[摘要]完善中央银行治理,改善风险控制管理,提高宏观调控水平,是当前中央银行面临的一项重大任务。本文构建了一套风险导向型内部审计模式,从中央银行履职目标出发,梳理职能和业务风险,形成风险评估数据库,并强化其审计业务指导作用,进一步拓展内部审计确认和咨询职能,以此制定审计规划、开展审计立项和实施现场审计。
[关键词]中央银行 风险导向 内部审计 模式
一、引言:合规性内部审计面临发展瓶颈
一是内审工作以账项查错和制度合规为主要工作理念,审计检查主要停留于事后监督阶段,导致发现的问题基本集中于操作层面和程序性事项,且各类问题具有普遍性和反复性。
二是审计配套机制不完善,审计成果运用的渠道狭窄,大量的信息和成果得不到充分运用,导致审计主要停留于发现问题层面,审计整改不充分、不彻底,难以从根本上改善业务管理,屡审屡犯、前审后犯等现象普遍存在,审计建设性功能未得到充分有效发挥。
三是以监督和评价为主要工作方式的内部审计,明确区分审计发现问题责任主体,进一步强化了监督与被监督的关系,引起审计双方情绪对立,难以调动被审计单位参与审计或管理的积极性,不利于营造良好、和谐的内部审计环境,制约了审计效果的发挥。
此外,在全覆盖审计要求下,有限的审计资源与繁重的审计任务矛盾加剧,影响了审计工作质效。因此,如何推动内部审计变革,克服目前工作弊端,最大限度发挥审计作用,使其在央行治理和内部控制中发挥更大作用,成为当前重点研究的问题。
二、发展路径:风险管理、内部控制的融入
中央银行内部审计必须变革思维理念和工作角色,主动融合风险管理、内部控制、央行治理,建立风险、控制、监督、治理集中统一的管理体系,推动传统的“为管理进行审计”向“对管理进行审计”转变,由管理者“耳目”变为组织治理“守门员”。一方面,立足央行履职目标,通过风险评估了解内部控制设计和实施,获取不同单位、不同职能、不同业务风险的管理情况,以此引导审计立项和审计实施,进一步提升审计前瞻性和针对性;另一方面,站在央行治理的高度,关注内外部影响因素和央行目标实现,促使审计视角前移,推动从源头和深层次解决问题,有效杜绝屡审屡犯现象,同时区分风险轻重缓急,协调分配审计资源,提高审计效率效果。
将风险管理和内部控制融入内部审计具备一定的现实基础和较强的可行性。2006年,《人民银行分支机构内部控制指引》实施,其中风险评估、内部控制审计成为内部控制机制建设的重要内容。按照该指引,各分支机构根据实际,通过成立內部控制领导小组、工作小组或风险防控委员会等相关组织机构,制定《内部控制实施办法》《风险防控指引》等,加强内部控制建设和实施。在此决策部署下,风险评估研究探索、内部控制机制建设等工作开展得如火如荼。2011年,我国中央银行开始开展以现代内部审计为目标的内审转型与发展活动,经过多年的理论研究和实践探索,已形成一系列成果。如明确了中央银行主要风险种类和特征;分类梳理中央银行职能和业务,形成了分行层面24个职能、96个业务领域、887个事件的对象清单库;采取模糊评价法、德尔菲专家法、净风险评估法、风险坐标法等多种评估方法,探索开展风险评估。
三、构建框架:风险导向型内部审计模式
(一)构建思路
基于风险管理的内部审计模式,以央行履职目标为基础,充分考虑内外部影响因素,进行风险识别与评估,形成风险基础数据库。在此基础上,充分发挥内部审计的确认与咨询职能,揭示风险识别漏洞和管理控制缺陷,并强化领导、协调、建议角色或职能,推动完善风险管理,促进履职目标实现和中央银行完善治理。工作思路如图1所示。
该模式具有以下特征:首先,审计出发点是影响中央银行履职目标实现的内外部各类风险。与传统内部审计关注预算财务和业务事项是否符合制度要求相区别的是,本模式将中央银行履职中所面临的各类风险作为审计对象,关注风险识别与风险应对,评价风险识别的全面性、充分性与风险应对的适当性、有效性。其次,审计重点是确认关键性风险与测试风险管理方法。与传统内部审计关注业务控制相比,本模式从中央银行职能、目标和完善治理的高度出发,将分析、确认、揭示重要和关键性风险作为审计重点,以促进改善风险管理和治理程序,同时保留对控制过程和效果的监督评价,提升审计层次,推动内部审计实现央行价值增值。再次,审计具体目标是审查各层面是否充分识别所有风险,并评价控制系统是否有效将风险降至可承受范围,以向党委、行领导提供风险管理的保证。最后,审计路径具有特殊性。传统内部审计的路径是根据各类政策或业务管理制度规定,明确控制要求,通过开展审计检查,发现控制薄弱环节和管理漏洞,提出管理建议,即政策或制度规定→明确控制要求→审计对照检查→确认控制缺陷和执行漏洞→提出改进建议。而在风险导向审计模式下,先确定央行总体职能与目标,细分为若干履职目标,再分析目标,实现内外部影响因素,评估风险,据此进行审计规划和立项计划,进而通过具体审计,发现风险识别和管理缺陷,提出风险管理的对策建议,即职能与目标→分析内外部影响因素→确定和评估风险→审计立项和具体审计→揭示风险管理缺陷→提出改进建议。以上区别也体现出对风险理解和运用上的差别:传统审计关注制度控制风险,审计评价侧重控制充分性、健全性和遵循执行的有效性;新模式下关注中央银行履职目标风险,侧重风险识别的充分性和管理控制的有效性。
(二)审计流程
本模式具体划分为三个阶段,分别为风险识别与评估、审计计划编制、审计实施与报告。
1.风险识别与评估。围绕中央银行履职目标,运用流程图分析法、SWOT分析法、实地查验法、交流访谈法等方法,分析内外部影响因素,全面识别各类风险,在此基础上分析评估风险,形成风险评估数据库。该阶段主要明确以下内容:
(1)风险类别。参照主要发达国家中央银行审计实务,将风险类型分为法律风险、操作风险、声誉风险、信用风险、市场风险和流动性风险。在明确风险内容和事项基础上,建立与之对应的归口管理部门,如表1所示。
(2)评估标准。从财务和非财务两个维度建立风险影响程度评判标准,梳理有历史业务数据和无历史业务数据,区分风险发生概率,两者均以5分值划分等级,如表2、表3所示。
(3)风险计量模型。使用剩余风险模型,既考虑风险的固有属性,又关注管理控制措施的适当性和有效性,得出剩余风险作为评估结果,如图2所示。通过业务实践、经验判断、调查分析、模型预测及专家意见等方式方法,对风险事件影响程度和发生概率进行评估,得出固有风险。综合审计巡视检查结果(内部监督类)、各类总结考核(业绩考核类)、整改情况(整改类)以及结合调查访谈结果等,对控制的有效性进行评价,如表4所示。
(4)评估结果。与风险相关的控制活动主要影响风险发生概率,对风险本身的损失影响并不大(董大胜,韩胜梅,2010),由此基于5分值法,从影响程度和发生概率两个维度建立风险评估量化矩阵,如图3所示,其中A区域风险影响程度大或发生可能性大,对其监督管理的要求最为迫切,必须优先进行审计立项,深入开展重点审查;B区域处于中等风险状况;C区域风险较小。作为审计立项和具体实施的重要依据,同时形成风险事件记录列表,如表5所示。
2.审计计划编制。风险评估形成了全面的风险数据库。图3综合考虑了风险影响程度和发生的可能性,将所有风险归为A、B、C三个区域。但受审计资源与其他监管项目重叠等影响,无法且没必要对所有风险领域或事项开展审计。因此,将以下方面进行风险过滤,将部分风险剔除:一是承受能力范围内的风险;二是程度极低或较低的风险;三是已纳入其他监督检查计划的风险,避免重复监督造成资源浪费;四是遵循党对内审工作领导的要求,征求党委管理意见,对部分风险暂不需要关注。由于内外部影响因素不断变动,风险影响程度和发生概率也并非一成不变,风险评估结果必须持续动态调整,审计计划也随之调整更新。另外,审计计划不仅要考虑审计范围,而且必须考虑审计频率。某项发生概率较高的风险,可能需要进行连续审计。某项发生概率不高但损失较大的风险,可能以几年为周期开展审计。此外,对于不纳入审计计划的风险,内审部门应积極发挥审计咨询职能,提醒关注和改进管理。审计立项程序如图4所示。
3.审计实施与报告。内审部门根据审计计划安排审计资源,制订审计方案,明确具体审计时间、内容及重点、人员及任务分配、抽样比例等,既要全面覆盖,又要突出重点,有的放矢,有针对性实施。对高风险职能或业务领域,将更多、更优质的审计资源向其倾斜,审计方式为全面检查而不是抽查。与之对应的是,对风险较低的职能或业务,匹配较少的审计资源,实施抽样审计。另外,风险管理是一项全行性工作,涉及各个层面。作为决策层对风险管理战略反映的中央银行治理,以及管理层对风险管理战术反映的内部控制,内部审计通过测试必须对其作出反映,以确认内部控制健全和风险管理有效。相应地,审计必须覆盖央行治理、内部控制和风险管理。
(1)央行治理。战略层次的风险主要通过建立完善治理结构进行管理应对。因此,内部审计应着重关注治理环境、治理流程和治理程序三个方面,评价央行治理文化、政策制度和组织结构框架是否健全,治理流程设计是否合理,与治理环境是否匹配,包括权力制衡、决策公开在内的治理活动落实是否有效等。
(2)内部控制。战术层面的风险主要通过健全内部控制进行管理。因此,内部审计必须审查控制系统是否完善、运行是否有效,评价其在识别、评估、管理风险方面是否科学与恰当。具体来说,通过三个方面进行:一是测试控制覆盖是否全面、控制设计有无缺陷,评价内部控制健全性与科学合理性;二是测试控制手段是否适应外部环境变化和单位实际情况,评价其科学性和适用性;三是检查控制运行情况并与控制目标建立关联,评价其控制效果是否实现预期目标,评判其有效性。
(3)风险管理。内部审计除对治理层面和业务控制层面进行监督和评价外,还必须强化其在风险管理中的第三道防线职责,即对中央银行风险管理情况进行监督,以促进完善风险应对。审查风险识别是否全面充分、风险评估是否科学合理、风险防控措施是否恰当有效,并针对问题和缺陷提出改进建议。
(4)审计报告。风险导向型内部审计模式不仅将风险作为管理轴心,而且将改进风险管理作为终极目标。因此,审计项目完成后,必须针对风险管理编写审计报告,评价风险整体管理状况,反映风险在各职能和业务中的分布态势,分析风险产生原因及管理控制缺陷,提出有针对性、可操作性和富有建设性的审计建议。审计结果要及时报送具有相应权限并能采取足够措施的行领导或部门管理层。另外,审计报告完成不代表审计过程的终结,必须加强审计整改跟踪,督促落实审计意见建议,必要时通过开展后续审计,确保风险缺陷能够得到及时恰当的纠正。
(三)配套机制
风险导向审计各个阶段汇集了丰富的风险信息和审计信息,内审部门必须建立完善相关配套机制,畅通运用渠道,才能提高审计效果,更好地促进风险管理。
建立横向沟通磋商机制。一是内审部门主动加强与业务部门进行审前、审中、审后沟通,通过对风险问题的探讨,提升审计建议的合理性和可操作性,达成监督和管理共识。二是加强与相关监督部门的协商,建立监督联席会议制度,通报风险评估情况,分享监督计划与共享成果,形成监管合力,提升管理效果。
深化审计综合分析,提升审计成果价值。组织开展审计发现问题的综合分析工作,形成内部审计情况综合分析,汇总分析审计发现的问题,深度挖掘转型工作成果。针对倾向性、典型性和普遍性问题及潜在风险进行梳理,按照操作风险、声誉风险、资金风险等进行归类,找出系统风险易发、多发的领域和风险类型,深入分析问题产生的根源,提出改进建议,形成风险提示,向本行党委汇报,发挥服务领导决策的参谋作用。
采取多方激励措施,实现“一果多用”。一是将风险管理成果运用效果作为优秀内审项目、优秀审计案例评选和对下级行内审部门业绩考核的重要依据。二是在本级行内部事务管理中,将各部门内审成果运用情况作为部门绩效考核的参考依据。三是建立健全与纪检监察、组织人事、会计财务、办公室等部门的信息共享机制,将风险管理结果作为干部考核、财务经费考核、目标管理考核的重要依据。
四、结语:研究价值及改进方向
本文构建了风险导向型内部审计模式,体现了较好的成果价值。一是以评估模型和风险事件清单为依托,实现了对中央银行履职风险的清单化、数量化、信息化管理。二是以风险为导向配置审计资源,提升了内审工作的效率和针对性。三是以风险导向审计为切入点,推动了全面风险管理理念在基层央行的贯彻和实践。
风险导向型内部审计模式研究是一项长期工作,建立的风险影响程度和发生概率判断标准存在一定局限性,必须根据业务发展不断补充完善。控制有效性判断也存在一定的主观性,必须在今后的研究中不断完善。另外,风险计量模型还需在更多实践中加以检验,审计配套机制必须不断创新拓展。
(作者单位:中国人民银行广州分行,邮政
编码:510000,电子邮箱:15989002084@163.com,
课题组成员:缪铁文 刘举达 范良军 颜雄兵 钟傲霜 蔡丽玲 刘嘉颖 赵滨)
主要参考文献
陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究, 2004(2):8-63
邓锐廷.风险导向内部审计与内部控制结合的实践与探索[J].中国内部审计, 2011(10):53-60
董大胜,韩胜梅.风险基础内部审计[M].大连:大连出版社, 2010
马新彬.我国中央银行内部审计部门风险导向审计模式研究[J].审计研究, 2015(6):108-112
缪启军,王跃堂.风险导向视角下高校科研经费的内部审计[J].财会月刊, 2015(7):65-68
唐大鹏,于洪鉴.基于风险导向的行政事业单位内部控制研究[J].管理现代化, 2013(6):66-68