风险导向型审计是指通过对被审计单位进行风险职业判断，评价被审计单位风险控制，确定剩余风险，执行追加审计程序将剩余风险降低到可接受水平的一种审计模式，是相对于制度基础审计而言的。是在对企业环境和经营活动进行全面分析的基础上，制定审计策略，运用审计风险模型，积极而有效地采用分析性审计程序，达到规避风险，提高审计效率的目的。风险导向审计首先应用于外部审计，并逐渐在内部审计中加以应用。
　　银行业务具有业务量大，面广复杂的特点，且金融风险呈不断加剧，表现为新情况、新特点，尤其和外部环境的变化密切相关，引入风险导向审计的迫切性已不必赘言。在银行内部审计中逐步引入风险导向审计契合了审计资源不足与金融风险管理亟待加强的现状，同时，也符合IIA（国际内部审计师协会）对内部审计的最新定义，内部审计是一种独立的、客观的保证和咨询活动，目的是增加价值和改善组织的运营，通过系统的、规范的方法，评价并改善风险管理、控制和治理过程。内部审计部门应该在风险评估结果的基础上，评价组织与治理、运营及信息系统有关的控制程序的健全性与有效性（国际内部审计专业实务标准第2210条及解释）。新的内部审计专业实务标准对内部审计提出了更高的标准，可见，在银行内部审计中引入风险导向审计将成为各方共识。
　　农行改制后在各级分行设立了合规内控部，且总行设立几大审计分局进一步解决了审计的独立性问题，引入风险导向审计还可使审计局与和内控合规部的工作职能有所区别定位，内控合规部作为常设内控监督机构进行日常运作的内控评价，而审计局作为董事会下审计委员会的执行机构，负责对全行的整体风险评价。产用风险导向审计，既能体现成本效益原则，又是重要性原则的要求。一方面，过于频繁且重复的检查，势必对业务的正常进行产生干扰，且没有重点的普查由于时间关系等原因反而对疑点没有进一步深入，不能及时排除风险；同时，内审独立性的加强，也要求审计领域从原来的操作风险扩展到决策风险等更广阔的领域，也是全面风险管理的发展趋势。目前，一些案件、重大风险事件仍有发生，有跨越传统业务领域的，有在经营大环境变化下出现的新情况，尤其是一些新兴业务，由于制度设定本身的滞后性，传统的内控合规检查体系尚无法及时识别，因此，风险导向审计正应其时。
　　本文搜集了一些外资银行、国内股份制银行关于风险导向审计实务运用的资料，通过分析比较，探讨风险导向审计在内部审计运作的关键点、难点。他山之石，可以攻玉，希望能从中为风险导向审计在我行内部审计运用中获得一些宝贵的经验。限于材料和学识的限制，文中有不当之处，敬请批评指正。
　　首先，要使一项制度得以取得预想的效果，管理环境至关重要。纵观国内外几大银行，风险管理的前提是树立风险控制的企业文化，且在于落实，必须正确处理好银行风险防范与其业务拓展的关系。汇丰银行在这次的全球金融风暴中“独善其身”，表现出卓越的经营管理和风险驾驱能力，前任汇丰银行(HSBC)主席David Eldon(大卫·艾尔敦)先生在接受《国际融资》杂志记者采访时谈到，“大部分的银行都忘记了要进行风险防范、监控和管理，因为他们更加关注和担心的是如何才能拓展业务，抢占市场，成为市场中的领先者。在过去几年，风险管理人员明显地失去了对风险的控制，而银行发展和业务拓展占据了绝对的地位，每个人都希望开发新的业务，他们忘了有风险这么一回事儿！ 汇丰银行从未忽视过风险控制的重要性。在汇丰，有一支非常强有力的风险管理人员，他们不会允许银行发展跑偏方向，也绝对不会忘记风险控制和风险管理。亚太地区的汇丰银行对于风险和业务拓展之间的关系始终保持着高密度的监控。”
　　而建立独立权威的内部审计组织架构是汇丰、花旗等银行的共同特点。直接隶属于总行一级的内部审计机构、直接向董事会汇报的首席审计官、独立的财务预算、人员的直接选拔制度和从优待遇等，为审计的公正客观奠定了基础。
　　风险导向审计着眼于系统性、重要性风险，一方面对政策、制度制订进行审计，一方面对制度的执行情况审计评价。而前者正是我们所缺失的，原来的组织架构无法对政策制度本身进行审计，而系统性风险的产生往往来源于制度本身的缺陷。比如在制度制定中出现的如下倾向，过去制度制定往往倾向于理想化，“完美的法”下造成众人犯错，最终却又因法不责众而使制度成为摆设，同时，过于“完美的法”也不利于业务开展，且在事后追责中易造成不公。但目前又出现了另一种情况，由于制度制定部门，往往又是业务主管部门，随着审计的独立，注重细节的管理制度，反而易在审计检查中，找到更多的问题，而归责于业务主管部门，同时，主管部门偏重于业务拓展的角度考虑，现在又出现了业务主管部门在制定制度时，出现“宽松化”倾向的趋势，而这在我行目前风险意识尚未真正树立，办理业务时以“制度可不可以”为前提，却缺乏一个风险考量的现状下 ，过于“宽松化”的制度规定必将在当前业务操作中引起业务风险的大幅提高，这是十分危险的，必须加以重视。制定出切合实际的“良法”，事半而功倍，显然，对制度本身的审计日显重要。内部审计不仅要检查操作风险，强调合规操作，更需加强对制度本身的审计，并在制度设计时提供管理咨询等审计增值服务。风险导向审计强调以风险管理为先，这要求内部审计从原来的内控检查发展到更高层次的审计监督，必然从原来的偏重于事后检查，发展到事前和事中防范。通过潜在风险点的挖掘、外部环境的变化预警、风险提示和管理建议来实现内部审计增加价值和改善组织的运营的目标。
　　其次，国内外银行在加强风险管理，推广风险导向审计时，都不约而同地谈到了人的重要性。前任汇丰银行主席David Eldon(大卫·艾尔敦)先生强调：＂至于如何实施有效的风险控制机制，我想，最为关键的还是，一定要聘请最好的风险管理经理，也就是说，人才才是最重要的。我们需要高素质高水平的风险管理者，这对我们的未来发展至关重要。我们要持续不断地挖掘这种优秀的合适的风险管理人才。＂ 风险导向审计建立在风险点评价的基础之上，要求审计人员善于寻找风险点，判断风险度，据以制定审计计划、审计方案，并在审计过程中不断加以修正。对审计人员的素质要求较高，不仅要熟悉业务流程，而且要有较扎实的审计功底，并对风险的敏感度要有较好的把握。而复合型人才的缺失是各大银行普遍现象，也是各大银行渴求对象。在风险导向审计推行的难点中，几家银行都把人的因素放在了首位，培养和引进人才是当务之急。汇丰银行的“培训生计划”值得借鉴。汇丰银行将对银行业怀有浓厚兴趣且具有成为管理者潜质的高素质人才作为管理培训生，通过为期18个月的银行家管理培训生计划（简称“BDP”），旨在从银行业知识、分析决策能力及人员管理技能等方面给予毕业生均衡的指导，为从专员向高级管理层晋升的长期发展奠定坚实的基础。汇丰银行企业银行业务部、 工商业务部、 个人金融业务部、 营运部、 证券服务部、 贸易及供应链业务部等各业务部门共同为管理培训生提供动态且富挑战性的课堂培训及在职培训，并有机会进一步参与汇丰中国大陆和亚太地区内一系列职能部门的工作。通过这些经历，为其进一步发展以及在大陆业务中担任高层管理职务，储备所需的管理和技术技能，而表现优异的培训生将被派往汇丰集团的英国培训中心参加要求更高、更有收获的课堂培训计划。汇丰集团的管理培训生制度既让毕业生从各个业务部门获得锻炼，又避免了出现毕业生下基层后得不到向上发展空间的情况，且汇丰银行为管理培训生提供了纵向和横向的培训经历，为复合型人才的培养提供了支持。而这也是转型为复合型审计人员的素质要求。具备开阔视野、敏锐的风险嗅觉、扎实的专业素养的审计人员定能推动风险导向审计的顺利运行。
　　再次，从上述几家银行的模式来看，都要求IT信息系统的支持，且建立风险导向审计信息系统是一个长期的数据积累和指标完善的过程。银行数据电子化的发展为风险导向审计提供了方便，摆在我们面前的是一个如何整合平台的过程。无论是花旗还是汇丰，两大银行的信息系统从功能上看，由四大部分有机构成：第一部分集成客户服务系统为前台处理系统；第二部分集成业务处理系统为后台处理系统；第三部分数据管理系统为数据仓库；第四部分是银行管理层面使用的分析管理决策支持系统。通过运用IT集成技术，将分散封闭系统重组再造成集成网络一体化系统，其中的分析管理决策支持系统为银行进行风险管理经营决策提供了依据。在审计实践中，通过逐步建立审计数据库，利用分析性复核等手段，评估风险偏离度，并在实践中不断修正风险评价模型，由定性向定量过渡。值得注意的是，审计目前还是一门管理艺术，过于的强调定量既不现实也不合理，仍大量需要审计人员的判断，关于审计人员的素质培养前面已经提到，这里不再重复。审计基于数据之上的一个分析判断，是一个比较现实的做法。我行应大力开发计算机审计平台，并有意识地引导审计人员多利用非现场审计数据，通过分析比较，发现疑点，确定审计重点，培养起风险导向的审计观念。随着信息数据平台的整合，审计数据的积累，银行信息系统必然成为风险导向审计有力的工具。
　　下面我们谈谈风险点评估。风险导向审计中的关键一步是风险点评估。风险点评估是风险导向审计的基础，也是难点。如美国花旗银行的稽核部对各分行、各业务部门都制定了风险程度测定标准，并将其转化为数学模型输入计算机系统，计算机利用每一笔业务的原始数据资料，自动定期地对各审计对象打分，然后根据风险打分的结果确定审计计划。而瑞士信贷银行实行一种“从上到下”和“从下到上 ”相结合的评估体系。“从上到下”从整体角度评估固定风险，对审计重点进行排序，“从下到上”则从业务、机构、产品等维度分成多个审计单元，并以重要性程度为指标进行分级，组成一个矩阵式的评估模型，并以此决定审计对象、频率、审计计划。国内，工商银行也在逐步摸索建立风险评估模型。分5步走，第一步，按机构、产品、流程等维度，合理划分审计单元；第二步，准确定义风险事项，如将银行面临风险类别划分为战略风险、市场风险、信用风险、流动性风险、操作风险、法律风险、名誉风险等，（汇丰银行将其概括为五大风险，即信贷风险、市场风险、操作风险、流动性风险和声誉风险。）并且按外部事件和内部事件，确定监管、市场和产品、流程等风险因素和宏观调控或流程改造等风险事件；第三步，从风险的影响程度和发生可能性对固有风险做定性测试；第四步，通过穿行测试等评价审计对象内部控制有效性，或利用积累的内部控制记录作分析，客观评价控制的有效性；第五步，按风险管理模型“剩余风险＝固有风险x控制风险”，计算剩余风险，标准由银行依据各自的风险偏好及风险承受能力予以确定。最终结合以往审计实践及评估人员的经验按风险大小进行排序。当然，风险点评估不是机械的用已知的风险点去套，审计实践证明，许多爆发的风险往往是随着内外部环境的变化新生的，而被常规审计所忽视，因此按图索骥的做法是无法及时揭示风险的，需要一个开放性的思维，应着眼于风险区域，而非单一的控制点，应时刻关注环境的变化。事实上，无论是花旗、汇丰还是中国工商银行，风险点评估都不是一个一劳永逸的工作，而是需要不断更新和修正，以不断应对经营环境和业务发展的变化，是一个长期的系统化过程。
　　最后，谈几个内部审计面临的问题。而风险导向审计的引入对于处理好内部审计中碰到的这几个关系也有一定裨益。
　　第一、如何平衡风险控制与业务发展的关系？在汇丰的企业文化中，风险控制的意识已经植根于全行每个岗位每个人的潜意识之中，“谁都不愿意看到业务出现损失”，业务营销人员和风险控制人员之间相互理解，合规文化在汇丰银行还是花旗银行已是常态。风险导向审计正是建立在内控自觉化、常态化的基础上，侧重于重要性风险的把握，对内控较好的业务、部门不作审计重点，既符合成本效益性原则，又鼓励业务人员自觉自律，分层次进行风险控制。
　　第二、如何看待风险控制和业务创新？创新是银行发展之本。无论老牌的花旗还是国内银行新锐招商银行，正是几次关键时刻的创新，奠定了其发展的基础。如花旗1961年，推出第一张可转让存单；1966年，推出欧洲美元存单；70年代初，引入ATM机；1986年为年薪超过1万美元的消费者推出花旗统一账户，把支票透支账户、信用卡、支票账户合并在一起；1992年推出photocard；1993年推出Citibank CD，及帮助客户理账的Citiselect；1994年引入智能卡等；国内招商银行自创立以来相继推出一卡通、信用卡、一网通、金葵花理财账户等招牌业务，领先一步，由原来偏安于深圳蛇口的1000亿元资产小银行占尽中高端零售市场先机，变成1.6万亿元规模的中型银行，在亚洲134家银行排名中上升到第13位，多次在国内外各种零售银行的评比中斩获“最佳”称号。其掌门人马蔚华亲力亲为，步步推进，仍叹称，“我们当年搞网上银行，别人可能追两年三年，现在一个产品别人最快可能一个月就追上来了。而且前面的开发者是很费劲的，后来者可以踩你的肩膀就上来了。”创新之重要可见一斑。近期，全球金融风暴使人谈衍生产品而色变，其中便有一个识别“伪创新”的问题。看许多金融诈骗，都是老酒装新瓶，手法拙劣的很，和街头诈骗并无多少区别。而屡屡爆发的抄期货巨亏，实质都是侥幸思想占了上风，而在内部控制上大开绿灯，只盯着短期的盈利，如赌徒不可自拔，愈陷愈深。历史证明，真正的创新从来都是促进社会进步的动力，因噎废食的做法断不可取。传统的内部审计由于侧重于按规章制度检查，而部分新兴业务在初创阶段，其操作制度的制订往往较粗，许多在实践中新出现的问题还来不及修订，如果仅依照制度查问题，将无法对一些发现的风险及时作出评估，无法在漏洞被钻之前收紧；同时，制度基础审计在传统业务审计上化的时间较多，而相对新业务上时间花得反而少，显然与现代内部审计以风险为导向的趋势不相一致。风险导向审计的引入对此将有极大的改善。在新业务审计中把握风险点在哪里，利润能否覆盖损失，看风险是否充分揭示和可控制；同时，新业务流程中一些传统的内控手段不能丢，如人员分离，授权控制，保证金制度等，不能因拓展需要而放弃。只有对新业务有足够的风险关注，金融创新才能无后顾之忧，内部审计模式的更新将为金融创新保驾护航。
　　风险导向审计在银行内部审计实践中尽管会遇到人员条件限制等多个问题，但其优点明显，正逢其时。汇丰、花旗、工行的审计实践为我行提供了宝贵经验。他山之石，可以攻玉，吸取他行经验，结合我行实际，推动风险导向审计的应用，不断地在银行内部审计实践中加以改进与完善。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。