■/杨健

浅析商业银行内部控制审计与全面风险管理的关系

■/杨健

银行是经营货币信用的特殊企业，这一特殊性决定了商业银行本身客观存在较强的风险特性，就风险管理而言，识别是核心，管理是手段，风险控制能力和水平是衡量一家银行经营管理水平的重要标准。

商业银行 内部审计 全面风险管理

2012年8月14日，财政部、证监会联合出台了《上市公司分批分类执行内部控制规范体系》的通知文件，正式掀起了强制内部控制建设标准披露内部控制审计报告的热潮，内部控制规范体系核心包括内部控制建设标准、内部控制评价标准、内部控制审计标准三个部分，而其中内部控制审计是推进内部控制实施的关键环节，是提升全面风险管理重要监督、保障机制，是透视公司的窗口，是公司治理的守门员，也是投资人等可依赖的价值体现。在此背景下，商业银行作为上市公司企业，其内部控制审计水平已经逐渐成为其核心竞争力的重要内容，但内部控制制度的建设和完善是一个长期性、艰巨性、复杂性的工作，因此，加强商业银行的内部控制与风险管理是现代商业银行永恒的主题。

一、商业银行全面风险管理现状

对银行而言，风险是指由于不确定性因素的影响，商业银行在经营活动过程中可能对银行战略目标的实现产生影响的事件、行为和环境，而对这种不确定性进行调节和驾驭的能力就是全面风险管理。风险管理是指如何在一个肯定有风险的环境里把风险减至最低的管理过程，即并非是要消除风险，而是通过内部控制，对未来结果不确定性的分析预测和缜密思考，以降低决策错误概率、避免可能的损失，相对提高银行的附加价值。

商业银行的风险种类很多，主要有以下几种表现形式：一是信贷风险，信贷资产是银行业的主要资产，在当前商业银行尚不能混业经营的背景下，它是银行业最大的盈利项目，信贷资产质量的高低直接关系着银行经营目标的实现。二是市场风险，主要是由于证券市场不规范和金融市场秩序混乱而引发的种种风险，主要包括利率风险、汇率风险、流动性风险和价格风险。三是经营风险，主要是由银行自身经营管理方面和操作方面存在的问题而形成的风险。近年来，商业银行内控制度尽管有所加强，但受利益驱动和相关管理人员能力、素质的影响，经营规模和经营管理控制能力不相匹配。操作风险是指由于人员因素、流程因素、系统因素以及外部事件引起的风险。比如业务人员操作失误、银行内外勾结、流程执行不严格、系统失灵、系统漏洞、外部欺诈、突发外部事件等。今年以来，各商业银行披露的一些典型案例，促使我们逐渐认识到内部控制与风险管理的重要性。

二、商业银行内部控制审计的必要性

（一）当前商业银行面临的风险正日益增大

随着市场经济的快速发展，商业银行经营环境、经营业务变得日趋复杂化、多样化。因决策失误、信息缺乏、操作风险等内部原因，以及市场需求变化、市场竞争加剧等外部原因产生的风险更是雪上加霜。减少和控制各类风险是实现商业银行经营战略目标的关键要素之一，合规发展、风险控制就是效益的理念正在引起各级管理人员越来越多的重视。

（二）商业银行内部控制审计参与风险管理是自身发展的要求

内部控制审计在商业银行中担当着重要的角色，他们更了解商业银行面临的风险因素，具有丰富的管理经验，有利于将内部审计的资源和成果与企业风险控制相结合，并可以减少银行内部机构的重复设置，参与风险管理已成为内部审计人员义不容辞的责任。

（三）商业银行内部控制审计在全面风险管理中发挥重要的作用

1.能够客观识别和评估风险的充分性。其目的是控制和防范企业风险，提高风险管理效率，促进企业实现保值增值。内部控制审计部门独立于业务管理部门而直接归属监事会管理。有利于其可以从全局出发，从客观的角度对风险进行识别和评估。所谓风险识别是指对银行所面临的以及潜在的风险加以判断、归类和鉴定风险性质的过程。内部审计师不仅要识别相关的风险，而且还应对风险进行评估，分析控制措施是否完善，是否可以使银行风险发生的可能性能够掌握在风险容忍度之内。

2.能够综合分析和计量风险的恰当性。风险分析和计量是内部审计对银行经营管理过程中遇到的各种风险采取定量和定性的方法进行有效的分析和确定。定量分析方法是对已识别的风险进行量化估计。内部审计可以借鉴巴塞尔新资本协议的方法，对风险进行计量和解析。在风险难以量化、数据难以获取时，应采取定性评价。定性评价的复杂性在于很多情况下需要主观判断不同结果的可能性，不同背景、不同经验、不同性格和不同职位的人对风险判断都可能不同。

3.能够发挥风险反馈的预警性。内部审计在银行管理控制系统中发挥反馈作用，对银行的风险管理起预警功能。内部审计在检查内部控制程序的合理性以及执行情况和控制效果，特别在关注高风险领域和内控不健全区域的潜在威胁时，是通过风险反馈进行持续监督与评价，确保目标如期完成。以风险为核心及出发点的内部审计，能够客观地从全局的角度管理风险，能从组织的利益和实际出发，提出防范风险的有效建议，作为管理层改进风险管理的参考意见。

三、商业银行内部控制审计参与全面风险管理的途径

（一）对风险的预测和识别

内部控制审计要对商业银行所面临的主要风险进行预测和识别，并找出未被识别的风险。采用的方法包括决策分析、可行性分析、因果分析和专家调查法等。

（二）对己经存在和将要发生的风险进行评估

商业银行的内部控制审计人员采用定性和定量分析相结合的方式，预测风险的大小，找出主要的风险源，合理的评价风险可能产生的影响，以此为依据，对风险采取相应对策。常用的风险评估方法主要有：调查和专家打分法、风险报酬法及解析方法等。

（三）提出改进和防范的具体措施

风险的防范措施是指商业银行为降低已识别出的风险可能造成的损失所采取的措施。内部审计机构可以根据不同的情况，提出避免风险、接受风险、还是降低风险的具体措施和建议，以强化商业银行的风险管理，降低风险损失，并对有关部门所采取的风险防范措施进行监督和检查。采用改进和防范措施主要有：避免风险、损失控制、分离风险单位、转移风险和投保等。内部审计机构可以作为直接的风险管理人，直接进行风险管理。

（四）树立全员风险管理意识

内部控制审计除了要关注传统的内部控制之外，更要关注有效的风险管理机制和健全的公司治理结构。内部审计的目标应从传统的“查错纠弊”提升为“帮助组织增加价值”。因此内部审计人员应不断提高自身的业务素质，提高识别风险的能力，积极参与风险管理，对本单位的经营情况、信贷财务以及其他重大事件等方面的风险作出及时反映，来预防、控制、规避风险，以实践成果取得董事会和股东的信任，发展内部审计，使内部审计工作更有生命力。

由于市场经济的不断发展，市场竞争日趋激烈，经营环境复杂多变，银行面临的风险也不断加大。内部审计在风险管理中发挥着越来越重要的作用，它通过评估、计量和报告总体风险，推动银行实施风险管理，最大程度地防范和化解可预见的风险。

［1］李华威.浅析我国商业银行风险管理中的若干问题〔J〕.商，2013（2）.

［2］何启祥.我国商业银行风险管理探究〔J〕.商场现代化，2014（30）.

◇作者信息：中国农业银行甘肃省分行金昌路支行

◇责任编辑：焦岩

◇责任校对：焦岩

F239.65

A

1004-6070（2016）06-0065-02