论风险导向审计在商业银行风险管理中的应用

五条规定：“内部审计部门应在年度风险评估的基础上确定审计重点，审计频率和程度应与银行业金融机构业务性质、复杂程度、风险状况和管理水平相一致。对每一营业机构的风险评估每年至少一次，审计每两年至少一次。”结合我国各商业银行实际，我们认为内部审计部门每年应当于第四季度对支行级以上单位(含二级分行、一级分行)开展一次内部控制综合评价，发现风险在不同的经营机构、业务品种的分布情况，根据内部控制及风险管理状况把分支机构划分为一、二、三、四类等不同的等级。在此基础上，结合当年其他内外部审计及检查情况，对所有营业网点进行一次风险评估，划分为高、中、低风险网点。在综合评估辖内各分支机构、业务品种风险状况的基础上，有的放矢地制定年度审计计划(包括审计项目、覆盖对象、时间安排等)，对高风险的单位和业务投入更多的审计资源，确保审计频率和程度与所在银行业务性质、复杂程度、风险状况和管理水平相一致。
　(三)以风险管理为中心再造审计流程。商业银行应按照中国注册会计师审计准则中阐述的三个部分的审计业务流程和程序实施风险导向审计。第一步是风险评估程序。在了解被审计单位及其环境(包括内部控制)的基础上，评估会计报表层次和认定层次的重大错报风险。作为风险评估的一部分，审计人员应当运用职业判断，确定识别的风险哪些是需要特别考虑的重大风险。应当重点考虑下列事项：(1)风险是否是舞弊风险：(2)风险是否与近期经济环境、会计核算和其他方面的重大变化有关；(3)交易的复杂程度；(4)风险是否涉及重大的关联方交易；(5)财务信息计量的主观程度，特别是对不确定事项的计量存在宽广的区间；(6)风险是否涉及异常或超出正常业务范围百勺重大交易。第二步是控制测试程序。控制测试的目的是为了测试内部控制在防止、发现并纠正认定层次重大错报方面的运行有效性。第三步是实质性程序。实质性程序包括对重大的各类交易、账户余额、列报的细节测试以及实质性分析程序，目的是为了发现认定层次的重大锚报，以获取适当的审计证据。
　　(四)突出抓好重点金融风险(信用风险、操作风险)的审计。在商业银行面临的八大风险中，由于我国商业银行国际业务比重较小，相应国家和转移风险、市场风险的风险敞口较小，在现行体制下利率风险、流动性风险、法律风险、声誉风险也不太突出，且上述风险主要由外部监管部门(央行及银监会)监管，因而不是内部审计部门的审计重点。当前，我国商业银行面临的首要风险是信用风险(即因交易对象无法履约而损失贷款的风险)，2007年12月末我国商业银行贷款总额206万亿元，占当年中国GDP总额24_7万亿元的83％，其中不良贷款12684"fL元，占全部贷款比例为6．17％，如果加上历年已核销及剥离到资产管理公司的不良贷款，不良贷款总额高达数万亿元。其次是操作风险。操作风险是指由不完善或有问题的内部程序、员工和信息科技系统，以及外部事件所造成损失的风险。根据中国银行业监督管理委员会2007年发布的《商业银行操作风险管理指引》第六条规定，“商业银行董事会应将操作风险作为商业银行面对的一项主要风险”；第十一条规定：“商业银行的内审部门不直接负责或参与其他部门的操作风险管理，但应定期检查评估本行的操作风险管理体系运作情况，监督操作风险管理政策的执行情况，对新出台的操作风险管理政策、程序和具体的操作规程进行独立评估，并向董事会报告操作风险管理体系运行效果的评估情况。”所以本着风险导向和重要性原则，内部审计部门应该突出抓好信贷业务(主要包括贷款、承兑汇票、信用证、保函等)审计，确保信贷资产安全，防范信用风险；突出抓好各项业务的合规审计以及业务管理部门的自律监管审计，确保规范经营，防范操作风险。
　　(五)对风险突出的经营单位开展集中审计大型国有商业银行点多面广，而审计人员相对较少，以前主要采取审计机构分区域设置、划块包干、抽查审计的方式监督，导致审计力量分散，难以突破重点，难以查深查透问题，导致大案要案及重大经营风险时有发生，甚至长期隐藏未能发现，所以有必要分步推行集中审计方式。所谓集中审计，是指集中审计力量(如集中全国银行系统审计人员审计部分分支行)，集中审计时间(连续审计几十天甚至几个月时间)，开展全面深入审计，从而对一个分支行的业务经营状况真实性、合规性以及内部控制的适当性、健全性和有效性作出总体评价。有计划、分步骤地对内部控制相对薄弱、经营风险较为突出的分支机构开展集中审计，及时识别、化解和防范区域性风险。
　　(六)充分发挥计算机辅助审计在风险导向审计中的先导作用。要通过加强计算机辅助审计系统的软硬件建设，建立各项业务风险识别、衡量、评估分析模型，实现计算机审计系统与柜面、信贷、电子银行等业务系统及相关部门监管系统的对接，逐步实现计算机审计监督的实时化、经常化、全面化。同时，实行“计算机辅助审计首审制”，在每个审计项目实施前，都要运用计算机辅助审计系统进行全面深入的分析，确定主要的风险点，并结合其他部门检查资料和现有的审计资料来确定现场审计的重点单位、重点业务和重点环节，提高审计的针对性、效率性，达到事半功倍的效果。
　　(七)建立风险导向审计数据库。一是要建立审计电子档案及审计发现问题电子台账，逐笔详细登记各项审计检查发现问题，并动态跟踪这些问题的整改情况，从而为后期审计提供非现场资料，督促问题整改，消除风险隐患。二是建立专供计算机辅助审计服务的审计数据服务器，按照事先定制的抽取方案定期从业务生产系统，利用数据抽取工具自动下载到审计数据服务器中，并从管理信息系统中下载必要的报表数据至审计数据服务器，为计算机辅助审计服务。三是建立内外部监管信息交流制度，建立商业银行系统内部其他部门及外部监管部门检查监督资料信息库，为风险导向审计提供参考。
　　(八)提高实施风险导向审计所需具备的内部审计人员执业素质。银行内部审计人员在进行审计时应具备与金融行业及本银行相关的知识结构，主要包括：金融行业经营特点、经济技术指标及行业政策，企业的经营战略、经营环境、经营风险等。要实现审计队伍的优化组合，改变单一的财会型人员的结构，注重聘用一些法律、计算机等非会计审计专业的人才，并对项目审计小组进行科学配备。在审计部门内部分专业或项目划分若干小组，重点研究相关业务的风险及审计对策。在审计执业中，审计人员必须严格按规范执行审计程序，不断提高审计质量与效率。