第一篇:提高内部审计在电子银行风险防控中作用的探讨
提高内部审计在电子银行风险防控中作用的探讨
中内协网 www.xiexiebang.com 点击次数:1531
工行浙江省分行内控合规部 郭益雷
电子银行业务是指银行通过网络和电子终端为客户提供自助金融服务的离柜业务,它包括网上银行、电话银行、手机银行、多媒体自助服务终端等多个品种。由于电子银行业务操作简便,速度快捷,全天候,且节省资源,所以同时受到了银行和客户的青睐,各银行每年通过电子银行完成的业务量占总业务量比重也由2000年以前的不到5%发展到目前25%的平均水平。迅速发展的电子银行业务在给银行带来巨大机遇的同时,也带来了一系列新的风险。近年来,与电子银行业务相关的案件、客户纠纷呈持续上升趋势,对银行声誉和资金安产生了不良影响。作为银行内审部门,如何在电子银行业务方面发挥更大作用,帮助组织更有效控制各项风险,己成为我们必须面对的问题。
一、电子银行业务的主要风险
电子银行业务面临的主要风险按照产生原因不同可分为四类:
1、系统风险。电子银行业务是建立在计算机网络、通讯等高科技基础上的新兴业务,与系统对外物理隔绝的银行传统业务不同,其对外由客户自助办理的相对开放模式使其一旦在硬件、软件上存在问题,更易引发故障或受到恶意入侵,这就是电子银行业务的系统风险。系统风险又分为三类。一是电子银行业务系统在设计上有缺陷而产生的风险。二是由于系统或设备存在技术漏洞而产生的风险。三是由于不可抗力的突发性事件导致的系统崩溃风险。
2、客户操作风险。电子银行业务系统虽然操作简便快捷,但还是需要客户具有一定的知识和安全意识,按照银行规定步骤操作,不然就有可能引发风险。客户的操作风险可以分为客户因自身原因的误操作风险和客户因恶意欺诈而误操作的风险。前者是客户在电子银行自助操作中,因自身理解或操作上的错误,导致资金发生损失。如利用网上银行对外转账时,转账对象或转账金额输错。后者是客户在使用电子银行业务中遇到犯罪分子的恶意欺诈、干扰或陷井而受到损失。如犯罪分子通过设立虚假网站,散布木马程序等手段窃取客户资料和网银证书。
3、内部控制风险。电子银行业务是一项发展迅速的新兴业务,银行相关的内控管理难免存在着一定的滞后性,而且因为管理水平的差异,己制定的控制措施在执行过程中也可能由于人为因素而打折扣。银行内控管理上的不完善,极易产生内部控制风险。主要有两种,一是犯罪分子利用电子银行业务管理上的漏洞进行舞弊。二是银行员工未按规定正确办理电子银行业务,给客户造成经济损失。如企业网银客户证书申领时,银行方未仔细核对对方印鉴,造成客户证书被冒领,客户资金被盗用等。
4、法律风险。电子银行的法律风险主要分为两大类。一是由银行与客户纠纷引发的法律风险。二是由于电子银行业务中的部分交易违反相关监管法规而引发的法律风险。如由于电子银行业务大都是客户自助交易,存在着大量的大额交易和公转私交易,银行如何根据2007年1月1日起实施的反洗钱法对其中的可疑交易进行监控,及时上报数据,是当前管理中的一个薄弱环节。如果银行仍然象以前那样不作为,就可能违反反洗钱法中银行监控责任的相关条款,受到监管部门处罚。
二、目前内部审计在电子银行业务风险防控中的局限性及原因分析
我国各银行内审部门大都在2003年左右才开始将电子银行业务纳入审计范围。经过这几年来的努力,各银行电子银行业务在合规性方面有了明显的改观。如2003年工行浙江省分行第一次开展电子银行专项审计时,有90%左右的经办网点均存在关键岗位未实行分离、未经客户授权就开通网上银行对外转账功能、客户证书与密码由单人保管等违规操作问题。但到了2007年电子银行专项审计时,就只有5%左右的网点还存在以上一些问题。
由于对电子银行的审计起步较晚,当前内部审计在电子银行业务的风险防控上还存在着局限性。首先是内部审计所涉及的电子银行业务风险集中在内部控制风险方面,所有检查的目的都是为了确保电子银行的制度和风险防范措施得到执行,减少内部工作人员舞弊的可能性。而对于电子银行业务的系统风险、客户操作风险、法律风险则几乎没有涉及。其次是内部审计在审计方法、方式上仍然局限于传统的人工审计手段,不能较好地适应信息化的电子银行业务。例如工行浙江省分行营业部企业网银2007年5月一个月的交易量就达到了63万笔。如果要对该行网银交易中的反洗钱制度执行情况进行审计,依靠传统的人工审计手段显然如大海捞针。
内部审计在电子银行业务风险防范中的这些局限性,主要是由以下原因造成: 一是对电子银行业务的风险认识不够全面。许多内审人员对电子银行业务的风险认识仅停留在防止银行内部人员舞弊方面。对制度中未涉及的系统风险、客户操作风险、法律风险则比较陌生或忽视。尤其对于客户操作风险,普遍认为电子银行业务为客户自助操作,客户操作风险应由客户自行承担,和银行并无关系。其实这种认识是片面的,客户操作风险固然有客户自身的责任,但如果银行未以谨慎尽责的态度,提示、协助客户进行防范,也会存在赔偿客户损失的风险。从国内几起与客户操作风险相关的诉讼案判决结果来看,尽管目前都因为客户无法举证银行过失而败诉,但银行信誉却受到了影响,信誉是银行的生命,从某种意义而言银行己经受到了损失。而作为一家对客户负责任的商业银行,更不应将客户操作风险置之度外,如2007年8月荷兰银行发言人针对前段时间网络犯罪分子使用电脑病毒通过“视窗”操作系统的缺陷进入其部分客户的电脑系统,然后欺骗客户和银行系统进行错误操作,盗走客户资金的事件表态说,这些客户的损失将得到银行的补偿。显然该银行对待客户操作风险的负责态度将使其在市场中更具竞争力。由此可见,任何一种电子银行业务的风险我们都不能忽视,对风险的片面认识必然导致实际审计工作的缺失。
二是电子银行业务系统缺少相关的数据归集和查询分析等功能,给审计工作带来不便。由于电子银行业务系统的设计与投产要先于内审部门将其纳入审计范围,再加上各银行的内审部门缺乏可参与系统设计、测试的人员。所以目前运行的电子银行系统并未将审计部门的需求考虑在内。而内审人员也不清楚电子银行业务数据库的具体结构,无法将相关数据批量导出进行计算机处理。导致目前内审人员审计电子银行业务系统中的相关资料,大都依靠管理部门或前台的柜员进入系统,按照业务流水逐笔调阅,但面对一个月数十万笔的业务量,数以万计的客户资料,显然力不从心。
三是从事电子银行业务审计的专家型人材不足。目前各银行从事电子银行业务审计的人员大都是通过到电子银行专业部门短期实习,从而掌握、熟悉电子银行业务的基本风险环节和风险控制措施。既使是一些从电子银行部门充实到内部审计部门的人员,也只是对电子银行的前台业务或后台管理情况有所了解。内审部门缺少那些熟悉电子银行整个业务流程,了解电子银行业务系统结构和程序控制,又掌握信息系统审计技术的专家型人材。因此无法对电子银行的系统风险展开审计。
三、提高内部审计在电子银行业务风险防控中作用的措施
内部审计在电子银行业务风险防控中的局限性,使得电子银行业务中潜在的一些系统风险、客户操作风险、法律风险不能被及时揭示出来。一旦这些潜在风险演化成现实问题,就会严重影响银行的业务发展乃至声誉。如:2006年一些因网银资金被盗而质疑某银行网银系统安全性、认为该行处理不当的客户在网上成立了维权联盟,建立了专门的网站,联名对银行提起诉讼,对该行声誉造成了严重影响,一定程度上影响了该行网上银行业务的发展。而这一事件围绕的焦点就是网银业务的系统风险与客户操作风险。所以,作为银行的内审部门,我们要尽快转变观念,采取措施,加强对电子银行业务的审计力度,有效防控业务中的风险。
(一)扩大审计范围,针对电子银行业务的各种风险,开展专项审计。
1、针对电子银行业务的系统风险开展专项审计,可以从以下几方面着手。一是运用信息系统的审计方法和流程对电子银行业务系统的用户管理、网络安全管理、开放平台系统管理、数据管理、变更管理、事件管理、操作管理、应急管理、验收及适应性测试情况进行审计。二是了解专业部门有无建立规范的系统故障登记、报告制度,检查制度是否得到有效执行。三是从专业部门调阅网上银行系统的故障记录,或通过现场、电话及网银系统的形式向客户发放故障调查问卷,收集网银故障信息。对故障种类、时间长短、原因、发生频率进行计算、分析、归纳,揭示其中的系统风险。如工行一次对电子银行的审计中,发现有许多客户反映某一时间段个人网银系统登陆存在出错信息。根据对故障时间段的分析和向专业部门了解,当时正值工行正式在个人网银中开通新发行基金的申购业务,又是股市升温,大量客户利用网银进行银证转账,网上银行业务量倍增,系统来不及处理业务数据,导致故障发生。内审部门在审计报告中指出了这一系统风险,建议专业部门应根据业务发展及时对系统硬件进行升级。四是调阅专业部门面对突发性事件的应急方案,检查方案的可行性和数据备份的有效性,实际测试应急方案的执行状况。五是在审计中关注电子银行系统版本升级或设备更新后是否出现异常或不兼容状况。如2006年8月某银行个人网银系统增设电子商务功能后,审计人员在一次合违性审计项目中就意外发现,当客户在前台只开通电话银行时,网上银行中的电子商务选择功能会在机打信息中默认显示为开通。虽然该功能实际不能使用,但由于机打信息是客户与银行协议的一部分,一旦就此产生纠纷,银行将处于不利地位。该问题显然是由于系统升级后的程序设置问题。六是关注网银系统和设备与客户计算机环境的适应性。如微软vista 操作系统上市后,部分银行未能及时对客户证书的驱动程序进行升级,导致一段时期内,证书在客户装有vista操作系统的电脑上无法使用。在一定程度上影响了电子银行业务的市场开拓。
2、对电子银行客户操作风险开展专项审计。以网银系统的客户操作风险为例,可以调阅一段时期内专业部门有关客户资金损失的投诉报案记录,通过网银系统发放调查单或其他方式,采集有关客户操作风险的实际案例,对达到一定数量的案例样本进行统计归纳,分析引发这些操作风险的具体原因:如客户误上不良网站感染木马程序、客户计算机上杀毒软件未能及时更新、网银界面容易误导客户进行不正确的操作、客户误登假冒的网上银行网站等。分别计算因为这些原因引发客户损失的频率和大小。按威胁度进行排位。向上级或专业部门提示这些风险、提出相应的风险防范建议。并调阅前台录像、业务部门处理客户设诉报案的记录,检查前台柜员在为客户开办网上银行业务时,是否履行了风险提示的义务;业务部门处理客户投诉报案时,是否认真了解情况,及时采取措施控制客户损失,并积极展开调查,妥善处理银行与客户间的纠纷。
3、针对电子银行业务中存在的法律风险开展专项审计。例如可以针对网上银行中客户交易违反反洗钱法的情况开展专项审计。先从系统内批量导入客户交易数据,根据事先设定的参数,运用计算机自动筛选出从对公账户转入私人账户的所有交易。统计交易笔数和金额,从中抽取交易量、交易额较大的账户,调阅相关的电子支付指令凭证,查看是否附有有效的转账证明、交易用途是否合规、银行经办人员是否履行了审查职责,对违反人行相关规定的交易是否退回,并将相关交易与银行定期的大额交易监测报告、反洗钱报告核对,检查是否履行了监测报告职责。对其中存在的违规情况,分析原因,找出管理上的不足,及时向上级行和管理部门报告。2007年6月某银行内审部门在对二级分行所作的电子银行专项审计中,首次尝试将法律风险纳入审计范围,结果发现2007年1月该二级分行网上银行交易中,有37户对公账户以化整为零方式,向私人账户划转资金1千多万元,逃避相关部门的监控;还有14户一般结算账户违规通过网上银行发放工资、奖金等本来应由基本账户支付的款项共2千多笔,累计金额4百多万元。经分析,产生问题的原因主要是:⑴随着电子银行业务的发展,客户资金从传统的柜面处理渠道向电子支付渠道转移,相关的反洗钱监控报告制度和流程未及时调整,各级反洗钱职能部门之间职责不清,导致对电子银行交易中的大量可疑交易的监控出现空白。⑵目前系统未对公转私业务按照账户管理、现金管理规定进行硬控制,也无法对电子银行交易数据进行有效和全面的分析,由于相关交易数据巨大,仅靠人工难以对大量的客户交易指令进行有效判别和管理。审计结果出来后,引起了上级行和专业管理部门的高度重视。目前该行总行也己重新调整了反洗钱办公室的组织结构,专门设立了电子银行业务反洗钱领导小组以加强管理。
(二)加强非现场审计手段、工具的研发,提高对电子银行业务的审计效率。传统的审计手段和方法在效率上己不能满足对电子银行业务的审计需要,以计算机为主要辅助手段的非现场审计则能很好地弥补传统审计手段在面临大量信息数据时的不足。为此,我们要加强非现场审计工具、手段的研发,首先要建立一个通用的非现场审计工具平台,解决电子银行业务数据的批量导入导出问题,方便审计人员取得审计资料数据。其次要根据业务风险状况和相关部门的监管要求设立一系列的监测指标,运用计算机对电子银行业务数据自动分析归类,从中筛选出可疑的交易信息。最后再运用传统审计手段,根据可疑交易清单,调阅相关资料及原始凭证、询问当事人经办情况,确认问题,查找原因。
(三)改进针对内部控制风险的审计模式,由制度合规性审计向操作流程审计转变。以往对内部控制风险的审计模式都是依据制度规定对业务开办情况进行检查。虽然也能发现问题,但由于业务环节繁多,而涉及某一项业务的制度往往政出多门,彼此交叉,可能存在空白点。仅以制度为依据开展审计,缺乏系统性和严密性,既容易造成风险环节的遗漏,也容易造成审计人员断章取意的情况。为此,2006年末工行推出了业务操作指南。该指南由业务流程图和风险控制描述两部分构成。其中,流程图按具体业务种类绘制。从每项业务受理环节开始,直至整个业务处理结束,反映每项业务的主要操作流程,并对流程中的风险环节进行标注。风险控制描述则是对流程图的文字补充,主要包括风险环节、风险点、控制措施及制度文件依据等内容。操作指南从业务流程的角度描述规范的业务操作步骤和应注意的风险点,将制度要求与业务操作有机的结合在一起,弥补了原先仅凭制度进行管理的缺陷,也为我们审计工作提供了一个新的思路。即我们日常对于内部控制风险的审计也应该向制度与操作流程相结合的审计模式转变。如按照工行业务操作指南,电子银行业务分为个人电子银行业务、企业电子银行业务、电话银行中心业务、综合业务四大块共28个子业务,84个业务流程,300多个业务风险点,我们对电子银行业务内部控制风险的审计可以按照业务流程,进行穿行式测试,即挑选一定数量有代表性的业务,跟踪办理全过程,检查柜员是否严格按照规定业务流程进行操作,是否严格执行规定的风险防范措施。从而更全面直观的反映电子银行业务的内部控制风险状况。
(四)开展安全评价、效益评价及各项专项调查,为电子银行业务的风险防控提供增值服务。
内审部门可以按照内控评价的形式评估电子银行业务运营的安全状况。首先根据电子银行业务的不同业务种类、业务流程和风险点制定一系列的指标,按照每个风险环节的风险大小,确定每项指标的分值。然后按指标随机抽取业务样本,评估是否存在风险,确定单项指标的得分。最后根据各个项目得分汇总评估出整个业务的风险等级,供组织领导层决策参考。运用这种评价方式,哪个业务种类、业务环节风险管理相对薄弱通过分项指标得分一目了然,也为业务部门改进工作指明了方向。此外,还可以对电子银行业务的效益情况开展评价或调查,如:目前各行电子银行业务都处在市场开拓阶段,盲目减免费用争夺客户的现象十分普遍。其中有些费用减免己经违反了组织规定,还导致了部分银行电子银行业务虽然发展较快,但效益不能与规模相匹配。从某种意义而言,银行收益的流失也是一种风险范畴。对电子银行的效益性展开评价或调查,主要是根据被评价行的电子银行业务开办规模,计算出应收费用与实收费用的差额。然后,调阅该行电子银行业务的费用减免文件,统计正常减免的费用数和违规减免的费用数,测算减免单位对银行的贡献度是否达到规定要求,计算业务的收益率。最后评估该行电子银行业务效益在行业中所处的水平,以及费用减免是否遵循了效益性与合规性原则。通过这些评价和调查工作,内审部门在为电子银行业务发展提供增值服务的同时,也提高了自身在组织中的地位与作用。
(五)加紧审计人员的培训和人材储备,为对电子银行业务的审计提供保障。一是引进国外先进的风险防控理念和信息系统审计技术,鼓励审计人员加强学习,通过考取信息系统审计师专业资格等途径提高自身业务素质。二是可以采取请进来的方式,从电子银行部门引进专家,在内审部门开展专业培训,帮助设计新的审计项目,带动整个内审部门在电子银行业务方面的审计水平提高。三是定期组织审计人员到电子银行专业部门实习,及时掌握最新的业务发展情况。四是内审部门间加强相互交流与学习,共同提高审计水平。因为即便同一组织内,各内审部门的审计水平也有高低。如2006年工行广州内审分局作电子银行专项审计时,运用交易数据计算机批量分析技术发现了网上银行虚假交易问题,就很值得基层内审部门学习。
综上所述,当前电子银行业务的迅速发展,对银行内审部门而言,既是机遇,也是挑战。内审部门只有从组织利益的角度出发,面对电子银行业务的各项风险,不因循守旧,敢于创新突破,及时扩大审计范围,有效履行自身职责,才能具有更大的发展前景。
第二篇:银行内部风险防控学习心得
邮储银行内部风险防控学习心得
在银行业务高速发展的背景下,日益激烈的行业竞争、客户对于银行网点的不满和期望,以及网点运营效率低下等各种风险因素都迫切要求银行业对现有内部风险积极进行防控。邮储银行为全面提升内部风险防控意识,提高综合竞争力,认真学习现代银行的风险管理经验,从稳健经营出发,从为城乡居民提供基础金融服务和从事低风险的资产业务起步,通过不断加强银行内部管理和风险控制能力,逐步拓展新业务提高经济效益。
根据队伍的现状,邮储银行xx市支行确定内部风险的防控重点和方向,确定培训对象和内容,制定和落实好培训计划,积极引进商业银行先进的经营理念、管理理念。改善员工的知识和专业结构,全面提高员工整体素质,使其逐步适应邮储银行的发展需要。此次刘行长的讲话,深入浅出,着眼全局又注重于局部,使我们广大员工从思想觉悟和行为意识上有了更进一步的提高。认真总结,我们主要采取了并需要进一步加强以下几方面措施: 1.加强领导。
内部风险防控的最终目标是要实现网点自主内部控制功能的提升,把推进内部风险防控作为提高员工满意度和客户满意度,提高网点的营销服务能力和核心竞争力,乃至撬动全行内部安全意识,实现工作目标的重中之重的工作来抓。作为对内部风险防控的内容、步骤、目标和要求都进行明确,为降低内部防控风险提供科学依据。2.坚持原则。
坚持优化布控、提高效益原则。本着“稳定内部风险结构”的思路,合理调整内部安全意识,提高网点的创效能力。根据不同的区域和经济条件,加强对基础网点和自助网点的安全风险进行建设,各部门要对自身的安全问题执行情况进行全面检查、监督和评价考核, 对执行不力的要严肃追究责任,以确保内部风险控制的质量和效果,通过网点形象建设工作促进网点全方位功能的提升。3.建立机制。
控制银行内部风险是为了更好的为客户提供服务,增加产品销售,但如果不重视内控制度建设、规章制度的落实和风险理念的教育,甚至以牺牲风险来增加服务的便利性,则有可能导致转型的失败。因此,加强员工思想道德教育和风险意识,狠抓制度落实和按章操作,建立先进的风险控制文化和合规文化,督促网点整改,巩固风险安全检查效果。4.完善措施。
通过专业的合规风险教育去进行企业改革,用统一的标准,规范网点的营销模式,实现服务标准化和客户体验的一致性,以提高产品销售能力,提升客户满意度。从而提高网点内部控制的全面转型,实现企业经济效益的稳步提高。
业精于勤荒于嬉,行成于思而毁于随。在今后的工作当中,我们应当以刘行长的此次讲话为契机,提高思想觉悟,牢固树立风险防控原则,加强内控监督意识,积极学习各项业务操作,规范操作流程,以更加严谨的工作态度,更加饱满的工作热情投身今后的每一项工作。
第三篇:风险导向审计在银行内部审计中的作用
风险导向审计在银行内部审计中的作用
2012年04月10日 10:15 来源:《当代经济》 2011年第10期下 作者:毛显波 字号
打印 纠错 分享 推荐 浏览量
摘要:目前,风险导向审计已经成为审计理论界和实务界研究的新趋势,在银行内部审计中引入风险导向审计,对于改善银行内部控制具有重要意义。本文从风险导向审计的相关概念入手,阐述了在银行内部审计中运用风险导向审计理念的可行性与必要性,并进一步论述了风险导向审计在银行内部审计中的作用。
关键词:风险导向审计,银行内部审计,作用
风险导向审计作为一种全新的审计理念和方法,日益受到审计理论界和实务界的广泛关注,它为审计人员从系统和全局的角度评价企业经营的风险状况,为企业提供增值性审计服务提供了基础。它不仅是审计技术方法、审计程序的重大变革,更重要的是审计理念上质的飞跃。银行作为经营货币的高风险行业,与国计民生联系紧密,随着银行服务范围的日益拓展和金融产品的逐渐丰富,银行的内部审计日趋重要。银行业应树立风险导向内部审计理念,改进银行内部审计模式。借鉴和运用风险导向审计理念,对于银行内部审计活动具有重要的作用和意义。
一、风险导向审计的内涵及其特点
基于战略观和系统观的思想,风险导向审计的理念应运而生,并成为了当前国内外审计发展的新趋势。这种新的审计模式以被审计单位经营风险的分析评估为导向,强调审计风险。在对被审单位内部控制充分了解和评价的基础上,通过综合评价企业经营风险,对企业所处的外部环境、战略定位和关键经营环节进行分析,判断被审计单位的风险所在及高低程度,从而把审计资源分配到高风险审计领域之中。
在对审计对象风险排序的过程中,可以确定审计重点和审计计划,围绕重点高风险领域展开审计,便抓住了防范和化解风险的关键。风险导向审计将审计对象置于经济、法律、行业、内部制度、组织建设,甚至企业的经营哲学等内外部环境中,从各个方面研究环境对审计的影响,并将对审计风险的评价作为一切审计工作的起点并始终贯穿于整个审计过程。具有以战略论、系统论为理论基础、将审计重心前移并着重运用分析性程序等几大突出特点。
二、银行实施风险导向内部审计的可行性与必要性
1、可行性分析
首先,内部控制的实施为倡导风险导向审计奠定了基础。中国人民银行于2002年9月正式颁布《商业银行内部控制指引》,其用意是促进我国银行建立和健全内部控制,防范金融风险,保障银行体系安全稳健运行。对此,近年来,我国银行业积极开展风险管理宣传,对各岗位职责进一步明确,把强化内部控制作为防范内部控制风险,提高履职水平的保障性手段,风险管理逐步深入,初步形成了风险管理组织架构。无疑,内部控制的实施为银行内部审计部门顺利实施风险导向审计奠定了基础。
其次,银行业务的不断扩宽和多样性为风险导向审计的运用提供了有利条件。银行业务经营的高度信息化,以及数据的集中运行,为审计信息采集和风险评估提供了基础。银行业具有较为科学规范的风险管理和严格的内部控制制度,同时国际银行业通行的风险管理和风险评级方法,为风险导向审计开展风险评估,有效识别风险,找准审计的切入点提供了良好的参照和借鉴。
最后,良好的信息化技术平台扩大了风险导向审计的应用空间。随着信息化建设的发展,银行各项业务操作逐步借助计算机来实现,这为银行内部审计部门搜集审计资料、实施审计抽样等提供了便捷的信息平台。借助完善的信息化系统与程序能够为风险导向审计提供信息数据库,为银行内部审计人员开展风险导向审计提供技术支持。以信息手段评估银行风险,为实施风险导向审计提供了便利的环境,使得风险导向审计应用空间扩大。
2、必要性分析
首先,能够降低经营风险。银行作为国民经济发展的命脉,因其经营内容的特殊性和经营模式的高负债性,使得其面临着较大的经营风险。当前经济环境错综复杂,如何有效地进行风险管理成为了银行经营管理中首当其冲的任务。内部审计作为银行风险管理的重要组成部分,当前面临着内部审计资源供需矛盾凸显的情况,而风险导向内部审计理念的诞生,恰好可以解决审计资源供需不平衡的局面,从而提供内部审计质量,降低经营风险。
其次,能够防范操作风险。随着现代市场经济的发展,计算机信息化程度不断提高,银行从业人员操作不当的风险也面临着加剧的局面。风险导向审计以风险为基础,使得内部审计人员始终关注影响风险的因素,能够更加充分地了解银行业务操作的真实性和完整性,并且进行有效分析、风险评估,从而能够及时发现操作风险,并且给予有效的防范。
三、以风险为导向的银行内部审计
1、银行风险导向内部审计概念
银行风险导向内部审计是以银行全面风险管理为导向,从风险识别、计量、监测和控制四个主要阶段,审核银行风险管理的能力和效果,发现并报告潜在的重大风险,提出应对方案并监督风险控制措施的落实情况。
2、银行风险导向内部审计目标
银行风险导向内部审计的目标与其战略目标相一致:一是强化控制、提高效率、防范风险、发现和控制风险,提高风险管理水平,不断完善风险管理系统;二是督促银行各项风险管理目标和措施得到落实,确保银行战略目标的实现;三是通过对风险管理的审计,分析和评估战略目标中不符合风险与收益原则的部分,提出调整战略目标的建议。
3、银行风险导向内部审计方法
银行以风险为导向的内部审计方法是在对风险进行分析和评价的基础上,从控制风险的角度出发,针对银行经营中存在的主要风险提出对策性建议,并就如何降低风险提出改进措施,进而改善银行经营管理,实现银行发展目标。比起以内控为导向的内部审计方法,使用以风险为导向的审计方法对银行来讲更为科学合理。
四、风险导向审计在银行内部审计中的作用
1、揭示运营中的战略性和系统性风险
银行业务经营具有高负债、高风险等特点,面临着国家严格的金融监管和社会监督,这在客观上要求银行必须建立起严格的内部控制和有效的内部审计制度,以揭示运营中的重大风险隐患,保证银行业务经营的稳健发展。风险导向审计在传统账项审计和制度审计基础上发展而来,能够全面进行风险评估,选择重要风险领域,开展审计工作,从而能够揭示运营中的战略性和系统性风险,提高审计质量。
2、有效利用内部审计资源,提高审计的效率和效果
当前,银行业务量大、业务环节复杂、涉及领域广泛,而与之相对应的内部审计资源表现匮乏,在有限的审计资源的前提下,如何进行审计资源配置,提高审计的效率和效果,就成为审计部门的当务之急。审计资源配置是指审计资源在既定的条件下,运用有效的手段或者方式根据审计资源的需求将有限的资源进行分配,以保障审计资源有效供给,最终实现审计目标的一种活动。审计资源配置以效益性为核心,有两点要求:一是使有限的审计资源产出最大的收益;二是为取得预定的效益尽可能少地消耗审计资源。风险导向审计方法通过风险评估,能够合理确定重要性水平,主动控制审计风险,将资源用在高风险领域,能够避免审计资源的浪费,促进审计资源的有效分配和利用。
3、促进银行治理结构的重构和完善
现代银行业金融机构一般实行总分行制,每一层级经营管理架构根据职能隋况进行设置,在总行级,内设的经营管理机构、部门一般为股东大会、董事会、相关委员会、业务管理部门。各银行业金融机构内部管理体制、机制、职责分工因经营管理特点各异而不尽相同。实施风险导向审计立足于对组织经营目标实现风险状况的分析评价,深层次寻找风险管理策略和风险管理体制方面存在的缺陷与不足,并依赖内部审计的相对独立性,提出相应审计建议,能够促进银行对管理架构的反思与调整,使组织治理架构能够根据形势变化得以进一步的重构和完善。
4、对全面风险管理体系的有效补充
全面风险管理,是指对整个银行内各个业务层次,各种类型风险的通盘管理,这种管理要求将信用风险、市场风险、操作风险等以及包含这些风险的各种金融资产与资产组合、承担这些风险的各个业务单位纳入到统一的体系中,对各类风险依据统一的标准进行测量并加总,并依据全部业务的相关性对风险进行控制和管理。实施风险导向审计,从整体上把握审计风险因素,警惕潜在的重大风险,最大限度地减少审计风险。在审计计划、审计实施、审计报告阶段,将风险作为重要考虑因素,在整个审计过程贯穿对风险的关注,充分考虑风险管理的充分性和有效性,是对全面风险管理体系的有效补充。
5、推动银行高效发展,实现银行企业价值最大化
风险导向审计通过科学和精细化的方法、模型,及时检测并揭示金融风险,约束经营行为,促进经营模式的转变和经营行为的理性化,实现风险可控下的高效发展。有助于全面风险管理作用的最大化,并实现银行企业价值的最大化。实施风险导向审计,有助于银行资本、规模、效益持续动态平衡,确保风险计量与监控、资本分配、绩效衡量与考核的质量,并能够增强资产定价的合理性,使风险管理战略更加符合股东、管理层、员工和客户的最大利益,从而实现银行自身企业价值的最大化。
6、确保国家金融体系稳健发展
银行作为国家最主要的金融机构,因其广泛的职能,使得它对整个社会经济活动的影响十分显著,在整个金融体系乃至国民经济中位居特殊而重要的地位。“免疫系统论”理论认为审计是国家经济运行的“免疫系统”,在维护国家安全和人民根本利益方面具有十分重要的作用。“免疫系统论”理论作为科学的理论,对内部审计实践同样具有指导意义。对于银行内部审计而言,通过实施风险导向审计能够很好地发挥内部审计“免疫系统”的功能。风险导向审计以风险管理为导向,在内部审计管理与实施全过程紧盯风险、关注危机,以风险为导向制定审计计划、实施审计程序、根据审计结果进行风险分析与评价,形成对违法违规行为处理的审计意见,提出预防、控制、化解风险的对策建议,从而帮助银行提高风险管理水平,进而稳健整个金融体系的良性发展。
综上所述,随着银行服务范围的日益拓展和金融产品的逐渐多样,银行面临着日益加剧的经营风险,风险导向审计作为一种全新的审计理念,应该被广泛地应用到银行内部审计中去,在吸收国际经验的同时结合自身实际情况,培养实用型的内部审计人才,充分发挥现代风险导向审计的特点,提高审计的质量,降低审计风险,从而提高银行风险管理与经营决策水平。
参考文献:
[1]中国银行业从业人员资格认证办公室:风险管理[M],中国金融出版社.2007.
[2]谢荣、吴建友:现代风险导向审计理论研究与实务发展[J].会计研究,2004(4).
[3]王迈利:商业银行风险导向审计探析[J].经济师,2009(3).
[4]江勇:风险导向审计模式下对银行信贷业务的风险评估[J].时代金融,2007(2).
[5]付国民、朱岚:风险导向审计在我国商业银行的应用前景分析[J].商场现代化,2006(21).
[6]张洁:论风险管理导向的内部审计理论与实务[J].广西金融研究,2006(10).
第四篇:内部审计的防范风险中的作用
内部审计的防范风险中的作用
一、前言
对企业经营来说,越来越多的风险使企业认识到应将风险管理的重要性。风险管理虽相对独立,但却密切相关于内部审计。
二、风险管理和内部审计的关系
(一)企业风险总是是客观存在的。企业只有全面地了解各种可能存在的风险,并分析和研究导致这些风险的因素,实施相应的措施,才能减少企业的损失。内部审计建立于企业内部,其服务对象是其管理层,无论是在检查监督还是在评价活动中,其特性都是“独立性”。一是评价企业内部控制制度是否充分、有效;二是检查企业财务会计信息是否合法、真实、完整;三是检查企业资产是否完整、安全;四是检查企业经营及其业绩是否符合规范。从内部审计定义中可看到,风险管理内容包含其中,且评价、改善风险管理应是其基本内容。
(二)企业风险管理过程强调系统性,它渗透于企业生产经营各环节,组织内部控制中,风险管理可谓基本组成,内部控制审计基本内容包括很多方面,其中,风险管理是内部审计者的基本职责。它要求内部审计者熟悉风险管理过程,并首先对其是否有效做出判断,进而对其应如何改进提出建议。换言之,“风险管理”应是内部审计部门及其从业者的基本职责,他们负有监督、评价企业风险管理的基本责任。
(三)内部审计制度规范了公司治理中的风险管理。公司治理框架,现代企业制度的组织结构涵盖四个层次:一是决策层、二是管理层、三是监督层、四是各利益关系层;其中,监督层中,处于核心地位的是内部审计。作为健全内控体系的方法,内部审计密切相关于风险管理,它测试的重点是企业防范风险的活动,评价内控体系防范风险能力是否充分、有效。
三、企业风险管理中内部审计的作用
(一)内部审计在防范企业风险中具有直接作用
随着信息时代的到来,外部环境风险因素日益多样化、复杂化,识别、衡量、管理新型风险成为外部环境对现代企业提出的新要求。实施内部审计在防范风险方面的作用表现在:一是通过检查各项业务活动的合法性及合规性,及时发现背离法规和监管措施的问题,保证业务经营活动在法规和监管措施允许范围内进行,降低业务经营风险。二是通过评价企业的内部控制制度、管理制度,以及各种章程的合理性、完备性和有效性,找出其中的管理缺陷和控制弱点,防范因缺乏控制而产生的风险。三是通过对财务数据进行日常监控,及时发现异样情况,防止财务风险。
(二)内部审计在提升现代企业管理水平上具有辅助作用
正确识别风险是风险管理的核心任务,组织内部是内部审计的植根地,因此,内部审计优势显而易见,它立足于组织内部的生产经营,可对风险进行有效识别,并能对其影响给予充分分析。一种完善的内部审计机制将极大地推动内部控制机制,它通过查错纠弊、揭露企业经营活动中的控制薄弱环节、揭示风险概率较大的关键控制点、提出改进建议,达到企业的自我制约、自我改善、自我发展、自我积累。提升管理水平,其目的是提高经济效益。目前,我国企业内部审计主要是通过财务收支审计、经济效益审计、经济活动全过程审计等,找出管理上的问题,并与被审计对象共同分析错误和问题的实际及潜在的影响,挖掘管理潜力,找出人力、物力、财力最合理的使用方式,充当经营管理人员加强内部控制、完善经营管理、完成所负经济责任的参谋和助手,协助领导提高经济管理活动的效率、效果和经济性。
(三)内部审计在风险防控中具有协调作用
企业组织架构中,内部审计机构的地位处于最高层之下而在各业务管理部门之上,在此意义上说,内部审计的作用应是承上启下,以协调为主。作为独立的第三方,内部审计则可基于全局观客观评价各业务部门的风险,对部门间冲突进行协调。另外,它可从多方面进行预测、评估,对管理过程给予可行性意见和建议。
四、企业内部审计存在的主要问题
(一)内部审计缺乏独立性
目前情况看,许多内部审计机构与纪检、监察合署办公。由于二者职责的不同,必然影响到内部审计的独立性。内部审计是在单位负责人的领导下,依照国家法律、法规和企业内部规定对经济活动和内部控制制度进行客观地检查、评价,并对其结果提出意见和建议。组织机构独立性的丧失致使审计部门的地位十分尴尬,从而无法正常发挥其参谋作用。从而无法保证审计的独立、客观、准确。
(二)重监督轻服务
在日常工作中过多地强调审计的检查、鉴证和评价职能,经常要求审计做一些查错纠弊的项目,而在更能体现审计作用的经济责任审计、内控审计方面,所做工作不多,成效也不大。过去我们常以为,内部审计只是一个监督机构,内部审计人员的工作就是找问题。近年来,内部审计的重点正在向内控制度审计、经济效益审计、决策审计过渡和转变。找问题已经不是审计的最终目的,查错纠弊审计在整个内部审计工作中所占地位已经非常小,如何解决问题才是审计人员真正应该花大气力去研究的,否则就无法体现审计在企业管理中的作用。
(三)审计人员能力跟不上工作要求
内部审计的内容涉及到企业的各个方面,对从业人员的能力要求比较高,不仅包括业务素质,还包括人际交往技巧等。从目前情况看,内部审计人员多数是从财务岗位调来,缺少专业的审计知识,不熟悉具体的业务操作; 审计手段相对较少,审计效率不高,多数情况下是根据经验判断,提不出有效的管理建议,发挥不了审计在管理中的作用。
五、企业风险管理中加强内部审计的方法
(一)健全内部监督机制
内部审计是企业内部控制的组成部分,也是监督内部控制其他环节的主要力量。首先,要树立风险意识。内部控制是否有效,与企业领导是否重视、是否带头执行有很大关系,只有企业管理者树立风险管理意识,认识到建立内部控制管理体系的重要性和必要性,内部审计工作才能在企业风险管理中发挥应有的作用。同时,建立一个完善的制度体系,才能使经营决策者在行驶权利时多一份制约、多一份提醒、多一份谨慎,才能保证企业资产多一份安全,从而使企业经营少一份风险,实现企业目标多一份保障。
(二)选择以风险为导向的内审模式
企业风险管理要求,基于风险的审计模式既客观又独立,并立足于企业客观实际进行改进。内部审计应结合企业战略明确工作重点,对审计对象及其范围进行优化。企业应首先肯定内部审计的作用,并通过多种方法、技能的运用对企业风险进行确定,明确可接受的风险。再者,内部审计须有健全的信息支持系统作为支持,以便于收集、处理数据,并实现数据库化,进而准确量化各类风险,借此建立风险预警体系。
(三)审计时点从事后向事中及事前转移,真正做到风险防范
事后审计已不能满足竞争的需要,无法防范风险,可能在间隔期中发生一些预料不到的问题。此外,由于现代企业所面临的决策风险越来越大,事前审计在实践中的重要性日益凸现。这就要求内部审计必须全方位、全过程地参与企业管理,特别应加强事前审计和事中审计。内部审计在使用远程的网络手段之后应实行适时监督,真正形成一套对风险的预警系统,时时防范风险的发生。
(四)持续加强审计人员风险管理技能培训
现代内部审计工作者一是要熟练审计知识,二是要精通经济、金融、管理等学科知识,同时善于处理人际关系。而事实上,能够同时满足上述条件的内部审计人员在企业中是极其缺乏的。为此,企业应强化现有审计人员培养,尤其加强其专业技能培训,使其专业知识能够更充实,更适应岗位需求,并多向其提供参与风险管理实践的机会。
第五篇:内部审计在操作风险防范中的作用
内部审计在操作风险防范中的作用
目前农村合作金融机构由于点多面广,各地发展的不平衡,在管理上难度很大,加上内部管理相对薄弱、员工素质普遍较低的等多面的因素,潜在的操作风险和隐患时时存在。因此,操作风险的防范中加强内部审计显得尤为重要。
一、操作风险的现状
(一)多种多样违规,以信贷为主。信贷业务是农村合作金融机构的主要资产业务,也是操作风险多发部位,信贷违规违纪现象多种多样,违规手法五花八门。一户多贷、多头贷款、跨地区、垒大户、冒名贷款、借名贷款等违规发放贷款现象时有发生,造成贷款损失严重;同时贷款管理不严,贷款跟踪检查不到位;信贷档案资料不规范、不全面;贷款形态反映不真实,催收不及时,也会造成不良贷款的形成。其原因是业务操作形成的风险。
(二)无视法令制度,违规章操作。从各类操作风险事件和案件的实施形式看,违章操作是主要形式。无视各项规章制度的存在,或者是寻找制度的漏洞和真空加以实施。制度形同虚设,相关工作人员明知不对或熟视无睹,听之任之,或怕得罪领导不敢纠正和制止,甚至协助办理违规办理信贷业务。
(三)责任追究未到位,处罚无力度。从案件责任追究情况看,普遍处理较轻,有的只是以罚代处,或者只处理基层行社不处理管理层,只追究当事人责任而不追究上级领导责任。有的虽然追究了 相关领导人的责任,但多避重就轻,起不到对违法违规人员的惩戒和对其他员工的警示作用,缺乏应有的威慑力和公信力。
二、操作风险产生的原因
(一)内控制度建设滞后,执行力不大。长期以来农村合作金融机构的内控制度建设非常薄弱,缺乏系统性和统一性;有的制度缺乏持续性、前瞻性和可操作性;有些业务领域还存在制度盲区,由于无章可循和制度本身不科学不合理,致使大量的违规操作发生。另外,由于执行制度不力,制度效力递减。
(二)员工素质偏低,认识不到位。长期以来由于员工学历和素质偏低,又得不到系统的业务技能培训以及法律法规、职业操守和思想道德教育,业务素质和道德水平长期得不到有效提高,加上受社会不良风气影响,少数员工自身免疫力不强,在业务操作中,规章制度观念淡薄,思想麻痹,心存侥幸。重要岗位人员行为缺乏考核和监督,交流、轮岗、强休制度不落实,为少数人利用职务便利作案提供机会。
(三)检查监督流于形式,内审不严格。一是岗位相互制约监督意识不强,如实行双人临柜、相互监督的制度,但临柜人员未认真核对和监督。二是事后监督岗未履行监督,事后监督岗虚有其名。三是内审不严;稽核和检查工作不深入、不细致、不全面,使之流于形式,于是使违规问题和案件得以长期隐藏、并连续作案。
2(四)考核目标不科学,太注重效益。基层单位为完成上级下达的各项指标,纷纷加大绩效考核的力度,存款、收息、“双降”、贷款营销、代理保险等指标齐全,并将指标的完成情况与薪酬挂钩,员工为了完成或超额完成任务往往不择手段,各种踩线违规现象愈演愈烈,正向激励作用明显走样。
从以上可以看出,内控机制不健全,制度和操作规程执行不力,有章不循违规操作,监督检查流于形式,不合理考核激励机制是发生各类操作风险事件的直接原因。
三、内部审计在操作风险防范中的作用
内部审计部门作为农村合作金融机构的监督管理部门,应积极参与农村合作金融机构经营管理的各项工作,紧紧围绕农村合作金融机构的业务发展,深入到经营活动的广阔领域开展审计工作,积极献计献策,充分发挥内部审计的参谋作用,为农村合作金融机构提升管理水平,提高经营效益做好服务
(一)增强操作风险意识,发挥监督作用。农村合作金融机构作为经营货币的特殊企业,操作风险自始至终与业务活动相伴而生,每一个业务点都是操作风险点。内部审计应本着预防、揭露、纠正、查处的目的,从各项业务的操作程序入手进行审计。比如:存款及负债的审计、财务造假审计、贷款及资产业务审计。因此重点审计各操作层在具体操作中存在的违章、违规操作或者违纪行为,从而保障农村合作金融机构各项业务依法、合规、稳健经营。
(二)加快防范体系构建,发挥评价作用。加快构建一个多层次、有机协调、有效控制操作风险的多层次的管理体系,建立防范操作风险的长效机制。审计各项规章制度的实时性、适用性、完善性。从评价内部控制制度入手,在内部授权授信、计划信贷、财务管理、资金组织、稽核监察、安全保卫、劳动用工和分配等各个领域查找管理漏洞,识别并防范可控风险。
(三)强化岗位监督约束,发挥控制作用。操作风险主要发生在一线岗位,因此必须按制度和内控要求合理配臵人员,科学调配岗位,使岗位与岗位之间相互制衡是科学设臵内部岗位;推行交流制度、岗位轮换制度和强制性休假制度,有效控制各种违规违法行为的发生;重点加强对信贷、储蓄等重要岗位及其操作人员的管理;实施分级监控,形成连环责任监督,构建“三道防线、四道门槛”,形成一个相互监督、相互制约的内控防范运作机制。
审计工作要突出稽核检查的重点。变过去事后被动式的核查为事前主动式的预防性检查。对案件高发机构、高风险业务、易发案件部位,要增强稽核的深度、广度和频率,彻查所有相关问题及其根源。要实行内外结合、现场检查与非现场稽核相结合的办法,定期或不定期对有关业务进行排查,对难以通过一般对账查出的问题,可采取分析性复核等方法进行审计。
作为农村合作金融机构控制管理系统中一个重要组成部分的内部审计部门,是其内部控制的再控制,对农村合作金融机构的经济 活动实行有效管理,并检查控制程度和效果,提出管理中存在的不足和问题,实现控制管理系统的最终目标。
(四)增强基层执行能力,发挥咨询作用。增强基层的执行能力是建立防范风险长效机制的关键。要从提高执行力出发,切实加强基层建设,选好一个靠得住、能干事的“当家人”;打造一个优秀的、有战斗力的团队;建立一套行之有效的发展业务、防范风险的机制;形成一套适合农村合作金融机构特点和农村金融特点,并有利于农村合作金融机构发展业务、减少风险的工作方法;创造一个能够促进农村合作金融机构良性发展的良好的外部环境。
内部审计应充分利用和履行独立、客观的保证和咨询活动这一义务和责任对信用社的各项经营活动提供政策咨询服务,将自身特有的专业优势融入到农村合作金融机构经营管理的各个方面,结合审计中发现的问题,对制度、管理和经营控制等方面有针对性地提供咨询服务,对风险的防控由事后转变为事前和事中,预防出现的经营波动和管理漏洞,为农村合作金融机构各管理层提供扎扎实实的服务。
点击咨询 