以风险管理为监控内容的央行内部审计及其创新,本文主要内容关键词为:央行论文,风险管理论文,内部审计论文,内容论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、内部审计与风险管理的关系
目前,在央行实践中由于各种具体情况,内审与风险管理的定位常常混淆。管理者碰到风险管理的问题,自然将责任与义务直接划归内审部门,内部审计部门在风险管理中如何保持独立性、如何划分与风险管理部门的职责难以确定。为此,有必要首先对风险管理与内审的职责和定位进行区分。
从国际相关职责认定方面看。国际内部审计师协会(IIA)在其制定并修改的《内部审计实务标准》及《职责说明》中认定:“内部审计应该就管理层的风险管理过程的充分性和有效性进行检查、评估、报告,并提出改进意见”。这个定义将内部审计的范围延伸到风险管理和机构治理,把风险管理视为内部审计的重要内容和重要职责。所以,可以这样界定内审与风险管理的关系,即风险管理是内部审计的一项新的内容、一个新的领域,而内部审计则是风险管理的一种方法、一种手段。
应该注意的是,内部审计本身不负有风险管理的责任,而只是对风险管理过程进行确认和评价,这是内部审计在风险管理中担当的再监督职能以及其本身相对独立性的特性决定的。内部审计部门不应代表管理层对风险进行管理,不应成为风险管理措施的设计者和执行者。在实际操作中,应严格区分内审部门和风险管理部门的职责和权限,即内部审计不直接拥有对已经确认的风险进行管理的权利和义务,也不应对风险反应作出决定。但内部审计作为风险管理的部分参与者,可以参与风险管理决策。
从部门具体职责和操作内容方面看。风险管理部门实现组织对经营活动进行管理和控制的部分职能,对风险进行事中控制;而内审部门属于风险管理的监督反馈系统,对风险管理执行部门执行政策的结果进行检查和评价,同时评价执行过程和相关内部控制制度的健全性和有效性。内部审计属于事后控制,是对管理活动和控制活动的控制,审计报告应以风险管理过程为主要内容,而非风险本身。
可见,内审与风险管理虽然紧密联系,但职能与定位又各不相同,必须区分清楚。否则,定位的模糊必然引起内审在风险管理中不恰当的活动,造成职能划分的偏颇,比如,以管理层的立场进行风险应对并对风险管理负责、提供管理风险担保、设置风险偏好等等,这些都是内审不该承担的不适当角色。
二、内审对央行风险管理的常规监控:基于企业风险管理(ERM)视角
风险无处不在,须分别从个别及总体上进行管理。根据COSO(2002)的要求,在一个组织中,管理层负责风险管理的设计与运作,董事会负责监督管理层设计与推行风险管理,所有员工都对风险管理的成功执行负有责任,而内部审计则特别负责对风险管理进行定期评价和监控。
(一)央(行风险管理框架
央行进行风险管理分6个阶段,具体为营造风险管理的环境、风险识别、风险评估、风险反应、控制活动,以及信息与沟通(见图1)。
图1
1、营造风险管理的环境。近年来,为了更好履行央行法定的职责,人民银行各级分支机构逐步树立起风险防范意识,构建了科学有效的岗位风险防范体系,特别是2006年人总行下发《中国人民银行分支机构内部控制指引》(下简称《内控指引》)后,基层央行进一步加强和改进内部管理,建立健全内控机制,切实加大风险防范力度。央行在风险管理和风险防范的实践中,通过不断努力,已取得较好的成效,这给内审部门对风险管理开展审计创造了有利的条件。
2、对风险事件的识别。风险识别是央行风险管理流程的起点,指对可能影响央行履行职责、可能给央行带来财务或非财务损失的所有潜在风险进行判断、归类和鉴定性质的过程。根据央行《内控指引》,央行风险共六类,即操作风险,资金风硷,法律风险,声誉风险,信息技术风险和效率风险。
3、对风险的评估。风险评估是风险识别的延续。识别了所有潜在重大风险后,须对其量值从两个维度进行评估(见公式一),即不利事件发生的概率,以及该事件的发生可能对战略目标的损害程度。风险的衡量可以使风险分析定量化,为选择最佳风险管理策略提供依据。
公式一:业务风险值=不利事件发生概率×风险造成损失的程度
4、对风险的反应。风险反应是指针对识别评估后的风险,运用适当有效的工具最大限度地降低风险损失。管理层可以根据实际情况,针对每一类型和不同程度的风险,做出风险/收益权衡的评价,对风险采取接受、规避或缓解的方式管理风险,使剩余风险在可接受范围内。
5、一系列的控制活动。
中国内审协会易仁萍副会长强调,内部审计实现转型必须要有:由内审是检查系统向控制系统的认识转变,由注重结果、重在治标向注重过程、重在治本的态度转变,并树立“控制过程、预防为主、持续改进”的理念。风险管理本身就是内部控制的延伸,相应地,内审对风险管理的监控,就是通过一系列规划来限制或减少发生风险的可能性或风险量值。因此,控制活动在内审对风险管理的监控中是重点,也是基点。
6、信息与沟通。
前述风险管理过程的几个阶段(风险识别\风险评估\风险反应\控制活动)都能提供各个层面必要的风险信息,这些信息以一定形式在组织中传递并予以汇总和整合,能够反映风险组合的总体情况,有助于日常决策和长期决策。至于沟通,在有效的风险管理环境中,不仅包括向下的信息流动(如将管理层的计划与已知的风险传递给员工),还包括向上的流动(如员工将意外情况告知管理层)。员工不仅应对风险管理有一定认识并且严格执行,还应向上级报告重大风险。
7、监控。
为保证风险管理正常有效运转,组织需要对其进行必要的监控。监控可以结合日常经营管理活动一并进行,也可以单独进行。监控工作可以由执行者自己做,可以由内部审计做,也可以由外部审计做。但是,监控应是内部审计的正常工作和固有职责。
(二)内审对央行风险管理过程的监控
对风险管理进行监控,就是审计人员通过一定的方法和程序,检查被审计单位环境建设、风险识别、评估和管理的能力,以及面对风险情况下采取行动的效益,从而评价其是否通过风险管理实现既定的目标。
根据我国内部审计具体准则第16号,内审机构和人员应当充分了解组织的风险管理过程,审查和评价其适当性和有效性,并提出改进建议。因此,对风险管理过程的监控已成为内审的职责。近年来央行内审工作实践表明,对风险管理监控的报告更容易被行领导接受,行领导也更容易理解内审存在的意义。
审计人员可以按以下程序对央行风险管理开展监控工作。
1、审定环境。
主要包括了解央行风险管理的战略目标(应围绕如何更好地履行央行职责来设计)和各类具体的管理目标,并在此基础上设定监控的目标、范围和重点。需要指出的是,审计人员在了解目标体系后,还应考虑行领导的“风险偏好”,他们对风险的态度将会影响到央行具体业务的布置,只有将固有风险限定在一个可接受的水平时,这些业务才有助于整体战略目标的实施。一般而言,央行是为全社会提供金融服务、保障金融稳定的国家机关,它对风险的偏好是偏低的。内审部门在监控过程中,应该通过检查及时发现风险控制的漏洞和薄弱环节并提出建议,促进被审计单位自我改进、自我完善风险防范能力,使央行风险管理的环境得到优化。
2、风险的重新识别与评估。
首先,收集风险数据及风险资料。在此阶段审计人员深入被审计对象基层,通过当面访谈、发放调查表、召开座谈会等方式收集相关信息,调查、分析、研究各部门或各业务运行的特点,充分占有相关的风险数据和风险资料。
然后,审计人员利用前期收集到的数据、资料,以特定的方法建立相关的风险模型,对业务部门的风险分析结果进行再识别,并充分考虑业务的重要性、业务的性质和风险发生的可能性及其影响程度,采用定性判断或通过数量统计进行定量分析,对风险进行排序,划分高、中、低不同的风险等级,确定了风险的轻重缓急程度,从而使业务部门制定的风险应对措施有所侧重,为保证核心风险能够得到重点监控奠定基础。同时通过对不同业务流程图的分析,认识业务流程,识别和记录风险控制关键点,为下一步审计测试做好准备。在央行,财务会计、国库、货币发行、保卫、支付结算和外汇管理都是高风险点业务。
3、开展审计测试。
一是测试风险反应,即测试管理层对风险和收益的权衡是否合理和可接受。如果风险与收益的关系在现有的量值和概率水平上可以接受,那么风险反应可划为“接受”;如果风险的量值和概率非常大,超出了风险偏好,则风险反应应为通过一系列控制活动规避风险或从源头上预防风险,将不可接受的“固有风险”转化为“剩余风险”。
二是测试风险控制和管理措施是否能达到预期目标,并确定不能达到目标时的潜在影响。审计人员可依据建立的模型和所收集到的数据对风险控制和管理过程进行测试,验证其有效性;当控制和管理过程不完善或运行不顺畅时,则要执行实质性测试,以便推算或预测潜在的影响。同时对不完善的风险管理措施进一步分析其原因,找出解决方案。
4、评价风险管理能力。
风险管理能力是央行综合能力的体现,它主要表现在对风险的管理、应变和承受能力等。内审部门在完成风险评估和审计测试后,根据流程分析和审计测试的结果,描述被审计单位在各领域风险中的具体表现特征,最终得出其政策设计的适当性、执行的有效性和风险损失处理的合理性等风险管理能力值。将得出的风险管理能力值与设定的期望值进行比较,找出差异。对于缺乏有效措施的风险管理,内审部门提出完善风险管理建议,并及时向管理层报告,和业务部门沟通,以使业务部门清楚风险状况,采取恰当措施回避、转移、降低风险,使风险应对措施有的放矢,避免风险的发生。
所以,内审通过合理监督央行风险管理过程,不仅可以纠正业务部门在风险管理过程中存在的偏差,督促业务部门建立全员参与的风险管理框架,其最后形成的报告还能让行领导对全行风险状况有一个总体层面的认识,从而形成从上至下、涉及央行各项业务活动的全方位风险防御网,最终为央行业务的正常有序运转提供保障。
三、内审对央行风险管理实施监控的拓展与创新
(一)将宏观风险纳入审计视野
宏观风险由微观风险转化而来,因此对风险管理实施监控的内容除了个体风险外,还要注重对总体性、系统性信息的掌握:不仅要识别某个部门面临的单独风险,而且要从整体上识别贯穿于央行的每个风险之间的相互影响,并收集整合各种分离的信息,有效管理风险。要将审计的着眼点由微观转变为宏观,摆脱就事论事、查一个问题算一个,有问题查问题,有问题处理问题的模式,转而注重对整体信息的汇总与评价,对查出问题的背景和本质进行分析反映,由单个问题推断出总体特征,提升审计监控的宏观性作用。
其次,央行风险还体现为制度风险。制度的不合适,体制上的缺陷和漏洞,宏观调控不到位,政策措施未能达到预期目标等等,都是产生宏观风险的因素源。目前开展的依法行政专项审计表明,央行在一些制度的制定上与实际情况差距过大,或者过时太久而未获得更新,都为开展实际工作带来了很多问题,并隐含了一定风险。内审对风险的监控如果能从这个角度进行拓展,空间还是很广泛的。
(二)在全行范围内推进CSA
CSA,即控制自我评价,是一种新兴的审计技术和方法,最早是由加拿大的海湾资源公司在上世纪八十年代提出并运用。国际内部审计师协会(IIA)在1996年的研究报告中总结了CSA的三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。CSA法基于的是对于如何达到组织的各项目标和如何控制组织的各项风险,认识最深的应是组织中相关的工作人员,所以最能评价内部控制有效性的是工作人员自己这个基本假设。它的重点便是“自我评价”。因此,从CSA法的原理看它可以从一定程度为解决央行风险管理中的难点提供必要的手段。
内部审计虽然不是内部控制的当然责任者,但是选择适当的内审工作人员在全行范围内推进CSA法,无疑能够大力提升风险控制的内部环境。按照CSA法的内控原理,组织的所有成员都对内部控制负有相应的责任,利用CSA法可以起到有效教育并帮助管理人员明确并愿意承担其责任的作用。另外,CSA法还能通过影响一般员工来对控制环境产生积极的贡献,从而提高他们对组织目标以及内部控制在实现这些目标中所起到的作用的认识,做到了全员控制,为内部审计对风险管理实施监控创造良好环境。
(三)建立风险导向的内部审计程序
在风险管理中,内审部门主要是对风险管理部门和其他有关部门所进行的风险管理进行监控,因此内审程序与组织的风险管理之间应该协调一致,使两项工作协同增效。
1、编制审计计划时,应在对可能造成的风险进行评估的基础上制定内审部门的审计计划,确定审计项目。
2、编制审计方案时,应通过风险因素分析来确定审计业务工作重点;在更新审计范围与计划的内容时,要反映领导的方针、工作重心出现的变化;在选择检测、证实风险的技术和方法时,应该能够反映出风险的重大性和发生的可能性。
3、编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞和不足之处,提出加强管理的建议。
4、后续审计时,将风险确定作为决定后续审计范围的重要因素,风险越大,后续审计范围越广。后续审计通过对严重的潜在问题进行持续追踪,确保相关部门对于重大的审计发现采取措施予以纠正。
(四)开展以风险预警为内容的内部审计监控
央行内审要树立全新的监督理念,要实现两个方面的转变,即实现合规性审计向风险性审计监督转变,以及实现事后监督向事前、事中审计监督的转变。那么,在以防范风险为目标的前提下,内审的重点应放在对风险预警体系的健全性和信息真实性的审计评价上。风险预警在金融风险防范中至关重要,有效的风险预警可以说是确保金融安全的第一道屏障。风险预警体系的建立健全、预警消息的真实可靠和及时上报,可以使管理者对金融风险和危机采取有效的应对措施,从而避免危害或危害的扩大。建立预警机制,并建立科学完善的预警指标体系,从而及时识别各类风险的警情、警兆、警源及变动趋势。
具体到这项内容的内审监控工作,主要是看相关部门是否建立了风险预警机制、指标体系是否科学完善、所采用的信息数据是否真实可靠,对风险级别的判断与评估是否恰当,是否制定一套能保证信息畅通、及时上报的制度。从发展趋势来看,以风险预警为内容的内部审计监控能够帮助审计关口前移,防范风险于源头,必将成为未来央行内审的发展方向。
标签:风险管理论文; 内部审计论文; 企业内部控制与风险管理论文; 风险评价论文; 审计计划论文; 管理控制论文; 管理审计论文; 审计流程论文; 审计方法论文; 审计目标论文; 审计准则论文; 工作管理论文;