风险导向审计在银行风险管理中的应用-基于洛阳银行的案例分析-5.4.1

风险导向审计在银行风险管理中的应用
-基于洛阳银行的案例分析
摘要
风险导向审计已经成为内部审计发展的新趋势。

商业银行作为资金密集型金融类企业，实施风险导向审计对企业自身风险管理和内部控制显得十分必要。

当前，我国银行业不少企业仍然停留在传统审计模式阶段，一些企业引进的风险导向审计在银行风险管理中也并未得到全面的应用，仍然存在一些问题。

本文试图以本省的城市商业银行洛阳银行为例，全面分析风险导向审计在银行风险管理中的应用情况，并对其存在的问题提出改进的合理化建议。

以期对目标企业或相关企业有所裨益。

本文主要由以下五个部分构成：第一部分是对风险导向审计的概述；第二部分分析了风险导向审计与银行风险管理之间的关系；第三部分以洛阳银行为例分析了风险导向审计在银行风险管理中的应用，并对实施情况做出评价；第四部分是针对完善风险导向审计在银行风险管理中的应用提出的合理化建议；第五部分是对全文的一个总结。

关键词：风险导向审计；风险管理；洛阳银行
Abstract
Currently, the risk-based audit has become a new trend in the development of internal audit. Commercial banks are capital-intensive financial enterprises, the implementation of risk-based audits of their own risk management and internal control is very necessary. At present, China's banking industry, many enterprises still remain in the traditional audit model stage, a number of enterprises to introduce risk-based audit in banks' risk management has also not been fully applied, there are still some problems. This paper attempts to Luoyang City Commercial Bank. Make a comprehensive analysis of risk-oriented audit in banks' risk management in the application and put forward reasonable suggestions to improve the existing problems. To the target company or related companies benefit.
This article consists of the following five parts: The first part is an overview of the risk-based audit; the second part analyzes the relationship between risk-based audit and risk management between the bank; the third part of Luoyang banks, for example in the analysis of the risk-based audit Bank risk management application, and implementation of the evaluation made; fourth part is perfect for the application of risk-based audit rationalization proposals in the bank's risk management proposed; the fifth part is a summary of the full text.
Keywords: risk-based audit; risk management; Bank of Luoyang
1.引言 (4)
2.相关理论及文献综述 (4)
2.1风险导向内部审计与风险管理相关理论 (4)
2.1.1风险导向内部审计定义 (4)
2.1.2风险管理的概念 (4)
2.1.3风险导向审计与商业银行风险管理的关系 (5)
2.2 风险导向内部审计与风险管理制度规定 (6)
2.3文献综述及其评述 (6)
2.3.1国外文献综述 (6)
2.3.2国内文献综述 (6)
2.3.3文献综述评述 (7)
3.洛阳银行总体情况分析 (7)
3.1洛阳银行概况 (7)
3.1.1洛阳银行基本情况 (7)
3.1.2洛阳银行组织架构概况 (8)
3.2洛阳银行内部审计情况 (9)
4风险导向审计在洛阳银行风险管理中的应用 (9)
4.1以风险管理为中心实施审计流程再造 (9)
4.2风险导向审计参与洛阳银行风险管理过程 (10)
4.3风险导向审计参与洛阳银行风险管理效果分析 (11)
4.3.1促进了内控的进行和内部控制体系的建设 (11)
4.3.2有效规避了风险并促进了公司治理工作的进行 (11)
4.3.3完善风险管理并增加了公司的效益 (12)
5. 完善洛阳银行风险导向审计的对策与建议 (13)
参考文献 (15)
商业银行作为金融类企业，其融资结构和经营特点决定了其属于经营风险的行业。

因此，实施全面的风险管理对于保持商业银行的经营稳定性及其重要。

传统的以业务导向或管理导向的审计模式已经不能满足内部审计和企业内部控制的需要，新型的审计模式应运而生。

实施风险导向审计有助于加强和完善银行内部控制机制建设，在企业全面风险管理中产生积极的影响。

在西方国家，风险导向内部审计不管是理论还是实践，都取得了较大的发展。

国内的研究普遍处于理论研究阶段，实际将风险导向审计应用于企业全面风险管理中的企业并不多。

就是在经营风险较高的金融业，风险导向审计的普及率依然不高。

一些企业引进的风险导向审计在银行风险管理中也并未得到全面的应用，仍然存在一些问题。

买了本文试图以本省的城市商业银行洛阳银行为例，全面分析风险导向审计在银行风险管理中的应用情况，并对其存在的问题提出改进的合理化建议。

2.相关理论及文献综述
2.1风险导向内部审计与风险管理相关理论
2.1.1风险导向内部审计定义
根据 2003 年国际内部审计师协会修订的新标准，对内部审计进行了重新定义，将其视为一项“独立、客观的保证和咨询活动”，达到“评价和改进风险管理、控制有效性”的目的。

这一新定义，最为显著的变化是将风险管理贯穿始终，对内部审计的目标、职能和关注点等进行了重新定位，推动了风险导向内部审计的进一步发展。

从中我们可以看出，风险导向内部审计既是一项独立客观的鉴证和咨询活动，同时也是基于降低企业审计风险和经营风险的一种风险管理的有效工具。

因此，风险导向内部审计是指内审人员在审计过程中，紧密围绕企业目标，始终坚持以风险程度评估为导向，全面识别风险，根据对风险程度重要性的分析来找出审计工作重点，对企业的内部控制、风险管理和经营管理水平实施检查并进行评价，提出建设性意见和建议，从而达到帮助企业加强内部控制，有效提高风险防范能力，实现企业价值增值的目标
2.1.2风险管理的概念
企业风险管理的概念和内涵。

对企业风险管理有多种定义。

美国COSO企业
风险管理整体框架定义企业风险管理是一个过程，企业由董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业管理之中，旨在识别可能会影响企业的潜在事项，管理风险以使其在企业风险容量之内，并为企业目标的实现提供合理保证。

IIA定义风险管理是采取一定的措施对风险进行检测、评估和控制，使风险降低到可接受程度和控制在可接受水平上，保证组织目标实现。

COSO和IIA 对企业风险管理定义的内涵基本一致：一是进行风险识别和评估；二是采取管理措施将风险控制在承受度之内；三是为组织目标的实现提供保证。

2.1.3风险导向审计与商业银行风险管理的关系
风险导向审计是银行内部控制及风险管理的需要，风险导向审计与银行风险管理有着紧密的联系。

实施风险导向审计业务，根据银行风险管理的目标和政策，采用系统化、规范化的方法，通过对风险管理信息系统、各业务循环及相关部门风险识别、风险评价、风险管理等的测试、评价和预警，能够促进、提高管理水平，保证实现降低风险的目标。

银行风险管理的未来是以价值创造为导向的全面风险管理，银行全面风险管理的核心理念是：整个机构内各个层次的业务单位，各个种类的风险统筹管理。

全面风险管理系统要求不仅仅处理市场风险或信用风险，还要涵盖操作风险、流动性风险、法律和监管风险等风险，并且要覆盖到涉及这些风险的所有资产与资产组合，以及所有承担这些风险的各个业务单位。

以银行价值最大化为目标，将风险管理内化于银行价值创造与评价过程是银行风险管理的未来趋势。

这一转变与以风险为导向的审计目标相一致。

内部审计通过风险导向审计参与商业银行的风险管理活动，而并不是直接参与与经营有关的直接风险管理。

简单的说，内部审计通过风险管理审计参与风险管理，就是对包括风险部门在内的所有组织的内控和风险管理制度的执行情况进行检验和测试。

风险导向内部审计保证了审计目标与企业目标相契合，通过将其监控结果反馈给管理层和董事会，帮助其完善和确定组织的目标和战略，以及针对例外情况的后续措施，提高企业管理决策运行的有效性。

在商业银行风险导向内部审计中，虽然内部审计是一种独立、客观的确认与咨询活动，但是它通过应用系统的、规范的方法，评价并改善风险管理活动，能够帮助组织实现其目标。

同时由于其自身的特点，风险导向审计参与风险管理拥有一定的优势。

内部审计人员熟悉本单位情况，对银行的经营环境和面临的风险比外部人士更了解。

内部审计部门和人员是组织内部成员，其利益同组织发展、兴衰密切相关，都将实现组织战略作为工作目标，对防范各种风险、实现经营目标有着更强烈的责任感。

内部审计部门不从事具体经营业务，其职能独立于业务经营及管理部门，以相对独立的第三方身份，客观地对建设银行所面临的风险进
行识别和评价，提出有效的风险控制建议。

2.2 风险导向内部审计与风险管理制度规定
2004年美国反虚假财务报告委员会管理组织(COSO)发布了《企业风险管理——整体框架》(ERM)，修订扩展了传统的内部控制定义，提出治理层要对风险和内部控制给予高度关注。

根据ERM框架，风险导向内部审计中的风险是针对组织所有目标、所有管理层次的各种性质的全部风险。

2013年我国最新的《内部审计基本准则》指出：内部审计是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标。

同时新准则将于2014年1月1日起施行。

新准则的发布，标志着我国内部审计准则体系进一步完善和成熟，体现了内部审计在风险管理中的必要性，并逐渐与国际惯例接轨。

2.3文献综述及其评述
2.3.1国外文献综述
COSO委员会从2001年起开始进行这方面的研究,在2003年7月完成了《企业风险管理框架》（草案）并公开向业界征求意见。

2004年4月美国COSO委员会在《内部控制整体框架》的基础上，结合《萨班斯一奥克斯法案》（Sarbanes-Oxley Act）在报告方面的要求，同时吸收各方面风险管理研究成果，颁布了《企业风险管理框架》（Enterprise Risk Management Framework）旨在为各国的企业风险管理提供一个统一术语与概念体系的全面的应用指南。

Hennie Van Greunin（2006）提出银行内部审计在风险管理中的主要责任有：提供关于公司治理、控制系统和银行管理过程的保证；改善董事会和管理层之间的交流；评估和披露有关的风险管理措施的恰当性；检查所有方面的风险行为和风险头寸等。

2.3.2国内文献综述
央行研究员冯刚（2013）认为，风险导向审计作为一种新的审计模式在我国银行类企业的应用还处于起步探索阶段，但它必将成为内部审计未来发展的新方向，实施风险导向审计有助于加强和完善银行内部控制机制建设。

建行研究员蒲育军（2010）认为审计计划选择高风险区域和对象进行立项是有效把握重大风险的前提，同时，企业应当增强过程控制和风险敏感度，审计报
告要突出重大风险事项，提高审计报告附加值。

建设银行审计师焦光辉（2013）也认为应用风险导向审计方法识别和化解企业风险是全面风险管理的关键，应当创建改造适于风险管理和控制的流程，另外加强风险管理的信息披露反馈制度是企业全面风险管理的信息保障。

任晓敏（2015）认为，风险导向审计为内部审计职能的实现提供了专业的指导，通过风险导向审计在银行业内部审计中的应用，将更好地实现内部审计在银行业风险管理中的职能。

工商银行山东分行会计师张鲁生（2015）认为，风险导向审计虽然代表未来审计的新方向，但是它有其局限性和适用范围，并不能取代制度导向审计。

宜将风险导向审计与制度导向审计并行或结合应用，才能全面地发挥内部审计的职能作用。

李群和祁霖（2015）同样也认为风险导向审计并非十全十美的一种审计模型，应用风险导向审计应当因地制宜，审计方法与审计环境相适应，因人而异，审计方法与审计人员相适应，注意审计方法的综合应用，相互配合，取得最佳效果。

2.3.3文献综述评述
关于风险导向审计在企业风险管理中的应用，国外学者倾向于将其制度化并在框架内将其付诸实施，国内学者则倾向于理论研究。

国外学者重视风险管理并将其与内部审计相结合，关于风险管理审计的实施己经取得了一定的成就并形成了比较完整的体系。

国内学者在理论研究方面并没有全新的突破，只是尝试将国外理论与国内实际相结合做一种分析，基本上都是讨论的我国内部审计存在的问题，实际运用基本理论对风险导向审计与风险管理的结合进行案例分析者寥寥无几。

3.洛阳银行总体情况分析
3.1洛阳银行概况
3.1.1洛阳银行基本情况
洛阳市商业银行成立于1997年9月，2009年3月更名为洛阳银行，实现了由一家地方性银行向区域性银行的历史性飞跃。

经过15年的发展，该行各项金融业务快速发展，经营业绩实现连续跨越，业务规模持续扩大，监管指标持续改善，综合实力位居河南省城市商业银行首位。

截至2014年12月末，洛阳银行资产总额达到1118亿元，各项存款余额超850亿元，各项贷款余额超790亿元，达到历史新高 。

从实行战略重组、提高
资源优化效率到走出洛阳地区跨区域建立分行；从支持基础设施建设、重大项目和民生工程建设到努力打造社区银行品牌、小企业金融服务专营品牌；从发展村镇银行、到跨区域经营、引进战略投资者，近几年来，洛阳银行一年一个台阶，实现了跨越式发展，在做大做强的征程中迈着坚实的步伐。

洛阳银行能够保持稳步发展，与其推行的风险管理制度不无关系。

洛阳银行实施的风险导向审计要早于国内其他商业银行，经过多年的实施和运行，风险导向审计在银行风险管理中得到了较好的应用。

3.1.2洛阳银行组织架构概况
洛阳银行根据自身实际和行业环境，对其企业组织架构进行了合理设置。

公司在董事会下设立了战略、薪酬、提名、风险管理、关联交易控制审计和六个专业委员会，对银行日常管理工作进行全面的监督和考核管理。

洛阳银行持续贯彻并推行独立、垂直的集中审计管理模式，设立独立的审计部门，直接隶属于董事会，对管理部室、子公司和分支公司的经营管理进行全面的监督和管理，完善企业内部控制并实施以风险为导向的审计，配合董事会下属风险管理委员会进行全面的风险管理。

洛阳银行实施的是垂直管理与横向联系相结合的一种架构模式，总体而言，该组织结构能兼顾组织运行效率和效果，是较为合理的。

图3.1 洛阳银行组织架构图
资料来源：洛阳银行官方网站
3.2洛阳银行内部审计情况
洛阳银行自1997年成立以来，建立了与公司发展战略、经营规模、业务范围和风险特点相适应的内部控制体系，并在十多年的不断的业务实践中持续加以完善和改进，以提升和增强公司内部控制体系的充分性和有效性。

洛阳银行根据外部宏观经济发展状况、法律和监管环境的变化，以及业务发展和内部管理要求，相继修订和完善了一系列内控制度，内容涵盖内部环境、风险评估、控制活动、信息沟通和内部监督等方面，内控缺陷一经识别，公司立即采取整改措施。

企业近几年内部控制都能保持合理有效的运行，未出现重大内部控制缺陷。

洛阳银行根据监管要求和自身发展战略要求，持续完善全面风险管理体系。

其一是优化全面分析管理治理架构和组织架构，明确公司风险管理层级和各层级的职责分工，完善公司风险管理的三道防线：前台的风险识别；中台的风险管理；内部审计部的查验。

其二是优化全面风险管理体系中的政策制度体系，从制度层面为全面风险管理提供保障。

4风险导向审计在洛阳银行风险管理中的应用科学处理好业务发展速度与风险防控之间的关系，一直是洛阳银行苦苦追求的目标。

洛阳银行始终坚持风险防控、制度先行的经营理念，强调制度设计的科学性及有效性，始终依靠制度的设计和执行确保风险防控到位；同时，以有效的风险防控措施、规范的业务操作流程来带动洛阳银行各项业务的发展，使市场拓展与风险防控之间不再是单纯的矛盾关系，而是向相互依存、相互促进的协调发展方向迈进。

风险导向审计在洛阳银行分析管理中的应用主要体现在一下几个方面。

4.1以风险管理为中心实施审计流程再造
洛阳银行应按照中国注册会计师审计准则中阐述的三个部分的审计业务流程和程序实施风险导向审计。

第一步是风险评估程序。

在了解本公司内部控制环境的基础上，评估会计报表层次和认定层次的重大错报风险。

作为风险评估的一部分，审计人员应当运用职业判断，确定识别的风险哪些是需要特别考虑的重大风险。

应当重点考虑下列事项：风险是否是舞弊风险；风险是否与近期经济环境、会计核算和其他方面的重大变化有关；交易的复杂程度；风险是否涉及重大的关联方交易；财务信息计量的主观程度，特别是对不确定事项的计量存在宽广的区间；风险是否涉及异常或超出正常业务范围的重大交易。

第二步是控制测试程序。

控制测试的目的是为了测试内部控制在防止、发现并纠正认定层次重大错报方面的运行有效性。

第三步是实质性程序。

实质性程序包括对重大的各类交易、账户余额、列报的细节测试以及实质性分析程序，目的是为了发现认定层次的重大错报，以获取适当的审计证据。

洛阳银行以风险管理为核心实施了审计流程再造，在全公司范围内实行了风险导向审计。

内部审计在风险管理中扮演的角色对组织机构整体成功至关重要。

内部审计要作为风险管理过程的参与者、协调者，真正融入到了企业管理体系中，真正置身于公司的治理和风险管理过程之中。

在风险控制和改进组织机构的效果方面要发挥其领导作用，积极参与和了解组织的各项业务和流程，及时帮助发现问题，及时提出解决措施。

同时，要利用自身的优势积极倡导组织道德文化的建设，积极协助组织规避风险，化解风险，防范舞弊，减少损失。

4.2风险导向审计参与洛阳银行风险管理过程
洛阳银行风险导向审计参与银行风险管理的过程可以分为以下几步。

第一步，掌握内外部风险信息，进行风险识别和评估。

洛阳银行内部审计人员通过实施必要的审计程序，对银行风险识别过程进行审查与评价，重点关注银行面临的内、外部风险是否已得到充分、适当的确认。

第二步，规范审计流程，重点监测风险审计。

洛阳银行内部审计部门通过规范审计流程，运用风险导向审计，确定审计重点，制订年度审计计划。

并根据内部控制的质量、风险点的变化或稳定程度、上次审计业务开展的时间、审计效果等风险因素分析，安排审计项目。

第三步，识别并评估风险，对风险管理高层进行风险提示。

风险识别和评估是风险管理框架中的关键环节。

第四步，强化跟踪审计，对风险进行再监督。

风险是动态的，审计要加强对风险的再监督。

洛阳银行从2009年开始构建了全面风险管理架构，制定了防范系统性风险和非系统性风险的各种风险管理制度 ，涵盖了“前台、中台、后台”等各个业务条线。

完善了对各个风险关键点的检测、测量和评价的技术手段，同时，修订完善了洛阳银行责任追究制度，实现了业务开展的事前、事中、事后的全程监督。

建立了科学化、制度化的业务审批流程，通过各种业务条线权限等级设置，控制可能发生的非系统性风险。

建立了审计部门直接向董事会负责的责任制度，强化审计功能，通过不定期对各个业务条线进行审计，督促其依法有序地开展业务。

强化信息技术对业务发展的支撑作用，不断提高科技能力水平，保持洛阳银行各
项业务开展的持续性和安全性。

通过构建全面风险管理整体框架，洛阳银行较好地处理了业务快速发展与风险控制的关系，保证了洛阳银行能够持续、稳健的向前发展。

4.3风险导向审计参与洛阳银行风险管理效果分析
内部审计部门独立于管理部门之外，能够客观地、从全局的角度管理风险，通过对长期计划与短期实现的调节，控制、指导银行的风险策略。

风险导向审计参与风险管理给洛阳银行带来的积极影响主要表现在三个方面：
4.3.1促进了内控的进行和内部控制体系的建设
风险管理首先要求全面识别风险，同时熟悉本单位的经营战略、工作程序、组织结构等，而内部审计人员的独特地位与专业知识是可以满足这样的要求的。

表4.1 内部控制独立评价单位：个
资料来源：洛阳银行对外披露的内控报告
洛阳银行在实际工作中以风险为导向开展内部审计工作，实施审计项目，发现、搜集、识别风险信息。

为内部控制工作的有效进行提供了有利保障。

审计中以风险为导向，重点关注内部控制，查找内部控制的缺失环节和薄弱点，提出改进和完善意见，促进加强内部控制。

从4.1可以看出，结合风险管理部门的要求及内部审计实施情况，2014年洛阳银行选取了涉及高风险领域或重要业务事项的125个风险点、428个控制活动开展独立测试，以及261个风险点、522个控制活动展开独立审阅。

相比较2013年的数据来看，进一步发挥了内部自评的作用，覆盖风险面更加广泛，控制活动也更充分，及时地树立了流程、风险点以及控制活动，达成了内部控制评估体系及纠正机制的快速反应，提高了内部控制的有效性。

4.3.2有效规避了风险并促进了公司治理工作的进行
在实际工作中，洛阳银行内部审计部门由于能够全面评价公司风险，尤其重点关注经营风险，以此确定审计风险水平和审查重点，因此审计报告提出了恰当降低风险的建议，从而促进被审计单位规避风险。

2014年洛阳银行根据审计报告中降低风险的建议，主动调整资产负债结构，大力发展存款业务压缩高成本同业负债，压缩同业低效资产，限制同业资产占比，。