風險評估是識別和分析相關風險并確定應對策略的過程，是選擇恰當的控制活動的關鍵，它能夠指明內部控制措施實施的方向。近年來，中國人民銀行各分支機構不斷提高風險防范意識，建立健全了各項內控制度，特別是《中國人民銀行分支機構內部控制指引》下發(fā)以來，基層人民銀行更加重視內部控制機制建設。然而，由于缺乏科學、有效的風險評估體系，不能正確評估本單位的相關風險，采取的防范措施不能消除或降低風險，制約了內控機制建設的發(fā)展。因此，亟待建立符合基層人民銀行實際的先進的風險評估體系。
    一、建立人民銀行風險評估體系的必要性
    （一）是人民銀行內控機制建設的要求?！吨袊嗣胥y行分支機構內部控制指引》明確規(guī)定:“分支行應通過科學、有效、可行的風險識別、分析和應對，對相關風險進行持續(xù)監(jiān)控和有效管理，將相關風險控制在合理的范圍內”。同時要求“分支行應結合本單位的實際情況和特點，對所有相關風險進行有效識別和科學界定，建立風險評估框架，正確評估本單位的相關風險”。而目前此項工作尚處于起步階段，沒有成型的模式，沒有相關標準，更沒有形成科學、規(guī)范的體系，大家對風險的識別還停留在經驗判斷、主觀分析上，很難全面、準確評估本單位的相關風險。
    （二）是人民銀行有效履職的需要。隨著人民銀行職能的調整，宏觀調控職能的加強，征信管理、反洗錢等新業(yè)務的出現，現代化支付系統(tǒng)等信息技術的建設發(fā)展，確立了人民銀行在整個金融體系中的核心地位。但宏觀調控政策中的傳導風險、行政管理中的法律風險、業(yè)務現代化發(fā)展中的信息技術風險、履行職責中的效率風險等各種風險也隨之而來，并與日俱增，而目前有的基層行還停留在對會計國庫、貨幣發(fā)行、財務收支等傳統(tǒng)風險的防范上，對這些新型風險認識不足，更沒有采取有針對性的措施加以防范，以至出現了因行政執(zhí)法不當被提起行政訴訟，因管理不善，重要業(yè)務信息系統(tǒng)被病毒破壞，因未嚴格按照有關規(guī)定運用貨幣政策工具，影響貨幣政策貫徹實施等問題。因此，人民銀行要實現貨幣政策目標，維護金融穩(wěn)定，提供優(yōu)質金融服務，必須建立風險評估體系，防范各種風險。
    （三）是正確評估各種風險的需要。通過建立風險評估體系，明確風險評估標準，規(guī)范評估程序，能有效地改變在以往的評估活動中，憑個人主觀印象隨意評估的現象。風險評估體系運用科學和技術手段，通過對形成風險的各種因素及其相互關聯(lián)關系進行分析，從而實現對風險進行客觀評估，對風險的影響進行科學預測，動態(tài)的反映內控措施與風險隱患的關系，有利于采取適當的控制措施，使風險降到低。
    （四）是實施風險導向審計的前提。隨著央行內部審計工作的不斷深入，審計方法應由傳統(tǒng)的合規(guī)性審計向以加強和改善組織風險管理為目標的風險導向審計轉變。風險導向審計就是以被審單位的風險評估為基礎，綜合分析評審影響被審單位業(yè)務活動的各因素，并根據量化的風險水平確定實施審計的范圍、重點，從而進行實質性審查的一種審計方法。可見能否對風險進行全面正確評估是風險導向審計的核心。
    二、人民銀行風險評估的種類
    根據評估的主體、評估的目的、評估的方式、評估的內容、評估的深淺程度等不同的劃分原則，風險評估可以劃分許多種類。根據評估的主體可以分為業(yè)務部門自評和風險評估機構評估兩種，業(yè)務部門自評是指人民銀行各業(yè)務部門根據領導安排，依據相關評估制度和已經發(fā)布的標準對本部門進行風險自我評估；風險評估機構評估是指由專門的風險評估機構成員組成的評估小組開展的風險評估。根據評估的時間可以分為定期風險評估和不定期風險評估；根據評估的內容可以分為對單位整體風險的評估和對某項業(yè)務、某個崗位或工作流程的風險評估；根據評估的方式可以分為現場風險評估和非現場風險評估等。無論如何分類，名稱是什么，評估的基本原理和基本程序是一樣的，只有結合本單位的實際情況，選擇適合自己的評估方式才能準確、高效地把握風險，得到正確的評估結果。
    三、人民銀行風險評估的程序
    （一）成立風險評估組織機構?；鶎尤嗣胥y行必須建立行長直接領導下的風險管理委員會，負責領導、組織、協(xié)調本單位的風險管理工作。風險管理委員會應建立嚴密的風險管理流程，一般包括：(1)制定風險管理政策、制度和程序并定期進行完善。(2)明確風險管理的實施主體、對象和內容。(3)明確風險管理的方式與要求。(4明確規(guī)定風險的極限，并且定期進行檢查以確保本單位的風險承受與各項業(yè)務發(fā)展相一致。（5）在職責和分工明確的情況下，保持業(yè)務、行政管理和風險管理之間的良好溝通和協(xié)調。風險管理委員會下設風險評估領導小組，具體負責風險評估工作計劃的制定、指標體系的設定、人員培訓等，其主要成員應由具有豐富的業(yè)務知識和專業(yè)技能，并了解風險評估程序和方法的人員組成。
    （二）制定有效的風險評估計劃。在正式進行風險評估之前，應制定一個有效的風險評估計劃，明確風險評估的目標，限定評估的范圍，建立系統(tǒng)的風險評估方法，并采取有效措施來采集風險評估所需的信息和數據。具體來說，風險評估計劃應該包括以下內容：（1）開展風險評估活動的目的，即通過評估期望得到的結果。（2）風險評估的范圍，確定風險評估是對本單位各項業(yè)務的綜合評估，還是對某項業(yè)務的特定風險評估，或者是對某一突發(fā)事件的評估。此外，必須定義風險評估的物理邊界和邏輯邊界。物理邊界定義一項具體業(yè)務或一個部門，而邏輯邊界則要定義評估的廣度和深度。（3）風險評估行動計劃，確定風險評估的途徑和方法，計劃評估步驟。（4）風險評估標準，事先明確本行進行風險評估的標準和等級。（5）風險評估適用表格，為風險評估過程擬訂標準化的表格、模板、問卷等材料。
    （三）做好實施風險評估前的準備工作。制定風險評估計劃之后，首先要為正式實施風險評估做準備。風險評估的準備過程是進行風險評估的基礎，是整個風險評估過程有效性的保證。準備階段的主要工作就是通過多種途徑去采集信息，包括：人員訪談、調查問卷、文件審核（包括政策法規(guī)、內控制度、業(yè)務流程、操作指南、監(jiān)督檢查記錄等）、以前的審計和評估結果、現場檢查等。通過以上途徑采集的信息，可以供風險評估各個階段的活動分析使用。
    （四）風險識別。該階段要求找出所有重大的風險，形成一個風險列表，對該列表的風險進行分類，并在分類的基礎上進行風險合并，確保所有的風險均被識別和評估。在列出所有重大的風險后，還應考慮這些風險可能產生的影響和可能的后果，分析哪些人會受到什么影響，會造成多大的資產損失等。1996年，人民銀行總行編寫了《中國人民銀行崗位風險防范指南》，其中詳細列出了各級分支行業(yè)務崗位存在的風險點，并對可能產生的影響和后果進行了詳細列示。同時，人民銀行部分分支機構也對內部重點崗位、要害部位和關鍵環(huán)節(jié)的風險進行了排查，并就其潛在風險、防范措施、責任主體及責任追究進行了系統(tǒng)分析，為進行風險識別提供了很好的參考依據。
    （五）確定風險等級。列出所有的風險以后，接下來要確定不同風險的優(yōu)先次序或等級，每一個被識別的風險均要確定風險等級，對于風險級別高的應采取措施重點防范。風險等級由以下兩方面組成：一是風險影響所導致的壞的并可確定的嚴重程度。二是風險產生的可能性。劃定的等級可以是定性的，如《中國人民銀行崗位風險防范指南》按定性的方式將崗位風險評估標準分為正常、基本正常、關注、重點關注四級，也可以是半定量的，半定量的評估可用數字來表示風險等級，以判斷風險是否在可接受的范圍內。風險等級的確定應得到本行風險管理委員會的評審并批準。
    （六）確定控制措施。在對風險等級進行劃分后，應根據本行實際，確定風險控制措施，對不可接受的風險選擇適當的處理方式及控制措施，并形成風險處理計劃。風險處理的方式包括：消除風險、降低風險、轉移風險、接受風險。在風險處理方式及控制措施的選擇上，應注意預防性控制措施與檢查性控制措施之間的關系，在預防性控制不足以確保風險得到降低的情況下應追加檢查性控制措施。一般情況下，風險控制措施應優(yōu)先考慮消除風險，再考慮降低風險，后考慮采取個體防護或應急預案等。
    （七）審查殘余風險。在所有控制措施到位后，還應對殘余風險進行評估，判定風險是否已經降低到可接受的水平，對于不可接受范圍內的風險，應在選擇了適當的控制措施后，對殘余風險進行評價。殘余風險的評價應依據風險管理委員會確定的評估標準進行，選擇的控制措施和已有的控制措施應當考慮降低風險發(fā)生的可能性，某些風險可能在選擇了適當的控制措施后仍處于不可接受的風險范圍內，應考慮是否接受此類風險或增加控制措施。為確保所選擇控制措施的充分性，必要時可以進行再評估，通過控制措施實施的有效性，評價殘余風險是否可以接受。
    （八）記錄風險結果。風險評估過程需要形成相關的文件及記錄，上述風險評估的每一步都要形成完整的評估記錄，并應經過審核，確保評估結果的真實性。在匯總分析所有評估記錄的基礎上，形成評估報告。人民銀行風險評估報告一般應包括評估內容、評估日期、評估資料、評估依據、評估目的、評估小組成員簡介、評估對象基本情況、評估確認存在的風險和評估小組建議采取的措施等內容，評估報告須經過評估小組所有成員簽字認可，評估小組負責人應簽署總體評估意見。
    四、風險評估的基本方法
    雖然已經有許多標準化的評估方法和流程，但在實踐過程中，不應只是這些方法的套用和拷貝，而是以他們作為參考，根據人民銀行的工作性質和業(yè)務特點，制定個性化的評估方法，使得風險評估更具有可操作性。常用的風險評估方法有定性分析和定量分析。定量分析是對構成風險的各個要素和潛在損失的水平賦予數值或貨幣金額，當度量風險的所有要素都被賦值，風險評估的整個過程和結果就都可以被量化了。簡單說，定量分析就是試圖從數字上對風險進行分析評估的一種方法。但是，在實際工作中，由于定量分析所依據數據的可靠性很難保證，再加上數據統(tǒng)計缺乏長期性，計算過程又容易出錯，這就給分析帶來了很大困難，所以，風險的正確評估和量化缺乏可操作性。定性分析是目前采用為廣泛的一種方法，它帶有很強的主觀性，往往需要憑借分析者的經驗和直覺，或者相關的標準和慣例，為風險的大小或高低程度定性分級。定性分析操作起來相對容易，但也可能因為操作者經驗和直覺的偏差而使分析結果失準。與定量分析相比較，定性分析的準確性稍好但精確性不夠，定量分析則相反；定性分析沒有定量分析那樣繁多的計算負擔，但卻要求分析者具備一定的經驗和能力；定量分析依賴大量的統(tǒng)計數據，而定性分析沒有這方面的要求；定性分析較為主觀，定量分析基于客觀；此外，定量分析的結果很直觀，容易理解，而定性分析的結果則很難有統(tǒng)一的解釋，所以，應根據本單位具體的情況來選擇定性或定量的分析方法。