上市商业银行动态风险审计体系的构建研究
——基于公司治理视角的分析
2012-09-02陈燊
陈 燊
(福建江夏学院会计学系,福建福州350108)
上市商业银行动态风险审计体系的构建研究
——基于公司治理视角的分析
陈 燊
(福建江夏学院会计学系,福建福州350108)
21世纪爆发的安然事件、世通丑闻和次贷危机,引发了全球企业对“什么才是良好公司治理”的思考,作为金融体系主体的商业银行,在《新巴塞尔资本协议》的指引下,开始实施全面风险管理理念和方法,完成了公司治理与内部审计静态模式的构建和运行,并卓有成效。但经济的高速发展和治理风险的不断加大,迫切需要内部审计通过构建一套灵活、实时性的动态风险审计体系,实现事后事中审计相结合、静态动态审计相结合、现场与非现场审计相结合的内部审计模式,用更加超前的眼光,动态调整风险预警和评估能力,严格内部控制,防范风险,不断降低不良资产比例,从而促进治理发展,实现价值增值。
商业银行;内部审计;公司治理;研究
银行业是金融体系中的高风险行业,21世纪发生的一系列经济金融案件以及美国次贷危机引发的全球金融危机,凸显了公司治理、风险管理在金融工作中的核心地位,国内外均在寻找能够实现良好公司治理和完善风险管理的有效途径,而内部审计以其独立客观性和对企业充分了解的优势,成为最有效的受托责任主体,成为企业强化内部控制、提高风险管理和强化公司治理方面的重要手段,成为投资者判断商业银行治理水平的重要指标。
一、商业银行内部审计研究的必要性
(一)公司治理及内部审计法规指引的需求
基于我国金融环境的快速变迁,信息化的发展,我国商业银行内部审计模式也与时俱进地发生了翻天覆地的变化,进行了重新定位,自2001年中国加入WTO,银行信息的真实性就亟待审计确认,紧接着国有商业银行的改制上市更是对治理、内部控制和风险管理提出了更高要求,银行业的急剧变化成为我国商业银行内部审计发展、强化风险管理的一次重要契机。国际上涌现了诸多研究成果,以COSO内部控制报告、ERM风险管理框架和银行金融业的《新巴塞尔资本协议》为代表,在国际理论浪潮的推动下,我国也积极推进治理、风险、控制的研究和规范,2006年根据COSO、ERM和《中央企业全面风险管理指引》,推出了中国式全面风险管理标准“3C框架”,银行业监督委员会也陆续颁布了一系列指引,包括《国有商业银行公司治理及相关监督指引》、《商业银行合规风险管理指引》、《银行业金融机构内部审计指引》、《商业银行操作风险管理指引》,其中《银行业金融机构内部审计指引》对银行业金融机构内部审计的职能、组织构架、人员配置、报告路线等均作出了明确规定。
(二)内部审计是公司治理的必备要素
公司治理是由股东大会和董事会、董事会和高级管理层组成的两个控制系统,为实现有效监管,治理参与者要对各利益相关者承担受托责任。在“安然”等财务丑闻爆发之后,SOA法案弥补了美国上市公司治理结构的缺陷,提出健全的公司治理结构是建立在审计委员会、管理当局、外部审计和内部审计“四大基石”的协同之上。商业银行上市之后,注重建立健全完善的治理结构,在治理受托责任关系中,内部审计从传统的合规审计发展到风险导向审计,参与到治理层面,参与银行经营决策、监督和评价,通过“风险监控”和“控制确认”,行使着确认和咨询的职能,帮助银行评价内控有效性,充分发挥内部审计在防范信用风险、市场风险,降低操作风险中的作用,及时为治理层和管理层提供加强内部控制和风险管理的建议,帮助企业改善治理环境。内部审计已然成为公司治理的重要工具。
(三)价值增值服务理念要求开展风险管理审计
IIA对内部审计的新定义规定,内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营,通过应用系统化、规范化的方法,评价并改善风险管理、控制和治理过程的效果。在公司治理视角下,内部审计融风险管理、内部控制审查于一体,更关注企业在整个治理过程中的战略决策风险和经营风险,将增加组织价值和改善运营作为目标,体现了内部审计目标与组织目标的一致,内部审计逐步从事后审计向事中、事前审计延伸,从监督复核向防范风险提高效益发展,风险导向审计理念已经成为21世纪商业银行审计的主导。
二、上市商业银行内部审计发展现状及不足
(一)内部审计组织架构
笔者通过对上市17家商业银行2006年至今招股说明书的分析,发现随着商业银行改制上市,06年后上市的银行都进一步完善了治理架构,实行了内部审计体制改革,均按照银监会的规定建立垂直管理的内部审计体系,在董事会下设审计委员会,保证内部审计的独立性,并要求推行风险导向内部审计。内部审计局负责审查评价风险管理、内部控制及公司治理的有效性。下图是根据各大银行的内部审计组织结构图,整理出通用的商业银行内部审计组织结构及报告路线。
图1 商业银行内部审计组织结构及报告路线
(二)商业银行内部控制与风险管理
公司治理机制的核心在于内部控制和风险管理,各大银行董事会下设专门委员会,包括战略委员会、审计委员会、风险管理委员会、提名与薪酬委员会及关联交易控制委员会,总行设立内控合规部和风险管理部。各行积极推进内部控制建设,建立全面风险管理框架、开发风险量化方法、推行内部评级以及监测管理不良贷款。2006年新巴塞尔资本协议出台后,新协议提供了更多的风险管理选择方式,各商业银行根据其业务的复杂程度和自身的风险管理水平等灵活选择风险管理模式,加快制度化建设进程,跟踪资本充足状况,积极建立内部信用评估体系,建立完备的资产分类制度安排、内部风险评估制度安排,并规范风险处理方法。这些风险管理措施已使商业银行在很大程度上清晰地分离信贷调查、信用审批与贷后监控职能,促进了资产质量的改善,大大提升了风险管理能力。
(三)不良贷款率、不良贷款余额实现“双降”
研究内部控制、风险管理以及内部审计效应,不良贷款指标是关键。目前我国金融风险主要来自商业银行,商业银行信贷在企业融资总额中占90%左右,综合分析各上市银行年报,2009-2011年我国大部分上市商业银行继续实现了不良贷款余额与比例的“双降”,中行、工行、交行、招商、浦发、中信、兴业、民生等银行不良贷款率均降至1%以下,其中单一客户贷款比例及最大十家客户贷款比例都满足监管的要求,目前资产质量良好,减值准备计提充足,贷款拨备覆盖率逐年上升,这些主要归功于不断提高的风险管理水平。
资料来源:商业银行2009-2011年年报计算及整理得出。
综上所述,上市商业银行在严格的监管环境下,已经建立了较为完善的制度体系,风险导向审计已经为商业银行改善治理环境和风险防控起到了事半功倍的效果,实现了不良贷款余额和不良贷款率的双降,并为重大金融案件提供了有效线索。但纵观中国经济结构的优化,中国银行业必定跟随快速发展的外部环境,不断出现新的技术和工具,实施更多元化的经营战略,监管当局则更注重对金融企业过程与程序的监督评价。而商业银行现有的内部审计体系的现状仅完成了静态模式的构建和运行,基本以定性分析为主,欠缺量化分析,风险审计模型基本以综合评分法为主,未能实现动态风险管理,未能真正根据风险因素的变化及时作出变化。从不良贷款率指标来看,2011年中行、工行、建行三大行的不良贷款率四季度环比三季度上升,潜在的金融风险尚未根除。因而,内部审计必须与时俱进,在静态审计模式的基础上,不断探索和深化动态风险审计体系的构建,用更加超前的眼光,灵活的动态调整风险预警和评估能力,加强对潜在风险的监管与处置,从根本上有效防范金融风险,保障金融安全。
三、上市商业银行动态风险审计体系的构建建议
上市商业银行动态风险审计体系由七大审计模型组成,包括“综合、资产、负债、会计业务核算、资金运营、表外及中间业务以及客户群”,七大模型的构建要紧紧围绕“风险”中心,按照资金脉络和业务循环流程,通过指标定量分析、通过分析性测试方法和经验定性判断,对银行存在的风险隐患进行全面、动态的分析。
(一)适应后危机时代《新巴塞尔协议》监管要求
《新巴塞尔协议》对银行内部审计工作提出了更高的标准和要求,提出了动态风险审计的理念,强化对银行风险管理全过程的监督和控制,协议中涉及内部审计的六条规定,明确要求商业银行必须完善全面风险管理审计,要求银行内部审计程序中要经常评估风险计量系统;通过有效的内部过程来评估信用风险;必须有一个健全的体系来验证评级体系、过程和估计所有相关风险要素的准确性和一致性;银行的董事会和高级管理层适当参与操作风险管理框架的管理,保证银行风险管理系统概念稳健,执行正确有效;根据战略重点和业务计划,将风险水平和资本联系在一起,设定与风险相关的目标程序;对资本评估程序的有效控制,包括独立检查在适当情况下安排内部或外部审计。
(二)动态优化公司治理结构
公司治理与内部审计是相辅相成的关系,要实现动态风险审计,首先要动态优化治理结构。在治理视角下研究商业银行内部审计的关键在于对运行效率和提升竞争力的研究,股份制改革之后,各大商业银行致力于建立有效的治理结构,较好地解决了行政干预和高不良贷款率等重大历史问题,提升了竞争力,但仍存在治理的约束、激励机制不完善以及运行效率较低的问题,特别是国有商业银行代理人履职有效性问题特别突出。因此,要优化公司治理结构,重点在于保证经营决策的科学性和公正性,在正确的战略指导下,建立高效的信息沟通机制,建立科学的代理人选择机制、约束机制和激励机制,在良好的静态治理结构中不断动态优化治理结构,通过动态治理结构来促进动态审计体系的构建与完善,最终保证治理的有效性。
(三)构建动态风险审计体系
1.发挥战略审计的过程监督作用。内部审计作为治理的一项制度安排,发展到动态风险审计阶段的任务,就是要从战略角度来完善治理的过程监督评价机制,时现指出,“因应增加价值的需要,内部审计必须将其内容延展到战略审计,因为公司战略是影响公司价值的主要因素,要实现公司价值最大化的治理目标,必须优化公司战略设计和提高战略实施的有效性。”战略审计应从加强责任人责任追究、强化股东监督、评估激励制度出发,关注管理审计的四大职能,为商业银行机构设置、权责分配、运行效率、决策有效性等进行评价建议,只有把内部审计的深度、广度延伸到战略层面,开展战略审计才能顺应现代企业变革的发展,及时识别和预警风险,实现动态风险审计,充分发挥内部审计在治理中的作用。
2.促进内部控制和风险管理的融合。内部控制和风险管理在早期被认为是相对独立的系统,随着全面风险管理理念的发展,两者逐步走向融合,商业银行的内部控制体系也有必要向全面风险管理体系升级,COSO框架已明确指出,内部控制被涵盖在企业风险管理之内,是其不可分割的一部分,根据《中央企业全面风险管理指引》的要求,全面风险管理是一个过程,它的各项要求必须融入企业管理和业务流程中,这也就意味着在商业银行组织架构中内控合规部和风险管理部的工作需要融合,两者的职能作用有所交叉,容易造成重复性工作,同时很多工作还需要花费时间去沟通协调,因此,为了提高工作效率效果,动态评价控制与风险,将两个业务部门合并设置一个风险控制部是两者融合的发展趋势,是全面风险管理理念的升级与完善,也有利于内部审计以风险为导向,以控制为中心的动态整合与发展。
3.动态风险审计体系构建的内容。(1)首先应加强风险管理的文化建设。由于体制和历史因素,商业银行虽然已经开始构建实施全面风险管理体系,但总体理念还不到位,风险管理是贯穿整个银行、涉及每一名员工、贯穿每个业务环节的过程管理,任何一个业务活动的变化都会导致潜在风险,并且由于经营者乐于追求业绩增加和利润增长,都可能冒更大风险达到目的,国内外银行危机案件均表明,道德风险是最难以防范的,内部审计部门应协调风险管理部门做好全员的理念更新和认识工作,通过持续宣传、引导、培训等方式让全员树立起正确的风险管理意识和原则,树立良好的企业文化。(2)建立动态综合风险审计指标体系。商业银行综合风险审计模型的选择,主要涉及风险指标、风险权重和评价方法。指标的选择主要根据风险预警模型指标来设定,风险预警模型指的是在选取特定样本的基础上,用定量定性的方法,通过函数关系对风险做出分析判断,笔者查阅了美国、英国、日本、中国和国际货币基金组织(IMF)的预警指标,发现其指标体系已经非常庞大,具有代表性的美国CAMEL指标和IMF提出的微观审慎指标,均从资本充足率(Capital Adequacy)、资产质量(Asset Quality)、管理稳健性(Management Robustness)、收益(Earning)、流动性(liquidity)以及对市场风险的敏感度(Sensitivity to Market)等几个方面综合进行设计和考核,这些宏观经济变量的恶化往往是金融危机预警的先行信号。因此,在动态综合风险审计指标建设上,应充分考虑以上风险因素,在建立统一的评估指标基础上,因地制宜根据自身银行特点设立灵活多面的总行和分行检测分析指标,保证风险分析的深度广度。(3)健全综合风险评估方法。建立了风险审计指标后,更重要的工作是对指标进行分析,通过指标分析找到经济信息背后可能存在的问题。指标分析方法包括比较分析法、趋势分析法、杜邦分析法和综合评分法。风险评估要同时注重静态评估和动态监测,我国银行现行的方法基本属于简单、易操作的静态风险评估,而面对高度复杂的金融风险,实现动态风险监测尤为重要,风险指标是监测的重要内容,此外,还要选取综合与专项相结合的指标,选取关联性高、敏锐性高的重要指标值和绝对额,同时随着时间空间的变化不断对指标进行调整,保证动态监测的及时、有效性。(4)推进动态风险审计在信贷业务的应用。信贷业务作为商业银行的核心业务之一,其不良贷款是诱发金融危机的主要原因,信贷风险需始终保持高度警惕,将防范、化解信贷风险放在突出位置。内部审计人员应根据银行的具体特点,首先在风险识别阶段捕捉和分析风险因素,按照实用性、可取性和动态性的原则选择全面风险评价指标,并将风险因素分为固有风险和控制风险来确定权重,进行评分,根据评分结果分析总体风险,推导关键环节,确定剩余风险。
(四)积极推进IT审计进程
商业银行IT进程发展迅速,基本形成了计算机网络为中心的业务处理系统,网上银行、银证通、一卡通等金融产品和服务手段推陈出新,业务流程、业务信息、交易信息不断膨胀,作为商业银行的内部审计,要实现动态发展,电子化应用范围应进一步扩大,利用网络化提高审计手段和方法,建立健全非现场审计系统,实现现场审计与非现场审计的相互补充、配合,并不断扩大非现场审计模式。首先建立健全有关金融业法律法规、行业状况、市场信息的数据库,以便及时获得固有风险的评估数据;其次,完善网络信息系统,构建总行与分支机构之间信息沟通平台,实现信息上传下达的流动畅通;再次,运用IT技术完成对内部控制和风险因素评估;最后,提高分析性测试速度和准确性,提高审计质量和效率。
(五)构建风险管理审计队伍
在构建动态风险审计体系中,审计队伍建设至关重要。风险导向审计对内部审计人员提出了很高的职业要求,首先要积极提高内审人员职业道德水平,严格按照《内部审计人员职业道德规范》来约束内审人员,培养内审人员责任感,对内审人员工作、业绩进行考评,充分调动积极性。其次,面对商业银行业务的快速发展,金融工具创新以及混业经营的趋势,电子银行产品和衍生金融工具等都给银行带来了新的风险,这就要求内审人员要不断提高风险评估能力,了解商业银行经营环境,把握被审计单位总体风险,作出恰当评价。此外,应加强内审人员培训与交流,积极推进持证上岗制度,鼓励内审人员参加CIA等职业资格考试,加强战略管理培训,积累更丰富的管理经验,不断提高履职能力,努力成为财务管理、风险控制、银行治理、信息应用等方面的专家。
[1]刘静,高翔.基于新巴塞尔协议的商业银行风险管理审计研究[J].财会通讯,2012,(1).
[2]王培培.不良贷款的“双降”与“双升”[J].中国市场,2011,(48).
[3]时现,田选章,于伯新.风险管理审计研究-基于企业内部审计视角的分析[J].中国内部审计,2010,(6).
陈燊(1980-),女,硕士,福建江夏学院会计学系讲师,国际注册内部审计师(CIA),国际注册风险管理确认师(CRMA),福建省教育审计学会副秘书长,主要从事内部审计研究。
