（会计学专业论文）我国银行内部审计与风险管理研究.pdf

中文摘要 摘要：银行风险是在银行的经营过程中，由于不确定性因素的影响，使银行 的实际收益偏离预期收益，从而蒙受经济损失或获得额外收益的可能性。近年来， 随着我国社会经济的发展，特别是加入w t o 后我国银行业全面向外资开放，银行 风险管理愈来愈受到理论和实务界的关注。目前，我国银行内部审计正由传统的 查错防弊审计向现代风险导向审计发展，内部审计正成为风险管理的重要组成部 分之一。如何发挥内部审计在银行风险管理中的作用，是我国银行管理中十分重 要的问题，值得我们探讨。 本文分析了我国银行内部审计与风险管理的现状，从两者的关系出发讨论我 国银行内部审计参与风险管理的必然性与可行性，提出在银行内部审计中开展风 险管理审计以参与银行风险管理的观点，在阐述了风险管理审计的内涵、实施意 义及必要条件后依据c o s o 的企业风险管理框架的思路完整地论述了风险管理审 计在我国银行的具体实施程序。最后，对我国银行开展风险管理审计提出了建议。 我国银行内部审计参与风险管理是必然且可行的，我国银行内部审计应当顺 应自身发展要求，通过风险管理审计积极地参与到风险管理工作当中，实现为组 织增值的目标。 关键词：风险管理审计；银行；内部审计；风险管理 分类号： j 丝立交煎太堂亟堂僮i 金塞 一一 旦墨! b 至 a bs t r a c t a b s t r a c t ：c o m m e r c i a lb a n kr i s ki st h ep o s s i b i l i t i e so fg e t t i n go rl o s i n gp r o f i t w h e nt h ea c t u a lr e v e n u ed e v i a t e si n t ot h ee x p e c t e dr e v e n u eu n d e rt h ei n f l u e n c eo f i n d e t e r m i n a t i o nf a c t o r si nt h ec o m m e r c i a lb a n kc o n d u c t i o np r o c e s s r e c e n t l ya l o n g w i t hc h i n a ss o c i a le c o n o m i cd e v e l o p m e n t ，e s p e c i a l l yw i t ht h ed o m e s t i cb a n k s c o m p r e h e n s i v eo p e nt of o r e i g nc a p i t a la f t e rc h i n a sw t oe n t r y , r i s km a n a g e m e n to f b a n ki so fc a t h o l i cc o n c e r l lb yt h e o r ya n dp r a c t i c ec i r c l e s n o w a d a y si n t e r n a la u d i to f b a n k i n gi no u rc o u n t r yi ss w i t c h i n gf r o mt h et r a d i t i o n a lm o d ew h i c ht a k i n gf r a u d p r e v e n t i o na si t st a r g e tt or i s k - o r i e n t e dm o d e t h ew a yb yw h i c ht h ei n t e r n a la u d i to f b a n k i n gc a nj o i nt h em o v e m e n to fr i s km a n a g e m e n ti so fi m p o r t a n c et ob a n k i n g m a n a g e m e n to f c h i n aa n di sw o r t h d i s c u s s i n g t h i sp a p e ri n t r o d u c e st h ep r e s e n ts t a t eo fi n t e r n a la u d i ta n dr i s km a n a g e m e n to f c h i n e s eb a n k i n g , d i s c u s s e st h ei n e v i t a b i l i t ya n df e a s i b i l i t yo fe n t r yf o ri n t e r n a la u d i tt o r i s km a n a g e m e n ta c c o r d i n gt ot h e i rr e l a t i o n s h i p ，a n dp u t sf o r w a r dt h es t a n d p o i n tt h a t i n t e r n a la u d i to fb a n kc o u l dd e v d o pr i s km a n a g e m e n t - b a s e da u d i tt ot a k ep a r ti nt h ej o b o fr i s km a n a g e m e n t a n da f t e rt h ea n a l y s i so ft h ec o n n o t a t i o n ，t h es i g n i f i c a n c ea n dt h e n e c e s s a r yc o n d i t i o no fr i s km a n a g e m e n t - b a s e da u d i t ，t h ep a p e rd e s i g n saw h o l e i m p l e m e n t a t i o np r o c e d u r ef o rt h eu s eo fi ti nb a n k b e s i d e s ，i tp r o v i d e sk i n do fa d v i c e o nt h eu s eo f r i s km a n a g e m e n t - b a s e da u d i tt ob a n ko f c h i n a i naw o r d ，i ti sn e c e s s a r ya n df e a s i b l ef o ri n t e r n a la u d i to f b a n kt op a r t i c i p a t ei n r i s km a n a g e m e n t a n do nt h ep u r p o s eo fv a l u e a d d i n g ，t h ei n t e r n a la u d i to fb a n ko f c h i n as h o u l dt a k ep a r ti nt h ew o r ko fr i s km a n a g e m e n tb ya p p l i c a t i o no fr i s k m a n a g e m e n t - b a s e da u d i t k e y w o r d s ：r i s km a n a g e m e n t b a s e di n t e r n a la u d i t ；c o m m e r c i a lb a n k s ；i n t e r n a l a u d i t ；r i s km a n a g e m e n t ； c l a s s n o ： 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：导师签名：文砌待 签字同期：粥年b 月二日 签字同期：, 4 4 年莎月12 日 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 学位论文作者签名：歹曼孱丧签字日期：争喇年多月二日 致谢 光阴茬再，两年时间转瞬而过。回首往事，不由得感慨万千，既有对母校和 师友的留恋，也有对未来的向往和期待，更多的是对两年来苦心培育我的老师们 深深的敬重和感激。 首先要感谢的是我的导师文海涛副教授。从论文选题、开题、结构完善到文 字锤炼，都是在文海涛老师的悉心指导下完成的。两年来，文老师严谨的治学风 范、深厚的理论修养、对知识孜孜以求的为学态度和兢兢业业的敬业精神，令我 受益匪浅、终身难忘。 真诚地感谢丁慧平老师、高莹老师、孙贺捷老师、周绍妮老师，在开题及论 文答辩的过程中，他们的指导和建议对本文的写作有极大的帮助。同时，也要感 谢所有指导和关心过我的老师和同学们。正是有了他们的教诲和帮助，我的研究 生学习生活和论文的写作才得以顺利的进行。 在撰写论文期间，许友清、王燕、陈换新等同学对我论文中的部分研究工作 给予了热情帮助，在此向她们表达我的感激之情。 另外也感谢我的父母，他们的理解和支持使我能够在学校专心完成我的学业。 l 引言 1 1 研究背景 银行是我国金融业的主体，它维系着国民经济的命脉和经济安全，在我国经 济建设和社会发展中具有举足轻重的作用。由于经营对象、交易特征、机构分布 及社会影响等特殊性，银行也是风险聚集性很强的一类特殊企业。虽然近年来进 行的经济金融体制改革已初见成效，我国银行业仍存在许多突出问题，如不良贷 款率高、资本充足率低等。这些问题如果不能及时解决，将严重阻碍我国银行的 稳健发展。而这些突出问题多与银行风险管理能力较弱有关。从国际银行业发展 的主流来看，风险管理能力越来越成为银行业的核心竞争力。与国际同行相比， 我国银行业在风险管理方面存在着较大的差距。因此，在经济全球化及2 0 0 6 年国 内银行业市场逐渐开放的背景下，银行的风险管理问题越来越被重视。我国银行 业以及内部审计监管部门为此出台了一系列的文件和指引，从内部审计的视角来 关注风险管理问题。2 0 0 6 年6 月，中国银行业监督管理委员会发布了银行业金 融机构内部审计指引，并且规定内部审计部门应在年度风险评估的基础上确定审 计重点，对每一营业机构的风险评估每年至少一次。2 0 0 5 年5 月，中国内部审计 协会( c 认) 发布了第1 6 号“具体准则风险管理审计”，提出内部审计人员可 以从企业整体和职能部门层面上对风险管理进行审查和评价。原国家审计局局长 李金华提出要突出内部审计在公司运营中的地位和作用，定期对公司的风险管理 过程进行评价和报告，增强风险意识，以保证各项风险管理措施不会出现“说的 时候重要，做的时候次要，忙的时候不要 情况的发生。由于内部审计人员比较 熟悉企业的生产、经营管理等活动，容易发现问题，所以企业内部审计有能力参 与企业的风险管理。 随着银行业风险日益加剧，我国银行的内部审计与风险管理问题成为各界关 注的重要问题。尽管银行监管部门的监管、存款保险制度、社会监督以及行业自 律等均是防范银行风险的有效手段，但是，除了上述外部监管的途径外，银行风 险的防范还需要内部审计风险管理效能的发挥。因此，本文将对我国银行内部审 计如何实现风险管理职能这一问题进行分析和探讨。 1 2 文献综述 对银行内部审计和风险管理的研究，总体上是由国外先进的大银行、监管机 构、咨询公司和学术界主导的，我国的研究则基本属于对国外研究成果、实践经 验的介绍和阐述。其中涉及我国银行内部审计风险管理职能的研究，主要分为两 部分，一部分是关于内部审计职能演进的研究，一部分是关于内部审计风险管理 职能发挥的研究，本节分别对这几个方面进行介绍。 1 2 1 有关内部审计职能演进的研究 内部审计的职能并非一成不变，而是随着社会的发展、经济管理的发展而不 断的发展变化。内部审计的职能是由内部审计自身的条件和所处的外部环境所决 定的。在有关此问题的研究中，诸学者分别从不同的视角，考察内部审计职能的 发展变化。 王光远( 2 0 0 3 ) 年从2 0 世纪国际内部审计协会( i i a ) 的研究历程，总结内部 审计职能近百年来的发展变化。2 0 世纪，内部审计经历了从传统财务审计到现代 管理审计的发展。传统上，内部审计侧重于包括揭露错误和舞弊行为在内的财务 会计事项的审计，属于消极的防弊功能；随着时代的变迁，政治、经济环境的改 变，内部审计已由狭义的财务审计逐步扩展为包括财务事项和非财务事项在内的 管理审计。内部审计除具有传统的防弊功能外，更具有积极的兴利功能；而在高 科技、网络、电子商务的新经济时代，内部审计发生了重大的变革，扩展为融风 险管理、公司治理和内部控制审查于一体的综合管理审计，实现价值增值的新功 能。 郭胜利( 2 0 0 4 ) 和边琪( 2 0 0 6 ) 从国际内部审计协会( i 队) 对内部审计的七 次定义的变化，来考察内部审计职能的发展变化。1 9 4 7 年，i i a 第一次将内部审计 定义为：“内部审计是建立在审查财务、会计和其他经营活动基础上的独立评价活 动。它为管理提供保护性和建设性服务，处理财务与会计问题，有时也涉及经营 管理中的问题。从这个定义可以看出，内部审计的主要职能是监督和评价，但范 围很窄，仅限于财务会计和其他经营活动。1 9 7 1 年，i i a 第三次将内部审计定义为： “内部审计是建立在审查经营活动基础上的独立评价活动，并为管理提供服务， 是一种衡量、评价其它控制有效性的管理控制。 这预示着内部审计由会计与财务 审计向经营审计迈进，并且表明内部审计评价的范围扩展到发生在组织内部的、 应由内部审计评价的所有经营活动。1 9 7 8 年，i i a 第四次将内部审计定义为：“内 2 部审计是建立在以审查、评价组织为基础的独立评价活动，并为组织提供服务。 这次定义将为管理服务改为为经营服务，把内部审计服务的范围扩大，其服务职 能得到扩展。1 9 9 9 年，i i a 第七次将内部审计定义为：“内部审计是一种独立、客 观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率。它通 过系统化和规范化的方法，评价和改进风险管理、控制和治理过程的效果，帮助 组织实现其目标。 这次定义突出了内部审计的增值功能，内部审计的职能不仅是 监督和评价，更重要的是为组织增加价值。从内部审计定义的变化可以看出：内 部审计逐步由财务控制扩展到为组织增加价值；从监督者变为控制者；从强调独 立发展到注重价值。 杨臻( 2 0 0 4 ) 从受托责任考察内部审计职能的演进。他指出，受托责任关系 的发展导致了内部审计职能的历史演进，从最初财务审计范畴的查错揭弊，到以 内部控制制度为主要对象的“制度基础审计”，再到客观评价基础上的科学预测并 为组织增加价值。内部审计机构首先是由资产所有者授权委托的，其次受托于经 营管理者。受托于资产所有者，是要内部审计机构通过监督保证资产的完整与增 值；受托于经营管理者，是要内部审计机构通过控制服务于企业的经营管理。两 者的有机结合，就形成了现代西方内部审计的既发挥监督控制，又发挥评价、参 与管理服务的多重职能的新格局。 1 2 2 国内外关于内部审计在风险管理中的运用的研究 国外研究认为，内部审计在企业风险管理中的作用是内部审计增值功能的新 内容。他们在这方面的研究是以c o s o 的企业风险管理框架为依据的。国外 学者关于内部审计参与风险管理比较有代表性的观点是：在企业风险管理中，内 部审计可通过提供鉴证和咨询服务来增加组织的价值，主要体现在两个方面：一 方面，内部审计师可通过评价风险管理过程、评价关键风险的报告、检查关键风 险的管理等措施，就公司风险管理活动的效率向董事会提供客观的建议，促使关 键的经营风险得到恰当的管理，确保企业的内部控制系统得以有效地运行：另一 方面，内部审计师可以通过为风险的鉴别和评价提供便利、指导制定应对的风险 措施、协调企业风险管理活动、强化对风险的报告、维持和开发适合企业的企业 风险管理框架、协调制定有待董事会批准的风险管理战略措施等，以更好地为企 业风险管理提供咨询服务。但是，为确保内部审计的独立性和客观性不受损害， 内部审计师不能设置风险偏好和对风险管理过程施加影响，不能代行决定风险应 对措施，也不能按管理者的意图执行风险应对措施和承担风险管理的责任。 公司治理、风险管理和对法律法规、公司发展战略以及公司内部规章制度的 3 遵守具有内在的统一性。因此，国外的相关研究已提出将这三者( 公司治理 c o r p o r a t eg o v e r n a n c e 、风险管理鼬s km a n a g e m e n t 、内部控制i n t e r n a lc o n t r 0 1 ) 进 行整合，即g r c 的整合。g r c 的整合是以扩展的企业价值链和道德文化为背景来 展开的，公司治理包括设定目标、政策、风险偏好以及责任、监控业绩等。风险 管理即鉴别与评估可能影响到目标实现的风险，并决定风险应对战略和控制活动。 遵守主要是按所设定的目标经营，确保遵守法律法规、公司内部的政策和程序， 忠实于对利益相关者的承诺。风险管理的实施要以遵从和遵守为基础，良好的内 部控制可帮助风险管理的实施；公司治理围绕着风险管理和内部控制而展开。将 g r c 活动进行有效的整合为内部审计充分发挥增值功能、实现增值目标提供了更 大的空间。 国内关于内部审计与风险管理的研究侧重于内部审计在企业风险管理中的咨 询和鉴证功能，即内部审计部门所进行的风险管理是对风险管理部门或过程所进 行的风险管理的再监督，是对公司风险管理所建立的风险管理系统的评价，包括 评估该系统预知和识别风险的能力、评估该系统对已确认风险的防范和控制所提 出的建议的适当性、评价风险控制程序的有效性等。但是，与国外研究相比，我 国对这方面的研究还缺乏对具体措施的深入探讨。我国关于内部审计参与风险管 理以实现增值功能的研究由于受企业内部审计实践不足的影响，研究内容多数仅 停留在概念层面上，结合我国实际来研究内部审计增值功能的文章较少，研究方 法上实证研究比较缺乏，将相关研究建立在调查分析基础之上的几乎为零。 1 3 研究方法与思路框架 1 3 1 研究方法 本文主要采用传统的规范研究方法，根据理论与实践、借鉴与创新相结合的 原则，结合我国银行的实际情况，对风险管理及内部审计的理论以及内部审计在 风险管理中的实践进行深入的研究。拟采用的研究方法主要是： ( 1 ) 系统分析法 银行的内部审计都是十分复杂的庞大的系统。而在将内部审计应用到风险管 理体系中也是一项复杂的设计。两者均涉及到诸多方面与诸多层次的因素。采用 系统分析思路及有关方法，才能层层理清银行风险管理与内部审计之间互动关系， 以寻求内部审计在我国银行风险管理中应用的措施。 ( 2 ) 历史分析法 对银行风险管理及内部审计理论和现状的研究离不开其历史轨迹。通过对其 4 历史发展进行研究，可以更清楚地去认识内部审计与风险管理相互交叉的共同领 域。运用历史分析法，对内部审计在风险管理中应用的情况进行全面地、动态地 研究，有助于更准确更深入挖掘课题研究的深度。 ( 3 ) 比较研究法 在研究风险管理内部审计的内涵时，本文采用了比较研究法。通过与内部控 制审计内涵的对比，详细分析并梳理了风险管理审计的职能定位、对象内容、审 计方法等情况。为下一步对银行内部审计参与风险管理的研究提供了理论基础。 1 3 2 研究思路 第一部分为全文的引言，主要介绍本文的研究背景、研究方法、思路框架， 以及对前人研究成果的总结与综述。 第二部分主要介绍我国银行内部审计与风险管理的现状，并从它们的关系出 发讨论了我国银行内部审计参与风险管理的必然性与可行性。 第三部分是全文的主体。它主要是讨论我国银行内部审计如何参与风险管理 的问题。本章提出了我国银行引进风险管理审计方法的观点，通过与内部控制审 计的比较，详细地阐述了风险管理审计的内涵，并指出要实施风险管理审计的必 要条件及重要意义。 第四部分则根据c o s o 颁布的企业风险管理框架设计了我国银行风险管理审 计的实施程序，并对我国银行管理层、内部审计部门以及风险管理部门提出了相 应建议。 第五部分是全文的总结。全文从基本理论及实务两方面对我国银行内部审计 参与风险管理这一问题进行了完整、系统的阐述。通过本文的研究我们可以看出， 在竞争与风险不断加剧的内外环境下，我国银行的内部审计应当顺应自身发展要 求，通过风险管理审计的方法，积极地参与到风险管理工作当中，实现为组织增 值的目标。 5 抿阔料j j l 秘 t g：譬极靶 胛 塔 艘凸r坦靛 j i e 咖 求 甜e 式 皋趟 毯州 轺 峰圣h 驾 蜷笾 笾而笾茅 餐粤裹 薛 皿趟 区掣区磐 区垒 区妲扭 翻芒剐$ 求$ 星$ 星 $ 窘 趔 区皋如拳梃皋蠼拳耀 盎 皋爨 翻 l i 翟奸g 夏埋羽 姆媳剐 太林辎 罪盘她 上 圃每鲣荟，；i，i 工，医 噩搔垂铎箍匮倒 i 抵圜褂销陬略妲区翅洳剐证右g 林蠼 船妊鼬世扭萄 蒌垂 鐾霎 笪星笾星 区叁 譬苎棼 翅童 蠼诲 耀岳蘸 区盎 区叁袜固窭 水剐姝 li 拣1 1 1 褂辞砸罪靶匿理瓤尉船本埔将尉镏 翟 区奸窨召卵星口 姆釜 姆萋 拳剐舻 靶祗剐唧 罪鐾罪爵证扭婺罪基轴掣 圃莓匦器雅篮藻 圃噩笾趟 帮箍辞翅翟区水铎箍区翻靶 il i 簸l1 褂锫哑璐靶农箍船拳坷区韶觏剐薛箕求辖 掀l 褂而 f i 图1 - 1 本文思路的逻辑框架 c h a r t l 一1t h el o g i s t i cs t r u c t u r eo f t h i sp a p e r 6 2 我国银行内部审计和风险管理现状分析 内部审计从产生到现在，按照职能目标的演变分为消极防弊、积极兴利、价 值增值三个阶段，按照审计类型划分则经历了萌芽时期、财务导向、业务导向、 管理导向和风险导向五个阶段。内部审计这些发展阶段互相融合，在交叉中前进， 在继承中发展( 见表2 - 1 ) 。 表2 - i 内部审计职能目标的演变 t a b l e2 1t h ed e v e l o p m e n to f t a r g e to f i n t e r n a la u d i t 职能目标审计模式审计内容 萌芽时期内部审计财产、资金保管的安全性 消极防弊 财务导向内部审计财务报表审查 积极兴利 业务导向内部审计 具体业务和管理控制的分析与评价 管理目标、方针、决策等高层面活动 管理导向内部审计 的分析与评价 价值增值 融风险管理、公司治理与内部控制为 风险导向内部审计 一体的综合评价 以价值增值为目标的内部审计从管理导向转变为风险导向源于2 0 世纪9 0 年 代。在2 0 世纪9 0 年代上半叶，国际内部审计师协会( i i a ) 两次修订了内部审计 职责说明书( s r i a ) 并指出，内部审计的内容是检查和评价组织内部控制的适当 性和有效性，检查和评价受托责任的履行情况。从2 0 世纪9 0 年代后半期开始， 麦克宁等学者开始致力于研究风险导向内部审计的新范式并提出了许多新的观 点。1 9 9 9 年6 月，i i a 经过几年的调研之后，通过了基于风险导向的内部审计新定 义和内部审计职业实务标准框架的内容，并于2 0 0 1 年正式实施。内部审计进入风 险导向阶段。 在采用风险导向内部审计模式的价值增值阶段，内部审计迈入了一个新的领 域，其审计类型是融风险管理、公司治理和内部控制审查于一体的综合审计。这 种综合审计相比管理导向内部审计阶段而言，更强调关注公司治理框架中风险发 现与风险管理，关注管理者及其经营管理行为可能出现的风险，关注组织在整个 治理过程中的决策风险与经营风险。风险作为一种核心理念，贯穿在整个内部审 郭胜利：内部审计基本理论问题研究厦门：厦门大学博士论文，2 0 0 3 p 5 7 计过程中。对此，我国银行的内部审计能否积极应变，参与到风险管理的工作当 中，以增加组织价值? 这正是本文要讨论和解决的问题。 本章将首先讨论我国银行内部审计与风险管理的现状，接着从两者的关系出 发进行内部审计参与风险管理的动因分析，阐述我国银行内部审计参与风险管理 的必然性和可行性。 2 1 我国银行内部审计现状 在1 9 8 8 年7 月的巴塞尔协议中，巴塞尔委员会的一系列协议为银行业的 内部审计工作提供了标准。我国银行业随之开展了一系列的金融改革。银行的内 部审计越来越受到董事会，经营管理层以及银行监管部门的重视。从1 9 9 5 年开始， 我国银行依照审计署颁布的有关规定设立了内部审计机构，并开展了财务收支审 计、经营指标完成真实性审计、固定资产及在建工程项目审计、行长责任审计等 各种类型的内部审计，审计模式经历着从财务导向审计、业务导向审计到风险导 向审计的演进过程。但是与内部审计价值增值功能的要求相比，我国银行机构的 内部审计仍然存在一定差距。主要表现在以下几个方面： 第一，内部审计理念落后，内部审计内容陈旧。 2 0 0 1 年，国际内部审计师协会( i 认) 对内部审计的角色重新定位扩大了内部审 计的范围，拓展了内部审计在我国银行中发挥作用的空间，提升了内部审计在银 行风险管理中的地位，凸显了内部审计在银行风险评估和风险管理审计这一新领 域的巨大潜力。然而，目前我国银行业金融机构内部审计的重心仍是合规性审计， 对风险管理尚无过多涉及；内部审计业务仍停留在传统的查错防弊及对财务活动 的监督检查上，缺乏对信贷资产质量、风险责任、经济效益进行审计，对银行内 部管理结构、内部控制状况、各岗位业务规范状况做出评价和建议及对一些深层 次问题如管理制度、政策法规、社会环境、监督体系等方面的研究，真正意义上 的审计咨询活动在银行内部审计工作中并不常见。我国银行内部审计的大部分时 间和精力都投入在保证活动中，很少参与银行经营决策过程；有的银行甚至将内 部审计与内部稽核工作合为一体，完全忽视了内部审计的咨询职能，从根本上影 响了审计报告质量，与i i a 的要求相距甚远。 第二，内部审计体系不合理，独立权威的内部审计机制没有建立健全起来。 根据国际内部审计师协会内部审计实务标准的建议，内部审计在组织上 应该保持足够的独立性。国外银行的内部审计部门通常是对董事会负责，可以在 没有管理层的干涉下执行委派任务，自由地报告审计发现和评价，其内部审计的 独立性相对较好。而我国银行大多尚未建立起垂直、独立的内部审计体系，内部 8 审计只是作为内部稽核的重要力量向各级行长报告工作：即便是已经设立规范“三 会”( 股东大会、董事会、监事会) 的银行，内部审计也往往只是作为银行经营管 理体系的一部分，对经营管理层负责，这些直接导致了内部审计的权限受到限制， 对管理层的监督和审计流于形式。因此，内部审计缺乏应有的独立性和权威性， 在相当程度上阻塞了审计结果的报告与执行渠道。 第三，内部审计技术和方法不能适应新的要求。 我国银行的内部审计基本上仍是财务导向审计，主要采用详细审计或依赖于 审计者个人经验判断的抽样审计方法，而不是国际银行业通行的风险导向审计， 这就使得内部审计随意性大，缺乏科学性，造成审计期长、审计成本高、审计效 率低下。 同时，随着计算机技术的发展，几乎所有的银行业务都要通过计算机完成， 特别是新近推出的网上银行服务，客户借助网络就能办理账户查询、打印对账单、 购物、电子转账业务等。业务方式的变化使得部分内部控制环节向客户端转移， 然而我国银行计算机审计运用得不够，并且存在不评价计算机系统、不测试数据 真实性、就数据审数据的现象。审计技术方法的陈旧制约着我国银行内部审计的 发展。 第四，内部审计的人力资源管理存在缺陷。 内部审计在银行风险管理方面作用的不断加强，对内部审计人员队伍提出了 更高要求。从目前情况看，我国银行内部审计人员数量严重不足，审计人员仅占 银行员工总数的1 ，与国外5 的比率相差甚远；内部审计人员的综合素质和业 务能力较差，相当一部分内部审计工作人员缺乏必要的电脑知识，业务知识面较 窄、缺乏专业培训，不适应新形势下内部审计工作的需要；同时，内审人员的岗 位要求不明确，没有确定的准入标准和考核机制。上述人力资源管理方面的缺陷 导致审计监督作用的弱化。 2 2 我国银行风险管理现状 国际银行业风险管理的发展历程，大致可以分为负债管理、资产管理、银行 资本充足率管理、风险定价管理和全面风险管理阶段五个阶段。全面风险管理是 银行为了达到经营目标，由董事会推动和参与，由具体业务和管理部门实施的风 险管理程序。该程序贯彻于战略制定和业务经营各个环节，覆盖各种风险类别和 业务单元，目的在于将风险控制在可接受范围内，实现银行增值目标。近年来， 我国银行正逐步推行全面风险管理的做法，在风险管理方面进步很大。技术上， 有些银行在采用标准法计量信用风险的同时，已经着手研究内部评级法，市场风 9 险方面，部分银行已经开始v a r 进行风险度量。组织架构上，股份制银行在股份制 改造的过程中引入了c o s o - - e r m 框架( 如图2 1 ) 的理念，开始建立全面风险管 理框架，设立了风险管理委员会，并于2 0 0 6 年7 月设立了首席风险官职位。尽管如 此，包括股份制银行在内，我国银行在风险管理方面仍然存在一定的问题，主要 体现在风险委员会在风险决策方面的职能有待强化，市场风险管理缺乏独立性， 风险管理组织和职能过于分散，风险管理缺乏风险窗口和业务部门的支持，风险 管理监督评价职能缺乏。其中，风险管理监督评价职能缺乏的问题仍然突出。巴 塞尔委员会认为健全的风险管理框架除了设立一个独立的风险管理部门之外，还 应有一个独立的风险管理评估系统和一个独立的审计机构( 定期审查银行风险计 量、监督与控制职能的执行情况) 。风险管理的评估一般由董事会下设的风险管理 委员会负责，风险管理的审计稽核一般由董事会下设的审计委员会和银行的内部 审计部门负责。按照巴塞尔委员会的规定银行内部审计部门应就银行是否有负 责设计风险管理系统的独立的风险控制部门；董事会和高级管理层是否积极参与 了风险控制工作；风险执行是否合规；有关风险政策、控制与程序是否得到遵循； 风险管理人员配置是否合理等问题进行审计。从国内的情况来看大多数银行已 经在董事会下设立了风险管理委员会就风险管理目标计划的实施情况进行评估。 但风险管理各项职能执行情况的稽核审查缺乏。董事会下虽然设立了审计委员会， 但并没有对风险管理职能执行情况进行有效的稽核审查，导致风险管理组织框架 中对风险管理的监督评价职能缺乏。 图2 - 1c o s 0 - e r m 框架 c h a r t 2 - 1c 0 s o _ e r mf r a m e 1 0 2 3 内部审计与风险管理的关系 一方面，内部审计是风险管理的重要组成部分。 2 0 0 1 年，国际内部审计师协会( i 认) 在其制定并修改的内部审计实务标准 及职责说明中认定：“内部审计是一种独立、客观的保证和咨询活动。其目的 是在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法， 评价和改进风险管理、控制及治理过程的效果，帮助组织实现其目标。这一定义 将内部审计的范围延伸到风险管理，认为内部审计是针对风险管理、控制及治理 过程的有效性进行评价和改善所必需的。风险管理已发展成为内部审计的一项重 要内容。从发展趋势来看，内部审计不仅越来越关注风险，同时，也是风险管理 的重要组成部分。内部审计更强调确认的经营风险是否得到有效管理，由对交易 事项和政策的遵循的评价，转变为对目标、战略和风险管理程序的关注；内部审 计的建议更加强调风险的规避、风险转移和风险控制，通过有效的风险管理提高 组织整体管理的效果和效率。 风险在企业内部具有感染性、传递性、不对称性等特征，一个部门造成的风 险或疏于风险管理所带来的后果往往不是由该部门直接承担，而是会传递到其他 部门，最终可能使整个银行陷入困境。2 0 世纪9 0 年代震惊国际银行业的巴林银行 破产案便是很好的例证。而内部审计在以价值增值为职能目标的阶段，其工作的 重要内容包括评价、监督相关部门对企业风险进行转移和控制，即风险规避、风 险转移和风险控制的过程和结果，通过有效的风险管理提高企业整体管理的效率 和效果。 另一方面，风险管理是内部审计的重要职责。对于银行来说，风险无处不在。 内部审计的责任之一就是找出企业的主要风险。内部审计参与风险管理的主要原 因是：( 1 ) 内部审计机构有独特的位置。内部审计机构处于企业董事会、总经理和 各职能部门之间的位置，使其能够从全局的角度来关注风险，通过发现、评估并 运用风险管理的方法和控制措施，对企业管理层提供帮助，并在风险管理工作中 及时、有效地与相关部门或管理层沟通。同时，内部审计机构与企业内部的其他 业务部门相比，是一个独立的单元，独立性使其能够客观、公正地评价风险管理 的过程和结果。( 2 ) 内部审计人员更了解银行的高风险领域。内部审计人员在日常 工作中能够接触到银行的不同部门并对这些部门的工作职责、业务性质、操作流 程、内部控制等情况比较熟悉，这使得内部审计人员有机会全面细致地了解银行 的风险状况，从而发现并深入了解银行的高风险领域。也即内部审计工作根植于 公司内部，在各管理层面和经营环节上都拥有其他部门难以知晓的信息资源，所 以内部审计人员更了解企业的风险领域。( 3 ) 内部审计人员对于银行目标的实现有 更强的责任感。现阶段，内部审计的职能目标是为银行价值增值，而银行管理的 目标也是增加银行价值，两者目标的统一性使得内部审计人员在完成内审工作的 同时也在推进银行目标的实现。另外，内部审计机构本身就是银行组织结构的一 部分，内部审计人员是银行的一分子，银行的发展与进步与他们自身的利益息息 相关，与外部审计师相比，内部审计人员更有动力为银行的组织目标而努力。 此外，内部审计可以通过运用风险管理方法和控制措施，对风险管理过程的 充分性和有效性进行检查、评价和报告，提出改进意见，为管理层或审计委员会 提供帮助。其中包括：( 1 ) 确定风险领域：内部审计通过分析企业所面临的风险， 特别是灾害性风险，以及产生新风险的环境因素，在了解风险的基础上，提出防 范风险的建议，让董事会识别风险，确认接受风险的程度，制定风险政策，指导 企业有效地使用内部资源。( 2 ) 评价风险控制程序的有效性：内部审计通过评价企 业高级管理层制定的风险控制程序是否适当和有效，是否满足董事会接受风险的 程度，提出改进风险控制程序的建议。( 3 ) 检查风险管理过程的效果：内部审计通 过检查和测试财务、经营和合规性控制程序，发现持续存在的风险，评价风险管 理过程的效果，提出如何改进风险管理，为企业提出增加价值方面的建议。 2 4 我国银行内部审计参与风险管理的必然性与可行性 2 4 - l 内部审计参与风险管理的必然性 从银行业的监管情况来看，巴塞尔银行监管委员会颁布的新巴塞尔资本协 议为全球的银行业提出了风险管理的新框架，改进了风险管理，提高了风险管 理的敏感度，并且指出了“三大支柱 。第一支柱最低资本要求( 从资金管理 者和风险管理者的角度) ：第二支柱监管部门的监督检查( 从监管者的角度) ； 第三支柱市场纪律( 从投资者的角度) 。其中，强调了监督检查的四大原则： ( 1 ) 银行应具备与其风险状况相适应的评估总量资本的一整套程序，以维持资本水 平的战略。( 2 ) 检查和评价银行内部资本充足率的评估情况及其战略，以及银行监 测和确保满足监管资本比率的能力。若对最终结果不满意，监管当局应采取适当 的监管措施。( 3 ) 希望银行的资本高于最低资本比率的要求，并应有能力要求银行 持有高于最低标准的资本；( 4 ) 争取及早干预从而避免银行的资本低于抵御风险的 最低水平，如果资本得不到保护和恢复，则需迅速采取补救措施。同时，监督检 查的其他内容还包括各项最低标准的遵守情况、监督检查的透明度以及对银行账 1 2 簿利率风险的处理。 新巴塞尔协议是一个对全球银行活动有着深刻影响的国际性银行监督管理合 约，我国银行必然地要遵循国际银行经营管理的统一规则，接受以新巴塞尔协议 为准绳的国际银行业监管原则、标淮和方法。同时，近年来，银行管理层逐渐注 意到内部审计参与风险管理的优势：与其他部门相比，内部审计机构在银行内部 具有独立性且更了解银行的高风险领域；与外部审计相比，内部审计人员对于组 织目标的实现更有强烈的责任感和推动力，并且对银行风险管理数据保密原则的 遵守更可靠。内部审计在这些方面的优势使得内部审计涉足风险管理领域有其客 观的必然性，是外部监管环境因素和其本身因素使然。 2 4 2 内部审计参与风险管理的可行性 第一，内部审计功能的可能性。内部审计具有监督、鉴证、咨询、保证等职 能，这些功能综合起来可共同作用于防范市场风险、信用风险、流动性风险、操 作性风险等局部风险；作用于宏观风险管理战略，为宏观决策提供预警信息和政 策建设，防止整个金融系统甚至全社会经济的动荡。内部审计以咨询顾问的身份 协助机构进行风险评估和控制，通过组织开展各类风险环节、风险领域、关键风 险点的专项审计、常规审计和经济责任审计，促使银行依法合规经营，促进组织 采取适当措施规避风险、分散风险、转移风险和补偿风险。 第二，内部审计目标的可能性。内部审计目标已从过去的真实性、合法性、 效益性三目标向真实性、合法性、效益性、风险性四目标推进，内部审计可以从 银行的内部控制和财务报表分析入手，落脚于风险管理审计，揭示银行内部控制 方面存在的薄弱点，经营管理中各种潜在的风险点，分析风险产生的内因和外因， 促使银行形成自我约束、自我调整、自我平衡和自我发展的机制，从而起到防范 与化解金融风险的作用。在实施风险管理审计工作中，必须制定周密的风险管理 审计项目计划、确定审计范围、编制风险管理审计实施方案，在审计过程中必须 严格审计项目质量控制，注重审计证据的充分性、可靠性，确保定性、定量准确。 第三，内部审计方法的可能性。目前内部审计的手段和方法有现场审计、非 现场审计和i t 审计等。以风险为导向的审计得到重视和加强，内部审计已经具备 防范与化解金融风险的能力。内部审计部门利用来自风险管理过程的综合信息， 包括董事会和管理层关心问题的识别，制定风险评估过程和工作计划，特别是计 算机审计技术在审计领域的广泛应用，风险评估模型的建立，使内部审计的事前、 事中监控能力大大提升，风险防范的关口前移。目前可供采用的风险审计技术分 析方法很多，主要包括：风险调查法、经验判断法、专家识别法、风险价值v a r 1 3 分析法、风险量估计法、变量分析法、敏感性分析法等，但这些方法都必须以分 析性复核审计技术为核心。 第四，内部审计报告的可能性。内部审计具有独立性和客观性，相对而言， 风险管理部门提供的报告有时会屈服于管理当局的压力，使得风险管理部门的作 用受到限制。而内部审计部门独立于管理部门，可通过监督财务报表信息、披露 的充分性，在审计报告中揭示重大风险因素，其风险评估报告意见可以直接报给 董事会，这会加强管理当局对内部审计意见的重视程度。通过审计报告的传递与 交流，促进银行建立一个迅速、规范、灵敏、全方位的风险监管信息网络，有效 地提供预警信息，及时防范与化解金融风险。风险管理审计报告包括：现场审计 专题报告、非现场审计风险监测预警分析报告、年度风险管理评估分析报告等。 1 4 3 我国银行风险管理审计的基本理论 1 9 9 6 年6 月i i a 经过几年调研通过的基于风险导向的内部审计新定义比照 1 9 9 3 年版本，一个最为显著的变化是风险贯穿始终。根据这一版本，内部审计重 点关注风险管理。2 0 0 3 年i i a 对标准进行了修订，新标准将内部审计定义为：内 部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。 它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果， 帮助组织实现其目标。这一新定义，以风险为基础，对内部审计的对象、目标、 职能进行了重新定位，并明确说明了内部审计的目的是增加组织价值和改善组织 运营，将内部审计的工作领域由原来的公司治理和内部控制扩展到包括风险管理 的范围。三者的关系如图3 1 ： 图3 1 公司治理审计、内部控制审计与风险管理审计的关系 c h a r t 3 - lt h e r e l a t i o n s h i po fc o r p o r a t eg o v e r n a n c ea u d i t ，i n t e r n a lc o n t r o la u d i t a n dr i s km a n a g e m e n ta u d i t 由上图可知，风险管理审计是内部审计实现组织目标的增值途径之一。我国 银行的内部审计要参与风险管理，可以通过引进风险管理审计方法，实现为银行 增值的职能目标。 3 1 风险管理审计的定义 目前，以全面风险管理过程为审计对象的内部审计，无论在理论上还是实务 上都没有统一的称谓，如“风险管理审计”、“风险基础内部审计 、“企业风险审 计 等等。王晓霞( 2 0 0 5 ) 对企业风险审计的定义为：“企业内部审计部门采用一 种系统化、规范化的方法来进行以测试企业风险管理信息系统( r m i s ) 、各业务循 环及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审计活动， 1 5 对机构的风险管理、控制及监督过程进行评价进而提高过程效率，帮助机构实现 目标。 这个定义给出了企业风险审计的工作目的、内容、方法，比较系统、全面。 本文中所说的“风险管理审计”与王晓霞书中所论述的“企业风险审计本质上 是相同的。风险管理审计，首先“风险因素是工作的出发点和归宿点，“企业风 险管理框架是审计的内容，“系统化、规范化 是审计方法的特征，针对于企业 的风险管理活动，作用于企业的