风险地图

　　风险地图也叫风险坐标图，是一种用图形技术来描述已评估出来的风险信息，直观地展现风险分布情况。借助风险地图，管理者可以方便地对多项风险进行直观地比较，从而确定对各风险进行管理的优先顺序和应对策略。

　　借助于风险管理信息系统的支持，风险地图广泛地应用于风险监控和风险报告中。

　　风险地图的横坐标一般表示风险发生的可能性或频率，纵坐标表示风险发生的强度或风险潜在后果的严重性。

　　以风险为导向是内部审计的基本原则，实施风险导向型审计是新型审计方式之一，即重点关注企业全向风险，依据风险量化分布确定审计范围与重点，以协助企业管理风险，对企业的风险管理、内部控制和公司治理进行监督评价。

　　1．识别风险。商业银行内部审计首先必须对银行各方面的风险进行全面的了解、识别，以便下一步量化风险发生的可能性、影响程度，确定各类风险的分布情况。商业银行主要风险包括信用风险、市场风险、流动性风险、操作风险、科技风险等，并细分具体业务。

　　2．量化风险。针对识别的各类风险，商业银行从风险发生的可能性、风险发生的影响程度进行量化。以泉州银行为例，风险发生的可能性指标由涉及重大投诉举报、业务发生损失、案件发生数量、监管重点提示、审计发现问题数量、前次审计间隔、审计系统预警数量、新兴业务等综合计算；风险发生的影响程度指标由财务损失影响、客户资金影响、合规监管影响、声誉影响等若干指标共同组成。

　　3．分类风险。在风险矩阵地图中，发生可能性（低、中、高）、影响程度（低、中、高）2个指标形成的9个矩形区域，划分为低风险区域（绿色块）、中风险区域（黄色块）、高风险区域（红色）三个类别，再依据前序计算值放入区域，利用审计专家讨论、反复调整评审，最终形成内部审计风险地图，为审计计划制定提供决策依据。

区域	风险识别
低风险区域	国际业务、理财业务、反洗钱、外包风险、财务管理...
中风险区域	支付安全、信贷业务、信用卡、关联交易、不良责任...
高风险区域	网络安全、房地产、资产分类、普惠金融

　　泉州银行2020年审计风险地图部分示意图

　　4．审计风险。以风险地图为基础、实施风险导向型审计，可以有效覆盖商业银行发展、安全的各个领域，通过建立各类细化指标的风险数据库，发现和把控商业银行战略、经营、财务、合规、科技等方面的高、中风险，促进审计工作计划动态调整和完善，使审计工作有的放矢，实现对银行风险实施全面把控和重点覆盖。

　　以泉州银行为例，由于疫情期间普惠金融、零售信用投放大幅增长，疫情后经济面临恢复调整，2020年泉州银行将普惠业务、公务卡放入高风险区域，实施重点审计，摸底业务情况、发出审计建议；鉴于近期监管不断强化房地产资金投向，2020年泉州银行新增房地产业务专项审计，开展全面排查、健全业务内控制度；泉州银行近年来加大信息科技审计，保持每年4个项目的高频状态，针对近期国别风险增大，监管连续关注网络安全风险，在2020年支付安全、业务连续性等审计中持续推动网络纵深防御建设，促进内部整改提升，同年泉州银行参与国家“护网行动”攻防演练，排名全国金融组第6位，超过部分省级甚至国家级银行机构，网络安全建设成效明显。

　　例如，甲公司绘制了图3-10所示的风险坐标图，并将该图划分为A、B、C、D四个区域。落入A区域的风险，发生的可能性或频率很高，潜在后果也很严重，属于风险等级比较高的风险点。落入B区域的风险，发生的可能性或频率很高，但潜在后果不是很严重，属于中等风险等级的风险点。落入C区域的风险，发生的可能性或频率不高，但潜在后果特别严重，属于小概率大危害的风险点。落入D区域的风险，发生的可能性或频率不高，潜在后果也不严重，属于低风险等级的风险点。

　　甲公司决定对A区风险实施优先控制，配置较多的控制资源，通过战略风险管理与决策实施风险规避、风险转移或风险降低等策略，确保有效防范此类风险。

　　对于落入B区域的风险，甲公司主要依靠流程控制和日常控制活动，必要时增加补充控制措施，确保将剩余风险降低到可接受水平之内。

　　对于落入C区域的风险，实施危机管理策略并购买相关保险产品，制定并定期演练灾备计划和应急方案，确保此类事件发生时不影响企业的持续经营。

　　对于落入D区风险，属于可接受水平之内的风险，一般实施风险承受策略，不再增加额外控制措施，但应确保日常控制和持续监督有效。