论文部分内容阅读
【摘要】设立和加强农商行的内部审计,是建立健全现代企业制度的需要,也是加强农商行内部管理、防范风险、提高效益的要求。本文结合ERM框架,从框架八个关联要素提出农商行内部审计参与风险管理的思考。
【关键词】COSO-ERM 农商行 内部审计
农商行作为由农村信用社改制而来的股份制银行,发展的不完善使其在特殊的竞争市场中面临着诸多风险,从而影响其独特功能的发挥。内部审计的内置性、独立性、保密性及专业性等特点使得内部审计在农商行风险管理中扮演着不可替代的角色。内部审计参与风险管理成为内部审计发展的必然趋势,也成为实现农商行价值增值的有效途径。2004 年,美国 COSO 委员会出台的《企业风险管理——整合框架》(COSO Enterprise Risk Management—Integrated Framework,下称COSO-ERM),为农商行风险管理提供了很好的借鉴。
一、COSO-ERM框架与农商行风险管理
COSO-ERM对于风险的定义更加宽泛,它涉及企业全部风险的分析和处理。它认为风险管理是一个动态的、渗透于一个主体的各种业务活动的过程;从本质上说,这个过程考虑主体从企业到业务单元的各个层级的全部活动,需要企业内部不同部门、不同层级的工作人员合作参与完成。COSO-ERM框架建立了三个维度:第一维度是企业的目标;第二维度是企业全面风险管理的八个要素;第三维是企业的各个层级。ERM是一个多方向、互动的流程,八个要素为企业的四个目标服务,各个要素相互影响,企业各个层级都坚持同样的四个目标,在八个方面开展风险管理活动。
我国对于商业银行风险管理所出台的监管文件和银行的风险管理实践中,一直以来大多参照BASEL委员会的研究成果,而对于COSO委员会的研究成果只有部分借鉴或是参与。在商业银行风险管理实践中,更多地都是以内部控制五大要素为基础,以迎合监管为主要标准,这在农商行的风险管理中体现地尤其明显。
农商行风险管理能力的提高和风险管理体系的健全是实现自身可持续发展的重要举措,直接关系着农商行未来的生存和发展,需高度重视。目前农商行风险管理体系过于简单,缺乏统一高效的管理部门,方法落后,董事会和风险管理委员会不能很好地履行对信贷风险、操作风险、流动性风险以及金融创新、理财业务、金融合作等方面的风险决策和风险管理职能,大大削弱了风险管理水平,难以有效防范和应对各类风险。农商行应该结合自身特殊的风险结构,加强COSO-ERM为基础建设风险管理体系。
二、内部审计与风险管理的关系和定位
风险管理是现代内部审计的核心导向和关注对象。风险管理决定了内部审计的审计计划制定、资源配置、技术水平和报告内容等具体工作。风险管理的思维和方法的运用,使得内部审计的效率得到提高、成本得以降低、流程得以完善。内部审计是风险管理的重要组成部分,对风险管理进行客观、独立的评价和监督,并对此提出报告和咨询。在农商行内部,内部审计的内置性、独立性、保密性及专业性等特点决定了它在农商行风险管理中的第三道防线的地位,与风险管理职能部门、风险管理委员会一起为企业风险管理提供坚实保障。
三、COSO-ERM框架下农商行内部审计参与风险管理的思考
(一)评估农商行内部环境
内部审计在评估农商行的内部环境时,应该着重综合考虑以下几个要素:
1.农商行的组织架构
农商行的组织架构直接影响着内部审计的独立性地位以及参与风险管理的效力。评估农商行组织架构时,务必明确内审机构与董事会、风险管理委员会的联系以及地位,以保证内部审计人员的独立性与客观性。
2.农商行内部审计人员素质结构
农商行内部审计人员的素质结构决定着内部审计参与风险管理的质量,也是农商行的核心竞争优势。内部审计人员的年龄结构、学历结构、专业知识和胜任能力都是评估农商行内审队伍的重要要素。
3.农商行风险管理文化
风险管理文化的建设是内部环境的重要要素,其体现着农商行的价值观与风险偏好。内部审计着重评估风险管理文化是否与农商行战略相一致,是否普及风险管理理念。
(二)评价农商行目标
COSO-ERM设定的风险管理目标分为战略目标、经营目标、报告目标及遵循目标四个层级。在获取关于农商行战略目标的书面文件后,内部审计部门应该通过询问、访谈等调查方法去了解公司员工对目标的认同、知晓程度;通过查阅相关报告文件、观察政策制定及执行情况来评价目标的落实情况;此外,还要审查各目标有没有存在相互协调促进、有无矛盾情况,与市场定位、银行资源等有没有存在冲突,各目标有没有得到进一步分层和细化等等。在农商行战略目标与经营目标的设定应该与其服务“三农”的经营理念、“发展农村经济,推动区域经济发展”的未来期望和发展方向相一致的;农商行的报告目标、遵循目标要求农商行必须制定业绩考核的标准和相应的银行监管要求以及内控、内审规章制度。农商行内部审计人员在对不同层次的目标进行评估时,明确目标的制定是否与农商行风险管理相结合,若发现目标的制定与发展防线相冲突,要及时向管理层反馈,并对其提出修改的建议。
(三)识别农商行风险事项
在风险导向审计模式下,农商行内部审计工作流程应以风险因素为中心向外辐射,将风险导向渗透到内部审计的各个阶段,从而在常规的审计工作中积累和识别风险点。在审计准备阶段中,内部审计不能仅从某项业务、某个部门的角度考虑风险,更能在审计范围中考虑吸收风险管理目标的成分,确定范围后进行年度风险识别,在确定关键风险领域的基础上建立审计计划。在审计实施阶段中重点关注被审计单位各项风险因素是否得到适当管理,同时在实施审计时,通过舞弊评估、有针对性地调查、运用适当地检测和证实风险的技术与方法来降低风险。对于审计终结阶段和后续阶段两个阶段结束之后仍未消除的风险因素则将其纳入重新制订审计业务计划时应考虑的风险因素之中。 内部审计运用统计概率预测分析等数理方法找出未被预测到的风险。检查各种风险概率并进行数据化记录。目前,农商行的面临的主要风险为授信风险、操作风险、合规风险以及结构性风险,审计部门应有针对性地采用具体的审计程序,从资本充足率、存贷比、动态拨备状况等风险控制指标的分析入手,确定上述风险涉及的风险因素。
(四)评估农商行风险
识别农商行的风险之后,内部审计人员需要运用专业知识对风险的性质和影响程度进行评价,形成报告文件递交管理层。评价完风险之后,内部审计人员应该测试相应风险是否得到风险预警,风险程序和规定是否得到严格遵循,已经发生的风险是否得到相应责任人的及时处理。由于金融环境与政策环境的不断变化,农商行的风险管理是一个动态的过程,内部审计人员应该持续监督风险评估程序,对过时的风险评估程序提出修改意见。
(五)评价农商行风险应对
风险反应的策略包括规避风险、减少风险、共担风险和接受风险,风险应对的策略依据管理层对风险可能性和影响效果、成本收益、风险偏好等因素而定。所以,在对风险反应策略的检查中,要对上述因素进行定性、定量和风险排序的重新核实。在风险反应和控制中,内部审计人员的主要工作在于分析和评价风险回报的合理性、减少风险的措施的有效性以及接受风险、转移风险、和风险分担的其他风险。内部审计人员应审核风险的可容忍水平是否和战略风险计划相契合,风险把握的准确性,风险反应的适当性、经济性、有效性。实际工作中,风险处理措施和方法是否科学必须根据具体情况来判断,所以审计评价应基于实际。
(六)评价农商行控制活动
控制活动是针对风险因素实施的控制重大风险的措施。内部审计人员应该通过对风险责任人的访谈,进行必要的穿行测试等程序识别出农商行所采取的相应风险控制措施。
相关的交易是否符合农商行规定,是否有批准文件和明确授权,业务交易是否与农商行发展目标相一致。其次,交易是否与农商行各个发生层级目标相一致,例如经营目标和财务目标。对于不易检测的风险,内部审计应该进行多重控制评价,比如业绩评价,职责分离评价。
(七)评价农商行信息和沟通
信息与沟通在现代银行管理中的作用愈加明显。内部审计在评价农商行的信息与沟通时,应首先评价信息的价值性,再评价信息的报告与沟通路径。
农商行的信息资料来源需要着重评价风险信息的获取、储存、传递过程的有效性。
此外,评价信息沟通的核心是评价沟通机制。它包括评价报告路径、沟通力度、沟通层面、沟通渠道和沟通手段。农商行是否建立信息化沟通渠道,提交报告路径是否独立、是否有效都是考量沟通进程和质量的重要要素。在实际工作中,内部审计人员还应该根据农商行的实际情况,考虑不同部门的信息要求。
(八)监控农商行风险管理
内部审计对于农商行风险管理的监控,实际上包括加强后续专项审计和持续监督。具体而言,它包括持续监督风险评价与监控措施的有效性,跟踪往期审计结果和审计建议的落实情况,个别评价重大风险问题的整改,提高内部审计在风险管理中的持续性作用,实现价值增值。
参考文献
[1]王稳,王东.企业风险管理理论的演进与展望[J].审计研究,2010(04).
[2]董大胜,韩晓梅.风险基础内部审计—理论、实务、案例[M].辽宁大连:大连出版社,2010.
[3]王学娟,谢潮昂.我国商业银行风险管理研究—基于COSOII和BASELII的监管与协调[J].财会通讯,2012(02).
[4]朱泉.浅谈风险导向内部审计在农商行风险管理中的运用[J].金融纵横,2012(04).
[5]任思.风险导向内部审计研究[D]. 四川成都:西南财经大学,2007.
作者简介:丁俊博(1991-),男,江苏人,本科,南京审计学院,研究方向:农村商业银行、内部审计。
(编辑:陈岑)
【关键词】COSO-ERM 农商行 内部审计
农商行作为由农村信用社改制而来的股份制银行,发展的不完善使其在特殊的竞争市场中面临着诸多风险,从而影响其独特功能的发挥。内部审计的内置性、独立性、保密性及专业性等特点使得内部审计在农商行风险管理中扮演着不可替代的角色。内部审计参与风险管理成为内部审计发展的必然趋势,也成为实现农商行价值增值的有效途径。2004 年,美国 COSO 委员会出台的《企业风险管理——整合框架》(COSO Enterprise Risk Management—Integrated Framework,下称COSO-ERM),为农商行风险管理提供了很好的借鉴。
一、COSO-ERM框架与农商行风险管理
COSO-ERM对于风险的定义更加宽泛,它涉及企业全部风险的分析和处理。它认为风险管理是一个动态的、渗透于一个主体的各种业务活动的过程;从本质上说,这个过程考虑主体从企业到业务单元的各个层级的全部活动,需要企业内部不同部门、不同层级的工作人员合作参与完成。COSO-ERM框架建立了三个维度:第一维度是企业的目标;第二维度是企业全面风险管理的八个要素;第三维是企业的各个层级。ERM是一个多方向、互动的流程,八个要素为企业的四个目标服务,各个要素相互影响,企业各个层级都坚持同样的四个目标,在八个方面开展风险管理活动。
我国对于商业银行风险管理所出台的监管文件和银行的风险管理实践中,一直以来大多参照BASEL委员会的研究成果,而对于COSO委员会的研究成果只有部分借鉴或是参与。在商业银行风险管理实践中,更多地都是以内部控制五大要素为基础,以迎合监管为主要标准,这在农商行的风险管理中体现地尤其明显。
农商行风险管理能力的提高和风险管理体系的健全是实现自身可持续发展的重要举措,直接关系着农商行未来的生存和发展,需高度重视。目前农商行风险管理体系过于简单,缺乏统一高效的管理部门,方法落后,董事会和风险管理委员会不能很好地履行对信贷风险、操作风险、流动性风险以及金融创新、理财业务、金融合作等方面的风险决策和风险管理职能,大大削弱了风险管理水平,难以有效防范和应对各类风险。农商行应该结合自身特殊的风险结构,加强COSO-ERM为基础建设风险管理体系。
二、内部审计与风险管理的关系和定位
风险管理是现代内部审计的核心导向和关注对象。风险管理决定了内部审计的审计计划制定、资源配置、技术水平和报告内容等具体工作。风险管理的思维和方法的运用,使得内部审计的效率得到提高、成本得以降低、流程得以完善。内部审计是风险管理的重要组成部分,对风险管理进行客观、独立的评价和监督,并对此提出报告和咨询。在农商行内部,内部审计的内置性、独立性、保密性及专业性等特点决定了它在农商行风险管理中的第三道防线的地位,与风险管理职能部门、风险管理委员会一起为企业风险管理提供坚实保障。
三、COSO-ERM框架下农商行内部审计参与风险管理的思考
(一)评估农商行内部环境
内部审计在评估农商行的内部环境时,应该着重综合考虑以下几个要素:
1.农商行的组织架构
农商行的组织架构直接影响着内部审计的独立性地位以及参与风险管理的效力。评估农商行组织架构时,务必明确内审机构与董事会、风险管理委员会的联系以及地位,以保证内部审计人员的独立性与客观性。
2.农商行内部审计人员素质结构
农商行内部审计人员的素质结构决定着内部审计参与风险管理的质量,也是农商行的核心竞争优势。内部审计人员的年龄结构、学历结构、专业知识和胜任能力都是评估农商行内审队伍的重要要素。
3.农商行风险管理文化
风险管理文化的建设是内部环境的重要要素,其体现着农商行的价值观与风险偏好。内部审计着重评估风险管理文化是否与农商行战略相一致,是否普及风险管理理念。
(二)评价农商行目标
COSO-ERM设定的风险管理目标分为战略目标、经营目标、报告目标及遵循目标四个层级。在获取关于农商行战略目标的书面文件后,内部审计部门应该通过询问、访谈等调查方法去了解公司员工对目标的认同、知晓程度;通过查阅相关报告文件、观察政策制定及执行情况来评价目标的落实情况;此外,还要审查各目标有没有存在相互协调促进、有无矛盾情况,与市场定位、银行资源等有没有存在冲突,各目标有没有得到进一步分层和细化等等。在农商行战略目标与经营目标的设定应该与其服务“三农”的经营理念、“发展农村经济,推动区域经济发展”的未来期望和发展方向相一致的;农商行的报告目标、遵循目标要求农商行必须制定业绩考核的标准和相应的银行监管要求以及内控、内审规章制度。农商行内部审计人员在对不同层次的目标进行评估时,明确目标的制定是否与农商行风险管理相结合,若发现目标的制定与发展防线相冲突,要及时向管理层反馈,并对其提出修改的建议。
(三)识别农商行风险事项
在风险导向审计模式下,农商行内部审计工作流程应以风险因素为中心向外辐射,将风险导向渗透到内部审计的各个阶段,从而在常规的审计工作中积累和识别风险点。在审计准备阶段中,内部审计不能仅从某项业务、某个部门的角度考虑风险,更能在审计范围中考虑吸收风险管理目标的成分,确定范围后进行年度风险识别,在确定关键风险领域的基础上建立审计计划。在审计实施阶段中重点关注被审计单位各项风险因素是否得到适当管理,同时在实施审计时,通过舞弊评估、有针对性地调查、运用适当地检测和证实风险的技术与方法来降低风险。对于审计终结阶段和后续阶段两个阶段结束之后仍未消除的风险因素则将其纳入重新制订审计业务计划时应考虑的风险因素之中。 内部审计运用统计概率预测分析等数理方法找出未被预测到的风险。检查各种风险概率并进行数据化记录。目前,农商行的面临的主要风险为授信风险、操作风险、合规风险以及结构性风险,审计部门应有针对性地采用具体的审计程序,从资本充足率、存贷比、动态拨备状况等风险控制指标的分析入手,确定上述风险涉及的风险因素。
(四)评估农商行风险
识别农商行的风险之后,内部审计人员需要运用专业知识对风险的性质和影响程度进行评价,形成报告文件递交管理层。评价完风险之后,内部审计人员应该测试相应风险是否得到风险预警,风险程序和规定是否得到严格遵循,已经发生的风险是否得到相应责任人的及时处理。由于金融环境与政策环境的不断变化,农商行的风险管理是一个动态的过程,内部审计人员应该持续监督风险评估程序,对过时的风险评估程序提出修改意见。
(五)评价农商行风险应对
风险反应的策略包括规避风险、减少风险、共担风险和接受风险,风险应对的策略依据管理层对风险可能性和影响效果、成本收益、风险偏好等因素而定。所以,在对风险反应策略的检查中,要对上述因素进行定性、定量和风险排序的重新核实。在风险反应和控制中,内部审计人员的主要工作在于分析和评价风险回报的合理性、减少风险的措施的有效性以及接受风险、转移风险、和风险分担的其他风险。内部审计人员应审核风险的可容忍水平是否和战略风险计划相契合,风险把握的准确性,风险反应的适当性、经济性、有效性。实际工作中,风险处理措施和方法是否科学必须根据具体情况来判断,所以审计评价应基于实际。
(六)评价农商行控制活动
控制活动是针对风险因素实施的控制重大风险的措施。内部审计人员应该通过对风险责任人的访谈,进行必要的穿行测试等程序识别出农商行所采取的相应风险控制措施。
相关的交易是否符合农商行规定,是否有批准文件和明确授权,业务交易是否与农商行发展目标相一致。其次,交易是否与农商行各个发生层级目标相一致,例如经营目标和财务目标。对于不易检测的风险,内部审计应该进行多重控制评价,比如业绩评价,职责分离评价。
(七)评价农商行信息和沟通
信息与沟通在现代银行管理中的作用愈加明显。内部审计在评价农商行的信息与沟通时,应首先评价信息的价值性,再评价信息的报告与沟通路径。
农商行的信息资料来源需要着重评价风险信息的获取、储存、传递过程的有效性。
此外,评价信息沟通的核心是评价沟通机制。它包括评价报告路径、沟通力度、沟通层面、沟通渠道和沟通手段。农商行是否建立信息化沟通渠道,提交报告路径是否独立、是否有效都是考量沟通进程和质量的重要要素。在实际工作中,内部审计人员还应该根据农商行的实际情况,考虑不同部门的信息要求。
(八)监控农商行风险管理
内部审计对于农商行风险管理的监控,实际上包括加强后续专项审计和持续监督。具体而言,它包括持续监督风险评价与监控措施的有效性,跟踪往期审计结果和审计建议的落实情况,个别评价重大风险问题的整改,提高内部审计在风险管理中的持续性作用,实现价值增值。
参考文献
[1]王稳,王东.企业风险管理理论的演进与展望[J].审计研究,2010(04).
[2]董大胜,韩晓梅.风险基础内部审计—理论、实务、案例[M].辽宁大连:大连出版社,2010.
[3]王学娟,谢潮昂.我国商业银行风险管理研究—基于COSOII和BASELII的监管与协调[J].财会通讯,2012(02).
[4]朱泉.浅谈风险导向内部审计在农商行风险管理中的运用[J].金融纵横,2012(04).
[5]任思.风险导向内部审计研究[D]. 四川成都:西南财经大学,2007.
作者简介:丁俊博(1991-),男,江苏人,本科,南京审计学院,研究方向:农村商业银行、内部审计。
(编辑:陈岑)