风险导向审计在内部审计中的应用
针对加强风险管理的需要,作为商业银行的内部审计部门如何将审计方法由传统的合规性审计向以加强和改善组织风险管理为目标的风险导向审计转变,已成为一个亟须解决的问题。
一、风险导向审计方法的内涵
所谓的风险导向审计是在账项基础审计和制度基础审计上发展起来的一种审计模式,是指审计人员在对被审单位的内部控制充分了解和评价的基础上,分析、判断被审单位的风险所在及其风险程度,把审计资源集中于高风险的审计领域,针对不同风险因素状况、程度采取相应的审计策略,加强对高风险点的实质性测试,将内部审计的剩余风险降低到最低水平。
风险导向审计方法的重点是识别与控制风险。由于审计风险受到企业固有风险、控制风险以及检查风险的影响,因此,风险导向审计理论的核心是从分析审计风险入手,建立科学的审计风险分析模型,通过定性定量分析,量化确定固有保证程度系数,并控制保证程度系数,确定可接受的检查风险水平,以保证审计质量。
二、风险导向审计方法在商业银行审计工作中应用的必要性
1、金融风险的存在,要求将风险导向审计方法应用在商业银行审计工作中。随着金融全球化趋势的逐步加深,金融风险也不断加剧和分散,传统的审计理论与方法已不适应现代银行的发展和需求。因此,商业银行内部审计工作必须适应金融形势的发展和变化,应用风险导向审计方法,在深入分析判断不同层面和业务领域风险状况的基础上,确定审计重点。并使内部审计能够通过风险评估的结果、建议,直接影响商业银行经营政策的制定,确保商业银行风险管理目标与业务发展目标的一致性,力求从源头上加强商业银行的风险管理,使商业银行真正做到“风险先行”。这种工作重心的前移,不但能使内部审计避免出现只重视细枝末节,忽略主要风险的情况,而且有利于提升其在商业银行内部风险管理中的地位和实现内部审计为机构增值的目的。
2、国际内部审计实务标准及其最新发展趋势,要求内部审计采用风险基础审计理论和方法。国际内部审计师协会前主席捷奎琳。瓦格娜曾指出:“环境的变化给内部审计师带来增加价值的机会最多的领域是风险管理和公司治理”。2003年国际内部审计协会IIA对2001年新发布的《内部审计实务标准》修改后,在内容上也自始至终都贯穿着风险审计的主导思想。一是在对内部审计的定义中要求内部审计采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它的效率,帮助机构实现它的目标。二是内部审计的目标要求内部审计参与风险管理。标准的2100条规定内部审计活动总的目标是评价并帮助改进机构的风险管理、控制和治理体系,具体审计活动要围绕具体的风险管理目标进行。三是内部审计的工作重点要求内部审计参与风险管理。标准的第2010条规定要求审计执行主管应该以风险为基础,根据机构目标制定计划,确定内部审计部门的工作重点。四是标准对审计计划、审计实务、审计测试、审计结果发布、后续审计各个方面都作了和风险相关的明确规范。五是关于剩余风险,标准作出了在审计执行主管认为高级管理层接受的剩余风险水平对于机构来说是无法接受 时应报告董事会加以解决的规定。
三、风险导向审计方法在商业银行审计工作中的应用
1、运用风险导向审计理论,重视了解和测试,将审计风险减少到最小程度,实现防范风险的目的。根据风险导向审计理论,审计工作应从分析风险入手,在全面了解被审单位基本情况的基础上,充分关注该机构的特殊风险,确保内部审计能够发现业务经营活动中的重大违法违规问题及风险隐患。由于银行审计的特殊性,其固有风险和控制风险都较高。根据风险管理学中著名的“五倍定律”,审计应采取风险防范前移策略,即在审计准备阶段,就加大防范力度,根据对被审计单位基本情况的了解和分析性复核的结果,加强审计风险分析,最后根据确定的总体审计风险概率和评估的重大错报风险概率,得出关于剩余审计风险也就是检查风险的概率,据此确定实质性测试的性质和范围,即可将审计风险减少到满意程度,实现防范风险的目的。具体讲:一是要了解被审计单位所处的经营环境、行业状况、经营目标、业务流程和相关经营风险,并通过实地观察被审单位的经营场所及设施,询问管理当局及其知情的第三者等方法,从宏观上把握审计面临的风险,并将其作为不可缺少的审计程序。二是进行正确的评价,在评价内部控制有效的情况下,注重对例外项目进行详细审计。三是注重运用分析性程序,识别可能存在的错报,减少对接近预期值的各种交易、账户余额的测试。四是扩大审计证据的内涵,将了解被审单位及其环境获取的信息作为审计证据。五是通过上述了解测试和分析,对机构经营的有效性做出判断,对管理当局在相关经营模式和业务流程下的整体认定是否恰当进行职业判断,并对机构是否存在舞弊及经营风险作出职业判断。
2、运用风险导向审计准确确定审计的重点和范围,提高审计效率,有效地降低审计风险。在商业银行内部审计中,当前首要的是防范风险。从商业银行的现状来看,重大违法违规问题和经济案件是最大的金融风险,这些重大问题和经济案件对金融体系危害严重、影响广泛,比较典型的如最近暴露的中国银行哈尔滨河松街支行的10亿元票据诈骗案、中国银行北京某支行6亿多元的假按揭贷款案、建行吉林分行3.2亿元诈骗案、山西金融系统7.28亿汇票诈骗案等金融风险案例都证实了这一点。因此,审计重点一是要对内部控制制度的健全性和有效性以及风险管理进行评审。针对商业银行规模大、地域分布广、分支机构众多、内部控制基础不牢固、潜在操作风险较高的情况,应以检查内部控制和风险管理作为审计的切入点,通过对内部控制环境的调查和对风险管理、业务审批、职能分离、资产保全等各项业务流程的审查,对内部控制制度的健全性和有效性以及风险管理进行测评,以揭露问题,堵塞漏洞,促进商业银行完善内部控制机制,加强内部管理,防范经营风险。二是审查资产质量。信贷资产质量是银行的生命线,资产质量的好坏,直接关系到银行的生存和发展。当前,因为银行内部控制不严,违章操作和违规经营屡禁不止,加剧了信贷资产的大量沉淀和损失。信贷资产质量问题已成为困扰国有商业银行经营发展的主要矛盾,因此,只要抓住了资产质量这条主线展开审计,就可以发现和揭露经营中存在的隐患和风险,提出防范和化解资产风险的建议,把资产风险控制在事前,从而防患于未然。三是对会计业务审计。针对近来的几起金融大案中多有私刻印鉴、印章,制造假金融票据现象的存在,要重点对会计业务的政策、制度、程序和重要凭证、印章、账户管理、银企对账,及定期查库、查账情况进行审计,保证会计内部控制制度覆盖所有风险点,账据、账款、账实、账表等内外账相符。四是对信息系统和金融创新情况进行实时监控。由于信息系统和金融创新业务的内部控制相对较弱,相应的法规和制度建设滞后,容易成为新的风险点,因此应通过数据链接,运用预警软件进行分析,及时发现潜在的风险,迅速采取措施予以消除,促进商业银行健康平稳地运行。
3、以IIA的《内部审计实务标准》为指导,执行风险导向的内部审计程序,使机构的风险管理与内部审计程序之间协调一致,产生协同增效的作用。一是在编制审计计划时,应该在对可能影响机构的风险进行评估的基础上,制定内部审计部门的审计计划,确定审计项目。二是确定审计范围时,要考虑并反映整个公司的战略性计划目标,并每年对审计范围进行一次评估,以反映机构的最新战略和方针。三是编制审计方案时,应该在评估风险优先次序的基础上安排审计工作。风险模式可以通过对企业如下风险因素分析来作为确定审计业务工作重点:金额的重大性;资产的折现力;管理能力;内部控制的质量;变化或稳定程度;上次审计业务开展的时间;复杂性;与雇员及政府的关系等等。四是在审计实施过程中,通过评价内部控制制度,查找其中的疏漏和薄弱环节;五是在选择检测、证实风险的技术与方法时,应该能够反映出风险的重大性与发生的可能性。六是在编制审计报告时,应对风险管理状况进行评价,指出风险管理中存在的漏洞和不足之处,提出加强管理的建议。七是以风险大小作为确定追踪审计范围的重要因素,风险越大,追踪审计的范围就越广。
4、实现审计手段电子化,提高审计工作水平。商业银行电子化、网络化发展迅速,数据集中程度较高,基本形成了以计算机网络为中心的业务处理系统,因此,商业银行的内部审计电子化运用范围应随着商业银行电子化、网络化发展进一步扩大。首先,要在业务处理系统和管理信息系统中设置审计接口,并建立包括有关金融法律法规、行业发展状况,市场信息的数据资料库,使审计人员在对固有风险的评估时,能够及时获得必要的审计线索。其次,运用计算机技术,进行内部控制风险的评估,确定标准内控的模型,并经常调整、完善,以提高内部控制风险的评估效率及其准确性。第三,运用计算机软件进行分析性测试,提高分析的速度和准确性,扩展分析的范围。第四,运用计算机进行统计抽样,避免人工抽样检查的不足, 有效降低审计风险。第五,构架完整的审计信息系统,推进风险导向审计与非现场审计有机结合,提高内部审计的质量和效率。