前言:想要寫出一篇引人入勝的文章?我們特意為您整理了人民銀行風險認識及啟示范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:2019年10月,IIA(國際內部審計師協(xié)會)在其網站了名為《風險2020:理解、調整和優(yōu)化風險指南》(以下簡稱《指南》)的研究報告。本文在對該報告內容簡要介紹的基礎上,梳理了當前人民銀行在風險管理中面臨的挑戰(zhàn),并就內審部門應對風險提出建議。
一、《指南》概述
(一)2020年面臨的主要風險及應對策略IIA在對90位專業(yè)人士(北美公司決策層、管理層和首席審計官)深入訪談的基礎上,通過定性和定量研究,揭示了上述人士對風險的不同認識,探究影響組織風險管理決策的因素?!吨改稀窂拇罅靠赡苡绊懡M織的風險中,甄選出網絡安全、數據保護、監(jiān)管變化等11類風險(見表1),這11類風險被認為是2020年及以后組織面臨的主要風險。同時,還引入一個風險階段模型,包含認知、探索、發(fā)展和維護4個階段(見圖1),從風險認識程度和風險管理能力兩個維度對11個主要風險進行劃分,為制定針對性的風險管理計劃和戰(zhàn)略提供額外的見解。
(二)主要觀點1.正確對待、善于運用風險。風險是一件棘手的事情。長久以來,人們普遍認為風險是可以避免或減輕的,但在當今全球激烈競爭、技術快速變革和地緣政治不確定等因素驅動下的動態(tài)環(huán)境中,只采取被動防御姿態(tài)的組織無法長期保持繁榮?,F(xiàn)代風險管理方法必須將風險視為機遇,這不僅需要風險管理的主要參與者進行戰(zhàn)略性、協(xié)調性和緊密性的合作,更需要每個參與者對自身理解、把握、管理風險的能力有清晰的認識。每一個利益相關者都需要采取行動,調整風險管理戰(zhàn)略,加強風險管理執(zhí)行力,要善于在風險中把握機遇,不斷提升組織價值。2.決策層對組織應對風險的能力過于樂觀。定性調查和綜合分析揭示,對于每一個關鍵風險,決策層對組織管理風險能力的評價都高于管理層。這表明,決策層可能由于接受到的風險信息不完整或自身對風險把握能力有限,未能對管理層提供的風險信息提出嚴格質疑。調查結果還表明,管理層向決策層報告的風險信息具有選擇性,夸大了自身管理風險的能力,使得決策層相信風險已經得到了很好管控。因此,需要建立適當的監(jiān)督措施來確保決策層獲得完整、精確、及時的風險信息,從而作出更準確的判斷。3.風險認知偏差普遍存在但極其危險。大多數受訪者認為,個體在風險認知上的偏差在意料之中,有些甚至認為這完全可以接受。風險認知的偏差通常被作為個體風險認識的偏差來看待,而不是一個包含組織風險管理體系的廣泛視角。雖然基于不同的角色,個人對風險認知的偏差可以接受,但對組織風險認知的偏差是一個嚴重問題。受訪者的觀點也不相同,首席審計官認為大多數風險集中在日常運營上,而決策層和管理層的意見則集中在管理策略上,這易造成組織風險管理目標的不一致,對組織來說是一個極危險的信號。4.應對信息安全和新技術風險的能力不足。網絡攻擊具有復雜性和多樣性,能夠對組織造成嚴重性的聲譽風險和災難性的財務損失。新技術的廣泛運用,也是檢驗企業(yè)是否具備利用數據和新技術在第四次工業(yè)革命中蓬勃發(fā)展的能力。調查發(fā)現(xiàn),受訪者對網絡安全、數據保護和新技術等方面的知識嚴重匱乏,但也普遍認為是對組織影響程度較高的風險。組織需要保持足夠的靈活性,在利用這些技術獲得競爭優(yōu)勢的同時,要充分考慮可能存在的風險。鑒于這些技術帶來的風險具有動態(tài)、復雜、影響程度高等特性,組織應優(yōu)先增強相關的知識和人員儲備,提高應對能力。5.人才管理是未來關注的焦點。受訪者都認識到優(yōu)秀人才對組織的重要性。組織留住人才的競爭在不斷加劇,這其中組織文化和員工滿意度在扮演著越來越重要的角色。在當今瞬息萬變的風險環(huán)境中,用普通人才填補空缺并不能帶來競爭優(yōu)勢。相反,組織需要找到并培養(yǎng)具有關鍵技能和專業(yè)知識的人才,保持創(chuàng)新能力,才能跟上業(yè)務的不斷發(fā)展。調查發(fā)現(xiàn),決策層對人才管理過度自信,這需要管理層和首席審計官共同幫助決策層解決這一問題,以吸引具有關鍵技能的優(yōu)秀人才,并減少失去頂級人才的風險。
二、人民銀行風險管理面臨的主要挑戰(zhàn)
(一)領導層獲得的風險信息不夠透明《指南》中指出,決策層需要更精確,而不是更多的風險信息。決策層依賴高質量的信息作出準確的風險判斷。在人民銀行內,各級領導獲得的風險信息主要由業(yè)務部門和監(jiān)督部門提供,但業(yè)務部門所提供的信息具有局限性,往往存在“報喜不報憂”的情況,對所做的工作“濃墨重彩”,自身的問題“輕描淡寫”,風險信息并不會對決策層完全透明,領導層不能全面完整掌握本轄區(qū)風險信息,不能系統(tǒng)地、宏觀地分析風險,不利于風險的整體決策。這更加需要巡視、內審等部門通過監(jiān)督執(zhí)紀獲得風險信息,客觀、公正地向領導層反映風險真實情況,提供獨立于業(yè)務部門的保證和見解。
(二)系統(tǒng)性的風險管理體系有待完善一是風險管理呈現(xiàn)分散化特征。風險管理職能分散于紀委監(jiān)察室、內審科等監(jiān)督部門,以及各業(yè)務主管部門,風險管理呈現(xiàn)分散化的特征。橫向上,業(yè)務部門和監(jiān)督部門風險管理缺少整合,風險管理不夠全面、系統(tǒng);縱向上,上下級之間風險管理缺少統(tǒng)一,風險管理不夠貫通、聯(lián)動,沒有形成風險管理的合力。三道防線之間也存在一定程度的割裂。二是沒有形成對風險的統(tǒng)一認識?!帮L險的認知偏差”極其危險,但在工作中這種偏差也較為普遍。監(jiān)督部門認為存在較大的風險隱患,業(yè)務部門反而覺得有點“小題大做”,監(jiān)督結果也揭示出,屢查屢犯的現(xiàn)象并不少見。一些關鍵崗位人員,風險意識薄弱。只能通過統(tǒng)一對風險的認識,來減少風險認知偏差帶來的各種風險。三是“黑天鵝事件”①對風險管理提出更大挑戰(zhàn)。歲末年初,一場猝不及防的疫情刷新我們對風險的認知。身處其中,也促使我們重新認識風險。大到整個國家,中到一個行業(yè),小到一個部門,應對“黑天鵝事件”,靠的是強有力的風險管理和創(chuàng)新能力。這更加需要人民銀行不斷加強風險管理建設,主動應對新的風險挑戰(zhàn)。
(三)信息安全和新技術風險形勢嚴峻信息安全和新技術都處于風險認知階段,風險管理策略還沒有得到有效實施,風險的認知水平較低,但由于其對組織影響程度較高,因此面臨著嚴峻的風險挑戰(zhàn)。一是網絡安全風險具有復雜性和多樣性的特點。網絡技術快速發(fā)展,安全威脅層出不窮,要高度重視網絡安全風險對組織帶來的影響和破壞;二是數據泄露被視為能夠造成嚴重后果的最優(yōu)先風險因素。目前,人民銀行掌握著眾多涉及國民經濟、社會民生的數據,這些數據具有全面性、敏感性的特征,特別是存儲在提供公共服務基礎設施中的數據,一旦發(fā)生風險事故,對人民銀行的聲譽將會產生巨大影響;三是新技術應用存在不確定風險。數字貨幣、智能輔助決策等應用在人民銀行業(yè)務中,以人工智能(AI)、生物特征識別、區(qū)塊鏈為代表的新技術,依賴全新的、復雜的、不透明的算法,使得不確定性風險隱患劇增。
三、對內部審計工作的啟示
(一)內部審計在風險管理中發(fā)揮重要作用1.保障領導層獲得高質量的風險信息。內審等監(jiān)督部門需要保證決策層獲得高質量的風險信息。一是不斷擴大審計覆蓋面。合理配置審計資源擴大審計覆蓋面,獲得第一手風險信息,掌握全系統(tǒng)的風險概圖;二是不斷提高審計項目質量。牢牢把握項目質量這條生命線,用高質量的審計項目產出高水平的成果,促進成果的高效運用;三是不斷加強內審綜合分析。從提高組織治理能力的角度開展內審綜合分析,形成高質量決策輔助信息,做好各級黨委的參謀助手。2.發(fā)揮風險管理“中流砥柱”作用。內審部門是防控風險的最后一道閘門。但審計監(jiān)督具有事后性,主要針對逃逸出第一道和第二道防線的風險后果發(fā)揮作用。風險管理事關全行,內審需要協(xié)同所有職能從全系統(tǒng)的高度對待風險,真正實現(xiàn)風險的“聯(lián)防聯(lián)控”。一是要促進第一道和第二道防線的加固。發(fā)揮好監(jiān)督、評價職能,在推動審計整改的同時,要將風險追溯到第一道和第二道防線,減少風險逃逸的可能。發(fā)揮好咨詢、服務職能,在制度建設、流程控制、人員管理等方面提供建議,促進提升一線化解風險的能力;二是建立風險溝通共享平臺。要促進內審部門與業(yè)務部門在風險管理信息和資源共享、策略共商、機制共建,推進風險管理協(xié)同聯(lián)動、上下貫通,合力提升全系統(tǒng)風險管理水平。3.促進形成風險管理的統(tǒng)一認識。內審部門要采取多種措施,促進系統(tǒng)內對風險的統(tǒng)一認識。一是依靠央行風險評估。堅持業(yè)務部門自評估與內審部門評估的有機融合。業(yè)務部門通過自評估達到強化風險意識、把握風險薄弱環(huán)節(jié)、提高風險防控能力的作用。內審部門評估能夠從審計監(jiān)督的角度,反映業(yè)務部門控制風險的有效性。兩個評估結果的區(qū)別,就是對風險認識的偏差。通過對比分析評估結果,強化對剩余風險的認同,消減或消除這種偏差,更準確定位內控缺陷,通過完相關善控制活動、制度及流程,徹底消除安全隱患;二是倡導風險管理文化。在系統(tǒng)內倡導主動揭示風險、及時報告和管控風險的組織文化,反對隱藏風險、不正視風險的消極態(tài)度,引導樹立審慎的風險觀和正確看待風險的態(tài)度;三是加強風險管理知識培訓。通過培訓,促進全系統(tǒng)員工掌握風險管理技能,能夠識別風險、應對風險,建立全員管理風險、全過程管理風險的鏈條。4.助力全行風險管理建設。內審部門要幫助全系統(tǒng)強化風險管理能力,提升組織價值。一是幫助組織建立成熟的風險管理體系。內審要利用自身資源,在風險信息的搜集、識別、研判、應對方面提供建議,幫助建立成熟的風險管理體系。督促組織保持風險管理的敏捷性,不僅要看到“灰犀?!?,也要能應對“黑天鵝”;二是幫助組織提升利用風險的能力。組織既要能承受較大壓力、不易折斷,還能借力反彈。內審要幫助組織準確定位風險,快速堵塞風險漏洞,推動組織利用風險機遇來提升價值。
(二)積極應對信息安全和新技術帶來的風險1.應對信息安全和新技術風險。信息安全和新技術帶來的風險已經迫在眉睫,內審部門需要持續(xù)關注。一是網絡安全風險持續(xù)增加。通過開展相關審計活動,來促進網絡安全意識的提高,網絡安全管理技能的提升,降低網絡安全威脅帶來的不確定性;二是數據安全風險不容忽視。開展數據安全審計,是揭示數據安全風險的最佳手段,也是改進數據安全現(xiàn)狀的最有效途徑,要通過審計,不斷規(guī)范數據的安全管理;三是新技術安全隱患需特別關注。面對信息化、智能化程度更高的審計對象,內審部門要主動對接新技術,培養(yǎng)新技術審計能力,不僅關注業(yè)務目標的實現(xiàn),還要能在控制活動、算法實現(xiàn)等方面提出質疑。2.構建審計大數據分析平臺。審計大數據平臺,是利用大數據技術對數據進行分析,將分析結果運用到審計當中,能夠顯著提高審計質效。一是構建大數據平臺,發(fā)揮內部審計的獨特優(yōu)勢。首先,系統(tǒng)內的業(yè)務系統(tǒng)數據處在同一內部網絡,數據的互聯(lián)互通極為方便。其次,人民銀行業(yè)務系統(tǒng)的開發(fā)應遵循統(tǒng)一的軟件設計規(guī)范,建立了標準化的數據體系,數據使用效率極高。最后,在高層領導的支持下,協(xié)調各業(yè)務系統(tǒng)的數據更加容易;二是以風險線索為導向,審計效率和覆蓋面更高。審計大數據平臺通過數據篩查、多維數據分析及數據挖掘等技術發(fā)現(xiàn)問題線索,將當前審計工作模式從項目式審計為主導過渡到以線索審計為主導,將風險關口前移,形成事前預警、事中監(jiān)控、事后審計的全過程監(jiān)督,更大范圍的覆蓋風險區(qū)域。
(三)內部審計要克服自身面臨的風險1.建設高素質的內審人才隊伍?!吨改稀分袕娬{了優(yōu)秀人才的重要性,在保證人才培養(yǎng)的同時,還要減少人才流失風險。近幾年,人民銀行內審人才隊伍的年齡趨于老化,在基層單位尤其嚴重;優(yōu)秀審計人才流失、轉崗的情況也時有發(fā)生。內審亟需打造一支年輕化、高素質的審計隊伍,來保持內審的高質量發(fā)展。發(fā)揮優(yōu)秀審計人員的“傳幫帶”作用,帶動年輕人加速成長成才;制定針對審計人員的激勵機制,減少優(yōu)秀人才的流失;采取多種手段調動審計人員的主觀能動性,促進審計人員素質不斷提升。2.切實保障審計生命周期內的數據安全。審計生命周期內,內審人員獲得一些敏感資料、重要電子數據。審計人員稍有不慎,極易造成信息的丟失、濫用和外泄。因此,提高審計人員數據安全防范意識,建立數據安全管理制度,打造審計生命周期內數據從采集、存儲、使用到銷毀的完整閉環(huán)鏈條,是保障審計周期內數據安全的有效措施。
作者:馬欣 單位:中國人民銀行濱州市中心支行