风险导向审计理论在商业银行内部审计中的应用

西南交通大学公共管理学院 李 阳

一、商业银行内部审计现状

（一）内部审计职能无法满足管理者需求 我国商业银行通过学习国外的先进管理审计经验，包括国外在审计范围、财务收支内容、经营业务范围等各个方面都得到了长足的进步，审计范围得到了很大的扩展，从财务经营等逐渐扩展到了银行的一些风险评估，经营活动的评价等事项上，审计效率和效果得到明显改善，不过商业银行内部的审计仍然采用，合规性审计，涉及的领域还十分有限，对银行的风险管理，财务检查等范围并未涉及到，审计模式主体处于财务导向审计阶段，无法满足商业银行经营管理者的审计需求，即管理者扩展审计范围，改变审计形式，对风险和收益进行审计。

（二）审计技术跟不上社会经济环境变化 以计算机网络为基础的审计系统，将审计过程变成一个计算机处理过程，不仅增强了审计速度，而且提高了审计的正确率，但是，我国商业银行的信息化水平并不高，银行内部的审计还主要停留在人工计算的阶段，即使有计算机的帮助，也没能够形成一个覆盖面广、多层次的审计管理系统，缺乏稳定性和持续性。商业银行仅仅是被动的凭借经验主管判别，很少运用科学有效的审计方法，而经济大环境日益复杂，风险形式也越来越多样化，在这种情况下，必须变革审计体系，采用更加科学有效的审计方法。

（三）商业银行内部各部门间缺乏合作 商业银行的持续发展要想得到保证，就需要建立一个切实可行的交流通道，建立一个全面的沟通各部门的审计体系。但是，实际操作中我国商业银行各个部门并没有与内部审核建立密切的联系，内部审核不能够全面审查银行内部各个部门的经济管理情况，难以做出有效审核，达不到提高商业银行抵抗风险能力的效果。

二、C商业银行风险导向审计应用分析

（一）C商业银行风险导向审计概述 商业银行内部审计工作主要是在审计计划方面应用了风险导向审计理论。2002年初为了加强审计理论的研究开发工作，C银行审计部首次提出“借鉴国际商业银行内部审计的经验和做法，研究探索商业银行审计系统试用的风险评估模型，建立以风险为导向的年度审计计划制定模式”；2003年末在全行审计经验与方法交流研讨培训班上，进一步探讨风险导向审计技术与方法，形成审计计划体系建设方案雏形；2004年C商业银行审计部抽调业务骨干，重点研究开发审计计划体系和与之相配套的内部控制评价体系，随后在总行和上海、四川两个省市一级分行开展试点。2005年在试点成功基础上总结、修改和完善，形成目前的正式的商业银行的审计方式。商业银行目前是以风险导向和进行风险的评估为核心的审计体系，并且以此为前提制定审计项目的备用策略。

（二）C商业银行风险导向审计应用总体框架 商业银行审计计划体系基于风险导向审计理论基础和实践经验，借鉴国内外通行的经营风险计量技术，定量评估经营风险。立项的方策、审计单位的明细加上风险评估构成了商业银行内部审计体系的大体内容。其中，立项是商业银行内部审计系统的适用部分，综合风评的结论和一些审计要求来确定相应的备用审计策略。审计单位明细则是审计体系的根本所在，经过划分明细审计项目，产生了细分后的基本单位。风险评估则是一个过渡的阶段，风评通过对整个审计单元，业务状况，公司经济状况的综合考虑，为最后决策出力。风险评估至关重要，包含ACEL风险评价、风险综合。

（三）C商业银行风险导向审计应用具体思路

（1）风险初评思路。风险初评以划分审计单元为基础，在取得必要的测算数据基础上，进行审计单元风险因子计算，进而测算出该单个审计单元风险，经过机构纵向和审计单元横向的风险评估测算出机构或这一审计单元业务的风险，进而完成风险初评，评估思路如图1所示。

图1 BASEL评估思路图

审计单元是指可以单独立项进行审计的单元，每一审计单元均包括机构层级与业务品种（不同业务品种根据风险特征与操作流程的同质性可以进行适当合并）两个维度。审计单元的划分应体现风险可度量与经济可审性原则。因此，按照该行四个层次与若干个业务品种可以组合出n个审计单元。为叙述方便，以一级分行及其主要业务范围来进行阐述。从一级分行经营管理的主要业务产品来看，经营风险主要来自于信用风险与操作风险。由于资金交易类业务（交易账户头寸）主要集中在总行运作，一级分行以下掌握的头寸极少，市场风险的管理也相应集中在总行，因此，对一级分行的评价暂不考虑这部分内容。一级分行业务范围及风险分布状况如表1所示。按照表1所示的信用风险和操作风险的在各业务单元的分布情况，对各业务单元的两大风险进行测算。审计单元信用风险绝对额=正常资产的年末余额*正常类资产可能的损失参数+关注类资产可能的损失参数*关注类资产的年末余额+次级类资产可能的损失参数*次级类资产年末余额+可疑类资产可能的损失参数*可疑类资产年末余额+损失类资产可能的损失参数*损失类资产年末余额；审计单元操作风险绝对额=资产业务的一些或者一部分参与资产的绝对额+行业银行负债风险绝对额+商业银行中间业务操作风险的绝对额；根据审计计划体系设计目标要求，使用经营风险通用计量方法全面分析内部控制的滞后作用，即其可能会延迟对风险的经营，并且错误的认为经营风险只是简单的前期风险控制和固有风险的合力，同样的，假设固有风险的不变性即在审计期间固有风险是固定不变的，并且将固有风险结合前期对风险的控制和风险的经营测算，得到当前控制下修正过来的风险初评结果，达到考虑内部控制变化情况，并适当补偿风险低估部分的目的。其中，审计计划体系使用的数学模型为：经营风险测算相对值拟合模型M=X*Y，M为经营风险测算相对值，X为固有风险，Y为前期控制风险。该模型的特点是对高端固有风险较为敏感，对低端控制风险不敏感。经营风险评估相对值拟合Z=Y*X*［16/（Y+X）-1］/7（X，Y的值在0%-100%之间）。其中，Z为经营风险评估相对值，X为固有风险，Y为当期控制风险。该模型的特点是对低端（控制）风险较为敏感，对高端（固有）风险的存在则容易忽略。审计单元风险初评是审计单元风险的一套相对有效的方法，这个方法是基于巴塞尔资本协议风险计量技术而设计出来的，最后将各个审计单元的审计结果结合起来，得到初评结果。风险初评结果最终将以表2格式输出。

表1 一级分行业务范围及风险分布状况

表2 风险初评输出结果

（2）经营机构ACEL风险评价。经营机构ACEL风险评价是一套结合骆驼评级体系（以下简称CAMELS）和ROCA商业银行的分支所进行风险评估的方式，这些分行改进风险评估的方式，能够避免一些不必的步骤而直接获得ACEL的评价结果，而这些结果可以作为审计风险初评结果的参考。经营机构ACEL风险评价具有整体性，将机构看成一个统一的整体，从内部控制、资产的安全性、流动性状和盈利状况出发进行评价。CAMELS商业银行风险评价体系是国外金融监管机构的一种评价系统，这种评价是通过金融机构的资产质量、资本、收益、管理、市场风险敏感度和流动性六个指标来评价商业银行所面临的风险及运作是否安全。CAMELS采取五级评分体系，评价的标准就是六项参考指标，定为1-5级，等级依次降低，最后综合各项指标做出综合判断。综合得分的由来很复杂，并不是简单的参考六项指标的结果直接得到的，而是监管者参考能够得到的各方面的信息，给予每个金融机构一个适当的权重，这个权重只是一个参考值或者说是估计值，而且，金融机构可能会有资产损失，那么这些机构对损失资产的吸收能力就应该被当作重要的参考数据，综合等级一般不能高于资本（C）或资产质量（A）的等级。ROCA风险评价体系是用于客观地评估单一分行的经营稳健性和持续经营能力，并突出需要特别关注领域的一种风险监管技术，不用于评估法人银行的整体状况，却关注法人银行不可或缺的组成部分——分行所具有的独特组织和经营特征。营运控制、风险管理、资产质量和合规性是组成ROCA风险评价体系最重要的四点。在对国外商业银行进行信用和风险评价的时候我国的银行业监察委员会在采用传统手段的同时也会应用此技术进行深入审查。经营机构ACEL风险评价体系重点关注了内部控制解构和资产质量两个方面，在ACEL评价结果中这两个部分内容占了七成比重。其中，资产安全性评价指标的内容及占比见表3。直接应用该行内部控制评价项目产生的经营分支机构内部控制评价最终结果。盈利状况评价指标的内容及占比见表4。流动性状况评价指标的内容及占比见表5。按照上述指标测算值及其占比权重，可计算得出各机构的ACEL评分，并得出如表6所示的ACEL评价结果。

表3 资产安全性评价指标的内容及其占比

表4 盈利状况评价指标的内容及其占比

表5 流动性状况评价指标的内容及其占比

表6 经营机构ACEL风险评价输出结果

（3）风险综合思路。审计单元风险初评的缺陷在于目前风险计量技术并不成熟，所以风险评估结果可能并不精确，为了弥补这一缺陷，在风险综合阶段要对初评结果进行校正。为了保证风险评估结果的客观、准确，用改良的CAMELS商业银行风险评级体系实施对分支机构风险评级，然后将审计单元风险评估的机构风险评价结果和CAMELS机构风险评价结果综合，得到最终的机构风险评价结果。再据此按同比调整审计单元风险评估产生的各审计单元风险初评结果，得到最终风险评估结果，弥补全部定量评估风险的缺陷。从而综合两套风险评价体系完成本体系的风险评估。风险综合流程如图2所示。

图2 风险综合流程示意图

（4）风险评估总体过程。风险评估总体过程可以用一个数据集函数表达式表示：Y=f0（B，f 1（A，B，X），f2（A，B，f3（A，X），X））。其中：Y为风险评估结果数据集；A为来源于业务部门的业务数据集，主要包括会计总账数据、信贷资产质量数据、非信贷资产质量数据三部分；B为来源于审计部门的数据集，主要包括依据内部控制评价体系得到的审计单元内部控制评分、风险评估人员设定的风险评估参数；X为风险评估人员根据有关信息确定的重大调整事项对应的数据集A的调整数据集；f3(A，X)为派生指标计算结果数据集；f1（A，B，X）为审计单元风险初评（简称BASEL评估）结果数据集；f2（A，B，f3（A，X）为经营机构ACEL风险评价结果数据集；f0（B，f1（A，B，X），f2（A，B，f3（A，X），X））这数据是从审计单元风险初评结果综合了经营机构ACEL风险评价结果而得到的，是一个风险评估结果的数据的集合；数据集函数表达式中，A、B数据集视为函数的常量数据集输入，X数据集视为函数的变量数据集输入，风险评估过程中根据f3、f2、f1、Y的评估结果进行分析性复核，进而不断调整X变量数据集，得到满意的风险评估结果Y数据集。依据满意的风险评估结果Y数据集，结合重大调整事项情况，进行风险评估结果的处理。风险评估总体过程如图3所示。审计单元风险初评和经营机构ACEL风险评价有本质的不同，但是也拥有一些共同的特性，例如两个都是定量评价为主要支柱的，而定量评价具有局限性，即不能够评价一些固定风险，发生这样的事情的话，审计体系则直接使用内部控制评价体系的评价结果来包容此缺陷，。因此，风险评估是以定量评价为主，定量评价与定性评价相结合的过程。

（5）立项策略具有充分的灵活性。立项原则是立项策略的灵魂，内容主要包括周期覆盖、风险导向、统筹兼顾、分级分类和优化组合等。目前审计计划体系文件中，立项策略是根据C行当时审计管理体制、运行机制和审计资源状况确定的指导性选项策略，而非指令性选项策略。实际使用应当在综合了审计对象和机构的实际情况下坚持立项原则，并且不能不充分考虑其他的一些因素，例如审计资源状况等。

图3 风险评估总过程

［1］王光远：《现代内部审计十大理念》，《审计研究》2007年第3期。