风险评估方法在行内部审计中的探索与应用.doc

金融是经济的核心，银行是国民经济的命脉。商业银行作为一个以经营管理风险为主要盈利模式的行业，天然具有高风险性、不稳定性和负外部性。随着金融全球化和全能银行业务多样化的发展，新巴塞尔资本协定（英文简称BASEL II）对商业银行风险管理要求的日益提高，内部审计部门面对着内外部利益相关者的不同诉求， 承担着日益重要的责任。 我国商业银行内部审计刚刚起步, 随着内外部利益相关方对内部审计期望的增加，内部审计部门面临着提高审计效率与审计质量的压力，内部审计资源的不足与银行业务风险的增加日益变成难以调和的矛盾。正确认识并应用风险评估方法对有效开展内部审计活动具有重要指导意义。 一、国际银行业内部审计风险评估的现状 风险评估就是对审计对象风险水平的量化过程，是风险导向审计的重要基础和关键特征。银行业内部审计和其他行业的内部审计一样，经历了由合规导向向风险导向发展的过程。目前国际先进的商业银行内审部门，普遍拥有完善的风险评估体系。 （一）风险评估成为国际内部审计实务标准 安永的内部审计调研结果显示，89% 接受调查的企业的内部审计部门采用风险评估进行审计计划的制定，反映了国际内部审计实务以风险为导向的发展趋势。所谓风险导向审计，是通过对被审计对象风险的分析与评价，全面把握被审计对象的风险状况，根据量化的风险水平，找出高风险领域，在此基础上确定审计重点和审计频率，以便合理配置审计资源。 国际内部审计师协会（IIA）颁布的《内部审计实务标准—专业实务框架》认为，内部审计计划应反映组织的风险战略，组织的风险管理与内部审计程序应该协调一致，并产生协同增效的作用。实务标准指出内部审计部门要依据风险评估制定内审计划，并建议对审计范围至少每年要进行一次评估，以反映组织的最新战略和方针以及要在评估风险优先次序的基础上确定内部审计工作重点等。国际内部审计实务标准及其最新发展趋势，要求内部审计采用风险导向审计理论和方法，以更好地完成内部审计职能。 （二）内部审计承担银行全面风险管理的监督职责 商业银行普遍形成了“风险管理创造价值”的共识，力求通过提高风险管理能力来更好地把握市场机会、拓展发展空间和增强盈利能力。经济全球化、金融创新快速发展导致银行业面临的风险愈加复杂，风险引发的损失也愈加可观。国际先进银行通过建立全面风险管理框架应对阻碍实现组织目标的威胁因素，全面风险管理要求内部审计独立开展监督。在COSO 2004 年提出的ERM（企业风险管理）框架中，要求通过独立的评价来监控企业风险管理及组成要素的有效性。BASELII 较BASELI 更关注银行自身全面风险管理的能力和可靠性，支柱一要求最低资本中对市场、信用、操作风险具体资本计量方法描述，都要求内部审计进行独立的检查，支柱二的第四条，是监管检查关键原则之一，也要求内部审计对内部控制框架进行有效的检查。内部审计的定义要求内部审计评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。这与全面风险管理的要求是一致的。 通过应用风险评估方法，对管理层组织风险管理工作效果作出量化的评价，是完善银行全面风险管理框架的需要，还可以为外审和外部监管部门提供关于银行全面风险管理的框架和可靠性信息。 （三）银行内审风险评估的最佳实践 巴塞尔委员会基于对13 个国家监管当局和71 家银行的调查结果，颁布了《银行内部审计和监管者与审计师的关系》文件，推荐了银行内审的最佳实践：“被调查银行反映，他们的审计计划是以风险为本的，并通过一系列不同的方法来达到目的，比如采取打分模型来评估数量及质量信息。至少每年向审计委员会提交一份正式的风险评估报告被证明是一种良好做法。” 瑞士信贷银行的内部审计工作的调研结果显示：瑞士信贷的风险评估，是一种“从上到下”和“从下到上”相结合的评估体系。“从上到下”就是从银行经营的整体角度考虑，从企业的关键风险和控制环境出发，评估固定风险大小，并对审计的重点区域进行排序。“从下到上”则是从业务、产品、机构等维度将整个集团划分成1200多个审计单元，并以重要性程度为指标进行分级。两种评估方式结合起来，组成了矩阵式的评估模型，以此确定审计对象、审计频率和年度审计计划。瑞士信贷的风险评估体系并不是一个完全静态的体系，而是跟随业务的变化进行动态调整。经过风险评估后的年度审计计划并不是一成不变的，内部审计部门会对业务发展进行持续监测，对其关键风险指标体系（KRI）按季进行审视和更新，如果发现风险状况发生重大变化，内部审计部门会及时修正风险评估结果。 二、我国银行内审风险评估方法初探 内部审计部门运用科学、先进的风险评估方法评估审计对象的风险，已成为国际银行业的必然趋势。我国商业银行的内部审计部门是在股份制改革后成立的，历史并不长，从业人员正在摸索建立一套规范和系统的内部审计工作方法。通过学习国际内审行业标准