论风险导向审计在商业银行内审中的作用

郭志 山东临朐聚丰村镇银行股份有限公司

引言

随着经济全球化的发展，我国商业银行遭受国内外金融风险的概率不断增加，传统的审计方法和模式不再适应经济全球化背景下商业银行的发展需求，而风险导向的审计模式能够深入分析不同层面和业务领域的各类风险，实现审计资源的优化配置，能够有助于提高商业银行对各类风险的识别、评估、防控的效率和质量，真正降低金融风险发生概率和破坏性。近年来，我国很多商业银行已经将金融风险管理理论融入风险管理实践中去，建立了比较完善的风险库、风险评估和预防体系，采取系统化和整合化的方法来对商业银行面临的各类风险进行防控，并取得了一定成效。本文简单分析了风险导向审计的内涵、特点以及在商业银行中的具体应用，并从风险量化评估存在局限性、审计人员综合素质和审计成本三方面分析了风险导向审计在商业银行内审应用中存在的问题，针对这些问题提出改进措施，来促进风险导向审计在商业银行内审中的普及与应用。

一、风险导向审计概述

（一）风险导向审计的内涵

风险导向审计是指审计人员的审计内容以企业面临或潜在的各类风险分析为导向，通过量化风险发生概率和破坏性的方法来对风险进行分类分级，确定好审计的范围和关键点，并对于风险评估和预防相关的风险管理制度、内部控制制度等进行检查，及时发现制度中存在的漏洞和问题并提出整改完善建议，不断完善风险管理制度来降低企业风险发生概率和破坏性。

（二）风险导向审计的特点

风险导向审计是以审计风险理论为基础的，其作用是做好审计各阶段的企业风险的识别与评估，并根据风险评估结果来制定审计工作计划，确保审计工作的效率和质量。与传统的合规性审计和制度导向审计相比，风险导向审计具有以下优势和特点：

一是前瞻性。传统的内部审计大多是对企业的历史进行评估，从中吸取教训来改进当前的各项工作。但是风险导向审计需要审计人员对企业未来发展趋势进行预测和评估，并及时发现未来潜藏着的风险与危机，并制定科学合理的预防和应对措施来化解未来可能存在的风险与危机，这与传统的审计模式根据以往的企业信息来进行评估和做出审计结论和建议不同，具有较强的前瞻性和风险防控性。

二是增值性。传统的审计目标是检查各类企业活动的合规合法性，确保企业资产安全，但没有增值效果。风险导向审计的目标是发现企业经营管理中存在的问题并及时解决这些问题，这样就能够提高企业经营效率和经济效益，因此风险导向审计具有增值性。

三是综合性。风险导向内部审计融合了风险管理、企业管理和内部控制等众多内容于一体，因此具有综合性。与传统的审计相比，风险导向审计更加注重对企业组织架构的评估和风险管理，也更加关注企业经营过程中的各类风险因素及其防控工作，也更加注重企业各项重大决策的科学性和可行性，比传统审计模式注重的内容更加丰富。

四是广泛性和全局性。首先，风险导向审计在传统的审计范围基础上将审计范围扩展至风险管理和企业管理等领域，因此风险导向审计具有广泛性特点。其次，风险导向审计的审计重点是各类风险，而企业风险覆盖企业经营活动的各个方面，需要审计人员具有全局观，因此风险导向审计也具有全局性。

二、风险导向审计在商业银行内审中的作用

（一）风险因素分析

风险因素分析是风险导向审计在商业银行内审中应用的第一步。商业银行的风险包括全部能够对商业银行的经营和资产造成不利影响的因素。因此风险导向审计在商业银行内审中应用时需要根据商业银行的发展目标与计划、商业银行外部环境（政治、经济、法律和市场等因素）以及商业银行各项业务和经营活动的开展情况对商业银行的各类风险进行全面调查和了解，为接下来的风险识别、评估和预防奠定基础。基于风险导向审计的商业银行审计人员需要按照《巴塞尔新资本协议》中对商业银行风险的分类来进行风险因素分析。先确定第一支柱的内容，即信用风险、市场风险和操作风险。然后确定第二支柱的内容，即流动性风险、银行账户利率风险、合规风险和战略风险等。商业银行的审计人员也要积极与风险管理部门合作，确定好商业银行的风险战略和偏好，进一步完善和优化商业银行风险库。审计人员可以借鉴风险管理成果和数据信息，加强与各个部门的沟通交流，实现各部门的数据信息共享，能够及时了解商业银行各部门的风险因素，为接下来的业务流程梳理工作奠定基础。

（二）业务流程梳理

业务流程梳理是商业银行实施风险导向审计的基础，因为风险导向审计都是以业务流程为对象开展的。在对业务流程进行风险导向审计时，需要将风险控制作为出发点和终点。审计人员在对商业银行业务流程进行梳理时，需要将各个流程和环节的风险点都联系起来，为接下来的风险识别、评估和关键控制点的确定奠定基础。在对商业银行进行风险导向审计时需要将商业银行全部业务划分为多个层次，在划分过程中要充分考虑与商业银行业务流程有关联的银行组织架构、治理结构和各部门的权责等内容，而且要遵循适用性原则。一般先将业务流程分为资产业务、负债业务和表外业务，然后再将其细分为信贷业务、存款业务、资金交易业务和投资业务等内容，最后再根据各业务的风险类型对各业务中的产品和服务进行细分，例如可以将信贷业务根据风险期限划分为中长期信贷业务和短期信贷业务，也可以从不同的角度和维度对同类业务产品进行细分。因为银行风险管理和IT业务具有一定的关联性，因此要将风险管理和IT业务的审计工作贯穿风险导向审计的全过程，可以对风险管理和IT业务进行单独审计，也可以将其融入各个业务中进行综合审计。业务流程梳理越精细，商业银行风险导向审计结果就越准确，越有利于降低风险发生概率，但也会增加内审成本，所以流程梳理需要综合考虑内审目标、内审资源、内审成本和内审效率。

（三）固有风险的识别与评估

1.识别固有风险

所谓的固有风险是指在没有事先进行预防和控制的前提下会对企业造成不良影响的风险。商业银行业务流程中的固有风险存在于业务流程的各个环节，因为业务流程中的某个工作目标没有达到预期要求就会成为固有风险。要想识别固有风险，需要先梳理业务流程。审计人员应该通过自己的审计经验和职业判断来识别和评估商业银行不利影响风险因素。通过监控和审计业务流程中的定量指标，例如本息回收率、不良贷款率等指标，也可以发现业务流程中的固有风险。一般商业银行的业务流程比较固定，这导致固有风险的种类和发生概率在一定期限内变化较小。审计人员可以根据不同的业务流程建立不同的风险库，将风险库覆盖到每一个固有风险点上，这样可以提高固有风险识别效率。除此之外，审计人员需要定期对固有风险库进行维护和更新，以应对外部环境或业务流程中的重大变化而产生的新的固有风险。

2.评估固有风险

做好固有风险识别后，审计人员需要对每个风险点进行评估，主要评估风险发生的概率和破坏性，然后利用风险热图或其他风险评估方法来评价每个风险点的固有风险。为了更加全面、客观和准确地分析风险点的风险状况，审计人员需要在风险发生概率和破坏性上设置等级，并为每个等级的风险设置评价标准。审计人员在设置风险等级和评价标准时需要注意以下几点内容：一是风险等级设置要合理，风险等级数量要适中，如果风险等级数量过少，则难以真正评估出风险大小；如果风险等级设置数量过多，则需要收集大量的数据来进行风险等级分类，不仅增加了风险评估的人力成本和时间成本，也难以准确描述每个风险等级的真实情况。二是审计人员要从定量和定性两方面来对风险发生概率和破坏性进行评估。很多风险点具有与其相关的数据以及与其适应的量化指标，这样审计人员可以对这些风险点进行指标量化。还有一些风险点缺乏数据支持和与之相适应的量化指标，则需要采用定性法来描述该风险点的等级。在对商业银行各业务流程的风险等级进行评估时要遵循评估标准和评估原则，这样才可以优化不同业务流程的风险序列，将各业务流程中的风险点根据风险等级排序。

（四）控制的识别与评估

商业银行风险导向审计的控制工作是与业务流程梳理和固有风险的识别与评估同时进行的，针对各个业务流程中的固有风险点，审计人员应该制定相应的控制内容，一般情况下是一个控制活动对应某一环节和某一类型的风险点，也可能存在好几个控制活动来对某一风险点发挥作用，因此审计人员应该做好风险控制的识别与评估工作。审计人员识别出风险控制点后，要对这些控制点的固有风险进行评价，也要评价控制措施的有效性。审计人员可以通过一些评价方法或自身经验来进行评价，也可以参考西方发达国家的成功案例或国家监管规定进行评价。审计人员也需要从各个业务流程中选择样本进行测试，来确定各个业务流程中的风险控制活动落实到位。

三、风险导向审计在商业银行内审中应用存在的问题

（一）风险量化评估有局限性

因为风险评估涉及定量分析，而定量分析又需要充足的数据支持，而且是以历史数据为主，但是最新的存在经济变量的历史数据数量较少也难以收集，审计人员收集到的大多是时间较长的历史数据，难以反映当前各业务流程中的风险情况。而且目前很多风险量化模型对商业银行各个系统的风险评估并不深入和全面，因为当商业银行受到外界各类因素的重大干扰时，会使得业务流程中的很多数据发生重大变化，而风险量化模型难以对这些异常数据进行准确评估。

（二）审计人员能力有限

因为风险导向审计属于新型审计模式，目前商业银行内审人员无论是在审计经验、审计专业知识与能力方面都难以胜任风险导向审计工作，大部分审计人员还是采用传统的审计模式来进行内部审计，这就与风险导向审计的理念大相径庭，使得风险导向审计难以落到实处。

（三）审计成本较大

风险导向审计对商业银行人力资源和审计流程都会提出新要求，需要通过引入专业人才、培训专业人才、优化更新审计体系等方法来实现审计模式的转型，仅仅在风险导向审计初期就需要消耗大量资金。而且在对风险进行识别和评估时，需要收集大量的数据信息，也要建立数学模型对风险量化，这些都需要耗费大量时间和人力，无形中增加了人力成本。

四、风险导向审计在商业银行内审中的应用对策

（一）风险量化评估与定性分析相结合

商业银行的审计人员在进行风险量化评估时应该先对各业务流程中的风险点定性，因为风险量化过程和风险评估结果都存在一定的误差，因此在风险识别过程中需要采用定性分析法与定量分析法结合的模式来弥补定量分析法的不足以及量化风险评估的局限性，而且定性分析法也不需要收集大量的数据信息，可以节省大量的人力成本和时间成本，这样也可以有效提高风险评估的准确性和效率。

（二）提高审计人员专业素质

风险导向审计在商业银行内审中的应用对审计人员的专业素质提出新要求，审计人员不仅要具备内部控制、企业管理、会计和审计等多专业的知识与技能，还要熟悉商业银行的金融产品和业务，要有独立收集、整理和分析各类数据信息的能力，而且要有敏锐的职业判断力。因为我国风险导向审计模式刚刚起步，在商业银行中刚刚应用，商业银行中的审计人员尚缺乏风险导向审计方面的工作经验和专业素质，因此商业银行需要加强对审计人员的培训教育，来提高审计人员在风险导向审计方面的专业知识与能力。

（三）多种审计模式互补

风险导向审计是一种新型的审计模式，但任何审计模式都有优缺点。风险导向审计的缺点就是成本大，对审计人员要求高，收集的数据信息多。为了弥补风险导向审计的这些缺点和不足，需要采用多种审计模式来互补，遵循实事求是原则，根据实际审计环境、审计目标、审计层次和应用场景来选择不同的审计模式和方法，这样可以弥补风险导向审计在风险量化评估中的局限性。商业银行审计工作其实是可以多种审计理念和审计模式共存的，并非新型审计模式取代传统审计模式，而是发挥各自的优势，来提高商业银行内审效率和质量。在开展风险导向审计的过程中也要兼顾审计的成本和效率，只有这样才能找到审计成本和审计质量的平衡点，从而兼顾风险导向审计质量和审计成本。

结语

风险导向审计是一种全新的审计理念与审计模式，相比于传统的审计理念和模式，风险导向审计更具有前瞻性、增值性、综合性、广泛性和全局性，能够预防商业银行的各类风险，提高商业银行的经济效益。风险导向审计在商业银行内审中的作用主要体现在风险因素分析、业务流程梳理、固有风险的识别与评估、风险控制的识别与评估等方面。商业银行在应用风险导向审计时，也要兼顾其他审计模式和方法，来弥补风险导向审计的成本高、人力资源短缺和风险量化评估不准确等不足之处，并且要加强对审计人员的培训教育，不断提高审计人员风险导向审计方面的专业知识与能力，确保审计人员能够做好风险导向审计工作，充分发挥风险导向审计的效用。