构建基于风险热图的风险导向审计模式,本文主要内容关键词为:风险论文,导向论文,热图论文,模式论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
目前,内部审计已由传统的财务纠错防弊式的账项基础审计和制度基础审计发展为以风险导向的现代增值型审计。在这种内部审计职能转变的大趋势下,工商银行内部审计局将内部审计的职能定位为以系统化、规范化的工作方法,检查评价并推动改进经营活动、风险管理、内部控制以及公司治理的效果,促进全行发展战略和经营管理目标的实现;建立风险导向审计工作模式,根据风险评价结果确定内部审计重点和检查频率,有效整合审计资源;建立并完善内部管理流程的标准化与规范化。为此,开展了风险热图构建体系建设与应用的研究工作,并与持续风险监测体系、内部控制自我评估体系有机结合,共同构成工商银行风险导向审计工作模式的基础方法体系。
一、风险热图构建的目的
1.以关注风险为导向,适应国际内部审计的发展趋势。在风险导向审计模式下,内部审计应在对内部控制充分了解和评价的基础上,分析、判断被审计单位的风险所在及其风险程度,把审计资源集中于高风险的审计领域,针对不同风险状况采取相应的审计策略,加强对高风险点的实质性测试,提高审计效率,保证审计质量。建立内部审计风险热图构建体系的宗旨即是要运用国际通行的风险评估理论,建立适应于工商银行实际的审计风险评估方法,促进内部审计职能和方法向以加强和改善银行风险管理为目标的风险导向审计转变。一是通过分析风险现状,确定审计重点。通过开发建设风险热图构建体系,建立与工商银行经营管理实际相结合的具体风险评估方法、评估流程及指标体系,对全行、各机构、各产品的风险状况进行定性和定量评估,在深入分析判断不同层面和业务领域风险状况的基础上,确定审计重点、审计方向和审计策略,合理配置审计资源,使审计活动紧跟风险变化趋势。二是持续跟踪关键风险,从风险表象分析问题成因。对全行、各机构、各产品的风险状况进行持续跟踪与风险排序,并以风险热图形式展现评估结果,全面把握风险状况,发现重大风险因素,及时做出风险提示,并分析风险成因,确保审计活动有效覆盖和关注全行主要风险。
2.以提升价值为理念,适应工商银行总体的发展战略规划。2006年至2016年,是工商银行实施经营结构和经营模式转型的关键十年。内部审计适应总体战略,将工作定位于关注影响战略实现与经营效果的关键风险,确定以为银行增值为目标提升审计工作价值的理念。建立内部审计风险热图构建体系,有助于加快建立与国际一流现代商业银行发展要求相适应的内部审计体系,真正履行与现代公司治理要求相适应的审计职责,形成审计专业核心竞争能力。体系具有以下特点:一是划分审计单元,明晰审计范围。通过定性和定量分析,从机构和产品维度划分涵盖全行所有机构范围以及业务领域的审计单元,对审计范围进行了明确的细分。二是引入符合工商银行实际情况的风险分类方法。参考巴塞尔委员会、国内监管体系、国外大型银行、COSO内部控制框架,结合工商银行实际情况,确定符合工商银行内部风险管理需要、易于被使用者理解,并有利于审计风险评估与审计风险监测开展的风险分类方法,将风险划分为信用风险、市场风险、流动性风险、操作风险、战略风险和声誉风险六大类。三是突出审计增值服务理念。从关键风险出发,涵盖银行主要风险领域,使内部审计能够通过风险评估及其风险热图构建结果为银行经营政策的制定提供参考,有助于确保银行风险管理目标与业务发展目标的一致,从而提升内部审计在风险管理中的作用,实现内部审计为机构增值的目的。
3.以规范方法为基础,建设适应工商银行内部审计的标准化体系。推进标准化建设是工商银行进一步完善内部审计管理体制和机制的主要工作,是建设与国际接轨、国内领先的内部审计体系的核心内容。内部审计风险热图体系构建项目的建设和实施,可以大大推进审计方法、手段、流程的规范化和信息化。风险热图构建体系的建设,参考了巴塞尔Ⅱ对风险计量的基本要求,并借鉴国际先进银行的风险评估做法,提供标准化的评估理念、评估方法和指标体系,推进内部审计风险评估工作规范化、理论化和科学化。基于风险热图的风险导向审计,可以了解全行现有产品、管理和机构的风险水平,为内部审计部门制定审计工作计划和审计项目方案提供参考依据,为开展持续性审计和风险跟踪提供基础和标准,有助于实现审计工作的规范化和标准化。
二、风险热图构建的内容与方法
1.风险热图构建的模型。风险热图构建并非是对风险的准确计量,而是对风险热图构建对象风险等级的划分和排序,是在风险识别基础上,以评估对象固有风险、控制有效性和剩余风险的内在联系为基础,通过对固有风险、控制有效性进行评估,得出剩余风险的过程。其中,固有风险从风险发生可能性和风险影响程度两个方面进行评估。风险发生可能性越大,风险影响程度越高,则固有风险越大。风险热图构建的基本理论模型如图1所示。
2.风险热图构建的对象。风险热图构建的对象,即审计单元。为保证审计单元的合理性和完整性,结合当前审计工作实际,将其划分为产品和机构两个维度。其中,产品维度包括产品线和管理线:产品线为对外提供的产品和服务;管理线为从各部门内部管理职能衍生出来的、无法与对外产品线进行明确对应的内部管理流程,可以理解为对内提供的产品;机构维度分为境内机构和境外机构。审计单元示例如表1所示。需要说明的是,审计单元不是一成不变的,随着银行业务种类的多样化、丰富化和经营管理的标准化、国际化,银行会不断开发和引进先进的产品和服务,并随之不断完善与之相关的管理职能。并且为了银行业务的可持续发展及银行长远战略的需要,银行也可能新设不同层级的分支机构,或者对现有的组织架构进行优化整合。为此,应定期对审计单元的划分进行更新调整。
3.风险热图构建的方法。风险热图构建方法体系由风险发生可能性评估模块、风险影响程度评估模块、固有风险评估模块、控制有效性评估模块以及剩余风险评估模块五部分组成,如图2所示。风险发生可能性评估和风险影响程度评估是固有风险评估的基础,评估对象固有风险的大小取决于评估对象发生风险的概率和发生风险损失对银行既定目标的影响程度。取得固有风险评估结果后,通过对内部控制措施的有效程度进行评估,可进一步确定未能因内部控制而减少的剩余风险的大小。具体评估时,根据风险发生可能性、风险影响程度以及控制有效性的具体评估指标、评估要素以及评分标准进行定量和定性打分,在形成评估指标和评估要素的分数后,通过逐级加权汇总得出风险发生可能性、风险影响程度、控制有效性及固有风险、剩余风险的得分。
三、风险热图构建的实施流程
根据风险热图构建的内容、范围不同,风险热图构建分为整体风险热图构建和审计项目风险热图构建两个层面。整体风险热图构建是对全行层面产品维度和机构维度的审计单元进行风险评估及风险热图构建,其作用在于确定全行层面的审计重点,科学制订审计计划,合理配置审计资源和确定审计频率,最终提出审计项目建议。审计项目风险热图构建是对既定的审计项目开展产品维度或机构维度的风险评估,其作用在于确定纳入审计范围的具体审计对象,并根据风险热图构建过程中发现的高风险因素确定具体审计项目重点与审计方向。具体流程:
1.准备工作。主要包括确定风险热图构建的对象、方案和职责分工,收集风险评估相关资料,准备风险热图构建工作底稿等。首先,风险评估工作小组负责确定风险热图构建的方式、方法、步骤、职责分工、日程安排等实施细节,制订风险热图构建方案,并与相关领导沟通确认。其次,风险评估工作小组及时收集风险热图构建所需的资料,包括但不限于各类业务的定量指标数据和定性指标信息;公司、流程和IT层面的内部控制信息;内外部各类审计检查成果;以调查问卷或访谈获取业务开展和内部管理信息等。最后,风险评估工作小组根据风险热图构建对象的性质和类别,准备审计风险评估评分表、数据采集表和指标值计算表等工作底稿。
2.风险热图构建。风险评估工作小组参照风险热图构建的模型开展风险发生可能性、风险影响程度、固有风险、控制有效性以及剩余风险的评估工作。根据事先收集的风险评估数据和信息计算风险热图构建对象的各类指标值,参考评估标准对构建对象的风险发生可能性、风险影响程度以及控制有效性进行评分,最终汇总生成固有风险与剩余风险的分值,进而构建固有风险分布图与剩余风险热图。具体步骤:(1)评估风险发生的可能性。从银行各机构及各类业务所面临的风险类别出发,评估风险发生的可能性。从导致风险发生的潜在原因(即风险因素)入手进行评估,采用指标打分法,根据已建立的评估指标及评分标准进行打分及加权,依次得出各风险因素、风险类别的得分,并进一步计算出风险发生可能性得分。如图3所示。(2)评估风险影响程度。从评估对象对银行经营战略的影响力度出发,选取评估指标进行打分和加权,如表2所示。(3)评估固有风险。根据风险热图构建的基本模型:固有风险=f(风险发生可能性,风险影响程度)计算评估对象的固有风险得分,进而构建固有风险分布图,如图4所示。(4)评估控制有效性。通过将各业务产品和管理领域的各级内部流程进行梳理和细分,将各级内部流程中的关键步骤或重要环节拆分为若干个风险控制点,对各个风险控制点的控制状况按业务发生频率的不同,采取统计抽样和样本测试的方法进行分析和测试评价,并根据样本测试结果和所发现控制缺陷的数量与性质判断风险控制点的控制是否有效。控制有效性分为有效、基本有效、关注、特别关注和无效五个等级。然后,通过对各级风险控制点分值逐级加权汇总,生成评估对象的控制有效性得分。(5)剩余风险评估模块。根据剩余风险=f(固有风险,控制有效性)模型,计算出评估对象的剩余风险得分,构建剩余风险热图,直观反映评估对象的风险状况,如图5所示。
3.结果汇报与沟通。风险评估工作小组汇总风险热图构建结果,编制风险评估报告,提交行领导审批。报告结果提交给审计计划编制人员,作为调整审计计划和确定审计项目的参考依据。
四、风险热图构建成果应用
1.风险热图在提供经营管理建议方面的应用。风险热图构建可将外部宏观经济金融信息,行内经营管理、风险管理、业务发展信息,内外部审计发现和内部控制评估等相关信息广泛纳入到风险评估方法体系中,并在风险热图构建过程中予以综合分析,在结果中予以集中反映,且充分考虑风险控制方面的信息,融入高层专家的经验指导与判断,如图6所示。因此,可在涵盖较多有用信息的基础上,依托科学的风险热图构建方法体系,对全行主要业务产品、管理领域和分支机构的风险状况进行客观地评估与排序,并以风险热图的方式展现风险评估结果、辅以详尽的风险分析报告文档,有助于董事会、监事会和高级管理层全面了解全行主要业务产品、管理领域和分支机构的风险分布及控制状况;同时,将开展风险热图构建结果及风险热图构建过程中发现的具体问题以分析报告或管理建议的方式反馈各级经营管理层,通过沟通交流,研究完善风险管理与内部控制水平,进一步加深内部审计人员对经营管理的了解。
2.风险热图在审计计划制定中的应用。审计计划编制人员依据风险评估报告和风险热图构建结果,确定审计项目,不断更新调整审计计划,确定审计频率。原则上,高风险的风险热图构建对象可每年审计一次,中高风险的风险热图构建对象可每两年审计一次,中风险的风险热图构建对象可每三年审计一次,中低风险的风险热图构建对象可每四年审计一次,低风险的风险热图构建对象可每五年审计一次。同时,综合考虑以前年度审计发现、以前年度审计的深度和广度以及现有审计资源等因素,最终确定审计频率。在此基础上,根据董事会及其审计委员会、高级管理层的关注重点、监管机构的监管要求、外部机构的审计检查结果、某些产品及机构在短期内(如半年、季度)的异常变化(如收入激增或迅速萎缩)等因素对审计计划做出进一步调整,确定审计计划。
3.风险热图在具体审计项目中的应用。对于风险热图构建结果为“高”、“中高”的审计项目,审计项目小组参考风险热图构建方法体系,选取能突出审计对象特性和具体风险特征的指标,并确定相关评分标准,对开展项目的风险评估,选择风险等级较高的机构或具体产品作为审计对象。对于固有风险和控制有效性评估过程中确定的高风险因素和控制有效性较低的环节,可列入审计重点关注领域。对于风险热图构建结果为“中”、“中低”和“低”的审计项目,可从成本效益的角度出发,结合审计人员的经验及管理层风险偏好,采取审计覆盖率和统计抽样的方式选定审计对象。
五、风险热图构建的发展优化
1.方法体系的持续改进和优化。风险热图构建工作是一个持续改进的过程。金融创新带来的新业务、新产品和新的风险类别、风险管理手段和方法的变革、外部环境导致的重点关注风险点的变化、内部审计组织方式的不断变革等,都要求对风险热图构建体系方法的总体框架、风险评估具体方法、风险评估指标及评分标准等作出相应的改进和优化,这种持续改进将始终贯穿于体系的应用过程之中。
2.风险热图构建工作的系统化建设。风险热图构建工作需要运用具体方法对大量信息进行分析整合,为提高工作效率,拓展信息来源,实现通过系统进行质量控制,可根据需要开发建设与风险热图构建系统衔接的其他信息系统,实现风险热图构建流程信息化。
3.成果的推广与宣传。通过培训、经验交流研讨会、工作实践等方式,在内部审计系统内逐步推广风险热图构建技术,促进风险热图构建成果的应用,培养并建立一支既熟悉审计业务,又掌握风险热图构建技术的专业团队。
标签:风险评估论文; 内部审计论文; 固有风险论文; 项目风险论文; 银行风险论文; 审计计划论文; 风险导向审计论文; 管理风险论文; 审计质量论文; 审计方法论文; 审计流程论文; 有效市场论文; 管理审计论文; 审计目标论文; 项目评估论文; 工作管理论文; 内部控制论文; 银行论文; 投资论文;