].财会通讯，2006，(12).
    （作者单位： 人民银行济南分行）