基层央行风险量化评估的主要做法和体会

本文从风险导向审计的角度，以人民银行海口中心支行开展风险量化评估的实践为例，介绍风险评估的理论模型、评估方法，提出基层央行开展风险导向审计的具体建议。

【关键词】基层央行；风险评估；内部审计

随着市场经济体制的日益完善和人民银行职能的不断变化，基层人民银行以往很多被忽视的风险和问题日渐显露，如依法行政中的法律风险、声誉风险，资产的市场风险、流动性风险，内部管理中的操作风险等。基层央行可能要面临的风险是其内部审计选择审计项目以及确定审计重点领域的依据。本文从风险导向审计的角度，以人民银行海口中心支行开展风险量化评估的实践为例，介绍风险评估的理论模型、评估方法，提出基层央行开展风险导向审计的具体建议。

一、风险评估采用的理论模型

海口中心支行开展风险量化评估采用“剩余风险=固有风险-控制有效性”的剩余风险评估模型，既要考虑固有风险，又要考虑内部控制有效性。

（一）固有风险的评估

固有风险的评估采用风险矩阵法，根据“影响程度”和“可能性”之间的关联程度判定，如下图所示：

注：将风险事件的影响程度级别和发生可能性级别分别标注在风险矩阵的横轴和纵轴上，横轴和纵轴的交汇区域所对应的风险等级即为该风险事件的风险等级。绿色区域、黄色区域、橙色区域和红色区域分别对应的风险等级为1、2、3、4级。

风险影响程度的评级标准，按照风险可能引发的资金损失、声誉损失、业务连续性损失，将风险的影响

程度由低到高依次划分为1-4级。风险发生可能性的评级标准，按照风险事件实际发生的历史数据、业务的复杂程度以及变化情况，将风险发生的可能性由低到高依次划分为1-4级。

（二）控制有效性的评价

控制有效性评估，从“以往审计结果”和“内部控制变化情况”两个方面衡量。按照各类审计或检查中发现问题的严重程度、审计频率、问题整改和内部控制变化情况，对内部控制有效性进行评估。内部控制有效性越高，对应的风险级别越低。反之，风险级别越高。风险由低到高依次划分为1-4级。

（三）剩余L险的计算方法

最终剩余风险量化分值采用风险因素加权平均法计算。计算公式为：剩余风险级别=（∑各类固有风险权重x风险级别+∑各项内部控制有效性权重×风险级别）+（∑各类固有风险权重+∑各项内部控制有效性权重）。具体运用风险评估表进行计算。

二、风险评估的实施过程

海口中心支行开展风险量化评估，主要采取以各职能部门初评和专家组复核确认的方式组织实施，灵活运用会议座谈、专家讨论、现场审计测试等方法，广泛收集整理数据，并对数据反复进行修正，最终以风险评估专家组审议的方式，从审计角度确定所有业务单元的风险值。

（一）前期准备阶段

一是制定《海口中心支行机关风险量化评估方案》，明确风险评估的目标、对象、范围、方法和程序等。二是要求各处室指定一名业务骨干作为评估员，负责本处室各业务活动风险评估的具体工作。

（二）组织开展初评

组织全行27个处室对132项业务活动进行风险初评。初评评按照《海口中心支行机关风险量化评估方案》要求开展，各处室撰写风险初评报告，提出审计需求，并针对高风险业务提出应对措施和建议。

（三）成立风险评估专家组对初评评结果进行复评和审议

内审部门组织成立了风险评估专家组，在各处室风险自评的基础上，对各项业务活动的风险事项进行再识别、再评估，审议确定各项业务活动的风险等级，最后由内审部门综合考虑专家组的意见，确定各业务单元的剩余风险评估值。

（四）风险评估的结果

通过初评和专家组复核审议，得出全行27个处室132项业务单元的剩余风险等级，并进行排序（如表2所示）。其中，高风险业务活动10项；偏高风险业务活动11项；中等风险业务活动56项；低风险业务活动55项（风险分值为3.0以上的为高风险，2.5-3.0的为偏高风险，2.0-2.5的为中等风险，2.0以下的为低风险）。

（五）审计策略

风险评估结果的运用，现阶段主要体现为以风险为基础的内部审计计划及审计方案的制定。根据剩余风险大小，对业务活动按风险排序划分风险等级，不同的风险等级制定不同的审计策略，优先把高风险业务作为审计项目规划的重点。根据风险评估的结果制定以下审计策略：一是重点关注类。剩余风险值在3.0以上（含3.0）的业务活动为审计重点关注类，如发行基金押运、财务收支、发行库内业务、第三方支付业务、外汇检查与处罚、国库退库业务、人民币清分、复点、销毁等高风险领域的业务活动，应在一年内开展审计。二是有效关注类。剩余风险值在2.5（含2.5）-3.0的业务活动为审计有效关注类，如集中采购、基建、发行库区管理、纪念币（钞）出入库、发行库设施与门禁管理、金融信息安全管理等偏高风险领域的业务活动，应在2年内开展审计。三是合理关注类。剩余风险值在2.0-2.5（含2.0）的业务活动为审计合理关注类，如企业征信系统建设、会计核算业务、支付系统管理、车辆管理等中等风险领域的业务活动，应在3年内开展审计。四是一般关注类。剩余风险值在2.0以下的业务活动为审计一般关注类，如党委宣传工作、老干部管理、金融研究工作等低风险领域的业务活动，建议3年至5年审计一次或根据需要开展审计。

三、几点体会

（一）开展风险导向审计，风险评估是基础

只有确定了各项业务单元的风险等级大小和排序，才能根据风险情况确定审计策略，提出内部审计年度计划，优先安排审计资源对高风险领域开展审计。

（二）风险事件识别是关键

风险事件是各项业务活动的风险点，内审部门在制定审计方案和实施现场审计时，应将风险评估过程中识别出来的风险事件作为审计、测试的重点，做到“审计关注风险，风险引导审计”。

（三）建立风险评估数据库并及时更新完善

内审部门应根据风险量化评估结果，建立全行业务风险评估数据库，将各评估对象的固有风险、控制有效性、剩余风险、调整项等分类信息建档保存。每年根据各业务的发展变化和内部控制情况的变化，及时调整更新各业务风险评估值，并以此作为下一年开展内部审计工作的重要依据。