完善内部审计风险管理机制

　　
　　4.3.3.1构建独立的监控体系，强化内部审计的风险管控效能
　　
　　A银行需要建立隶属于董事会领导的审计监督委员会，对上向董事会负责，对下则实行垂直管理，审计监督委员会负责制定内部审计工作规章制度以及主要的内部审计业务领域。总行以下各直属分行和辖属分行需要在本级系统建立分行审计部门，主理本级内的审计工作安排和部署工作，各分行级审计部门直接向总行审计委员会负责，同时各分行审计负责人由总行委派，分行级审计部门具有独立的检查权、问题认定权以及问责处分权。此外，在制度方面，应当按照内部欺诈风险管理要求拟定并修正新的管理规定，同时对与内部审计工作相关的内容，要进行重点强调：一是强化内部审计的组织协调工作；二是在制度上赋予内部审计工作较强的独立性；三是增强内部审计工作制度执行力，在职责范围内，强化内部审计的监督检查功能；四是严格区分审计责任和会计责任，合理规避应职责不明而给内部审计人员带来的风险。
　　
　　4.3.3.2前移内审风险管控切入点，开展动态审计内部审计
　　
　　在内部欺诈风险管控工作中发挥着主导作用，为有效控制内部欺诈风险，减少由此带来的损失，A银行应把内部审计的切入点逐步前移，将切入点由原来的事后审计，逐渐改变为事前控制以及事中控制，通过多层次的动态审计，将内部审计工作渗透到内部欺诈风险管控工作的全过程中。事前以及事中审计能够从银行的经营过程中发现问题，审计人员可利用审计工作中捕获的信息，提出意见和建议，而这些有效的建议能够帮助银行预防内部欺诈风险可能出现的风险隐患。
　　
　　4.3.3.3建立现代风险导向审计制度
　　
　　现代风险导向审计制度是以被审计单位风险评估结果为出发点，找出被审计单位有可能产生的风险点，然后通过利用计量工具对风险进行数据化处理，并根据评估值计算风险水平的高低，确定审计工作的重点、程序以及审计深度等并进行针对性审计工作的方法。
　　
　　相较于传统的审计制度，现代风险导向审计将前瞻性的风险评估贯穿于审计工作中，并将审计重点聚焦于高风险领域，对于频次高、危害大的风险可以有针对性的进行审计，然后根据审计结果来提示风险和问题，并制定风险应对措施，最终实现风险控制目标，如图4.5所示。从A银行的内部欺诈风险管控角度来说，建立现代风险导向审计制度可以对内部欺诈风险采取与其相适应的审计政策和审计方式，为降低内部欺诈风险提供具有使用价值的意见和建议。注：实线为A银行风险管理路线，虚线为A银行现代风险导线审计路线A银行建立现代风险导向审计制度，需要分三步走：
　　
　　一是风险评估分析。风险评估分析是由战略风险分析、关键风险环节分析以及风险评级组成。其中战略风险分析，A银行可从下图4.6所示维度展开，充分分析银行内外部环境，通过动态分析将那些影响银行经营管理的因素甄选出来。关键风险环节分析对于审计目标实现具有重大意义，从内部欺诈风险管控工作来看，A银行应重点关注以下关键风险环节：大额贷款的发放以及与此相关的授权审批；容易被变造、伪造的大额汇票、存单以及有价单证等；投机性强并且复杂的表外业务；期末以及季末出现的异常交易等。
　　
　　风险评级是A银行按照风险大小对被审单位各审计模块的综合打分结果。根据前期战略风险分析以及关键风险环节分析结果，内审人员可由此对被审单位的各个具体审计单元进行打分评级，接下来，内审人员可依据风险评估结果，再结合传统的内控评级以及被审计单位具体情况及特点制定适宜的审计计划和审计方案。目前A银行风险等级主要由以下五个级别组成，见下表4.2所示：二是实施审计。即在上一步骤的基础上，为取得内审证据对被审计单位开展的现场检查、盘点、计算、分析并得出结论的实质性测试过程。
　　
　　A银行内审人员应将非现场审计和现场审计有机的结合在一起，不断提升审计效率。首先，内审人员应提取被审单位的业务数据，应用计算机系统以内部欺诈风险因子为筛选条件，进一步处理业务数据，及时发现违规事件以及可疑事件；其次，内审人员应结合现场和非现场检查发现的问题，对被审计单位的内部欺诈风险暴露情况进行再评估，同时按照实际情况修订评估对比值，为接下来的审计工作提供依据和切入点。
　　
　　三是出具审计报告。审计人员在完成上述两个步骤后，最后就应当依据检查结果出具审计报告。在审计报告中，内审人员应当公允详实的阐述被审计单位的风险状况以及风险评级结果，同时应当在审计报告中对整改期限以及整改问题再追踪制度进行明确，确保审计工作落到实处。
　　
　　综上，A银行现代风险导向审计流程见图4.7所示：4.3.4建立内部欺诈风险的缓释和转嫁机制4.3.4.1保险保险是一种在一个行业内或是在经济体之间集中和转嫁一般损失风险的机制。在一个剧烈竞争的外部环境中，通过引入保险机制，既可以保证银行自身现金流的稳定和安全，可以将部分风险通过保险的形式转移给其他公司；同时，由于保险公司的专业性以及在信息和资源上的优势，可以确保银行将风险转移给保险公司后，既受益与风险转移的好处，又能得到保险产品所带来的收益。因此，A银行可以将以低频高损形式出现的内部欺诈风险中无法通过管控手段降低的那部分转嫁给保险公司，既可以降低损失，节约成本，并获得保险产品收益，又可以得到保险公司提供的各种专业服务。
　　
　　在确定保险的风险转嫁效应时，要通过以下三个步骤进行：一是计算出在没有保险转嫁风险的情况下A银行内部欺诈风险经济资本占用量。二是明确A银行拟采用保险方式来减少的经济资本占用量。三是用上述第二项除以第一项的结果极为保险的风险缓释水平。
　　
　　保险是降低内部欺诈风险的一种工具，在投保前，一定要在充分评估内部欺诈风险的分布水平和危害程度，同时合理分析A银行目前的内部欺诈风险管控措施以及实施效果后，再决定是否采用保险这种方式转嫁风险。此外，A银行也应当认识到，保险只是转嫁风险的一种手段，不能将保险等同于控制风险，归根结底，控制内部欺诈风险还是要依靠银行本身的风险管控机制的有效运行来实现。
　　
　　4.3.4.2业务外包
　　
　　业务外包，也称资源外包，它是指企业综合采用其外部最优秀的专业化资源，进而达到降低成本、提高效率、充分发挥自身核心竞争力和增强企业对环境的迅速应变能力的一种管理模式。由此可见，业务外包既科技提高效率，也能够在一定程度上转移风险。
　　
　　因此，在内部欺诈风险管控工作中，A银行可以对当前的业务种类进行梳理，将部分非核心业务以及不涉及机密的业务以外包的形式分解出去，交由那些专业化的机构进行处理，在提高效率的同时，又可以转嫁一部分内部欺诈风险；此外，通过引入业务外包，将一些非重点业务剥离，可以集中精力和财力研发新业户和巩固重点业务，大大的降低银行的业务成本。目前，A银行可以借助外包形式的业务有：后勤、凭证扫描、传递和档案归档、运钞等，今后将继续扩大外包的范围。
　　
　　虽然业务外包能够降低内部欺诈风险的发生概率，但如果管控方式不合理，会引发外包风险，因此，A银行必须制定针对外包风险的管理办法，在选择外包服务商时，要对其规模、资质、财务状况、内控管理以及人员管理的具体情况进行评估，同时要签订经合规部法律审查通过的服务协议，外包协议要明确双方权力和义务，约定内容应包括外包服务的内容、方式、业务管理、保密要求以及监督检查安排等方面；同时，还应了解与业务外包相关的后续风险，如违约、潜在的业务失败和营业中断等。
　　
　　4.3.4.3风险承受
　　
　　对于无法自行降低或借助第三方转嫁的风险，需要采取风险承受的措施。目前市场上保险和外包产品还不能覆盖银行的所有业务，A银行本身必须承受一部分的风险。另外，在某些业务上，采取外包、保险、内部控制手段发生的成本可能要大于得到的收益，对于这一部分风险，最好的策略就是接受其损失。
　　
　　损失可分为预期损失和非预期损失，预期损失所造成的损失较低，可以配比的方式计入相关成本，而对于非预期损失事件，其发生频率较低，但是一旦发生，将给银行带来极大的打击，甚至可以危及银行的存续。因此，对于因内部欺诈风险而产生的非预期损失，银行只能用事先配置的资本金进行弥补，而这种资本金就是经济资本，经济资本是在考虑了风险因素对资本的要求而产生的一种管理工具，利用经济资本可以有效地管理非预期损失。对于内部欺诈风险管控来说，计提经济资本是内部欺诈风险控制的最后一道防线，它不仅是一种管理手段，更是银行可以持续经营的保证，因此，A银行应合理有效的计提经济资本，提高自身抗风险能力。