风险导向审计在银行的应用模式研究

1、风险导向审计在人民银行的应用模式研究摘要：风险导向审计是一种在审计实践中产生的，为适应现代社会的高风险环境，以风险评估为中心的审计模式，是现代审计发展的必然趋势，已成为了有效防控审计风险和加强风险管理的重要手段。作为人民银行的内部审计部门如何将审计方法由传统的合规性审计向以加强和改善组织风险管理为目标的风险导向审计转变，已成为一个亟须解决的问题。本文根据风险导向审计的基本原理，结合实际，对人民银行风险导向审计的应用模式进行了尝试性研究，希望能对风险导向审计在人民银行的应用和进一步探索提供参考。关键词：风险导向；审计模式；应用研究一、人民银行风险导向审计产生的背景随着2003年人民银行职能调整和

2、金融服务创新的不断深入，以及国际国内形势和经济金融形势的不断变化，特别是近年来经济金融宏观环境和微观基础发生的重大而复杂的变化，出现了很多新情况、新问题，人民银行已不可避免地要面对国际国内风险的相互转化、跨市场风险的相互传递、各类风险的相互交织的严峻局面。同时人民银行的工作也越来越引起社会各界的广泛关注，逐步成为了社会讨论甚至争论的焦点，使人民银行宏观决策和管理层面的风险日益凸现，加上内控制度的个别缺失和内部管理漏洞的客观存在，人民银行系统各类违规问题大量存在，违纪违法案件时有发生，人民银行开始主动积极地应对风险，着手搭建全面风险管理体系。总行出台了中国人民银行分支机构内部控制指引和业务操作风

3、险控制指南等。许多分支行在加强内部控制建设方面进行了卓有成效的探索，成立了风险管理委员会，对人民银行所面临的风险进行了系统识别、分析、评估和监控，建立了人民银行内部风险控制体系，制定了一系列风险防控措施，编制了业务流程风险控制指引，开发应用了风险管理信息系统，为人民银行引入风险导向审计奠定了基础。面对新形势，人民银行内审不仅要提高工作的针对性和有效性，而且要学会在国际、国内金融市场的大背景和大环境下识别人民银行的风险，从全局和战略高度上看人民银行的内部控制，加强对人民银行创新发展重大问题的前瞻性研究，在复杂的风险表象下预见和预警可能影响人民银行发展的重大风险问题和战略性问题，并循着重大风险的轨

4、迹，重点关注创新发展的关键环节和重大风险领域的控制情况。审计责任增强，审计风险增大。传统的审计理论与方法已不适应现代人民银行的发展和需求。因此，无论是从推动人民银行内审的自身发展需要，还是从促进人民银行全面风险管理和内部控制体系的完善角度，积极引入风险导向审计模式具有十分重要的现实意义。二、人民银行风险导向审计的定义人民银行风险导向审计是指内部审计人员在审计的全过程中自始至终都关注风险，并根据风险度选择项目，以降低风险为导向，进行内部控制制度的符合性测试、实质性测试，并进行监督检查和评价，提出建设性意见和建议的一种审计方法。三、风险导向模式下人民银行审计风险模型的构建与风险因素的评估风险导向审

5、计方法的重点是识别与控制风险。由于审计风险受到被审单位风险及其管理与控制水平的影响，要构建人民银行风险导向审计的应用模式，就必须先构建人民银行的审计风险模型。现代国际风险导向审计风险模型：审计风险=重大错报风险X检查风险。但此风险模型的设计是针对企业而构建的，与人民银行审计存在着巨大的差异性，我们不能照搬。如何制定出符合人民银行审计制度的审计风险模型，需要对风险导向下的人民银行审计中的“风险”进行重新界定，针对人民银行审计工作中特有的风险源构建自己的风险模型。（一）人民银行审计风险模型的构建构建人民银行审计风险模型的前提是分析给人民银行审计带来的风险源，主要包括审计客体风险、审计主体风险以及独

6、立性风险等。1、审计客体风险审计客体风险是被审单位和个人不如实、完整提供资料，致使审计人员作出不恰当评价，甚至错误结论而带来的风险。它比其他风险更具隐蔽性并且防范难度极大，审计客体风险客观存在。2、审计主体风险审计主体风险是人民银行内审部门和内审人员由于没有统一的审计标准、审计管理水平较低、审计计划不充分、审计技术方法使用不当、职业判断能力不足以及职业道德水准不高等原因而导致的审计失败。它包括缺位风险和审计处理风险。3、独立性风险审计独立性是指内审机构和内审人员在履行审计职责过程中，形式上和实质上都要独立于委托人，与被审单位没有任何利害关系，自始至终不受任何干涉，才能保证审计意见的客观公正。但

7、由于目前人民银行这种内部审计管理体制本身就存在缺陷，独立性不强，受干预程度较高，对审计结论的准确程度及可靠程度将产生重大影响，导致审计风险。根据以上分析以及参照国际审计和保证准则委员会(IAASB)指定的最新风险模型，我国人民银行的审计风险模型可构建为：审计风险=重大差异或缺陷风险X检查风险。(二)人民银行审计风险因素的评估风险导向审计中的“风险”不仅局限于传统意义上的审计风险，而且还包括人民银行的宏观决策风险、法律风险、技术风险、操作风险、声誉风险等在内的影响人民银行目标实现的各种风险。在风险导向审计模式下，这些因素都是确定审计项目及审计重点的依据。1、项目审计风险可接受水平的确定。项目审计

8、风险，一般可理解为项目审计结论与被审单位的实际情况不相符的可能性。项目审计风险的可接受水平是审计人员进行审计风险控制的目标，是确定实质性测试检查风险的出发点。结合被审单位外部环境和内部环境、以前年度接受审计的情况，以及管理者素质及其风险偏好和变动情况等因素，将可接受审计风险水平按高、中、低分类，分别定为5%、2.5%、1%。2、被审单位重大差异或缺陷风险的评估。重大差异或缺陷风险是指被审单位在日常业务处理与管理活动中出现弊端的可能性，它独立于审计而存在。可根据风险可能性、损失程度和控制程度等指标，从定性和定量两个角度对风险因素进行量化处理。根据“审计事项风险值=事件发生概率X控制程度X损失程度

9、”公式，计算出审计事项风险值（见表一至表四）。表一：风险事件发生概率描述词详细描述分值极可能预计大多数情况下会发生或现实中大量存在5很可能很可能会发生或现实中经常发生4可能在某种情况下可能发生或现实中发生过几次3不太可能在某种情况下能够发生，但可能性较小或现实中偶尔发生2罕见例外情况下发生或很多年发一次1表二：风险的控制程度描述词详细描述分值tWj风险内部控制设计不完善，或虽设计完善，但实际应用中差错发生率很高3中风险内部控制比较健全、合理，还存在一定缺陷，测试中发现一定程度的差错2低风险内部控制健全、合理，在测试中未发现任何差错或仅发现极少差错1表三：风险事件造成的损失程度描述词详细描述分值

10、高导致以下任意一种结果：违反法律、对人民银行声誉造成极大负面影响、业务运行或管理活动长时间瘫痪等3中导致以下任意一种结果：违反各类行政法规、对人民银行声誉造成较大负卸影响、业务运行或管理活动受较大影响2低导致以下任意一种结果：由于管理疏忽或操作不慎，引起工作质量和效率低下、不会直接造成不得影响1表四：审计事项风险值损失程度控制程度极可能很可能（4）可能（3）不太可能（2）罕见（1）高（3）局风险（3）453627189中(2)中风险（2）20161284低（1）低风险（1）54321从表四可以看出，审计事项分值分布在1-45分之间，现以9分为一档次，将风险划分为五个层次。45-36分为五级风险

11、，36（含36分）27分为四级风险，27（含27分）18分为三级风险，18（含18分）9分为二级风险，9（含9分）1分为一级风险。我们以反洗钱业务为例，建立风险清单模型（见表五），并在清单上列举出大部分情况下可能碰到的风险。表五：反洗钱业务风险模型清单风险点名称风险类型概率损失程度控制程度风险值风险等级对反洗钱政策、法规的把握和理解法律风险2高风险（3）高风险（3）18二级风险声誉风险2高风险（3）高风险（3）18二级风险未按有关规定进行现场检查、反洗钱调查、行政处罚、临时冻结等法律风险4高风险（3）高风险（3）36四级风险声誉风险4高风险（3）高风险（3）36四级风险操作风险4中风险（2）高

12、风险（3）24三级风险超越自己职权范围，影响部门之间的协调关系，造成协调机制运作不畅声誉风险4中风险（2）中风险（2）16二级风险效率风险4低风险（1）低风险（1）4一级风险向与反洗钱工作无关的单位或个人泄露反洗钱信息；涉密公文或数据不按规定登记，随意乱放；档案不按规定归档、保管、借阅、销毁，发生资料丢失、毁坏、泄密等事故法律风险2高风险（3）高风险（3）18二级风险声誉风险2高风险（3）高风险（3）18二级风险操作风险3高风险（3）高风险（3）27三级风险反洗钱业务管理系统故障，数据未及时备份；口令管理不符合规定，导致相关资料泄密信息技术风险3高风险（3）高风险（3）27三级风险声誉风险3高

13、风险（3）高风险（3）27三级风险操作风险4高风险（3）高风险（3）36四级风险非现场监管不力，对报效率风险4中风险（2）中风险（2）16二级风险表的审核不严格，引起反洗钱监测不到位操作风险4中风险（2）中风险（2）16二级风险部门印章未定专人保管，使用不够规范操作风险4中风险（2）高风险（3）24三级风险内部资料交接不规范，导致有关资料、资产丢失资产风险4中风险（2）中风险（2）16二级风险操作风险4低风险（1）低风险（1）4一级风险般情况下，风险级别越高，出现重大差异或缺陷风险的可能性就越大，产生审计风险的可能性也越大。我们根据全面评估结果，将产生审计风险的可能性按极可能、可能、不太可能三

14、档，可将存在四级和五级风险的部位确定为极可能产生审计风险的部位，在审计过程中应采取强有力的控制措施进行应对和防范；将存在二级和三级风险的部位确定为可能产生审计风险的部位，在审计过程中可根据具体情况采取不同措施对其控制，加强监测，并密切关注风险的动态发展；将存在一级风险的部位确定为不太可能产生审计风险的部位，作一般控制。同时将产生审计风险的可能性按极可能、可能、不太可能分别定为5%、2.5%、1%。3、确定检查风险，设计实质性测试的范围和程序。检查风险是指某一审计事项产生重大错漏或弊端，而未被实质性测试发现的可能性。它是能够通过审计主体自身的努力加以控制的风险。在可接受审计风险水平一定的情况下，

15、检查风险与重大差异或缺陷风险呈反向变动关系。审计人员可根据审计风险模型来确定实质性测试可以接受的检查风险水平。可供审计人员选用的实质性测试程序包括分析性复核和业务测试（见表六-表七）。表六：可接受检查风险水平值-风险可能性可接受审计风险水平极可能（5%）可能(2.5%)不太可能（1%）高水平（5%）125中等水平（2.5%）0.512.5低水平（1%）0.20.41从表六可以看出，可接受检查风险水平值分布在0.25之间，我们将可接受检查风险水平按高、中、低分类，分别定为5们将可接受检查风险水平按高、中、低分类，分别定为5、2 2.5、0.21表七：实质性测试检查风险水平与测试程序和范围的关系检

16、查风险水平实质性测试审计程序审计范围高水平（5）分析性复核为主较小样本5%10%、较少证据中等水平（2-2.5）分析性复核、业务测试样本适中20%30%、证据适中低水平（0.2-1）业务测试为主较大样本50%60%、较多证据四、推进风险导向审计在人民银行的运用1、强化风险导向审计理念，推进风险导向审计的运用风险导向审计是一种在审计实践中产生的，为适应现代社会的高风险环境，以风险评估为中心的审计模式，是以账项基础审计和制度基础审计为基础，在审计实践中不断发展和完善起来的，是现代审计的新思路，它代表现代审计发展的趋势，不仅仅是审计技术方法、审计程序上的变革，而是审计理念的更新。审计人员可以从风险源

17、分析入手，以风险源为导向，运用审计风险模型，结合被审单位所处的环境对审计风险进行分析并进行严密的逻辑推理，进而一步一步地推导和落实审计的范围和重点，确定相关的审计目标和审计程序，使审计人员实现了从被动地承受风险向主动地控制和降低审计风险的转变，不仅要提高对风险导向审计的认识，而且要系统掌握其理论与方法，使风险导向审计在央行得到广泛运用。2、运用风险导向审计理论，重视了解和测试，将审计风险减少到最小程度，实现防范风险的目的。一是要了解被审单位所处的内外部环境，从宏观上把握审计面临的风险。二是进行正确的评价，在评价内部控制有效的情况下，注重对例外项目进行详细审计。三是注重运用分析性程序，识别可能存

18、在的业务与管理风险，减少对接近预期值的各种业务测试。四是扩大审计证据的内涵，将了解被审单位及其环境获取的信息作为审计证据。五是通过了解测试和分析，对管理的有效性做出判断，对管理当局在相关管理模式和业务流程下的整体认定是否恰当进行判断，并对被审单位是否存在舞弊及业务与管理风险作出判断。3、运用风险导向审计能准确确定审计的重点和范围，提高审计效率，有效地降低审计风险。一是要对内部控制制度的健全性和有效性以及风险管理进行评审。对内部控制制度的健全性和有效性以及风险管理进行测评，促进人民银行完善内部控制机制，加强内部管理，防范业务与管理风险。二是对信息系统和金融创新情况进行实时监控。由于信息系统和金融

19、创新业务的内部控制相对较弱，相应的法规和制度建设滞后，容易成为新的风险点，应通过数据链接，运用预警软件进行分析，及时发现潜在的风险，迅速采取措施予以消除，促进人民银行的安全高效平稳运行。4、全面、动态地考虑风险因素，并将风险导向理念贯穿审计实施的全过程。风险导向审计是在分析评估被审单位风险的基础上，将风险导向理念贯穿审计的全过程，使风险管理与审计程序之间协调一致。一是在对风险因素进行分析评估的基础上，制定审计计划，确定审计项目。二是确定审计范围时，在全面了解被审单位基本情况的基础上，充分关注其特殊风险。三是编制审计方案时，应根据风险高低确定审计重点和审计重要性水平，合理分配审计资源。四是在审计

20、实施过程中，通过评价内部控制制度，查找其中的疏漏和薄弱环节。五是在选择检测、证实风险的技术与方法时，应该能够反映出风险的重大性与发生的可能性。六是在编制审计报告时，应对风险管理状况进行评价，指出风险管理中存在的漏洞和不足之处，提出加强管理的建议。七是以风险大小作为确定追踪审计范围的重要因素，风险越大，追踪审计的范围就越广。5、实现审计手段电子化，提高审计工作水平。随着央行业务处理与管理活动应用计算机程度的日益提高和审计技术的日新月异，加强审计信息化建设显得十分重要。首先是要在业务处理系统和管理信息系统中设置审计接口，使审计人员在对固有风险的评估时，能迅速有效地完成各项业务与管理活动信息的审阅、核对、分析、比较，及时获得必要的审计线索。其次是运用计算机技术，进行内部控制风险的评估，确定标准内控的模型，并经常调整、完善，以提高内部控制风险的评估效率及其准确性。