基于央行治理视角下的风险管理审计

郭春慧

（中国人民银行德州市中心支行，山东 德州 253012）

一、风险管理审计的概念

风险管理审计是内部审计的组成部分，是管理审计中新的审计类型。它是内审部门采用系统化、规范化的方法，针对承担风险管理职责的部门所制定的应对程序、对策方案以及对机制的合理性与有效性进行监督、评价和咨询，用以改进风险管理、为组织增加价值的一种审计类型。与传统内部审计相比，风险管理审计的范围由内控审计扩展到所有风险管理技术审计，它更加注重确认和测试风险管理部门为降低风险而采取的措施及效果。

风险管理审计的目标主要包括：范围的科学合理性；评价标准与指标体系的科学性；识别与评估的科学合理性；措施、方法与程序的合理性；风险应对的合理性等。

开展风险管理审计可以提高内部审计工作的针对性，使管理层了解风险现状，提高风险应对方案的效率、效果，保障央行各项业务安全、高效运行，实现风险管理与组织战略的优化结合。

二、风险管理审计的主要步骤及方法

（一）建立风险管理评价模型

2004年美国COSO委员会发布了研究报告《企业风险管理—整体框架》（以下简称ERM框架），该框架由内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息和沟通、监控等相互关联的要素组成。该框架发布后，得到了风险管理理论界和实务界的认可。德州中支依据ERM框架，结合2013年总行下发的《中国人民银行内审部门风险评估工作试行办法》（以下简称《办法》），建立了风险管理评价模型。

1.评价模型。将基层央行履职的存在风险，按照风险管理情况划分为不同类别的风险等级，设计《风险管理评价标准表》（见表1）、《风险管理总体评价计算表》（见表2），加权汇总风险管理得分，依据得分情况衡量被查单位内部控制整体状况。即：

其中：Y为风险管理总体评价分值，Qi分别代表风险影响程度所占权重，Xi分别代表风险管理得分。

2.划分风险等级，确定风险系数。将ERM框架揭示的风险管理要素内容，按照《办法》明确的风险影响程度，由低到高依次划分为1—4级，4级风险为高风险，3级风险为较高风险，2级风险为一般风险，1级风险为低风险。对同一级别风险的不同风险状况，进一步划分不同的风险系数。

3.计算得分。评价采取评分制，根据风险影响程度分别赋予不同的风险等级，进行测评打分，汇总最终得分确定被查单位风险管理总体状况。

（二）审计流程

1.确定审计对象。2014年初，德州中支对辖区某县支行的风险点及内部控制有效性开展了重点调查。该县支行2010—2013年期间在中心支行的年度目标考核一直为B级。除2012年中心支行会计部门对其大型修缮项目开展过检查外，自2010年以来，中心支行未对该县支行开展审计或全面检查。该支行现有员工27人，其中50岁（含）以上12人，占比44.4%；40—49岁之间（含40岁）13人，占比48.4%；40岁以下2人，占比7.4%。第一学历大专3人，占比11.1%；第一学历中专12人，占比44.4%；第一学历高中12人，占比44.4%；无第一学历本科毕业生。自两部两室改革定岗以来，该支行未开展岗位轮换，仅是由于业务调整进行过相应的岗位调整，且轮换仅限于个别岗位之间，岗位轮换率为7.4%，92.6%的职工长期从事同一岗位。

基于该县支行考核、人员年龄及学历结构、岗位轮换情况及上级行监督检查频率，该县支行风险较高。2014年4月，中心支行审计组对该县支行开展风险管理审计。

表1：风险管理评价标准表

表2：风险管理总体评价计算表

2.开展风险评估。一是进行风险识别，确定了576个风险点。二是评估风险等级，识别4级风险53个、3级风险218个、2级风险236个、1级风险69个（见表3）。三是风险评估结果运用，将4级风险、3级风险、2级风险作为重要审计点，制定了可审计对象清单，作为制定审计方案的重要内容。

3.实施自我评估。结合进点座谈，组织被查单位行级领导及部室主任、副主任、业务骨干，分别采取专题讨论、问卷调查、管理结果分析等方式实施风险控制自我评估，进一步确定了审计重点。

4.总体评价。通过现场符合性测试、实质性测试、座谈、问卷调查等，对该县支行进行了定量与定性评价。

（三）审计评价

1.定量评价。审计落实该县支行4级风险隐患12项、3级风险隐患25项、2级风险隐患14项，总体评价得分为85.4分，评价结果为B级，属于风险管理基本正常单位。

表3：县支行风险级别分类表

2.定性评价。审计组依据量化评价结果，结合调查问卷和谈话情况，充分考虑该县支行内、外部风险管理环境和全行的风险管理水平后认为，该县支行能够对风险进行识别和控制，风险防范措施基本能够发挥作用；对业务运行活动的风险控制基本有效，能够按照有关规章制度规范操作，风险隐患发生的可能性较低。但由于受主、客观因素的影响，一些业务环节管理偏松，存在一定的风险隐患，风险管理工作亟待加强。

三、审计成效

审计实践表明，基层央行借鉴ERM框架，并依据《办法》开展风险管理审计具有一定的科学性、可操作性，可以帮助审计人员明确审计重点，使管理层能够发现和了解风险，做出的风险管理决策更加契合实际，从而保障了基层央行有效履职。

（一）围绕着“服务治理”，推动成果有效转化

一是审计关注央行治理重点。风险管理审计将津补贴、公务用车、办公用房清理、公务出国与出差、公务接待、会议六方面内容纳入审计，将审计重点“聚焦”到央行治理重点。二是审计成果有效转化。建立风险管理评价模型，运用分值量化被查单位的风险状况，使风险管理评价更客观、更直接，风险提示更具针对性、建议更具可行性，使管理层直观地了解了基层央行面临的重大风险及管理状况，并根据审计建议，做出优化激励机制、细化集中采购流程、落实强制休假等改进管理的决策，使审计成果有效转化。

（二）立足于“风险导向”，服务于央行治理

一是优化资源配置。审计针对央行治理中的高风险领域，根据风险评估结果确定审计对象，把有限的审计资源投放到能更好提升履职效果的领域，避免了重复审计带来的资源浪费。二是实施控制自我评估。全员参与是ERM框架的重要特征，实施控制自我评估，采取管理法与管理层就单位的风险管理体系进行分析，采取专题讨论法与业务骨干就风险管理环节进行探讨，采取调查问卷法与全行员工就风险管理状况进行调查，调动了全员参与风险管理的积极性。

（三）着眼于“内审转型”，保障服务治理的效果

风险管理审计是内审转型的突破口，是管理审计的新模式，为此，内审部门创新审计方式，保障了服务效果。一是审计内容更宽泛。在编制审计方案时融入了风险评估结果，使固有风险的评估从审后拓展到审前，避免了事后审计带来的风险。同时，风险管理评价使风险管理不再局限于制度执行，而是拓展到被审计对象的战略目标、风险应对等要素，提升了内审服务层次。二是审计抽样更加客观。审计抽样时，综合考虑了固有风险及风险发生的可能性及影响程度，并进行了符合性及实质性测试，提高了抽样检查结果的针对性、客观性，保障了服务央行治理效能的发挥。

四、风险管理审计存在的不足及建议

（一）风险影响程度的评级标准界定尚需改进

德州中支借鉴ERM框架，结合《办法》，建立了评价模型，明确了被查单位风险影响程度的评定标准。但从审前风险评估实践看，《办法》的个别标准值与当地县支行业务实际存在差异。例如，“风险影响程度的评级标准”对各级人民银行机构产生的“资金损失”的风险等级进行了界定，但这个数值范围划分过于笼统，忽略了区域之间的经济总量差别，存在经济欠发达地区风险等级被放大的可能，因此会产生不必要的风险关注点。因此，内审部门开展风险管理审计时，应依据《办法》的要求，结合本单位实际，进一步完善风险事件的影响级别以及发生可能性分级界定标准，要做到善于拓宽视角，立足本单位实际，而又不束缚于《办法》“标准”框架体系，客观评估风险点，体现被审计对象的风险管理成效。

（二）风险评估工作尚需持续有效地开展

开展风险管理审计试点，审前评估梳理了576个风险点。审前风险评估工作强度大，审计人员在审前准备阶段耗费了大量的时间和精力。此次试点也引发了审计人员对风险管理审计更为现实的思考，如：如何将风险评估工作流程化、如何利用相关职能部门的风险评估结果、如何在审计资源与效率间求得平衡、如何科学地评价风险等等。因此，内审部门应依据《办法》要求，每年组织人员开展评估，将风险评估结果作为基础数据，据此制定辖区全年审计计划，确定审计重点。同时，建议上级行要求每个单位的风险评估结果录入内审综合管理系统，使各分支机构的评估结果互相利用，达到评估结果的共享，使风险评估结果运用最大化，节约审计资源，从而节约审计成本、提高审计效率。

（三）基层央行管理层的风险治理尚需关注

从央行治理的角度看，管理层面的风险是影响基层央行履职成效的重要因素。风险管理审计仍是注重从业务领域的风险着手，关注点多在业务领域引发的操作风险，对于领导层与地方政府沟通协调可能引发的信用风险、货币政策实施引发的流动性风险、窗口指导引发的流动性风险及市场风险、履行服务职能引发的声誉风险以及领导班子治理决策风险、领导班子建设风险、领导班子成员遵守规章制度等引发的风险状况关注不够。因此，内审部门应立足于服务央行治理，以管理者视角开展风险管理审计，关注人民银行履行职责过程中可能引发的声誉风险、法律风险、货币政策贯彻执行风险等，站在政府、金融机构以及公众角度层面看风险，为领导决策提供更加实用的咨询服务。