风险导向审计在建设银行风险管理中的应用湖南总审计室课题组尹利芳屈小平唐昌明杨汉武徐超华[摘要] 随着建设银风险管理体制改革的日益深化，内部审计部门如何将风险导向审计应用于银行风险管理过程和促进其完善，以履行和发挥内部审计在风险管理中的职责与作用，这是内部审计提升审计价值实现增值服务的重要途径。

课题组就建设银行内部审计与风险管理的关系、建设银行风险管理现状及内部审计如何具体应用于银行风险管理过程，如何促进完善银行风险管理进行了研究。

【关键词】风险导向审计风险管理应用伴随着一系列重大财务舞弊案件的发生，审计失败屡屡发生。

为了适应审计环境的变化，风险导向审计作为一种重要的审计理念和方法，受到审计业界的关注。

为从根本上提高审计人员评估风险和发现舞弊的能力，中国注册会计师协会根据国际审计风险准则的发展，结合我国国情，修订了审计风险准则，要求注册会计师在审计中使用现代风险导向审计方法，实施风险评估程序，降低审计风险，提高审计质量。

并且修订的审计准则体系于2007年1月1日起在境内的所有会计师事务所开始施行。

同时，建设银行风险管理发展迅速，它已逐步成为经营活动的核心领域和主要工具，风险管理已经融入经营管理的战略思考、流程设计、组织框架和经营产品中。

在发展过程中，风险管理逐步形成了整套管理体系，包括识别风险的标准、方法、工具，处理风险的渠道、方法、计量模型以及其相应的风险文化观念等，但是，主动、全面风险管理的模式尚未真正建立。

作为组织风险管理框架体系中的内部审计如何利用风险导向审计的工具方法来完善组织的风险管理过程呢？本文以建设银行为例，对现代风险导向内部审计如何应用于风险管理进行初步探讨。

一、风险导向审计内涵（一）风险导向审计概念风险导向审计是指审计人员在对被审计单位的内部控制充分了解和评价的基础上，通过审计风险模型对风险进行量化，判断、分析被审单位的风险所在及其风险程度，把审计资源集中于高风险的审计领域，针对不同风险因素状况、程度采取相应的审计策略，加强对高风险点的实质性测试，将审计的剩余风险降低到可接受水平，从而达到降低检查风险，节约审计成本，提高审计质量和效率的目的。

（二）风险导向审计的发展随着社会经济的发展，审计方法适应审计环境的变化经历了三个发展阶段：一是审计发展早期，为了促使受托责任人在授权经营过程中做出诚实、可靠的行为，审计的重心在资产负债表，是对会计凭证和账簿的详细审计，旨在发现和防止错误与舞弊，这种审计方法就是账项基础审计方法。

二是从1950年起，以内部控制测试为基础的抽样审计在西方国家得到广泛应用，这种审计方法重点在于注册会计师了解、测试和评价内部控制设计的合理性和执行的有效性。

这种审计方法被称作制度基础审计方法。

三是20世纪70年代以后，一种新的以风险防范为基础的审计模式逐渐兴起，这种建立在审计风险模型基础上的审计方法称为风险导向审计方法。

风险导向审计自产生以来经历了两个阶段，理论界把以传统审计风险模型“审计风险=固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式；而将90年代后期开始，在国际会计师事务所内部推行并逐渐被审计理论与实务界接受的，以“审计风险=重大错报风险×检查风险”的模型为基础，以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。

传统风险导向审计方法不注重从宏观层面上了解企业及其环境，仅关注对账户余额和交易层次风险的评估。

但企业是整个社会经济中的一个细胞，所处的经济环境、行业状况、经营目标、战略和风险都将最终对会计报表产生重大影响。

相比之下，现代风险导向审计注重运用分析性程序识别可能存在的重大错报风险，审计重心前移，从而针对风险点设计和实施控制测试和实质性程序；在分析工具上，审计师常常把战略分析、绩效分析、财务分析及前景分析等分析工具运用到分析性程序中去，得出的风险评估结果会更加可靠。

（三）风险导向审计在建设银行内部审计中的运用 风险导向审计方法有助于提高审计计划的科学性。

风险作为一种核心理念，贯穿于整个内部审计过程。

它立足于全面的控制测试，而不仅仅限于测试内控制度的执行效果，测试结果将作为制定审计计划、方案的依据。

IIA2001《内部审计实务标准》第2010款A1条要求内部审计活动的参与计划必须以至少一年一次的风险评估为基础,内部审计部门应反映机构的风险战略，并规定要在与公司目标一致的前提下,以风险为导向确定内部审计的工作重点。

建设银行内部审计部门在制定审计计划时，就是以风险为导向，通过划分审计单元、实施风险评估、选择立项策略三个环节的基础上制定备选审计项目计划，合理确定重要性水平。

这样不仅提高风险导向审计的实践运用水平，而且科学制定审计计划，合理配置审计资源，有效控制整体审计风险。

风险导向审计方法有利于提高审计质量和审计效率。

风险导向审计充分发挥了审计风险模型工具的作用，在对企业内部控制充分了解和评价的基础上，利用审计风险分析模型分析被审单位的风险点，并对风险予以量化，据此把审计资源集中于高风险的审计领域，加强对高风险点的实质性测试，从而降低检查风险，提高审计质量和效率。

风险导向审计方法有利于审计人员全面认识被审计单位。

风险导向审计方法以项目的审计风险为质量控制依据，充分了解企业经营及所从事经济活动、企业的内部控制及其运行，并通过对有关数据、信息的分析和检查，由抽象到具体、由表及里地认识企业反映的信息与实际状况关系，从而确定企业对相关制度的遵循状况。

二、建设银行风险管理现状（一）建设银行风险管理的发展历程根据建设银行风险管理实践，可将其风险管理划分为三个阶段。

1、被动承担阶段。

从1994年《商业银行法》颁布到1999年第一次大规模的不良资产剥离，风险管理属“被动承担型”阶段。

在这个阶段，建设银行依托国家信用，执行国家职能，缺乏管理动力，没有真正的风险管理需求。

出于政策和政治的需要，建设银行乐于接受更大的风险规模，较少考虑风险对建设银行的负面影响，没有风险量化概念，只能进行定性分析，主要依靠经验，依赖手工开展风险管理，风险管理的重点是保证各项业务活动符合国家的有关规定。

2、消极回避阶段。

1999年大规模不良资产剥离之后，国家有关管理部门和建设银行自身都进行了认真反思，积极探索遏制不良贷款大量产生的有效途径，开始借鉴国际先进经验，建立现代风险管理体系，这个阶段属“消极回避型”风险管理。

这时期的风险管理动力主要来自外部，主要体现为风险制度的引进，如：审贷分离制度、贷款抵押担保要求、贷款五级分类等，都是由监管部门发起。

在风险管理上，将“风险”看成是“负面”因素，追求风险最小化，以“规模控制”和“惜贷”为主要特征，往往形成“过度控制”。

由于利率、汇率都处于管制状态，银行没有市场风险，在融资渠道单一、资金短缺的市场条件下，建设银行风险管理重点就是“尽快减少不良贷款并建立起有效的建设银行内部控制机制”。

3、有限承担阶段。

建设银行股份制改造完成后，公司治理得到完善，建设银行开始依托自身商业信用开展经营，其管理活动开始体现股东的意愿，在此情况下产生了“有限承担型”风险管理。

由于公司治理的完善，建设银行开始内生出风险管理的动力，开始认识到风险不完全是负面因素，它可以带来收益，从追求“风险最小化”转变为追求“风险可控”。

这一时期，资本市场打破了对融资的垄断，资金从短缺转向过剩，建设银行感受到了利润的压力，开始寻找平衡业务发展和风险控制的关系，并设定统一的风险边界，保证各业务单位在分散的信贷审批中能找到好的资产，从而实现风险可控条件下的利润最大化。

在边界管理模式下，不再以回避的态度来管理风险，而是划定可接受的风险边界，具有积极的意义。

但是如何使风险边界的设定获得共识成为风险管理的关键，在缺乏风险计量技术有力支撑的条件下，风险边界往往是模糊的，而这常常会影响经营活动的效率。

目前，建设银行正积极创造条件，按照巴塞尔新资本协议实施全面的风险管理战略。

（二）建设银行风险管理的不足与国际一流银行相比，建设银行在风险价值观、风险防御结构、风险预警技术、激励约束机制以及风险管理人才等方面还存在一定的差距。

1、未形成统一的核心风险价值观。

这主要体现在以下三个方面：一是对已经沉淀风险管理经验与教训提炼不够。

建设银行在长期发展过程中，实际上已经有了一些统一于风险管理方向上的某种思想观念、价值标准、道德规范和行为标准，但是还需将它们上升到文化层面，进行总结和提炼；二是风险管理偏好和风险认识不统一。

在目前层级管理的体制下，各分行负责人的风险偏好往往能够影响当地分行的风险管理政策。

同时，由于东、中、西部地区经济的差别，造成了建设银行风险管理理念不统一，极大影响了总行风险管理政策的贯彻和执行；三是风险管理文化尚未落实到制度层面。

风险管理文化必须通过制度进行培育，风险管理理念必须固化到规章制度中才能发挥作用，建设银行尚未制定风险管理文化建设的策划实施方案，统一的风险偏好和容忍度也未体现到全行的经济资本分配和信贷政策中去，风险管理文化培育尚处于起步阶段。

2、尚未形成有效的风险防御结构。

这主要体现在以下三个方面：一是从全面性来看，建设银行虽然在总行层面设置了信用风险、市场风险和操作风险的管理机构，但各级分支行的风险管理部门普遍负责信用风险的管理，操作风险和市场风险偏软、偏弱；二是从独立性来看，目前虽已建立了风险垂直管理模式，但上级风险管理部门对下级分行风险管理部门主要是业务管理权限，二级分行和基层机构风险管理部门独立性很难得到保证；三是从集中性来看，各业务部门分别负责自身风险控制，风险管理职能相对分散化，导致综合风险分析控制能力弱化，同时，由于各业务条线又设置专门的风险管理岗位，导致风险管理的专业性不强。

3、风险管理预警技术相对落后。

从2001年开始，建设银行就展开了对内部评级系统的研究，目前已成功开发并运行了“信用风险评级预警系统”和“公司类客户信用评级系统”，初步实现了对区域、产品、行业和客户的信用风险VAR值测算和风险预警，风险管理的技术水平大大提高。

但是，同国外先进银行相比，建设银行仍有很大差距：一是个人业务风险管理的自动化、系统化程度不高；二是中小企业、集团客户、专项贷款内部评级模型尚未完善；三是建设银行目前对经济资本的计算使用系数法，对经济资本的计量不能直接采用风险评级系统中风险资产的非预期损失数据。

4、未建立良好的风险管理保障机制。

一是未建立良好的激励约束机制。

风险管理贯穿于银行经营管理全过程，建设银行经营活动的各个环节都有可能引发风险，而良好的激励机制和约束机制可以使各级各岗位员工以主人翁的姿态履职，从而实现组织目标。

而建设银行业员工持股、高管层股票期权在内的有效的激励约束机制尚未形成，员工职业生涯设计得不到实现，不能获取期望的收入，个人价值得不到体现，风险管理目标最基本的要求没有满足，风险管理难度加大；二是缺乏高素质的风险管理人才队伍。