2022年风险评估方法在银行内部审计中的探索与应用[借 .pdf

《2022年风险评估方法在银行内部审计中的探索与应用[借 .pdf》由会员分享，可在线阅读，更多相关《2022年风险评估方法在银行内部审计中的探索与应用[借 .pdf（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2009年第 4 期（总第 4 期）金融是经济的核心，银行是国民经济的命脉。商业银行作为一个以经营管理风险为主要盈利模式的行业，天然具有高风险性、不稳定性和负外部性1。随着金融全球化和全能银行业务多样化的发展，新巴塞尔资本协定（英文简称BASEL II ）对商业银行风险管理要求的日益提高，内部审计部门面对着内外部利益相关者的不同诉求，承担着日益重要的责任。我国商业银行内部审计刚刚起步, 随着内外部利益相关方对内部审计期望的增加，内部审计部门面临着提高审计效率与审计质量的压力，内部审计资源的不足与银行业务风险的增加日益变成难以调和的矛盾。正确认识并应用风险评估方法对有效开展内部审计活动具有重要指

2、导意义。一、国际银行业内部审计风险评估的现状风险评估就是对审计对象风险水平的量化过程，是风险导向审计的重要基础和关键特征。 银行业内部审计和其他行业的内部审计一样，经历了由合规导向向风险导向发展的过程。目前国际先进的商业银行内审部门，普遍拥有完善的风险评估体系。（一）风险评估成为国际内部审计实务标准安永的内部审计调研结果显示，89% 接受调查的企业的内部审计部门采用风险评估进行审计计划的制定， 反映了国际内部审计实务以风险为导向的发展趋势。所谓风险导向审计，是通过对被审计对象风险的分析与评价，全面把握被审计对象的风险状况，根据量化的风险水平，找出高风险领域，在此基础上确定审计重点和审计频率，以

3、便合理配置审计资源。国际内部审计师协会（IIA）颁布的内部审计实务标准专业实务框架认为，内部审计计划应反映组织的风险战略，组织的风险管理与内部审计程序应该协调一致，并产生协同增效的作用。 实务标准指出内部审计部门要依据风险评估制定内审计划，并建议对审计范围至少每年要进行一次评估，以反映组织的最新战略和方针以及要在评估风险优先次序的基础上确定内部审计工作重点等。国际内部审计实务标准及其最新发展趋势，要求内部审计采用风险导向审计理论和方法，以更好地完成内部审计职能。（二）内部审计承担银行全面风险管理的监督职责商业银行普遍形成了“风险管理创造价值”的共识， 力求通过提高风险管理能力来更好地把握市场机

4、会、拓展发展空间和增强盈利能力。经济全球化、 金融创新快速发展导致银行业面临的风险愈加复杂，风险引发的损失也愈加可观。国际先进银行通过建立全面风险管理框架应对阻碍实现组织目标的威胁因素，全面风险管理要求内部审计独立开展监督。在 COSO 2004 年提出的ERM（企业风险管理）框架中，要求通过独立的评价来监控企业风险管理及组成要素的有效性。BASELII 较 BASELI 更关注银行自身全面风险管理的能力和可靠性，支柱一要求最低资本中对市场、信用、 操作风险具体资本计量方法描述，都要求内部审计进行独立的检查， 支柱二的第四条，是监管检查关键原则之一，也要求内部审计对内部控制框架进行有效的检查。

5、 内部审计的定义要求内部审计评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。这与全面风险管理的要求是一致的。1外部性是指一定的经济行为对外部的影响，可分为正外部性与负外部性。正外部性是指一种经济行为给外部造成积极影响，使他人减少成本，增加收益。负外部性则是指一种经济行为给外部造成消极影响，使他人增加成本，减少收益。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 6 页 - - - - - - - - - 2009年第 4 期（总第 4 期）通过应用风险评估方

6、法，对管理层组织风险管理工作效果作出量化的评价，是完善银行全面风险管理框架的需要，还可以为外审和外部监管部门提供关于银行全面风险管理的框架和可靠性信息。（三）银行内审风险评估的最佳实践巴塞尔委员会基于对13 个国家监管当局和71 家银行的调查结果，颁布了银行内部审计和监管者与审计师的关系文件，推荐了银行内审的最佳实践：“被调查银行反映，他们的审计计划是以风险为本的，并通过一系列不同的方法来达到目的，比如采取打分模型来评估数量及质量信息。 至少每年向审计委员会提交一份正式的风险评估报告被证明是一种良好做法。”瑞士信贷银行的内部审计工作的调研结果显示：瑞士信贷的风险评估，是一种“从上到下”和“从下

7、到上”相结合的评估体系。“从上到下”就是从银行经营的整体角度考虑，从企业的关键风险2和控制环境出发，评估固定风险大小，并对审计的重点区域进行排序。“从下到上”则是从业务、产品、机构等维度将整个集团划分成1200 多个审计单元，并以重要性程度为指标进行分级。两种评估方式结合起来，组成了矩阵式的评估模型，以此确定审计对象、 审计频率和年度审计计划。瑞士信贷的风险评估体系并不是一个完全静态的体系，而是跟随业务的变化进行动态调整。经过风险评估后的年度审计计划并不是一成不变的，内部审计部门会对业务发展进行持续监测，对其关键风险指标体系（KRI）按季进行审视和更新，如果发现风险状况发生重大变化，内部审计部

8、门会及时修正风险评估结果。二、我国银行内审风险评估方法初探内部审计部门运用科学、先进的风险评估方法评估审计对象的风险，已成为国际银行业的必然趋势。 我国商业银行的内部审计部门是在股份制改革后成立的，历史并不长， 从业人员正在摸索建立一套规范和系统的内部审计工作方法。通过学习国际内审行业标准，借鉴外部审计和国外银行内部审计的实践，本课题组从选定风险管理模型着手，进而确定风险评估实施过程，并将该评估方法应用于部分银行业务。（一）选择风险管理模型商业银行内部审计对风险的分析与评价，主要从两个方面来进行：一是运用风险评估模型评估和计量被审计对象的固有风险即风险度，了解和掌握银行承担的各类风险的水平；二

9、是对风险控制系统包括内控管理系统进行评价，以判断风险的管理和控制能力。这两个方面的评估分析结合起来，才能对银行的整体风险状况和变动趋势做出准确评价。由于内审部门是对风险管理开展独立的监督，所以风险评估方法可以借鉴外部审计标准，宜采纳“剩余风险= 固有风险控制风险”的风险管理模型，最终向管理层和审计委员会报告银行内部存在剩余风险的领域以及剩余风险的高低。风险通常是指， 任何阻碍企业成就其战略目标的不利因素。模型中涉及到固有风险、控制风险以及剩余风险，其具体含义如下：固有风险是假设在没有内部控制的情况下，被审计对象的业务和相应的会计处理发生差错的可能性。 通常以风险所造成的影响程度和风险发生概率来

10、评价某项风险的大小。通过公式“风险值 = 风险发生概率风险影响”，计算得出风险值。控制风险是指， 被审计对象的业务和相应的会计处理发生差错不能被内部控制防止或纠正的可能性。 控制风险与内部控制的健全性和有效性有关，一般是自上而下的回应固有风险的内部控制活动。剩余风险是指， 固有风险在有效的内部控制体系生效之后遗留的风险，可以用公式 “剩2该银行将风险分为七大类并赋予相应的权重：管理风险（20% ）、 操作风险（15% ）、 市场风险（15% ）、信用风险（15% ）、监管与声誉风险（ 10% ）、科技风险（ 15% ）、财务与报告风险（ 10% ）。名师资料总结 - - -精品资料欢迎下载 -

11、 - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 6 页 - - - - - - - - - 2009年第 4 期（总第 4 期）余风险 = 固有风险控制风险”来衡量。（二）探索风险评估实施过程风险评估方法是一项科学的工作方法，应遵循规范步骤，分步实施。 为了保证内部审计活动促进组织目标实现，风险评估要从银行战略层面入手，逐层梳理银行产品及业务线等基本单元，然后按照剩余风险模型的设计，分别评估审计单元的固有风险及内部控制有效性，计算审计单元的审计风险，最终得出银行战略层面的剩余风险。1. 合理划分审计单元。审计单元的

12、合理划分，对风险评估结果的合理性、适用性具有重大影响。所谓审计单元，即指被审计对象的最基本单元。审计单元可以按不同维度进行划分，选择维度应考虑银行的发展战略、 业务特点、 机构设置等因素，确保审计单元的风险评估结果和各个汇总层面上风险评估的结果都能对具体审计工作提供明确的指向，有利于内部审计与管理层沟通协调。一般可按银行机构、产品、 流程等进行划分：如按组织结构可将银行各分支机构划分为审计单元； 按银行产品类别将信贷产品、信用卡、 投资银行产品等各类银行产品划分为审计单元； 按银行内部管理及业务流程将财务管理、人力资源管理、 新产品开发与管理等各项管理及业务流程划分为审计单元。2. 准确定义风

13、险事项。（1）确定银行所面临的风险类别。对风险进行类别划分与确定有助于完整、全面、合理地识别和管理银行所面临的风险。针对银行业进行风险类别的划分可以综合考虑银行实际经营情况、外部监管要求、国际通用风险框架（例如COSO 、BASEL 等）以及成本效益原则等。通常来说，银行所面临的风险主要包括战略风险、市场风险、信用风险、流动性风险、操作风险、法律风险、名誉风险等各类风险。（2）确定风险因素与风险事件。风险因素是可能导致风险的事物，包括银行面临的外部环境事物，如竞争、监管、同业市场、交易对手、技术、资本市场等，也包括银行内部产品、业务与流程，如各类产品、内部管理流程等。风险事件是可能导致某一特定

14、风险因素转化为风险的事件。与风险因素相同，风险事件也包括外部和内部事件。如国家进行房地产市场的宏观调控， 是影响银行住房开发及个人住房贷款业务的外部事件，而银行进行组织架构调整，则是影响或改善自身业务运营的内部事件。3. 定性测算固有风险。测算风险要从风险的影响程度和发生的可能性两方面来考虑，影响程度衡量标准可以结合银行业务实际情况予以设定。如以风险可能造成的银行资产损失数额、风险对银行业务经营的影响程度、 对银行数据库安全以及对银行声誉等等因素造成的影响程度来进行衡量，并划分具体等级。 发生概率可以划分具体等级，针对每一等级， 以符合银行业务实际的发生频率或间隔时间的标准与之对应。确定固有风

15、险高低或大小级别，与银行内部风险偏好及风险承受能力有关， 可根据风险影响程度与发生概率，按照银行内部自身的风险偏好及风险承受能力设定对应固有风险大小的整套标准。4. 客观评价控制有效性。测算控制风险， 要通过测试审计对象内部控制的设计与执行的有效性来实现。银行内部审计人员在评估审计对象的内部控制状况时，可采用差距分析、穿行测试、 实质性测试等等评估方式。 如时间充裕或审计对象影响巨大，则可以采用开展专项审计进行穿行测试、实质性测试等评估方式； 如以往在被审计对象上已实施过多次审计，积累了足够的内部控制记录，则可以依据以往审计结果进行内部控制差距分析；有时也可以采用发放内部控制调查问卷形式，并依

16、据调查问卷反映结果进行评估。5. 计算剩余风险。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 6 页 - - - - - - - - - 2009年第 4 期（总第 4 期）风险评估的最终环节即剩余风险的评估。剩余风险的高低或大小标准同样由银行内部依据各自风险偏好及风险承受能力来予以确定（如下表举例所示）。剩余风险衡量标准剩余风险内部控制状况一级（控制有效）二级（控制良好）三级（中等控制）四级（控制较差）五级（控制无效）固有风险高较高较高高高高较高中等较高较高高高中等低

17、中等较高高高较低低低中等较高高低低低中等较高较高（三）应用风险评估方法1. 信贷业务产品风险评估。以信贷产品评估为例，实施风险评估方法。首先将信贷产品进行审计单元划分，一级产品包括公司贷款、个人贷款、表外业务等；继续划分到二级产品，包括个人消费贷款、个人住房贷款等。 同时确定信贷产品所对应的风险类别主要为信用风险和操作风险等，并确定风险因素， 如信用风险对应的风险因素主要为交易对手，操作风险对应的风险因素有人员因素、业务流程因素等。针对每一风险因素还可相应确定其二级风险因素，如将交易对手风险因素对应不良贷款率、行业集中度等二级因素，人员因素对应人员胜任能力、人员配备充足度等二级因素。接着对所有

18、风险因素设定评分标准，如针对不良贷款率各区间分别设置分值，采用5 分制，分值越高表示固有风险发生可能性越高。再对其风险影响程度按评分标准进行评分，从资产规模、盈利水平、市场份额等方面衡量。信贷产品的内部控制有效性评估既可采纳以往信贷产品审计结论或年度内部控制评价结论， 也可采取调查问卷、内部控制自我评价等多种形式。在对信贷产品的固有风险及控制有效性评估完成之后，即可依据评估结果，按照剩余风险衡量标准，最终确定银行信贷产品各级审计单元所对应的剩余风险大小，并可进行剩余风险大小的排序。2. 财务管理产品风险评估。财务领域作为管理线产品，根据其涵盖的内容可以划分为财务管理和财务核算两个一级产品，其中

19、财务管理涉及7 个二级产品，财务核算涉及11 个二级产品。按照风险评估模型剩余风险= 固有风险 （1-控制有效性），分别对财务产品的固有风险和控制有效性两个方面进行评估，对固有风险的评估又从固有风险发生可能性以及固有风险影响程度两个角度加以考虑。财务产品作为内部管理流程，可无须考虑信用风险、市场风险和流动性风险，只要评估经营风险、战略风险以及声誉风险发生的可能性。财务产品的固有风险影响程度以定性方式确定，其中财务管理类产品的影响程度依据各项财务管理职能， 全行经营管理及财务信息的影响力来确定，财务核算类产品的影响程度，依据相关项目在财务报表上的重要性核定。由于财务管理类产品对全行经营管理和财务

20、信息具有广泛影响， 而财务核算类产品仅影响某些报表项目，因此确定前者的影响程度为3 至 5 分，后者为1 至 3 分。依据 COSO 内部控制框架五要素，选择部门职能的划分、职责分工、与产品相关的政策和流程、安全和保护、技术/ 系统、档案管理、财务及披露以及意外事件等8 个要素评估财务产品内控有效性。根据风险评估程序和方法，结合以往财务专业的审计实践以及评估名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 6 页 - - - - - - - - - 2009年第 4 期（总

21、第 4 期）人员的经验，初步确定高风险产品有5 个；中等风险产品有7 个。三、我国银行内审风险评估结果的应用与延伸（一）以风险为导向配置审计资源我国商业银行内部审计刚刚起步, 审计资源难以满足业务发展的需求。目前国内商业银行内部审计人员仅占银行员工总数的1%，而调查显示国外银行内部审计人员占比达到5%。与此同时， 国内商业银行快速发展，取得了世界瞩目的成就，以工商银行为例： 2007 年度税后利润增长65.9%， 2003 年以来的年复合增长率超过38%。与此同时，国内银行业个人贷款、信用卡、网上银行、理财产品、信息安全等新的风险不断暴露。 内部审计部门要为组织增值服务，必须把稀缺的审计资源根

22、据风险评估结果配置到最需要的审计单元，科学制定内部审计计划，选择审计项目， 确定审计频率，从而使银行内部的业务经营关键环节得到有效监督。通过对全行风险评估，找出剩余风险程度较高的经营机构或业务领域，比如对银行发展影响较大的财务领域，将其纳入年度审计项目计划，优先安排经验丰富的审计人员进行转向审计。（二）以风险为导向确定审计重点国内商业银行内部审计的风险评估仍然处于探索阶段，缺乏成熟的体系实施准确的全系统的风险评估， 距离依靠风险评估结果来制定审计计划、确定审计重点风险仍有一定的距离。目前， 银行审计应推广风险评估的理念，将评估的方法直接应用于部分审计对象，提高审计项目的质量和效率，进而推进全面

23、风险评估。如银行对新业务小企业贷款开展审计，内部审计人员在项目方案设计和执行过程中贯彻风险评估的理论，参照风险评估规范实施相关步骤。首先以机构为维度划分审计单元，以便得出风险评估结果后，能持续性地监控剩余风险较大的分支机构；再利用以往的审计经验，评估该业务各类型固有风险的可能性和影响大小，选定评估结果最大的几类风险，针对相应风险控制环节确定具体审计步骤，评价相关控制的有效性，最后项目的结果可作为实施全面风险评估的重要测算依据。（三）实现内审职能转变提供策略服务我国银行的内部审计部门，一般脱胎于原来的稽核监督部门。在过去数十年中，稽核监督人员的工作重点偏向查错纠弊，即直接关注组织的内部控制系统。

24、在未评估本组织风险前直接关注控制，可能带来许多问题：多余的控制阻碍了组织程序的正常动作；沟通变得更加困难； 控制的改变滞后于经营环境的迅猛变化，对过去形成的、 与目前所面临的风险无关的控制进行审计变得缺乏意义。没有风险就没有控制，控制为管理风险而存在。以风险评估为基础的风险导向审计使审计人员关心组织所面临的风险，使审计工作与组织策略计划连接起来，审计具有针对性，从而有利于组织目标的实现。（四）提高审计价值完善全面风险管理我国金融机构的全面风险管理框架正在建设、完善过程当中，商业银行根据银监会、国资委的要求，从机构设置、人员配备、流程再造等各方面着手，实现对信用风险、市场风险、操作风险等各类风险

25、的全面管理。银行内部审计风险评估结果不但可以用于指导审计计划、专项审计方案的制定，还可以用于指导并加强银行内部风险管理。风险导向的风险评估结果反映了银行内部各审计单元的剩余风险大小，凸显了高风险产品、经营机构或业务领域以及薄弱的控制环节等，同时内部审计部门可以以独立的审计视角，定期的连续不断地进行风险评估， 及时将发现的风险因素、风险环节通报行内各级分支机构，引导分支机构进行对照检查与整改， 改进与完善银行风险管理及内部控制的体制和流程，促进全行上下加强风险管理，并最终提高风险控制能力达到风险可控制目标。四、思考与建议风险评估是内部审计的基础工作，必须坚持规范、 长久地开展， 因此我们建议从制

26、度、名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 6 页 - - - - - - - - - 2009年第 4 期（总第 4 期）信息系统等各方面加强对风险评估的支撑，形成一个完善的风险评估体系。1. 建立制度形成保障。银行内部应对风险评估工作制定相应制度办法，内部审计部门应定期开展风险导向的风险评估与计量工作。通过制度保障， 将风险评估工作固化下来，使之在银行内部形成一种长期的、持续不断的工作模式。2. 建立系统作为支持。风险评估工作离不开定性与定量的分析与计量，要使

27、评估结果更精确、符合实际，必须有强大、 健全的信息系统作强有力的支持。为此，银行内部审计部门应加快审计信息系统的建立，以信息系统支持风险评估工作开展。3. 完善指标促进有效评估。银行内部审计部门应着手建立风险评估指标体系，加快推动全面风险管理体系的建立，在实践中不断完善风险评估指标体系，有效识别与评估银行面临的各类风险。通过有效风险评估，为开展审计项目及制定审计计划提供线索信息和监测数据。4. 完善评估流程与方法。银行内部审计部门应在现有的或进一步完善的风险评估指标体系和风险量化评估模型基础上， 制定统一、 规范的风险评估方法和操作规程，由内部审计人员在统一的操作流程下，运用规范化的评估方法开

28、展风险评估工作，以更精准地得到风险评估结果。（课题组组长：郑之光局长，成员为仇奕、张良、黄慧君、陆晓芸）参考文献1IIA. 内部审计实务标准专业实务框架（2004 年 1 月修订，中国内部审计协会编译版本）S. 北京：中国时代经济出版社，2006. 2安永会计师事务所全球内部审计调查EB/OL. h t t p : / / w w w . e y . c o m / G l o b a l / a s s e t s . n s f / I n t e r n a t i o n a l / Global_Internal_Audit_Survey_2007 /$file/EY_BRS_GlobalInternalAudit07.pdf. 3中国工商银行2007 年度年报EB/OL.http:/ 全文原载新会计第4 期名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 6 页 - - - - - - - - -