一、新时期中央银行内审对风险监控的重点
(一)把内部控制制度和评审作为风险防范的免疫系统,进行规划并精心组织
实践证明,制度在一个行业的风险管理中常常起着关键性的作用。一个行业的竞争力最终体现在内部管理水平和风险控制建设上。因此,审计重点就是应该针对各项业务制定的规章、制度和程序,审查评价其是否全面、系统,是否全系统范围内保持统一的业务标准和操作要求;审查所制定的内控制度是否覆盖所有风险点,是否贯穿决策、执行、监督全过程;重点岗位、主要风险环节是否做到了相互制约、相互制衡;对一项新开展的业务,是否按照其上级部门制定的相关规章制度,准确评估风险,防患于未然。同时,内审部门还应对现有制度不断进行评估,确保各项制度在各部门、各层次得到贯彻执行。
(二)把关注管理层的决策风险作为转轨时期内部审计的一项新目标
任何一个经济组织,其人员结构均为正三角,上层为决策层,是整个组织的灵魂,人员最少;中层为具体组织实施决策意图的管理层,人数居中;下层为操作层,是只负责具体操作的一般员工,人数众多。而对整个中央银行来说,如用风险来衡量,恰恰是倒三角。决策层因为要做出关系整个金融发展的各项政策而处于最高风险;中层管理者,因为负责贯彻已做出的决策,承担中度风险;下层操作者,因为只负责具体业务操作,能自我发挥的空间极小,所以处于最低风险。由于中央银行的特殊地位,其决策层的风险不仅仅是自身的业务决策,也关系到金融的宏观决策,如果决策发生失误,其影响是不言而喻的。因此,应从决策方式、决策程序和决策结果对管理层进行审计。国际一流银行的内部审计部门已从过去只关注操作层的风险,发展为现在更关注决策的风险,审计的重点发生了变化。做为转轨时期的我国中央银行内审部门,也应实施决策审计,为决策服务,向管理层提供有价值的有关风险的决策审计信息。
(三)把全面监控会计业务操作风险和管理风险作为风险监控重中之重
中央银行的会计工作是加强金融监管、行使中央银行职能作用的重要基础工作,是银行全部业务活动的出发点和归宿。因此,应注重加强对会计业务的全面监控,以防患于未然。监控重点是会计业务的政策、制度、程序和重要凭证、印章、账户管理、对账、定期查库、查账等情况,并对监控的过程、结果进行评价、分析,及时调整、解决会计风险管理中存在的问题,实现发现风险、采取措施、产生进一步管理决策的控制效果,确保会计风险的最小化。
二、中央银行内审工作加强风险监控的举措
(一)树立全新的审计监控理念,建立审计事项事前风险评估机制
结合国际审计新思路,为了更加有效地开展内部审计工作,内审部门在年初安排项目时,首要工作应是对各系统业务部门运行情况进行风险评估,之后,根据风险评估情况得出各部门的风险值,再有的放矢的制定年度审计计划。
1.对各部门业务情况按风险因素进行分级评估,随时监控。分别为:(1)业务操作程序。包括:业务管理规章情况、业务操作的合规性、业务交接情况、业务操作的复杂性和独立性、工作流程的有效性、内部控制的充分有效性、财务和非账务信息的准确性和完整性、利润和成本管理情况以及自查情况。(2)技术和信息管理,包括:信息系统的可靠性和完整性、对程序的控制程度、业务交接情况、使用的可靠性、完整性和安全性、与外部设备连接的安全性;(3)人力资源管理。包括:聘用或临时人员的胜任程度、职业培训和规划情况 、组织结构和职责分工情况、奖惩措施、部门文化氛围情况。(4)外部因素。包括:外部经济主体的欺诈、服务提供者拒绝继续服务。(5)财务因素,包括:信用风险、市场风险、流动性风险、收入成本情况。(6)发展战略因素。包括:战略目标与计划、领导能力、公司治理情况、对市场行业经济环境的应变能力。(7)信誉因素,包括公众误解、错误宣传以及其他风险因素高风险导致的负面影响情况。内审部门要根据各部门的实际情况,按照上述7类风险因素标准,对每一类风险因素进行1-4级(风险逐渐加大)分级评估,确定风险级别。
2.依据7类风险因素的风险级别和既定的风险,二者相乘可以得出各类风险因素的分值,7类风险因素的分值汇总,得出该业务部门的风险值。各类风险因素权重比例见下表。
3.如果内部审计部门评估得出的风险值在301-400之间,说明该部门风险非常高,至少每年审计一次;风险值在251-300之间,说明该部门是高风险的,每2年审计一次;风险值在176-250之间,说明该部门风险适度,每3年审计一次;风险值在100-175之间,说明该部门是低风险的,审计时间不定。在制订年度审计计划时,要优先安排高风险值的部门进行审计。
(二)成立风险管理委员会,对风险进行有效管理
为了控制和正确地评估风险,中央银行必须尽可能准确地了解风险的各种来源。我国中央银行面临的风险主要有战略风险、市场风险、操作风险和信用风险。这些风险虽然不能从根本上消除,但是是可以被管理的。如果在我国央行内部成立风险管理委员会,通过加强内部审计与风险管理,建立良好的风险管理架构和体系,势必可以对风险进行有效管理。
(三)实行审计定级,建立审计事项综合评价体系
建议借鉴国外一流银行的审计定级方法,一是将审计过程中发现的问题,依据重要性的原则分成4个级别,即非常重要、重要、次要、无关紧要(详见表2)。在与被审计单位交换意见阶段,可以将审计过程发现的问题全部披露;在向行领导提交的审计报告中可以着重体现审计发现的重要问题;对于那些被审计单位可以立即纠正或整改的非重要问题,可以酌情报告。二是内审部门可以依据审计发现问题定级的具体情况,对被审计单位的内部控制和管理进行一个综合评价,实行三级定级制度,即有效、一般有效、无效三个级别(详见表3)。该评价也应体现在审计报告中。这种做法,既可以提升审计报告的质量,提高行领导对审计发现重要问题的关注程度,同时,也为以后的整改和后续审计确定了重点,会更有效地促进被审计单位或部门内部风险防范机制的健全和完善。
