（工商管理专业论文）全面风险管理模式在我国商业银行内部审计中的应用.pdf

i 摘 要 近年来 我国商业银行巨额不良资产长期居高不下 金融违规事件屡屡爆发 2004 年国家审计署发动的审计风暴中几大商业银行连连中招, 引起社会各界的极大关 注和震惊随着国内商业银行股份制改革的进程加快以及加入世界贸易组织后的行 业激烈竞争建立规范先进的现代商业银行内部审计制度研究实施高效稳健的内部 审计方法无疑具有很强的现实意义 内部审计是一种独立客观的保证工作与咨询活动它采取系统化程序化的方 法来对风险管理控制及治理程序进行评价从而帮助实现机构目标本文在详细解 析企业全面风险管理模式的基础上指出内部审计作为风险管理系统重要的组成部 分在企业风险管理的监控中占有重要地位全面风险管理模式为内部审计提供了控 制环境和方法指导商业银行风险管理经历了资产管理负债管理资产负债管理 全方位风险管理四个发展阶段新巴塞尔协议的出台标志着全面风险管理理念和 方法在商业银行的引进和实施以风险评估为导向的风险预警分析工作在银行内审工 作中起着举足轻重的作用各国银行不同程度地依赖金融机构风险评级体系的运行来 及时识别和预警风险和危机本文作者通过中外银行内部审计体系的对比分析指出 我国银行的内部审计明显存在着外部环境不利内部组织独立性不强内审理念落后 以及方法手段不力等问题2004 年底中国建设银行总行改革现行稽核监督体制组 建内部审计体系初步制定出可操作的建设银行风险导向审计模式本文作者对这套 体系框架作了层层分析和实践意义的总结并在文章最后指出建立庞大和复杂的经 济计量模型来准确识别和计量银行风险 有效地实现监控和预警作用,是商业银行内部 审计未来的发展趋势 关键词内部审计 全面风险管理模式 风险导向审计 ii abstract in recent years, large sums of dead assets cant be lowered for a long time, and financially misconducts occur again and again in our commercial banks. during “the auditing storm” started by the state auditing office, some major commercial banks were hit one by one and they have caused the great concern and surprise to different circles of the society. with the raped progress of the reform of shareholding system on commercial banks, and the fierce banking competition after entering the wto, there is no doubt that it is meaningful to establish the standardized and advanced internal auditing systems on modern commercial banks, and to study and enforce efficient and firm internal auditing measures. internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organizations operations. it helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes. on the detail analysis of enterprise-risk- management mode,it is pointed out that interal auditing play a big part in enterprise risk-controlling as an important component part of enterprise risk management system. enterprise-risk-management mode provides control environment and method guidance. theory of risk management in commercial bank has passed through four stages in its development, such as management on assetsmanagement on debets management on assets and debetstotal risk management. the debut of thenew agreement of baselmarked the importation and implementatiom of idea of enterprise risk management in commercial bank.in order to indentify and early warn of risk and crisis, banks in different countries more or less depend fiancial institutions risk-rating system .the author of this thesis analyzed the auditing system of chinese bank comparing with overseas bank and pointed out the problem of disadvantageous external environment, independence internal structure, lagging ideas, weak methods and measures. in late 2004,the head office iii of peoples construction bank of china reformed the present supervision system ,organized the department of auditing. a preliminary operative mode of bank risk-based auditing had been made. the author of this thesis made a concrete analysis in very detail and draw a applicatiom conclusion frame for auditing system.in the last part of this thesis , it is poited out that modeling via economics measure more largely and complicatedly is a clinatiom to control and warn of risk effectively in internal auditing in the future. key words: internal auditing enterprise-risk-management mode risk-based auditing 1 1 绪论 1.1 内部审计的产生与发展 在世界各个主要国家和地区内部审计与民间审计政府审计鼎足而立并驾齐驱 成为社会经济中审计活动的一个重要组成部分内部审计的本质仍出于“两权分离”即 生产资料所有权与管理权分离而产生的受托责任关系,它是整个社会经济政治文化催 生的产物同时又反映着社会文明程度的进步历经嬗变而逐步完善1 审计因受托责任的产生而产生又因受托责任的发展而发展在原始社会初期由 于人们尚未完全从自然界分离没有自我意识没有私有制无经济责任之说更无审 计之必要然而到了封建社会随着生产力的发展私有制和社会分工的逐步出现使 得共同生活和社会成员互相平等的原始社会解体从而出现了国家有奴隶主和奴隶两 个阶级的对立矛盾这时作为所有者的奴隶主统治者是委托者作为管理者的代理官 是受托者为了检查各级官吏是否诚实地履行了经济责任国家的各项开支各项赋税 收入是否符合皇帝的意愿统治者就会委托一些兼职或专职的人员代替他们去进行检查 工作这种经济监督行为就是最初的国家审计工作 随着工业革命的发展使英国在世界上第一个从工场手工业占统治地位的国家变成 大工业占统治的国家经济中心开始由庄园转移到城市产业规模日益膨胀企业资金 亦加速扩大然而1720 年英国南海公司的破产惊呆了还陶醉在黄金美梦中的债 权人和投资者当这些利害关系者证实数百万英镑的损失已经落到自己头上的时候他 们纷纷要求议会严罚欺诈者并要求赔偿损失迫使议会颁布法令旨在防止不正当的 股份投机禁止设立舞弊性质的股份公司禁止股份公司从事特许证规定的业务范围以 外的经营活动由此揭开了民间审计走向现代审计的序幕 内部审计是适应企业管理体制的改革而产生的从20 世纪 40 年代开始特别是第 二次世界大战之后生产的迅速增长和科学技术的飞速发展使西方资本主义走向高度 集中和积聚一方面跨国公司大量涌现拥有众多的子公司成为跨越国界的垄断集 团由于控制跨度的增加经营地点的分散控制权力层次的变化使得跨国公司面临 2 的管理任务更加艰巨另一方面由于企业规模的扩大和内部职能部门的增加更需要 企业内部协调一致节约资源防止工作差错和舞弊提高经营效率以便在竞争中可 立于不败之地因此也使企业客观上要求建立和完善包括组织结构业务程序在内的具 有自我控制和自我调节功能的管理机制随着强化企业管理的内部控制制度的建立内 部审计应运而生此时的内部审计领域包括5 个方面的内容实现目标问题资产是否 完整信息资料的真实主要是会计账表是否提高了经济效益管理是否加强了 可用内部控制制度是否健全来衡量表现为审计内容以财务审计和效益审计为主 进入20 世纪60 年代后企业的内部结构和外部环境更加复杂内部审计开始关注 企业的整个经营阶段对企业整个经营过程中的经济性效率性和效果性进行审计 企业内部审计在评价企业计划预决算方案投资可行性方面在评价生产组织内控 制度的有效性方面在揭示企业经营中存在的弊端方面发挥出越来越重要的作用 因而它的管理控制职能也越来越清楚地显现出来并发挥出越来越重要的作用 在现代企业经营管理中随着外部环境变化各种风险增多公司治理加强及内 部组织重整作为企业管理的重要组成部分内部审计还在改进风险管理和完善治理 结构等方面发挥作用内部审计开始进入新的领域 在审计方法上伴随日新月异的科学技术越来越细的专业分工不断变化的审计 目标和内容审计方法和手段亦不断变革和创新以适应新的形势对审计工作的要求 基于实践的审计方法论也相应地不断变革和发展 1.2 论文背景及问题的提出 20 世纪 90 年代后期随着风险的进一步增大企业对风险的认识和管理越来越 多全面风险管理(enterprise risk management)产生了它为企业提供了一个动态的全企 业范围的风险管理方法此时内部审计成为风险管理系统重要的组成部分它不再仅 仅满足发现风险而是更多参与风险管理风险导向内部审计包含了传统内部审计方法 的许多优点并进行一些扩展关注关键经营目标管理层的风险容忍度关键风险测 量风险管理能力等充分利用实现经营目标的关键风险即不仅把不利的危险降低到 可接受水平而且利用一切可以利用的机会增加企业价值 3 作为风险聚集性的金融企业银行通过吸收客户的存款管理着巨额的资金同 时也面临各种风险“堡垒最易从内部攻破”银行业内部风险越来越引起关注近年 来我国商业银行反复强调以效益为中心防范和降低金融风险但在实际工作中 巨额不良资产长期居高不下金融违规事件屡屡爆发2004 年国家审计署发动的审 计风暴中几大商业银行连连中招引起社会各界的极大关注和震惊而此次审计署 主要是通过对银行的资产负债损益表进行审计而查出来的问题还不是深入内部进行 的清查应该说查出来的问题还是比较肤浅的实际上的问题肯定远远不止于此就 是这些相对还比较浮于表面的问题为何还是要由审计署出马才能查出来银行业的 内部审计为何发挥不了应有的监督管理的职责?在商业银行风险管理中内部审计到 底应该起到怎样的作用随着国内商业银行股份制改革的进程加快以及加入世界贸 易组织后的行业激烈竞争建立规范先进的现代商业银行内部审计制度实施高效稳 健的内部审计方法以防范和化解金融风险无疑具有很强的现实意义 巴塞尔银行监管委员会在 2001 年 8 月发布了一份报告银行内部审计和监管当 局与审计师的关系该报告阐述了银行组织内部审计工作的重要性要求所有银行 建立一个常设的独立的内部审计职能部门并提出了内部审计指导原则随着我国加 入 wto国内的规则需要和国际接轨需要对商业银行内部审计方法进行完善和修 改建立健全一个相对独立的内部审计体系以加强商业银行内部审计管理与控制 提高运营效率开发识别和衡量风险的模型体系代表了世界各国银行内部审计风险 监管技术的发展潮流也是中国这样的发展中国家在提高银行内部审计水平过程中着 力研究和探索的一个前沿课题 1.3 本文研究的内容范围及使用的方法 本文对现代内部审计理论实务模式进行了详细介绍并引入了全面风险管理理论 及方法系统阐述了银行风险管理的内容对中外商业银行内部审计体系进行了深入对 比分析在此基础上本文以案例的形式提出了风险导向审计模式的分析应用框架该 体系尝试运用系统的专业方法来评价和改进银行风险管理内部控制和运作过程达到 提升内部审计理念框架方法技术和知识的目标使我国商业银行的内部审计运作 4 进一步与国际接轨 本文共有六章分为四个部分第一部分包括第一章和第二章本部分介绍了内 部审计的历史沿革论文背景及现实意义系统阐述了内部审计的基本理论以及与之 相适应的组织形式内部审计实务模式的方法选择为后述介绍提供理论准备第二 部分为第三章的内容是全面风险管理理论和方法的引入本部分详细解析了全面风 险管理模式的基本内容并评述了商业银行风险管理的内容及国际商业银行普遍采用 的骆驼评级法综述的目的是为下一部分对我国商业银行内审方法论的选择和探讨提 供支持 第三部分为第四章 本部分对中外商业银行内部审计体系作了详细对比分析 指出我国商业银行内部审计存在风险管理环境不利审计体制不顺方法技术落后等 问题并在体制理念方法体系三方面提出相应对策第四部分为第五章也是本 文的重点部分本部分结合中国建设银行的实际情况提出了商业银行风险导向审计 模式的应用框架从方案的实施条件制定目标具体思路体系设计实施步骤五 个部分作了层层分析并运用了大量图表及指标分析第五部分为本文结束语对风 险导向审计模式的应用价值及实践效果作了总结并介绍了现代商业银行内部审计模 式的发展前景 本文定位于微观层面从实证研究出发以案例的形式对全面风险管理模式在中 国建设银行内部审计中的应用框架进行了分析研究在具体分析时主要采用了对比 分析方法在案例中使用了定量和定性相结合的分析方法 5 2 内部审计的基本理论与实务模式 2.1 内部审计的概念体系 内部审计是随着经济发展内部管理层次的增多而产生的一种职能需要现 代企业内部审计在自身发展过程中经历了两次飞跃与之相适应现代内部审计 理论经历了两个发展阶段下面从内部审计的定义宗旨性质职能方面分析 其变化 2.1.1 内部审计的概念 1990 年国际内部审计师协会iia是在美国内部审计师协会的基础上发展起 来的对内部审计的定义为内部审计是在一个组织内部建立的一种独立的评价 活动作为对该组织的活动进行审查和评价的一种服务内部审计的目的是协助该 组织的管理成员有效地履行他们的职责为此内部审计向他们提供与所审查的活 动有关的分析评价建议忠告和资料内部审计的目的是促进有效地控制成本 费用1 2001 年 1 月,国际内部审计师协会理事会通过了新的内部审计定义即内部审计 是一种独立 客观的保证工作与咨询活动1 其目的是 增加组织的价值 add value 和改善组织的经营它采取系统化规范化的方法来评价和改善风险管理内部控制 和公司治理过程的有效性从而帮助组织实现目标1 比较这两次定义不难发现当今内部审计的宗旨和定位较之以前发生了巨变内 部审计的定位已由原来的独立评价活动1转变为现在的独立客观的保证工作 与咨询活动1内部审计的宗旨已由原来的 对组织的活动进行审查和评价的一种服 务1转变为现在的增加组织的价值和改善组织的经营1帮助组织实现其目标 从新的内部审计概念中还可以看出内审远远超出了控制专家的范围已经扩展到风 险防范方面而且正在进入公司治理系统这就对内部审计提出了更高的要求内部 审计人员要从原先的评论员角色转变为更为积极的教练员角色从而在组织 6 的风险管理内部控制和公司治理方面承担起更大的责任这正如美国著名的内部控 制专家迈克尔海默教授(michael hammer)所指出的内部审计机构应将自己视为公 司的一种资源在帮助管理当局更有效地达至预期目标的过程中发挥作用内部审计 师的使命将从简单的我们实施审计向我们帮助创建一些程序以期达到组织成 功所需要的管理水平的方向发展2 2.1.2 内部审计的职能 内部审计从产生至今职能经历了一个逐步演变的过程从最初的单纯的监督检 查发展到目前的监督与评价职能的结合是对其认识发展的第一次飞跃单纯的监督可 能而且必然引起被监督者的反感导致工作开展的低效而评价则使双方关系处于一 种缓和状态更有利于工作顺利开展为此内部审计部门向他们提供与被审活动有 关的分析评价建设咨询和信息以上分析可以说明内部审计在企业中的职能作 用已从产生之初单纯的监督检查发展到偏重于服务的分析评价监督与评价职能的融 合使审计跨入了一个有前途的发展境地 随着时代的发展在现代企业管理过程中内部审计人员被赋予了更新的职责和 使命即对组织目标实现的保证作用这可以看作是对内部审计职能的第二次飞跃 内部审计的作用不仅在于监督和评价企业内部风险管理控制活动还在于帮助组织 进行风险管理环境的营造建议并督促管理当局建立健康积极的组织文化使其成员 能自觉地把办事准则和职业道德放在首位共同致力于组织目标的实现从中可以看 到内部审计的职能不仅是监督更有建设与保证 事实上内部审计在企业经营管理中发挥着特殊而不可替代的作用企业所设定 的目标是一个企业的各个组成部分努力的方向而内部审计则是为实现或达成该目标 所必需的条件要确保组织制度被切实地执行并收到良好的效果并能够随时适应外 部环境的变化就必须加强对内部控制的有效监督与客观评价内部审计既是企业内 部控制的重要组成部分也是监督与评价内部控制其他部分的主要力量因而其在强 化内部控制方面应当发挥不可替代的积极的作用 不仅如此 在现代企业经营管理中 随着外部环境变化各种风险增多公司治理加强及内部组织重整内部审计工作还 在改进风险管理和完善治理结构等方面发挥审查评价及促进作用 7 2.1.3 内部审计活动 内部审计活动应评价和帮助改进风险管理控制和治理过程体系具体内容包括 内部审计工作范围和工作程序 1工作范围 1风险管理内部审计活动应帮助组织识别和评价重要的风险暴露并帮助 组织改进风险管理和控制系统内部审计活动应监控和评价组织风险管理系统的有 效性内部审计师应评价机构的治理运营及信息系统方面的风险因素a)财务和 经营信息的可靠和完整b)经营的有效性和效率c)资产的保护d)对法律规章和 合同的遵循 2控制内部审计活动应评价控制的有效性和效率并促使其不断改进帮 助组织保持有效的控制依据风险评估的结果内部审计活动就组织的管理经营 和信息系统来评价内部控制的恰当性和有效性检查运营与项目目标的确定程度 检查它们与机构目标的一致程度对运营与项目进行评价检查其结果与既定目标 的一致程度判断这些运营和项目是否按计划得到执行或操作查明管理层建立的 标准是否适用于测定目标和目的完成情况 3治理内部审计活动评价并改进机构的治理程序为机构的治理作贡献 通过对 a价值和目标的设立和报告b目标的完成和监控c责任的保证d 价值的保全等方面的评价和改进为组织的管理过程效力审查经营及其方案以 保证它与组织的价值保持一致 2工作程序 内部审计活动程序分为计划制定政策和程序协调报告四个部分 1计划内部审计部门建立风险导向计划用以确定内部审计活动的优先次 序该计划应与组织的目的一致内部审计活动的计划以风险评估为基础并尊重高 级管理层和董事会的意见2政策和程序内部审计制定指导内部审计活动的政策 和程序 报告内部审计活动计划和对资源的需要 请高级管理层和董事会审查和批准 并保护内部审计资源对完成已批准的计划是适当的 充分的和配置有效的3 协调 内部审计主任应与内部和外部提供保证和咨询服务的人员分享信息并协调行动以保 8 证审计范围适当将重复减少到最低限度4报告内部审计主任应定期向董事会 和高级管理层报告内部审计活动的宗旨 权力 职责和计划的执行情况 报告应包括 重要风险及其控制问题公司管理问题以及董事会和高级管理层需要或要求执行的 其他问题 3内部审计的独立性与客观性 独立性与客观性是内部审计不变的灵魂独立性是指内部审计活动应该独立内 部审计师在执行他们的工作时应该是客观的内部审计活动在确定审计范围执行审 计工作和报告审计结果时应不受干扰组织的独立性内部审计主任应向组织中主 管内部审计活动的领导报告工作保证广泛的审计范围充分考虑审计报告依据审 计提出建议采取适当的活动 内部审计的客观性是指内部审计师应保持无偏见不偏不倚的态度并回避有利 益冲突的事情内部审计师应该避免去评估他们以前承担过责任的业务如果审计师 为他在一年前曾负责过的活动提供保证服务就足以推定其客观性受到损害如果保 证是评估内部审计主任本人的责任应由外部人员来执行无论是独立性或客观性实 质上或形式上遭到损害都应该恰如其分地披露损害的详情该项披露的性质应依损 害的性质而定 内部审计概念体系如下表 表 2-1 内部审计概念体系 基本目的评价改善增值 开展各种活动的决定因素风险管理控制及其治理过程 工作性质独立性客观性 工作范围以系统化的方法对公司的效率进行评价包括风险控制治理等领域 活动程序计划程序协调报告 2.2 内部审计的组织层次 一个良好的组织机构应该是组织的不同层面在组织中各司其职并保证有效运行 公司治理结构是现代企业组织领导制度的重要特征和内容其表现为董事会监事会 9 及总经理所构成的组织框架董事会通过设定战略和目标在成长收益目标和相关 风险之间取得最佳平衡并有效且高效地配置资源以实现组织价值达到最大化管 理层负责设计实施日常的经营活动并开展风险管理使公司的战略目标得以贯彻执 行并及时向董事会报告工作内部审计是组织中一个不可缺少的部门它根据董事 会所规定的计划政策来执行其职能通过检查评价报告管理层的政策执行及效 率情况并提出改进建议来协助管理层工作以保证达到组织目标下图是表示企业 的各个层级在企业里的作用及怎样进行工作的3 图 2-1 企业层级图 在现代企业中所有者将资本投入企业但不能直接参与企业的生产经营管理活 动而授权董事会经营企业即经营企业的决策权掌握在董事会手中与这一权力对 应的是董事会负有按照股东意志行事的责任这是第一层经济责任关系这一关系的 存在使得对承担责任者的责任履行情况进行监督成为必然在董事会作出相关决策 后董事会聘任的经理人作为执行机构拥有授权范围内的具体经营管理权这些权 董事会 价值 目标 宗旨 战略 道德规范 监事会 内部审计 计划 计划 主要业绩指标 政策 权限 遵循 文化 资产管理 产品开发 提供服务 作业 供应商 市场 行为 系统 过程 人 执行管理层 企业管理 10 力的拥有也对应着相关责任的承担切实执行董事会的各项决议高效组织企业运 营给企业带来尽可能多的收益这一权责关系的对应实际上构成了公司的第二层经 济责任关系这一层经济责任关系的存在也使得对其责任履行情况进行鉴定成为必 然从对公司治理结构的研究中我们看到对这两层经济责任履行情况进行监督的 机构是监事会及所隶属的审计委员会所以在现代企业现代公司中由于第一 二两个层次经济责任关系的存在奠定了审计机构产生与发展的基础也框出了审计 机构的性质及工作范围代表所有者监督与评价董事会及经理人的经济责任履行情 况 内部审计机构作为审计委员会的工作机构可以相对独立地有权威地对公司的 经营状况及公司的高级管理层进行审计监督作为公司内部治理风险管理内部控 制体系建设的一个重要方面参与公司经营活动的全过程管理充分履行检查评价职 能而且还能独立地对各个控股子公司实行有效的审计监督因为这时的内部审计已 不是反映领导层个人的意志而是代表了所有权人的意志是在资产纽带关系下进行 的管理在此种组织架构下的内部审计作为企业管理体制的重要组成部分不仅是 一种管理权的延伸从终极作用发挥上来看更应是一种所有权的延伸内部审计日 常工作以寓监督于服务中的思想为根本出发点协调与董事会监事会及高层经理各 部门的工作发挥其在企业管理中无可替代的监督保证作用 如果从企业管理信息系统的构成来看一个完整的企业管理信息系统是由三个子 系统构成的决策子系统决策支持子系统和监督控制子系统只有在决策支持子系 统下作出的决策才是科学的同时这一科学决策只有在不断的监控条件下才能保 证其良好履行失去监控执行决策者责任履行情况无法判定内部审计作为监控子 系统的重要组成部分完善了企业管理信息系统企业各层次管理部门工作的好坏 责任履行如何对其业绩如何评价在某种程度上依赖内部审计从这个意义上讲 内部审计是企业管理中不可缺少的环节 当前世界各国设置的内部审计机构有这样几种类型一是董事会领导的组织模 式二是由监事会领导的组织模式三是由董事会和监事会双重领导的组织模式四 是由总经理领导的组织模式五是由总经济师领导的组织模式六是由主管财务的副 11 总经理领导的组织模式以上各种组织模式各有利弊其中以董事会领导型监事会 领导型的内部审计机构机构设置层次高地位超脱相对来说有较强的独立性和权 威性为现代企业内部审计较为理想的机构模式 基本概念框架为内部审计部门建立了理论基础并在此基础上进一步形成具体的 实务模式 2.3 审计实务模式选择 审计实务模式是审计导向性的目标范围和方法等要素的组合它规定了审计应 从何处下手如何着手何时着手等问题4 1审计模式的分类 内部审计模式按照历史的顺序大致可分为三种帐项导向审计大约 1940 年 前制度导向审计大约 1990 年前风险导向审计现今通过审计模式的转换 可以认识和了解各审计模式的具体特点并思考我国内部审计技术方法的选择 1账项导向审计模式 账项导向审计模式 transaction-based auditing 是审计方法模式发展的第一阶段, 是最初始的审计方法它以凭单核对和实物的控制保管为重心以审查帐目有无舞弊 为目标以数据的可信性为着眼点以会计科目为入手点工作性质是事后性的复 核性的审计范围几乎不含经营管理部门主要功能在于查错防弊其技术方法主要 是从审计期间会计事项所依据的相关会计原始凭证入手追查到记账凭证账簿会 计报表等会计文件的形成验算其记账金额核对账证账账账表如果它们之间 能够勾稽相符就认为财务报表所反映的情况是真实的在这种审计模式下审计人 员往往只关注被审计单位的会计报表及相关的会计资料审计的方法主要是详查法 力图通过大量的凭证审核及其在会计系统内的周转来发现问题由于舞弊行为的多样 化使得审计工作如果仅仅着眼于会计过程中的账证账账账表的三相符在 实践中则难以保证有效地查错防弊同时随着生产经营规模的扩大融资投资渠道 和方式的多样化特别是资本市场的发展账项导向审计模式的局限性就日益凸显 至 20 世纪初这种模式就逐渐退出其主导地位而代之以制度导向审计模式 12 2制度导向审计模式 制度导向审计模式system-based auditing是审计方法模式发展的第二阶段 它要求审计人员对组织的内部控制制度要有全面的了解强调对于内部控制制度的评 价审计范围部分地超出财会领域而扩展到经营管理领域内部审计人员扮演的是控 制专家的角色并在此基础上决定实质性测试的时间范围和程度这样就改变了传 统帐项基础审计对凭单帐表进行详细审计的做法随着企业经营规模的扩大业主 或企业管理层势必改变事必躬亲的管理方式建立系统的分层分工的科学管理 制度企业在经营发展过程中建立起内部控制系统这就促使审计人员把注意力转移 到与会计相关的内部控制系统的控制功能上来制度导向审计模式将审计的重点放在 对内部控制制度各个控制环节的审查上目的是发现内部控制制度的薄弱之处找出 问题发生的根源然后针对这些环节扩大检查范围对内部控制制度有效之处则可 缩小其检查范围或简化其审计程序在这种审计模式下是否检查凭证与经济事项 检查多少凭证与经济事项都不再是毫无目的的大海捞针而是建立在对被审计单位内 部控制系统认识基础上的重点审查以大数定律和正态分布为基础的统计抽样也逐渐 取代了单纯判断性和任意性的抽样制度导向审计模式从 20 世纪 40 年代起就成为审 计的主要方法但账项导向审计和制度导向审计的共同不足之处在于审计资源不恰当 地分配到高风险和低风险领域 3风险导向审计模式 风险导向审计模式risk-based auditing是审计模式发展的最新阶段从 20 世 纪 70 年代以来由于各国公司造假及管理舞弊的盛行使得传统审计模式的局限性 日益凸显以美国为代表的西方发达国家尝试在具体项目的审计过程中突破传统的审 计模式开发出一种以评估审计风险为中心的新的审计模式以此保证和提高审计质 量这就是风险导向审计模式风险导向审计以被审计单位的风险评估为基础综合 分析评审影响被审计单位活动的各因素并根据量化的风险水平确定实施审计的范 围重点进而进行实质性审查这种审计方法立足于对组织风险进行系统的分析和 评价它要求审计人员不仅要对控制进行评价而且要对产生风险的各个环节进行评 价工作重心从控制到风险转变内部审计角色从警察到风险教练员转变 13 审计目标以增加组织价值为主在此基础上确定审计人员的审计重点和审计频率它 要求审计人员重视对企业环境和企业经营进行全面的风险分析 以此为出发点,制定审 计战略,制定与企业状况相适应的多样化审计计划,以达到审计工作的效率性和效果 性与制度导向审计相比较风险导向审计由于对风险加以量化审计中的抽样技术 是更完全意义上的审计抽样且由于对影响风险水平的内外因素均要进行测试测试 范围更为广泛全面风险导向审计为更有效地控制和提高审计效果和效率提供了完整 的思路,是迎合高度风险社会的产物,是现代审计方法的最新发展 2风险导向审计程序 风险导向审计程序是应用风险导向审计理论指导审计实务的工具这种方法不仅 涉猎了各种风险因素而且也对各种风险进行了分析和定义使审计实务步入新的台 阶 风险导向审计程序的关键点有三个连续的步骤 即确定组织目标 评估固有风险 评估控制风险 1确定组织目标 组织风险总是与组织目标相联系的因为不能实现目标的可能性即为风险没有 目标也就无所谓风险 不同组织的不同层级也面临不同的风险 以风险为导向的审计 首先对组织的整体目标和层级目标进行确认和分析然后对影响目标实现的内外因素 进行评估最后确定管理风险的各项措施 2评估固有风险并据以确定审计范围 固有风险inherent risk是指假定被审计单位没有任何相关的内部控制情况下发 生重要差错的风险4根据报表各项目之间客观合理的内在联系通过分析各项目的比 率趋势的分析性测试评估固有风险水平确定审计范围和重点并编入审计计划 3进行内部控制测试根据测试结果评估控制风险 控制风险control risk是指内部控制系统不能防止和纠正重要差错的风险符 合性测试 4 通过调查了解有关项目的内部控制结构分析控制环境相应的控制 程序及会计制度评价内部控制的有效性进而确定控制风险的大小 在风险导向审计中固有风险和控制风险得以结合起来审计人员的主要目标 就是鉴别潜在的风险领域准确地找到每种业务所暴露的风险点 14 3 全面风险管理模式与银行风险管理 3.1 全面风险管理理论简介 多年来人们在风险管理实践中逐渐认识到一个企业内部不同部门或不同业务 的风险有的相互叠加放大有的相互抵消减少因此企业不能仅仅从某项业务 某个部门的角度考虑风险 必须根据风险组合的观点 从贯穿整个企业的角度看风险 即要实行全面风险管理enterprise risk management简称 erm然而尽管很多 企业意识到全面风险管理但是对全面风险管理有清晰理解的却不多已经实施了全 面风险管理的企业则更少为了改变这种状况美国执业会计协会下面的柯恩委员会 (cohen commission)从 2001 年起开始进行这方面的研究于 2003 年 7 月完成了全 面风险管理框架草案下称 erm 框架并于 2004 年 4 月颁布正式稿erm 框架定义全面风险管理阐述原则模式标准为企业和其他类型组织评价和加强 全面风险管理提供了基础 并引入了风险偏好 风险容忍度 风险度量等概念和方法 为衡量企业风险管理的有效性提供指导 根据 erm 框架 “全面风险管理是一个过程 这个过程受董事会管理层和其他人员的影响这个过程从企业战略制定一直贯穿到 企业的各项活动中用于识别那些可能影响企业的潜在事件并管理风险使之在企业 的风险偏好之内从而合理确保企业取得既定的目标5”全面风险管理模式可概括为 全球的风险管理体系全面的风险管理范围全员的风险管理文化全程的风险管 理过程全新的风险管理方法全额的风险计量5全面风险管理过程应用于企业 内部每个层次和部门考虑组织内所有层面的活动从企业总体的活动如战略计划 和资源分配到业务部门的活动如市场部人力资源部再到业务流程如生产 过程和新客户信用复核因此全面风险管理是当今企业为完善风险管理而提出的一 种要求也是银行业务多元化后银行机构本身产生的一种需要 3.2 全面风险管理模式解析 1全面风险管理的要素erm 框架有三个维度第一维是企业的目标第二维 15 是全面风险管理要素第三维是企业的各个层级第一维企业的目标有四个即战略 目标经营目标报告目标和合规目标第二维全面风险管理要素有 8 个即内部环 境目标设定事件识别风险评估风险对策控制活动信息和交流监控第 三个维度是企业的层级包括整个企业各职能部门各条业务线及下属各子公司 erm 三个维度的关系是全面风险管理的 8 个要素都是为企业的四个目标服务的 企业各个层级都要坚持同样的四个目标每个层次都必须从以上 8 个方面进行风险管 理该框架适合各种类型的企业或机构的风险管理 2从 coso 的 erm 框架可以看出风险管理遵循如下过程 图 3-1 风险管理流程图 1内部环境明确企业的内部环境是进行风险管理活动的基础董事会是内 部环境的重要组成部分对其他内部环境要素有重要的影响企业的管理者也是内部 环境的一部分其职责是建立企业风险管理理念并将企业的风险管理和相关的初步 行动结合起来公司治理状况的好坏是内部审计部门开展风险监控活动的基础 2目标设定首先必须确定企业的目标才能够确定对目标的实现有潜在影 响的事项 全面风险管理必须为实现企业的核心目标服务 包括战略目标 经营目标 确立位置和背景 目标设定 识别风险 分析风险 评价风险 处置风险 评估 风险 监 控 和 检 查 交 流 传 递 和 咨 询 控制 活动 16 报告目标和合规目标保证制定的目标与企业的风险偏好相一致 3事项识别在确定目标之后就要对风险进行识别风险是指某一对企业 目标的实观可能造成负面影响的事项发生的可能性对企业有正面影响的事项称为机 会企业风险管理框架采用一系列技术来识别有关事项并考虑有关事项的起因对 企业过去和未来的事项以及事项的发生趋势进行计量 4风险评估风险识别后就要进行对风险进行分析评估从两个方面对风险进 行度量 风险发生的可能性和影响风险发生的可能性是指某一特定事项发生的可 能性影响则是指事项的发生将会带来的影响对风险影响的分析则采用简单算术平 均数最差情形下的估计值或者事项的分布等技术来分析 5风险反应根据风险严重程度和可能性大小进行排序然后确定措施即 规避风险减少风险共担风险和接受风险 6控制活动控制活动是帮助保证风险管理目标得到正确执行的相关政策和 程序控制活动存在于企业的各部分各个层面和各个部门 7信息和沟通来自于企业内部和外部的相关信息必须以一定的格式和时间 间隔进行确认捕捉和传递以保证企业的员工能够执行各自的职责包括企业内自 上而下自下而上以及横向的沟通有效的沟通还包括将相关的信息与企业外部相关 方的有效沟通和交换 8监控对企业风险管理的监控是指评估风险管理要素的内容和运行以及一 段时期的执行质量的一个过程企业可以通过两种方式对风险管理进行监控 持续 监控和个别评估持续监控和个别评估都是用来保证企业的风险管理在企业内部管理 层面和各部门持续得到执行 即监控既可以是持续的管理措施 也可以是分开的评价 或者结合两者 3全面风险管理的组织推动 全面风险管理模式对于风险管理体系设置了四个基调首先董事会对风险管理 负最终责任而风险管理必须由对经营业务负全部责任的有关人员自上而下地推动 其次董事会和最高管理层必须认识范围广泛的各类风险再次要发挥支持和控制 功能如内部审计信息技术和人力资源等都需要成为整体风险管理机制的一个不可 17 分的组成部分最后风险管理的目标和政策必须是整体经营战略的一个关键的驱动 器而且必须通过辅助的操作程序和控制予以实施内部审计在企业风险管理的监控 中占有重要地位通过对管理者风险管理过程的充分性和有效性进行监控检查评 估报告和提出改进建议来帮助管理者和董事会或审计委员会履行其职责内部审计 提供关于整个企业的风险管理过程而不仅仅是具体的控制内部审计成为企业风险 管理部门的一个部分在风险识别过程中可能会发现新的风险热点问题对新 出现的风险提醒董事会或管理层进行必要的关注在风险评估过程中内部审计在风 险和控制方面成为企业各个部门的伙伴并对风险情况交流意见最后提出控制风险 的建议成为是互动的过程 3.3 商业银行风险管理 商业银行风险产生机制与一般风险的产生机制是一样的也是风险因素风险事 件和损失三者相互作用的结果随着银行业务的不断发展及其经营环境的变化越来 越多的银行开始把经营管理的重心放在风险管理上与此同时与风险管理相关的理 论和方法也不断涌现且日趋成熟 3.3.1 商业银行风险管理理论的发展阶段 按照商业银行风险管理的侧重点的不同可以将其发展大致划分为以下阶段 第一阶段 从资产方面对风险加以管理 1950 年代末以前银行风险管理主要偏重对资产业务的管理即贷款业务以及其 他资产业务的管理当时银行业务以贷款为主而不良贷款额超过一定比率经常 导致一家银行出现流动性的困难为此在商业发展的很长一段时间内极为重视对 资产业务的风险通过加强资信评估项目调查严格审批制度减少信用放款等措 施和手段来减少防范风险资产业务的发生并努力减少投机性的贷款需求提高银 行的安全度确立了稳健经营的基本原则随着经济环境的变化和银行经营的发展 资产管理理论经过了从真实票据理论转换能力理论到预期收入理论的过程这些理 论的着眼点都是保持银行资产的流动性 第二阶段从负债方面对风险加以管理 18 1960 年代后银行风险管理重点转向负债管理此时欧美发达国家经济增长普 遍较快对信贷资金具有很强的需求而西方银行又面临资金严重不足的缺口为扩 大资金来源西方银行转向负债管理即通过使用借入资金以扩大资金来源保持 或增加资产规模和收益满足银行流动性需求同时避开金融监管限制负债管理理 论的广泛应用导致了银行业的一场革命商业银行由单纯依靠吸收存款的被动负债 方式发展成为向外借款的主动方式提高了资金供给的灵活性有利于满足银行资 产和负债的流动性需求为商业银行扩大业务规模增加贷款投放创造了条件但另 一方面负债规模的扩大也大大增加了商业银行经营的风险使商业银行的经营环 境更加复杂风险因素增加在这种情况下银行资产负债风险管理理论应运而生 并在商业银行的实践中广泛应用 第三阶段从资产和负债两个方面对风险加以管理 1970 年代初石油危机爆发后西方发达国家的通货膨胀率不断上升伴随着美 元与黄金脱钩国际市场利率剧烈波动西方银行受金融市场大幅震荡的影响难 以通过资产或负债的单边管理确保安全性流动性和盈利性的均衡为此西方银 行开始从资产和负债两个方面管理风险即通过资产结构负债结构的共同调整 在保证商业银行一定收益性流动性的前提下谋求商业银行风险的最小化以保 证银行经营的安全 资产负债管理理论的实质是强调资产负债表两边的偿还期对称 经营目标互相替代和资产分散来实现总量平衡和风险控制后来金融市场上出现 了几种调整资产负债不平衡的主要技术方法包括利差管理缺口管理期限管理 金融期货期权交易等弥补了资产负债管理理论的不足使资产负债管理理论趋 于完善 第四阶段对风险进行全方位管理 尽管在整个 20 世纪大多数商业银行的主流管理思想都是资产负债管理理论 但这种理论的局限性仍然是明显的传统的资产负债管理难以反映银行经营管理的整 体情况过分强调利率风险以致忽视信用风险或违约风险近年来随着金融国际化 和自由化的发展同业竞争日益加剧资产负债业务只是银行经营的主轴金融业务 领域多元化银行风险呈多样化复杂化全球化的大势西方银行更新了风险管理 19 理念并将应用数学信息学工程学等引入风险管理体系从而深化了风险管理的 内涵1988 年巴塞尔资本协议的出台标志着西方银行风险管理理论与实践日渐 完善 到了 1990 年代特别是 1997 年亚洲金融危机爆发以来风险类型已经由单一 的信用风险演变为包括信用风险市场风险操作风险等在内的多类型风险潜在 损失也由多种风险相互影响