一、内部审计与风险管理的关系 目前,在央行实践中由于各种具体情况,内审与风险管理的定位常常混淆。管理者碰到风险管理的问题,自然将责任与义务直接划归内审部门,内部审计部门在风险管理中如何保持独立性、如何划分与风险管理部门的职责难以确定。为此,有必要首先对风险管理与内审的职责和定位进行区分。 从国际相关职责认定方面看。国际内部审计师协会(IIA)在其制定并修改的《内部审计实务标准》及《职责说明》中认定:“内部审计应该就管理层的风险管理过程的充分性和有效性进行检查、评估、报告,并提出改进意见”。这个定义将内部审计的范围延伸到风险管理和机构治理,把风险管理视为内部审计的重要内容和重要职责。所以,可以这样界定内审与风险管理的关系,即风险管理是内部审计的一项新的内容、一个新的领域,而内部审计则是风险管理的一种方法、一种手段。 应该注意的是,内部审计本身不负有风险管理的责任,而只是对风险管理过程进行确认和评价,这是内部审计在风险管理中担当的再监督职能以及其本身相对独立性的特性决定的。内部审计部门不应代表管理层对风险进行管理,不应成为风险管理措施的设计者和执行者。在实际操作中,应严格区分内审部门和风险管理部门的职责和权限,即内部审计不直接拥有对已经确认的风险进行管理的权利和义务,也不应对风险反应作出决定。但内部审计作为风险管理的部分参与者,可以参与风险管理决策。 从部门具体职责和操作内容方面看。风险管理部门实现组织对经营活动进行管理和控制的部分职能,对风险进行事中控制;而内审部门属于风险管理的监督反馈系统,对风险管理执行部门执行政策的结果进行检查和评价,同时评价执行过程和相关内部控制制度的健全性和有效性。内部审计属于事后控制,是对管理活动和控制活动的控制,审计报告应以风险管理过程为主要内容,而非风险本身。 可见,内审与风险管理虽然紧密联系,但职能与定位又各不相同,必须区分清楚。否则,定位的模糊必然引起内审在风险管理中不恰当的活动,造成职能划分的偏颇,比如,以管理层的立场进行风险应对并对风险管理负责、提供管理风险担保、设置风险偏好等等,这些都是内审不该承担的不适当角色。 二、内审对央行风险管理的常规监控:基于企业风险管理(ERM)视角 风险无处不在,须分别从个别及总体上进行管理。根据COSO(2002)的要求,在一个组织中,管理层负责风险管理的设计与运作,董事会负责监督管理层设计与推行风险管理,所有员工都对风险管理的成功执行负有责任,而内部审计则特别负责对风险管理进行定期评价和监控。 (一)央(行风险管理框架 央行进行风险管理分6个阶段,具体为营造风险管理的环境、风险识别、风险评估、风险反应、控制活动,以及信息与沟通(见图1)。
图1 1、营造风险管理的环境。近年来,为了更好履行央行法定的职责,人民银行各级分支机构逐步树立起风险防范意识,构建了科学有效的岗位风险防范体系,特别是2006年人总行下发《中国人民银行分支机构内部控制指引》(下简称《内控指引》)后,基层央行进一步加强和改进内部管理,建立健全内控机制,切实加大风险防范力度。央行在风险管理和风险防范的实践中,通过不断努力,已取得较好的成效,这给内审部门对风险管理开展审计创造了有利的条件。 2、对风险事件的识别。风险识别是央行风险管理流程的起点,指对可能影响央行履行职责、可能给央行带来财务或非财务损失的所有潜在风险进行判断、归类和鉴定性质的过程。根据央行《内控指引》,央行风险共六类,即操作风险,资金风硷,法律风险,声誉风险,信息技术风险和效率风险。 3、对风险的评估。风险评估是风险识别的延续。识别了所有潜在重大风险后,须对其量值从两个维度进行评估(见公式一),即不利事件发生的概率,以及该事件的发生可能对战略目标的损害程度。风险的衡量可以使风险分析定量化,为选择最佳风险管理策略提供依据。 公式一:业务风险值=不利事件发生概率×风险造成损失的程度 4、对风险的反应。风险反应是指针对识别评估后的风险,运用适当有效的工具最大限度地降低风险损失。管理层可以根据实际情况,针对每一类型和不同程度的风险,做出风险/收益权衡的评价,对风险采取接受、规避或缓解的方式管理风险,使剩余风险在可接受范围内。 5、一系列的控制活动。 中国内审协会易仁萍副会长强调,内部审计实现转型必须要有:由内审是检查系统向控制系统的认识转变,由注重结果、重在治标向注重过程、重在治本的态度转变,并树立“控制过程、预防为主、持续改进”的理念。风险管理本身就是内部控制的延伸,相应地,内审对风险管理的监控,就是通过一系列规划来限制或减少发生风险的可能性或风险量值。因此,控制活动在内审对风险管理的监控中是重点,也是基点。 6、信息与沟通。 前述风险管理过程的几个阶段(风险识别\风险评估\风险反应\控制活动)都能提供各个层面必要的风险信息,这些信息以一定形式在组织中传递并予以汇总和整合,能够反映风险组合的总体情况,有助于日常决策和长期决策。至于沟通,在有效的风险管理环境中,不仅包括向下的信息流动(如将管理层的计划与已知的风险传递给员工),还包括向上的流动(如员工将意外情况告知管理层)。员工不仅应对风险管理有一定认识并且严格执行,还应向上级报告重大风险。