基层央行风险管理审计评价研究

文 卢俊峰

开展风险管理审计评价是发挥内部审计风险防控作用的主要途径，而构建风险管理审计评价体系则是风险管理审计评价的关键。构建契合基层央行实际的风险管理审计评价框架，有助于提高风险管理效果确认的有效性，完善基层央行风险管理水平。

一、基层央行风险管理审计评价框架构建

（一）风险管理审计评价框架构建

遵循《企业风险管理—整合框架》（ERM）的总体原则，借鉴层次分析(AHP)理念，结合央行实际，从目标层、关键环节层、要素层和明细指标层等层次，构建央行风险管理审计评价框架（见图1），包括8个关键环节、23个要素、70个明细指标。

1.风险管理环境。该指标是风险管理要素的基础，为其他要素提供规则和结构，影响各个风险管理要素的设计和作用发挥，见表1。

2.目标设定。包含多个层次和不同维度的目标设定，是开展风险识别工作的基础和进行风险应对的重要考虑因素，见表2。

3.风险识别、评估与应对。是央行实施具体风险管理活动的基础和直接依据，见表3。

图1 基层央行风险管理评价框架结构图

表1 风险管理环境审计评价指标

表2 目标设定审计评价指标

表3 风险识别、评估与应对审计评价指标

4.控制活动。是风险管理各项控制措施的贯彻、落实，是实现央行履职目标的重要保障，见表4。

5.信息与沟通。保证相关信息在组织体系内部与外部间得以流畅传递，是央行风险管理体系有效运转的重要支撑，见表5。

6.监督活动。是风险管理体系的自我监督与自我完善，能够保证央行的各项风险管理措施得以有效执行，见表6。

表4 控制活动审计评价指标

表5 信息与沟通审计评价指标

表6 监督活动审计评价指标

（二）指标权重赋值

本文利用模糊判断矩阵进行评价指标权重的赋值。

1.构造一致判断矩阵。在AHP单一准则的排序中，若上一层A中某一元素Ak与下一层B中的若干个元素B1，…，Bn有联系并构成一个层次，通过B层元素的两两比较，得出B层元素相对Ak的重要性，其比值构成判断矩阵见图2。其中bij为对Ak而言Bi对Bj的重要性比值，用1-9级标度法表示。

图2 一致判断矩阵

2.利用单次排序法进行指标计算。假设BI在上一层元素Ak中的权重为wb1，则：

同理可以计算B2…Bn在Ak中的权重。

3.判断矩阵一致性检验。可利用判断矩阵的随机一致性比例CR进行一致性检验。CR=CI/RI，其中CI=(λmax-n)/ (n-1)，为判断矩阵的一致性指标，RI为与判断矩阵同阶的平均随机一致性指标。若CR ＜ 0.01，则判断矩阵满足一致性要求；否则，要调整判断矩阵的元素取值，重新分配权系数的值。

（三）评价指标计算

1.风险管理成熟度模型。本文在借鉴软件能力成熟度模型（CMM）的基础上，自定义了风险管理成熟度模型（见图3），用以评估组织风险管理模式及活动的发展路径和等级，明确组织风险管理模型特征，确定组织风险管理的效果水平。

2.评价指标成熟度分级评分。本文采用分级评分法对评价指标进行量化，按照成熟度特征，根据实际情况对指标值进行属性评估，框定其分值期间，再根据细化标准计算相应分值。

二、基层央行风险管理审计评价实践

以宁波市中心支行内审部门对辖区某支行风险管理情况进行审计评价的实践为例。

审计实施阶段：在组织方面，开展风险管理审计项目，收集审计评价数据；在资源配置方面，与中心支行外汇管理、国库、会计财务等多个部门开展联合监督评价，发挥各业务管理部门的专业优势，提升风险管理审计评价的客观性和合理性。

审计评价阶段：抽调风险管理专家对评价指标进行权重赋值，利用审计实施阶段收集的数据及审计发现，对评价指标进行量化计算，获得明细指标值；根据指标权重计算出各要素值，同理计算出关键环节评价值，进而计算出风险管理效果整体评价值，见表7。

图3 风险管理成熟度模型

审计分析阶段：根据风险管理框架八个关键环节评价值，绘制的支行风险管理审计评价蛛网图（见图4）显示，该支行监控环节为可管理级，其他关键环节均为规范级，其中风险识别评价值最低，主要表现在风险识别未做到有效立足实际和全员参与，支行自身风险识别结果与实际审计评价存在较大出入。总体上，该支行风险管理虽然规范度较高，但在风险管理的量化管理与可控性方面仍存在较大提升空间，审计组有针对性地提出了改进建议。

三、深化基层央行风险管理工作的建议

（一）优化风险管理环境

一是领导层要发挥模范带头作用，带头遵守内控制度规范，倡导依法、合规履职的工作理念；二是加强风险管理及内控知识的宣传和培训，深化员工风险意识，提升风险管理能力；三是培育风险管理文化，积极通过内部局域网、文化走廊、标兵评比等方式，营造全员自发参与的良好氛围。

图4 某风险管理审计评价蛛网图

表7 某支行风险管理审计评价表

表7 某支行风险管理审计评价表(续)

（二）完善风险管理制度框架

一是建立管理层面的框架性、纲领性制度，明确风险管理组织架构与职责分配；二是健全监督层面的管理办法，明确职能部门的内部监督检查责任，发挥合规及内部监督部门的职能作用；三是完善操作层面的制度规程，将风险管理和内部控制相关要求落实到具体操作环节。

（三）深化风险识别与评估

加强外部风险监测，动态监控相关法规政策、社会舆情等外部环境状况变化，及时开展风险识别；畅通风险信息沟通渠道，建立内部风险信息共享与沟通机制；强化风险提示预警，根据日常管理和风险监测中发现的典型性、趋势性和苗头性问题，有针对性地进行风险提示，督促开展自查、整改。

（四）规范风险管理流程

探索建立标准化的风险信息收集、分析、报告、处理、监督机制，规范风险管理流程，强化统筹协调，通过持续的风险识别、评估、衡量及风险应对，不断提升风险管理水平，完善组织治理架构。