銀行風險管理和內部審計之間的關係

風險管理和內部審計是現代銀行必須注意的兩大問題，你知道什麼是風險管理和內部審計嗎?下面是yjbys小編為大家帶來的關於銀行風險管理和內部審計的知識。歡迎閲讀。

風險是指發生對目標的實現可能產生影響的事件的不確定性。風險的衡量標準是後果與可能性。風險管理是指對影響組織目標實現的各種不確定性事件進行識別與評估，並採取應對措施將其影響控制在可接受範圍內的過程。風險管理主要包括風險識別、風險評估、風險應對三個階段。可見，風險管理是現代企業管理的一項主要內容，為了實現企業的工作目標，企業管理層應當確保企業中存在良好的銀行風險管理(風控網)過程並使其發揮作用。

中國內審協會對內部審計的定義是：“內部審計是指組織內部的一種獨立客觀的監督和評價活動，它通過審查和評價經營活動及內部控制的適當性、合法性和有效性來促進組織目標的實現”，而“風險管理是組織內部控制的基本組成部分，內部審計人員對銀行風險管理的審查和評價是內部控制審計的基本內容之一”，也就是説風險管理是內部審計的重要內容。

國際註冊內審師協會對內部審計的描述是：“內部審計是一種獨立、客觀的保證工作與諮詢活動，它的目的是為機構增加價值並提高機構的運作效率。它採取系統化、規範化的方法來對風險管理、控制及治理程序進行評價，提高它們的效率，從而幫助實現機構目標。”並且指出“內部審計應該就管理層的風險管理過程的充分性和有效性進行檢查、評估、報告，並提出改進意見”。可見，國際先進內審理念已明確將銀行風險管理作為內部審計的重要內容，現代內部審計的範圍已從傳統的財務審計擴大到風險管理和公司治理層次上，有效的風險管理機制和健全的公司治理結構已成為現代內部審計關注的重點。

在現代內部審計工作中，內部審計與風險管理有了明確的結合點——風險管理審計。風險管理審計是在帳項基礎審計和制度基礎審計基礎上發展起來的一種審計模式，是指審計人員在對被審單位的內部控制充分了解和評價的基礎上，運用一定的審計手段，分析、判斷被審單位的風險所在及其風險程度，針對不同風險因素狀況、程度採取相應的審計策略，加強對高風險點的實質性測試，將內部審計的剩餘風險降低到可接受水平。2005年5月1日中國內審協會頒佈了“內部審計具體準則第16號——風險管理審計”，銀行風險管理審計作為先進的審計理念和審計內容正式步入我國內審領域。

因此，作為現代企業管理的重要內容，內部審計與風險管理的聯繫日趨緊密。內部審計本身就是企業管理的一種手段和方式，是內部管理的延伸;風險管理是企業管理的重要內容，同時也是現代內部審計的重要內容之一，內部審計負有識別和評估風險的責任。風險管理作為管理層一項關鍵責任，企業管理層對其負有不可推卸的責任;內部審計師則有職責定期評價並協助其他部門進行風險管理，在改善管理層的銀行風險管理流程效果和效率方面進行檢查、評價、報告和提出審計建議，幫助識別、評價和實施風險管理方法和控制。內部審計和風險管理在企業中的目標是一致的，都是為了實現企業的組織目標。

在銀行風險管理審計中，風險管理成為組織中的關鍵流程，分析、確認、揭示關鍵性的風險，成為內部審計的主要職責。

　　(一)內部審計將風險管理納入審計範疇，有助於實現企業全面工作和總體目標的實現。

現代企業面臨的經營環境日趨複雜，風險日益增大，減少面臨的風險是企業實現價值最大化目標的關鍵。內部審計採取系統化、規範化的方法促進建立風險管理過程，通過內控制度的評價，對公司經營活動進行風險識別和評價，改進銀行風險管理與控制體系，提請管理層關注風險，從而完善企業管理，轉化負面風險，提升企業競爭能力和應變能力，最終實現企業目標。

對企業而言，對風險識別、防範和控制需要從全局考慮，而企業本身是多個部門的集合，各業務部門很難做到這一點。內部審計在企業中具有相對獨立的地位，決定其能站在全局的高度相對超脱地獲得企業內部控制、經營管理活動及銀行風險管理等方面的信息，向管理層提供創造性思維，提出科學合理的建議，避免風險帶來的損失。

所以無論是從全局工作還是實現總體目標的角度來看，內部審計都有職責融入風險管理。內部審計將風險管理納入審計範疇，對實現企業全面工作和總體目標將發揮及大的作用。

　　(二)內部審計的相對獨立和與企業一體性的獨特地位，決定了其對企業風險的揭示更準確更有效。

從企業內部看，現代企業建立了各級風險管理組織層次，包括風險控制委員會、內部審計部門、專職風險監管部門。但風險監管部門往往做為一個職能部門隸屬於各級管理層，不具有獨立性，其意見有時會屈服於管理當局的壓力，這使得風險管理部門的作用受到限制。在現代企業中，內部審計部門獨立於管理部門，在現代企業公司治理構架中，內部審計往往隸屬於董事會或審計委員會，直接向董事會負責，其風險評估的意見可以直接報送給董事會，提出的意見與建議更具權威性。

從企業外部看，外部審計從獨立、客觀的角度對企業的財務報表進行審計和對企業的內部控制進行復核，經常能提供一些有用的信息影響到銀行風險管理。但他們更多地圍繞企業會計報表的合法、公允、一貫性開展工作，對企業管理環境和運作過程不十分熟悉，決定其提供的風險管理服務不能做到貼近內部管理，不能對銀行風險管理的有效性負責。而內部審計部門對企業面臨的風險更瞭解，在風險管理方面擁有外部審計師無可比擬的優勢。他們以風險發生可能性大小為依據，深入經營管理過程和行為，在業務經營、財務管理、費用控制等各方面查找並防範風險，通過內部視角，敏鋭觀察經營過程中不斷變化的風險因素，快速傳遞管理中存在的缺陷或失敗，促使董事會和高級管理層做出快速反應，及時採取措施，防範和糾正不當行為。

　　(三)風險因素始終貫穿於內部審計的整個審計程序，使內部審計成為風險控制程序的重要補充。

內部審計人員應用現代風險導向審計模式，從整體上把握審計風險因素，合理整合審計資源，警惕可能影響目標、運營和資源的重大風險，最大限度地減少審計風險。在審計計劃、審計實施、審計報告階段，將風險作為重要考慮因素，在整個審計過程貫穿對風險的關注，充分考慮風險管理的充分性和有效性。具體講，在審計計劃階段，內部審計應該考慮企業活動存在的風險，在評估風險優先次序的基礎上安排審計工作，按照風險大小分配審計資源;在審計實施階段中，審計通過檢查、評價風險管理過程的充分性和有效性，發現風險控制的漏洞和薄弱環節;在審計報告階段，對風險管理狀況進行評價，對銀行風險管理中存在的漏洞和不足提出改進建議，協助確定、評價並實施針對風險管理的方法和控制措施。

內部審計可以從風險識別、風險評估、風險應對三個階段參與銀行風險管理，通過審查和評價企業風險識別、風險評估、風險應對的充分性、適當性、有效性，來識別、報告潛在重大風險，提出應對措施，同時通過落實審計建議督促企業採取有效的風險控制措施。

　　(一)審查和評價企業風險識別的充分性和適當性。

風險識別是管理層的職責，主要是根據企業的組織目標、戰略規劃等識別企業所面臨的各類內、外部風險。是對企業所面臨的、以及潛在的各類內、外部風險加以判斷、歸類和鑑定風險性質的過程，實質上就是對風險進行定性研究。

內部審計人員通過實施必要的審計程序，對企業風險識別過程進行審查與評價，重點關注企業面臨的內、外部風險是否已得到充分、適當的確認。外部風險是指外部環境中對組織目標的實現產生影響的不確定性，其主要來源於國家法律法規及政策的變化、經濟環境的變化、科技的快速發展、行業競爭、資源及市場變化、自然災害及意外損失等。內部風險是指內部環境中對組織目標的實現產生影響的不確定性，其主要來源於組織治理結構的缺陷、組織經營活動的特點、組織資產的性質以及資產管理的侷限性、組織信息系統的故障或中斷、組織人員的道德品質、業務素質未達到要求等。內部審計部門要關注企業已識別風險的完整性，即企業所面臨的主要風險是否均已被識別出來，並找出未被識別的主要風險。這就需要內部審計人員也要對企業的風險進行有效識別，從而審查和評價企業對風險識別的充分性和適當性。內部審計熟悉公司的經營管理過程，以風險敏感性分析為起點開展工作，有效識別風險，從潛在的事件及其產生的原因和後果來檢查風險，收集、整理可能的風險，並充分徵求各方意見以形成風險列表。內部審計通常要關注的主要風險有：財務和經營信息不足而導致決策錯誤;資產流失，資源浪費和無效使用;顧客不滿意，企業信譽受損等。

　　(二)審查和評價企業風險評估的適當性和有效性。

風險評估是對已識別的風險，評估其發生的可能性及影響程度。風險評估主要應用各種管理科學技術，採用定性與定量相結合的'方式，找出主要的風險源，並評價風險的可能影響，最終定量估計風險大小。風險評估的目的是確定每個風險要素的影響大小，一般是對已經識別出來的風險進行量化估計，從風險發生的可能性和影響兩方面對風險進行評估，通過公式：風險值=風險概率×風險影響，計算出風險值。

內部審計部門在審查和評價企業風險評估時要重點關注風險發生的可能性及風險對組織目標的實現產生影響的嚴重程度。為了更好地審查和評估企業的風險評估，內部審計人員應當充分了解和掌握風險評估的方法，風險評估可以採用定性或定量的方法進行：定性方法，是指運用定性術語評估並描述風險發生的可能性及其影響程度;定量方法，是指運用數量方法評估並描述風險發生的可能性及其影響程度。內部審計部門和內部審計師要對已有的風險的評估結果進行再檢驗，以確定其是否恰當，對不恰當的評估予以更正。風險分析中，審計師不僅要關注風險的數量方面，還要關注風險的屬性方面或其承載價值的後果。同時，內部審計人員應當對管理層所採用的風險評估方法進行審查，以評價風險評估方法的適當性和有效性，審查時重點考慮以下因素：已識別的風險的特徵、相關歷史數據的充分性與可靠性、管理層進行風險評估的技術能力、成本效益的考核與衡量及其他因素。內部審計人員在評價風險評估方法的適當性和有效性時，應當遵循以下原則：定性方法的採用需要充分考慮相關部門或人員的意見，以提高評估結果的客觀性;在風險難以量化、定量評價所需數據難以獲取時，一般應採用定性方法;定量方法一般情況下會比定性方法提供更為客觀的評估結果。

　　(三)審查和評估風險應對措施的適當性和有效性。

風險應對是採取應對措施，將風險控制在組織可接受的範圍內。完成了風險評估後，確定存在的風險以及它們發生的可能性，排列出風險的優先級，就可以根據風險性質和承受能力制定相應的防範措施。根據風險評估結果作出的風險應對措施主要包括以下幾個方面：一是迴避，是指採取措施避免進行可產生風險的活動;二是接受，是指由於風險已在組織可接受的範圍內，因而可以不採取任何措施;三是降低，是指採取適當措施將風險降低到組織可接受的範圍內;四是分擔，是指採取措施將風險轉移給其他組織或保險機構。

內部審計人員在評價風險應對措施的適當性和有效性時，應當考慮以下因素：一是採取風險應對措施之後的剩餘風險水平是否在組織可以接受的範圍之內;二是採取的風險應對措施是否適合本組織的經營、管理特點;三是成本效益的考核與衡量。內部審計人員對有關部門針對風險所採取的防範措施進行審查，對於風險缺乏充分的控制措施的情況，內部審計部門和內部審計人員應提出改進措施和建議，協助完善風險反應方案，以強化企業的風險防範管理，降低風險損失。

　　(四)充分利用高科技手段對風險進行持續、動態的監控。

企業風險並非一成不變，隨着時間的推移，風險有可能會增大或者減小。因此，需要時刻監控風險的發展與變化情況，並確定隨着某些因素的出現或消失而帶來的新的風險。風險監控包括兩個層面的工作：其一是跟蹤已識別風險的發展變化情況，關注風險產生的條件和導致的後果變化，衡量風險減緩計劃需求。其二是根據風險的變化情況及時調整風險應對措施，並對已發生的風險及其遺留風險和新增風險及時識別、分析，並採取適當的應對措施。對於已發生過和已解決的風險也應及時從風險監控列表調整出去。隨着現代化科技技術在內部審計部門的廣泛應用，非現場審計正在成為審計工作的重要手段，特別是商業銀行電子化、網絡化發展迅速，數據集中程度較高，基本形成了以計算機網絡為中心的業務處理系統，在業務處理系統和銀行風險管理信息系統中設置審計接口，建立各項業務數據資料庫，使內部審計部門適時開展動態的日常非現場監測成為可能。審計人員可以通過數據接口適時對各業務開展動態的非現場審計監測，獲得審計線索;同時，通過利用先進的計算機工具和軟件程序，可以擴大抽樣範圍、提高分析速度和評估的準確率，從而極大地提高審計監測履蓋面和監測效率。