12010年内协理论研讨课题申报材料(中内协)金融机构风险导向审计实证探讨宁波鄞州农村合作银行梁雪琴刘红生董文娟周亚芬内容摘要:目前,面对经济活动日趋复杂、国内外舞弊案件频繁发生的现实情况,人们对审计工作的期望值逐步提高。风险导向审计作为一种新的审计模式得到了广泛的关注,本文以商业银行外汇业务审计为例对其进行实证探讨,以期增强风险导向审计的可操作性和针对性。关键词:风险导向审计、金融机构、外汇业务一、研究背景20世纪80年代以后,世界经济急剧变化,金融机构之间的市场竞争日益激烈,而普遍存在的违纪、违规现象以及屡有发生的大案引起了金融机构对全面风险管理的重视。同时,金融风险的不断增加使审计职业也面临着前所未有的巨大压力,人们不得不重新审视为实现审计目标而采用的审计模式,审计环境的变化是风险导向审计产生的根本原因。2目前,金融机构内部审计主要侧重对制度执行的检查测试,审计人员在审计分析技术的运用上,一般采用详细审计或依赖审计人员个人经验判断的抽样审计方法,很少对被审计对象存在的固有风险、控制风险进行测试和评价,对风险的分析还停留在定性分析水平上,也没有形成对风险状况评估的数据积累,无论是全面审计、专项审计还是经济责任审计,对风险的防范表现出明显的滞后性,蕴涵着较大的审计风险。因此,研究和探讨风险导向审计,对于促进金融机构内部审计以及审计学科本身的发展,更好的为金融机构服务具有重要意义。二、风险导向审计的内涵特点及其思路分析(一)风险导向审计的内涵、特点风险导向审计是以全面风险管理为导向,通过综合评价经营风险以确定实质性测试范围、时间和程序的审计方法。风险导向审计要求审计人员不仅要对金融机构控制风险的情况进行评价,而且要对产生风险的各个环节进行评价,以此确定实质性测试的重点,确定如何收集、收集多少以及收集何种性质的证据。风险导向审计在审计的计划阶段、实施阶段和报告阶段运用了大量的分析方法,使审计风险理论和整个审计过程联系更加密切,使审计人员更加重视可能产生审计风险的重要环节,使审计过程成为一个不断克服和降低审计风险的过程。3风险导向审计以影响金融机构经营目标实现的各类风险为依据,以内部控制标准为工具,全面、系统地检查和评价被审计单位的风险状况,具有以下特点:一是涵盖面广泛,弥补了原有审计模式不能全面、系统评价内部控制,揭示风险的缺陷;二是优化审计资源,克服了原有审计模式下审计资源在低风险和高风险审计领域的不当分配;三是降低审计成本,根据审计对象的风险排序,合理确定审计重点和审计计划,将有限的审计力量投入到最需要关注的领域,最终实现审计效率和审计效果的双赢。(二)风险导向审计思路分析风险导向审计是一种基于战略系统观的审计新理念,其采用系统论方法,从战略风险入手,根据组织经营模式自上而下进行分析,基本流程为:分析外部战略风险→分析内部经营风险→评估整体风险→评估剩余风险对审计的影响→实施审计步骤。风险导向审计将大量的审计基础工作放在调查审计对象的业务环境、测试审计对象的内部控制以及整体分析评价审计对象上,这种将环境变量引入审计风险模型的方式是风险导向审计独有的战略审计观。三、风险导向审计模型(一)模型概述风险导向审计以风险为中心,从风险源分析入手,进行分析与逻辑推理,通过建立审计模型将风险量化,进而4确定相关的审计目标和审计方法,将审计风险降低到可以接受的水平。根据风险导向审计的定义,固有风险、控制风险二者相互作用和综合的效应构成了剩余风险,其数学模型如下:RR=IR×CR,其中RR为剩余风险,IR为固有风险,CR为控制风险。按照风险导向审计模型的设计思路,剩余风险是该设计的核心部分,固有风险和控制风险都是审计人员所不能改变的,而预期的审计风险水平是确保审计质量所必须予以保证的。因此,实质性审查的关键在于通过量化固有风险、测试控制风险、计算剩余风险,从而达到判定剩余风险控制状况的目标,以确保审计风险固定在预期水平上。(二)模型变量分析1、固有风险。固有风险是假设在没有内部控制的情况下,被审计单位的业务发生差错的可能性。评估固有风险可从以下三个方面进行:一是通过对被审计对象各项业务流程的梳理及其特点的分析,同时收集往年的内部审计结果,从而确定容易发生风险与漏洞的业务环节;二是根据被审计对象相关业务管理制度的变迁,确定内部控制测试方向;三是对影响风险水平的内外因素进行评估,包括管理人员的诚信、管理能力等因素,同时充分考虑对被审计对象风险评估产生影响的相关因素。52、控制风险。控制风险是指被审计对象的业务发生差错而不能被内部控制防止或纠正的可能性。评估控制风险可从以下三方面进行:一是评估内部控制建设的完整性,主要考察被审计对象是否结合自身实际建立健全了内部控制制度,以及在制度建设上是否存在缺陷;二是评估内部控制的合理性,主要考察被审计对象内部控制制度是否具有可操作性和适用性,重要业务的控制环节是否权责明晰、恰当合理;三是开展符合性测试,评估内部控制的有效性。通过执行符合性测试,评估被审计对象内部控制的信赖程度.确定实施审计的范围、重点、抽样比例和审计时间等。3、剩余风险。剩余风险指当固有风险采取一定内部控制后所剩余的风险,是对实际风险程度的度量,也是风险导向审计模式所需重点关注的内容。由于风险的客观存在性,有些风险在采取了一定的控制措施后可以得到有效的防范而避免发生,其剩余风险可以忽略不计;有些风险因控制措施不到位,存在较大的风险隐患,其剩余风险值很高,需提醒管理层加以关注、引起重视、并实施有效的防范。(三)实证分析近年来,商业银行的外汇业务发展迅速,然而,在外汇业务给商业银行带来丰厚利润的同时,不可避免的存在着巨大的风险。外汇业务涉及的外汇敞口头寸比较大,因此6面临较大的汇率风险;由于历史原因遗留下来的政策性外汇业务较多,信用风险控制不足;外汇业务涉及跨国交易,且以外币计价,使得其风险更加复杂;另外,外汇业务存在外汇信贷资产质量不高、外币账户过于分散等问题,使其成为商业银行差错事故多发、风险隐患较多的业务。因此,本文以外汇业务审计为例,运用风险导向审计模型,按照风险分析、风险识别、风险评估和风险判定的流程,通过量化固有风险、测试控制风险,计算剩余风险的控制状况,探索商业银行运用风险导向审计的可行性途径。1、外汇业务风险管理环境分析。当前,商业银行外汇业务风险管理面临的内外部风险因素为(见表一):表一内部主要风险因素外部主要风险因素外汇业务内部控制制度建立健全情况国家法律、法规及政策的变化外汇业务管理责任制的建立情况外汇制度的改革情况内部控制制度、岗位责任制和操作规程的落实情况外汇管理局及财政、税务等部门的配合情况岗位设置的合理性外汇交易市场的安全性、稳定性结售汇等重要业务系统的安全性、稳定性管理人员和操作人员的道德品质、业务素质2、识别、量化外汇业务固有风险。外汇业务的固有风险是审计人员所不能控制的,但是可以根据收集该项业务7产生风险损失事件的历史数据、内部审计报告、银行同业印发的文件资料以及审计人员的经验判断等,识别、判断风险事件发生的可能性。根据发生概率和损失程度的不同,可将风险设定为高风险、中风险和低风险三个等级。同时为了便于比较,更好的量化外汇业务的固有风险,假定一个级别的风险系数值为10分,则高风险、中风险和低风险对应的量化风险值分别为30分、20分、10分。3、评估、量化外汇业务控制风险。内部审计人员应遵循重要性原则和效率优先原则,充分考虑商业银行外汇业务的特点,抓住重点部位、重点岗位、重点环节,对高风险实施全面检查、详细检查;对中风险进行科学抽样、有针对性检查;对低风险实施合理抽样。通过符合性和控制性测试,对外汇业务控制风险的完整性、全面性和遵循性进行评估和量化,即风险值=6N(见表二)。表二符合性控制性完全不合理部分不合理大致合理完全合理不执行6543部分执行5432执行不到位4321完全执行3210当风险完全没有被控制时(即控制性:不执行,符合8性:完全不合理),控制风险值为166=;当风险完全得到控制时(即控制性:完全执行,符合性:完全合理),控制风险值为060=。4、计算外汇业务的剩余风险。由于不同风险级别的剩余风险有着不同的风险权重,可以计算出商业银行外汇业务剩余风险的平均值(见表三)。表三风险级别高风险中风险低风险风险权重70%20%10%计算公式为:RR=∑单个风险点的剩余风险×权重,其中单个风险点的剩余风险值RR=IR×CR。5、判定外汇业务剩余风险的控制状况。利用层次分析法对剩余风险平均值进行划分,判断其剩余风险的控制状况(见表四)。表四剩余风险平均值风险控制状况描述0~5业务运行、管理活动等风险控制较好,无重大风险发生。6~15业务运行、管理活动等风险控制一般,风险隐患较大。16以上业务运行、管理活动等风险控制混乱,有潜在重大风险。6、外汇业务风险导向审计具体案例。根据以上模型设计思路,对某商业银行开展的外汇业务专项审计进行实证分析。9(1)计算剩余风险平均值。该项审计业务共有8个固有风险点,其中高风险6个,中风险2个(见表五)。经检查测试,其剩余风险为零的(即可以完全控制到位)有2个,其余均存在控制不到位现象。根据公式:RR=∑单个风险点的剩余风险×权重,可计算出该项业务平均剩余风险值=高风险剩余风险平均值+中风险剩余风险平均值+低风险剩余风险平均值=5.95+0.07+0=6.02。表五序号主要风险点固有风险风险级别风险值控制风险控制状况风险值剩余风险值1岗位设置中风险20制度有规定,分工严格遵守002人员从业资格中风险20有二人无从业资格证书1/620/63岗位交接手续高风险30有内部控制制度,记录不完整3/690/64印章、密押保管高风险30内部控制制度欠缺,执行不到位5/6150/65计算机口令设置高风险30有相关规定,口令更改不及时3/690/66业务审批高风险30制度制定不完整,执行不到位4/6120/67执行对帐制度高风险30对帐有规定,对帐单不规范2/660/68操作系统维护高风险30有相关规定,维护合规00(2)风险控制状况判定。根据得出的剩余风险平均值可判定该项业务的风险控制状况为一般,即存在内部控制制度执行不严密、业务操作不谨慎、业务管理不全面和控制措施不到位等问题,尽管尚未造成重大损失,但潜在的10风险隐患较大。(3)风险应对策略。需进一步关注外汇业务审批手续,加强印章、密押管理,防止资金风险的产生;需进一步加强上岗培训,防止操作风险的产生;需进一步完善计算机安全管理措施,防止信息系统风险的产生。四、实施风险导向审计的建议(一)强化风险教育与管理,为风险导向审计的推行创造良好的环境。一是实施风险导向教育,加强对领导、员工的风险教育,树立风险意识,尤其是内部审计部门,要把风险控制理念贯穿到整个审计过程;二是建立风险责任机制,通过划分合理风险范围,明确风险管理责任,建立风险考评制度等形式,为内审部门开展风险导向审计打好基础;三是充分利用审计意见,制订可行性方案,有效防范风险。(二)修订完善现行审计考核制度,为风险导向审计的实施提供制度保证。鉴于现行有关审计考核制度设计上的缺陷,建议金融机构对现行的审计考核管理制度进行系统梳理.对不适应风险导向审计的有关制度进行修订和补充,从制度上加强对风险导向审计的引导和支持。(三)加快审计软件的开发,建立内审数据库,为风险导向审计的开展提供技术支持。一是组织力量加快对风险导向内部审计软件的开发,为风险导向审计的开展搭建11好技术平台;二是把审计业务系统与金融机构其他业务系统进行有效对接,为审计数据库的建设创造条件;三是构建非现场审计体系。审计系统软件开发出来之后,内审部门应充分发挥系统优势,充分利用信息资源,改变以现场审计为主的审计方式,实现向以非现场审计为主的历史跨越。(四)制定内审从业人员资格标准,优化内审人力资源,确保风险导向审计的顺利开展。首先要提高内审从业人员的进入门槛,统一制定内审从业人员标准,实行资格考核,颁发内审从业人员资格证书,只有取得资格证书的人员方能上岗,经多次考核不能取得资格的调离内审部门;其次是加强对目前内