商业银行风险导向稽核模式的应用研究

    摘要：商业银行作为经营货币和信用业务的特殊高风险行业，风险管控工作时刻不能放松，而稽核是商业银行风险管控的重要手段之一。在商业银行内部实施风险导向稽核，不仅有利于提高稽核的效率与效果，而且有利于加强银行的风险管控。
    关键词：商业银行；稽核；风险导向模式；应用    
 
    一、风险导向稽核的定义和特点
    （一）风险导向稽核的定义。
    综合国内外关于风险导向稽核的理论研究，可以概括出风险导向稽核是指在账项基础稽核和制度基础稽核上发展起来的一种稽核模式，是指稽核人员充分了解稽核对象内部控制基础上，分析、判断其风险所在、风险程度及发生频率，将稽核资源集中于高风险领域，进行实质性测试，将内部稽核剩余风险降低到最低水平，进行创造价值的一种稽核模式。
    （二）风险导向稽核的特点。
    风险导向稽核不仅仅是稽核技术方法、稽核程序上的一大变革，更重要也最根本的是稽核理念的更新，是一种基于战略系统观的稽核新理念。它的主要特点表现为：
    1.稽核监督层面趋于宏观。风险导向稽核是建立在对被稽核单位全方位深入了解以及把指导思想建立在“合理的职业怀疑假设”的基础上, 以对企业战略风险和经营风险的评估为稽核重心，从源头上去识别和评估会计报表重大错报的风险，通过了解被稽核单位所处的经济环境，分析其经营战略、经营目标、经营风险及其业务流程，评估重大错报风险，从而针对风险点来设计和实施控制测试和实质性程序，以降低稽核风险至可接受水平。
    2.风险评估贯穿稽核全过程。风险导向稽核的基本原则是全流程移动性风险评估，即将风险评估贯穿于稽核过程的每个环节，包括计划、现场、报告等各个阶段。全面风险分析评估是风险导向稽核的立足点和核心,对风险分析评估结果的充分运用则是风险导向稽核的重点。
    3.注重分析性程序的运用。风险导向稽核从风险评估到最终稽核结论的确定均可使用分析性程序，尤其是在风险评估中。风险导向稽核中的分析性程序与传统稽核中的分析性复核相比，其分析范围更加广泛，工具更加多样，功能更加强大。风险导向稽核中的风险评估需要充分运用现代管理的分析工具，包括财务和非财务数据的分析；它扩大了传统稽核模式的分析量，并充分运用信息化和计算机稽核等技术，使稽核抽样更加全面和针对性，使得出的风险评估结论更加准确。
    4.稽核证据内涵扩大。稽核人员形成稽核结论所依据的证据不仅包括实施控制测试和实质性测试获取的证据，还包括了解企业及其环境获取的证据。风险导向稽核要求稽核人员扩大取证范围，不仅从被稽核单位管理层获取稽核证据，还要从一般员工或客户、上级管理部门、监管部门等处获取稽核证据，这是获取管理层舞弊线索的有效途径。此外，由于作为稽核立足点的风险评估注重宏观因素对重大错报风险影响的分析，因此稽核人员也必须从外部获取大量证据来证明风险评估结果的恰当性。
    二、风险导向稽核在商业银行稽核工作中应用的必然性和可行性
    （一）风险导向稽核在商业银行稽核工作中应用的必然性。
    1.适应银行内在发展要求的需要。随着金融全球化趋势的加深，金融风险也不断加剧和分散，使商业银行的风险管控难度越来越大。传统的稽核理论和方法已不能适应现代银行的发展需求。因此，商业银行必须应用风险导向稽核，通过稽核评估、结果和建议等帮助改进管理控制系统，直接影响银行的经营决策，确保商业银行风险管理目标与业务发展目标保持一致，从而在源头上加强风险管理，实现稽核为银行增值的目标。
    2.改变银行稽核现状的迫切要求。虽然银监会在2006年出台的《银行业金融机构内部审计指引》中，就明确了银行的内部审计方式要转为“以风险为导向”。但目前我国商业银行的稽核模式仍停留在以合规性稽核为重点的制度导向稽核上，而未完全转为风险导向稽核，总体上呈现重事后监督而非事前控制、重事后复核而非风险稽核、重部门稽核而非过程稽核、重高风险业务稽核而非全面评价的特点，稽核效果不够明显。近年来发生的齐鲁银行存单骗贷案、建行北京分行谢根荣骗贷案、“高山案”等银行重案都反映了传统银行稽核方法的尴尬。这些案件说明当一个单位发生多个控制环节的责任人联手作案的情况时，内部控制就会失效；所谓的低风险业务也往往会导致重大风险。因此银行稽核应该以风险为导向，其工作重点必须从传统的“查错防弊”转向“分析评价”，重视对管理层和全流程的稽核。
    （二）风险导向稽核在商业银行应用的可行性。
    1.商业银行已建立比较完善的计算机信息技术平台。如何建立稽核对象的信息数据库是实施风险导向稽核的难点之一。商业银行目前已基本形成了包括业务处理系统、渠道处理系统、管理信息系统和其他系统在内的比较完善的计算机体系，实现了金融数据的集成管理与应用，这为稽核的数据采集奠定了良好的基础，使稽核人员能够充分了解被稽核单位的资产质量、负债状况、客户信息、结算信息、内部控制措施等。
    2.商业银行已初步实施全面风险管理。按照监管要求，国有上市商业银行需要建立起COSO框架下的全面风险管理体系（ERM）。全面风险管理（ERM）明确了风险管理的完整循环流程，即从目标设定到事项识别、风险应对、控制活动，最后是对整个过程的监督控制和检讨纠正；同时强调了全程的风险管理过程、全员的风险管理文化和全员参与的风险管理机制。目前商业银行已基本建立了全面风险管理框架下的内控三道防线，即一道防线强调过程实时控制和自我评估程序，二道防线强调各职能管理部门对一线部门（过程）进行设计、管理、指导、检查和监督，三道防线强调稽核部门对业务操作职能及业务管理职能进行再监督和评价，发现问题并督促其及时采取相应措施。商业银行的风险管理经验已比较成熟，为风险导向稽核的应用创造了条件。
    三、风险导向稽核在商业银行稽核工作中的实际应用谈讨
    （一）充分开展风险评估，突出稽核重点和范围。
    全面风险分析评估是实施风险导向稽核的核心环节和立项的基础,应采取“自上而下”和“自下而上”相结合的思路。只有做好风险评估工作，才能抓住稽核重点，制定有针对性的稽核措施。
    1.进行集中于外部因素的环境与战略风险评估。要通过评价分析被稽核单位外部环境包括政治、法律环境，国内外经济金融形势，货币政策目标、社会信用体系的构建及金融监管的有效性，所在地区的经济发展状况、资金需求总体状况，信用发展程度和金融机构竞争状况等情况，来识别来源于被稽核单位外部的威胁或风险,了解其所采取的应对策略。结合外部环境评估，了解被稽核单位基本情况和战略定位，重点关注其经营目标与理念、风险管理战略等，进行全面的战略风险评估。
    2.进行集中于内部因素的内控与流程风险评估。不仅要评估被稽核单位的会计控制、程序控制、风险控制等内部控制制度的健全性和有效性，还要评估其组织机构、经营方式、资产管理、整个业务流程的风险管理水平和效果。识别重要风险点及风险领域，要关注董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力与风险偏好等人力资源因素；关注财务状况、经营成果、现金流量等财务因素；更要重点关注资产、负债、财务、中间业务等业务经营领域，对信息系统和金融创新情况进行实时监控。
    3.进行将经营风险与稽核目标结合起来的剩余风险分析。剩余风险是那些未能为被稽核单位所控制的环境与战略风险及内控与流程风险。针对被稽核单位的各分支机构、各业务流程、各金融产品，列出主要风险因素，分析得出其固有风险。结合被稽核单位自身针对其固有风险所采取的化解和防范措施进行分析，评估其控制风险的能力和主观态度；用固有风险减去控制能力，计算出剩余风险的净风险值。
    4.进行以风险等级为主要内容的风险评估打分。针对稽核项目，将错报风险划分为低风险、适中风险、敏感风险和高风险等几个层次，分别确定A级0.8-1、B级0.7、C级0.4-0.6和D级0-0.3的风险可能系数进行打分。对每个项目或产品等从涉及金额、监管部门和管理层关注程度、核心业务热点领域及变现能力等四项内容进行风险度打分评价，每项内容满分10分，可根据项目实际情况打分。评估方法可使用定量与定性分析相结合、模糊综合评价法等，通过对评估指标的定量分析和对各种风险的分类评价，进行综合评估，客观判断风险状况。
    （二）针对性实施现场稽核，深入挖掘风险源头和成因。
    根据风险评估结果，确定稽核重点和范围，制定稽核计划和程序、措施，并开展现场稽核各项工作，完成稽核证据收集工作。