商業銀行內部審計剩余風險評估中存在的問題與對策

[中圖分類號]F832.33 [文獻標識碼]A [文章編號]1009-2234(2008)02-0160-01

剩余風險評估是實施審計追蹤的一個重要環節，也是評價審計對象內部控制的健全性、合理性、遵循性的基礎和前提。商業銀行的內部審計準則中規定：“審計人員應當評估審計項目(或審計事項)的剩余風險，以確定對被審計單位所采取的糾正措施及其效果的可接受程度”。準則中所稱的剩余風險是指；“被審計單位采取糾正措施后，審計機構(或審計組)對特定審計項目(或審計事項)評估的風險”，其實質是重新評估審計對象的控制風險，以確定剩余風險的可接受程度，保障銀行體系安全穩健的運行。

管理層從加強內控建設、規范操作，防范風險的角度考慮，總是希望審計發現的問題都能夠得到有效的整改。但在實際工作中，往往存在一些未整改或無法整改的問題，對這些問題審計報告中只是簡單地進行了陳述及提出一些缺乏針對性的建議，而忽略了對剩余風險的重新評估及采取相關的措施。所以說：對剩余風險的評估是管理層和審計機構應予以充分關注的問題，也是審計人員普遍感到難以把握的問題，現結合審計工作的實際，對目前剩余風險評估中存在的一些實際問題及采取的相關措施與大家一起探討，以揭示剩余風險評估中存在的問題與對策：

一、剩余風險評估中存在的主要問題

1 目前尚未制定統一的、規范的剩余風險評估模型及操作規范

商業銀行內部審計準則中，要求審計人員應當評估審計項目(或審計事項)的剩余風險，以確定對被審計單位所采取的糾正措施及其效果的可接受程度。目前，相關部門雖然制訂了《審計剩余風險評估指引》，但也只是處于試運行階段，在商業銀行的內部審計管理中尚未形成一個規范的、標準化的剩余風險評估模型及操作規范。

2 為實現組織的戰略目標，管理層尚未制定被檢查業務可接受的剩余風險水平

為實現組織的戰略目標，各商業銀行逐步建立了以風險管理為基礎的內部控制管理體系，為建設風險管理文化，確立風險管理理念，提高風險管理能力發揮了積極的作用。但是由于金融業務的復雜性和審計發現問題的多樣性，形成了不同業務方面、不同業務問題的控制難易程度的不同，由此決定了剩余風險的可接受的程度不同。

目前，各商業銀行的管理層尚未根據業務的類型和業務的層面，按問題的性質、重要程度、整改成本、整改狀況、對未來的影響程度等因素，來確定剩余風險的可接受程度及可接受的剩余風險水平。

3 對剩余風險問題未能實行有效的分類與分配，使組織存在導致風險水平無法接受的情形

金融業務的復雜性和問題層面的多樣性，決定了剩余風險問題的多樣性，在對剩余風險的管理中，審計部門和執行管理層都存在未采取恰當的措施，作出合理反映的情況。一是審計部門對未整改問題存在的剩余風險未能進行有效的分類，具體包括：未整改、無效整改、無法整改等情況，同時未能定期接收管理層對剩余風險問題的整改處理情況；二是執行管理層對存在的剩余風險未能實現有效的分配和落實，未能定期報告對剩余風險的控制及整改情況，導致剩余風險仍高于預期的水平。

4 對存在的剩余風險問題，審計工作只以報告為主，卻未有得到令人滿意的具體解決方式和答復

目前，各級審計部門對存在的剩余風險，只是按照工作程序以報告的形式逐級報告，缺少就此問題與各級管理層進行充分的討論；同時，各級管理層對存在的剩余風險，是否采取相應的糾正措施，是否承擔了不采取糾正行動而產生的風險，對此審計部門未有得到令人滿意的答復，甚至存在不了了之的情況。

5 審計部門對剩余風險未開展持續的、定期的、有效性的再監督與再評估

審計部門對被檢查單位上報整改報告后尚存的剩余風險，缺乏持續、有效的監督與評估。一是對整改報告中已整改問題的真實性缺乏有效的再監督；二是對未整改問題的形式、非法侵入的程度、后果的嚴重性、風險程度缺乏再評估；存在審計報告一報了之的情況；同時，也未確立被檢查單位需對未整改問題的定期報告制度。

二、采取的對策

1 審計部門應參照國際上對剩余風險評估的先進技術和方法，盡快開發和運用適合商業銀行的規范性的剩余風險評估模型和方法，以便對各類剩余風險進行持續的評估與監控。同時，審計人員還應輔以專業判斷，在不斷提高識別風險的綜合分析能力的基礎上，借助于風險評估模型，對剩余風險做出恰當地評估。

2 制定以目標為基礎的剩余風險管理措施和可接受的剩余風險水平，把剩余風險減少至管理層和董事會均可接受的程度。各級管理層應按業務類型和業務層面，從定性和定量兩個方面來確定可接受的剩余風險水平。在定性方面：按問題的性質、重要性及對未來的影響程度等方面來確定相應標準；在定量方面：按一定的金額、一定的百分比及整改所需要的成本等量化指標，把剩余風險限制到一個可容忍的水平，為有效的、經濟的實現組織目標提供合理的保證。

3 隨著審計范圍的不斷擴大，審計業務的不斷深入，審計部門應對其完成的審計項目存在的剩余風險進行詳細分類，并逐層報告、逐層落實，同時要求執行管理層定期報送對剩余風險整改情況的報告；各級執行管理層也應明確哪些風險是嚴重的?現有的哪些控制是可以減少風險的?哪些額外的補償性控制是必需的。并采取措施層層控制、層層落實等方式，使剩余風險達到預期的控制范圍。

4 審計部門對存在的剩余風險應與各級管理層進行充分的討論，對實在無法解決的剩余風險或因管理層考慮到成本、費用和其他方面等因素，決定不采取相應的整改措施，并承擔由此引起的風險，審計執行主管與各級管理層應將此事報告上級行或董事會以尋求解決，對管理層或董事會的處理意見，亦應以書面的形式傳達至各級審計部門，以便于審計部門對剩余風險的再評估。

5 審計部門應盡快制定相關的控制程序，用以解決、監督和控制這些剩余風險，同時應充分利用非現場審計信息系統，對剩余風險進行持續、有效的監督與評估；同時，管理層也應確立剩余風險問題的定期整改報告制度，以便于審計部門重新評估審計對象的控制風險，幫助組織實現其目標。

(責任編輯：楊永波)