關于商業(yè)銀行全面風險管理的內部審計工作思考

李建芳 江蘇省宿遷市沭陽縣東吳村鎮(zhèn)銀行股份有限公司

所謂全面風險管理，就是將總體經(jīng)營目標作為基礎，采用各種管理措施，對各個環(huán)節(jié)、過程中的風險進行管理，營造良好的風險管理文化，同時構建健全的管理體系，不僅要制定詳細的管理策略、措施，還要完善職能體系、信息系統(tǒng)等構成部分，使風險管理更加有效，促進總體目標的實現(xiàn)。從商業(yè)銀行的角度分析，要保障全面風險管理的有效性，需要從管理體系的構建入手，采用定性、定量的管理方針，對風險進行識別、計量、監(jiān)測、評估等多項管理措施。將全面風險管理納入到內部審計工作的范疇之內，使全面風險管理可以更好地發(fā)揮作用，同時也可以提升內部審計工作的有效性。

一、商業(yè)銀行全面風險管理分析

在銀行經(jīng)營的過程中，受到各種因素的影響，難免存在一定的經(jīng)營風險。銀行出現(xiàn)損失并不是單一風險的影響，受到信用、市場、操作等多種風險因素的影響，各個風險因素之間具有交互性。在實際經(jīng)營的過程中，應該采取有效的風險管理措施，通過由點及面的方式構建風險組合防控體系，也就是落實全面風險管理策略。商業(yè)銀行的全面風險管理應該圍繞總體經(jīng)營目標展開，統(tǒng)一管理各個風險因素，并在體系中以機構整體的角度進行分析，使各個業(yè)務單元得到有效的整合。在各項經(jīng)營環(huán)節(jié)中落實全面風險管理策略，滲透到各個單位部門之中，形成嚴密的管理體系[1]。在《企業(yè)風險管理的框架》中，COSO委員會為商業(yè)銀行構建了全面風險管理的立體框架。該框架由三個維度組成，包括主體目標、八大要素、主體的各個層級。該框架可以為全面風險管理工作的落實提供依據(jù)和支持，不僅強調復合式風險組合管理策略，還統(tǒng)一了風險評估指標。在《新巴塞爾資本協(xié)議》中，也對全面風險管理的落實、發(fā)展進行分析，結合資本充足的概念，對市場和操作風險進行分析，并且采取有效的約束手段。這種監(jiān)管措施可以降低銀行經(jīng)營中的風險隱患，避免銀行經(jīng)營出現(xiàn)損失。不僅如此，在《中央企業(yè)全面風險管理指引》中提出，風險管理應該具備多到防線，內部管理則是其中十分重要的一道防線。商業(yè)銀行應該根據(jù)自身實際情況識別、評估、控制各項風險，將分散在各個部門中的各類風險進行整合，然后采用全面管理的方式降低各項風險。

二、商業(yè)銀行風險管理與內部審計之間的關系

(一)內部審計的概念

從內部審計出現(xiàn)開始便在國內迅速發(fā)展，與之相關的理論有很多。我國早在2003年就頒布了《內部審計基本準則》，在準則中對內部審計的概念進行了清晰的定義，即：組織內部的監(jiān)督、評價活動，具有獨立客觀的特點，通過對經(jīng)營活動的審查和評價，采取適當、合法、有效的內部控制措施，以此來促進組織目標的實現(xiàn)。也就是說，內部審計將價值提升、風險防范放在首位，與其他工作內容相比，內部審計重視監(jiān)督、評價兩項內容，對經(jīng)營活動是否規(guī)范合法更加關注。所以內部審計不斷向風險管理的范疇拓展，商業(yè)銀行的內部審計應該將風險導向理念作為核心，這樣才能真正發(fā)揮內部審計的作用，同時也能適應時代發(fā)展的趨勢。也就是說，內部審計中包含經(jīng)營事件的風險全過程，通過對風險進行評價、控制使組織運營得到改善。

(二)內部審計是風險管理體系的組成部分

從廣義的角度來看，風險管理體系中包括這內部審計工作，內部審計將價值增值防范風險作為核心目標，屬于內部控制的一種手段，內控對風險控制體系來說，也是不可或缺的一部分。所以內部審計是風險管理不可或缺的一部分，內審人員也要掌握有效的風險管理措施，提升自身的風險管理水平，向企業(yè)高層提供有效的防控對策。一方面，商業(yè)銀行面對著十分復雜的風險環(huán)境，內部審計可以幫助銀行確認環(huán)境因素，也是風險管理體系有效評價的基礎。從經(jīng)濟和金融環(huán)境的角度分析，內部審計部門應該充分了解環(huán)境的變化趨勢，并且根據(jù)外部環(huán)境構建有效的管理機制。從銀行經(jīng)營、風險文化的角度分析，內審部門應該注重內部環(huán)境的分析與評價，采用科學的量化考核方式，保障組織可以安全運營；另一方面，內審部門會干預和控制銀行監(jiān)控的整個過程，對于風險管理體系來說，這是核心環(huán)節(jié)。以環(huán)境分析為基礎，內審部門應該對銀行目標設立因素的科學性進行評價，同時也要分析其是否匹配自身能力，這與日后組織目標面臨的風險有直接關系。對銀行信用和操作風險，內審部門應該做好細節(jié)的把控，不僅要確立識別機制，還要選擇有效的評估審查方法，在實際落實的過程中，應該做好溝通與交流，最后得出有效的防控對策。內審部門應該詳細規(guī)范審查工作，并落實到各個員工身上，明確員工的具體職責和權限。此外，內部審計分析所得的風險結果，是風險管理的最終依據(jù)。內審部門根據(jù)經(jīng)營特點采取有效的風險防控策略，實現(xiàn)風險最小化、效益最大化的目標，這樣才能真正發(fā)揮風險管理的作用。

(三)內部審計在風險管理中的作用

在商業(yè)銀行開展各項業(yè)務的過程中，受到各種因素的影響會產(chǎn)生風險，由于其具有流動性的特點，所以風險識別的難度較大。內審部門具有獨立性，可以嚴密監(jiān)控經(jīng)營過程中出現(xiàn)的各類風險，并從宏觀角度分析，掌握風險特征、產(chǎn)生原因，然后采取有效的調控措施。由于內容部門具有專職、獨立的特點，所以不會受到管理層的限制，也可以與其他部門形成良好的合作關系。不僅如此，風險分析與防控的水平與內審人員專業(yè)能力有關，如果經(jīng)驗豐富、專業(yè)能力強則可以做好審查與監(jiān)管工作，并促進工作不斷創(chuàng)新。組織信息傳遞模式上行或下行，內審部門都會做好匯報工作，承擔決策傳遞、協(xié)調的責任，同時也在風險管理中承擔咨詢者、培訓者的角色。風險管理策略與組織長期目標有直接關系，內審部門對組織長期目標進行分解，并且在短期內實現(xiàn)，有效地控制風險，保障各項措施的順利落實。可見，內審部門不僅有助于風險管理，同時也能落實組織風險評價的工作，具有監(jiān)督職能，有助于信息的傳遞和部門的溝通，可以為決策的制定和落實提供更多指導依據(jù)。

三、商業(yè)銀行全面風險管理內部審計的現(xiàn)狀

(一)審計理念落后

在各種行為落實的過程中，要依據(jù)相應的理念思想，可以將其看作一種行為價值觀，對行動具有制約、驅動、導向的作用，使人們可以用正確的態(tài)度、思維、行動來處理問題。目前，我國商業(yè)銀行內部審計理念還比較落后，普遍在基礎審計控制、風險導向審計兩個方面，將合規(guī)性審計作為重心，沒有涉及到風險管理的內容，對全面風險管理的職責、作用認識不足，對全面風險管理內部審計模式不夠了解，進而影響全面風險管理內部審計在商業(yè)銀行中的落實。

(二)目標定位不準

目前，大部分商業(yè)銀行的內部審計工作都需要創(chuàng)新，普遍以依據(jù)制度規(guī)范落實檢查工作為主，處在合規(guī)性審查階段，沒有對經(jīng)營活動風險做出明確的評價，風險管理的效果不明顯，沒有到達風險導向審計、風險管理審計的階段。內部審計的各項職能沒有得到有效利用，包括評價、咨詢等等[2]。內部審計目標，應該采用系統(tǒng)規(guī)范的方法來確定，對風險管理、控制和治理過程具有評價和優(yōu)化的作用，核心目標就是促進價值的增加，使組織運營得到有效的改善，進而實現(xiàn)組織目標。該作用范圍較大，具有較強的建設性特點，屬于服務性工作。但是大部分商業(yè)銀行都將該工作用在日常運營的糾錯、核查上，沒有真正發(fā)揮作用，對工作的目標定位、職能作用不夠理解。

(三)審計人才匱乏

全面風險管理內部審計對工作人員要十分嚴格的要求，從事審計工作的人員，不僅要具有內部審計的能力，還要對銀行風險進行全面、準確的把控，同時掌握科學有效的風險識別、評估、分析等審計方法，對商業(yè)銀行全面風險管理的工作進行合理評價，保障工作的有效性。因此，內部審計人員需要具備多項能力和素養(yǎng)，包括財務會計、經(jīng)營管理、評估分析等能力和專業(yè)知識，要熟悉銀行經(jīng)營活動，掌握各個風險類型和各類風險的性質，同時可以采用定量、定性分析的方法，對現(xiàn)代信息技術也有所掌握。但從目前的情況來看，商業(yè)銀行的內部審計人才較少。首先，缺少高學歷的內部審計人員。調查顯示，大部分商業(yè)銀行內部審計人員都為本科生或大專以下學歷，研究生以上學歷較少。由于學歷不高，所以對專業(yè)知識的掌握也相對淺顯、片面；其次，審計機構的構成比較單一。調查顯示，內部審計人員中，普遍為會計、審計專員，其他專業(yè)占比較少，有法律類、金融類專業(yè)的人才。商業(yè)銀行具有較強的專業(yè)性，如果對行業(yè)了解不足，則會影響工作的落實，造成工作效率低下。

(四)審計方法單一

要發(fā)揮內部審計的作用，必須采用先進有效的內部審計方法。但是從目前的情況來看，很多商業(yè)銀行并沒有采取有效的內部審計技術，普遍圍繞賬目基礎審計展開，采用詳細審計的方式，或者進行抽樣審計，以個人經(jīng)驗、主觀判斷為主，缺少科學性，對現(xiàn)代技術的運用不夠充分。在應用計算機進行審計時，并沒有對計算機系統(tǒng)進行評價，也沒有對數(shù)據(jù)真實性進行測試，所以應用效果并不理想。但實際工作中，涉及的風險因素較多，需要對這些因素的性質、程度進行評價，對科學的方法、技術有較高的需求，陳舊的技術方法會制約行業(yè)的發(fā)展。

四、商業(yè)銀行全面風險管理的內部審計工作策略

(一)構建保障機制，轉變傳統(tǒng)理念

為確保全面風險管理內部審計工作充分發(fā)揮作用，需要構建完善的保障機制，包括全面風險管理機制、風險管理評價機制、溝通協(xié)調機制等等，在各項機制的約束下落實審計工作。所謂全面風險管理機制，就是控制風險、管理風險的基礎措施，可以確保商業(yè)銀行的運營風險有效降低。所以商業(yè)銀行應該根據(jù)規(guī)模、風險程度、管理水平等特點，在采取專業(yè)管理措施的同時，也要引導全體成員參與管理，構建全員產(chǎn)于的規(guī)范化管理組織體系，同時具有專業(yè)的指導，并且全過程實施。該體系需要根據(jù)風險的變化進行動態(tài)調整，明確各個成員的職責分工，使各項工作有效落實。同時，也要構建風險預警機制，結合靜態(tài)風險指標和動態(tài)風險應對兩個體系，通過收集歸類風險信息，構建科學的指標體系，明確具體的指標預警值，從而達到風險預警的效果。風險管理評價機制包括風險識別評價、風險評估評價、風險應對評價多個機制。不同的機制對應不同的工作內容，為風管理評價提供知道依據(jù)。溝通協(xié)調機制則用于部門合作、人員協(xié)調，包括內部審計人員與各個管理層之間的溝通協(xié)調，也包括董事會、審計委員會與審計部門之間的溝通。

為了確保內部審計的有效運行，不僅要構建完善的保障機制，還要轉變審計理念。高層管理應該明確企業(yè)經(jīng)營的目標，要對風險管理過程進行明確和規(guī)范，使其可以充分發(fā)揮作用。董事會應該針對風險管理過程、管理工作的有效性、合理性等內容進行監(jiān)督，并承擔相應的責任。董事會可以根據(jù)審計報告提出改進建議，審計部門也可以協(xié)助高層管理對風險進行識別和評估，并采取有效的管理措施來解決風險。要強化管理層、基層對風險的認識，明確內部審計在風險管理中的作用，鼓勵內部審計參與風險管理，包括報告監(jiān)控、監(jiān)督委員會等等，使其可以充分發(fā)揮職能作用。

(二)明確目標定位，提升工作效率

要保障內部審計工作的有效性，明確工作目標十分重要。應該隨著設計工作的變化而調整目標，雖然最初以差錯防弊為目標，但隨著發(fā)展，要不斷向審查企業(yè)資產(chǎn)經(jīng)營合法性、完整性的方向發(fā)展，會后還要向促進內部控制完整、有效的方向發(fā)展。在全面風險管理實施的過程中，參與部門應該將企業(yè)經(jīng)營目標作為出發(fā)點，對長遠利益、戰(zhàn)略規(guī)劃進行分析和考量，關注風險的關聯(lián)性和管理的有效性，制定更加合理的審計程序，促進工作效率的提升。面對不斷發(fā)展和變化的新環(huán)境、新要求，傳統(tǒng)的內部審計模式、理念已經(jīng)逐漸無法適應。在風險管理內部審計的模式下，應該將經(jīng)營戰(zhàn)略作為基礎來確立內部審計目標，在增加組織價值的同時，也是組織運營得到改善。所以商業(yè)銀行內部實施風險管理、內部審計前，應該先確定具體的目標定位，明確工作方向之后才能保障工作的有效落實。應該將目標作為基礎導向，監(jiān)督全面風險管理工作的落實情況。在風險管理評價體系構建的過程中，確定評價指標最為重要，包括風險管理過程、風險狀況兩個方面，具體過程包括風險識別、內部環(huán)境、信息與溝通等等；風險狀況包括信息、風險遷徙能力、計量與控制等等。

(三)培養(yǎng)綜合人才，促進部門合作

在人才方面，要促進招聘范圍的擴大，增加金融、統(tǒng)計、信息等專業(yè)的人才。還要豐富培訓活動，積極開展經(jīng)驗交流會，對銀行內部審計的典型案例進行研究和分析。一方面，可以聘請專家、學者進行咨詢和研究，促進知識的補充和更新。可以聘請法律、統(tǒng)計、信息技術等專業(yè)人才，使內部審計部門的人才可以涉及更廣泛的知識領域，促進團隊專業(yè)素質的提升。另一方面，要對工作人員進行嚴格的考核，確保其可以勝任商業(yè)銀行的審計工作。應該聘請風險管理專家或咨詢銀行經(jīng)營專員，對內部審的新方法、新策略、新理念進行學習和推廣。為了保障人員的專業(yè)性，需要做好成果評價、能力考察工作。內部審計具有復雜、系統(tǒng)的特點，對審計人員有很高的要求，必須嚴格篩選和考察。與此同時，還要建立有效的獎罰措施，對表現(xiàn)好的人員予以獎勵和支持，便于工作的落實，同時提升工作積極性。對于表現(xiàn)不佳的人員，應該適當處罰，避免工作效率下降。此外，還要加強各個部門之間的交流與合作，將協(xié)調保障機制作為基礎，構建完善有效的信息交流與溝通平臺，為工作的落實提供便利條件。對于風險管理內部審計來說，信息共享與交流是一個十分重要的環(huán)節(jié)，很多商業(yè)銀行都因為內審存在問題，部門共同不足，導致風險防控效果不佳，進而影響經(jīng)營效益。所以應該構建風險管理數(shù)據(jù)庫，對信息共享系統(tǒng)進行完善和優(yōu)化。通過共享系統(tǒng)，可以儲存各類管理信息并進行傳遞，確保信息的流通效率，使各個成員、部門都能了解工作要求、風險防范措施，進而形成良好的配合關系，保障各項崗位職能的履行和落實。對銀行風險管理進行系統(tǒng)性的評價，利用信息反饋系統(tǒng)獲取更加準確豐富的信息數(shù)據(jù)，為評價工作提供更多依據(jù)和支持，從而使風險預防體系更加系統(tǒng)、全面，保障風險管理內部審計工作可以切實有效地執(zhí)行并充分發(fā)揮作用。

(四)優(yōu)化審計方法，加強技術更新

在審計方法上，要不斷更新和創(chuàng)新，積極學習先進的技術和經(jīng)驗，引進先進的計算工具。可以引進國際上廣泛應用且效果良好的風險識別和評估方法，包括IRB、IMA、AMA、ICAAP等方法。還要加強現(xiàn)代技術的應用，包括計算機審計技術，構建完善的信息系統(tǒng)，開展線上服務業(yè)務，利用大數(shù)據(jù)、云計算等技術進行數(shù)據(jù)信息的采集、計算和分析，提升工作的效率和質量。

五、結語

綜上所述，在商業(yè)銀行發(fā)展的過程中，加強全面風險管理十分重要。應該將全面風險管理作為基礎，促進內部審計工作的完善和改進。在實際審計的過程中，不僅要完善各項保障機制，還要轉變觀念意識、明確目標定位、培養(yǎng)優(yōu)秀人才、引進先進技術。