基于央行治理视角下风险管理审计.docVIP

基于央行治理视角下风险管理审计 　　一、风险管理审计的概念 　　风险管理审计是内部审计的组成部分，是管理审计中新的审计类型。它是内审部门采用系统化、规范化的方法，针对承担风险管理职责的部门所制定的应对程序、对策方案以及对机制的合理性与有效性进行监督、评价和咨询，用以改进风险管理、为组织增加价值的一种审计类型。与传统内部审计相比，风险管理审计的范围由内控审计扩展到所有风险管理技术审计，它更加注重确认和测试风险管理部门为降低风险而采取的措施及效果。 　　风险管理审计的目标主要包括：范围的科学合理性；评价标准与指标体系的科学性；识别与评估的科学合理性；措施、方法与程序的合理性；风险应对的合理性等。 　　开展风险管理审计可以提高内部审计工作的针对性，使管理层了解风险现状，提高风险应对方案的效率、效果，保障央行各项业务安全、高效运行，实现风险管理与组织战略的优化结合。 　　二、风险管理审计的主要步骤及方法 　　（一）建立风险管理评价模型 　　2004年美国COSO委员会发布了研究报告《企业风险管理―整体框架》（以下简称ERM框架），该框架由内部环境、目标制定、事项识别、风险评估、风险应对、控制活动、信息和沟通、监控等相互关联的要素组成。该框架发布后，得到了风险管理理论界和实务界的认可。德州中支依据ERM框架，结合2013年总行下发的《中国人民银行内审部门风险评估工作试行办法》（以下简称《办法》），建立了风险管理评价模型。 　　1. 评价模型。将基层央行履职的存在风险，按照风险管理情况划分为不同类别的风险等级，设计《风险管理评价标准表》（见表1）、《风险管理总体评价计算表》（见表2），加权汇总风险管理得分，依据得分情况衡量被查单位内部控制整体状况。即： 　　[Y=QiXi] 　　其中：Y为风险管理总体评价分值，[Qi]分别代表风险影响程度所占权重，[Xi]分别代表风险管理得分。 　　2. 划分风险等级，确定风险系数。将ERM框架揭示的风险管理要素内容，按照《办法》明确的风险影响程度，由低到高依次划分为1―4级，4级风险为高风险，3级风险为较高风险，2级风险为一般风险，1级风险为低风险。对同一级别风险的不同风险状况，进一步划分不同的风险系数。 　　3. 计算得分。评价采取评分制，根据风险影响程度分别赋予不同的风险等级，进行测评打分，汇总最终得分确定被查单位风险管理总体状况。 　　（二）审计流程 　　1. 确定审计对象。2014年初，德州中支对辖区某县支行的风险点及内部控制有效性开展了重点调查。该县支行2010―2013年期间在中心支行的年度目标考核一直为B级。除2012年中心支行会计部门对其大型修缮项目开展过检查外，自2010年以来，中心支行未对该县支行开展审计或全面检查。该支行现有员工27人，其中50岁（含）以上12人，占比44.4%；40―49岁之间（含40岁）13人，占比48.4%；40岁以下2人，占比7.4%。第一学历大专3人，占比11.1%；第一学历中专12人，占比44.4%；第一学历高中12人，占比44.4%；无第一学历本科毕业生。自两部两室改革定岗以来，该支行未开展岗位轮换，仅是由于业务调整进行过相应的岗位调整，且轮换仅限于个别岗位之间，岗位轮换率为7.4%，92.6%的职工长期从事同一岗位。 　　基于该县支行考核、人员年龄及学历结构、岗位轮换情况及上级行监督检查频率，该县支行风险较高。2014年4月，中心支行审计组对该县支行开展风险管理审计。 　　2. 开展风险评估。一是进行风险识别，确定了576个风险点。二是评估风险等级，识别4级风险53个、3级风险218个、2级风险236个、1级风险69个（见表3）。三是风险评估结果运用，将4级风险、3级风险、2级风险作为重要审计点，制定了可审计对象清单，作为制定审计方案的重要内容。 　　3. 实施自我评估。结合进点座谈，组织被查单位行级领导及部室主任、副主任、业务骨干，分别采取专题讨论、问卷调查、管理结果分析等方式实施风险控制自我评估，进一步确定了审计重点。 　　4.总体评价。通过现场符合性测试、实质性测试、座谈、问卷调查等，对该县支行进行了定量与定性评价。 　　（三）审计评价 　　1. 定量评价。审计落实该县支行4 级风险隐患12项、3 级风险隐患25 项、2 级风险隐患14 项，总体评价得分为85.4 分，评价结果为B级，属于风险管理基本正常单位。 　　2. 定性评价。审计组依据量化评价结果，结合调查问卷和谈话情况，充分考虑该县支行内、外部风险管理环境和全行的风险管理水平后认为，该县支行能够对风险进行识别和控制，风险防范措施基本能够发挥作用；对业务运行活动的风险控制基本有效，能够按照有关规章制度规范操作，风险隐患发生的可能性较低。但由于受