审计师增值服务

信息系统审计师就是在保持独立性和能力胜任的前提下，完成审计的目标也要求为IT的管理和业务目标实现增值服务的职位

内部审计在现代银行风险管理中的作用

随着金融体制改革的日益深化,建立科学的公司治理结构和风险管理体制成为摆在每个商业银行面前的重要课题,而内部审计作为一项独立、客观、公正的约束与评价机制,在现代银行风险管理中正发挥着越来越重要的作用,履行和发挥内部审计在风险管理中的职责与作用是现代商业银行转化经营机制、建立现代企业制度的客观需要,也是内部审计充分发挥和提升审计价值实现增值服务的重要途径。下面是我为大家带来的内部审计在现代银行风险管理中的作用的知识，欢迎阅读。

一、内部审计与银行风险管理的关系

风险是指发生对目标的实现可能产生影响的事件的不确定性。风险的衡量标准是后果与可能性。风险管理是指对影响组织目标实现的各种不确定性事件进行识别与评估,并采取应对措施将其影响控制在可接受范围内的过程。风险管理主要包括风险识别、风险评估、风险应对三个阶段。可见,风险管理是现代企业管理的一项主要内容,为了实现企业的工作目标,企业管理层应当确保企业中存在良好的银行风险管理(风控网)过程并使其发挥作用。

中国内审协会对内部审计的定义是:“内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现”,而“风险管理是组织内部控制的基本组成部分,内部审计人员对银行风险管理的审查和评价是内部控制审计的基本内容之一”,也就是说风险管理是内部审计的重要内容。

国际注册内审师协会对内部审计的描述是:“内部审计是一种独立、客观的保证工作与咨询活动,它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评价,提高它们的效率,从而帮助实现机构目标。”并且指出“内部审计应该就管理层的风险管理过程的充分性和有效性进行检查、评估、报告,并提出改进意见”。可见,国际先进内审理念已明确将银行风险管理作为内部审计的重要内容,现代内部审计的范围已从传统的财务审计扩大到风险管理和公司治理层次上,有效的风险管理机制和健全的公司治理结构已成为现代内部审计关注的重点。

在现代内部审计工作中,内部审计与风险管理有了明确的结合点——风险管理审计。风险管理审计是在帐项基础审计和制度基础审计基础上发展起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,运用一定的审计手段,分析、判断被审单位的风险所在及其风险程度,针对不同风险因素状况、程度采取相应的审计策略,加强对高风险点的实质性测试,将内部审计的剩余风险降低到可接受水平。2005年5月1日中国内审协会颁布了“内部审计具体准则第16号——风险管理审计”,银行风险管理审计作为先进的审计理念和审计内容正式步入我国内审领域。

因此,作为现代企业管理的重要内容,内部审计与风险管理的联系日趋紧密。内部审计本身就是企业管理的一种手段和方式,是内部管理的延伸;风险管理是企业管理的重要内容,同时也是现代内部审计的重要内容之一,内部审计负有识别和评估风险的责任。风险管理作为管理层一项关键责任,企业管理层对其负有不可推卸的责任;内部审计师则有职责定期评价并协助其他部门进行风险管理,在改善管理层的银行风险管理流程效果和效率方面进行检查、评价、报告和提出审计建议,帮助识别、评价和实施风险管理方法和控制。内部审计和风险管理在企业中的目标是一致的,都是为了实现企业的组织目标。

二、内部审计在现代银行风险管理中的作用

在银行风险管理审计中,风险管理成为组织中的关键流程,分析、确认、揭示关键性的风险,成为内部审计的主要职责。

(一).内部审计将风险管理纳入审计范畴,有助于实现企业全面工作和总体目标的实现。

现代企业面临的经营环境日趋复杂,风险日益增大,减少面临的风险是企业实现价值最大化目标的关键。内部审计采取系统化、规范化的方法促进建立风险管理过程,通过内控制度的评价,对公司经营活动进行风险识别和评价,改进银行风险管理与控制体系,提请管理层关注风险,从而完善企业管理,转化负面风险,提升企业竞争能力和应变能力,最终实现企业目标。

对企业而言,对风险识别、防范和控制需要从全局考虑,而企业本身是多个部门的集合,各业务部门很难做到这一点。内部审计在企业中具有相对独立的地位,决定其能站在全局的高度相对超脱地获得企业内部控制、经营管理活动及银行风险管理等方面的信息,向管理层提供创造性思维,提出科学合理的建议,避免风险带来的损失。

所以无论是从全局工作还是实现总体目标的角度来看,内部审计都有职责融入风险管理。内部审计将风险管理纳入审计范畴,对实现企业全面工作和总体目标将发挥及大的作用。

(二).内部审计的相对独立和与企业一体性的独特地位,决定了其对企业风险的揭示更准确更有效。

从企业内部看,现代企业建立了各级风险管理组织层次,包括风险控制委员会、内部审计部门、专职风险监管部门。但风险监管部门往往做为一个职能部门隶属于各级管理层,不具有独立性,其意见有时会屈服于管理当局的压力,这使得风险管理部门的作用受到限制。在现代企业中,内部审计部门独立于管理部门,在现代企业公司治理构架中,内部审计往往隶属于董事会或审计委员会,直接向董事会负责,其风险评估的意见可以直接报送给董事会,提出的意见与建议更具权威性。

从企业外部看,外部审计从独立、客观的角度对企业的财务报表进行审计和对企业的内部控制进行复核,经常能提供一些有用的信息影响到银行风险管理。但他们更多地围绕企业会计报表的合法、公允、一贯性开展工作,对企业管理环境和运作过程不十分熟悉,决定其提供的风险管理服务不能做到贴近内部管理,不能对银行风险管理的有效性负责。而内部审计部门对企业面临的风险更了解,在风险管理方面拥有外部审计师无可比拟的优势。他们以风险发生可能性大小为依据,深入经营管理过程和行为,在业务经营、财务管理、费用控制等各方面查找并防范风险,通过内部视角,敏锐观察经营过程中不断变化的风险因素,快速传递管理中存在的缺陷或失败,促使董事会和高级管理层做出快速反应,及时采取措施,防范和纠正不当行为。

(三).风险因素始终贯穿于内部审计的整个审计程序,使内部审计成为风险控制程序的重要补充。

内部审计人员应用现代风险导向审计模式,从整体上把握审计风险因素,合理整合审计资源,警惕可能影响目标、运营和资源的重大风险,最大限度地减少审计风险。在审计计划、审计实施、审计报告阶段,将风险作为重要考虑因素,在整个审计过程贯穿对风险的关注,充分考虑风险管理的充分性和有效性。具体讲,在审计计划阶段,内部审计应该考虑企业活动存在的风险,在评估风险优先次序的基础上安排审计工作,按照风险大小分配审计资源;在审计实施阶段中,审计通过检查、评价风险管理过程的充分性和有效性,发现风险控制的漏洞和薄弱环节;在审计报告阶段,对风险管理状况进行评价,对银行风险管理中存在的漏洞和不足提出改进建议,协助确定、评价并实施针对风险管理的方法和控制措施。

三、内部审计如何参与现代银行风险管理

内部审计可以从风险识别、风险评估、风险应对三个阶段参与银行风险管理,通过审查和评价企业风险识别、风险评估、风险应对的充分性、适当性、有效性,来识别、报告潜在重大风险,提出应对措施,同时通过落实审计建议督促企业采取有效的风险控制措施。

(一).审查和评价企业风险识别的充分性和适当性。

风险识别是管理层的职责,主要是根据企业的组织目标、战略规划等识别企业所面临的各类内、外部风险。是对企业所面临的、以及潜在的各类内、外部风险加以判断、归类和鉴定风险性质的过程,实质上就是对风险进行定性研究。

内部审计人员通过实施必要的审计程序,对企业风险识别过程进行审查与评价,重点关注企业面临的内、外部风险是否已得到充分、适当的确认。外部风险是指外部环境中对组织目标的实现产生影响的不确定性,其主要来源于国家法律法规及政策的变化、经济环境的变化、科技的快速发展、行业竞争、资源及市场变化、自然灾害及意外损失等。内部风险是指内部环境中对组织目标的实现产生影响的不确定性,其主要来源于组织治理结构的缺陷、组织经营活动的特点、组织资产的性质以及资产管理的局限性、组织信息系统的故障或中断、组织人员的道德品质、业务素质未达到要求等。内部审计部门要关注企业已识别风险的完整性,即企业所面临的主要风险是否均已被识别出来,并找出未被识别的.主要风险。这就需要内部审计人员也要对企业的风险进行有效识别,从而审查和评价企业对风险识别的充分性和适当性。内部审计熟悉公司的经营管理过程,以风险敏感性分析为起点开展工作,有效识别风险,从潜在的事件及其产生的原因和后果来检查风险,收集、整理可能的风险,并充分征求各方意见以形成风险列表。内部审计通常要关注的主要风险有:财务和经营信息不足而导致决策错误;资产流失,资源浪费和无效使用;顾客不满意,企业信誉受损等。

(二).审查和评价企业风险评估的适当性和有效性。

风险评估是对已识别的风险,评估其发生的可能性及影响程度。风险评估主要应用各种管理科学技术,采用定性与定量相结合的方式,找出主要的风险源,并评价风险的可能影响,最终定量估计风险大小。风险评估的目的是确定每个风险要素的影响大小,一般是对已经识别出来的风险进行量化估计,从风险发生的可能性和影响两方面对风险进行评估,通过公式:风险值=风险概率×风险影响,计算出风险值。

内部审计部门在审查和评价企业风险评估时要重点关注风险发生的可能性及风险对组织目标的实现产生影响的严重程度。为了更好地审查和评估企业的风险评估,内部审计人员应当充分了解和掌握风险评估的方法,风险评估可以采用定性或定量的方法进行:定性方法,是指运用定性术语评估并描述风险发生的可能性及其影响程度;定量方法,是指运用数量方法评估并描述风险发生的可能性及其影响程度。内部审计部门和内部审计师要对已有的风险的评估结果进行再检验,以确定其是否恰当,对不恰当的评估予以更正。风险分析中,审计师不仅要关注风险的数量方面,还要关注风险的属性方面或其承载价值的后果。同时,内部审计人员应当对管理层所采用的风险评估方法进行审查,以评价风险评估方法的适当性和有效性,审查时重点考虑以下因素:已识别的风险的特征、相关历史数据的充分性与可靠性、管理层进行风险评估的技术能力、成本效益的考核与衡量及其他因素。内部审计人员在评价风险评估方法的适当性和有效性时,应当遵循以下原则:定性方法的采用需要充分考虑相关部门或人员的意见,以提高评估结果的客观性;在风险难以量化、定量评价所需数据难以获取时,一般应采用定性方法;定量方法一般情况下会比定性方法提供更为客观的评估结果。

(三).审查和评估风险应对措施的适当性和有效性。

风险应对是采取应对措施,将风险控制在组织可接受的范围内。完成了风险评估后,确定存在的风险以及它们发生的可能性,排列出风险的优先级,就可以根据风险性质和承受能力制定相应的防范措施。根据风险评估结果作出的风险应对措施主要包括以下几个方面:一是回避,是指采取措施避免进行可产生风险的活动;二是接受,是指由于风险已在组织可接受的范围内,因而可以不采取任何措施;三是降低,是指采取适当措施将风险降低到组织可接受的范围内;四是分担,是指采取措施将风险转移给其他组织或保险机构。

内部审计人员在评价风险应对措施的适当性和有效性时,应当考虑以下因素:一是采取风险应对措施之后的剩余风险水平是否在组织可以接受的范围之内;二是采取的风险应对措施是否适合本组织的经营、管理特点;三是成本效益的考核与衡量。内部审计人员对有关部门针对风险所采取的防范措施进行审查,对于风险缺乏充分的控制措施的情况,内部审计部门和内部审计人员应提出改进措施和建议,协助完善风险反应方案,以强化企业的风险防范管理,降低风险损失。

(四).充分利用高科技手段对风险进行持续、动态的监控。

企业风险并非一成不变,随着时间的推移,风险有可能会增大或者减小。因此,需要时刻监控风险的发展与变化情况,并确定随着某些因素的出现或消失而带来的新的风险。风险监控包括两个层面的工作:其一是跟踪已识别风险的发展变化情况,关注风险产生的条件和导致的后果变化,衡量风险减缓计划需求。其二是根据风险的变化情况及时调整风险应对措施,并对已发生的风险及其遗留风险和新增风险及时识别、分析,并采取适当的应对措施。对于已发生过和已解决的风险也应及时从风险监控列表调整出去。随着现代化科技技术在内部审计部门的广泛应用,非现场审计正在成为审计工作的重要手段,特别是商业银行电子化、网络化发展迅速,数据集中程度较高,基本形成了以计算机网络为中心的业务处理系统,在业务处理系统和银行风险管理信息系统中设置审计接口,建立各项业务数据资料库,使内部审计部门适时开展动态的日常非现场监测成为可能。审计人员可以通过数据接口适时对各业务开展动态的非现场审计监测,获得审计线索;同时,通过利用先进的计算机工具和软件程序,可以扩大抽样范围、提高分析速度和评估的准确率,从而极大地提高审计监测履盖面和监测效率。

一、应肯定商业银行内部审计的增值功能

商业银行内部审计是否有增值功能，即能否对提高银行的经济效益发挥作用，对此在国外的认识是比较明确的。如，国际内部审计师协会(IIA)颁布的《内部市计实务标准》指出：“内部审计是一种独立、客观的保证工作和咨询活动，它的目的是为机构增加价值并提高机构的运作效率”，明确提出了内部审计的增值功能。另如，2004年10月，美国反对虚假财务报告委员会的发起组织委员会在其《企业风险管理框架》中提到，内部审计可以通过审查内部控制系统和风险管理过程以及为建立和完善内部控制系统和风险分散战略提供建议，从而为组织增值。但在我国，对内部审计的增值功能一直没有给予足够的重视，甚至有人否定其增值功能的存在。如安达信、安永、毕马威等咨询机构认为，内部审计是商业银行的一个成本中心，不能为其增加价值。尽管银行内部审计活动并不直接参与银行的经营活动和管理活动，具有相对独立性，但是它对银行经营管理的监督、保证和咨询功能，对提高银行的经济效益是不可缺少和十分重要的。因此，必须充分认识和肯定商业银行内部审计的增值功能，并积极利发利用，以推动我国商业银行内部审计的发展。

二、商业银行内部审计增值功能的开发利用

(一)在商业银行公司治理中提供增值服务

1、评价治理环境。好的治理环境为商业银行的公司治理提供了文化、结构和政策基础，直接关系到治理的效率。内部审计通过评价总体治理结构和政策、评价治理道德、评价市计委员会的活动、评价风险管理结构与政策、评价内部审计的组织与结构等措施，以达到优化公司治理环境的目的。

2、评价治理过程。治理过程是支持治理环境的具体活动，内部审计参与公司治理的具体措施是：评价舞弊控制和沟通过程、评价薪酬政策及其相关过程、评价财务治理过程、评价与战略规划和决策相关的治理活动、评价治理业绩的计量。

3、评价治理程序。治理程序是关系到治理过程效率的至关重要的步骤和实践，它是利用评价内外部治理报告程序、评价提升和追踪治理问题的程序、评价治理的改变和学习程序、评价支持治理的软件和技术等手段来达到优化治理程序的目的。

(二)在商业银行风险管理中提供增值服务

国外最新研究认为，内部审计在风险管理中的作用是商业银行内部审计增值功能的新内容。在商业银行的风险管理中，内部审计可通过提供鉴证和咨询服务来增加组织的价值，主要体现在两个方面：一方面，内部审计师可通过评价风险管理过程、评价关键风险的报告、检查关键风险的管理等措施，就公司风险管理活动的效率向董事会提供客观的建议，促使关键的经营风险得到恰当的管理，确保企业的内部控制系统得以有效运行;另一方面，内部审计师可以通过为风险的鉴别和评价提供便利、指导制定应对的风险管理措施、协调企业风险管理活动、强化对风险的报告、维持和开发适合银行的企业风险管理框架、协调制定有待董事会批准的风险管理战略措施等，更好地为风险管理提供咨询服务。

比如，在美国花旗银行、美洲银行、纽约银行和国际城市银行，其内部审计对风险管理的审查主要集中在战略风险、网络风险、政治风险、信用风险、市场风险、操作风险、道德风险、法律风险等方面。近年来，美国通用汽车公司也以“参与风险管理，提供独立评价和建议”为内部审计重新定位，并写进了公司内部审计章程。

我国商业银行内部审计部门可以借鉴国外经验，将其参与风险管理明确写人内部审计章程，以有利于在风险管理过程中提供独立的评价和建议，有效发挥内部审计对于风险的控制作用，提高风险管理的效率和效果。但是，为确保内部审计的独立性和客观性不受损害，内部审计师要注意不能设置风险偏好和对风险管理过程施加影响，不能代为决定风险应对措施，也不能按管理者的意图执行风险应对措施和承担风险管理的责任。

(三)在商业银行遵循管理方面提供增值服务

所谓遵循管理，指的是在各部门及雇员遵守法律法规、银行发展战略以及内部规章制度方面的管理。合规性、遵循性审计是内部审计的传统职能，在这里无需赘述，需要强调的是内部审计在保证商业银行按所设定的目标经营，确保遵守银行内部的政策和程序，忠实于对利益相关者的承诺等方面具有效率评价和持续监测作用。

我们必须认识到，内部审计在公司治理、风险管理和遵循管理中提供的增值服务，具有内在的统一性。风险管理的`实施要以遵从和遵守为基础，良好的遵从、遵守可帮助风险管理的实施;公司治理围绕着风险管理和遵从、遵守而展开。把这三者进行有效的整合将为商业银行内部审计充分发挥增值功能、实现增值目标提供更大的空间。而内部审计通过深入参与商业银行的公司治理、风险管理和遵循管理，可以达到促进完善商业银行的内部控制和风险管理，持续支持和保障组织整体价值提高的目标，也在这个过程中完成了内部审计自身价值的提升。

三、我国商业银行内部审计实现增值服务的基础工作

对于我国商业银行，关于内部审计增值功能的认识和开发仍然不够，因而也未能充分发挥出商业银行内部审计的巨大潜在价值，需要重新定位内部审计与公司治理、风险管理和遵循管理三者的关系，切实保证内审工作成为银行整体价值提升的持续支持和保障。在现阶段，可从以下三个方面来努力：

1、树立学习型内部审计工作观念。为了与本行发展战略保持一致，真正使内审工作参与到公司治理、风险管理与遵循管理环节中来，树立全新的以增加组织整体价值为目标的审计价值取向，内部审计人员需要不断学习，树立学习型内部审计工作观念。这种学习不仅是单纯的业务技能的学习，而且包括审计理念、思维方式的锻炼与学习。商业银行的风险由于其自身内外部环境的特殊性而充满了不确定性因素，所谓风险管理就是人们对不确定性因素的认识和掌控，是对风险管理人员思维模式的测试和挑战。内部审计人员想要成为风险管理和内部控制方面的专家，就需要具有创造性的思维模式，需要不断学习来弥补自身的不足，而且这种学习应是随着银行管理活动的发展而不断发展的。目前国内专家学者对于商业银行内部审计增值功能的研究还极不成熟，尤其缺乏实证研究，迫切需要商业银行内市从业人员运用实证研究的方法，对内部审计增值功能的研究做到理论联系实际，使理论研究对我国商业银行内部审计的建设起到指导作用，将相关研究向纵深方向拓展。建立学习型的内审机构，树立学习型的内审工作观念，对于推动理论研究、指导现实工作具有不可忽视的重要意义。

2、科学选择审计范围。根据巴塞尔银行监管委员会的要求，结合我国商业银行实际，内部审计工作在未来一段时间内应注重拓展以下内容和范围。一是在财务审计的基础上，内部审计应重点向下列领域拓展：内部控制审计、管理(经营)市计、经济责任审计、合同(合约)审计、环境内部审计、风险管理审计、战略管理审计、管理舞弊审计。内部审计师还要对风险和控制情况能否在机构内有效地进行交流与沟通做出评价。二是加强对金融创新业务的审计，包括一些新型金融工具、金融衍生品、电子银行产品等等。在对创新业务的审计中应明确，防范操作风险在相当长的一段时间内依然是内部审计监督的基本目标，要通过审计寻求防范操作风险和促进金融创新的平衡点。三是注重将业务经营检查与财务收支审计相结合，从银行业务经营环节中发现风险控制的薄弱环节，确保审计质量。四是加强对混业经营业务的审计。商业银行的混业经营发展趋势必将扩大审计对象的范围，要求内部审计将证券、保险、信托业务等逐渐纳入商业银行常规审计范围。

3、实施内部审计质量保证、评价与改进制度。在执业过程中，内部审计机构在执业过程中存在着严重的角色冲突，它既服务于管理者，又服务于被管理者;既直接服务于控制体系，又是控制效率的检查者。因此，实施银行内部审计的质量保证、评价与改进制度是非常有必要的。只有如此，才能保证内部审计机构作为监督鉴证者、评价咨询者的工作质量不断提高。同时，内审工作的质量保证、评价与改进应当在切实可行的范围内，独立于其审计工作职能，内容应当充分详尽，涵盖内部审计活动的方方面面，并持续不断地监督其有效性。其实施方法应当包括适当的监督、定期的内部评价和持续的质量保证监督、定期的外部评价等。