徐润艳
[摘要]本文通过分析当前银行集团客户授信内部审计方法存在的问题,立足风险导向内部审计,探索构建“以集团客户风险图谱系统为工具,内部审计‘关口前移为实现路径”的集团客户授信内部审计方法,展示该方法的具体实践运用,以期为同类内部审计实务工作提供借鉴与参考。
[关键词]集团客户 风险导向 内部审计 风险图谱系统
一、银行集团客户授信内部审计方法存在的问题
(一)审计情况分析
各银行开展集团客户授信的审计依据,主要来源于《中华人民共和国商业银行法》《商业银行集团客户授信业务风险管理指引》等法律法规和银行内部规章制度。审计范围一般涵盖集团客户授信管理制度成效跟踪、集团客户授信管理关键环节管控、集团客户授信管理高发问题及风险剖析等方面,审计关注重点是已发生的风险事件或引发该风险的关键领域及环节。以A银行集团客户授信审计为例,如表1所示。
对照上述案例可以看到,从风险事件出现到审计发现、审计成果转化、后续审计跟踪的风险管理传导全过程,A银行制度调整更新最短周期约24个月,还受限于审计范围等具体工作安排。这种审计方法主要是“对照制度看问题”,间接促进了银行内部控制体系的健全和完善。比如,以“集团客户授信管理关键环节管控”为例,围绕集团客户识别、认定、集团客户评级、统一授信、限额管理等方面,审计人员主要对照制度检查确認是否满足合规性要求,体现了审计监督的基本职能,但内部审计作为风险的第三道防线作用未能充分发挥。
(二)审计过程中暴露的问题
1.“没有跑在风险的前面”,内控制度滞后,时效性差。以A银行为例,通过列举“多头授信、过度授信”“内部互保”“关联交易”等集团客户共性问题及其对应的风险事件,内控合规部门历时两年从源头上规范集团客户授信管理(即从风险发生到问题解决形成风控闭环),但是在此期间仍会出现新的风险点,如客户将与集团的关系从显性转为隐性,以此规避银行集团客户管控。对于“隐性集团客户”问题,因A银行内控制度尚未及时修订予以防范,还可能会引发新的授信风险,严重影响审计质效。
2.银行信息系统关联性滞后,审计人员长期处于“审计信息孤岛”困境。审计过程中对集团成员的关联关系等核心信息难以全面把握,数据挖掘深度受到限制,审计效果大打折扣。比如,银行审计人员虽配有“天眼查”等企业信息查询系统,但是这类系统主要以采集披露公开信息为主,对上市公司的穿透效果较好,对非上市企业信息的获取还需借助其他途径。
二、构建风险导向的集团客户授信内部审计方法
通过分析上述银行集团客户授信内部审计方法存在的问题,寻求解决路径,亟需探索建立一套有效的审计方法,与现有制度审计方法互为补充。总体思路为:立足风险导向内部审计,始终以关注风险为核心,强化审计与信息技术融合,建立集团客户授信风险图谱系统,并引入内部审计“关口前移”机制,与银行各内控部门协同配合,将集团客户授信可能发生的风险点及时进行传导,从而发挥内部审计在防控风险中的作用,为银行稳健发展保驾护航。
(一)风险导向内部审计的基本内涵
风险导向内部审计是以风险为出发点和核心的一种内部审计方法。内部审计人员在对被审计单位生产经营活动进行全面了解后,以被审计单位风险分析评估为导向,进而对审计风险进行的评估。比如,以银行集团客户授信审计为例,内部审计人员在审计时首先考虑的是集团客户经营过程中的重大风险,进而筛查出能够引起信贷风险的事件,针对这些风险事件确定审计重点,开展对应审计。
(二)风险导向的集团客户授信内部审计方法构建思路
1.整合信息资源,建立集团客户授信风险图谱系统。
(1)集团客户授信风险图谱系统的含义。一是对集团各类风险进行定义和定性,从而识别风险暴露程度和等级。二是构建风险导向内部审计方法的路径和科学工具。无论是哪一个方面,都贯穿在风险导向内部审计的全过程。针对集团客户授信的审计,从内部审计计划的制订、内部审计的选题、内部审计程序的提出到内部审计具体实施方案和审计报告的撰写等,都可以围绕集团客户授信风险图谱系统中所揭示的有关风险点开展审计工作。
(2)建立集团客户授信风险图谱系统。一是整合银行内部风险、法律、授信评审、信贷等部门有关集团客户各类信息资源。二是由审计部门提出信息整合需求,上述部门提供信息数据接口,并由信息科技部门协助开发一套信息系统,采用大数据信息挖掘技术,形成一个全量、客观、动态的审计人员专用的风险数据库。从这个数据库中,可以了解有关银行每一个集团客户在战略、经营、财务、关联交易等方面存在的风险及风险等级高低。此外,总行各合规部门需在构建风险图谱系统的过程中,及时梳理并明确其所属业务条线涉及的风险点划分原则及其权重标准,确认集团客户风险图谱系统风险点筛查及其分析规则。
集团客户数据挖掘核心风险信息包括:各类关联关系,关联交易风险,集团客户中各子公司风险传导路径、表内外业务之间的风险传导关系等信息,以及担保圈、担保链等关系信息。
2.集团客户授信风险图谱系统功能和运用。
(1)量化集团客户授信风险映射关系。通过搭建的集团客户风险图谱系统,经过科学量化的统计技术,将集团客户可能的风险事件一一对应映射在审计风险图谱关系中风险的高、中、低等级,并通过风险等级评估图的形式进行呈现。此项工作涉及对集团客户各类风险事件的归集、识别、量化的过程。由审计部门牵头,风险、信贷、法律、营运等部门相关人员共同参与协同配合。在确定风险点时,需要从风险发生的概率和风险事件对银行带来的损失程度两个维度,将定量、定性相结合开展不定期评估。如图1所示,假定将集团客户每一个风险事件确定在坐标中的具体位置。根据风险发生的可能性和风险发生的影响程度两个维度,锁定具体风险坐标并确定唯一的风险等级,从而形成映射关系。图1中,位于左下角C区域(如①)是风险最小、风险等级最低的风险点;位于中间B区域(如③)属于中风险;位于右上角A区域(如⑥)是风险最大、风险等级最高的风险点。
(2)修订、完善内控制度,推动机构内控建设。通过搭建的集团客户授信风险图谱系统,经过一系列“定量+定性”的运算识别计量,得到机构风险事件发生频次最高的问题,如对以往审计发现的问题及造成重大或意外损失的事件设置不同权重的量化指标。如图2所示,集团客户授信风险图谱系统发现某一风险问题机构发生频次高达80%,属于系统性高风险,呈内控无约束或薄弱形态。通过集团客户授信风险图谱系统映射关系,将该风险问题传导至内控相应部门,通过“打补丁”的方式,加快制度制定或修订、完善。
(3)实现审计资源的动态调节和调度。受外部影响因素的作用,如国家颁布的一系列政策法规及相关部门对集团客户的检查等,都将对集团客户授信风险图谱系统映射的高、中、低风险产生影响作用,提高或降低其风险等级。如图3所示,集团客户授信风险图谱系统能够关联集团客户外部性因素,审计部门可实时按照风险等级配置相应的审计资源。
3.搭建集团客户授信风险动态管理自我评估流程。
(1)集团客户授信风险动态管理原理。通过审计揭示及各家分行对集团客户授信审计发现问题的整改,银行全员风险合规意识得到提升,对应的内部控制措施得到健全和完善。因此,风险的性质将会不同程度地发生变化,原确定的风险等级也可能会逐步下降或消失,即由高风险区降至中风险区或低风险区。与此同时,因不同时期银行战略和风险偏好的调整、外部监管环境的变化,某些以前的低风险会变为高风险,甚至会有一些新风险点的产生。无论何种情况,都可以通过风险图谱区域内部的变化和新风险点的导入,实時更新风险图谱系统,使得审计人员对集团客户授信风险点的把握始终处于一个实时更新的状态。
(2)搭建自我评估流程。建立集团客户授信风险图谱系统后,因系统本身的建立,不是孤军作战,需要由审计、风险、信贷、法律、营运等相关部门和人员共同参与协同配合,这也彻底打破了审计“信息孤岛”现状。在此基础上,由审计部门牵头,组织各部门对风险的应对策略及管控措施进行适当评估,对风险点暴露出银行内控制度不足的部分进行适当整改,而实现这一循环往复过程,就需要审计与风险部门协同配合,通过风险与内部控制自我评估(CSA)方案,定期循环开展自我评估,实现审计管理闭环(如图4所示)。
4.建立内部审计“关口前移”机制。
(1)建立“关口前移”的必要性。银行在开展集团客户授信内部审计过程中,通常是一种“事后审计”,这种审计方式是从银行现有的内控制度角度出发,对照查找集团客户业务中存在风险,并确认审计发现。其不足之处在于任何机构的内控制度从起草到正式执行,时间较长,并且制度的起草主要依照外部监管要求及结合机构当前已经发生并具有普遍性的风险事件,对期间发生的新风险点难以覆盖,存在审计盲区。内部审计“关口前移”是围绕内部审计职能的发挥而形成的一套预防控制体系,以审计提前介入为主要手段,因此,采取审计“关口前移”机制也就自然成为了必然选择。
(2)引入“关口前移”机制。当银行建立集团客户授信风险图谱系统后,涉及集团客户的各类风险事件就有了动态实时监测工具,这也为开展“关口前移”的内部审计创造了条件。建立内部审计“关口前移”机制需特别关注以下两点:一是理顺审计主体和客体关系。审计部门要改变“单打独斗”的监督检查方式,总行内控部门须协同联动,利用好集团客户授信风险图谱系统,根据风险点的变化状态,及时开展相关审计。二是明确机制项下的对应分工。审计发现问题要由相关总行主管部门(如贷款、票据、客户管理等模块风险由信贷管理部门)负责日常监督整改落实;集团客户关联交易、涉及不符合外部监管要求违规行为,由其风险管理部门和法律部门负责日常监督整改落实。审计部门定期(按月)将导入的集团客户授信风险图谱系统数据发送至总行各相关内控部门,配合开展审计全流程管理。
需要强调的是,对于审计“关口前移”机制,并不局限于时间要素,更着眼于构建一整套全行有效的全面风险管理机制体系,是审计部门参与全行内部控制体系建设的深化和延伸。
三、风险导向集团客户内部审计方法的实践
企业在编制年度审计计划和项目审计方案的过程中,需突出重要性原则。以A银行为例,通过建立集团客户授信风险图谱系统,并引入内部审计“关口前移”机制,对集团客户授信产生的各类风险点进行实施动态的评估更新,并将评估结果在后续审计实施程序中得以应用。
(一)编制年度审计计划
根据IIA《国际内部审计专业实务框架》(2017年),内部审计部门的计划应当反映组织内部风险偏好和战略,并指出首席审计官应当制定以风险为基础的方案,以确定内部审计活动的重点。利用集团客户授信风险图谱系统对集团客户授信的风险点进行全面的扫描和识别,经过系统科学运算对风险进行量化评估,确定风险的高、中、低等级。因此,利用集团客户授信风险图谱系统工具,迅速锚定银行集团客户重点风险领域,结合银行内部审计资源的分配,将风险等级较高的领域优先纳入年度审计计划。比如,假设在A银行集团客户授信风险图谱系统中观测到涉及隐性集团客户相关领域的高、中、低风险点就有10个,针对这一情况,审计部门将如何规范隐形集团客户这一新问题纳入该年度的审计计划中。通过对风险的动态识别,制订出的审计方案更具针对性,是对内控制度审计方案的补充,充分体现了风险导向审计方法的靶向作用。
(二)开展现场审计
利用集团客户授信风险图谱系统作为银行开展风险导向审计工具,可为开展现场审计工作提供指导。假设A银行审计部门开展新一轮的集团客户授信审计工作,审计人员通过集团客户授信风险图谱系统发现涉及集团客户授信风险点有10个,其中1个按照风险等级确定为“高风险”,如隐性集团客户风险,实际为集团客户,其通过隐身关系,逃避了银行集团客户限额管理制度的约束,造成一种“新型”集团客户过度授信问题。此时,在现场审计阶段,审计人员可采取以下方法进行识别:一是梳理集团客户内部股权关系,通过有效利用全国信息公示系统、天眼查、万得资讯等公开平台查询集团成员和关联方的股东及股权结构情况,深挖集团成员及关联方核心管理人员的背景信息。二是追踪集团客户信贷资金流向,关注集团客户融资需求的合理性。三是关注集团客户业务链关联交易,关注财务报表中的特殊往来科目,分析交易背后的原因及动机,判断交易对手是否属于隐形集团成员。四是甄别担保圈(链)的关联担保关系,充分利用银行内外部信息,理顺担保关系,分析担保圈(链)间逻辑的合理性,判断担保方是否属于隐性集团成员。
(三)审计报告
集团客户授信风险图谱系统,不仅是一个全量的风险数据库,同样也包含了大量的量身定做的风险审计工具。从内部审计的重要性原则而言,集团客户授信风险图谱系统链接各类外部监管信息,同时连通总行各合规部门系统数据,使得该系统无论是在取证、审计沟通阶段,还是审计报告撰写、后续审计整改阶段,由该系统生成的表格工具可成为权量风险重要性的具体标准,也可成为在审计报告中是否披露的重要尺度。
(四)审计信息共享
审计部门在完成每次专项审计任务后,通过集团客户风险图谱系统将重要的风险信息反向推送给银行其他内控有关的信息系统,如全流程信贷、风险管理、国际业务系统等,最终形成一种信息输入到输出的循环过程,更好地发挥审计作为风险的第三道防线功能,为银行的全面风险管理提供审计支撑,使审计工作由监督检查向管理咨询迈进。
(五)后续审计
后续审计是风险导向内部审计的重要闭环。后续审计重点跟踪以下几个方面:一是被审计单位对审计发现的问题是否认真采取整改措施,是否处理有关的人和事,效果如何,特别是对于尚未得到采纳、执行的有关问题,要进行分析并查明原因。二是上一次审计时已查出的问题有无重犯情况,特别是要深查对上次审计时因某种原因未能见底的问题。三是自查上一次的审计质量和审计报告质量,回顾工作中有无不妥或失误之处,审计意见有无不够客观、不够准确的情况。四是后续审计完成后,要对有关的风险重新进行系统化评估,确认纠正措施执行完成后风险状态,并将最新结果更新在集团客户授信风险图谱系统中,不断更新提高集团客户授信风险图谱的针对性和指向性,促使风险导向内部审计方法能够更加高效运行。
(作者单位:国家开发银行广州审计分部,邮政编码:510627,电子邮箱:84700424@qq.com)
主要参考文献
[1]黄小毛,毛雨露.风险导向内部审计的发展与应用[J].中国农业会计, 2020(7):43-45
[2]梁新鸿.加快内部审计由内控导向转为风险导向[J].中国石化, 2021(1):60-61
[3]陆慰.试论风险导向审计模式在商业银行内部审计中的运用[J].全国流通经济, 2019(31):191-192
[4]苗宁.风险导向审计在商业银行内部审计推行的问题及建议[J].中国经贸导刊(中), 2018(23):104-105
[5]楊雪娇.企业集团内部审计存在的问题及对策研究 [J].企业管理, 2021(3):123-125
[6]张传政.新形势下如何发挥内部审计在城市商业银行风险管控中的作用[J].冶金财会, 2020(2):50-52