針對加強風險管理的需要，作為商業(yè)銀行的內(nèi)部審計部門如何將審計方法由傳統(tǒng)的合規(guī)性審計向以加強和改善組織風險管理為目標的風險導向審計轉變，已成為一個亟須解決的問題。

　　一、風險導向審計方法的內(nèi)涵

　　所謂的風險導向審計是在賬項基礎審計和制度基礎審計上發(fā)展起來的一種審計模式，是指審計人員在對被審單位的內(nèi)部控制充分了解和評價的基礎上，分析、判斷被審單位的風險所在及其風險程度，把審計資源集中于高風險的審計領域，針對不同風險因素狀況、程度采取相應的審計策略，加強對高風險點的實質性測試，將內(nèi)部審計的剩余風險降低到最低水平。

　　風險導向審計方法的重點是識別與控制風險。由于審計風險受到企業(yè)固有風險、控制風險以及檢查風險的影響，因此，風險導向審計理論的核心是從分析審計風險入手，建立科學的審計風險分析模型，通過定性定量分析，量化確定固有保證程度系數(shù)，并控制保證程度系數(shù)，確定可接受的檢查風險水平，以保證審計質量。

　　二、風險導向審計方法在商業(yè)銀行審計工作中應用的必要性

　　1、金融風險的存在，要求將風險導向審計方法應用在商業(yè)銀行審計工作中。隨著金融全球化趨勢的逐步加深，金融風險也不斷加劇和分散，傳統(tǒng)的審計理論與方法已不適應現(xiàn)代銀行的發(fā)展和需求。因此，商業(yè)銀行內(nèi)部審計工作必須適應金融形勢的發(fā)展和變化，應用風險導向審計方法，在深入分析判斷不同層面和業(yè)務領域風險狀況的基礎上，確定審計重點。并使內(nèi)部審計能夠通過風險評估的結果、建議，直接影響商業(yè)銀行經(jīng)營政策的制定，確保商業(yè)銀行風險管理目標與業(yè)務發(fā)展目標的一致性，力求從源頭上加強商業(yè)銀行的風險管理，使商業(yè)銀行真正做到“風險先行”。這種工作重心的前移，不但能使內(nèi)部審計避免出現(xiàn)只重視細枝末節(jié)，忽略主要風險的情況，而且有利于提升其在商業(yè)銀行內(nèi)部風險管理中的地位和實現(xiàn)內(nèi)部審計為機構增值的目的。

　　2、國際內(nèi)部審計實務標準及其最新發(fā)展趨勢，要求內(nèi)部審計采用風險基礎審計理論和方法。國際內(nèi)部審計師協(xié)會前主席捷奎琳。瓦格娜曾指出：“環(huán)境的變化給內(nèi)部審計師帶來增加價值的機會最多的領域是風險管理和公司治理”。2003年國際內(nèi)部審計協(xié)會IIA對2001年新發(fā)布的《內(nèi)部審計實務標準》修改后，在內(nèi)容上也自始至終都貫穿著風險審計的主導思想。一是在對內(nèi)部審計的定義中要求內(nèi)部審計采用一種系統(tǒng)化、規(guī)范化的方法來對機構的風險管理、控制及監(jiān)督過程進行評價進而提高它的效率，幫助機構實現(xiàn)它的目標。二是內(nèi)部審計的目標要求內(nèi)部審計參與風險管理。標準的2100條規(guī)定內(nèi)部審計活動總的目標是評價并幫助改進機構的風險管理、控制和治理體系，具體審計活動要圍繞具體的風險管理目標進行。三是內(nèi)部審計的工作重點要求內(nèi)部審計參與風險管理。標準的第2010條規(guī)定要求審計執(zhí)行主管應該以風險為基礎，根據(jù)機構目標制定計劃，確定內(nèi)部審計部門的工作重點。四是標準對審計計劃、審計實務、審計測試、審計結果發(fā)布、后續(xù)審計各個方面都作了和風險相關的明確規(guī)范。五是關于剩余風險，標準作出了在審計執(zhí)行主管認為高級管理層接受的剩余風險水平對于機構來說是無法接受 時應報告董事會加以解決的規(guī)定。

　　三、風險導向審計方法在商業(yè)銀行審計工作中的應用

　　1、運用風險導向審計理論，重視了解和測試，將審計風險減少到最小程度，實現(xiàn)防范風險的目的。根據(jù)風險導向審計理論，審計工作應從分析風險入手，在全面了解被審單位基本情況的基礎上，充分關注該機構的特殊風險，確保內(nèi)部審計能夠發(fā)現(xiàn)業(yè)務經(jīng)營活動中的重大違法違規(guī)問題及風險隱患。由于銀行審計的特殊性，其固有風險和控制風險都較高。根據(jù)風險管理學中著名的“五倍定律”，審計應采取風險防范前移策略，即在審計準備階段，就加大防范力度，根據(jù)對被審計單位基本情況的了解和分析性復核的結果，加強審計風險分析，最后根據(jù)確定的總體審計風險概率和評估的重大錯報風險概率，得出關于剩余審計風險也就是檢查風險的概率，據(jù)此確定實質性測試的性質和范圍，即可將審計風險減少到滿意程度，實現(xiàn)防范風險的目的。具體講：一是要了解被審計單位所處的經(jīng)營環(huán)境、行業(yè)狀況、經(jīng)營目標、業(yè)務流程和相關經(jīng)營風險，并通過實地觀察被審單位的經(jīng)營場所及設施，詢問管理當局及其知情的第三者等方法，從宏觀上把握審計面臨的風險，并將其作為不可缺少的審計程序。二是進行正確的評價，在評價內(nèi)部控制有效的情況下，注重對例外項目進行詳細審計。三是注重運用分析性程序，識別可能存在的錯報，減少對接近預期值的各種交易、賬戶余額的測試。四是擴大審計證據(jù)的內(nèi)涵，將了解被審單位及其環(huán)境獲取的信息作為審計證據(jù)。五是通過上述了解測試和分析，對機構經(jīng)營的有效性做出判斷，對管理當局在相關經(jīng)營模式和業(yè)務流程下的整體認定是否恰當進行職業(yè)判斷，并對機構是否存在舞弊及經(jīng)營風險作出職業(yè)判斷。

　　2、運用風險導向審計準確確定審計的重點和范圍，提高審計效率，有效地降低審計風險。在商業(yè)銀行內(nèi)部審計中，當前首要的是防范風險。從商業(yè)銀行的現(xiàn)狀來看，重大違法違規(guī)問題和經(jīng)濟案件是最大的金融風險，這些重大問題和經(jīng)濟案件對金融體系危害嚴重、影響廣泛，比較典型的如最近暴露的中國銀行哈爾濱河松街支行的10億元票據(jù)詐騙案、中國銀行北京某支行6億多元的假按揭貸款案、建行吉林分行3.2億元詐騙案、山西金融系統(tǒng)7.28億匯票詐騙案等金融風險案例都證實了這一點。因此，審計重點一是要對內(nèi)部控制制度的健全性和有效性以及風險管理進行評審。針對商業(yè)銀行規(guī)模大、地域分布廣、分支機構眾多、內(nèi)部控制基礎不牢固、潛在操作風險較高的情況，應以檢查內(nèi)部控制和風險管理作為審計的切入點，通過對內(nèi)部控制環(huán)境的調(diào)查和對風險管理、業(yè)務審批、職能分離、資產(chǎn)保全等各項業(yè)務流程的審查，對內(nèi)部控制制度的健全性和有效性以及風險管理進行測評，以揭露問題，堵塞漏洞，促進商業(yè)銀行完善內(nèi)部控制機制，加強內(nèi)部管理，防范經(jīng)營風險。二是審查資產(chǎn)質量。信貸資產(chǎn)質量是銀行的生命線，資產(chǎn)質量的好壞，直接關系到銀行的生存和發(fā)展。當前，因為銀行內(nèi)部控制不嚴，違章操作和違規(guī)經(jīng)營屢禁不止，加劇了信貸資產(chǎn)的大量沉淀和損失。信貸資產(chǎn)質量問題已成為困擾國有商業(yè)銀行經(jīng)營發(fā)展的主要矛盾，因此，只要抓住了資產(chǎn)質量這條主線展開審計，就可以發(fā)現(xiàn)和揭露經(jīng)營中存在的隱患和風險，提出防范和化解資產(chǎn)風險的建議，把資產(chǎn)風險控制在事前，從而防患于未然。三是對會計業(yè)務審計。針對近來的幾起金融大案中多有私刻印鑒、印章，制造假金融票據(jù)現(xiàn)象的存在，要重點對會計業(yè)務的政策、制度、程序和重要憑證、印章、賬戶管理、銀企對賬，及定期查庫、查賬情況進行審計，保證會計內(nèi)部控制制度覆蓋所有風險點，賬據(jù)、賬款、賬實、賬表等內(nèi)外賬相符。四是對信息系統(tǒng)和金融創(chuàng)新情況進行實時監(jiān)控。由于信息系統(tǒng)和金融創(chuàng)新業(yè)務的內(nèi)部控制相對較弱，相應的法規(guī)和制度建設滯后，容易成為新的風險點，因此應通過數(shù)據(jù)鏈接，運用預警軟件進行分析，及時發(fā)現(xiàn)潛在的風險，迅速采取措施予以消除，促進商業(yè)銀行健康平穩(wěn)地運行。

　　3、以IIA的《內(nèi)部審計實務標準》為指導，執(zhí)行風險導向的內(nèi)部審計程序，使機構的風險管理與內(nèi)部審計程序之間協(xié)調(diào)一致，產(chǎn)生協(xié)同增效的作用。一是在編制審計計劃時，應該在對可能影響機構的風險進行評估的基礎上，制定內(nèi)部審計部門的審計計劃，確定審計項目。二是確定審計范圍時，要考慮并反映整個公司的戰(zhàn)略性計劃目標，并每年對審計范圍進行一次評估，以反映機構的最新戰(zhàn)略和方針。三是編制審計方案時，應該在評估風險優(yōu)先次序的基礎上安排審計工作。風險模式可以通過對企業(yè)如下風險因素分析來作為確定審計業(yè)務工作重點：金額的重大性；資產(chǎn)的折現(xiàn)力；管理能力；內(nèi)部控制的質量；變化或穩(wěn)定程度；上次審計業(yè)務開展的時間；復雜性；與雇員及政府的關系等等。四是在審計實施過程中，通過評價內(nèi)部控制制度，查找其中的疏漏和薄弱環(huán)節(jié)；五是在選擇檢測、證實風險的技術與方法時，應該能夠反映出風險的重大性與發(fā)生的可能性。六是在編制審計報告時，應對風險管理狀況進行評價，指出風險管理中存在的漏洞和不足之處，提出加強管理的建議。七是以風險大小作為確定追蹤審計范圍的重要因素，風險越大，追蹤審計的范圍就越廣。

　　4、實現(xiàn)審計手段電子化，提高審計工作水平。商業(yè)銀行電子化、網(wǎng)絡化發(fā)展迅速，數(shù)據(jù)集中程度較高，基本形成了以計算機網(wǎng)絡為中心的業(yè)務處理系統(tǒng)，因此，商業(yè)銀行的內(nèi)部審計電子化運用范圍應隨著商業(yè)銀行電子化、網(wǎng)絡化發(fā)展進一步擴大。首先，要在業(yè)務處理系統(tǒng)和管理信息系統(tǒng)中設置審計接口，并建立包括有關金融法律法規(guī)、行業(yè)發(fā)展狀況，市場信息的數(shù)據(jù)資料庫，使審計人員在對固有風險的評估時，能夠及時獲得必要的審計線索。其次，運用計算機技術，進行內(nèi)部控制風險的評估，確定標準內(nèi)控的模型，并經(jīng)常調(diào)整、完善，以提高內(nèi)部控制風險的評估效率及其準確性。第三，運用計算機軟件進行分析性測試，提高分析的速度和準確性，擴展分析的范圍。第四，運用計算機進行統(tǒng)計抽樣，避免人工抽樣檢查的不足， 有效降低審計風險。第五，構架完整的審計信息系統(tǒng)，推進風險導向審計與非現(xiàn)場審計有機結合，提高內(nèi)部審計的質量和效率。