在传统的金融活动中，金融机构被视为是进行资金融通的组织和机构；但是，随着现代金融市场的发展，现代金融理论则强调，金融机构就是生产金融产品、提供金融服务、帮助客户分担风险同时能够有效管理自身风险以获利的机构，金融机构盈利的来源就是承担风险的风险溢价。也就是说，在现代金融市场中决定一家金融机构竞争力高低、决定其经营能力高低的关键和核心，就是其能否有效地对风险进行全面有效的管理，能否积极主动地承担风险、管理风险、建立良好的风险管理架构和体系，以良好的风险定价策略获得利润。因此，在新的经济金融环境下，金融机构不能因为金融风险的存在而简单消极地回避风险，也不可能完全地消除风险，因为金融风险是可以被管理的，是不可以完全消除的。

　　　   一、金融机构内部审计与风险管理的概念

　　　   金融机构内部审计是在金融机构组织内部的一种独立客观的监督和评价活动，它通过对内控制度的测试、评审，把不完善、不合理、不严密的环节、程序和方法查找出来，帮助金融机构克服管理上的薄弱环节，堵塞漏洞，避免失控，使之健全有效，达到科学管理，提高经济效益的目的。其包括的要素有内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。

　　　   金融机构风险管理是一个过程，受管理层和其他人员的影响，这个过程从金融机构战略制定一直贯穿到金融机构的各项活动中，用于识别那些可能影响金融机构的潜在事件，使之在金融机构的风险偏好之内，合理确保金融机构取得既定的目标。金融机构风险管理具体包括金融机构的目标即战略目标、经营目标、报告目标和合规目标；金融机构风险管理要素即内部环境、目标设定、事件识别、风险评估、风险对策、控制活动、信息和交流、监控。目前金融机构风险管理是金融机构内部管理的核心，在整个管理体系中的地位已上升到金融机构发展战略的高度，它是金融风险控制的更高阶段，是动态的、全程的、计量的、立体的风险控制。全新的金融机构风险管理要求各种类型风险通盘管理，这种管理要求将信用风险、市场风险及各种其他风险以及包含这些风险的各种金融资产与资产组合、承担这些风险的各个业务单位纳入到统一的体系中，对各类风险依据统一的标准进行测量并加总，且依据全部业务的相关性对风险进行控制和管理。它的关键在于及时准确地找到每种业务所暴露的风险点，通过风险计量模型以及测量系统加以度量，然后根据已经量化了的风险大小进行相应的风险管理，设置风险限额，分配资产、配置资本等。

　　　  二、金融机构内部审计与风险管理的关系

　　　  （一）他们的联系表现在，两者的目的是统一的，都是为了降低金融风险。

　　　  一是内部审计是风险管理的必要环节，内部审计的动力来自金融机构对风险的认识和管理。由两者的定义可以看出，内部审计是为了实现经济组织的管理目标而提供的一种合理保障，良好的内部审计可以合理保证合规经营、财务报表的真实可靠和经营结果的效率与效益。而合规经营、真实的财务报告和有效益的经营也正是金融机构风险管理应该达到的基本状态。

　　　  二是风险管理涵盖了内部审计。从金融机构风险管理和内部审计的概念可以看出，风险管理除包括内部审计的3个目标之外，还增加了战略目标；风险管理的8个要素除了包括内部审计的全部5个要素之外，还增加了目标设定、事件识别和风险对策 3个要素。

　　　  （二）两者的区别在于他们在风险管理中的角色不同。

　　　  一是两者的范畴不一致。内部审计仅是内部控制管理的一项职能，主要是通过事后和过程的监督与评价来实现其自身的目标；而风险管理则贯穿于管理过程的各个方面，控制的手段不仅体现在事中和事后的控制，更重要的是在事前制订目标时就充分考虑了风险的存在。而且，在两者所要达到的目标上，风险管理多于内部审计。

　　　  二是两者的活动不一致。内部审计所负责的是风险管理过程中间及其以后的重要活动，如对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。两者最明显的差异在于内部审计不负责金融机构经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。而风险管理的一系列具体活动并不都是内部审计要做的。目前所提倡的风险管理包含了风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理以及报告程序等活动。

　　　  三是两者对风险的定义不一致。内部审计是在一般部门进行的风险管理基础上的再监督，而风险管理即对金融机构的目标产生负面影响的事件发生可的可能性进行识别和管理。

　　　  四是两者对风险管理的过程不一致。内部审计过程包括三个方面：一是评估风险识别的充分性；二是评价已有风险衡量的恰当性；三是评估风险防范措施的充分性，并提出改进措施。

　　　  （1）评估风险识别的充分性。所谓风险识别是指对企业所面临的、以及潜在的风险加以判断、归类和鉴定风险性质的过程，换言之，就是要确定企业正在或将要面临哪些风险。内部审计部门和人员要对原有的已识别风险是否充分进行评价，即企业所面临的主要风险是否均已被识别出来，并找出未被识别的主要风险。

　　　  （2）评价已有风险衡量的恰当性。风险衡量是指应用各种管理科学技术，采用定性与定量相结合的方式，最终定量估计风险大小，找出主要的风险源，并评价风险的可能影响，以便以此为依据，对风险采取相应对策。内部审计部门和人员要对已有的风险的衡量结果进行再检验，以确定其是否信当，对不恰当的估计予以更正。

　　　  （3）评估风险防范措施的充分性，并提出改进措施。风险的防范措施是指为降低已识别出并已衡量的风险所采取的措施，也称风险管理工具的选择。内部审计部门和内部审计人员对有关部门针对风险所采取的防范措施进行检查，检查其是否充分、得当。对于风险缺乏充分的控制措施的情况，内部审计部门和内部审计人员应提出改进措施和建议，已强化企业的风险管理，降低风险损失。

　　　  风险管理则要求将信用风险、市场风险及各种其他风险以及包含这些风险的各种金融资产与资产组合、承担这些风险的各个业务单位纳入到统一的体系中，对各类风险依据统一的标准进行测量并加总，且依据全部业务的相关性对风险进行控制和管理。它的关键在于及时准确地找到每种业务所暴露的风险点，通过风险计量模型以及测量系统加以度量，然后根据已经量化了的风险大小进行相应的风险管理，设置风险限额，分配资产、配置资本等。

　　　  三、加强我国金融机构内部审计的措施及方法

　　　  金融机构内部审计制度，是金融机构内在的监督约束机制的有机组成部分，是金融机构建立现代企业制度的重要内容。国际上知名的大金融机构，如花旗银行等都设有非常健全的内部审计制度和组织机构，并在企业的经营管理中发挥着重要作用。针对我国的情况，加强金融机构内部审计工作应从以下方面人手：

　　　  （一）建立相对独立的内部审计体系，完善内部审计机制

　　　  国际内部审计师协会在1978年制定的《内部审计实务标准》中指出：内部审计师必须对他审核的活动保持独立性。这种独立性能使内部审计师自由客观地工作。没有独立性，内部审计就不能得到所期望取得的成果。为加强我国国有金融机构的内部审计，金融机构应按照巴塞尔委员会内部审计报告的原则，建立有效的内部审计制度和机制，一个可资借鉴的金融机构内部审计模式，是审计委员会模式。一般地，金融机构的内部审计委员会独立于管理当局；金融机构高级管理层向董事会报告内部控制系统及其运转的情况；内部审计部门对总经理及公司的全部经营管理活动进行审计，拥有足够的独立性和权威性，活动程序是：制定以风险为基础的审计计划，检查和评价获取的信息，通报审计结果和进行后续审计，改变内审部门地位低下的现状，提高审计工作质量。

　　　  （二）拓展内部审计的范围和内容，提高审计工作质量

　　　  按照内部审计实务标准规定，内部审计的范围应该围绕着检查和评价组织的内部控制系统的适当性和有效性，以及在实施指定任务中的作业质量来进行。具体内容包括有：1.检查财务和业务信息的可靠性和完整性，确定财务和业务记录、报表是否正确、可信、及时、完整、有用；评价对记录的登记和编制的控制是否妥当有效。2.检查内部政策、计划和规章制度是否得到认真执行；查明内部控制系统设计是否符合政策、计划和各种规章的要求；鉴定这些系统是否适宜有效；组织内部各部门是否遵守和执行政策、计划和规章制度等。3.检查资产是否得到保护，检查和评价保护资产和其它具有控制职能的方法措施是否健全、完善、并适当地核实这些资产的存在。4.评价资源的节约和有效使用情况，要检查是否制订了用以衡量资源节约性和有效性的经营标准，已制定的经营标准是否被了解和实施；偏离标准的情况是否得到纠正；查明设备未被利用等情况并找出其原因。5.检查业务经营和规划中的目的和目标的完成情况；在制订目标和设计制度时，内审人员可协助检查其基本假设是否适当，有关的信息是否被利用，合适的控制是否纳入业务经营和规划之内；在业务经营和规划实施后，检查和评价其是否按计划完成和完成的质量。总之，内部审计的范围十分广泛，审计的内容非常之多。

　　　  目前，我国金融机构的内部审计应注重拓展以下内容和范围：

　　　  一是加强对创新业务的审计，包括金融衍生品、电子银行产品等等，在对创新业务审计中应明确防范金融风险依然是当前内部审计监督的基本目标，要通过审计寻求防范金融风险和促进金融创新的平衡点。

　　　  二是加强金融机构的混业经营业务的审计，金融机构的混业经营发展趋势必将扩大审计对象的范围，要求内部审计将证券、保险、信托业务等逐渐纳入金融机构常规审计范围。

　　　  三是注重将业务经营检查与财务收支审计相结合，从银行业务经营环节中发现风险控制的薄弱环节，确保审计质量。内部审计的范围从单纯的财务报表扩展至整个内部控制及业务流程，从过去单纯对财务数字的准确性、日常经营的合法合规性，扩展至兼顾一定经济效益提高的责任和咨询功能。审计报告从单纯的发表意见到提出管理建议，为管理层和被审计单位提供内部控制系统的业务培训，为业务部门提供改进其内部控制和业务流程的咨询。

　　　  （三）努力提高金融机构审计队伍和人员的专业素质和水平

　　　  加强审计队伍的建设，提高审计人员的素质，是提高金融机构内部审计工作的水平、发挥金融机构内部审计职能的根本保证。只有银行审计队伍和人员的专业素质和水平提高了，金融机构的内部审计水平才能提高。为了更好地加强审计队伍建设，应从以下几方面人手：

　　　  一是各金融机构要从实际出发，因在制宜地制定和完善审计的管理办法，妥善解决好审计人员的工资、福利及待遇等问题，充分调动审计人员的积极性。

　　　  二是调整配备好内审领导班子，尤其是主管领导，要切实把那些政治思想和业务素质较高、责任感和事业心较强，为人正直的同志，充实到各级内审岗位上。同时严把进入关，各级金融机构应配备政策水平高，业务工作能力强的复合型人才从事内部审计工作。随着内部审计在银行公司治理结构中的地位日益重要，审计部门不仅需要财务会计专门人才，而且也需要具备经济学、管理学知识的专门人才，因此，内部审计人员必须具备相应专业素质和能力，才能胜任内部审计工作。

　　　  三是抓好审计人员培训，实行达标上岗制度。为了提高审计队伍的整体素质，调动审计人员学习钻研业务的积极性，各级金融机构应逐步加强审计人员培训工作，加大对审计人员学习计算机、信用卡、国际业务等知识的学习，全面提高审计人员的综合业务素质。实行达标上岗制度，金融机构内部审计人员必须通过国家统一考试，对达不到要求的现有审计人员要进行培训和交流。内审人员每年必须有一定时间的继续教育，并且考试合格方能通过年检。

　　　  四是建立奖惩责任制，严肃审计纪律。强化内部审计管理与控制，建立健全审计责任制，以便促进其增强纪律观念，遵守职业道德，不断加强自身修养，进一步增强责任意识。

　　　  五是金融机构应当建立科学、有效的激励约束机制，培育良好的企业精神和健康的内部审计和控制文化，提高全体员工的职业操守和诚信意识，从而创造全体员工都充分了解且能履行其职责的环境。

　　　  （四）要加强金融机构审计的电子化，改进和创新审计方法

　　　  首先，要实现对有关信息的优良管理，对信息及时予以识别、获取和加工，并采用便于有关组织及其员工在履行其职责时使用这些信息的形式，在企业内部进行纵向与横向的有效传递。运用计算机对金融机构的各种数据进行精确复核，既可以对会计报表与汇总报表进行全面复核，又可以从会计流水账逐级核对至总账，还可以将业务管理数据与会计报表数据进行复核。

　　　  其次，要以计算机网络为技术条件，对银行业务实行再监督。可以编制计算机程序对有比例关系的项目（如贷款与利息收入、存款与利息支出、中间业务交易量与中间业务收入）进行计算，然后与实际记录进行比较，找出产生差异的记录。通过计算机软件系统来监测、评价各分行及各业务部门、各支行、营业网点的风险状况，分析造成风险的因素，进行风险预警，提出控制风险的对策，保证银行业务规范稳健的发展。

　　　  再次，加大内审人员的金融知识和计算机知识培训，提高内审人员的计算机知识水平。在银行审计中广泛使用回归分析法、统计抽样法等专门的数据分析软件进行数据分析，并运用计算机的查询、筛选、排序、统计计算等功能进行审计。充分利用计算机辅助审计，加强对审计档案资料的管理，如审计通知书、审计工作底稿、审计事实确认书、内审初步意见、审计报告、审计结果及处理意见等资料可由计算机协助处理，方便日后的查询和调阅。

　　　  此外，在内部审计推广计算机审计的过程中，还应逐步建立审计数据库，实施流程控制和动态跟踪，并可以着手建立审计监督网络，与外部审计或政府审计协同运作，实现审计信息共享。随着电子工程的不断发展，逐步将金融机构的电子数据实时传输到审计署计算中心，通过网络对金融机构进行实时监控和检查，真正达到防范和控制风险的目的。

　　　  四、发挥内部审计职能作用，促进金融机构风险管理

　　　  （一）构建全新的内部控制治理机制。在现有的产权制度下，可各级管理行设立风险管理委员会，作为内部控制管理的主要决策机构，风险管理部为主要执行机构。同时设立内部审计委员会，并将其明确为全面风险管理的监督、评价部门，负责监察、评价内部控制的健全性、合理性和遵循性，督促管理层解决内部控制存在的问题。风险管理委员会负责拟定、执行控制程序，内部审计委员会负责监督、评价控制状况，并将修正控制意见反馈前者，以完备控制体系。两个委员会相互配合，共同实现全面风险管理的各项新要求。

　　　  （二）构建符合内部审计要求的业务管理新制度。要在符合内部审计要求的前提下，全面梳理现有规章制度，进一步完善信贷业务、财会业务、中间业务等各项业务管理制度，整合业务操作流程，建立起市场风险、信用风险、操作风险和道德风险的防范体制，构筑起面向全行、覆盖所有业务品种和涉及业务全过程的内控管理体系，实现业务发展和风险管理的同步。要切实发挥“三道防线”的作用，构筑起全方位、立体交叉的监督管理网络。基层网点要加强对规章制度执行和风险控制情况的自查，形成定期检查的长效制度。业务主管部门要加强规章制度的完善和业务流程的再造，加大业务条线自律监管的力度。内审部门要充分发挥审计的帮促作用，促使全行逐步建立起业务管理服从规章制度、业务操作服从处理流程、业务考核服从统一标准的管理新制度。

　　　  （三）构建具有中国特色的风险控制工具。要学习和借鉴国外现代银行风险管理的技术和经验，积极探索适合我国国情的内部审计的新方法，避免无谓的人力、财力的浪费。在目前情况下，我国商业银行应结合自身特点，在采用信用评分方法等传统模型计量信用风险，强化贷款五级分类管理的同时，积极创造条件，逐步运用现代信用风险管理方法来度量和监控信用风险，提高信贷风险控制的制度化和规范化水平，切实降低不良贷款率。鉴于我国商业银行在金融产品创新和金融工具的使用方面远远落后于西方国家，国外很多的许多风险管理工具和理念不能简单地照搬照抄，还应结合我国金融业发展的特点，对有关的现代信用风险管理模型进行结合中国实际的改进，或开发出适合中国国情的新的信用风险度量模型，使我国金融业的风险度量和控制工作既能体现风险管理的要求，又能体现中国的国情。

　　　  （四）构建切合实际的内部控制评价机制。可以在金融机构内部广泛开展以“深化内控理念，落实内控措施”的创建活动。根据各自的实际情况，结合上级行的要求，通过确定风险控制环节，分解、落实机构内各部门、各岗位管理职责，并对各单位、各部门的控制状况进行检查、评价和考核，强化风险管理责任，提高全员风险防范的意识和能力，从而全面有效地控制经营风险。通过这一载体，可以进一步推进全面风险管理、落实岗位责任，实现从风险部门的防范转向全行、全员防范，将内部控制管理由个人行为和操作行为提升到整个单位的整体行为，推进金融机构的内部审计水平不断上新台阶。

 【本文仅代表作者观点，与本网站立场无关】