论现代风险导向审计在银行内部审计中的运用
2011年02月
摘要:本文在介绍现代风险导向审计的内涵及特点的基础上,结合我国银行内部审计的现状,借鉴吸收西方国家风险导向审计的成功经验,探讨了我国银行内部审计中实施现代风险导向审计的必要性及具体运用问题。
银行内部审计质量的高低不仅影响金融企业工作的权威性能否得到保障 ,而且影响有关方针、政策、法规的正确贯彻与执行。但与国家审计、注册会计师审计等外部审计相比,由于发展历程较短,我国银行内部审计的总体质量普遍不高。因此,如何采取有效措施防范和规避内部审计风险,确保内部审计工作的质量和效率,已经成为各银行内部审计人员所面临的现实课题。
一、现代风险导向审计的内涵及特点
(一) 现代风险导向审计的内涵现代风险导向审计是注册会计师通过深入了解企业及其经营环境,了解企业内部控制制度,以企业经营风险和会计报表重大错报风险的分析评估为导向,在判断企业财务报表是否存在重大错报风险的基础上,通过实质性测试来对财务报表的公允性得出审计结论的审计方法。
(二)现代风险导向审计的特点1.审计思路更加完善及有效传统风险导向审计方法是从分析企业财务报表的固有风险和内部控制风险着手,根据内部控制测试的结果决定实质性测试的性质、时间和范围。而现代风险导向审计则要求审计师运用“自上而下”、“自下而上”相结合的手段,对财务报表风险做出合理的专业判断。即首先从企业的战略管理分析入手,“自上而下”地通过战略风险和经营风险的导向及严密的逻辑推理,逐步推导和落实审计的范围及重点,确定相关的审计目标和审计程序。然后通过实施审计程序及取证的结果,结合重要性的判断, “自下而上”地归纳和判断整个财务报表的风险并形成最终的审计意见。2.对 “风险”的认识更加全面传统风险导向审计对审计风险模式中固有风险和控制风险的认识仅是从会计的视角予以分析,因而大都只分析会计报表项目本身的固有风险和控制风险,并以此为基础来分析控制财务报表的风险。而现代风险导向审计对“固有风险”的认识除了包括会计报表项目本身的风险外,更多地考虑企业的战略风险和经营风险,并成为控制财务报表风险的最重要手段之一。3.运用新的审计风险模型现代风险导向审计建立了新的审计风险模型,即“审计风险 = 重大错报风险 + 检查风险”。评估重大错报风险是现代风险导向审计的首要审计程序,用来确定整个审计工作的起点及导向,并为发现重大错报提供线索及方向。新审计风险模型的具体运用过程是:(1)了解被审计单位及其环境(包括内部控制) 。(2)评估财务报表层次和认定层次的重大错报风险。(3)针对财务报表层次的重大错报风险,确定“总体应对措施”。(4)针对认定层次的重大错报风险,设计和实施“进一步审计程序”,以降低检查风险至可接受的水平。4.审计重心前移传统风险导向审计以审计测试为中心,对原有的风险评估并不到位,不能有效发现高风险审计领域,造成审计过量或审计不足。而现代风险导向审计的审计程序主要包括风险评估程序、审计测试程序,并以风险评估为中心,真正体现了现代风险导向审计的理念。5.审计测试程序个性化传统的审计程序标准化中存在很多问题。如不能对症下药、不能贯彻风险导向审计思想,或者由于客户的财务人员具有审计经验或相关知识,审计师无法突破客户预先设置的障碍或防范措施等。现代风险导向审计的测试程序个性化就是为了克服传统审计测试的这种缺陷,针对风险不同的客户、客户不同的风险领域,采用个性化的审计程序,对可能存在的重大错报采用出其不意的非常规审计程序等。6.风险评估以分析性复核为中心传统风险导向审计对于信息的再加工重视程度不够,分析性复核主要运用在报表分析上。现代风险导向审计则以分析为中心,分析性复核成为最重要的程序,并且运用现代管理方法。同时,对财务数据和非财务数据进行分析复核。
二、 银行内部实施现代风险导向审计的必要性
风险导向审计作为一种新的审计模式,已经在美英等发达国家得到充分重视,并率先在注册会计师协会得到实施。在我国,风险导向审计模式尚处于初步认识和探索阶段。随着国民经济的快速发展,银行所肩负的职责日益艰巨,同时由于银行业务的特殊性和重要性,一刀切式的审计方式已经不再适合,在银行内部审计中实施因风险而异的现代风险导向审计已经变得十分必要。
(一)传统审计方法的内在缺陷是直接原因目前,国外银行的内部审计方法主要是以风险导向审计为核心来规避和化解审计风险,而我国现行的内部审计模式,仍停留在遵照上级审计部门的工作安排和要求上,审计目的还局限于“查错防弊”。银行内部审计一般主要采用详细审计或依赖于审计者个人经验判断的抽样审计方法。采用详细审计,不但耗时耗力,而且反映问题过于琐碎;抽样审计由于是凭借主观判断进行的抽样,审计者稍有不慎,便会漏掉一些关键的线索和问题,加上工作底稿一般仅记录审计问题事项,而未记录审计人员认为正确的审计事项,达不到审计的真正目的。近些年银行系统发生的几起内部串通舞弊案件,正说明银行内部控制制度的建设尚不完备。传统风险导向审计,假设审计师对各个账户层面的认定进行审计,就可获得充分、适当的证据,因此审计师只需要关注被审计单位的内部控制。当被审计单位出现集体舞弊时,内部控制就处于失灵状态,这时若审计师如果仍只关注内部控制,就很难发现上下串通导致的重大错报。这就要求银行内审人员采用现代风险导向审计方法,把审计视野扩展到内部控制之外,以防止内部人员的串通舞弊。
(二)基层银行内部审计自身生存和发展的需要是内在动因传统风险导向审计在审计实施前,并不对被审计对象进行深入的风险分析。在审计过程中,也不能把审计资源集中到风险最高的领域,仅仅对被审计单位的历史业务记录进行事后检查,而现代风险导向审计则更加关注被审计单位当前所面临的各种风险和未来发展战略,并注重与管理决策层进行有效的沟通,使内部审计报告更容易被接受。这样,就将内部控制策略和风险评估有效地结合起来,使风险得到有效地揭示和遏制,内审工作也因此得到快速发展。
三、 现代风险导向审计在银行内部审计中的具体运用
(一)现代风险导向审计的一般程序在银行内部审计中实行风险导向审计,也应遵循风险导向审计的一般程序,即确定固有风险、评估控制风险和确定检查风险。1.确定固有风险固有风险是假设在没有内部控制的情况下,被审计单位的业务和相应会计处理发生差错的可能性。评估银行业务管理的固有风险,可以从以下方面进行:(1)了解被审计单位的业务流程和特点,收集外部审计机构的审计结论和以往年度内部审计结果,确定易发生风险与舞弊的业务环节,为下一步审计提供风险导向。(2)了解法律法规变化对有关业务核算和管理的要求,为内控测试提供方向。(3)了解被审计单位管理水平,包括管理人员的诚信和能力等因素。目前,银行系统主要业务部门的固有风险因素表现在:(1)货币信贷:政府干预再贷款的程度、监管信息共享程度、信贷登记信息完整程度和再贷款担保程度等。(2)财务会计:财务会计制度的透明度、内外部监督力度和目标分配合理性等。(3)国库业务:政府部门干预程度、银行领导重视程度、国库会计核算系统的安全性和稳定性、经收处和代理支库收纳和报解及时性等。(4)科技管理:科技人员业务素质、工作态度、对系统维护及网络安全监测的及时性等。(5)货币经营:业务人员的风险意识、定期查库的有效性等。(6)外汇管理:政府干预程度、外汇审批(核)业务信息的真实性、业务人员政策熟悉程度和外汇监管信息共享程度等。(7)安全保卫:保卫人员的政治背景及责任心、保卫人员的保密意识和监控设施的先进程度等。(8)支付结算:支付系统运行的稳定性和金融机构结算业务的熟练程度等。2.评估控制风险控制风险是指被审计单位的业务和相应的会计处理发生差错而能被内部控制防止或纠正的可能性。目前,各银行主要职能部门的内部控制设计风险因素表现在:(1)货币信贷:审批权限、程序管理和主要货币政策工具运用情况的检查等。(2)财务会计:预算指标分配及管理、费用支出的审批与使用、 固定资产的入账与实物管理和基建资金的使用与管理等。(3)国库业务:预算退拨款分级审批制度与审批权限、退库及更正业务办理的合规性。(4)科技管理:系统维护及网络安全管理、电子设备采购招标管理和电子化设备管理等。(5)货币经营:审批权限与程序的合规性、岗位设置科学合理性。(6)外汇管理:重要外汇审批(核)业务岗位设置的合规性、审批制度及权限的执行情况等。(7)安全保卫:守库、出入库区、监控、押运、枪弹管理的合规性等。(8)支付结算:各操作岗位设置是否相互制约并持证上岗,不同级别的操作人员的口令设置是否有权限差别,重大会计事项是否登记备案并经有权人员审批等。评估控制风险的程序为:(1)确定控制执行的风险水平。控制执行的风险因素主要有:被审计单位业务的主要类别、各类主要业务的发生过程、重要的会计凭证、账簿记录以及会计报表项目、重大交易事项的会计处理过程等。(2)确定监督反馈机制的风险水平。监督反馈机制是银行内部防线,其是否完善直接影响控制风险的水平,监督反馈机制越完善有效则风险水平越低。(3)对被审计单位的内部控制制度及其执行情况进行测试。测试一般包括:1)调查了解被审计单位的内部控制制度,如阅读以前的审计资料、发放问卷调查、实地观察、绘制内控流程图等。2)进行符合性测试。在了解被审计单位内部控制制度基础上,进行符合性测试。在符合性测试时选择若干控制点,常采取“穿行测试”等方法。执行控制测试后,对内部控制进行评价,确定对其内部控制的信赖程度,从而确定控制风险水平,以进一步确定实施审计的范围、重点、抽样比例和审计所需要的时间等。3.确定检查风险银行实务检查风险是指审计人员进行实质性测试而不能发现被审计单位差错的可能性。在确定检查风险时,内审人员将固有风险和控制风险进行综合评估后,对审计风险水平做出预期估计,从而确定实质性测试的范围和重点。内审人员应当根据银行各项业务运行风险的评估结果来确定检查风险,确定不同业务审计风险的可接受水平,据此采取不同的程序和方法开展内审检查。在审计中应对检查进行管理和控制,使实际检查风险保持在一个可接受的范围。审计人员要将检查风险实际水平与可接受的检查风险比较,以保证对检查风险的控制。确定计划检查风险后,应对审计资源进行重新分配,把有限的审计资源向高风险点倾斜;调整和完善审计计划,当审计过程中事项的重要性发生变化或测试结果显示与早期预期不符,则需要完善审计计划,调整各事项分配的人员和时间;进行实质性测试,确定合理的抽样方法与样本规模,控制检查风险。然后,科学评价审计结果,注意对审计工作底稿的复核、例外因素的分析和审计差异的汇总,以降低审计总体风险水平。
(二)银行内部审计应用现代风险导向审计方法时应注意的问题风险导向审计在我国金融领域还仅是一种尝试,为充分发挥风险导向审计的作用,各银行应强调风险管理意识、提高内审人员素质和应用计算机辅助审计等。1.树立风险管理意识经济的发展、金融体制改革的不断深入和银行业务的迅速拓展,使各银行面临的风险不断增加。要顺应环境的变化,就必须正视风险。对各银行而言,需要界定风险范围、理顺风险责任、建立风险模型和风险防范机制,积极引入风险导向审计理念,将风险控制贯穿于审计的全过程,达到提高审计质量的目的。当然,风险导向的理念首先应该在内部审计人员中得到树立和贯彻,但是要更大程度地降低银行风险,还要求银行各级领导和员工都应懂得风险预知,加强风险意识和风险管理技能,提高全体员工对风险的敏感度。只有这样,才能使风险导向审计的效益得到最大发挥,促使各银行更好地履行职能。2.提高内审人员素质只有不断提高审计人员的综合素质和业务技能,才能促进审计质量的不断提高。(1)加强内部审计人员职业道德修养,培养内部审计人员忠于职守、廉洁自律、依法审计、客观公正的道德情操,使内部审计人员能自我约束与提高。(2)加大基层内部审计人员内审理论与实务知识的培训力度。内部审计人员掌握丰富的专业知识,拥有较高的审计技能,是做好本职工作的前提。(3)增强与国家各级审计部门、各级内部审计协会、高等审计院校的联系。充分利用社会资源,实行“请进来、走出去”的战略。3.发展计算机辅助审计随着计算机及网络技术的发展,计算机已广泛运用在各银行的各项业务中。为积极应对信息技术环境下的审计工作,内部审计部门也应大力推行计算机信息技术审计:(1)开发计算机审计软件,使内部审计人员能够借助软件工具迅速、客观和公正地完成审计工作。(2)加强与业务管理部门的联系,积极争取在其业务软件上设置审计接口,便于审计人员对相关业务操作过程的监控。条件成熟后可将内部审计部门的电脑与业务部门的电脑联网,内部审计部门可适时开展对相关业务的检查与监督,从而大大提高审计效率。(3)探索建立以计算机技术为核心的非现场内部审计监督体系,逐步实现各银行分支机构之间以及同级被监督对象之间非现场监管资料收集和报送的网络化和自动化。
参考文献:
[1]苏永玲.论风险导向审计的发展与创新[J] .辽宁行政学院学报,2007,(1) .
[2]刘菁婉.风险导向审计在我国的适用性[J] .合作经济与科技,2007,(1) .
[3]阎静.风险导向审计模式研究[J] .合作经济与科技,2007,(2) .
[4]裴绍军等.对基层人民银行实行内部绩效审计的思考[J].金融参考,2006, (1) .
[5]陈毓圭.对风险导向审计方法的由来及其发展的认识[J].会计研究,2004, (2) .
[6]尹毅飞.完善国有商业银行内部审计制度[J] .金融理论与实践,2005, (11) .
作者:佚名
