1.内部审计是商业银行全面风险管理的确认者。内部审计是商业银行全面风险管理体系中不可或缺的一部分,被称为商业银行全面风险管理独立评估的“首选提供者”。 (1)评价、确认商业银行风险环境因素。内部环境要素确立了企业的风险文化,内部审计人员不仅要从宏观上把握商业银行经济环境、金融环境、经营环境,并大致预测环境发展变化趋势,还应对商业银行内部环境蕴含的各要素进行仔细分析与评价,从微观上把握商业银行的运营环境、运营理念。根据其分析结果,对商业银行当前的全面风险管理体系中的内部环境作出专业评价。 (2)评价、确认商业银行目标设立因素。内部审计人员应在内外部环境分析的基础上,对商业银行目标的制定过程、商业银行内外部影响目标实现的关键性因素进行分析,看目标设立是否与本行自身经营条件、资金实力、人员素质以及当地经济条件相匹配,是否能有效地降低或控制风险,战略目标是否与管理层的风险偏好相一致,子目标是否能更有效地服务于战略目标;远期目标和近期目标结合得是否科学,目标任务的分解落实是否合理,目标是否能够测量,目标实现是否可以量化考核。 (3)评价、确认商业银行风险识别与风险评估因素。风险识别环节尤为重要的是完全识别,即企业所有重大风险都已被识别。内部审计部门不仅要明确企业内外部环境中存在什么样的风险,还要找出存在这些风险的原因。此外,内部审计人员还需要利用自己的经验对风险管理部门进行风险评估的假设条件和计算方法的科学合理性进行分析,对评价者作出评价的依据的合理性进行判断,看风险管理部门的风险评估过程及方法是否适当、合理。 (4)评价、确认商业银行风险应对措施与控制活动因素。首先,内部审计人员应查阅管理层应对风险的报告、会议记录,商业银行各业务内部控制制度及岗位责任制、风险与内部控制自我评估报告等相关资料,关注商业银行是否建立健全风险应对机制和内部控制机制,是否对关键风险控制点制定相应风险控制措施。其次,内部审计人员应从如下几方面对商业银行采取的风险应对措施和控制活动的合理性进行判断:采用此种方法的成本与承担风险所付出的代价的比较;此风险所致损失的概率大小和程度深浅;是否具有处理风险的技术和条件;此种方法的复杂程度;采取此种方法是否能够有效地控制风险。此外,内部审计人员还要加强与执行风险应对及控制措施的当事人的联系,采用现场观察、询问、现场抽查测试等审计方法,对控制程序执行的有效性进行测试。 (5)评价、确认商业银行信息与沟通因素。首先,内部审计人员应对信息系统作出评价,看其是否涵盖了全行重大的业务,有遗漏的地方要提请管理层注意;其次,内部审计人员应对商业银行的信息系统是否有效,所列报信息是否准确、及时以及能否被相关人员所获取等进行测试验证并作出评价。此外,内部审计人员还应对各项信息是否及时有效地传递给相应人员及员工是否了解其在全行风险管理中的职责、工作权限、应承担的相应的责任作出评价。 (6)评价、确认商业银行风险监控因素。内部审计人员可以通过查阅会议记录及风险监控部门的相关资料,观察、检查风险监测报告,跟踪检查风险处理报告等办法,对商业银行是否存在相应的风险持续监控机制、风险监控机制是否有效进行评价。此外,内部审计人员还应结合环境和风险的变动分析来评价商业银行风险持续监控机制是否作出了相应的调整、此项调整是否恰当并能有效地适应新环境和新风险。 2.内部审计是商业银行全面风险管理的“咨询师”、“培训师”。除了对商业银行风险管理体系各因素的独立评估确认外,内部审计部门还应提供咨询服务,积极扮演其在商业银行全面风险管理中的“咨询师”、“培训师”等角色。 通过咨询、建议、培训等方式,内部审计部门可以在先进的风险管理理念和风险管理文化的推广活动中,充当“咨询师”、“促导者”、“培训师”等富有前瞻性的角色。如果商业银行尚未建立风险管理机制,内部审计部门应提请管理层重视,并提出建立、维护和完善商业银行全面风险管理体系的建议;如果商业银行董事会、审计委员会或管理层不理解商业银行全面风险管理,不清楚各自在风险管理中的责任,内部审计部门可对各级人员进行相应的培训;内部审计部门还应及时提请管理层注意外部环境的变化,适时调整风险应对措施,从而确保现行全面风险管理措施的可持续性。 识别与评估风险,并对风险采取应对与控制措施是商业银行管理层的职责。内部审计部门可以通过帮助商业银行管理层识别和评估风险,对风险应对与控制措施提出建议等方式来协助管理层履行这些职责。在日常监督与评价活动中,内部审计部门若发现管理层在风险识别与评估方面存在不恰当之处,如风险识别与评估的技术方法不恰当、重大风险被遗漏、重大风险评估不太恰当等,应提请管理层注意,并协助管理层及时采取恰当的措施应对风险。若发现商业银行现有的风险应对措施与控制活动存在漏洞与缺陷,不能有效地对风险实施管理,内部审计部门应提请管理层注意,还可针对这些漏洞与缺陷向管理层提出建议。