□ 谢钢英 董学强
一、内部审计在商业银行风险管理中的作用
随着市场经济的不断发展，市场竞争日趋激烈，经营环境复杂多变，银行面临的风险也不断加大。内部审计通过评估、计量和报告总体风险，推动银行实施风险管理，最大程度地防范和化解可预见的风险，在商业银行风险管理中发挥着越来越重要的作用，
（一）客观识别和评估风险
所谓风险识别是指对银行所面临的以及潜在的风险加以判断、归类和鉴定风险性质的过程。换言之，就是要确定银行正在或将要面临哪些风险，所面临的主要风险是否均已被识别，并找出未被识别的主要风险。不仅要识别相关的风险，而且还应从以下几个方面对风险进行评估：一是评价银行战略目标的制定是否是在分析组织和行业发展情况和趋势、银行的优势和劣势、外部的机会和威胁的基础上结合实际来制定；二是看分解到各部门的目标是否对战略目标提供足够的支持，是否与整体目标保持一致；三是评价员工是否确知已建立的工作目标；四是管理层是否建立风险识别与评估机制，该机制至少包括机构、人员、政策和程序以及支持系统，管理层对风险的识别和评估是否准确，是否已对面临的风险进行恰当分类；五是是否已识别出各类内部和外部的风险因素，并对已识别的风险进行计量，分析控制措施是否完善；六是风险监控是否持续得到执行，监控报告制度是否合理，风险管理报告是否充分、及时。
在实际工作中，存在风险管理不到位导致银行遭受损失的情况。周某原系某银行金融部市场总监，钱某原系该银行金融部总监助理。两人在明知浙江某投资管理有限公司不符合该银行贷款申请条件的前提下，多次与企业联系人联系，对该公司的财务数据进行修改美化，以符合贷款申请条件，钱某在接受该笔业务后未尽其审查核实职责，明知授信材料虚假还上报授信。贷款到期后该公司无力归还贷款。周某、钱某的行为均已构成违法发放贷款罪。内部审计渗入业务部门各个工作节点的需要已箭在弦上。
内部审计部门独立于业务管理部门，这使其可以从全局出发，从客观的角度对风险进行识别和评估。内部审计在商业银行中具有相对独立的地位，决定其能站在全局的高度相对超脱地获得银行内部控制、经营管理活动及风险管理等方面的信息，向管理层提出科学合理的建议，避免风险带来的损失。
（二）综合分析和计量风险
内部审计对内部控制的焦点不仅在于识别和评估风险的充分性，而且在于强调风险分析和计量。内部审计人员应用现代风险导向审计模式，从整体上把握风险因素，合理整合审计资源，警惕可能影响目标、运营和资源的重大风险。
在审计计划、审计实施、审计报告阶段，将风险作为重要考虑因素，在整个审计过程中贯穿对风险的关注，充分考虑风险管理的充分性和有效性。具体讲，在审计计划阶段，内部审计应该考虑银行活动存在的风险，在评估风险优先次序的基础上安排审计工作，按照风险大小分配审计资源；在审计实施阶段，审计通过检查、评价风险管理过程的充分性和有效性，发现风险控制的漏洞和薄弱环节；在审计报告阶段，对风险管理状况进行评价，对风险管理中存在的漏洞和不足提出改进建议，协助确定、评价并实施针对风险管理的方法和控制措施。
（三）风险预警
内部审计在银行管理控制系统中发挥反馈作用，对银行的风险管理起预警功能。内部审计在检查内部控制程序的合理性以及执行情况和控制效果，特别在关注高风险领域和内控不健全区域的潜在威胁时，是通过风险反馈进行持续监督与评价，确保目标如期完成。
一方面，内部审计要与相关部门进行风险管理沟通，对风险管理过程的充分性和有效性进行检查、评价，对重大的审计发现按照清晰传递的线路进行报告，传递给内部相关人员和其他有关方面，以便及时采取相应的控制措施，同时对监督检查结果的落实情况进行跟踪报告，使风险及时得到控制和防范。另一方面，以风险为核心及出发点的内部审计，能够客观地从全局的角度管理风险，能从组织的利益和实际出发，提出防范风险的有效建议，作为管理层改进风险管理的参考意见，内部审计的建议更加强调风险规避、风险转移和风险控制，通过有效的风险管理建议反馈，提高组织的整体管理效率。
二、充分发挥内部审计作用的途径
（一）树立正确的风险审计理念
在当前市场竞争日趋激烈的情况下，银行面临的风险越来越大，银行各级管理层应始终把风险作为重要的决策变量，把风险意识贯穿于经营的全过程。内部审计已成为银行风险管理的一个重要环节，存在风险的领域就是内部审计的重点，风险评估已成为内部审计的主要内容。
内部审计工作应从事后审计向事前和事中审计、从静态审计向动态审计、从现场审计向远程审计和非现场审计方向发展。内部审计除了要关注传统的内部控制之外，更要关注有效的风险管理机制和健全的公司治理结构。内部审计的工作重点是分析、确认、揭示和防范关键性的经营风险。内部审计的目标应从传统的“查错纠弊”提升为“帮助组织增加价值”，效益审计应成为内部审计的重要内容。
（二）将风险管理融入内部审计的全过程
内部审计部门主要是对风险管理部门和其他相关部门进行的风险管理进行再监督。因此内部审计程序与机构的风险管理之间应该协调一致，使这两项工作产生协同增效的作用。
首先，在编制审计计划时，应在对可能影响机构的风险进行评估的基础上，按风险评估结果确定优先顺序，制定审计计划，确定审计项目。其次，确定审计范围和编制审计方案时通过风险因素分析来确定审计业务范围，如重要的会计凭证、重大交易和事项的会计处理及交易授权等；在审计实施过程中，通过评价内控制度，查找其中的疏漏和薄弱环节；在选择技术与方法时，应能反映出风险的重大性与发生的可能性。再次，在编制审计报告时，应对风险管理状况进行评价，指出风险管理中存在的漏洞，提出加强管理的建议。最后，追踪审计时应将注意力集中于最严重的潜在的问题上，将风险确定为决定追踪审计范围的重要因素。
（三）利用网络信息开展动态管理评价模式
新的审计环境要求审计人员在风险导向审计中，充分利用风险数据开展动态评估的评价模式，为银行提供更有价值的服务。内部审计机构应根据机构和人员的设置情况，对日常资料的收集和分析工作进行分工，收集内部信息和外部信息，收集有助于进行风险评估的银行内部控制状况资料，建立数据库，利用风险管控指标和模型进行风险评估，及时准确地确定审计监控的重点和范围，为各级经营决策者和审计部门全面、连续、及时地监控和评价业务发展情况提供有价值的信息，提高审计效率和审计质量。充分发挥大数据优势，把银行面临的风险进行量化，发挥预警作用，同时进行全方位、全过程的监控，及早发现存在的风险并及时进行解决，达到控制风险和防范风险的目的。
（作者单位：绍兴银行股份有限公司、绍兴市审计局）