目前,内部审计已由传统的财务纠错防弊式的账项基础审计和制度基础审计发展为以风险导向的现代增值型审计。在这种内部审计职能转变的大趋势下,工商银行内部审计局将内部审计的职能定位为以系统化、规范化的工作方法,检查评价并推动改进经营活动、风险管理、内部控制以及公司治理的效果,促进全行发展战略和经营管理目标的实现;建立风险导向审计工作模式,根据风险评价结果确定内部审计重点和检查频率,有效整合审计资源;建立并完善内部管理流程的标准化与规范化。为此,开展了风险热图构建体系建设与应用的研究工作,并与持续风险监测体系、内部控制自我评估体系有机结合,共同构成工商银行风险导向审计工作模式的基础方法体系。 一、风险热图构建的目的 1.以关注风险为导向,适应国际内部审计的发展趋势。在风险导向审计模式下,内部审计应在对内部控制充分了解和评价的基础上,分析、判断被审计单位的风险所在及其风险程度,把审计资源集中于高风险的审计领域,针对不同风险状况采取相应的审计策略,加强对高风险点的实质性测试,提高审计效率,保证审计质量。建立内部审计风险热图构建体系的宗旨即是要运用国际通行的风险评估理论,建立适应于工商银行实际的审计风险评估方法,促进内部审计职能和方法向以加强和改善银行风险管理为目标的风险导向审计转变。一是通过分析风险现状,确定审计重点。通过开发建设风险热图构建体系,建立与工商银行经营管理实际相结合的具体风险评估方法、评估流程及指标体系,对全行、各机构、各产品的风险状况进行定性和定量评估,在深入分析判断不同层面和业务领域风险状况的基础上,确定审计重点、审计方向和审计策略,合理配置审计资源,使审计活动紧跟风险变化趋势。二是持续跟踪关键风险,从风险表象分析问题成因。对全行、各机构、各产品的风险状况进行持续跟踪与风险排序,并以风险热图形式展现评估结果,全面把握风险状况,发现重大风险因素,及时做出风险提示,并分析风险成因,确保审计活动有效覆盖和关注全行主要风险。 2.以提升价值为理念,适应工商银行总体的发展战略规划。2006年至2016年,是工商银行实施经营结构和经营模式转型的关键十年。内部审计适应总体战略,将工作定位于关注影响战略实现与经营效果的关键风险,确定以为银行增值为目标提升审计工作价值的理念。建立内部审计风险热图构建体系,有助于加快建立与国际一流现代商业银行发展要求相适应的内部审计体系,真正履行与现代公司治理要求相适应的审计职责,形成审计专业核心竞争能力。体系具有以下特点:一是划分审计单元,明晰审计范围。通过定性和定量分析,从机构和产品维度划分涵盖全行所有机构范围以及业务领域的审计单元,对审计范围进行了明确的细分。二是引入符合工商银行实际情况的风险分类方法。参考巴塞尔委员会、国内监管体系、国外大型银行、COSO内部控制框架,结合工商银行实际情况,确定符合工商银行内部风险管理需要、易于被使用者理解,并有利于审计风险评估与审计风险监测开展的风险分类方法,将风险划分为信用风险、市场风险、流动性风险、操作风险、战略风险和声誉风险六大类。三是突出审计增值服务理念。从关键风险出发,涵盖银行主要风险领域,使内部审计能够通过风险评估及其风险热图构建结果为银行经营政策的制定提供参考,有助于确保银行风险管理目标与业务发展目标的一致,从而提升内部审计在风险管理中的作用,实现内部审计为机构增值的目的。 3.以规范方法为基础,建设适应工商银行内部审计的标准化体系。推进标准化建设是工商银行进一步完善内部审计管理体制和机制的主要工作,是建设与国际接轨、国内领先的内部审计体系的核心内容。内部审计风险热图体系构建项目的建设和实施,可以大大推进审计方法、手段、流程的规范化和信息化。风险热图构建体系的建设,参考了巴塞尔Ⅱ对风险计量的基本要求,并借鉴国际先进银行的风险评估做法,提供标准化的评估理念、评估方法和指标体系,推进内部审计风险评估工作规范化、理论化和科学化。基于风险热图的风险导向审计,可以了解全行现有产品、管理和机构的风险水平,为内部审计部门制定审计工作计划和审计项目方案提供参考依据,为开展持续性审计和风险跟踪提供基础和标准,有助于实现审计工作的规范化和标准化。 二、风险热图构建的内容与方法 1.风险热图构建的模型。风险热图构建并非是对风险的准确计量,而是对风险热图构建对象风险等级的划分和排序,是在风险识别基础上,以评估对象固有风险、控制有效性和剩余风险的内在联系为基础,通过对固有风险、控制有效性进行评估,得出剩余风险的过程。其中,固有风险从风险发生可能性和风险影响程度两个方面进行评估。风险发生可能性越大,风险影响程度越高,则固有风险越大。风险热图构建的基本理论模型如图1所示。
2.风险热图构建的对象。风险热图构建的对象,即审计单元。为保证审计单元的合理性和完整性,结合当前审计工作实际,将其划分为产品和机构两个维度。其中,产品维度包括产品线和管理线:产品线为对外提供的产品和服务;管理线为从各部门内部管理职能衍生出来的、无法与对外产品线进行明确对应的内部管理流程,可以理解为对内提供的产品;机构维度分为境内机构和境外机构。审计单元示例如表1所示。需要说明的是,审计单元不是一成不变的,随着银行业务种类的多样化、丰富化和经营管理的标准化、国际化,银行会不断开发和引进先进的产品和服务,并随之不断完善与之相关的管理职能。并且为了银行业务的可持续发展及银行长远战略的需要,银行也可能新设不同层级的分支机构,或者对现有的组织架构进行优化整合。为此,应定期对审计单元的划分进行更新调整。