郭捷

自风险管理概念被提出后，风险管理一直被认为是企业目标能否实现的关键方面。在金融领域也依然如此。能否做好风险管理，不仅关乎商业银行核心竞争力的提升，更关乎其长久的生死存亡。特别是近年来随着经济形势的不断变化，银行风险不断暴露。因此，加强商业银行的风险管理是金融机构的重要监管内容。例如，2022年12月2日，银保监会印发《商业银行表外业务风险管理办法》，对表外风险管理框架进行了重塑。

如何提升银行风险管理审计质量，成为当前一项迫切需求。本文通过对银行风险管理现状进行分析，提出风险导向内部审计的意义，并针对当下银行风险管理内部审计存在的不足，结合工作实践提出一些相关建议。

商业银行风险管理简述

一、风险管理的内容

就目前而言，银行风险管理主要包括两方面的内容：一是在风险损失产生以前，为了保障其自身经营的安全，银行通过有效的风险管理，以最合理的方式来获得控制风险的最佳效果，即银行通过最经济、最科学的方式防患于未然；二是在风险损失产生之后，为了及时弥补损失，银行通过采取各种补救措施，使银行不致因各种风险而危及生存。

商业银行风险管理主要防范哪些风险呢？整体来看，凡是不利于商业银行经营发展的或者产生不利影响的，都应该被认为是风险事件。

具体包括：信用风险、市场风险、操作风险、流动性风险等风险。

信用风险。相信很多人对银行信用风险并不陌生，它主要是指银行的借贷风险。在借贷中，如果借款人因为某种主观或者非主观的原因而出现不能按约定偿还贷款，那么此时银行遭受损失的风险就是信用风险。例如，目前国内多数银行金融体系与房地产深度绑定，在经济下行压力下，断贷停贷的大规模出现，既会给社会经济带来不稳定因素，同时也提升了银行的系统性信用风险。这也是目前商业银行主要的风险之一。

市场风险则是由于银行机构在市场上的业务或产品因为市场的不利变动而出现损失的风险。例如，利率、汇率、股价的不利变动。相对而言，信用风险可通过努力来降低，市场风险则具有极大的不确定性，也不是人为可以改变的。

操作风险主要是由银行内部员工长时间在同一岗位，因规避内部制度流程或违规操作及系统或外部事件（如自然灾害）所引发的风险。

流动性风险也是比较常见的风险，如挤兑风波。按照字面意思，流动性风险不难理解，指银行短暂时间内不能及时获得足够的资金以应对客户的提现或者兑付要求。这包括资产流动性风险和负债流动性风险。例如，2022年，村镇银行取款难风波导致银行流动性风险蔓延，大量的存款人排队来取现，致使一些银行面临流动性的不足。

以上四类风险，是目前商业银行面临的主要风险，也是各银行风险管理重点关注的落脚点。

当然，除此之外，银行风险还有政策性风险、战略风险、声誉风险、法律风险、合规风险等。无论是哪一种风险，一旦触发，都可能对商业银行带来较大打击。因此，近年来，各银行都更加注重风险管理。

二、风险管理现状

近几年，随着国内外政治、经济环境的日益复杂，银行业金融机构面临的风险也随之严峻，比如，如信用风险导致商业银行存在大量不良贷款；比如，随着我国金融体制改革的有序深入推进，银行面临的市场化风险更加复杂多样。因此，商业银行需要更加有效的风险管理制度与体系来及时识别风险，并为自己的发展保驾护航。

然而，尽管近几年我国商业银行风险管理体系已逐步建立，但是与国外先进地区相比还存在着一定的差距。风险管理体系的不够健全限制了风险管理在揭示和控制风险方面的作用，进而阻碍我国商业银行的进一步发展。事实上，在实际工作中，确实也存在因风险管理不到位导致银行遭受严重损失的情况。

风险管理内部审计的意义

内部审计作为银行机构重要的部门之一，能够通过评估、计量和报告的总体风险，推动银行风险管理的实施，最大限度地防范和化解风险，在商业银行风险管理中发挥着越来越重要的作用。

一、内部审计能够客观识别风险

所谓识别风险，就是对所面临的以及潛在的风险进行判断和鉴定。银行风险管理部门作为重要的风险识别部门，是银行风险防范的重要防线。然而在实际工作中，银行风险管理部门作为银行的管理部门之一，需要对管理层负责，这就使得在实际经营中存在银行机构高级管理层迫于经营目标、任务考核压力，有时不愿过多地暴露风险，致使风险管理部门不能很好地发挥应有的作用。

但内部审计部门独立于业务部门，不受高级管理层所左右，其审计结果更加客观真实，并能直接报告董事会。因此，内部审计具有相对独立的地位，这就决定了其能够通过内部审计，客观、全面地发现银行机构存在的风险，并向管理层提出科学合理的建议，以避免风险带来的损失。

二、内部审计能够进行风险预警

目前，我国商业银行风险管理制度与国外先进地区还存在一定的差距，银行风险管理在风险预警中还存在一些漏洞，如存在因风险管理不到位导致银行遭受损失的情况。内部审计在银行管理控制系统中发挥反馈作用。在检查内部控制程序的合理性以及执行情况和控制效果，特别在关注高风险领域和内控不健全区域的潜在威胁时，能够通过风险反馈对银行风险起到预警作用。

风险管理内部审计存在的问题

一、风险识别不全面

现有内部审计受多方面因素影响，一定程度上存在风险管理审计结论不全面的问题。一是无法进行跨机构数据审计。内部审计仅限于本银行机构数据信息，随着银行之间、银行与非银行之间的业务日益增多，涉及的资金往来更加频繁，数据日益庞大，仅限于本机构内部数据信息的内部审计，就会在风险识别时存在风险问题很难被发现、风险识别不全等漏洞。二是内部审计人员素质参差不齐，综合型、复合型审计人员较少。审计是由人执行的，因此审计质量取决于执行人员的专业素养和道德素养。受审计人员专业水平影响，在进行审计时会出现个人判断影响审计结果的情况，导致审计结论具有一定的片面性。因此，面对商业银行业务发展的需要和国家对内部审计的重视程度越来越高，商业银行内部审计人员也要不断提高素质、增强本领、勇于担当，这不但要求内审人员具备能查能说能写的本领，还要求其提升政治站位，为银行经营管理提供更高质量的审计服务。

二、内部审计理念落后

一是内部审计方式单一。现有风险管理内部审计大部分依靠查账、询问等传统的手段进行现场审计，但在信息科技方面的运用还不够深入，不能直接通过信息科技系统对前台、中台、后台数据进行整合，更难通过信息科技对复杂、众多的数据信息有针对性地筛查出风险管理的漏洞。二是审计服务意识缺乏。银行机构内部审计的审计方式大多为发现问题、查出责任人、事后整改，其咨询功能逐渐减弱，未能在业务部门开办新业务时提出风险防控建议。三是内部审计整体性差。我国部分商业银行在每年年初都会制定内部审计规划，分组分项目进行审计，但是审计结论比较分散，未能给决策层提出整体的审计结论及完善建议。

三、内部审计独立性差

一是公司治理架构流于形式，虽然银行机构设立了内部审计机构，但其独立性较差。目前大部分国有、商业银行都已建立了比较健全的公司治理架构，但部分商业银行内部审计部门不是直接由董事会负责，甚至个别机构的审计部门由监事长分管，最终的审计报告只是形式上报送给董事会。二是银行机构分层次设立审计部门，分支机构的内部审计部门名义上的领导是上级银行的内部审计部门，但也对分支机构行领导负责，这就导致审计人员在出具结果时会考虑本分支机构行长的工作思路和建议，因为其编制、工资、职务晋升均通过分支机构，因而很难保证其独立性。三是由于審计人员配置较少，银行内部审计项目较多，导致每个项目的审计时间比较短，存在为完成审计项目，抽调业务科室人员参与审计项目的情况，导致审计人员独立性差。因此，内部审计存在审计人员不能正常行使权限、不能不受限制地开展工作，致使其独立性较差。

四、审计问题整纠不力

一是发现的问题得不到严肃处理。对审计发现的问题，往往通报批评多，内部纪律问责少；追究直接责任人责任多，追究领导责任少。二是缺乏对整改落实情况的后续跟踪审计，致使整改意见成为一纸空文，如信贷业务方面的风险问题屡查屡犯，内部审计的有效性减弱。三是部分审计人员存在好人主义思想，担心打击报复，怕影响人际关系，对审计发现的问题不愿深究，致使审计中发现的问题最后不了了之。

风险管理内部审计建议

（一）加强跨机构合作。银行之间应加强沟通，建立数据协查共享机制，签订合作协议。在设计数据跨机构查询时，在监管部门允许的前提下，开展数据协查，避免因数据跨机构，导致风险问题线索中断。

（二）提高内部审计人员素质。商业银行风险管理政策性强、涉及面广，包含国际国内经济、金融、管理、政策、汇率、法律、计算机等各方面的知识，这就要求内部审计人员要具备较强的逻辑分析能力及语言表达能力。特别是在新的风险环境下，要求审计人员在风险管理审计中，能够充分利用风险数据开展动态评估的评价模式，为银行提供更有价值的服务。因此，银行机构应加强内部审计人员配置，可以有规划地培养优秀的、综合性的内部审计人员，也可以通过外部招聘的方式引进优秀的审计人员。

（三）优化公司治理结构。银行机构应进一步优化公司治理结构，进一步提高内部审计的独立性。一是在机构设置上，内部审计部门应独立于高级管理层，并具有一定的权力，使其工作的开展不受高级管理层的干预。二是建立内部审计上下独立、垂直的管理体系，避免出现“双重领导”的现象，同时内部审计人员的工资、职务晋升等应独立于分支机构，应有总行统一制定，也不得向内部审计人员摊派业务任务。三是配备足够的内部审计人员，银行机构应根据本行的资产规模、业务复杂程度、审计人员的能力、机构人员规模等科学合理配备内部审计人员，同时审计人员应具备与审计项目相适应的执业胜任能力，避免借调业务部门人员参与内部审计。

（四）强化科技运用。银行内部审计应加强信息科技审计系统的建设，充分运用信息科技手段来丰富审计方式方法。创新建立不同业务、不同风险点的审计模型，加大信息科技在审计中的运用，探索建立科技自动化审计，提高风险管理内部审计的针对性，提高审计质效。

（五）加强审计结果运用。银行机构应建立独立的内审部门，承担审计监督和差错纠偏的工作职责，并及时向领导经营层提供经营管理、操作流程、制度执行、风险防控等方面信息，根据内部审计发现的问题提出审计建议，同时加强后续整改情况的跟踪审计，避免同类问题屡查屡犯，稽核部门应加大审计发现问题的问责力度，不能只罚下不罚上、只经济处分不纪律处分、处罚避重就轻，在审计发现问题责任人处理上要做到处罚一批、警示一批，在整改问题上要举一反三，以内部审计发现问题为切入点，深入排查，弥补漏洞。（作者单位：广发银行股份有限公司郑州分行）