当前导致我国商业银行风险产生的主要因素有:新产品、新业务的不断推出;业务操作中产生的风险;内部制约制度落实不严格;对基层负责人监督有漏洞、员工素质不能与快速发展的业务相适应。完善商业银行内部控制的建议:制定合理的考核指标;健全和完善内部信息传递共享系统;建立合理的内部控制结构;完善人力资源法规制度体系。
随着金融体制改革的日益深化,建立科学的治理结构和银行风险管理体制成为摆在每个商业银行面前的重要课题,而内部审计作为一项独立、客观、公正的约束与评价机制,在现代银行风险管理中正发挥着越来越重要的作用,履行和发挥内部审计在银行风险管理中的职责与作用是现代商业银行转化经营机制、建立现代企业制度的客观需要,也是内部审计充分发挥和提升审计价值实现增值服务的重要途径。本文就内部审计与银行风险管理的关系及内部审计如何参与企业风险管理进行了思考,并提出一些建议。
一、内部审计与银行风险管理的关系
风险是指发生对目标的实现可能产生影响的事件的不确定性。风险的衡量标准是后果与可能性。银行风险管理是指对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。银行风险管理主要包括风险识别、风险评估、风险应对三个阶段。可见,银行风险管理是现代企业管理的一项主要内容,为了实现企业的工作目标,企业管理层应当确保企业中存在良好的风险管理过程并使其发挥作用。
中国内审协会对内部审计的定义是:“内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现”,而“风险管理是组织内部控制的基本组成部分,内部审计人员对银行风险管理的审查和评价是内部控制审计的基本内容之一”,也就是说风险管理是内部审计的重要内容。
在现代内部审计工作中,内部审计与银行风险管理有了明确的结合点——风险管理审计。银行风险管理审计是在帐项基础审计和制度基础审计基础上发展起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,运用一定的审计手段,分析、判断被审单位的风险所在及其风险程度,针对不同风险因素状况、程度采取相应的审计策略,加强对高风险点的实质性测试,将内部审计的剩余风险降低到可接受水平。中国内审协会颁布了“内部审计具体准则第16号——风险管理审计”,风险管理审计作为先进的审计理念和审计内容正式步入我国内审领域。
因此,作为现代企业管理的重要内容,内部审计与银行风险管理的联系日趋紧密。内部审计本身就是企业管理的一种手段和方式,是内部管理的延伸;银行风险管理是企业管理的重要内容,同时也是现代内部审计的重要内容之一,内部审计负有识别和评估风险的责任。银行风险管理作为管理层一项关键责任,企业管理层对其负有不可推卸的责任;内部审计师则有职责定期评价并协助其他部门进行风险管理,在改善管理层的风险管理流程效果和效率方面进行检查、评价、报告和提出审计建议,帮助识别、评价和实施风险管理方法和控制。内部审计和风险管理在企业中的目标是一致的,都是为了实现企业的组织目标。
二、内部审计在现代企业风险管理中的作用
在风险管理审计中,银行风险管理成为组织中的关键流程,分析、确认、揭示关键性的风险,成为内部审计的主要职责。
(一)内部审计将风险管理纳入审计范畴,有助于实现企业全面工作和总体目标的实现。
现代企业面临的经营环境日趋复杂,风险日益增大,减少面临的风险是企业实现价值最大化目标的关键。内部审计采取系统化、规范化的方法促进建立风险管理过程,通过内控制度的评价,对公司经营活动进行风险识别和评价,改进银行风险管理与控制体系,提请管理层关注风险,从而完善企业管理,转化负面风险,提升企业竞争能力和应变能力,最终实现企业目标。
(二)内部审计的相对独立和与企业一体性的独特地位,决定了其对企业风险的揭示更准确更有效。
从企业外部看,外部审计从独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复核,经常能提供一些有用的信息影响到银行风险管理。但他们更多地围绕企业会计报表的合法、公允、一贯性开展工作,对企业管理环境和运作过程不十分熟悉,决定其提供的风险管理服务不能做到贴近内部管理,不能对银行风险管理的有效性负责。而内部审计部门对企业面临的风险更了解,在风险管理方面拥有外部审计师无可比拟的优势。他们以风险发生可能性大小为依据,深入经营管理过程和行为,在业务经营、财务管理、费用控制等各方面查找并防范风险,通过内部视角,敏锐观察经营过程中不断变化的风险因素,快速传递管理中存在的缺陷或失败,促使董事会和高级管理层做出快速反应,及时采取措施,防范和纠正不当行为。
(三)风险因素始终贯穿于内部审计的整个审计程序,使内部审计成为风险控制程序的重要补充。
内部审计人员应用现代风险导向审计模式,从整体上把握审计风险因素,合理整合审计资源,警惕可能影响目标、运营和资源的重大风险,最大限度地减少审计风险。在审计计划、审计实施、审计报告阶段,将风险作为重要考虑因素,在整个审计过程贯穿对风险的关注,充分考虑风险管理的充分性和有效性。
三、内部审计如何参与现代银行风险管理
内部审计可以从风险识别、风险评估、风险应对三个阶段参与银行风险管理,通过审查和评价企业风险识别、风险评估、风险应对的充分性、适当性、有效性,来识别、报告潜在重大风险,提出应对措施,同时通过落实审计建议督促企业采取有效的风险控制措施。
(一)审查和评价企业风险识别的充分性和适当性。
风险识别是管理层的职责,主要是根据企业的组织目标、战略规划等识别企业所面临的各类内、外部风险。是对企业所面临的、以及潜在的各类内、外部风险加以判断、归类和鉴定风险性质的过程,实质上就是对风险进行定性研究。
(二)审查和评价企业风险评估的适当性和有效性。
风险评估是对已识别的风险,评估其发生的可能性及影响程度。风险评估主要应用各种管理科学技术,采用定性与定量相结合的方式,找出主要的风险源,并评价风险的可能影响,最终定量估计风险大小。风险评估的目的是确定每个风险要素的影响大小,一般是对已经识别出来的风险进行量化估计,从风险发生的可能性和影响两方面对风险进行评估,通过公式:风险值=风险概率×风险影响,计算出风险值。