商业银行内部审计风险评估体系构建研究

2023-07-20 05:11王青松纪伟东
中国内部审计 2023年7期
关键词:风险评估内部审计商业银行

王青松 纪伟东

[摘要]构建系统、科学的内部审计风险评估体系,是新形势下内部审计充分发挥在应对风险挑战中的作用、有效履行职能的基础性保障。本文通过分析商业银行内部审计风险评估的重要性及难点,提出以商业银行风险管理体系和审计专业体系为“梁”和“柱”,构建适应审计集约化高效运作的内部审计风险评估体系,系统阐述了商业银行内部审计风险评估体系架构、目标、原则、内容、对象、标准、方法、流程,并对体系在审计计划阶段和审计实施阶段的应用进行展示,基于风险评估科学制订审计计划,确定审计活动重点,充分揭示重要风险和问题,帮助组织强化治理和管理,防范化解重大风险,有效发挥审计价值增值作用。

[关键词]商业银行   内部审计   风险评估

风险是指影响业务目标实现的事件发生的可能

性,风险事件是指对组织目标实现产生影响的事件。商业银行是经营风险的企业,其经营管理活动与风险紧密相关、共生共存。当前我国经济发展面临需求收缩、供给冲击、预期转弱三重压力,商业银行面临的风险挑战尤为艰巨复杂。内部审计作为银行风险防控的重要防线,履行审计监督、评价和建议职能,在应对风险挑战中具有重要地位和作用。内部审计应针对各类风险挑战进行系统、科学的风险评估,围绕增进组织治理效能、防控重要风险、完善内部控制,确定审计工作重点,充分揭示风险和问题,更好发挥审计价值增值作用。风险评估贯穿内部审计全过程,基于风险评估科学制订审计计划,确定审计活动重点,评估审计事项的控制风险和剩余风险,是确保审计工作质效的关键。构建系统、科学的内部审计风险评估体系,是审计有效履行职能的重要基础性保障。

一、商业银行内部审计风险评估的重要性及难点

(一)重要性

1.风险评估是现代内部审计的基础性工作。

《国际内部审计专业实务框架》将内部审计的使命表述为“以风险为基础,提供客观的确认、建议和洞见,增加和保护组织价值”。内部审计实务的核心原则包括“提供以风险为基础的确认”。风险评估贯穿内部审计业务全过程,是影响内部审计有效发挥职能作用的关键因素之一。

2.风险评估是统筹组织审计工作的核心要求。

《国际内部审计专业实务标准》要求“首席审计执行官必须制订以风险为基础的计划,以确定与组织目标相一致的内部审计活动重点”“内部审计部门的业务计划必须建立在有记录的风险评估的基础上,并每年制订一次”。商业银行内部审计通过开展系统、持续的风险评估,形成科学、合理的风险评估结果,根据各类业务风险评估情况,确定审计周期覆盖策略,编制年度审计计划,明确审计工作重点,差异化、高效化配置审计资源,有序有重点地推进审计工作,实现审计全覆盖和重点覆盖的有机结合。

3.风险评估是实现审计价值的重要途径。

《国际内部审计专业实务框架》将内部审计的定义表述为“内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织运营。它通过应用系统、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标”。内部审计准则要求“内部审计人员应当深入了解被审计单位的情况,审查和评价业务活动、内部控制和風险管理的适当性和有效性”。有效的风险评估,是商业银行内部审计充分揭示重要风险和内部控制缺陷,客观评价银行治理、风险管理、内部控制的过程和效果,促进增加价值和改善组织运营,实现审计价值的重要途径。

(二)难点

1.风险的多样性。

商业银行业务种类繁多,包括贷款、债券、存款、网络金融、信用卡、金融市场、支付结算、资产管理、投资银行等业务及金融衍生产品。商业银行业务管理层级多,一般实行总行、分行、支行多级管理;业务面向的客户群体差异大,既有单位客户,又有个人客户,既有大行业、大企业客户,又有小微企业、个人长尾客户;业务办理渠道既有线上,又有线下。商业银行业务的复杂性,决定了商业银行风险的多样性,商业银行的所有机构、各业务流程、各岗位都有可能发生风险,其风险主要有信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险及其他风险等。内部审计风险评估需要统筹考虑商业银行各类风险,同时兼顾审计资源的平衡,全面、高效研判风险,主动应对风险。

2.评估标准的确定。

商业银行各类风险的影响因素不同,如信用风险来源于银行外部,源自客户或交易对手的违约,主要受经济周期波动因素、客户自身原因等因素影响,具有一定的演变规律;操作风险主要来源于银行内部,既包括高频低损的日常业务差错,也包括低频高损的内外部欺诈等。不同的风险,需要与之适应的计量方法。确定内部审计风险评估标准,既要考虑标准的统一性,又要考虑具体标准的差异度。

3.管理信息的应用。

商业银行经营管理过程中,形成大量风险管理信息,主要支持风险计量、评估、展示、报告所有风险类别、产品、交易对手风险暴露的规模、构成和风险变化趋势等。相关风险管理信息存储于各种生产系统、风险管理信息系统、业务文件中,内容繁杂、变化迅速,并且专业性强。内部审计风险评估运用风险管理信息,既要满足风险评估的时效性,又要保证风险评估的客观性和充分性。

4.核心指标的选择。

商业银行风险管理指标多,如信贷业务风险管理指标包括贷款不良额、贷款不良率、贷款逾期额、贷款逾期率、贷款抵押率、经济资本占用率、贷款风险回报率、贷款预期损失率等,这些风险管理指标侧重点不同,或针对风险管理整体,或针对风险管理的某个具体方面。内部审计进行风险评估时,要选取能够代表业务风险整体状况的核心指标。

5.体系的持续维护。

内部审计风险评估是一项核心的基础性工作,也是一个长期、持续的过程,要为审计周期覆盖提供科学支撑。保持风险评估的连续性,建立一个可供持续维护的内部审计风险评估体系,既要考虑现实的体系应用,又要考虑未来可能存在的变化。

二、商业银行内部审计风险评估体系的构建思路

(一)内部审计风险评估体系架构

构建商业银行内部审计风险评估体系,要解决内部审计风险评估“评估什么、怎么评估、评估结果怎么用”的问题。基于以上三个方面的具体目标,设计内部审计风险评估体系。具体思路是:从风险评估的目标入手,确定风险评估原则;依据风险管理体系,确定风险评估内容;依据审计专业体系,对风险评估对象进行系统分类;根据风险评估原理,确定风险评估标准;结合风险管理实际,应用评估技术方法,形成评估结果;按照审计覆盖要求,恰当运用评估结果。风险评估体系架构分为三层,第一层为评估目标和原则,第二层为评估内容和对象,第三层为评估标准、方法和结果。如图1所示。

(二)内部审计风险评估的目标和原则

内部审计风险评估的首要目标是评估可审单元的风险状况,为年度内部审计计划提供编制依据;根本目标是提供以风险为基础的确认、建议和洞见。综合考虑风险评估目标、实现路径、技术方法及结果运用,内部审计风险评估需遵循以下五个主要原则。一是审慎性原则。内部审计在进行风险评估时应充分考虑所评估业务的现实风险和未来风险变化,与业务管理部门进行充分沟通。二是重要性原则。内部审计风险评估,不是对风险评估对象面临的所有风险都进行评估,而是应结合风险评估对象实际,重点对经营目标实现产生重要影响的领域、环节进行评估。三是定性与定量评价相结合原则。考虑风险评估可实现的方法和手段,内部审计部门应根据具体情况,采用定性评价、定量评价或定性与定量评价相结合的方法。四是合理估计原则。结合所评估业务的性质和特点,选取适当的风险评估指标,确定适当的风险评估标准,对风险进行合理估计。五是成果复用原则。应充分使用风险管理部门、业务管理部门的风险评估结果、内部控制评价结果、管理评价结果。内部审计风险评估的原则如图2所示。

(三)内部审计风险评估的内容

2016年,原中国银监会出台的《银行业金融机构全面风险管理指引》明确银行业金融机构各类风险包括信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险(以下称“9+X”风险)。根据监管要求和内部管理的不同划分标准,“其他风险”可以包括集中度风险、外包风险、数据质量风险、模型风险、合规风险、洗钱风险、法律风险、行为风险、押品风险、估值风险、资产证券化风险等。商业银行各类业务中的上述“9+X”风险,构成了内部审计风险评估的主要内容,如图3所示。

(四)内部审计风险评估的对象

根据审计业务不同阶段的要求,内部审计风险评估可以分为审计计划阶段风险评估和审计实施阶段风险评估。审计计划阶段风险评估的目标是确定高风险的审计单元,风险评估的对象为潜在的审计单元,可以从机构和业务两个维度划分。审计实施阶段风险评估的目标,一是评估业务事项控制风险的大小,二是评估业务事项剩余风险的大小。

1.风险评估对象划分的依据。

内部审计风险评估对象可以从五个递进的层次考虑。依次为机构、业务板块、业务单元、业务事项、控制点。以上五个层次,構成了不同场景下内部审计风险评估的对象。商业银行可以通过建立审计专业体系管理架构,为识别潜在的审计单元提供系统性基础支撑,如图4所示。

2.审计计划阶段风险评估的对象。

(1)业务维度。

业务审计风险评估的对象由两级构成,第一级是业务板块,第二级是业务单元,业务单元是审计计划风险评估中的最小粒度。审计计划风险评估时,应依据风险评估标准,对业务单元形成风险评估结果,再对业务单元风险评估结果进行排序,作为制订审计项目计划、确定审计项目的依据。如需要,可对同一业务板块(单元)下所有机构的风险逐个评估,作为机构抽样的依据。

(2)机构维度。

一般情况下,商业银行可以将一级分行、二级分行确定为机构审计风险评估的对象。对机构进行风险评估时,可以将机构作为一个整体,对主要风险进行评估;也可以对机构的业务板块(单元)分别进行评估,综合形成评估结果。

3.审计实施阶段风险评估的对象。

一般情况下,审计实施阶段风险评估的对象由两级构成,第一级是业务事项,第二级是控制点,控制点是审计项目风险评估中的最小粒度。

(五)内部审计风险评估的标准

商业银行开展内部审计风险评估,需要建立一套统一的总体评估标准,以便于对不同的业务,形成可供比较的风险评估结果。一般情况下,可以综合风险事件发生的可能性、风险对业务目标的影响程度,确定总体评估标准。在总体评估标准下,可以根据各类业务的具体情况,分别确定具体的评估标准。总体评估标准一般采用定性的方式确定;具体评估标准一般采用定量的方式确定,当难以采用定量方式时,也可以采用定性的方式确定。

1.风险事件发生的可能性评估标准。

综合考虑引起损失的事件发生频率、业务的复杂程度、业务变更对原业务流程的改变和冲击程度等因素,可将风险事件发生的可能性划分为三类:高可能性——风险事件很可能发生;中可能性——风险事件发生的频率较低;低可能性——风险事件基本不可能发生。如表1所示。

不同业务判断标准可能不同。如信贷业务违约概率超过1%,可评估为高可能性;低于1‰,可评估为低可能性。支付结算业务差错率超过0.4‰,可评估为高可能性。在确定风险事件发生的可能性评估标准时,可以征求业务管理部门的意见。

2.风险对业务目标的影响程度评估标准。

综合考虑财务损失、声誉损失、监管处罚、业务连续性损失等因素,可将风险对业务目标的影响程度划分为三类:影响程度高——风险事件发生对运营有灾难性影响;影响程度中——风险事件发生对运营有重要影响但不是灾难性影响;影响程度低——风险事件发生对运营影响不严重。如表2所示。

不同类型的风险,影响程度评估标准不同。比如,信用风险,可用预期损失金额占拨备前利润的比例作为标准,超过拨备前利润总额的5%,为影响程度高。合规风险,可用处罚金额作为标准,处罚金额大于1000万元,为影响程度高。在确定风险对业务目标的影响程度评估标准时,可征求业务管理部门的意见。

3.风险综合评估标准。

使用以下风险矩阵,综合风险事件发生的可能性和风险对业务目标的影响程度,形成风险综合评估结果,如图5所示。

风险综合评估结果可采用星级表示,按照风险由低到高,表示为一星至五星。如图6所示。

(六)内部审计风险评估的方法

风险评估方法具有多样性,国家标准《风险管理 风险评估技术》中列示了32种风险评估方法,此外还有其他的风险评估方法。根据所评估业务的特点和风险评估方法的特点,审计业务可以围绕风险识别、风险分析(风险计量)和风险评价阶段的工作目标,组合运用各类风险评估方法。审计常用的风险评估方法包括风险矩阵、头脑风暴法、问卷调查法、流程分析法等,如表3所示。

(七)內部审计风险评估的流程

内部审计实施风险评估,在运用和参考业务管理部门风险评估结果的同时,充分应用审计专业建设成果,依托审计专业体系和审计实践,建立并完善内部审计风险评估体系。风险评估的过程可以分为风险识别、风险分析(风险计量)和风险评价阶段。

1.风险识别阶段。

(1)确定业务目标。

识别潜在的审计单元,确定风险评估的对象。根据商业银行经营管理目标,确定所评估业务活动的业务目标。具体的业务目标,应与业务管理部门沟通达成一致。

(2)识别主要的风险。

围绕具体业务目标,结合“9+X”风险体系,识别影响业务目标实现的主要风险。梳理影响业务目标实现的风险事件,查找风险源,识别风险因素。梳理后的风险、风险源、风险因素,应与业务管理部门沟通达成一致。

2.风险分析(风险计量)和风险评价阶段。

(1)确定风险评估的具体标准。

对识别出的主要风险,收集、整理、分析有关风险数据,确定风险评估标准,风险评估标准应与业务管理部门达成一致。

(2)选取恰当的风险评估方法开展风险评估。

运用和参考业务管理部门风险计量结果评估风险,综合考虑风险事件发生可能性和风险对业务目标的影响程度定量或定性评估结果,形成初步风险评估结果。应用管理评价结果对初步风险评估结果进行修正,形成风险评估结果。根据风险评估结果,对评估对象形成周期审计覆盖策略和当年审计覆盖策略。通过审计项目,评估业务事项控制风险和剩余风险。使用风险评估结果,指导下次风险评估。

三、内部审计风险评估体系的应用

(一)风险评估体系在审计计划阶段的应用

审计计划阶段风险评估以业务单元、机构单元为基础,围绕战略目标实现,识别主要风险,确定评估标准,评估风险,形成风险评估结果,按照风险导向、监管导向、经营管理中的问题导向和审计活动周期覆盖原则,确定审计活动优先级,形成审计计划。根据实施审计项目的业务事项控制风险、剩余风险评估及业务变化情况,开展持续风险评估。审计计划风险评估一般按年度进行。

1.业务维度风险评估。

(1)识别潜在的审计单元。

①确定审计总范围。审计计划阶段业务风险评估的总范围是商业银行各业务领域。根据风险评估对象划分依据,应用商业银行审计专业体系,将各业务领域细分为业务板块,下设若干业务单元,以保证审计计划风险评估范围的体系性。

②确定风险评估对象。审计计划阶段业务风险评估的对象包含若干个业务板块和若干个业务单元。对于正处于新兴阶段尚未进入成熟期的业务,可暂不对相关业务单元进行风险评估。

(2)评估风险。

①收集风险评估信息。收集的风险评估背景资料主要包括:

——基本信息:经营管理部门风险评估资料(评估标准、方法及结果),外部经营环境的变化,监管政策的变化,产品及服务创新情况等。

——外部环境信息:国家法律法规变化,经济、金融环境变化,科技发展,行业竞争,资源与市场变化,自然灾害等。

——历史数据信息:上一次评估至今评估对象的业务变动情况,内外部审计和各类专项检查发现的问题及整改情况,违规案件,媒体和网络负面报道等。

②识别主要的风险。围绕“战略、运营、报告、合规”四大目标,结合商业银行全面风险管理体系中所列“9+X”风险,确定影响经营目标实现的主要风险,将确定的主要风险作为风险评估的重点。比如,个人贷款业务经营管理目标主要包括执行国家相关信贷政策,合规适度发放贷款,安全收回贷款资金。影响个人贷款经营目标实现的风险类型包括信用风险、合规风险、战略风险、操作风险、声誉风险、法律风险、信息科技风险等,其中信用风险是影响经营目标实现的主要风险。在个人贷款业务审计风险评估时,主要对信用风险进行评估,必要时可以将其他类型的风险作为辅助参考。

③确定风险评估的具体标准。确定各审计单元风险事件发生的可能性、影响程度和风险综合评估标准。确定评估标准时应与业务管理部门达成一致。比如,可以将贷款违约概率、预期损失额占拨备前利润的比例作为核心指标,确定贷款相关业务单元风险评估标准,如表4所示。

④使用管理部门结果评估风险。使用管理部门风险评估数据,对照风险评估标准,对可审单元的全行业务整体进行风险评估。比如,对公信贷业务板块包括大中型信贷业务单元、小微信贷业务单元,个人贷款业务板块包括个人住房贷款业务单元、个人消费经营贷款业务单元。对这4个业务单元,使用风险管理部门风险评估结果,进行风险评估。评估风险事件发生的可能性时,使用贷款违约概率指标;评估风险对业务目标的影响程度时,使用贷款预期损失额占拨备前利润的比例指标。综合形成初步风险评估结果如表5所示。比如,表5中所列大中型信贷业务单元,从历史数据看(虚拟数据,下同),其全行大中型客户贷款违约概率为1.2%,预期损失额占拨备前利润的比例为5.5%,对照评估标准,将风险事件发生的可能性评估为“高”,将风险对业务目标的影响程度评估为“高”,初步综合评估结果为“高风险”。

采用对业务单元整体进行风险评估的方法和标准,对各一级分行业务进行风险评估,分别形成评估结果,作为机构抽样的依据。比如,使用一级分行风险评估数据,对各一级分行个人住房贷款业务单元风险评估,形成初步风险评估结果,如表6所示。

(3)形成风险评估结果。

可以将外部监管、行内风险管理部门、内控合规部门和审计评价意见作为修正因子,对初步风险评估结果进行修正,形成最终风险评估结果。以某大型商业银行为例,可以使用的修正因素主要包括:监管部门的年度评价结果、监管意见,全面风险管理评价结果,信用风险评价结果,资产质量通报,内部控制评价结果,合规工作评价结果,最近一次内部审计作出的评价,大数据分析的疑点分布结果。

①业务单元风险评估结果。使用修正因子对贷款相关业务单元初步风险评估结果进行修正,个人消费经营贷款业务单元因大数据分析部分贷款资金流入限制性领域、贷款资金流向不合规导致较多的监管处罚,由“中风险”修正为“高风险”。使用风险评估结果分级标准,确定贷款相关业务单元风险等级,如表7所示。

②业务单元各分行风险评估结果。使用修正因子对个人住房贷款业务单元各分行初步风险评估结果进行修正,C分行因大数据分析风险楼盘大量增加,由“中风险”修正为“高风险”。使用风险评估结果分级标准,确定个人住房贷款业务单元各分行风险等级,如表8所示。

2.机构维度风险评估。

对机构进行风险评估,主要采取以下两种形式:一是对机构整体进行直接评估,二是加总各业务板块风险评估结果。

(1)机构整体直接评估。

①选取对机构经营管理影响大的主要风险类别。在机构层面,一般选取信用风险、市场风险、操作风险、集中度风险、合规风险,作为评估的主要风险类别。

②确定每类风险类别的重要性水平。根据主要风险对经营目标的影响,分别确定各类风险重要性水平,赋予一定权重值,如表9所示。

③选择每类风险的评估指標,确定评估标准。如表10所示。

④风险评估。将各风险类别评估结果进行加总,按照以下标准判断整体风险。高风险类别加权占比超过30%时,机构整体风险至少评估为高风险;中风险及以上类别占比超过30%时,机构整体风险至少评估为中风险。

⑤使用管理评价结果进行修正。在银行风险管理实务中,可以将机构的全面风险评价结果由好到差划分为A、B、C三档,全面风险评价B档的机构,风险评估最终结果应不低于中风险等级。全面风险评价C档的机构,风险评估最终结果应不低于高风险等级。

(2)业务单元加总评估。

①确定重要性水平。考虑业务规模、对机构整体目标实现的影响等因素,对各业务单元按影响程度赋予权重值。大中型信贷业务单元可赋权重值10,个人住房贷款业务单元可赋权重值5,呆账核销业务单元可赋权重值1。

②风险评估。将业务单元风险评估结果进行加总,按照以下标准判断整体风险。高风险业务单元加权占比超过30%时,机构整体风险至少评估为高风险;中风险及以上业务单元加权占比超过30%时,机构整体风险至少评估为中风险。

③使用管理评价结果进行修正。全面风险评价B档的机构,风险评估最终结果应不低于中风险等级。全面风险评价C档的机构,风险评估最终结果应不低于高风险等级。

3.提出立项建议。

(1)业务维度立项建议。

利用审计计划风险评估结果,结合外部监管要求、管理层的关注程度、审计的覆盖频率,确定审计覆盖策略,对业务板块中的业务单元,通过常规审计项目、动态敏捷审计进行覆盖。如表11所示。

对贷款相关业务单元覆盖策略如下:大中型信贷业务单元、小微信贷业务单元、个人消费经营贷款业务单元评估结果为高风险,当年通过审计项目覆盖;个人住房贷款业务单元评估结果为中风险,可通过审计项目覆盖,也可通过动态敏捷审计覆盖;根据对一级分行风险评估结果,确定重点覆盖机构。

(2)机构维度立项建议。

根据机构单元风险评估结果,结合周期覆盖频率,确定机构审计覆盖对象。

4.后续管理。

(1)审计计划中期风险评估。

在年度审计计划执行中期,根据经营管理环境变化、风险状况变化重估风险,对风险变化大的业务单元,调整审计覆盖策略。

(2)持续更新风险评估结果。

根据审计计划执行结果,对风险评估结果按年度持续维护更新。风险评估年度更新结果,用于指导制订下年度审计项目计划。

(二)风险评估体系在审计实施阶段的应用

审计实施阶段风险评估由审计组或审计人员实施,评估对象是所审业务单元的业务事项和控制点。审计实施阶段风险评估,贯穿审计项目各个阶段。审计组或审计人员通过控制风险初步评估、控制测试或扩大测试、评估控制风险,得出控制有效性评价结论。在此基础上,可以形成对所审业务单元的风险评估结论,对审计计划阶段风险评估结果进行验证。

1.控制风险评估。

控制的目的是防止和减少风险事件的发生,将风险控制在可以接受的程度之内。控制点的风险评估过程实际就是控制有效性的评价过程。通过评估,形成控制点控制有效性的审计结论。控制点控制有效性的评价结果可以用好、一般、差等定性等级表示,对应的控制风险水平为低、中、高。

(1)初步评估控制的有效性。

审计组通过调查和了解内部控制,初步评估所审业务事项各控制点内部控制的有效性,并根据评估情况确定审计策略(控制测试或扩大测试)。比如,大中型信贷业务单元包含流动资金信贷、固定资产贷款、房地产信贷、专项融资、国内贸易融资及供应链融资、担保承诺等业务事项。其中,房地产信贷业务事项包含规模及投向控制、客户/项目准入管理、风险控制有效性3个控制点。初步评估以上控制点内部控制的有效性,并确定审计策略,如表12所示。

(2)形成控制有效性评价结果。

审计组根据审计测试结果,对控制点的控制风险进行评估,当控制风险大于预期水平时,作为内部控制缺陷出具审计发现底稿,形成控制有效性评价结果和控制风险评估结果。

接前例,对房地产信贷业务事项控制点进行测试,形成控制有效性评价结果,对内部控制缺陷出具审计发现底稿,如表13所示。

2.业务事项的风险评估。

审计组根据审计发现的重要风险事项,对业务事项的剩余风险进行评估,当剩余风险不可接受时,作为重要风险事项出具审计发现底稿,对业务事项作出控制有效性整体评价,形成审计结论。业务事项剩余风险水平分为可接受和不可接受两类。

接前例,房地产信贷业务事项存在少数大型客户风险信号明显的重要风险事项,该业务事项控制有效性评价结果为“差”,剩余风险不可接受,作为重要风险事项出具审计发现底稿。

业务事项的风险评估,更多依靠审计人员的经验判断。审计组应就剩余风险是否在组织可接受水平内与审计对象达成一致。如未达成一致,应在审计报告中披露。

四、内部审计风险评估体系应用的配套机制

(一)建立有效沟通的工作联系机制

内部审计风险评估的大部分信息来源于经营管理部门,评估结果也将应用于商业银行的风险管理。审计部门应当建立有效沟通的工作联系机制,在实施风险评估时,增强换位思考意识,与经营管理部门常态化沟通风险评估工作,在部门间共享各类成果信息,形成相融互促的工作联系氛围。

(二)建立敏捷高效的动态分析调控机制

内部审计风险评估是一个持续的过程,随时都会面临重要的风险变化。审计部门应当建立敏捷高效的动态分析调控机制,随时关注经营管理环境变化,及时获取第一手重要经营管理信息,分析影响风险变化的关键因素,前瞻识别重要风险,动态调整风险评估结果,因势调整审计覆盖策略,提升风险评估的时效性和价值创造力。

(三)建立持续创新的专业研究机制

内部审计风险评估具有很强的专业性,规范化建设尤为重要。审计部门应当建立持续创新的专业研究机制,建立和持续优化审计专业体系,以审计专业体系为基础,统筹开展包括风险评估在内的各项审计工作,有效发挥风险评估对审计价值增值的保障促进作用。

总之,构建系统、科学的内部审计风险评估体系,是商业银行内部审计在新形势下帮助组织应对重要风险挑战的核心基础性工作。商业银行内部审计必须立足于统筹发展和安全,紧跟商业银行未来发展趋势和风险变化,持续探索、应用和完善内部审计风险评估体系,不断提升内部审计工作质效,助力商业银行高质量发展。

(作者单位:中国建设银行股份有限公司山东总审计室,邮政编码:250099,电子邮箱:wangqingsong.zh@ccb.com)

主要参考文献

[1]国际内部审计师协会.国际内部审计专业实务框架[S].北京:中国财政经济出版社, 2017

[2]李凤雏.深入研究探索 推动内部审计高质量发展[J].中国内部审计, 2021(12):4-9

[3]刘雷,李玲焰,冉洪川.开展商业银行研究型内部审计的若干思考[J].中国内部审计, 2022(5):25-28

[4]刘小书,沈璜.以风险为基础的内部审计探讨[J].中国内部审计, 2020(7):41-43

[5]王周伟.风险管理(第2版)[M].北京:机械工业出版社, 2020

[6]王祖继,许一鸣.大型商业银行风险管理[M].成都:西南财经大学出版社, 2020

[7]张曾蓮.风险评估方法[M].北京:机械工业出版社, 2019

猜你喜欢
风险评估内部审计商业银行
商业银行资金管理的探索与思考
关于加强控制商业银行不良贷款探讨
我国养老保险基金投资运营的风险评估
浅析SAP系统在石化企业内部审计中的运用
新常态下集团公司内部审计工作研究
图书馆内部控制建设的深度思考
现代风险导向审计局限性及其对策研究
中小企业财务管理问题研究
我国商业银行海外并购绩效的实证研究
我国商业银行风险管理研究