郭春慧

（中國人民銀行德州市中心支行，山東 德州 253012）

一、風險管理審計的概念

風險管理審計是內(nèi)部審計的組成部分，是管理審計中新的審計類型。它是內(nèi)審部門采用系統(tǒng)化、規(guī)范化的方法，針對承擔風險管理職責的部門所制定的應對程序、對策方案以及對機制的合理性與有效性進行監(jiān)督、評價和咨詢，用以改進風險管理、為組織增加價值的一種審計類型。與傳統(tǒng)內(nèi)部審計相比，風險管理審計的范圍由內(nèi)控審計擴展到所有風險管理技術(shù)審計，它更加注重確認和測試風險管理部門為降低風險而采取的措施及效果。

風險管理審計的目標主要包括：范圍的科學合理性；評價標準與指標體系的科學性；識別與評估的科學合理性；措施、方法與程序的合理性；風險應對的合理性等。

開展風險管理審計可以提高內(nèi)部審計工作的針對性，使管理層了解風險現(xiàn)狀，提高風險應對方案的效率、效果，保障央行各項業(yè)務安全、高效運行，實現(xiàn)風險管理與組織戰(zhàn)略的優(yōu)化結(jié)合。

二、風險管理審計的主要步驟及方法

（一）建立風險管理評價模型

2004年美國COSO委員會發(fā)布了研究報告《企業(yè)風險管理—整體框架》（以下簡稱ERM框架），該框架由內(nèi)部環(huán)境、目標制定、事項識別、風險評估、風險應對、控制活動、信息和溝通、監(jiān)控等相互關聯(lián)的要素組成。該框架發(fā)布后，得到了風險管理理論界和實務界的認可。德州中支依據(jù)ERM框架，結(jié)合2013年總行下發(fā)的《中國人民銀行內(nèi)審部門風險評估工作試行辦法》（以下簡稱《辦法》），建立了風險管理評價模型。

1.評價模型。將基層央行履職的存在風險，按照風險管理情況劃分為不同類別的風險等級，設計《風險管理評價標準表》（見表1）、《風險管理總體評價計算表》（見表2），加權(quán)匯總風險管理得分，依據(jù)得分情況衡量被查單位內(nèi)部控制整體狀況。即：

其中：Y為風險管理總體評價分值，Qi分別代表風險影響程度所占權(quán)重，Xi分別代表風險管理得分。

2.劃分風險等級，確定風險系數(shù)。將ERM框架揭示的風險管理要素內(nèi)容，按照《辦法》明確的風險影響程度，由低到高依次劃分為1—4級，4級風險為高風險，3級風險為較高風險，2級風險為一般風險，1級風險為低風險。對同一級別風險的不同風險狀況，進一步劃分不同的風險系數(shù)。

3.計算得分。評價采取評分制，根據(jù)風險影響程度分別賦予不同的風險等級，進行測評打分，匯總最終得分確定被查單位風險管理總體狀況。

（二）審計流程

1.確定審計對象。2014年初，德州中支對轄區(qū)某縣支行的風險點及內(nèi)部控制有效性開展了重點調(diào)查。該縣支行2010—2013年期間在中心支行的年度目標考核一直為B級。除2012年中心支行會計部門對其大型修繕項目開展過檢查外，自2010年以來，中心支行未對該縣支行開展審計或全面檢查。該支行現(xiàn)有員工27人，其中50歲（含）以上12人，占比44.4%；40—49歲之間（含40歲）13人，占比48.4%；40歲以下2人，占比7.4%。第一學歷大專3人，占比11.1%；第一學歷中專12人，占比44.4%；第一學歷高中12人，占比44.4%；無第一學歷本科畢業(yè)生。自兩部兩室改革定崗以來，該支行未開展崗位輪換，僅是由于業(yè)務調(diào)整進行過相應的崗位調(diào)整，且輪換僅限于個別崗位之間，崗位輪換率為7.4%，92.6%的職工長期從事同一崗位。

基于該縣支行考核、人員年齡及學歷結(jié)構(gòu)、崗位輪換情況及上級行監(jiān)督檢查頻率，該縣支行風險較高。2014年4月，中心支行審計組對該縣支行開展風險管理審計。

表1：風險管理評價標準表

表2：風險管理總體評價計算表

2.開展風險評估。一是進行風險識別，確定了576個風險點。二是評估風險等級，識別4級風險53個、3級風險218個、2級風險236個、1級風險69個（見表3）。三是風險評估結(jié)果運用，將4級風險、3級風險、2級風險作為重要審計點，制定了可審計對象清單，作為制定審計方案的重要內(nèi)容。

3.實施自我評估。結(jié)合進點座談，組織被查單位行級領導及部室主任、副主任、業(yè)務骨干，分別采取專題討論、問卷調(diào)查、管理結(jié)果分析等方式實施風險控制自我評估，進一步確定了審計重點。

4.總體評價。通過現(xiàn)場符合性測試、實質(zhì)性測試、座談、問卷調(diào)查等，對該縣支行進行了定量與定性評價。

（三）審計評價

1.定量評價。審計落實該縣支行4級風險隱患12項、3級風險隱患25項、2級風險隱患14項，總體評價得分為85.4分，評價結(jié)果為B級，屬于風險管理基本正常單位。

表3：縣支行風險級別分類表

2.定性評價。審計組依據(jù)量化評價結(jié)果，結(jié)合調(diào)查問卷和談話情況，充分考慮該縣支行內(nèi)、外部風險管理環(huán)境和全行的風險管理水平后認為，該縣支行能夠?qū)︼L險進行識別和控制，風險防范措施基本能夠發(fā)揮作用；對業(yè)務運行活動的風險控制基本有效，能夠按照有關規(guī)章制度規(guī)范操作，風險隱患發(fā)生的可能性較低。但由于受主、客觀因素的影響，一些業(yè)務環(huán)節(jié)管理偏松，存在一定的風險隱患，風險管理工作亟待加強。

三、審計成效

審計實踐表明，基層央行借鑒ERM框架，并依據(jù)《辦法》開展風險管理審計具有一定的科學性、可操作性，可以幫助審計人員明確審計重點，使管理層能夠發(fā)現(xiàn)和了解風險，做出的風險管理決策更加契合實際，從而保障了基層央行有效履職。

（一）圍繞著“服務治理”，推動成果有效轉(zhuǎn)化

一是審計關注央行治理重點。風險管理審計將津補貼、公務用車、辦公用房清理、公務出國與出差、公務接待、會議六方面內(nèi)容納入審計，將審計重點“聚焦”到央行治理重點。二是審計成果有效轉(zhuǎn)化。建立風險管理評價模型，運用分值量化被查單位的風險狀況，使風險管理評價更客觀、更直接，風險提示更具針對性、建議更具可行性，使管理層直觀地了解了基層央行面臨的重大風險及管理狀況，并根據(jù)審計建議，做出優(yōu)化激勵機制、細化集中采購流程、落實強制休假等改進管理的決策，使審計成果有效轉(zhuǎn)化。

（二）立足于“風險導向”，服務于央行治理

一是優(yōu)化資源配置。審計針對央行治理中的高風險領域，根據(jù)風險評估結(jié)果確定審計對象，把有限的審計資源投放到能更好提升履職效果的領域，避免了重復審計帶來的資源浪費。二是實施控制自我評估。全員參與是ERM框架的重要特征，實施控制自我評估，采取管理法與管理層就單位的風險管理體系進行分析，采取專題討論法與業(yè)務骨干就風險管理環(huán)節(jié)進行探討，采取調(diào)查問卷法與全行員工就風險管理狀況進行調(diào)查，調(diào)動了全員參與風險管理的積極性。

（三）著眼于“內(nèi)審轉(zhuǎn)型”，保障服務治理的效果

風險管理審計是內(nèi)審轉(zhuǎn)型的突破口，是管理審計的新模式，為此，內(nèi)審部門創(chuàng)新審計方式，保障了服務效果。一是審計內(nèi)容更寬泛。在編制審計方案時融入了風險評估結(jié)果，使固有風險的評估從審后拓展到審前，避免了事后審計帶來的風險。同時，風險管理評價使風險管理不再局限于制度執(zhí)行，而是拓展到被審計對象的戰(zhàn)略目標、風險應對等要素，提升了內(nèi)審服務層次。二是審計抽樣更加客觀。審計抽樣時，綜合考慮了固有風險及風險發(fā)生的可能性及影響程度，并進行了符合性及實質(zhì)性測試，提高了抽樣檢查結(jié)果的針對性、客觀性，保障了服務央行治理效能的發(fā)揮。

四、風險管理審計存在的不足及建議

（一）風險影響程度的評級標準界定尚需改進

德州中支借鑒ERM框架，結(jié)合《辦法》，建立了評價模型，明確了被查單位風險影響程度的評定標準。但從審前風險評估實踐看，《辦法》的個別標準值與當?shù)乜h支行業(yè)務實際存在差異。例如，“風險影響程度的評級標準”對各級人民銀行機構(gòu)產(chǎn)生的“資金損失”的風險等級進行了界定，但這個數(shù)值范圍劃分過于籠統(tǒng)，忽略了區(qū)域之間的經(jīng)濟總量差別，存在經(jīng)濟欠發(fā)達地區(qū)風險等級被放大的可能，因此會產(chǎn)生不必要的風險關注點。因此，內(nèi)審部門開展風險管理審計時，應依據(jù)《辦法》的要求，結(jié)合本單位實際，進一步完善風險事件的影響級別以及發(fā)生可能性分級界定標準，要做到善于拓寬視角，立足本單位實際，而又不束縛于《辦法》“標準”框架體系，客觀評估風險點，體現(xiàn)被審計對象的風險管理成效。

（二）風險評估工作尚需持續(xù)有效地開展

開展風險管理審計試點，審前評估梳理了576個風險點。審前風險評估工作強度大，審計人員在審前準備階段耗費了大量的時間和精力。此次試點也引發(fā)了審計人員對風險管理審計更為現(xiàn)實的思考，如：如何將風險評估工作流程化、如何利用相關職能部門的風險評估結(jié)果、如何在審計資源與效率間求得平衡、如何科學地評價風險等等。因此，內(nèi)審部門應依據(jù)《辦法》要求，每年組織人員開展評估，將風險評估結(jié)果作為基礎數(shù)據(jù)，據(jù)此制定轄區(qū)全年審計計劃，確定審計重點。同時，建議上級行要求每個單位的風險評估結(jié)果錄入內(nèi)審綜合管理系統(tǒng)，使各分支機構(gòu)的評估結(jié)果互相利用，達到評估結(jié)果的共享，使風險評估結(jié)果運用最大化，節(jié)約審計資源，從而節(jié)約審計成本、提高審計效率。

（三）基層央行管理層的風險治理尚需關注

從央行治理的角度看，管理層面的風險是影響基層央行履職成效的重要因素。風險管理審計仍是注重從業(yè)務領域的風險著手，關注點多在業(yè)務領域引發(fā)的操作風險，對于領導層與地方政府溝通協(xié)調(diào)可能引發(fā)的信用風險、貨幣政策實施引發(fā)的流動性風險、窗口指導引發(fā)的流動性風險及市場風險、履行服務職能引發(fā)的聲譽風險以及領導班子治理決策風險、領導班子建設風險、領導班子成員遵守規(guī)章制度等引發(fā)的風險狀況關注不夠。因此，內(nèi)審部門應立足于服務央行治理，以管理者視角開展風險管理審計，關注人民銀行履行職責過程中可能引發(fā)的聲譽風險、法律風險、貨幣政策貫徹執(zhí)行風險等，站在政府、金融機構(gòu)以及公眾角度層面看風險，為領導決策提供更加實用的咨詢服務。