如何发挥内审风险提示作用

周立群 严弘宇

【摘 要】本文从方法、视角、效率三个维度，通过对基层央行内审风险提示机制状况、面临的主要问题以及问题原因的分析，提出了重建内审风险提示机制的设想，同时建议加快信息化建设、完善审计定位、强化风险提示，有效实现内审风险提示作用。

【关键词】基层央行;内部审计;风险提示;机制建设

一、对目前风险提示机制状况分析

1.风险提示方式一：主要是指通过运用计算机新技术开展审计风险提示，通过系统管理录入分支机构内審项目反映的问题、内审风险评估数据，并据以作出风险评估判断和风险提示，或通过非现场筛查分析发现线索，提示问题或风险。

2.风险提示方式二：上级行审计风险提示书。为了更好地揭示问题，按当年内审工作要点组织完成审计项目后，以专题方式将检查发现的问题汇总，并向辖内各级分支机构发送的风险提示书。

3.风险提示方式三：各级分支机构审计项目的结论性通知和审计意见书。本着问题和风险导向原则开展项目审计，归纳分析审计发现问题，向被审计对象发送审计整改通知或审计意见书，在揭示问题或提示风险的同时提出整改要求。

二、当前内审风险提示面临的主要问题

1.审计新技术新方法应用效率分析。

近年来，随着内审转型工作的不断推进，审计手段也在不断创新，特别是2013年以来总行内审管理系统、风险评估系统和计算机辅助审计系统的上线运行，开辟了非现场审计新模式。系统运用极大地提高了审计效率，让审计人员从手工业务操作中解放了出来。其次，强化了对关联事项的监控，扩大了审计覆盖面，提高审计质量和准确度。但目前人民银行的信息系统审计工作仍然处于起步阶段。

一是审计接口不畅。目前，基层行业务均采用计算机系统处理完成，系统软件没有预留审计数据采集接口，无法进行电脑比对审计。二是信息共享率低。计算机辅助审计软件通过对系统数据进行提取、筛选、分析发现审计线索和风险疑点，并据此实施现场检查。审计流程上的各类信息仍然是离散的分散处理和存放，没有有效的管理平台来实现信息共享。三是工具不够丰富。目前，从总行到各级分支机构，无论是工具的使用范围还是品种都需要进一步拓展和丰富。再如，风险评估系统需要基层行录入的数据量异常庞大复杂，基层业务部门和审计人员感觉难以适应。

2.内部审计“第三道防线”视角的效率分析。

内部审计的职能边界，一直是内审理论界和实务界研究与讨论的热点问题。国际内部审计协会（IIA）2013年发布《有效风险管理和控制中的三道防线》。三道防线理论指出，组织内的不同主体承担组织风险管理和控制体系中的相应职责：第一道防线（运营管理、业务经营等部门）直接面对管理风险与控制;第二道防线（风险、控制和合规职能部门）协助领导层监督风险和实施控制;第三道防线（内审部门）就风险管理和控制有效性向领导层提供独立的确认服务。内审作为第三道防线，应加强与其他防线的协调沟通，以发挥三道防线体系的作用。

人民银行作为我国的中央银行，在治理结构、风险管理框架上有我国政府机关的特色，还不能完全以三道防线理论来界定内审职能，但拥有一个清晰界定的三道防线体系仍是组织实现最优总体治理和控制环境的有力保障。近年来，人民银行内审工作从合规审计向绩效审计转型，其职能边界不断拓展，对提升人民银行风险管理和治理水平发挥了重要作用。然而从三道防线理论看，目前内审部门履职主要存在“三多三少”：一是介入具体业务管理过多，提供第三道防线确认服务过少。二是关注具体业务活动较多，对业务部门、综合管理部门履行第一道防线、第二道防线的职责及有效性关注较少。三是履行审计监督职责较多，履行协调和促进建立三道防线职责较少。

3.新形式下风险决策效果分析。

风险导向审计模式应以了解被审计对象的内部环境和战略目标为起点进行审计。由此可见，风险管理的范畴明显宽泛于内部控制，将风险管理等同于内部控制不能满足当前形势发展的需要。当前，基层人民银行部分内审人员对内部审计的认识还习惯停留于“查错纠弊”，将内部审计的视角局限于“监督把关”，审计过程中以是否合规作为问题与风险评判的主要衡量标准，不能有效发现和揭示流程背后深层次问题并分析问题性质及成因。风险导向审计中涉猎政策执行过程的风险评判不多，弱化了内部审计在保障组织健康运行中的风险预警作用和咨询服务职能。从下图的个案分析可见，近年来基层央行风险决策与风险控制频次较高，且呈逐年强化之势，但各种审计发现问题仍然存在，屡查屡犯现象始终难以纠正。其背后的原因值得深入探究。

三、针对问题的原因分析

1.守旧思想仍占主导。受传统审计观念制约，目前人民银行内部审计方法仍停留在现场查阅账表凭证资料的手工模式上，计算机辅助审计即便尝试也仅仅是停留在运用WORD、EXCEL进行文字处理和电子表格处理层面，全面深层次的数据筛选、数据分析、函数计算、数据统计和图形分析应用不多，导致在审计工作中发现问题单一性、片面性、局部性，并据此进行审计评价，造成审计结论失真失准。一方面，基层审计部门希望通过计算机新技术新方法摆脱当前审计工作的被动局面，减轻劳动强度，提高审计效率和工作质量。另一方面，部分基层审计人员思想守旧，受自身知识结构的局限性，过度强调信息系统等非现场审计的复杂性。

2.审计人才依然缺乏。一是队伍老龄化严重。虽然部分审计人员有较为丰富的金融、审计知识，但运用新技术新方法的能力和水平依然欠缺。而精通审计业务和计算机技术二者兼备的审计人员更是寥寥无几，复合型人才紧缺问题己成为基层央行审计领域最难克服的“瓶颈”。二是专业人才严重匮乏。基层行内审人员普遍不具备被审计对象比如基建项目相关专业知识背景，咨询建议仅处于依托制度方面的合规性，对类似工程计价核算、质量控制等方面难以提出有价值的意见，不能全方位规避风险。三是缺乏相关制度依据和实践经验。目前基层行内部审计更多的是在做合规审计，有关咨询类、风控类的审计依据和实践经验还比较匮乏，一定程度上影响了审计效果和质量。

3.培训机制亟待完善。由于对基层审计人员的培训缺乏系统性和有效性。人才培养机制不完善，基层央行无论是在选用审计人员方面，还是在日常的业务培训方面，对审计人员应具备的专业素养或尽快改善现有内审人员队伍的建设规划，管理层并没有更多综合性考虑或引起足够重视，尤其是面对当前业务管理全面信息化的现状，在配置计算机相关专业审计人员或对计算机辅助审计的扶持和发展方面，尚没有提上议事日程或形成共识。

四、重建風险提示机制的设想

信息化和自动化（人工智能）是现代社会发展重要特征之一。系统化和网络化给组织运营注入了巨大的活力，为增强或扩大风险提示效力提供了高效的技术基础。同时也积极推动了内部审计环境的转变，对组织治理和内部控制提出了新的要求。

1.构建业务信息审计共享平台。以总行计算机辅助审计系统为基础，整合审计管理系统和风险评估系统资源，要求各级内审部门将每年开展的审计项目全部录入系统进行统一管理，为内部审计机构的信息化建设和资源共享构建全方位数据共享平台。充分挖掘各级分支机构内审业务综合系统的平台功能，不断完善优化总行审计平台系统，充实和规范审计发现问题的标准词条，利用局域网传输技术增加现场审计信息的共享，减少输入输出环节的不必要的工作量。合理优化权限管理，在工作管理子系统中对部分优秀内审项目档案进行公开，提高内审成果的交流共享水平。

2.牢固树立风险导向审计理念。在内部审计三道防线界线尚不明显的现实背景下，内部审计功能越过第三道防线，融入“大监督”体系时，审计对象和风险提示功能将最大限度呈现其多样性和复杂性。这就决定了目前人民银行内部审计工作，需要投入大量的人力和物力。但从提高审计效率和优化审计资源的角度，选取重点领域重点项目为审计对象，坚持以风险为导向的审计理念，并融入到审计计划立项和审计工作程序中。一是对人民银行正在运行的信息系统进行全面风险评估比较，将信息系统风险划分为若干类别，科学确定权重，结合发生频率，计算出风险与控制矩阵。二是根据风险评估结果将各类信息系统划分为高风险、中等风险、低风险3种类别。可以考虑对高风险系统每年审计一次，对中等风险系统两年审计一次，对低风险项目3～5年审计一次。

3.建立审计人才长效培养机制。加强分支机构内审人员的培训力度，既要培训审计知识和业务技能，又要着力提升审计人员新技术新技能的实践能力。一是建立专业培训、以审促训等多种方式相结合的培训机制，加大审计知识和审计实践的培训力度，切实提升审计人员的理论知识和实战能力。二是要引导审计人员学习央行各项业务知识，牢固树立“计算机辅助审计促兴内审工作”的理念，将辅助审计知识更多应用于各项业务审计项目。三是加大审计业务和审计技能培训力度的同时，抓好EXECL、WORD、Access数据库中数据处理知识的普及工作，促进内审人员的新技术新技能全方位提升，推进分支机构审计工作的全面发展。

五、相关建议

1.加快审计业务信息化建设。一是着手研发预置审计接口程序技术，为审计人员提高审计效率，降低审计风险提供了最佳的方式及手段。二是尽快研究数据挖掘技术的审计应用。通过数据挖掘技术从海量电子数据中提取一些隐藏的或未知的信息，发现或揭示常规数字下面隐含的深层次问题。三是构建辅助审计小助手资源共享信息库。可在计算机辅助审计系统中增加通用审计模块资源库功能，并实现各类小助手软件资源共享利用。四是进一步简化系统操作。参考商业化软件开发模式，通过系统功能升级，尽快推进辅助软件操作使用。

2.完善和优化第三道防线风险提示功能。在推进当前人民银行内部审计职能界定工作中，一方面需要完善内审职能。一是履行协调和促进建立三道防线职责，进一步完善内控和风险管理体系。二是拓展审计内容和领域，促进三道防线协同发挥作用。三是实现对风险管理和内控要素的审计全覆盖。尤其要确保实现对涉及权、钱、物等重点领域的审计监督。另一方面需要优化内审职能。一是优化内审承担的第二道防线职责，重点做好协助综合管理部门加强监督管理，开展风险管理评估，提供咨询建议等工作。二是避免承担第一道防线职责，强化第一道防线主体责任的作用。其次，.注重保持内审独立性和客观性。

3.强化风险提示功能，实现风险预警机制。首先要多渠道提供风险提示，一是结合审计问题发现，适时制作内审风险提示书，构建风险提示长效机制。二是通过从组织层面、业务层面或管理层面探寻制度和行为的缺陷，为各业务部门落实整改和防范风险提供有效的途径。三是借鉴总分行优秀审计项目案例，丰富内审风险提示内容，提高提示效果。三是通过内审风险提示、审计通报的形式，层次传导压力，达到上下协调共同推动落实审计建议目的。其次要有效发挥内部审计的预警功能。及时将审计发现的业务风险信息反馈到各个部门，推进各部门有针对性开展风险排查，强化内部控制措施，全面推进审计发现问题整改和风险排查。第三要加强信息反馈，定期监督检查。要求被审计对象定期反馈风险提示整改落实情况，并定期进行抽查，监督提示内容是否落实到位。

········参考文献·····················

[1]李方记，梁本蔚.风险提示在审计监督中的地位和作用[J].广西农村金融研究，2006年.

[2]贾伊宾.履行第三道防线职责有效防范科技风险[J].金融电子化，2017年.

（作者单位：中国人民银行抚州市中

心支行中国人民银行南丰县支行）