风险评估贯穿内部审计全过程,基于风险评估科学制订审计计划,确定审计活动重点,评估审计事项的控制风险和剩余风险,是确保审计工作质效的关键。构建系统、科学的内部审计风险评估体系,是审计有效履行职能的重要基础性保障。

风险评估是现代内部审计的基础性工作,是统筹组织审计工作的核心要求,是实现审计价值的重要途径。内部审计风险评估需要统筹考虑商业银行各类风险,同时兼顾审计资源的平衡;风险评估标准既要考虑标准的统一性,又要考虑具体标准的差异度;既要满足风险评估的时效性,又要保证风险评估的客观性和充分性;内部审计进行风险评估时,要选取能够代表业务风险整体状况的核心指标;既要考虑现实的体系应用,又要考虑未来可能存在的变化。

(一)内部审计风险评估体系架构

风险评估体系架构分为三层,第一层为评估目标和原则,第二层为评估内容(“9+X”风险)和对象(依据审计专业体系),第三层为评估标准(风险矩阵)、方法(综合运用)和结果(分级管理)。

(二)内部审计风险评估的目标和原则

内部审计风险评估需遵循以下五个主要原则:一是审慎性原则。二是重要性原则。三是定性与定量评价相结合原则。四是合理估计原则。五是成果复用原则。

(三)内部审计风险评估的内容

商业银行各类业务中的“9+X”风险(信用风险、市场风险、流动性风险、操作风险、国别风险、银行账户利率风险、声誉风险、战略风险、信息科技风险以及其他风险),构成了内部审计风险评估的主要内容。

(四)内部审计风险评估的对象

根据审计业务不同阶段的要求,内部审计风险评估可以分为审计计划阶段风险评估和审计实施阶段风险评估。审计计划阶段风险评估的目标是确定高风险的审计单元,风险评估的对象为潜在的审计单元,可以从机构和业务两个维度划分。审计实施阶段风险评估的目标,一是评估业务事项控制风险的大小,二是评估业务事项剩余风险的大小。

(五)内部审计风险评估的标准

商业银行开展内部审计风险评估,需要建立一套统一的总体评估标准,以便于对不同的业务,形成可供比较的风险评估结果。一般情况下,可以综合风险事件发生的可能性、风险对业务目标的影响程度,确定总体评估标准。在总体评估标准下,可以根据各类业务的具体情况,分别确定具体的评估标准。

(六)内部审计风险评估的方法

审计常用的风险评估方法包括风险矩阵、头脑风暴法、问卷调查法、流程分析法等。

(七)内部审计风险评估的流程

风险评估的过程可以分为风险识别、风险分析(风险计量)和风险评价阶段。

(一)风险评估体系在审计计划阶段的应用

审计计划阶段风险评估以业务单元、机构单元为基础,围绕战略目标实现,识别主要风险,确定评估标准,评估风险,形成风险评估结果,按照风险导向、监管导向、经营管理中的问题导向和审计活动周期覆盖原则,确定审计活动优先级,形成审计计划。根据实施审计项目的业务事项控制风险、剩余风险评估及业务变化情况,开展持续风险评估。审计计划风险评估一般按年度进行。

(二)风险评估体系在审计实施阶段的应用

审计实施阶段风险评估由审计组或审计人员实施,评估对象是所审业务单元的业务事项和控制点。审计实施阶段风险评估,贯穿审计项目各个阶段。审计组或审计人员通过控制风险初步评估、控制测试或扩大测试、评估控制风险,得出控制有效性评价结论。在此基础上,可以形成对所审业务单元的风险评估结论,对审计计划阶段风险评估结果进行验证。

构建系统、科学的内部审计风险评估体系,是商业银行内部审计在新形势下帮助组织应对重要风险挑战的核心基础性工作。商业银行内部审计必须建立有效沟通的工作联系机制、建立敏捷高效的动态分析调控机制、建立持续创新的专业研究机制,立足于统筹发展和安全,紧跟商业银行未来发展趋势和风险变化,持续探索、应用和完善内部审计风险评估体系,不断提升内部审计工作质效,助力商业银行高质量发展。

节选自《中国内部审计》2023年第7期

作者:王青松 纪伟东

单位:中国建设银行股份有限公司山东总审计室

编辑:孙哲

目前150000+人已关注我们,您还等什么?

点击这里立即订阅