内审部门与人民银行风险评估关系的探析

勇琛景

(中国人民银行南阳市中心支行，河南 南阳 473000)

1　内审部门参与基层央行风险评估的制度基础

1.1　国内外准则

国际内部审计专业实务框架(IPPF)是国际内审师协会(IIA)制定并发布的，目的是为全球范围内的内部审计人员及有关各方提供统一、权威的内部审计专业标准体系。现行版本是国际内审师协会在2013年修订并发布的，其中关于内部审计的定义为：“是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标”。

《中国内部审计准则》(中国内部审计协会，2013年)中关于内部审计的定义为“是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标。”并提出“编制年度审计计划应当……在对组织风险进行评估的基础上，根据组织的风险状况、管理需要和审计资源的配置情况，确定具体审计项目及时间安排”，“内部控制审计应当以风险评估为基础，根据风险发生的可能性和对组织单个或者整体控制目标造成的影响程度，确定审计的范围和重点”。

1.2　人民银行内部的有关制度

2000年始，人总行陆续在部分分支机构开展了内控评审试点，并要求各级行在辖区按照审计周期来立项开展内部控制审计，在某些审计事项中引入了风险性审计和评价，尝试建立定性和定量相结合的风险评估体系。

2006年4月，人总行颁布实施《中国人民银行分支机构内部控制指引》。其中第三章“风险评估”提出“各分支机构应通过科学、有效、可行的风险识别、分析和应对，对相关风险进行持续监控和有效管理，将相关风险控制在合理的范围内”。

2013年，在总行内审司制定下发的《人民银行内审部门风险评估工作试行办法》中对风险评估的步骤，各步骤的实施细节做出了指导，并对人行的风险评估对象、主要风险事件、风险影响程度的评级标准、风险发生可能性的评级标准、风险矩阵、内控有效性的评估内容和评级标准做了具体说明。2014年又下发《关于进一步推进人民银行内审部门风险评估工作的指导意见》，就风险评估过程中组织管理、风险识别等方面存在的普遍性问题提出了指导意见。

1.3　人民银行内审部门主导实施风险评估独特优势

(1)内审部门负责基层央行内控，占有大量进行风险评估所需的资料，内审人员也具有相应的专业知识与职业判断能力。同时，内审涉及业务的全面性、连续性和咨询性，使内审人员相较其他人员，对基层央行面临的风险了解更全面，对防范和化解组织风险、实现行泰库安的目标有着更强烈的责任感、义务感。

(2)风险评估的复杂性和困难性在于需要对已识别的风险事件进行定量和定性分析，对事件发生的可能性和影响做出评价。内审部门不从事具体业务活动，独立于业务职能部门，这种独立性使其可以站在客观、公正的角度对单位已识别的风险进行识别、评估和反馈。同时内审部门提供风险评估意见的独立性，也会提高内审意见的有效性，继而提高控制措施的有效性。

(3)资源有限，内审部门须将有限的审计资源集中于那些可能影响基层央行履职目标实现的重要事项即防范和化解风险上来。审计计划须针对这些风险事项来制定，即以风险为导向进行审计。所以，内审部门开展风险评估也是提高审计效率，提升审计质量的客观需求。

2　内审部门在人民银行风险评估中的作用

对于规范的现代组织内部审计而言,内部审计在风险评估中的作用应贯穿于其日常的工作(即以风险为导向的审计)之中。根据《办法》，人民银行的风险评估流程为“风险识别→固有风险评估→控制有效性评估→剩余风险计算→风险评估结果运用”，笔者认为基层央行的内部审计可以通过以下流程来发挥其在整个风险评估中的作用。

2.1　风险识别

从日常工作方式看，常规的审计项目为内审人员识别所在单位的风险迹象提供了条件，如果认为某些风险迹象比较明显，也可以针对特定事件展开评估。内审人员需要结合本辖区实际，采用但不限于实地调研、访谈、问卷调查和案例梳理、制度流程梳理等方法来查看所在单位是否对履职过程中已识别的风险进行了充分地评价，并找出原未被识别的主要风险，并对这些风险类别进行细化，列出各类别所包含的具体风险事件清单，为后续的风险评估奠定基础。同时，风险识别也是开展风险导向审计的基础工作。

2.2　风险评估

审计部门和人员在评估被审计对象固有风险时，可以通过向被审计对象的员工、服务和监管对象等发放调查问卷，调阅以往审计和检查档案，向被审单位上级部门发送询问函等方式来收集有关业务流程改变、人员变动、以往问题发生频繁等方面的信息。同时，要考虑各业务的特点，凡是涉及资金或资产管理、印押证管理、枪支弹药管理、网络信息安全的业务，其的风险影响程度就相对较高。在对控制有效性进行评估时，内审人员可利用《内部控制测试表》这一审计工具，对内部控制设置、内部控制执行情况进行全面测试。然后根据内部控制测试情况，结合业务自身的风险状况以及内控执行情况对单位整体、业务部门、具体业务的内部控制是否有效做出评价，从而进一步确定其的风险级别。

2.3　风险评估结果运用

2.3.1考虑风险因素制定审计计划

内审部门在制定年度计划、确定审计对象，对有限的审计资源进行分配时之初，应先对影响基层央行高效履职的风险因素进行充分的确认和考量。基本思路为，一是风险评估结果排名靠前的，提高审计频率，优先保证审计资源；二是风险点占比较高的，风险点级别较高的业务提高审计频率，优先保证审计资源。这样有助于在有限的审计资源内实现审计效率、效益的最大化，使审计的频率和范围与审计对象所属业务的风险等级、复杂程度、领导关注程度等相匹配，避免了由于审计不足或审计过度可能带来的问题。同时，审计人员还应根据新的审计发现对原来的固有风险和控制有效性风险等进行调整和修正，以使审计数据保持动态实时更新。

2.3.2考虑风险因素确定审计范围

确定审计对象之后，需要对审计范围进行确定，是全面审计还是对象的某一部分业务进行审计。一般情况下，按重要性原则，内审人员应关注风险程度高，对组织目标实现影响大的业务活动。IIA《标准》建议有必要至少每年对审计范围进行一次评估，以反映机构的最新战略方针。审计范围可能受到风险管理过程结果的影响，制定计划时应考虑到风险管理过程的结果。在确定审计范围时应系统考虑以下事项：上一次审计的日期及结果、潜在的风险和影响、所涉金额的重大性，管理层的要求、制度和控制的重大变化、审计人员的变动及能力等。

2.3.3考虑风险因素做好后续审计

风险是决定是否必要进行后续审计和审计范围大小的重要因素。一般来说，应将注意力集中于风险点等级相对较高的对象上，风险等级越高，后续审计的范围就应该越广。在进行后续审计时，内审人员对被审计对象是否对上次审计发现的问题采取了有效的整改措施，该整该行为是否充分、及时进行确认。如果被审计对象由于客观原因或其他方面的考虑，对审计发现的问题没有采取整改措施，内审人员应对其由此承担的风险是否在可控范围之内做出评价和提示。

3　人民银行内审部门参与主导风险评估的注意事项

3.1　转变工作理念，增强风险管理意识

基层央行的员工尤其是领导层应意识到履职过程的每个环节都存在风险点，任何环节缺少风险管理，都有可能引发损失，甚至导致整个系统出现危机。所以相应的，有关领导和部门要重视风险管理，充分调动和利用内审部门在风险管理中的积极性和有效性。相应的，内审人员也要积极主动地发挥自己在“防风险，控风险”方面的优势，要对基层央行履职过程中风险较大的方面加大关注力度，要充分挖掘利用审计成果，当好“保健医”，帮助组织抵御内外部的环境动荡带来的风险，实现基层央行的行泰库安。

3.2　树立全面性视角，围绕整个业务流程进行评估

基层央行的一项职能可能分布在多个职能部门，为了使对风险管理从单一的、事后的、静态的转向全面的、全过程、动态的，实现准确、全面地识别风险事件、及时且有效地制定相关的风险防范和控制措施，内审部门应从全局着眼，在对基层央行有关职能进行评估之时必须紧紧围绕有关职能的整个业务流程进行梳理，不应人为地按照部门划分把业务流程割裂开来。

3.3　对风险评估数据库实施动态管理

人行业已建立的风险评估管理系统，各辖区的基期数据已于2016年录入完毕。根据相关制度，基层内审人员需依据每年的审计和内外部检查资料，对系统内的相关数据进行调整和更新。风险评估系统的运行，便于对采集的数据资料进行大数据分析，使相关部门对风险的分布和程度有更直观的认识，例如可以根据相关数据对下年度，甚至是中长周期的审计项目进行规划。而数据的详实和有效也使得相关的审计发现、结论、意见建议等更有的放矢、增加了审计成果的有效性和可信度。需要注意的就是，履职过程中业务会变动、环境会变化，原来风险事件可能消失或发生变化，这时就需要在风险评估系统中删除或添加风险事件，或者对风险事件重新划分风险等级，并重新进行评估。

3.4　理清部门职责，注重部门间信息沟通，共担风险防范之责

内审部门在提供增服务，充分发挥咨询职能的同时，一定要认识到，实施风险管理的主体是领导层与业务部门，它们才是对内控制度进行的设计、执行、检查和评估改进的主体。内审部门需要做的就是独立地发现、客观地反映，对相关业务的执行过程进行再监督。即使发现其中的存在的问题，也由业务部门自身进行整改。对由于某些原因不能整改的问题，内审部门需要做的就是对此可能造成的影响及后果做出风险提示。而对审计的意见建议、风险提示认可度、重视度以及整改行为，最终还是需要业务部门自主进行，内审部门不可能越俎代庖。

[1] 魏跃芝，张学军.模糊综合评价法在内部审计参与风险管理中的应用[J].财会通讯，2009，(12)：92-93.

[2] 张东生，郝伟强.关于构建基层人民银行风险评估框架的实证研究[J].华北金融，2010，(11):70.

[3] 叶陈刚，吴翔.企业内部控制的风险管理框架[J].财政监督,2011，(14):18-20.

[4] 辛树人，陈震宇，路勇.基层央行风险管理研究——基于COSO风险管理框架的新视角[J].金融发展研究,2012，(1):11-16.

[5] 肖剑青.内部审计在基层央行风险管理中的作用探析[J].金融经济,2016，(6):154-156.

[6] 周洁,张玉芳,饶艳,毕翼.央行内部控制审计研究——新COSO框架下的风险评估与控制评价[J].中国内部审计,2016，(2):28-34.