风险评估是组织风险管理框架下的重要环节，其目的在于揭示组织潜在风险领域，识别并聚焦重要风险。对于内部审计而言，有效的风险评估能够将组织有限的审计资源准确地覆盖重要风险点。本文通过对美国、澳大利亚审计署等国外审计机构的风险评估做法的梳理，总结国外审计机构风险评估的特点。结合人民银行现阶段风险评估的开展模式，提出进一步完善人民银行风险评估工作的建议。

一、国外审计机构风险评估的主要做法

（一）评估标准。国外审计机构所开展的风险评估工作均依据于明确的评估标准。由于多数组织将风险评估工作作为风险管理框架中的环节开展，因此国际或国内的风险管理框架标准成为了风险评估工作的主要依据。如国际会计师联合会、澳大利亚审计署将AS/NZSISO 31000（2009）风险管理标准作为组织的风险评估标准，国际内部审计师协会主要依据COSO（2002）制定的风险管理框架标准进行风险评估。此外，美国审计署则将联邦政府制定的《联邦政府内部控制准则绿皮书》作为开展风险评估的标准，欧洲审计院也针对绩效审计制定了专门的风险评估标准。明确的评估标准成为各国审计组织开展风险评估工作的基础。

（二）评估流程。国外各审计机构的风险评估流程大体上相似，主要涵盖控制目标设定、分类定义风险、分析评估风险、决定应对策略等四个方面（见图1）。

3.3.4推进厕所革命 支持长江经济带11个省(市)推进农村户用卫生厕所改造、加强农村公共卫生厕所建设、配套搞好农村厕所粪污处理。

图1 国外审计机构主要风险评估流程

1.设定控制目标，确保目标可衡量。设定控制目标即通过收集高质量的相关数据对组织业务领域进行整体理解，结合风险因素和应有的控制措施，设定组织风险控制目标。国外审计机构在设定风险控制目标时，注重对目标进行明确的、可量化或可定性的描述，从而便于审计人员评估目标是否实现。例如美国审计署强调用可衡量的专业术语来定义目标，内容包括：目标是什么，谁来实现，怎样实现及实现的时限。

2.分类定义风险，注重识别风险来源及影响。分类定义风险，即根据风险控制目标列出所有可能的风险，并按照一定标准对其进行分类或定义，从而识别出主要风险。国外审计机构在识别风险事件时，注重从风险来源及影响的角度对未考虑已存在控制措施的固有风险事件进行分类或定义，从而更加清晰地把握风险事件的本质。例如多数组织根据风险来源及影响的不同，将风险事件分类为外部环境、财务、运营、人员、声誉等类型风险（见表1）。欧洲审计院则要求以“原因+问题+影响”的方式对风险事件进行描述。

表1 各国外审计机构风险分类标准

机构 主要风险类别国际内部审计师协会 外部环境风险；业务流程和资产损失风险；信息风险。国际会计师联合会 财务相关的风险；运营效率；声誉曝光；商业活动。欧洲审计院澳大利亚审计署外部风险：宏观环境；政策决定；外部伙伴。内部风险：计划、策略和政策；运营过程；财务过程和预算分配；信息和其他支持系统。人员和组织：人力资源；道德和组织行为；建筑设备和人员的安全。声誉；人员；财务及系统；安全和隐私；资产管理风险；法律和监管；业务持续性；欺诈。

3.分析评估风险，注重考虑风险影响的复杂性。多数机构从影响程度和发生可能性两个维度来分析和评估风险事件严重性，通过风险矩阵（见图2）来确定风险事件的等级，再通过各风险事件对应的控制措施形成剩余风险。国外审计机构在分析评估风险时，注重综合考虑风险影响的复杂性。例如国际内部审计师协会在评估风险事件时提出要考虑到同一事件的风险影响可能带来不同量级的损失。而美国审计署则指明在评估风险影响程度时，除了规模及持续时间外，还要将风险影响的时效性作为评估的要素，即考虑到风险会立刻产生影响还是持续一段时间后产生影响，以及特定风险对组织产生的影响是立即发生的、中期的还是长期的。

图2 澳洲审计署采用的5＊5介风险矩阵

（二）强调对风险的动态评估管理。多数审计机构在风险评估过程中采取了动态应对风险的做法，通过对内外部环境的持续关注和监测来确认风险未来的变化情况，由此对风险事件及风险控制措施进行调整。美国审计署以审计报告、研究报告、战略规划、财务报告、绩效报告、国会报告等为支撑对联邦政府高风险领域进行动态评估，每两年调整一次高风险领域清单，并对高风险领域进行持续密切跟踪，对于一些取消高风险认定的领域也仍然保持关注。澳洲审计署指出需要评估与风险相关的条件是否发生了变化，以及这些变化是否已经影响了风险发生可能性和后果，同时，通过业务变化趋势、运营是否成功来确定新产生的风险。国际内部审计师协会指出，应对内部控制风险进行周期性的监测，以固定的频率验证控制的有效性。

表2 欧洲审计院核心风险确定标准

复杂的组织（跨地区运营；设计语言、政策、地理位置问题；多个管理层级）经常面临结构变化的组织地理位置上分散的组织分权管理………………组织结构

表3 欧洲审计院风险评估结果呈现方式

审计人员评估的结果 需要审计关注的信息 审计范围领域/目标/行为/过程可行性--正常/困难/不可行主要风险事件剩余风险等级相关性和利益性是否包含在审计范围内审计疑问··· ···高/中/低是/否

（三）评估方法。各机构采取了多样化的风险评估方法及工具开展评估工作。众多风险评估工作主要用于控制目标的确定、风险事件的识别和风险事件的分析三个过程。

（三）强化对中、长期产生影响的风险评估。在各业务领域的风险事件中不仅仅考虑即刻产生影响的风险，也应进一步考虑中、长期产生影响的风险事件，充分考虑某项业务的办理流程是否会在未来产生某种不良的影响，如大批量的上线征信自助查询机是否会形成自助查询机系统管理的漏洞。一是可以使得风险评估更具有前瞻性，更为有效地防范新业务、新要求带来的可能产生影响的风险。二是可以与组织的风险容忍度相结合，在拟定审计计划时对产生影响时效性不同的风险区别对待，可以有效制定中、长期的审计计划，以覆盖不同影响时效的风险。

式中SOC储为某一深度下的土壤有机碳储量，t/hm2；Ti为第i层的土壤有机碳含量，g/kg；ri为第i层的土壤容重，g/cm3；Hi为第i层的土壤厚度，cm；n为土壤层次。

针对风险分析环节，当下衡量风险的主流做法是通过对风险事件的影响程度和发生可能性进行二维的判断，结合风险矩阵确定风险高低，这种在单一维度内假定事件发生可能性为固定值的做法，对于离散的风险事件较为有效，但不适用于连续的风险事件。因此，风险的“概率密度函数”、“损失的预期值”也适用于不同情况下的风险度量。还可以通过“建立在风险控制自我评估之上的记分卡”、“比较分析”等方法来对风险事件进行分析和衡量（见表4）。

表4 风险评估环节运用评估方法简介

技术 简要描述 可用于的评估环节问卷和清单运用结构化问卷和检查清单收集信息，来协助识别重大风险。结合历史数据对某类突发事件进行全景描述 （包括诱发条件、影响程度）。确定控制目标、定义风险事件情景构建法确定控制目标、定义风险事件程序逻辑模型图实地检查资产和活动；审计既定系统和程序的遵照执行情况。确定控制目标、定义风险事件研讨会和头脑风暴确定控制目标、定义风险事件检查和审计收集和分享关于可能会影响目标，利益相关方的期望事件的想法，并进行讨论。将业务流程以逻辑程序的方式呈现出来，确认业务控制措施。确定控制目标、定义风险事件、风险分析和衡量流程图和相关性分析分析组织内部的流程和运营来确定带来成功的关键因素。确定控制目标、定义风险事件、风险分析和衡量HAZOP分析法和FMEA分析法“风险和可操作性研究”（HAZOP）和“失效模式和效果分析”（FMEA）是定量的技术故障分析技术。确定控制目标、定义风险事件、风险分析和衡量SWOT分析法和PESTLE分析法“态势分析”（SWOT）和“宏观环境分析”（PESTLE）提供风险识别的结构化方法。确定控制目标、定义风险事件、风险分析和衡量风险矩阵风险分析和衡量比较分析法通过实际与设定基础的对比来提示差异，借以了解业务活动的不足和问题。通过发生的可能性和伤害的严重程度综合评估来定性风险的大小。风险分析和衡量概率密度函数针对风险发生可能性为连续随机变量，风险的大小可以通过特定的函数来衡量反映。风险分析和衡量损失的预期值实际损失一般围绕平均值波动，把平均损失值看成是相对确定的，作为衡量风险大小的基础。风险分析和衡量自评估计分卡以平衡记分卡（财务、客户、内部运营、学习与成长四个角度）对组织战略落实为可操作的衡量指标和目标值作为风险度量的基础。风险分析和衡量

二、国外审计机构风险评估的主要特点

自2016年始，人民银行在内审司的主导下，上线了风险评估系统，对人民银行涉及全部业务开展风险评估。在风险评估系统中，人民银行总行对全国、省、市、县四级人民银行分支机构所涉及的业务控制目标、业务职能、业务领域及风险事件进行了固化，确定了一百余项业务控制目标、二十余项业务职能、九十余项业务领域、九百余项风险事件，并将涉及风险归并至“市场”、“信用”、“流动性”、“操作”、“法律”、“声誉”六大类中。

表5 澳洲审计署对不同类型风险的偏好和容忍度

风险 风险描述 容忍度S 1 国会对澳洲审计署失去信心 低0 1 与国会J C P A A和其他委员会，个别成员/参议院未形成良好关系 低0 2 运营环境的改变影响到审计长的独立性 低0 3 与被审计单位未形成良好关系 中…… …… ……

4.决定应对策略，关注风险动态变化趋势。完成对风险事件的分析评估后，各机构按照各项风险事件的等级，以接受、降低、转移、控制作为风险应对原则拟定措施。例如欧洲审计院提出了核心风险的理念，通过给定的核心风险确定标准（见表2）对风险事件进行判断，来考虑是否纳入审计范围或采取应对措施，并在风险评估结果中予以呈现（见表3）。国外审计机构在制定风险应对策略时，强调关注风险动态变化趋势。例如澳洲审计署提出了动态风险应对措施，对于不断增加的风险采取监测和降低的措施；对于平稳的风险采取监测和接受；对于降低的风险采取接受的措施。

（三）充分体现固有风险与控制有效性的差异。多数国外审计机构在风险定义阶段主要是针对未采取控制措施的风险进行识别和归类，而在分析评估剩余风险时才考虑已有控制措施有效性和遵循性对风险的影响，并不将控制措施遵循不到位的情况列示为风险事件。在根据风险分类和风险源头确定固有风险事件后，欧洲审计院在风险分析阶段，根据已有的核心风险标准和控制措施对固有风险事件的等级进行调整。而国际内部审计师协会则在确定风险应对策略阶段，通过分析程序和测试细节来测试已存在或拟采取的控制活动有效性，从而得到考虑风险应对后的剩余风险。

（四）良好的风险信息交流机制。各审计机构均要求将风险评估情况在组织各层级进行传达，同时各利益相关方也要对风险评估情况进行及时的信息反馈，以建立动态管理风险的基础。国际内部审计师协会建议风险信息必须像财务和其他信息，以特定的频率和形式进行沟通，以使工作人员、管理人员、董事履行各自的职责。可以使用风险评估的信息系统定期产生实时的风险状况信息，针对不同群体出具风险评估和风险管理报告，以便于日常和长期决策。国际会计师联合会构建了从业务部门到风险管理委员会/披露委员会，再到审计委员会/董事会的自下而上的报告机制（见图3），以及反向运行的风险监测机制，来体现对风险信息的交流。澳洲审计署则要求任何评估为“高”及以上或是的审计特别关注的风险，都要在每个季度的报告中向审计委员会和执行董事会报告风险状态的更新情况。

图3 国际会计师联合会风险信息交流机制

（五）健全的风险评估后续审查。在这一方面，美国审计署所开展的工作较为领先和完备，其披露了大量对联邦政府各部门及各项目开展风险评估情况的后续审查实务。依照联邦政府各部门采用的风险评估标准，对各部门及各项目是否如实、有效开展风险评估工作进行评判。2014年其披露了对9家联邦机构（机构间安全委员会成员）设施风险评估的审查情况，发现“6家机构开展评估的方法与标准不一致，使得机构不完全了解面临的风险而带来安全资源配置的无效”。2017年披露由美国卫生与公共服务部（HHS）和美国农业部（USDA）联合管理的“联邦管制药剂项目”审查结果，得出了“未评估当前组织结构所带来的风险，也未评估减少机构利益冲突机制的有效性。如果不对风险进行评估并采取必要的行动，可能无法有效地减轻对该项目独立性的损害”的审计结论。类似的披露还包括：2014年对能源部不当付款风险评估的审查；2017年对国土安全部风险三要素——威胁、漏洞、后果进行评估的审查等。

三、现阶段人民银行风险评估工作的开展模式

（一）考虑组织的风险偏好和容忍度。各审计机构在其风险评估框架中均强调了机构对风险偏好和容忍度，通过将组织风险偏好及容忍度的体现嵌合到风险评估流程中来优化风险应对策略。美国审计署、澳洲审计署在评估前期反映机构的风险偏好和容忍度，澳大利亚审计署还特别列出了5大类18项风险类别的风险容忍水平（见表5）。通过与确定控制目标这一评估流程相结合，可以有效地避免风险等级较小的风险事件对风险评估及审计的干扰，将有限的审计资源更为合理分配到控制组织的重要风险上，但也存在着由于主观判断错误，对重要风险容忍度过高导致风险控制不到位的情况。国际内部审计师协会、国际会计师联合会及欧洲审计院则在评估后期体现对具体风险的容忍度，通过将组织的风险偏好和容忍度与风险应对流程相结合，既可以全面考虑组织各类风险，也可以在应对风险时快速定位，但在评估过程中需要投入更多的资源。

（二）动态披露审计监督情况，提供管理决策参考。美国审计署对高风险领域持续跟踪，甚至对从清单中删除的领域仍然保持关注，两年一次的定期披露促进了政府以更有效率和更有效果的方式运行。人民银行也可借鉴美国审计署做法，对高风险领域进行持续跟踪，定期公布风险管理报告，以特定评断标准分析高风险领域的管理情况，针对央行的业务变化情况动态调整高风险领域清单内容，为党委和各级风险管理部门提供参考建议。

这趟班列，一头是正致力成为长江经济带西部中心枢纽的重庆，一头是全球首个10亿吨大港、已与全球600多个港口架起贸易通道的超级大港——宁波舟山港。

在优化试验确定最佳理论工艺参数的基础上，并对该工艺参数进行相应的发酵试验，其结果与理论值进行比较，最终确定最佳工艺参数。

四、对人民银行风险评估工作的启示

（一）考虑组织风险偏好，适当削弱对低风险的关注。为更好地反应组织对风险的偏好和容忍度，风险评估系统可以借鉴欧洲审计院的做法，在全面评估各业务领域的风险事件的基础上，在评估结果中添加是否纳入审计范围的选项。根据审计项目侧重点不同调整审计涉及的风险事件内容，系统输出的评估结果可以直接作为检查对照表使用，避免了不同审计项目输出相同的风险事件列表，体现审计项目的特点，更有效地分配审计资源。

在确定风险事件阶段，人民银行将业务的控制目标风险与是否遵循现有内控措施一起定义为风险事件。分支机构对固化的风险事件进行发生可能性及影响程度的二维评估，通过对两个维度0至4的风险赋值，系统依照内嵌的5*5阶风险矩阵自动生成事件的风险等级（0至4）。在对各业务职能、业务领域中的所有风险事件赋值完成后，系统根据风险事件的赋值、风险类别的权重通过设定的公式进行计算，得出各业务领域的风险值。分支机构再根据各业务领域的审计及检查情况、内部控制的变动情况进行调整项的赋值，以得出调整后的风险值。随后再计算业务职能及机构本身的风险值。

控制目标的确定和风险事件的识别这两个环节，所使用的评估方法具有一定的互通性。“程序逻辑模型图”、“流程图和相关性分析”、“情景构建法”、“问卷和清单”、“研讨会和头脑风暴”、“检查和审计”、“HAZOP 分析法和FMEA分析法”、”SWOT分析法和PESTLE分析法”均可以单独或组合运用，来确定风险事件。也可以考虑使用“神经网络法”，通过利用对不同数据模式的探索认识来识别可能存在的风险。

现阶段人民银行的风险评估工作主要是通过内部审计部门开展，其应用也主要集中于内部审计。通过对各分支机构年度的风险评估，内部审计部门能够有效掌握各业务领域跨年度、跨区域的风险变化情况，将内部审计的视角聚焦于高风险的业务了领域及分支机构，有针对性地制定审计计划及开展审计。

（四）精简固有风险事件，关注控制措施有效性。适当区分业务领域的固有风险事件和遵循已有控制措施后的剩余风险事件，固化同一层级固有风险事件，使得评估工作可以聚焦于对已有控制措施有效性的评价。这样在关注了控制措施的执行是否到位这种操作层面的风险，也更多地思考针对业务构建的控制机制是否合理，一是可以更好地从体制、机制的角度提出审计发现，促使组织构建更完备的控制框架。二是审计开展的角度更为深入，能够更好地发挥咨询作用，提高内部审计的认可度。

2012年，我们又启动了对《教育学》(第六版)的修订工作，于2016年出版了《教育学》(第七版)。这次修改的指导思想比较明确。一是把教育以育人、成人、以人为本的观念和学生是教育活动主体的观念进一步落到实处，注重实践智慧与实践能力的培养，为社会实践活动在育人的过程中争取应有的一席之地。二是删繁就简，大力压缩篇幅，使基本概念、基本理论更加明确、切实、有价值，注重教材的规范性、可教性。

抽过了烟，冯一余又继续往前走，走出了小区，走到大街上，大街的马路牙子上，歪歪斜斜地停满了车。冯一余走了一段，忽然发现问题了，竟然有一辆车的车牌号，和他的车牌

（五）规范风险认定标准，拓展审计评估技术。人民银行风险评估系统旨在对全国分支机构形成的评估大数据进行比较运用，但由于评估主体人员的不同，主观判断的影响使得各分支机构整体风险数值等数据的比较意义不大。这就需要对风险评估过程中对各影响因素的判定标准进行统一，可以借鉴统一风险描述、量化控制目标等做法。同时，在确定控制目标、风险事件定义等评估环节综合运用“研讨会”、“头脑风暴”、“流程图”等一系列评估方法与技术，进一步降低风险评估过程中的主观影响，使得风险评估所产生的大数据的更具有可比性和适用性。

（六）构建后续审查机制，提升风险评估效果。美国审计署通过对政府部门开展风险评估情况的后续审查，来确定各部门风险评估工作是否得到执行并行之有效。目前，人民银行风险评估还未能建立对各分支机构风险评估的评判机制，各分支机构开展自我评估后，上级行仅能进行查看，无法进行全面的评判验证，难以确保所使用的评估数值的真实性。可考虑建立对下级分支机构风险评估情况抽查的后续审查机制，通过对评估的验证来评价被审查机构风险评估的真实性、准确性，以促进分支机构风险评估工作持续有效地开展。

参考文献：

[1]顾加宽.基层央行风险评估现状分析和框架构建———人行盐城市中心支行风险评估现状调查与思考[J].金融纵横,2010（06）.

[2]RISK ASSESSMENT IN PERFORMANCE AUDITS[R].欧洲审计院, 2013.

[3]Standards for Internal Control in the Federal Government[R].美国审计署，2014.

[4]RISK MANAGEMENT FRAMEWORK 2016 -2017[R].澳大利亚审计署，2016.

[5]A structured approach to Enterprise Risk Management (ERM) and the requirements of ISO 31000[R].国际会计师联合会，2010.

[6]William R. Kinney, Jr.Auditing Risk Assessment and Risk Management Processes[R].国际内部审计师协会，2003.

[7] Most Selected Agencies Improved Procedures to Help Ensure Risk Assessments of All Programs and Activities[R].美国审计署，2017.