试论商业银行的审计风险与控制,本文主要内容关键词为:商业银行论文,试论论文,风险论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
审计风险是由于审计而产生的风险,在审计实践中,已经愈来愈得到独立审计人的高度重视,学术界对审计风险的理论研究也不断深化。近20年来,许多国家都在研究如何控制审计风险,国际审计和保证准则委员会(IAASB)围绕如何提高独立审计人评估风险、发现舞弊的能力方面开展研究,在2004年对旧审计风险准则作出了一系列重大修订。中国注册会计师协会2006年2月15日发布、2007年开始执行的新审计准则《中国注册会计师审计准则第1211号一了解被审计单位及其环境并评估重大错报风险》(以下简称1211号准则),在这一具体准则中,很详尽地提出了有关评估审计风险的一系列规定。国际会计师联合会主席沃德沃德认为,中国审计准则与国际审计准则趋同。国内外学术界对审计风险不断努力地研究,以期使研究成果更好的指导审计工作实践。本文拟以商业银行的审计风险为例,分析审计风险要素及其内在关系,以及如何控制商业银行的审计风险。
一、商业银行审计风险要素的分析
新的国际审计准则较之旧准则相比有一系列重大实质性修订,在新审计准则中,审计风险被定义为“当财务报表存在重大错报而审计人员发表不适当审计意见的可能性。”新的审计风险模型:审计风险=重大错报风险×检查风险;旧的审计风险模型:审计风险=固有风险×控制风险×检查风险。这一改变,明确了重大错报风险是由于被审计单位在会计处理过程以及编制财务报表过程(包括其会计控制系统),不能发现和改正的重大错误的风险;而检查风险是由于审计人员在执行审计过程中没有发现错误的风险。新的审计风险模型,可以清楚地看出,审计风险的产生可归纳为两个方面:一方面是应由审计人控制的检查风险,而另一方面则是被审计人的重大错报风险,后者审计人是无能为力的,只能对其风险水平进行评估,以便确定可接受的检查风险水平,决定是否可以接受委托。
商业银行原本就是一个高负债、高风险的特殊行业,他本身的业务经营活动就存在着许多固有的风险。表现在分支机构多、营业网点多、实行分权制,造成会计处理系统与控制系统难以保持一致;银行业务很繁杂,日均业务量大、金额也大且存在大量的货币资金收付、票据转让、贴现、兑现等;同时还经常发生不涉及资金转移的承诺事项,是不做正常的会计记录的,称为表外业务(即资产负债表以外的业务);特别是在普遍利用计算机系统,进行电子银行资金转账的当今时代,如果银行的内部控制系统不健全、不奏效,那么就会使审计人的工作难度加大,这一切决定了商业银行的审计风险高于一般企业的审计风险。1211号准则第三章第三节被审计单位的性质第28条文规定:“注册会计师应当了解被审计单位的经营活动,主要包括:主营业务的性质……。”据此分析商业银行主营业务存在的主要风险如下:(1)信用风险。这是由于银行的借贷业务引起的最重要的风险,其中最常见的就是不良贷款风险,指贷款到期后债务人不能足额偿还本息而给银行造成损失的可能性。信用风险还包括交易方风险,指交易对方违约而给银行造成损失的可能性。再有由于银行承兑商业汇票以及票据贴现等引发的结算风险。除此还有发行风险、清算风险等。(2)流动性风险。指银行不能支付债务、不能满足存款人提现需求、贷款人融资需求,致使银行蒙受信誉损失或经济损失的可能性。(3)利率风险。由于市场利率的不断波动,给商业银行的借贷利率造成不完全同时或不同幅度的变动而发生损失的风险;同样商业银行的投资活动或衍生金融交易等保值活动,也会因市场利率波动造成财务损失的风险。(4)市场风险。由于各种金融工具、产品或与银行债权、债务有关的商品市场价格波动而给银行带来损失的可能性。如汇率风险就是市场风险的一部分,汇率原本就是市场汇率,银行为调剂头寸而买进卖出各种货币的同时,不可能不遭遇汇率市场波动的影响;国际贸易结算同样有可能受汇率波动影响,这就是汇兑损益的风险。(5)国家环境风险与转移风险。这是指从事国际业务的商业银行在借款国的政治、经济、社会环境等发生变化时,导致外国借款人或交易对方不能偿还债务的可能性。当借款国是一个外汇管制国家时,受他国政府外汇管制影响而不能如期偿付外汇债务时又造成转移风险。(6)操作风险。这是由于商业银行内部控制制度和内部治理结构失效,计算机信息系统出现故障以及各种人为因素而导致商业银行发生损失的可能性。(7)法律风险。是指现行法律不健全、不完善或接受了不正确、不适当的法律建议、有缺陷的法律文书而导致商业银行损失的可能性。(8)声誉风险。这是指由于商业银行的管理不善、受利益驱动做违法违规的交易等导致存款人、投资者、监管机构对其丧失信心,自我损坏了公众形象而导致损失的可能性。1997年始于泰国、迅速扩散到整个东南亚并波及世界的金融风暴,无非是这些固有的业务风险,在一定的条件下由潜在变为现实。
二、商业银行的内部控制风险
在影响重大错报风险的因素中,很重要的一点是被审单位的内部控制制度(以下简称内控制度)的设立和执行情况。1211号准则第四章第一节第45条文规定:“注册会计师应当了解与审计相关的内部控制以识别潜在错报风险的类型,考虑导致重大错报风险的因素,以及设计和实施进一步审计程序的性质、时间和范围。”很明确,注册会计师首先应该了解被审计商业银行相关的内控制度设立与执行情况、识别内控缺陷、确定潜在重大错报风险所在。1211号准则第47条文规定:“内部控制包括下列要素:(一)控制环境;(二)风险评估过程;(三)信息系统与沟通;(四)控制活动;(五)对控制的监督。”现代商业银行是一个开放系统,备受社会各界关注,特别是相关部门——政府部门、中央银行、银监会等的监督;还要受到来自外界各方面因素——国内外政治、经济、法律、社会公众,以至于自然条件等影响和干扰。这些内外因素都直接、间接地影响着商业银行内控制度的设立和执行。其中如政府部门,我们国家当前执行的是金融分业经营制,所有与借贷等传统银行业务无关的业务银行都不能经办,诸如投资、保险、证券、房地产等等,这样可以使商业银行内控的外延比混业经营要小得多。笔者认为混业经营是一种必然的发展趋势,但此问题无须在本文中探讨。注册会计师还应了解商业银行对风险的识别和评估,这是风险管理决策的基础,在此基础上设立内控体系、制度、执行程序和措施。开放的系统还应该体现在商业银行必须及时获取内外部的各种信息,诸如经营管理状况、法律法规执行情况、财务报表资料在银行内部上下级、外部相关客户、政府部门及央行之间互相交流,通过信息交流与反馈,获取主要客户在本系统和其他银行的贷款与授信情况,以便确定本行的授信额度和测定信用风险。为了保证商业银行内控的有效性、充分性和可行性,就必须对内控制度的执行情况进行有力的监督并持续评价。主要包括:决策系统、执行系统、监督系统、支持保障系统是否健全、是否发挥作用;决策人和管理层对内控是否高度重视;是否具有明确的岗位责任制;授权、分工、制约机制是否健全;指标管理体系是否健全;奖惩机制是否完善;员工对内控制度是否充分理解和认真执行;内部审计人的独立性和权威性如何。1211号准则第48条文规定:“本准则对内部控制要素的分类提供了了解内部控制的框架,但无论对内部控制要素如何进行分类,注册会计师都应当重点考虑被审计单位某项控制,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。”商业银行的内控系统要素如何分类,应该取决于银行本身经营活动的特点和业务繁复情况,以此设计自己的内控制度。正如准则所说,无论对内控要素如何分类,注册会计师都应重点考虑被审单位的内控是否能够以及如何防止或发现并纠正……存在的重大错报。中华人民共和国审计署金融审计司分析指出,商业银行经营活动本身具有的主要风险是信用风险、市场风险、利率风险……,商业银行要根据这些风险,将内控的各构成要素有机结合,形成完整的内控机制。商业银行内控主要应包括以下要素:内控环境、风险识别与评估、内控措施、信息交流与反馈、监督评价与纠正。1211号准则第50条文规定:“与审计相关的控制,包括被审计单位为实现财务报告可靠性目标设计和实施的控制。注册会计师应当运用职业判断,考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。在运用职业判断时,注册会计师应考虑下列因素:(一)注册会计师确定的重要性水平;(二)被审计单位的性质;(三)被审计单位的规模;(四)被审计单位经营的多样性和复杂性;(五)法律法规和监管要求;(六)作为内部控制组成部分的系统的性质和复杂性。”商业银行是有着巨大营业风险的特殊行业,除了借贷等传统业务外,一些中间业务、表外业务确实是多样又复杂,更有许多金融创新产品、金融衍生工具的不断涌现,存在着巨大的潜在风险,这应该是注册会计师所确定的重要性水平。中国目前的法律法规和监管制度是不健全、不完善的,这一点必须承认,所以对于商业银行不断创新的金融衍生产品的内控系统是更应该值得关注的,具体说是在内控系统的设计和执行上是否存在利用法律法规与监管方面的空白而造成的潜在重大错报风险。
三、商业银行审计风险的控制
注册会计师在了解了被审计单位的重大错报风险以后,所能控制的只有检查风险。在审计风险确定的前提下,检查风险与重大错报风险的评估水平之间存在着反比关系。重大错报风险的评估水平越高,注册会计师可接受的检查风险水平越低,注册会计师就必须扩大审计范围,执行更多的审计程序,收集更多的审计证据,才能将检查风险尽量降低,以使整个审计风险降至期望的水平。反之,可接受的检查风险越高,所要求实施的审计程序也就越简单,审计成本也低,但难以将整个审计风险降低到期望水平。检查风险的高低取决于审计事项的重要程度、审计报告使用者的要求、被审计对象所处的法律环境及审计人对审计成本的考虑等多种因素。注册会计师既要考虑节约审计成本,又要保证审计质量,那么就要在审计过程中严格执行设计的审计程序,将检查风险降低到可接受的水平。为规范审计部门在商业银行审计中执行统一的标准和尺度,国家审计署金融审计司规定,在一般情况下,商业银行审计可接受的最大审计风险为5%,即应以95%的把握保证被审计的商业银行会计报告的真实性。
重大错报风险是指财务报表在审计以前存在重大错报的可能性,这是不为审计人所能控制的。新国际审计准则明确要求审计人应以评估重大错报风险为起点和导向,注册会计师应该紧紧围绕评估的重大错报风险设计和执行审计程序,最终保证财务报表整体不存在重大错报。由于商业银行具有交易数额巨大、过账方式特殊、机构众多、网点分散以及广泛使用计算机等特点,如果审计人不依赖内部控制而完全通过实质性测试,是无法完成审计工作,也达不到审计目的的。因此,通常通过对内控制度的了解和测试,评估错报风险,确定内控制度的可依赖程度,据以确定实质性测试的范围。重大错报风险的评估需要大量运用审计人的职业判断能力。首先应对被审计银行的控制环境开展调查,以对控制环境和其他有关内控制度进行适当测试,以测试结果作为评估依据。如果被审计银行相关的内控不存在或者内控测试的工作量大于实质性测试的工作量时,审计人就无须对商业银行的内控进行测试,而是直接转入实质性测试。实质性测试是针对各类交易业务、账户余额、列报和披露而言的,测试的目的是确定会计报表项目的合法性、恰当性和一致性,实质性测试目标与审计目标是完全一致的。注册会计师对重大错报风险评估是一种职业判断,并且内控制度也存在着固有的限制,所以无论评估的重大错报风险结果如何,都必须对重大的各类交易、账户余额、列报和披露进行实质性测试,这是绝对不可缺少的环节。
检查风险是审计风险要素中能够通过审计人员的工作加以控制的风险,审计人员不能改变重大错报风险水平,但可以通过对被审计银行的了解,评估其重大错报风险水平的高低,在一定的可接受审计风险水平下,推算出可接受的检查风险水平,并据以确定实质性测试的程序和范围。这样审计人就可通过控制检查风险将审计风险降低到可接受的水平。检查风险可用下列公式表示:
检查风险=可接受审计风险/重大错报风险
所谓实质性测试是指审计人为了实现具体审计目标,对商业银行各项业务及其影响的财务会计报告项目余额进行详细检查和分析性复核。提高商业银行重大错报风险的保证程度只能降低实质性测试的保证程度,而不能代替实质性测试,实质性测试是任何审计项目都必不可少的环节,审计人员应根据对商业银行内控制度的了解和测试情况,对重大错报风险进行评估,才能合理地确定实质性测试的程序与范围。对不同性质的账户和交易,根据其特点和复式记账原理,可以确定实质性测试的重点,如对资产类、费用支出类账户等,应主要检查记录的真实性、所有权、高估金额、截止日期等方面的差误;而对负债类、所有者权益业务和损益类账户,应主要检查记录的完整性、低估金额和截止日期等方面的差误。通过实质性测试,达到控制商业银行重大错报风险水平,确定可以接受的检查风险。商业银行实质性测试的方法一般采用分析性复核、业务测试和余额测试,审计人可以根据事先确定的各报表项目和业务活动的检查风险水平,选择相应的实质性测试程序。实质性测试的范围取决于审计人事先确定的检查保证程度和重要性水平高低,具体方法是统计抽样法。
由于商业银行自身高负债、高风险经营活动的复杂性、审计技术的固有限制、审计人的能力与综合素质等原因,商业银行的审计风险是客观存在的,审计人只能努力控制审计风险,而不能完全消除审计风险。注册会计师需要设计合理的审计程序、应用必要的审计技术,把审计风险控制在可以接受的范围内。
标签:审计风险论文; 注册会计师论文; 商业银行论文; 重大错报风险论文; 银行风险论文; 实质性测试论文; 审计准则论文; 审计质量论文; 内控体系论文; 内控管理论文; 审计目标论文; 会计与审计论文; 审计方法论文; 银行系统论文; 风险内控论文; 控制测试论文; 审计职业论文; 银行论文; 内部控制论文;