針對加強風險管理的需要，作為商業(yè)銀行的內(nèi)部審計部門如何將審計方法由傳統(tǒng)的合規(guī)性審計向以加強和改善組織風險管理為目標的風險導向?qū)徲嬣D(zhuǎn)變，已成為一個亟須解決的問題。

　　一、風險導向?qū)徲嫹椒ǖ膬?nèi)涵

　　所謂的風險導向?qū)徲嬍窃谫~項基礎(chǔ)審計和制度基礎(chǔ)審計上發(fā)展起來的一種審計模式，是指審計人員在對被審單位的內(nèi)部控制充分了解和評價的基礎(chǔ)上，分析、判斷被審單位的風險所在及其風險程度，把審計資源集中于高風險的審計領(lǐng)域，針對不同風險因素狀況、程度采取相應(yīng)的審計策略，加強對高風險點的實質(zhì)性測試，將內(nèi)部審計的剩余風險降低到最低水平。

　　風險導向?qū)徲嫹椒ǖ闹攸c是識別與控制風險。由于審計風險受到企業(yè)固有風險、控制風險以及檢查風險的影響，因此，風險導向?qū)徲嬂碚摰暮诵氖菑姆治鰧徲嬶L險入手，建立科學的審計風險分析模型，通過定性定量分析，量化確定固有保證程度系數(shù)，并控制保證程度系數(shù)，確定可接受的檢查風險水平，以保證審計質(zhì)量。

　　二、風險導向?qū)徲嫹椒ㄔ谏虡I(yè)銀行審計工作中應(yīng)用的必要性

　　1、金融風險的存在，要求將風險導向?qū)徲嫹椒☉?yīng)用在商業(yè)銀行審計工作中。隨著金融全球化趨勢的逐步加深，金融風險也不斷加劇和分散，傳統(tǒng)的審計理論與方法已不適應(yīng)現(xiàn)代銀行的發(fā)展和需求。因此，商業(yè)銀行內(nèi)部審計工作必須適應(yīng)金融形勢的發(fā)展和變化，應(yīng)用風險導向?qū)徲嫹椒?，在深入分析判斷不同層面和業(yè)務(wù)領(lǐng)域風險狀況的基礎(chǔ)上，確定審計重點。并使內(nèi)部審計能夠通過風險評估的結(jié)果、建議，直接影響商業(yè)銀行經(jīng)營政策的制定，確保商業(yè)銀行風險管理目標與業(yè)務(wù)發(fā)展目標的一致性，力求從源頭上加強商業(yè)銀行的風險管理，使商業(yè)銀行真正做到“風險先行”。這種工作重心的前移，不但能使內(nèi)部審計避免出現(xiàn)只重視細枝末節(jié)，忽略主要風險的情況，而且有利于提升其在商業(yè)銀行內(nèi)部風險管理中的地位和實現(xiàn)內(nèi)部審計為機構(gòu)增值的目的。

　　2、國際內(nèi)部審計實務(wù)標準及其最新發(fā)展趨勢，要求內(nèi)部審計采用風險基礎(chǔ)審計理論和方法。國際內(nèi)部審計師協(xié)會前主席捷奎琳。瓦格娜曾指出：“環(huán)境的變化給內(nèi)部審計師帶來增加價值的機會最多的領(lǐng)域是風險管理和公司治理”。2003年國際內(nèi)部審計協(xié)會IIA對2001年新發(fā)布的《內(nèi)部審計實務(wù)標準》修改后，在內(nèi)容上也自始至終都貫穿著風險審計的主導思想。一是在對內(nèi)部審計的定義中要求內(nèi)部審計采用一種系統(tǒng)化、規(guī)范化的方法來對機構(gòu)的風險管理、控制及監(jiān)督過程進行評價進而提高它的效率，幫助機構(gòu)實現(xiàn)它的目標。二是內(nèi)部審計的目標要求內(nèi)部審計參與風險管理。標準的2100條規(guī)定內(nèi)部審計活動總的目標是評價并幫助改進機構(gòu)的風險管理、控制和治理體系，具體審計活動要圍繞具體的風險管理目標進行。三是內(nèi)部審計的工作重點要求內(nèi)部審計參與風險管理。標準的第2010條規(guī)定要求審計執(zhí)行主管應(yīng)該以風險為基礎(chǔ)，根據(jù)機構(gòu)目標制定計劃，確定內(nèi)部審計部門的工作重點。四是標準對審計計劃、審計實務(wù)、審計測試、審計結(jié)果發(fā)布、后續(xù)審計各個方面都作了和風險相關(guān)的明確規(guī)范。五是關(guān)于剩余風險，標準作出了在審計執(zhí)行主管認為高級管理層接受的剩余風險水平對于機構(gòu)來說是無法接受 時應(yīng)報告董事會加以解決的規(guī)定。

　　三、風險導向?qū)徲嫹椒ㄔ谏虡I(yè)銀行審計工作中的應(yīng)用

　　1、運用風險導向?qū)徲嬂碚?，重視了解和測試，將審計風險減少到最小程度，實現(xiàn)防范風險的目的。根據(jù)風險導向?qū)徲嬂碚?，審計工作?yīng)從分析風險入手，在全面了解被審單位基本情況的基礎(chǔ)上，充分關(guān)注該機構(gòu)的特殊風險，確保內(nèi)部審計能夠發(fā)現(xiàn)業(yè)務(wù)經(jīng)營活動中的重大違法違規(guī)問題及風險隱患。由于銀行審計的特殊性，其固有風險和控制風險都較高。根據(jù)風險管理學中著名的“五倍定律”，審計應(yīng)采取風險防范前移策略，即在審計準備階段，就加大防范力度，根據(jù)對被審計單位基本情況的了解和分析性復(fù)核的結(jié)果，加強審計風險分析，最后根據(jù)確定的總體審計風險概率和評估的重大錯報風險概率，得出關(guān)于剩余審計風險也就是檢查風險的概率，據(jù)此確定實質(zhì)性測試的性質(zhì)和范圍，即可將審計風險減少到滿意程度，實現(xiàn)防范風險的目的。具體講：一是要了解被審計單位所處的經(jīng)營環(huán)境、行業(yè)狀況、經(jīng)營目標、業(yè)務(wù)流程和相關(guān)經(jīng)營風險，并通過實地觀察被審單位的經(jīng)營場所及設(shè)施，詢問管理當局及其知情的第三者等方法，從宏觀上把握審計面臨的風險，并將其作為不可缺少的審計程序。二是進行正確的評價，在評價內(nèi)部控制有效的情況下，注重對例外項目進行詳細審計。三是注重運用分析性程序，識別可能存在的錯報，減少對接近預(yù)期值的各種交易、賬戶余額的測試。四是擴大審計證據(jù)的內(nèi)涵，將了解被審單位及其環(huán)境獲取的信息作為審計證據(jù)。五是通過上述了解測試和分析，對機構(gòu)經(jīng)營的有效性做出判斷，對管理當局在相關(guān)經(jīng)營模式和業(yè)務(wù)流程下的整體認定是否恰當進行職業(yè)判斷，并對機構(gòu)是否存在舞弊及經(jīng)營風險作出職業(yè)判斷。

　　2、運用風險導向?qū)徲嫓蚀_確定審計的重點和范圍，提高審計效率，有效地降低審計風險。在商業(yè)銀行內(nèi)部審計中，當前首要的是防范風險。從商業(yè)銀行的現(xiàn)狀來看，重大違法違規(guī)問題和經(jīng)濟案件是最大的金融風險，這些重大問題和經(jīng)濟案件對金融體系危害嚴重、影響廣泛，比較典型的如最近暴露的中國銀行哈爾濱河松街支行的10億元票據(jù)詐騙案、中國銀行北京某支行6億多元的假按揭貸款案、建行吉林分行3.2億元詐騙案、山西金融系統(tǒng)7.28億匯票詐騙案等金融風險案例都證實了這一點。因此，審計重點一是要對內(nèi)部控制制度的健全性和有效性以及風險管理進行評審。針對商業(yè)銀行規(guī)模大、地域分布廣、分支機構(gòu)眾多、內(nèi)部控制基礎(chǔ)不牢固、潛在操作風險較高的情況，應(yīng)以檢查內(nèi)部控制和風險管理作為審計的切入點，通過對內(nèi)部控制環(huán)境的調(diào)查和對風險管理、業(yè)務(wù)審批、職能分離、資產(chǎn)保全等各項業(yè)務(wù)流程的審查，對內(nèi)部控制制度的健全性和有效性以及風險管理進行測評，以揭露問題，堵塞漏洞，促進商業(yè)銀行完善內(nèi)部控制機制，加強內(nèi)部管理，防范經(jīng)營風險。二是審查資產(chǎn)質(zhì)量。信貸資產(chǎn)質(zhì)量是銀行的生命線，資產(chǎn)質(zhì)量的好壞，直接關(guān)系到銀行的生存和發(fā)展。當前，因為銀行內(nèi)部控制不嚴，違章操作和違規(guī)經(jīng)營屢禁不止，加劇了信貸資產(chǎn)的大量沉淀和損失。信貸資產(chǎn)質(zhì)量問題已成為困擾國有商業(yè)銀行經(jīng)營發(fā)展的主要矛盾，因此，只要抓住了資產(chǎn)質(zhì)量這條主線展開審計，就可以發(fā)現(xiàn)和揭露經(jīng)營中存在的隱患和風險，提出防范和化解資產(chǎn)風險的建議，把資產(chǎn)風險控制在事前，從而防患于未然。三是對會計業(yè)務(wù)審計。針對近來的幾起金融大案中多有私刻印鑒、印章，制造假金融票據(jù)現(xiàn)象的存在，要重點對會計業(yè)務(wù)的政策、制度、程序和重要憑證、印章、賬戶管理、銀企對賬，及定期查庫、查賬情況進行審計，保證會計內(nèi)部控制制度覆蓋所有風險點，賬據(jù)、賬款、賬實、賬表等內(nèi)外賬相符。四是對信息系統(tǒng)和金融創(chuàng)新情況進行實時監(jiān)控。由于信息系統(tǒng)和金融創(chuàng)新業(yè)務(wù)的內(nèi)部控制相對較弱，相應(yīng)的法規(guī)和制度建設(shè)滯后，容易成為新的風險點，因此應(yīng)通過數(shù)據(jù)鏈接，運用預(yù)警軟件進行分析，及時發(fā)現(xiàn)潛在的風險，迅速采取措施予以消除，促進商業(yè)銀行健康平穩(wěn)地運行。

　　3、以IIA的《內(nèi)部審計實務(wù)標準》為指導，執(zhí)行風險導向的內(nèi)部審計程序，使機構(gòu)的風險管理與內(nèi)部審計程序之間協(xié)調(diào)一致，產(chǎn)生協(xié)同增效的作用。一是在編制審計計劃時，應(yīng)該在對可能影響機構(gòu)的風險進行評估的基礎(chǔ)上，制定內(nèi)部審計部門的審計計劃，確定審計項目。二是確定審計范圍時，要考慮并反映整個公司的戰(zhàn)略性計劃目標，并每年對審計范圍進行一次評估，以反映機構(gòu)的最新戰(zhàn)略和方針。三是編制審計方案時，應(yīng)該在評估風險優(yōu)先次序的基礎(chǔ)上安排審計工作。風險模式可以通過對企業(yè)如下風險因素分析來作為確定審計業(yè)務(wù)工作重點：金額的重大性；資產(chǎn)的折現(xiàn)力；管理能力；內(nèi)部控制的質(zhì)量；變化或穩(wěn)定程度；上次審計業(yè)務(wù)開展的時間；復(fù)雜性；與雇員及政府的關(guān)系等等。四是在審計實施過程中，通過評價內(nèi)部控制制度，查找其中的疏漏和薄弱環(huán)節(jié)；五是在選擇檢測、證實風險的技術(shù)與方法時，應(yīng)該能夠反映出風險的重大性與發(fā)生的可能性。六是在編制審計報告時，應(yīng)對風險管理狀況進行評價，指出風險管理中存在的漏洞和不足之處，提出加強管理的建議。七是以風險大小作為確定追蹤審計范圍的重要因素，風險越大，追蹤審計的范圍就越廣。

　　4、實現(xiàn)審計手段電子化，提高審計工作水平。商業(yè)銀行電子化、網(wǎng)絡(luò)化發(fā)展迅速，數(shù)據(jù)集中程度較高，基本形成了以計算機網(wǎng)絡(luò)為中心的業(yè)務(wù)處理系統(tǒng)，因此，商業(yè)銀行的內(nèi)部審計電子化運用范圍應(yīng)隨著商業(yè)銀行電子化、網(wǎng)絡(luò)化發(fā)展進一步擴大。首先，要在業(yè)務(wù)處理系統(tǒng)和管理信息系統(tǒng)中設(shè)置審計接口，并建立包括有關(guān)金融法律法規(guī)、行業(yè)發(fā)展狀況，市場信息的數(shù)據(jù)資料庫，使審計人員在對固有風險的評估時，能夠及時獲得必要的審計線索。其次，運用計算機技術(shù)，進行內(nèi)部控制風險的評估，確定標準內(nèi)控的模型，并經(jīng)常調(diào)整、完善，以提高內(nèi)部控制風險的評估效率及其準確性。第三，運用計算機軟件進行分析性測試，提高分析的速度和準確性，擴展分析的范圍。第四，運用計算機進行統(tǒng)計抽樣，避免人工抽樣檢查的不足， 有效降低審計風險。第五，構(gòu)架完整的審計信息系統(tǒng)，推進風險導向?qū)徲嬇c非現(xiàn)場審計有機結(jié)合，提高內(nèi)部審計的質(zhì)量和效率。