随着市场经济和全球经济一体化的深入发展，美国三里岛核电站爆炸、印度博帕尔毒气泄漏、乌克兰切尔诺贝利核泄漏等国内外大型组织重大安全事故的发生，促使组织形成全面风险管理机制并逐步深化。人民银行作为中央银行，是现代金融体系的前沿和核心，既有银行业的风险属性，又兼有政府公共部门的管理责任。为促进自身更好地履行法定职责、保障资金安全、维护良好金融环境，在强化自身风险管理方面进行了深入地探索，取得了一定的成效。笔者对人民银行德州市中心支行(以下简称德州中支)内部审计部门在基层央行风险管理中的作用进行了调查，结合多年内部审计工作实践，探讨了影响内部审计在组织风险管理中发挥作用的制约因素，提出了有效促进组织风险管理的对策和建议。

一、内部审计部门在基层央行组织风险管理中的作用

在现有环境下，基层央行内部审计部门在风险管理中主要发挥了监督、评价、咨询与服务职能，作为监督者，通过审计保障现有风险管理措施的落实；作为评价者，对组织风险管理状况进行客观评价，促进组织持续改善风险管理；作为咨询者，参与各项内部管理活动并提供咨询服务。

(一)以监督为基础，发挥内部审计的风险防控职能

自2008年人民银行系统实施内审转型以来，德州中支内部审计部门对中支机关职能部门及所辖县支行开展了95项审计，其中：领导干部履职审计及离任审计43项、业务专项审计43项，风险管理审计1项、内控审计8项，审计发现各类风险隐患482个，提出建议270条。通过开展领导干部履行职责审计和离任审计，掌握被查单位、部门管理层在重大事项决策等方面的风险及应对情况；通过开展存款准备金、经理国库、扶贫再贷款等以人民银行法定职责为主要内容的业务专项审计，掌握基层央行各职能部门的履职风险以及业务管理的充分性、国家资金的安全性；通过开展货币发行等内控审计，掌握被查单位、部门内部管理风险防控情况。通过开展各类审计，对组织现有风险管理措施的充分性和有效性进行了评估，对剩余风险提出防控建议。

(二)以风险评价为途径，促组织风险管理持续改善

一是开展中心支行层级的风险评估。为促进组织持续改善风险管理，德州中支探索开展了机关职能部门风险评估，评估领域涵盖职能部门的24项职能、93项业务领域，评估了人民银行中心支行层面固有风险的有效性，对剩余风险进行了调整，建立了覆盖全业务领域的风险评估基期数据库。通过评估，共识别出风险事件930项，涉及法津风险、操作风险、信用风险、声誉风险等4类风险。评估结束后，内部审计部门从制度、机制等方面进行风险评价，并通过综合分析、风险警示等多种渠道向管理层及职能部门提出了风险警示以及防控建议；二是探索开展县支行风险管理审计。德州中支对辖区XX县支行探索开展了风险管理审计，建立了风险评估模型；根据风险等级及影响程度，对可能产生的法律风险、声誉风险等，分门别类地制定了可审计对象清单，共梳理县支行4个部门、23项职能、75个专业领域的476个风险点。通过现场符合性测试，综合评价了被查单位的风险管控状况，督促被查单位完善了5项操作流程以及各部门的年终考核标准，使管理层发现和了解了日常工作中被忽视的风险信息，初步实现了“风险引导审计，审计关注风险”。

(三)以服务为目标，发挥咨询服务职能

目前，内部审计部门积极持续地参与了中心支行组织的各项内部管理活动监督，并从内部审计的视角提供政策性和程序性方面的咨询服务。一是管理过程监督。参与中心支行大宗物品采购管理，主要就其招投标、质量和价格、合同签订及执行等环节及时向管理层及相关部门提供咨询服务。二是定期监督保障。参与行长、分管行长定期查库工作、分管行长季度监督检查会计及国库业务、工会经费审查、评优评先审查等业务监督，为管理层、相关部门提供程序性、制度性咨询服务和保障。三是提供咨询服务。根据有关部门邀请，对中心支行外汇管理部门、支付清算部门、经理国库等有关业务开展监督检查，提供风险预警，为行领导决策和部门管理提供咨询服务。

二、制约内部审计有效发挥风险管理职能的因素

(一)尚未建立全行性的风险管理工作机制

风险管理是组织对潜在意外或损失的识别、衡量和分析，在此基础上进行有效的控制，为目标实现提供合理保证。目前，基层央行的风险管理属于“分散控制与集中监督”模式，“分散控制”主要指风险管理分散于各职能部门，“集中监督”主要指风险管理监督职能相对集中于内审部门。相关职能部门虽然各自执行本专业风险防控的相关制度，但风险管理存在条块化、片面性、局域性等不足之处；内部审计部门每年按照全年工作要点开展审计，风险管理行为就其内容而言，更多地局限于对单个业务部门或每家县支行现行风险管理措施的单项监督，尚未开展涉及组织风险管理机制、长期风险策略等方面的综合风险管理，就其形式而论，更多地采取事后监督的方式，有一定的时滞性，不易掌控萌动期的风险，并及时提出风险预警。

(二)管理层的治理风险尚需关注

从组织治理的角度看，管理层面的风险是影响基层央行履职成效的重要因素。实施内部审计转型以来，基层央行内部审计部门在履职、离任以及专项审计中更多地关注了风险管理，以风险为导向开展内部控制审计、风险管理审计。由于内部审计人员长期形成的惯性思维，缺乏对系统性风险管理的认识，仍是注重从业务领域的风险着手，关注点多在业务领域引发的操作风险，对于领导层与地方政府沟通协调不足可能引发的信用风险、货币政策实施不到位引发的流动性风险、对金融机构、公众履行服务职能不到位引发的声誉风险，领导班子治理决策风险、领导班子成员遵守规章制度等引发风险关注不够，如个别县支行领导班子对遵守财经纪律的重要性认识不到位，仍有“只要不装入个人腰包就不违法”的错误观念，想方设法违规办福利，违规为职工发放津补贴，存在“小集体利益”思想，对于此类问题，内部审计部门仅从账务处理方面提出风险，未能从管理层面予以关注。

(三)风险管理建议的广度和深度有待提升

目前，内部审计部门向管理层提出了一些风险管理建议，但受整个组织风险管理水平、内部审计人员执业能力影响，建议的广度和深度还有待提升。一是由于基层央行尚未形成风险管理框架，缺乏系统的风险管理程序，内部审计部门更多地作为建议者，针对具体风险管理措施的确定及风险管理框架的建立等提请管理层注意，建议难以深入。二是由于内部审计人员掌握的风险管理知识和技能有限，且专业特长不一，提出的建议多限于规范单一业务操作的风险管理措施，风险管理建议的全面性、系统性、有效性不足。

(四)未充分考虑提供咨询服务对审计客观性的影响

目前，内部审计部门在完成上级主管部门指令性计划的同时，根据中心支行工作安排，参与组织各项内部管理活动，为管理层及各职能部门提供咨询服务。实际操作中，内部审计部门充当咨询者的同时，往往也充当了活动的直接参与者，如内部审计人员直接参与各项物品采购的询价工作；作为监督人员，参与分管行长季度监督检查会计、国库业务，参与行长、分管行长查库工作、对中支上报的评优评先进行审查等。由于内部审计部门人力资源有限，且作为上述活动直接实施者的内部审计人员，通常会参与对上述活动的审计监督工作，对审计客观性有一定的影响。

(五)风险评估工作尚需持续有效地开展

为深入地掌握单位风险管理现状以及风险防控措施的可行性，德州市中心支行对各职能部门开展了风险评估，风险评估涉及中心支行层面的24项职能、93项业务领域、930个风险点。风险评估工作强度大，审计人员在前期准备阶段耗费了大量的时间和精力。此次尝试也引发了审计人员对风险管理审计更为现实的思考，如：如何利用相关职能部门的风险评估结果，在审计资源与效率间求得平衡？如何将风险评估工作持续地开展下去，每年仅评估变化的业务风险？如何将风险评估结果应用于内部审计等等。

(六)内部审计的实施方法与技术亟待改进

目前，内部审计主要集中在现场审计中对原始凭证、档案材料的审查上，且由于现场审计时间有限，对重点业务也是事后的审计抽查。单一的审计方法和落后的审计技术，使得内部审计工作耗时较长、成本较高、效率低下，主观性判断相对较多，科学性较差，内部审计风险累计性地增加。虽然总、分行开发了个别专业的辅助审计软件，但仅限于经理国库业务。此外，随着人民银行各项业务系统的不断推广，风险点不断加大，内部审计部门在风险管理中的增值作用存在较大差距。这与国外中央银行致力于降低风险的内部审计效果相差较大。

三、进一步发挥内部审计在组织风险管理中作用的建议

(一)统筹规划，构建系统的、全方位的风险管理机制

科学、高效履行央行职责，离不开全面的风险管理机制。为此，基层央行应树立风险管理视角，统筹规划，将风险管理贯穿于组织治理全过程，构建系统的、全方位风险管理机制，一是实施风险防控规划。分别制定全行性、部门间风险防控规划，明确风险防控目标，细化组织发展战略、组织决策机制、部门间协调沟通机制、监督机制等组织治理过程的风险防控措施。二是明确风险防控责任。针对风险防控规划，明确风险防控主体责任，以及主要责任部门、责任人员，将风险管理与单位奖惩、考核结合，做到权、责、利三位一体，使管理层、执行层、业务层共同承担风险责任。

(二)转变视角，为组织治理提供系统的、动态的、全方位的风险预警

内部审计部门应立足于服务央行治理，以管理者视角开展审计并提出建议，改变过去合规性审计理念，增加对管理层的风险因素确定和赋值。一是关注基层人民银行履行重要职能的风险。审计中应高度关注对人民银行履行重要职责过程中可能引发的声誉风险、法律风险、货币政策贯彻执行风险等，站在政府、金融机构以及公众角度层面看风险，提供高层次、多角度、能实施的央行治理建议。二是关注管理层决策风险。审计中应更多地站在管理层面关注风险，分析领导班子的决策风险、分析领导班子建设存在的风险、分析管理层治理风险等，研究深层次原因及潜在风险隐患，为央行治理提供系统的、动态的风险预警。

(三)提升素质，为组织风险管理提供有效建议

一是提高执业能力。内部审计部门应有针对性地加强对审计人员的培训，鼓励参加CIA考试或地方内审协会举办的培训班，督促内部审计人员持续地学习，使其具备与履行职责相适应的风险管理知识和技能，能够充分运用风险识别、评估、监控的方法和程序，提升风险管理建议的深度和广度；二是提高内部审计建议的适用性。内部审计建议作为对组织的服务活动，其具体的内容和形式取决于组织的内部环境、拥有的资源、面临的风险等因素，并应根据组织风险管理的发展而不断变化。因此，内部审计人员应定期深入中心支行职能部门跟班作业，及时掌握业务变化，跟踪剩余风险控制情况，使建议能够适应组织风险控制需求，促进组织风险管理的不断改善。

(四)保持独立，有效发挥内部审计服务组织治理职能

一是内部审计部门应保持独立性、客观性。严格按照《中国人民银行内部审计工作制度》确定的工作范围开展审计监督、评价。二是明确咨询服务业务的性质、范围、作用、责任。服务于组织治理是内部审计职能，为此，内部审计部门应在内部审计制度中合理确定服务咨询业务的性质、内容、范围、作用和责任等，有效规范内部审计服务、咨询业务开展，同时，保障相关领域的审计客观性。

(五)定期评估，实现风险评估成果共享

内部审计部门应依据《中国人民银行内部审计部门风险评估工作试行办法》的要求，每年组织人员开展评估，使风险评估结果成为基础数据，并据此制定辖区全年审计计划，确定审计重点。同时，改进“中国人民银行风险评估系统”功能，使每个单位、每个部门能够定期录入本部门的风险评估结果能够互相利用，达到评估结果的共享，使风险评估结果运用最大化，从而节约审计成本，提高审计效率。

(六)同步监督，充分发挥内部审计在风险管理中价值增值职能

加快信息化建设，研发和应用科学的审计软件，建立一套人民银行业务系统与内部审计监督系统同步的非现场监督系统，实现内部审计从传统手工操作向主要运用计算机等信息化工具的转变，实现计算机网络审计监督关口前移，进一步提升内部审计在央行风险管理中的价值增值功能。

总之，随着我国经济、金融体制改革的不断深化，中央银行自身的风险管理工作也越来越重要。内部审计部门作为基层央行风险防控部门，要不断地提升风险管理效能，实现价值增值，保障组织实现总体工作目标。

(中国人民银行德州市中心支行，山东德州253000)