基層央行風險管理審計研究

王輝　路勇

摘 要：目前，人民銀行內部審計逐步由財務、業務合規性審計向內部控制審計、風險管理審計和績效審計轉變。本文首先闡述了基層央行開展風險管理審計的必要性，其次參考COSO風險管理框架并結合基層央行的實際情況確定了風險管理審計主要框架，明確了審計流程，最后構建了審計評價指標體系。

關鍵詞：基層央行；風險管理審計；ERM框架

中圖分類號：F830 文獻標識碼：B 文章編號：1674-2265（2013）09-0044-04

一、引言

近年來，國內內部審計部門順應國際潮流，推進內部審計的轉型與發展，其重點由以真實性、合規性為主的財務審計轉向以內部控制、風險管理為主的管理審計。人民銀行的內部審計部門也在開展內審轉型，轉型的總體目標是由傳統的財務、業務合規性審計向內部控制審計、風險管理審計和績效審計模式轉變，風險管理審計是內審轉型的重點之一。風險管理審計是對組織風險管理狀況進行審計和評價的一種審計類型，其主要目標是通過分析組織運行中存在的內外風險，評價具體風險管理措施的充分性、合理性和有效性，幫助管理層完善風險管理機制，保證組織目標的實現，增加組織價值。

二、基層央行開展風險管理審計的必要性

人民銀行內部審計部門在履職過程中，承擔了向管理層提供本行風險管理信息、改善本行風險管理的責任，因此開展風險管理審計十分必要。

（一）開展風險管理審計有利于促使基層央行組織目標的完成

風險管理審計將審計視野擴展到基層央行全局，對影響基層央行內外部環境的因素進行統籌考慮、綜合分析。傳統的審計指導思想可以理解為“無利害關系假設”，即假設基層央行的業務運行不存在利害沖突，僅需查找出確實違規的事實即算達成審計目標。而風險管理審計的指導思想是建立在“合理的職業懷疑假設”之上的，審計時不僅僅依賴于上級行的制度規定及基層央行自身設計和執行的各項制度，而且對制度的合理性和風險控制措施的有效性保持合理的職業懷疑。風險管理審計關注基層央行戰略目標的實現程度，把審計的重點放在了識別影響目標實現的風險上，從而促進央行組織目標的實現。

（二）風險管理審計有利于風險管理理念的落實

人民銀行所承擔的諸多重要職能決定著人民銀行的業務處理具有較高的風險性，風險管理的重要性不言而喻。內部審計所特有的監督檢查職能使其成為推行風險管理理念的重要部門之一。通過對某一單位、部門的風險管理審計，一方面使其完善風險管理機制，落實風險管理措施；另一方面也使其認識到風險管理的重要性，提高風險意識。

（三）風險管理審計有利于增加組織價值

傳統的合規性審計主要目標是查錯糾弊，保護資產安全，審計結果往往是事后的，所發現的問題往往具有滯后性。而風險管理審計以風險為基點，改變以往的事后評價體制，轉變為及時主動地開展事前、事中、事后動態評價。風險管理審計不僅關注內部控制的合規性，而且著眼于評估具體控制對風險管理的效果，從而可以更合理地提出控制風險和規避、轉移風險的建議，使風險管理更加有效。傳統的合規性審計關注是否符合制度，有時重點不夠突出，“眉毛胡子一把抓”。而風險管理審計更加關注重要的風險管理和控制，重點更加突出，審計針對性更強。因此開展風險管理審計能夠更好地發揮內部審計增加組織價值的作用。

三、基層央行風險管理審計主要框架

（一）風險管理主要理論

2004年10月，美國COSO委員會（the Committee of Sponsoring Organization）發布了《企業風險管理——整體框架》（Enterprise Risk Management Framework，以下簡稱ERM框架）。該框架得到了風險管理理論界和實務界的認可，很多大型跨國公司和大部分西方中央銀行均是按照ERM框架開展風險管理。

ERM框架由內部環境、目標制定、事項識別、風險評估、風險應對、控制活動、信息和溝通、監控等8個相互關聯的要素構成。ERM框架要求組織首先制定切合實際的目標，從全方位的角度統籌考慮組織面臨的各種事項，區分風險和機會。其次，對識別出的各種風險進行評估，將風險進行高、中、低等級劃分。再次，根據不同等級的風險，結合組織的風險偏好，確定風險應對策略。最后，將風險應對策略落實為具體的控制措施，嚴格執行控制措施，以將風險降低到可以接受的范圍之內。如圖1所示，ERM框架8個要素中，事項識別、風險評估、風險應對、控制活動圍繞著組織目標，形成了全面的、動態的和持續的風險管理過程；內部環境、信息與溝通、監控在整個過程管理中起輔助配套作用。

（二）基層央行風險管理審計流程

ERM框架揭示了風險管理所應考慮的8個要素。開展風險管理審計可將內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通、監控等8個要素作為審計的主要內容，評價被審計單位在這8個方面的情況，找出不足，提出改進措施，從而提升被審計單位整體的風險管理水平。

由于人民銀行組織管理體制的特點，各基層央行的履職目標和業務基本相似。在開展風險管理審計時，審計人員可提前識別出人民銀行履職中的重要風險點，審計中重點關注各個被審計單位對這些風險點的控制情況，而不用針對每個基層央行在審計實施過程中開展風險識別。基層央行風險管理審計的基本流程為：一是組織業務專家對基層央行履職中重點風險點進行識別，形成風險點清單；二是開展審前調查，確定被審計單位具體管理目標，根據風險點清單和被審計單位實際情況制定審計實施方案；三是采用調查問卷、座談、自我評估、控制測試等方式對風險管理8個要素進行審計，審計重點在于被審計單位風險識別的充分性、風險評估的科學性、風險應對的合理性和控制活動的有效性；四是根據審計情況對被審計單位的風險管理狀況進行評價，提出風險管理改進建議。

（三）基層央行風險點識別

按照上述審計流程，提前對基層央行的重要風險點進行識別是開展風險管理審計的關鍵。所識別的風險點可應用于對多個基層央行的審計，并作為評價被審計單位風險識別、評估和應對的基礎。我們對基層央行重要風險點進行識別、評估，一是根據有關法規制度，確定基層央行的19項職能；二是對各項職能所涉及的業務流程進行分析，確定1431個風險點；三是按照風險的發生可能性及影響程度進行風險評估，按照嚴重、比較嚴重、一般和輕微等4個等級對風險點進行劃分；四是將風險程度最為嚴重的285個風險點列入風險管理審計的風險點清單（見表1），據此開展審計。

四、基層央行風險管理審計量化評價體系

為了對被審計單位的整體風險管理狀況進行評價，并且便于不同單位之間進行橫向比較，我們對風險管理審計量化評價進行了研究。一是將風險管理框架中8個要素作為一級指標；二是圍繞反映8個要素的管理狀況，設計了20個二級指標和36個三級指標，并確定了相應的指標計算方法；三是運用層次分析法確定上述指標的權重。

（一）利用層次分析法確定指標權重

層次分析法是美國匹茲堡大學教授薩迪于20世紀80年代中期提出的一種定性分析與定量分析相結合的多目標決策分析方法，具有思路清晰、方法簡便、適用面廣、系統性強等特點，適用于解決多層次因素的復雜問題。

運用層次分析法確定指標要素權重的步驟為：第一，對同層次各評估指標的重要性按“1—9標度法”予以賦值，構造兩兩比較判斷矩陣。第二，運用幾何平均法，求得特征向量（權重向量）。第三，計算判斷矩陣的最大特征根和平均隨機一致性指標CR。第四，若CR<0.1，說明矩陣具有滿意的一致性，可以確定該層指標的權重，否則就需要調整矩陣，直到具有滿意的一致性為止。具體操作方法為：

1. 構造一級指標兩兩比較判斷矩陣。我們采用薩蒂（A.L.Saaty）建議的1—9標度方法，根據本級別8個指標要素之間相對重要性的比較，構建了兩兩比較判斷矩陣，見表2。

2. 運用幾何平均法進行計算：計算判斷矩陣每一行指標元素的乘積[Mi]：[Mi=j=18Aij]；計算[Mi]的8次方根[Wi]：[Wi=Mi8]；對向量[W=[W1 W2 W3 W4 W5 ][W6 W7 W8]T]規范化，[Wi=Wii=18Wi]，得[W=[W1 W2 W3 W4 W5]

[W6 W7 W8]T]。

3. 計算判斷矩陣的最大特征根[λmax=i=18AWnWi]；計算一致性指標[CI]：[CI=λmax-88-1]；計算平均隨機一致性指標[CR]：[CR=CIRI]。按照上述方法計算得出如下數值：[W=[0.1575 0.0816 0.1575 0.0816 0.0816 ]

[0.2768 0.0816 0.0816]T]，最大特征值[λmax=6.058]，一致性指標[CI=0.0116]，平均一致性指標[CR=0.009]。

4. 由于[CR<0.1]，所以矩陣具有滿意的一致性，確定一級指標權重向量[W=[0.1575 0.0816 0.1575 ]

[ 0.0816 0.0816 0.2768 0.0816 0.0816]T]。

同理，建立二級指標及三級指標要素比較判斷矩陣，使用上述方法計算相應的二級指標及三級指標的權重，并判斷矩陣是否具有滿意的一致性，必要時對矩陣進行調整，直到具有滿意的一致性為止。最終確定的審計評價指標及權重見表3。

（二）根據量化評價得分確定評價等級

1. 計算得分。根據上述評價指標體系和風險管理審計的特點，我們設計了風險管理量化評價模型，使用“風險管理狀況評價分值”來衡量被審計單位風險管理的整體狀況。即：[Y=QiXi （i=1，…，8）]，其中：[Y]代表“風險管理狀況評價分值”；[Xi]分別代表風險管理8個要素得分；[Qi]代表風險管理8個要素所占比重。

在對風險管理的8個方面進行審計后，一是根據各指標的評分標準確定三級指標的單項得分；二是根據三級、二級指標權重計算出一級指標的分值；三是結合一級指標的權重得出風險管理狀況評價分值。

2. 確定評價等級。為合理地對被審計單位的風險管理狀況進行評價，我們設計了優秀、良好、一般、較差四級評價標準。其中： 90分（含）以上為優秀， 80分（含）至90分為良好，70分（含）至80分為一般，70分（含）以下為較差。

五、審計成效

2013年6月，某分行內審處根據風險點清單和A中心支行實際情況，制定了對A中心支行的風險管理審計實施方案，并于2013年7月開展了風險管理審計。通過審計，A中心支行風險管理狀況最終得分為83.94，評價等級為良好，扣分的主要原因為控制活動環節制度執行不到位。通過審計實踐表明，基層央行參考ERM框架開展風險管理審計具有一定的科學性：一是確定的8個要素內容基本可以涵蓋基層央行風險管理的全過程，審計覆蓋面全；二是風險點清單可以幫助審計人員明確審計重點、理清審計思路，提高審計的針對性；三是根據審計結果和量化評價模型可以對被審計單位風險管理狀況進行量化評價，提高審計分析能力，提出更有建設性的審計建議，增強基層央行的風險管理能力。

參考文獻：

[1]美國反欺詐財務報告委員會，方紅星，王宏譯.企業風險管理——整合框架[M]，東北財經大學出版社，2005.

[2]郭慶平.人民銀行內審工作轉型與發展[J].中國金融，2012，（7）.

[3]中國人民銀行上海總部課題組.內部審計對央行風險管理的監督與評價[J].中國內部審計，2008，（3）.

[4]中國人民銀行國際司.中國人民銀行境外短期調研報告選集[M].中國金融出版社，2011.

（責任編輯 耿 欣；校對 XY，XS）