劉 靜 高 翔

（1、吉林財經(jīng)大學會計學院 吉林 長春 130117；2、中國重汽集團山東分公司 山東 濟南 250000）

由美國次貸危機而導致的華爾街金融系統(tǒng)像多米諾骨牌倒下，并導致全球性金融危機，其影響之深刻，破壞之嚴重，超過1927年、1987年、1997年的經(jīng)濟危機。從美國最初的投行貝爾斯登的破產(chǎn)到最后五大投行的雷曼、美林、高盛、摩根士丹利無一幸免于難；從房利美、房地美被接管，到AIG集團被國有化，從美國最大儲蓄銀行互惠銀行被聯(lián)邦存款保險公司接管，到富國銀行收購美聯(lián)銀行…從美國華爾街的金融動蕩再到全球金融恐慌：哈利法克斯被萊斯銀行收購，英格蘭皇家銀行申請政府保護，德國第二大貸款機構HRE申請救援，冰島宣布三家銀行國有化…我國幾家中資金融機構共持有雷曼兄弟債券7億元左右，損失的絕對數(shù)額可謂巨大。這次金融危機是我國商業(yè)銀行強化風險管理審計的一次重要契機，強化商業(yè)銀行風險管理審計，提高企業(yè)風險管理水平，確保我國商業(yè)銀行健康發(fā)展。

一、商業(yè)銀行風險管理審計選擇與要求

（一）商業(yè)銀行風險管理審計選擇 強化商業(yè)銀行風險管理審計是內(nèi)部審計的現(xiàn)實選擇。21世紀初，以畢馬威為代表的國際四大會計師事務所聯(lián)合學術界對審計基本方法進行研究，開發(fā)出風險管理審計，它不僅關注傳統(tǒng)的內(nèi)部控制，而且更加關注有效的風險管理機制。風險管理成為組織中的關鍵流程，很多優(yōu)秀企業(yè)的內(nèi)部審計已經(jīng)把“為支持企業(yè)風險管理提供獨立的評價和建議服務”作為自己的職責，從風險管理的視角持續(xù)不斷地審視公司治理和企業(yè)各個領域的管理工作，促進風險管理有效性的增強。我們認為風險管理審計是以企業(yè)全面風險管理過程為審計對象的內(nèi)部審計，將內(nèi)部審計業(yè)務嵌入到企業(yè)實施的全面風險管理的框架中，對機構的種種風險管理程序、方法和結果進行鑒定、評價，幫助企業(yè)實現(xiàn)其目標。風險管理審計試圖從企業(yè)全面風險管理著眼，審計人員根據(jù)企業(yè)全面風險管理的方針和政策，采用系統(tǒng)化、規(guī)范化的方法，測試企業(yè)風險管理系統(tǒng)、各業(yè)務循環(huán)及相關部門的風險識別、分析、評價、管理及處理，并對全面風險管理進行動態(tài)評價，以確認和預警，進而提高企業(yè)風險管理的效率、效果。因此，風險管理審計凸顯評價和咨詢功能，是審計人員執(zhí)行內(nèi)部控制評價和管理審計的合理拓展，即站在風險管理全過程和戰(zhàn)略層面的視角，對企業(yè)風險管理進行的審計。在當今復雜多變的經(jīng)營環(huán)境下，現(xiàn)代企業(yè)面臨著諸多不確定性，如何防范風險成為企業(yè)管理的核心問題，風險管理審計開展是內(nèi)部審計的一大進步，對我國商業(yè)銀行應對金融風險和危機有著重大現(xiàn)實意義。（1）公司治理外部環(huán)境的變化要求企業(yè)內(nèi)部審計轉向風險管理審計。當前公司治理外部環(huán)境正在發(fā)生著深刻變化。全球經(jīng)濟一體化，企業(yè)業(yè)務循環(huán)打破了地域、部門、行業(yè)以及國家的界限而在世界范圍內(nèi)運行，由此便對公司治理外部環(huán)境帶來了諸多影響，如企業(yè)規(guī)模國際化、資本運營國際化、風險因素國際化；電子商務和網(wǎng)絡經(jīng)濟等高科技在經(jīng)濟領域的運用，極大地改變了經(jīng)營管理方式和公司治理中心；知識經(jīng)濟時代即將取代工業(yè)經(jīng)濟時代等。這些變化，必然會給公司內(nèi)部審計提出更高的要求，尤其在風險極高的商業(yè)銀行里。首先，人們應該改變傳統(tǒng)的內(nèi)部審計理念，將內(nèi)部審計的目標定位提高，從保證經(jīng)營者更好地履行其職責到幫助公司增加價值和提高經(jīng)營效率。因此，內(nèi)部審計的傳統(tǒng)保證功能將被擴展到保證與咨詢功能并存的范疇。其次，審計方法和技術應相應地得以完善，制度基礎審計因其本身固有的局限性受到質疑，風險管理審計正在悄然興起，其能幫助企業(yè)評價、控制風險。IIA主席杰奎特指出:“環(huán)境的變化給內(nèi)部審計師帶來增加價值的機會最多的領域是風險管理和公司治理，我們正開始認識風險管理是我們事業(yè)的推動力。”（2）公司戰(zhàn)略管理要求企業(yè)開展風險管理審計。管理學家約翰伯恩認為，戰(zhàn)略管理是當今最為重要的管理問題。戰(zhàn)略管理趨向于動態(tài)戰(zhàn)略和彈性戰(zhàn)略，沒有哪一個戰(zhàn)略能擁有長期競爭優(yōu)勢。企業(yè)必須及時分析可能的機遇，消除可能的風險，不斷改變其戰(zhàn)略。而戰(zhàn)略決策本身就是最大的風險因素，戰(zhàn)略決策出現(xiàn)錯誤，對公司來說將是災難性的。風險管理審計介入到戰(zhàn)略管理層面，可以為決策提供可靠的信息和建議，增加信息源的寬度和質量，以支持公司戰(zhàn)略決策的有效性。同時，由于公司的戰(zhàn)略管理層的董事會工作重心從雇用、監(jiān)督高級管理者轉向支持有效的決策和糾正錯誤的決策上來，但須以全面、準確的信息為依托，由于董事會和經(jīng)理之間存在信息不對稱，因此僅靠管理層提供的信息是不可行的，那么，風險管理審計機構就應承擔起向戰(zhàn)略設計者反饋真實信息的責任和義務。（3）“增加價值”服務理念要求塑造企業(yè)風險管理審計模式。由于世界經(jīng)濟環(huán)境的變化，科技的飛速發(fā)展都給企業(yè)帶來了挑戰(zhàn)，傳統(tǒng)的企業(yè)運行機制和組織體制難以適應市場環(huán)境變化，出現(xiàn)了效率低下、組織僵化、機構臃腫、缺乏彈性的“大企業(yè)病”。在此背景下“企業(yè)流程再造”理論應運而生。從業(yè)務層面重新審視現(xiàn)有的管理實踐，提出“面向未來，著眼于創(chuàng)造價值的管理”。原來的內(nèi)部審計所進行的僅僅是事后的評價和反饋，不能滿足時代要求，需要變革。將內(nèi)部審計的審計對象與企業(yè)目標直接聯(lián)系，并將事后反饋延伸到事前和事中。通過開展咨詢性服務幫助企業(yè)控制風險為企業(yè)增加價值服務。風險管理審計目的就是幫助管理當局解決在經(jīng)營管理過程中遇到的問題，評估經(jīng)營風險，控制或降低風險，提供實現(xiàn)企業(yè)目標的各種可行建議。（4）滿足新巴塞爾資本協(xié)議，商業(yè)銀行需強化風險管理審計。風險管理審計要改變內(nèi)部審計人員對于控制與風險的思考，使內(nèi)部審計人員關心企業(yè)的目標和風險，使審計報告的重點移到目前和未來的規(guī)劃，把目前的經(jīng)營管理控制同計劃、策略和風險評估結合起來。風險管理審計屬于開放式模型，審計人員在開始一項審計業(yè)務時，必須首先評估審計風險，并把它作為審計質量要求的出發(fā)點和歸宿點，做審計過程控制的依據(jù)。在新巴塞爾資本協(xié)議下，面對復雜的國內(nèi)外金融環(huán)境，每個商業(yè)銀行首先要規(guī)范經(jīng)營，內(nèi)部審計有責任進行風險管理審計，使商業(yè)銀行滿足銀行業(yè)的監(jiān)管要求。其次，通過內(nèi)部審計有價值的咨詢活動，促進銀行提高風險管理能力，控制或減少金融危機，才能實現(xiàn)企業(yè)的價值增值。

（二）新巴塞爾資本協(xié)議對商業(yè)銀行風險管理審計的要求 國際清算銀行（BIS）于1988年首次引入了面向金融服務行業(yè)的監(jiān)管資本標準。1988年的巴塞爾資本協(xié)議獲得10大工業(yè)國中央銀行的一致同意，從而將通用最低資本標準應用到其各個銀行。2004年巴塞爾銀行監(jiān)管委員會發(fā)布了《統(tǒng)一資本計量和資本標準的國際協(xié)議：修訂框架》，2006年巴塞爾委員會將1988年舊協(xié)議未改動部分、1996年關于市場風險的修訂協(xié)定以及2005年關于新資本協(xié)議如何運用于實務的修訂相結合，頒布了新資本協(xié)議。新資本協(xié)議的設計目標是要提高銀行對風險的敏感程度，利用最低資本要求、監(jiān)督檢查和市場紀律（包括資本充足率要求、外部監(jiān)管和市場約束）促進銀行提高風險管理能力，增進金融體系的安全與穩(wěn)健。其實質是為了完善與補充單個國家對商業(yè)銀行監(jiān)管體制的不足，減輕銀行倒閉的風險與代價，是國際商業(yè)銀行聯(lián)合監(jiān)管的最主要形式，具有很強的約束力。新巴塞爾協(xié)議了提出具體可行的監(jiān)管標準，使之更加適合銀行業(yè)的監(jiān)管實踐，被譽為國際金融風險環(huán)境下世界各國銀行所遵循的“神圣條約”。新巴塞爾資本協(xié)議的出臺標志著全面風險管理理念和方法在商業(yè)銀行的引進和實施。2005年巴塞爾委員會的13個成員國和25個歐盟成員國已經(jīng)承諾于2007年初實施新資本協(xié)議。目前包括中國銀行、工商銀行、建設銀行等大型國有商業(yè)銀行和業(yè)務活躍、國際業(yè)務比較大的交通銀行、浦發(fā)行等7家銀行已經(jīng)被我國銀監(jiān)會選定作為2010年首批合規(guī)的銀行，必須在2010年開始符合巴塞爾資本協(xié)議的新要求。根據(jù)銀監(jiān)會的規(guī)定，上述銀行在經(jīng)批準的情況下，可暫緩實施新資本協(xié)議，但最晚不得遲于2013年底。實施新資本協(xié)議的號角已經(jīng)吹響，如何運用新協(xié)議提出的全面風險管理理念，確保我國商業(yè)銀行風險管理體系合理有效運行，使其在競爭中立于不敗之地，是我國商業(yè)銀行風險管理審計面臨的重大課題。新資本協(xié)議涉及到具體內(nèi)部審計的有6條，主要內(nèi)容簡列如下：NO.136.在銀行內(nèi)部的審計的程序中，應經(jīng)常對風險計量系統(tǒng)進行獨立評估。NO.461.如果依賴監(jiān)督和控制系統(tǒng)來限制信用風險，銀行應該有一個有效的內(nèi)部過程來評估是否遵守所有關鍵的政策和程序。NO.463.銀行必須有一個健全的體系發(fā)揮作用，來驗證評級體系、過程和估計所有相關風險要素的準確性和一致性。NO.620.為具備使用標準法和高級計量法的資格，銀行必須至少符合監(jiān)管當局以下規(guī)定：銀行的董事會和高級管理層適當積極參與操作風險管理框架的管理；銀行的風險管理系統(tǒng)概念穩(wěn)健，執(zhí)行正確有效；有充足的資源…NO.689.健全的資本評估應包括以下基本要素：確保銀行識別、計量和報告所有實質性風險的政策和程序；將風險水平與資本聯(lián)系在一起的程序；根據(jù)銀行的戰(zhàn)略重點和業(yè)務計劃，設定與風險輪廓相符的資本充足率目標的程序…NO.702.銀行內(nèi)部控制結構是資本評估程序的基礎。對資本評估程序的有效控制，包括獨立檢查和在適當情況下安排內(nèi)部或外部審計。這六點明確要求我們必須完善和強化商業(yè)銀行風險管理審計。

二、我國商業(yè)銀行風險管理審計體系構建

（一）加強商業(yè)銀行風險管理文化建設 加強商業(yè)銀行風險管理文化建設，完善風險管理組織機構設置，構建風險管理審計環(huán)境。有效風險管理體系必須以先進風險管理文化培育為先導。風險管理審計部門需要確認風險管理部門是否通過持續(xù)宣傳、培訓、研討，引導員工充分認識“銀行經(jīng)營風險的企業(yè)屬性”，樹立“風險管理本身寓于發(fā)展內(nèi)涵”的科學發(fā)展觀，確立“以資本對風險的約束為基礎、業(yè)務增長與風險控制相適應、風險成本與風險收入相匹配”的風險管理基本原則。風險管理審計部門應協(xié)助風險管理部門讓整個銀行更新觀念和認識，為科學風險管理機制的建立和有效運行做好思想和輿論準備，調(diào)動全體員工的積極性，能動參與風險管理。國有商業(yè)銀行風險管理機構設置是風險管理審計環(huán)境不可忽視的內(nèi)容，機構設置的合理性會直接影響到風險挖掘、控制的效率和效果。西方商業(yè)銀行在風險管理機構設置方面基本上都是采用的類似“矩陣式”的、全面、分層次的風險管理模式。針對我國國有商業(yè)銀行風險管理部門，可在總行設首席風險經(jīng)理，由副行長或副行長級高級管理人員擔任，負責對全行各種風險的通盤控制和管理，監(jiān)控各種可能對全行業(yè)務發(fā)展有重大影響的風險。在首席風險經(jīng)理領導下，各主要業(yè)務領域也都設有一個首席風險經(jīng)理，并設一個稱為首席風險經(jīng)理辦公室來支持其工作。各地區(qū)和業(yè)務部門可設自己的高級風險經(jīng)理，在業(yè)務領域的首席風險經(jīng)理領導下開展工作，再往下依此類推。風險經(jīng)理和業(yè)務經(jīng)理平行作業(yè)，各司其職，互相支持。為便于集體決策，總行和大區(qū)分行一般都會設風險管理委員會，總行的風險委員會由總行的首席風險經(jīng)理任委員會主任，成員包括行長、副行長、財務總監(jiān)、營運總監(jiān)和各主要業(yè)務領域的負責人。

（二）構建商業(yè)銀行風險管理審計機構 風險管理審計是內(nèi)部控制和風險管理運行的制度要求，構建我國商業(yè)銀行風險管理審計組織機構。對于一個現(xiàn)代企業(yè)來講，內(nèi)部控制和風險管理是企業(yè)治理層的工具，屬于公司治理機制的核心。無論按照“內(nèi)部控制整體框架”或是“全面風險管理整合框架”來構建自身的內(nèi)部控制和風險管理框架，都內(nèi)生存在“監(jiān)督”環(huán)節(jié)。監(jiān)督是對內(nèi)部控制和風險管理系統(tǒng)有效性進行評估的過程，可以通過持續(xù)性監(jiān)督、獨立評估來實現(xiàn)，但都可能會出現(xiàn)“不識廬山真面目，只緣身在此山中”的情況，因此，需要特設的一個制度安排——風險管理審計，由直接隸屬于董事會的審計部門組織實施，以落實內(nèi)部控制和風險管理的各個環(huán)節(jié)的自我評價為基礎的專門的審計活動，并且利用咨詢意見，在戰(zhàn)略層面上為董事會提供發(fā)現(xiàn)、防范并糾正自身戰(zhàn)略風險的意見。因此，在公司內(nèi)部治理框架中，風險管理審計成為內(nèi)部控制和風險管理運行中的內(nèi)生和外生相協(xié)調(diào)的制度安排，其內(nèi)生性表現(xiàn)在風險管理審計本身是內(nèi)部控制和風險管理中“監(jiān)督”環(huán)節(jié)所要求的獨立評估部分；其外生性體現(xiàn)在風險管理審計是特設的制度安排，直接隸屬于董事會的內(nèi)部審計部門實施，來保證內(nèi)部控制和風險管理在不斷修正中有效運行。所以，內(nèi)部風險管理審計必須以企業(yè)內(nèi)部控制和風險管理的自我持續(xù)評估為基礎，站在戰(zhàn)略高度，把握全面風險，來對整個公司內(nèi)部治理的全過程以及各個層面實施監(jiān)督。

（三）構建商業(yè)銀行風險管理審計隊伍 發(fā)揮風險管理審計的作用必須依靠高素質的內(nèi)部審計人員。因此，加強審計隊伍的建設，提高風險管理審計人員的素質，是提高商業(yè)銀行內(nèi)部風險管理審計工作的水平，發(fā)揮商業(yè)銀行風險管理審計職能的重要保障措施。首先，提高內(nèi)部風險管理審計人員的思想道德素質和職業(yè)道德素質，各商業(yè)銀行應嚴格按照中國內(nèi)部審計師協(xié)會發(fā)布的《內(nèi)部審計人員職業(yè)道德規(guī)范》來要求本行的內(nèi)部審計人員，并根據(jù)商業(yè)銀行本身經(jīng)營業(yè)務的特殊性，設立專門針對商業(yè)銀行內(nèi)部審計人員的職業(yè)道德準則；建立激勵約束機制，對內(nèi)部審計人員的工作和業(yè)績進行監(jiān)督、考評，充分調(diào)動內(nèi)部審計人員的積極性，激發(fā)內(nèi)部審計人員的責任感，從而自覺地約束自己的行為，自覺地提高自身的思想道德素質和職業(yè)能力素質。其次，要提高內(nèi)部風險管理審計人員的業(yè)務素質，積極推行內(nèi)部審計人員持證上崗制度，提高行業(yè)準入資格門檻，提高內(nèi)部審計隊伍的專業(yè)化程度，在保證內(nèi)部審計人員專業(yè)素質的同時，要擴大內(nèi)部審計隊伍，吸收更多的專業(yè)人才；最后，提高溝通技巧，與被審計者進行有效的溝通，改善商業(yè)銀行的內(nèi)部風險管理審計的人際關系環(huán)境，使商業(yè)銀行內(nèi)部風險管理審計充分發(fā)揮它的“服務者”角色。

（四）構建商業(yè)銀行風險管理審計流程 對于銀行風險管理部門來說，必須完善企業(yè)風險管理過程，這個管理過程越順暢，細節(jié)構造越完善，全面風險管理體系的效率就越高。一般來說，我國商業(yè)銀行可將風險管理過程劃分為七大模塊，即風險文化、風險管理目標設定、風險識別、風險綜合評估、風險處理、風險及管理信息披露、風險管理評價。那么，內(nèi)部審計師為在從總體上對風險管理過程適當性發(fā)表意見，參考IIA實務公告，我國商業(yè)銀行風險管理審計流程可以這樣構建：第一，風險管理環(huán)境分析，評價商業(yè)銀行考慮到所面臨的風險環(huán)境的各個方面是否完整、考慮到風險環(huán)境因素的變化發(fā)展是否充分、對風險環(huán)境的分析是否恰當；第二，風險管理目標設定評價，各類目標在設定時所依據(jù)的數(shù)據(jù)及報告經(jīng)營業(yè)績、盈利能力、財務報表及附注等是否可靠、相關部門對它們的理解是否準確，各類目標的設定是否合理；第三，全面風險識別評價，新巴塞爾資本協(xié)議將資本充足率與信用風險、市場風險及操作風險掛鉤，構建了資本充足率指標與銀行風險管理水平之間的有機聯(lián)系。風險管理審計不僅要審查銀行監(jiān)管資本充足率是否滿足新協(xié)議的規(guī)定，更重要的是確保銀行風險輪廓勾勒的完整性，保證所有可能發(fā)生的重大風險均已被識別與管理；第四，綜合風險評估方法評價，風險管理審計需要對風險評估結果的恰當性進行再檢驗，如評價風險評估所依賴的數(shù)據(jù)是否準確可靠、評價對風險的可能性和影響的估計是否合理等等；第五，風險應對策略評價；第六，風險及管理信息披露評價，確定風險管理部門是否對已識別風險在整個銀行內(nèi)部進行恰當?shù)耐▓髠鬟f、是否完整的披露了應引起銀行各個部門重點關注的潛在風險；第七，風險管理評價，對銀行規(guī)章制度、風險識別、評估及處置情況進行總體衡量，對其執(zhí)行情況和達到的效果進行評價，并監(jiān)測整個過程中是否存在問題，對存在問題的部門和環(huán)節(jié)集合成風險管理審計報告，送交風險管理部門、審計委員會及董事會。

［1］巴曙松、牛播坤、向坤：《巴塞爾新資本協(xié)議實施路徑的國際差異比較及其發(fā)展趨勢》，《國際金融研究》2006年第4期。

［2］黨均章、王慶華：《次貸危機中重新審視銀行風險管理》，《銀行家》2008年第11期。

［3］李曉慧：《風險管理審計：一個重要的制度安排》，《現(xiàn)代會計與審計》2007年第12期。