国际上传统的审计方法以账项基础审计和制度基础审计为主,但自二十一世纪初以来,伴随着“安然事件”等一系列重大财务舞弊案件的发生。审计失败屡屡显现,这些传统审计方法的缺陷充分暴露,现代风险导向审计方法与理念应运而生。金融业是现代市场经济的核心,而商业银行又是金融业的主体,从1997年爆发的亚洲金融危机到2007年爆发的美国次级债危机无不证明银行业是可能剧烈影响一国乃至全球经济的高风险行业,如何在商业银行内部审计部门推广应用风险导向审计方法,充分发挥其在商业银行风险管理中的重要作用,是一个重大而又十分紧迫的课题。
风险导向审计的概念、特点与意义
现代风险导向审计方法首先兴起于西方国家的社会审计界(注册会计师),它是一种基于战略观和系统观思想,通过对被审计单位的经营风险进行综合评估,确定剩余风险,相应确定实质性测试的范围、时间和程序,从而将剩余风险降低到可接受水平的审计方法。现代风险导向审计具有以下特征:一是审计重心前移,从以审计测试为中心转移到以风险评估为中,二是风险评估由对审计风险直接评估演变为对审计对象经营风险的间接评估;三是风险评估以分析性复核为中心,既对财务数据进行分析,也对非财务数据进行分析,并将现代银行风险管理方法运用到分析性程序中去:四是风险评估从零散走向结构化;五是测试性化,针对风险不同的企业、企业不同的风险领域,采用个性化的审计程序;六是实行并行作业,坚持白上而下与自下而上相结合,相互印证,提升效率;七是审计证据向外部证据转移,通过了解企业经营环境,从外部取得大量证据来评价风险评估的恰当性。
现代风险导向审计是审计发展的必然趋势。风险导向审计利于将审计风险降低至可接受水平,它既可以帮助被审计对象防范和控制经营风险,又可以降低或规避审计人员的审计风险与责任。风险导向审计将风险评估与审计程序紧密地联系起来,对一些风险因素比较大的领域和环节投入更多的审计资源,而对风险比较小的领域环节缩减审计资源,从而能够提升审计质量与效率,有效降低审计成本。
在商业银行风险蕾理中引入风险导向审计的一性分析
商业银行风险是指商业银行在经营管理过程中,由于各种不确定性因素的影响,使实际收益和预期收益发生一定的偏差,从而蒙受损失的可能性。根据巴塞尔银行委员会分类,银行主要面临信用风险、国家和转移风险、市场风险、利率风险、流动性风险、操作风险、法律风险、声誉风险等八大风险。由于商业银行经营规模庞大,资产负债率高达90%以上,远高于一般工商企业,加之市场变化莫测、银行风险管理水平制约、同业竞争激烈、“三性”(即安全性、流动性、盈利性)矛盾冲突等因素,天然决定了商业银行是一个高风险的行业。如果不有效防范风险,轻则导致银行经营亏损甚至倒闭,重则导致一国金融体系乃至经济、社会动荡。
在商业银行资金运动的全过程中,风险都是客观存在的,人们不可能把风险完全消除,只能通过有效的银行风险管理把风险缩减到较小的程度。商业银行风险管理是指银行为实现自身的经营目标,在业务经营过程中,运用现代银行风险管理方法对其业务风险进行识别、衡量和处理的活动以及银行监管当局为实现经济、银行稳定健康发展的要求,而对银行实施的外部监管活动的总称。它通常包括两方面的含义:一是在收益一定条件下的风险最小化;二是在风险一定条件下的收益最大化。商业银行风险管理一般包括风险识别、风险评估、风险决策、风险处理四个方面,风险处理的主要方式有风险预防和回避(如放弃高风险的业务品种或贷款项目)、风险分散(如实行业务多样化、资产多元化、客户分散化组合经营等)、风险抑制与转移(如设置信用担保或开展期货、期权交易)、风险的保险与补偿(如提取准备金)、风险自留(即银行以自有资金补偿损失)等。对实施商业银行风险管理的安全保障体系由四个层次组成:一是企业有关部门(如央行、银监会、国家审计机关等)的监管;二是社会监督(如会计师事务所及新闻舆论等):三是银行业协会自律;四是银行自我约束(主要是通过内部控制来实现)。
内部审计是商业银行内部控制的重要组成部分,在商业银行实施风险导向审计具有十分重要的现实意义,是历史发展的必然选择。首先,加强银行风险管理,保障经营安全是内部审计的主要职能和任务。其次,金融风险的突出存在,要求商业银行应用风险导向审计方法。再次,国际内部审计实务标准要求内部审计应用风险基础审计理论和方法。最后,现代商业银行分支机构多、业务种类杂、业务规模大,而内部审计人员十分有限,审计资源短缺,供需矛盾突出,实施以传统的账项基础审计和制度基础审计为基础的详查法不仅不可能,而且也不经济,要求探索更加科学、高效的审计方法。而风险导向审计正是以全面评估风险为基础,从重要风险点人手,对风险高的业务与内容加大审计力度,追加审计程序,扩大审计范围,对症“下药”,精准“打击”,定点“爆破”,把银行风险管理控制在合理的范围之内,实现安全、高效、稳健发展的目标。
风险导向审计在商业银行风险管理中的推广与应用
近年来中国的主要商业银行日益重视内部审计在银行风险管理中的积极作用,建立了具有高度独立性和权威性的内部审计机构,并围绕银行风险管理开展了一系列审计活动。但是,从总体来看,目前我国商业银行内部审计主要是以传统审计方法为主,现代风险导向审计理念与方法还不成熟,审计在商业银行风险管理中的作用还有待进一步发挥,风险导向审计的应用前景十分广阔,潜力十分巨大。
(一)在内部审计人员中大力强化风险导向审计的理念。在国际会计师联合会2003年发布三个新的国际审计风险准则后,中国注册会计协会发布了新的审计风险准则,从而确定了风险导向审计在社会审计中的作用与地位。但是目前在商业银行内部审计系统还远没有普及风险导向审计思想,有必要在《银行业金融机构内部审计指引》和各商业银行审计工作规定中明确提出现代风险导向审计理念,并修订补充相关条款。在审计实务中,审计人员要树立风险导向意识,将风险导向审计与制度基础审计、账项基础审计结合起来运用。即在风险导向审计观念下,客观评价被审计单位外部环境、内部控制制度,发现会计报表重大错报风险,对评价出的高风险领域,实施详细的账项审计,有效地控制风险,节约审计成本。
(二)以内部控制综合评价和风险评估为基础科学制订审计计划。在风险评估的基础上制定审计计划,既是做好风险导向审计、加强银行风险管理的前提和基础,也是当代国际国内审计制度的规范要求。国际内部审计师协会2004年1月修订的《国际内部审计专业实务标准》第2010条规定:“内部审计活动的业务计划应建立在风险评估的基础上,并至少每年制定一次。”《银行业金融机构内部审计指引》第二十五条规定:“内部审计部门应在年度风险评估的基础上确定审计重点,审计频率和程度应与银行业金融机构业务性质、复杂程度、风险状况和管理水平相一致。对每一营业机构的风险评估每年至少一次,审计每两年至少一次。”结合我国各商业银行实际,我们认为内部审计部门每年应当于第四季度对支行级以上单位(含二级分行、一级分行)开展一次内部控制综合评价,发现风险在不同的经营机构、业务品种的分布情况,根据内部控制及银行风险管理状况把分支机构划分为一、二、三、四类等不同的等级。在此基础上,结合当年其他内外部审计及检查情况,对所有营业网点进行一次风险评估,划分为高、中、低风险网点。在综合评估辖内各分支机构、业务品种风险状况的基础上,有的放矢地制定年度审计计划(包括审计项目、覆盖对象、时间安排等),对高风险的单位和业务投入更多的审计资源,确保审计频率和程度与所在银行业务性质、复杂程度、风险状况和管理水平相一致。
(三)以银行风险管理为中心再造审计流程。商业银行应按照中国注册会计师审计准则中阐述的三个部分的审计业务流程和程序实施风险导向审计。第一步是风险评估程序。在了解被审计单位及其环境(包括内部控制)的基础上,评估会计报表层次和认定层次的重大错报风险。作为风险评估的一部分,审计人员应当运用职业判断,确定识别的风险哪些是需要特别考虑的重大风险。应当重点考虑下列事项:(1)风险是否是舞弊风险:(2)风险是否与近期经济环境、会计核算和其他方面的重大变化有关;(3)交易的复杂程度;(4)风险是否涉及重大的关联方交易;(5)财务信息计量的主观程度,特别是对不确定事项的计量存在宽广的区间;(6)风险是否涉及异常或超出正常业务范围百勺重大交易。第二步是控制测试程序。控制测试的目的是为了测试内部控制在防止、发现并纠正认定层次重大错报方面的运行有效性。第三步是实质性程序。实质性程序包括对重大的各类交易、账户余额、列报的细节测试以及实质性分析程序,目的是为了发现认定层次的重大锚报,以获取适当的审计证据。
(四)突出抓好重点金融风险(信用风险、操作风险)的审计。在商业银行面临的八大风险中,由于我国商业银行国际业务比重较小,相应国家和转移风险、市场风险的风险敞口较小,在现行体制下利率风险、流动性风险、法律风险、声誉风险也不太突出,且上述风险主要由外部监管部门(央行及银监会)监管,因而不是内部审计部门的审计重点。当前,我国商业银行面临的首要风险是信用风险(即因交易对象无法履约而损失贷款的风险),2007年12月末我国商业银行贷款总额206万亿元,占当年中国GDP总额24_7万亿元的83%,其中不良贷款12684″fL元,占全部贷款比例为6.17%,如果加上历年已核销及剥离到资产管理公司的不良贷款,不良贷款总额高达数万亿元。其次是操作风险。操作风险是指由不完善或有问题的内部程序、员工和信息科技系统,以及外部事件所造成损失的风险。根据中国银行业监督管理委员会2007年发布的《商业银行操作风险管理指引》第六条规定,“商业银行董事会应将操作风险作为商业银行面对的一项主要风险”;第十一条规定:“商业银行的内审部门不直接负责或参与其他部门的操作银行风险管理,但应定期检查评估本行的操作风险管理体系运作情况,监督操作风险管理政策的执行情况,对新出台的操作风险管理政策、程序和具体的操作规程进行独立评估,并向董事会报告操作银行风险管理体系运行效果的评估情况。”所以本着风险导向和重要性原则,内部审计部门应该突出抓好信贷业务(主要包括贷款、承兑汇票、信用证、保函等)审计,确保信贷资产安全,防范信用风险;突出抓好各项业务的合规审计以及业务管理部门的自律监管审计,确保规范经营,防范操作风险。
(五)对风险突出的经营单位开展集中审计大型国有商业银行点多面广,而审计人员相对较少,以前主要采取审计机构分区域设置、划块包干、抽查审计的方式监督,导致审计力量分散,难以突破重点,难以查深查透问题,导致大案要案及重大经营风险时有发生,甚至长期隐藏未能发现,所以有必要分步推行集中审计方式。所谓集中审计,是指集中审计力量(如集中全国银行系统审计人员审计部分分支行),集中审计时间(连续审计几十天甚至几个月时间),开展全面深入审计,从而对一个分支行的业务经营状况真实性、合规性以及内部控制的适当性、健全性和有效性作出总体评价。有计划、分步骤地对内部控制相对薄弱、经营风险较为突出的分支机构开展集中审计,及时识别、化解和防范区域性风险。