人民银行风险认识及启示

摘要：2019年10月，IIA（国际内部审计师协会）在其网站了名为《风险2020：理解、调整和优化风险指南》（以下简称《指南》）的研究报告。本文在对该报告内容简要介绍的基础上，梳理了当前人民银行在风险管理中面临的挑战，并就内审部门应对风险提出建议。

关键词：风险管理；认识；启示

一、《指南》概述

（一）2020年面临的主要风险及应对策略IIA在对90位专业人士（北美公司决策层、管理层和首席审计官）深入访谈的基础上，通过定性和定量研究，揭示了上述人士对风险的不同认识，探究影响组织风险管理决策的因素。《指南》从大量可能影响组织的风险中，甄选出网络安全、数据保护、监管变化等11类风险（见表1），这11类风险被认为是2020年及以后组织面临的主要风险。同时，还引入一个风险阶段模型，包含认知、探索、发展和维护4个阶段（见图1），从风险认识程度和风险管理能力两个维度对11个主要风险进行划分，为制定针对性的风险管理计划和战略提供额外的见解。

（二）主要观点1.正确对待、善于运用风险。风险是一件棘手的事情。长久以来，人们普遍认为风险是可以避免或减轻的，但在当今全球激烈竞争、技术快速变革和地缘政治不确定等因素驱动下的动态环境中，只采取被动防御姿态的组织无法长期保持繁荣。现代风险管理方法必须将风险视为机遇，这不仅需要风险管理的主要参与者进行战略性、协调性和紧密性的合作，更需要每个参与者对自身理解、把握、管理风险的能力有清晰的认识。每一个利益相关者都需要采取行动，调整风险管理战略，加强风险管理执行力，要善于在风险中把握机遇，不断提升组织价值。2.决策层对组织应对风险的能力过于乐观。定性调查和综合分析揭示，对于每一个关键风险，决策层对组织管理风险能力的评价都高于管理层。这表明，决策层可能由于接受到的风险信息不完整或自身对风险把握能力有限，未能对管理层提供的风险信息提出严格质疑。调查结果还表明，管理层向决策层报告的风险信息具有选择性，夸大了自身管理风险的能力，使得决策层相信风险已经得到了很好管控。因此，需要建立适当的监督措施来确保决策层获得完整、精确、及时的风险信息，从而作出更准确的判断。3.风险认知偏差普遍存在但极其危险。大多数受访者认为，个体在风险认知上的偏差在意料之中，有些甚至认为这完全可以接受。风险认知的偏差通常被作为个体风险认识的偏差来看待，而不是一个包含组织风险管理体系的广泛视角。虽然基于不同的角色，个人对风险认知的偏差可以接受，但对组织风险认知的偏差是一个严重问题。受访者的观点也不相同，首席审计官认为大多数风险集中在日常运营上，而决策层和管理层的意见则集中在管理策略上，这易造成组织风险管理目标的不一致，对组织来说是一个极危险的信号。4.应对信息安全和新技术风险的能力不足。网络攻击具有复杂性和多样性，能够对组织造成严重性的声誉风险和灾难性的财务损失。新技术的广泛运用，也是检验企业是否具备利用数据和新技术在第四次工业革命中蓬勃发展的能力。调查发现，受访者对网络安全、数据保护和新技术等方面的知识严重匮乏，但也普遍认为是对组织影响程度较高的风险。组织需要保持足够的灵活性，在利用这些技术获得竞争优势的同时，要充分考虑可能存在的风险。鉴于这些技术带来的风险具有动态、复杂、影响程度高等特性，组织应优先增强相关的知识和人员储备，提高应对能力。5.人才管理是未来关注的焦点。受访者都认识到优秀人才对组织的重要性。组织留住人才的竞争在不断加剧，这其中组织文化和员工满意度在扮演着越来越重要的角色。在当今瞬息万变的风险环境中，用普通人才填补空缺并不能带来竞争优势。相反，组织需要找到并培养具有关键技能和专业知识的人才，保持创新能力，才能跟上业务的不断发展。调查发现，决策层对人才管理过度自信，这需要管理层和首席审计官共同帮助决策层解决这一问题，以吸引具有关键技能的优秀人才，并减少失去顶级人才的风险。

二、人民银行风险管理面临的主要挑战

（一）领导层获得的风险信息不够透明《指南》中指出，决策层需要更精确，而不是更多的风险信息。决策层依赖高质量的信息作出准确的风险判断。在人民银行内，各级领导获得的风险信息主要由业务部门和监督部门提供，但业务部门所提供的信息具有局限性，往往存在“报喜不报忧”的情况，对所做的工作“浓墨重彩”，自身的问题“轻描淡写”，风险信息并不会对决策层完全透明，领导层不能全面完整掌握本辖区风险信息，不能系统地、宏观地分析风险，不利于风险的整体决策。这更加需要巡视、内审等部门通过监督执纪获得风险信息，客观、公正地向领导层反映风险真实情况，提供独立于业务部门的保证和见解。

（二）系统性的风险管理体系有待完善一是风险管理呈现分散化特征。风险管理职能分散于纪委监察室、内审科等监督部门，以及各业务主管部门，风险管理呈现分散化的特征。横向上，业务部门和监督部门风险管理缺少整合，风险管理不够全面、系统；纵向上，上下级之间风险管理缺少统一，风险管理不够贯通、联动，没有形成风险管理的合力。三道防线之间也存在一定程度的割裂。二是没有形成对风险的统一认识。“风险的认知偏差”极其危险，但在工作中这种偏差也较为普遍。监督部门认为存在较大的风险隐患，业务部门反而觉得有点“小题大做”，监督结果也揭示出，屡查屡犯的现象并不少见。一些关键岗位人员，风险意识薄弱。只能通过统一对风险的认识，来减少风险认知偏差带来的各种风险。三是“黑天鹅事件”①对风险管理提出更大挑战。岁末年初，一场猝不及防的疫情刷新我们对风险的认知。身处其中，也促使我们重新认识风险。大到整个国家，中到一个行业，小到一个部门，应对“黑天鹅事件”，靠的是强有力的风险管理和创新能力。这更加需要人民银行不断加强风险管理建设，主动应对新的风险挑战。

（三）信息安全和新技术风险形势严峻信息安全和新技术都处于风险认知阶段，风险管理策略还没有得到有效实施，风险的认知水平较低，但由于其对组织影响程度较高，因此面临着严峻的风险挑战。一是网络安全风险具有复杂性和多样性的特点。网络技术快速发展，安全威胁层出不穷，要高度重视网络安全风险对组织带来的影响和破坏；二是数据泄露被视为能够造成严重后果的最优先风险因素。目前，人民银行掌握着众多涉及国民经济、社会民生的数据，这些数据具有全面性、敏感性的特征，特别是存储在提供公共服务基础设施中的数据，一旦发生风险事故，对人民银行的声誉将会产生巨大影响；三是新技术应用存在不确定风险。数字货币、智能辅助决策等应用在人民银行业务中，以人工智能（AI）、生物特征识别、区块链为代表的新技术，依赖全新的、复杂的、不透明的算法，使得不确定性风险隐患剧增。

三、对内部审计工作的启示

（一）内部审计在风险管理中发挥重要作用1.保障领导层获得高质量的风险信息。内审等监督部门需要保证决策层获得高质量的风险信息。一是不断扩大审计覆盖面。合理配置审计资源扩大审计覆盖面，获得第一手风险信息，掌握全系统的风险概图；二是不断提高审计项目质量。牢牢把握项目质量这条生命线，用高质量的审计项目产出高水平的成果，促进成果的高效运用；三是不断加强内审综合分析。从提高组织治理能力的角度开展内审综合分析，形成高质量决策辅助信息，做好各级党委的参谋助手。2.发挥风险管理“中流砥柱”作用。内审部门是防控风险的最后一道闸门。但审计监督具有事后性，主要针对逃逸出第一道和第二道防线的风险后果发挥作用。风险管理事关全行，内审需要协同所有职能从全系统的高度对待风险，真正实现风险的“联防联控”。一是要促进第一道和第二道防线的加固。发挥好监督、评价职能，在推动审计整改的同时，要将风险追溯到第一道和第二道防线，减少风险逃逸的可能。发挥好咨询、服务职能，在制度建设、流程控制、人员管理等方面提供建议，促进提升一线化解风险的能力；二是建立风险沟通共享平台。要促进内审部门与业务部门在风险管理信息和资源共享、策略共商、机制共建，推进风险管理协同联动、上下贯通，合力提升全系统风险管理水平。3.促进形成风险管理的统一认识。内审部门要采取多种措施，促进系统内对风险的统一认识。一是依靠央行风险评估。坚持业务部门自评估与内审部门评估的有机融合。业务部门通过自评估达到强化风险意识、把握风险薄弱环节、提高风险防控能力的作用。内审部门评估能够从审计监督的角度，反映业务部门控制风险的有效性。两个评估结果的区别，就是对风险认识的偏差。通过对比分析评估结果，强化对剩余风险的认同，消减或消除这种偏差，更准确定位内控缺陷，通过完相关善控制活动、制度及流程，彻底消除安全隐患；二是倡导风险管理文化。在系统内倡导主动揭示风险、及时报告和管控风险的组织文化，反对隐藏风险、不正视风险的消极态度，引导树立审慎的风险观和正确看待风险的态度；三是加强风险管理知识培训。通过培训，促进全系统员工掌握风险管理技能，能够识别风险、应对风险，建立全员管理风险、全过程管理风险的链条。4.助力全行风险管理建设。内审部门要帮助全系统强化风险管理能力，提升组织价值。一是帮助组织建立成熟的风险管理体系。内审要利用自身资源，在风险信息的搜集、识别、研判、应对方面提供建议，帮助建立成熟的风险管理体系。督促组织保持风险管理的敏捷性，不仅要看到“灰犀牛”，也要能应对“黑天鹅”；二是帮助组织提升利用风险的能力。组织既要能承受较大压力、不易折断，还能借力反弹。内审要帮助组织准确定位风险，快速堵塞风险漏洞，推动组织利用风险机遇来提升价值。

（二）积极应对信息安全和新技术带来的风险1.应对信息安全和新技术风险。信息安全和新技术带来的风险已经迫在眉睫，内审部门需要持续关注。一是网络安全风险持续增加。通过开展相关审计活动，来促进网络安全意识的提高，网络安全管理技能的提升，降低网络安全威胁带来的不确定性；二是数据安全风险不容忽视。开展数据安全审计，是揭示数据安全风险的最佳手段，也是改进数据安全现状的最有效途径，要通过审计，不断规范数据的安全管理；三是新技术安全隐患需特别关注。面对信息化、智能化程度更高的审计对象，内审部门要主动对接新技术，培养新技术审计能力，不仅关注业务目标的实现，还要能在控制活动、算法实现等方面提出质疑。2.构建审计大数据分析平台。审计大数据平台，是利用大数据技术对数据进行分析，将分析结果运用到审计当中，能够显著提高审计质效。一是构建大数据平台，发挥内部审计的独特优势。首先，系统内的业务系统数据处在同一内部网络，数据的互联互通极为方便。其次，人民银行业务系统的开发应遵循统一的软件设计规范，建立了标准化的数据体系，数据使用效率极高。最后，在高层领导的支持下，协调各业务系统的数据更加容易；二是以风险线索为导向，审计效率和覆盖面更高。审计大数据平台通过数据筛查、多维数据分析及数据挖掘等技术发现问题线索，将当前审计工作模式从项目式审计为主导过渡到以线索审计为主导，将风险关口前移，形成事前预警、事中监控、事后审计的全过程监督，更大范围的覆盖风险区域。

（三）内部审计要克服自身面临的风险1.建设高素质的内审人才队伍。《指南》中强调了优秀人才的重要性，在保证人才培养的同时，还要减少人才流失风险。近几年，人民银行内审人才队伍的年龄趋于老化，在基层单位尤其严重；优秀审计人才流失、转岗的情况也时有发生。内审亟需打造一支年轻化、高素质的审计队伍，来保持内审的高质量发展。发挥优秀审计人员的“传帮带”作用，带动年轻人加速成长成才；制定针对审计人员的激励机制，减少优秀人才的流失；采取多种手段调动审计人员的主观能动性，促进审计人员素质不断提升。2.切实保障审计生命周期内的数据安全。审计生命周期内，内审人员获得一些敏感资料、重要电子数据。审计人员稍有不慎，极易造成信息的丢失、滥用和外泄。因此，提高审计人员数据安全防范意识，建立数据安全管理制度，打造审计生命周期内数据从采集、存储、使用到销毁的完整闭环链条，是保障审计周期内数据安全的有效措施。

作者：马欣 单位：中国人民银行滨州市中心支行