基于风险矩阵模型和剩余风险评估理论的基层人民银行风险评估研究

基于风险矩阵模型和剩余风险评估理论的基层人民银行风险评估研究

杨海维李克军

风险评估是一个组织或一个单位加强风险管理，提高系统安全的重要工具。近些年来，随着职能调整和科技发展进步，基层人民银行面临的风险不断变化，风险防控难度越来越大。本文以风险矩阵模型和剩余风险量化评估理论为原理，对基层人民银行风险评估的原理、步骤、方法和措施进行了研究和探讨，旨在引导基层人民银行利用风险评估工具，切实加强系统风险和安全管理，实现“风险引导审计、审计关注风险”。

人民银行；风险矩阵模型；剩余风险评估

一、基本原理及应用

风险矩阵模型下的剩余风险评估的基本原理主要涉及以下几个概念：一是固有风险评估原理与风险矩阵模型；二是控制有效性评估模型；三是剩余风险评估计算原理。

(一)固有风险评估原理与风险矩阵模型

固有风险是指在一个单位或一个部门对于风险事件未采取任何措施加以控制和防范所面临的风险。风险矩阵模型(见下图)是用来评估人民银行业务和管理领域存在固有风险的数量模型。风险矩阵横轴对应着风险事件的影响程度，风险矩阵纵轴对应着风险事件发生可能性级别。风险事件的国有风险级别评估就是依据风险事件的影响程度(横轴)与风险事件发生的可能性(纵轴)的交汇点或交汇区间所对应的数值确定为该风险事件的固有风险等级，其中1级对应着绿色区域，2级对应着黄色区域，3级对应着橙色区域，4级对应着红色区域。

(二)控制有效性的评估标准

控制有效性评估是一种结果评估，即评估业务及管理领域审计检查及整改结果和检查后控制发生变化状态。控制有效性评估主要依据以下三个标准：风险评估前期内、外部审计或专项业务检查的结果及整改情况；内外部审计或专业检查后业务及管理领域内部控制变化状态与结果；根据内外部审计或专业检查的覆盖面和频率、发现问题或风险的影响程度。根据上述三个要点评估结果确定控制有效性级别。

(三)剩余风险值的计算

剩余风险是指管理层采取风险对应措施之后所残余的风险。根据固有风险和控制有效性的评估结果，按评估模型数学公式，剩余风险评估值为固有风险权重与风险级别和控制有效性权重与风险级别的乘数的求和，除以固有风险与控制有效性权重之和得出。剩余风险评估还可以可考虑单位和部门工作重点以及管理层意见等事项进行调整，主要调整项应涵盖本单位或部门工作重点、难点以及管理层关注的热点。其调整后的剩余风险评估值为各类固有风险权重与风险级别乘数、控制有效性权重 风险级别的乘数和调整项权重 风险级别的乘数三者之和，除以固有风险权重、控制有效性权重与调整项权重三者之和得出。

二、基层人民银行风险评估的关键步骤

(一)确定风险分类，科学赋予风险权重

1.确定风险分类。风险分类主要根据评估对象所从事的业务和管理领域的风险特征进行确定。按照上述标准，基层人民银行风险种类可以分为以下六种，即市场风险、信用风险、流动性风险、操作风险、法律风险和声誉风险。

2.科学赋予风险权重。就是按照风险类别，评估风险事件的影响程度和发生的可能性，按照科学的方法，赋予各类风险的权重。风险权重一般按风险类别对人民银行业务及管理的影响程度确定，通常采用层次分析法、专家咨询法、主观经验法、多元分析法等方法确定。本模型采用的是层次分析法赋予各类风险的权重。

(二)全面有效地识别风险事件

风险事件的识别是风险评估的关键。主要根据评估对象所从事的业务及管理领域识别存在的固有风险事项。以基层人民银行为例，就是按照法律法规赋予人民银行的职能为标准，按业务与管理属性将全部职能和业务划分为12项专业职能和13项综合职能、94项业务及管理风险事件。

(三)有效评估固有风险和控制有效性的级别

1.固有风险级别的评估

按照风险矩阵模型的原理，固有风险评估主要通过风险影响程度和风险发生可能性两个因素进行度量。按照风险可能引发的资金损失、声誉损失、业务连续性损失，将风险的影响程度划分为1-4级。按照风险事件实际发生的历史数据、业务的复杂程度以及内控变化情况，将风险发生的可能性划分为1-4 级。当同一类风险事件分别对应不同风险级别时，以风险最大值作为该类风险事件的风险级别。如把人民银行保卫枪弹保管作为一项风险事件，先确定该事件固有风险的影响程度，该事件最大影响程度是发生枪弹保管不善、枪弹账实不符或丢失。如发生丢失，其影响程度就达到最高值，它对应风险矩阵模型横轴(影响程度)就是“重大”(4级)；再确定该风险事件发生的可能性，发生枪弹账实不符或丢失的可能性的概率存在，发生概率可根据人民银行系统或本单位历史数据确定，如果确定可能性为“可能”(2级)或“较大可能”(3级)，对应的固有风险等级就可确定4级；如果确定为较小可能(1级)，对应的风险等级为3级。

2.控制有效性级别的评估

内部控制有效性越高，对应的风险级别越低，反之，风险级别越高，按照这一原理，人民银行内部控制有效性评估主要参照上述三个标准进行，评估的关键步骤有两步：一是收集、汇总、整理评估期间(近5年内)内外部审计或专项检查及整改情况资料，分析采取内部控制措施和行为后控制有效性的效果；二是了解和掌握评估期间内外部审计或专项检查后，业务内部控制变化最新状态以及对控制有效性的影响。

(四)剩余风险评估与应用

剩余风险评估与计算是风险评估的最终目的，反映的是具体业务和管理领域的风险现状和实际。只要认真地做好了以上三个关键步骤，就可套用模型计算公式进行准确计算剩余风险评估值。如何判断风险高低和评价风险状况？根据人民银行风险评估实践，以剩余风险值为标的作为评判标准，剩余风险值越高，表明该项业务的风险等级越高，今后关注程度和实施内部控制强度就逾高；按剩余风险评估值进行排序，风险排序结果反映的就是评估对象风险现状的全貌，评估对象就可以精准施策，提高内部控制措施的针对性。

三、基层人民银行风险评估理论的运用途径

风险评估的工作目标就是运用风险评估结果，提高风险管理水平。主要应从以下三个方面着手。

(一)克服难题，推进风险评估向纵深领域发展

运用风险矩阵模型开展风险的量化评估，一方面，需要正视风险评估工作中困难，克服风险评估“无用论”的错误观念，打消风险评估工作中的疑虑；另一方面，不断运用、不断完善，推动风险评估工作向纵深发展。克服风险评估“无用论”，就是要正确认识风险评估的作用，打消风险评估工作中的疑虑。推动风险评估向纵深发展，可以从“点、线、面”三个方面推进。所谓“点”，即风险评估数据某一业务领域的应用；所谓“线”，即风险评估数据在某一业务条线的应用(包括不同层级、不同单位的风险偏好、控制情况、检查情况、整改情况、赋值结果等)，可以应用在中支以上具有区域性管理职能的业务部门；所谓“面”，即风险评估数据在某辖区或全系统的应用。“由点及线到面”，应该是循序渐进的过程，是一项长期性、系统性的工程。只有在实践中不断摸索方法、不断积累经验，才能达成风险评估的最优目标。

(二)运用成果，强化对系统风险和安全的警示

风险评估预警作用主要表现在以下两个方面。一方面，通过对剩余风险量化评估结果进行排序，可以让领导层、管理层和操作层知晓本单位、本部门和本岗位的风险状况，提示各层级业务及管理的剩余风险的关注重点，及时提出风险应对策略。另一方面，通过对固有风险量化评估结果进行排序，可以让领导层、管理层和操作层了解业务及管理领域风险的原始状况，时时保持对风险应有的关注。

(三)“评审”并举，着眼制定内审策略和中长期审计计划

人民银行内审部门作为系统的风险管理部门，做好风险评估是其不容推辞的工作职责。在风险管理中，内审部门要做到评审并举。所谓“评”，就是做好风险评估的组织主导工作，指导本系统、本单位开展好风险评估。所谓“审”，就是内审部门要注重对风险评估结果应用。把评估结果应用到审计策略中。在具体审计项目中，根据风险评估结果，优化审计资源，关注风险评估值较大的领域，有针对性开展重点审计，贯彻“风险引导审计”；以风险评估结果作为理论参考和数据依据，根据风险评估结果排序，制定中长期审计计划，可有效避免内部审计工作的盲目性，落实“审计关注风险”。

(中国人民银行随州市中心支行，湖北 随州 441300)

[1] 刘春阳 风险导向审计浅析[J].中国科技信息 2012，1.

[2] 张福芳.基层人民银行风险管理工作制约因素及解决路径初探[J].时代金融，2016(30).

[3] 郭庆平等.人民银行内部审计工作转型与发展探索 中国金融出版社，2014.