信息化环境下商业银行开展现代风险导向审计初探

1信息化环境下商业银行开展现代风险导向审计初探中国建设银行吉林总审计室课题组【内容摘要】信息化是商业银行发展的必然趋势。商业银行信息化过程中伴随许多风险，这些风险可能来自于方方面面。现代风险导向审计以全面评估风险为基础，从重要风险点入手，对风险高的业务与事项加大审计力度；同时有利于合理配置和使用有限的审计资源，提高审计效率与效果。因此，商业银行内部审计模式的转变是必然的选择。我们应借鉴国际先进经验，探索信息化环境下适合我国商业银行内部审计的风险导向审计思路，推动商业银行内部审计工作的规范化、模型化和标准化。【关键词】信息化；风险导向；内部审计2适应审计环境的发展，风险导向审计模式已成为当今审计的新趋势。然而在信息技术日益发展的今天，随着商业银行所处环境的日益网络化和信息化，风险导向审计模式也有了新的特征。信息化环境下的风险导向模式，是以电子数据测试为中心的、以评估重大错误风险为重点的现代风险导向模式，与早期的风险导向审计模式相比，在导向性、审计对象和方式方法等方面都有很大不同。本文拟对此进行探讨。一、风险导向审计的理论基础及历史沿革（一）传统风险导向审计传统风险导向审计也称为控制风险导向审计，是指审计人员在审计过程中将风险分析、评价与控制融入传统审计方法之中，进而获取审计证据，形成审计结论。其所基于的模型为：审计风险=固有风险（IR）×控制风险（CR）×检查风险（DR），要求审计人员在充分评估固有风险和控制风险的基础上确定检查风险，通过控制检查风险昀终将审计风险控制在可接受的水平。传统审计风险模型可以解决交易类别、账户余额、披露和其他具体认定层次的错报，但是如果被审计单位员工上下串通一气进行舞弊、尤其是管理层操纵下的舞弊，很可能会因为内部控制的测试有效，进而导致执行了较少的实质性测试，而使被审计单位的重大错漏报没有被发现，3从而导致审计失败。这种审计失败的主要原因在于传统风险模型在特定复杂的环境下失灵，再按常规方法实施审计程序必然昀终导致审计失败。在美国的安然丑闻发生后，就直接导致了传统风险审计模型遭到广泛质疑而推进了风险导向模式的进一步发展。（二）现代风险导向审计现代风险导向审计也称为经营风险导向审计，是指以被审计单位的战略经营风险为导向，通过“战略分析－流程分析－经营业绩评价－财务报表剩余风险分析”的基本思路，将会计报表重大错报风险和经营风险联系起来。2003年10月，国际审计和鉴证准则委员会(IAASB)发布了三个新国际审计准则：一是《了解被审计单位及其环境并评估重大错报风险》（第315号）；二是《针对评估的重大错报风险实施的程序》（第330号）；三是《审计证据（经修改）》（第500号），要求从2004年12月15日开始执行新的审计准则。新风险准则引入“重大错报风险”的概念并重建风险模型：“审计风险=重大错报风险×检查风险”。新风险模型针对传统模型缺陷，强调审计工作以发现与评估被审计单位财务报表重大错报风险为起点和导向，引导审计人员紧紧围绕着评估的重大错报风险来设计和执行实质性审计程序、分配审计资源，以昀终实现合理保证财务报表不存在重大错报并达到审计目标。4现代风险导向审计模式是从经营风险评估入手，进而对审计风险进行评估，因此审计时应首先考虑企业经营过程中的重大风险。进而找出财务审计的风险点，针对风险点设计相关审计程序，将对风险的判断提升到了战略的高度。但需要强调的是，新的风险准则仍是以原有的审计基本理论和基本方法为基础的，没有改变财务报表的审计目标和责任定位。二、信息化环境对现代风险导向审计模式的影响（一）信息化环境促使风险导向审计出现了新特征在信息技术迅速发展的今天，信息化环境已成为商业银行面临的大环境，在此背景下，审计面临的环境也开始走向信息化。审计目标不再是单一的财务审计目标，还要对承载着电子数据的信息系统的安全性、可靠性和合法性等进行鉴证，审计工作的范围也扩展为各种可能导致审计事项发生重大错误的领域。因此，笔者认为在信息化环境下，风险要素模型可以更新为:审计风险=重大错误风险×检查风险。将“重大错误风险”代替“重大错报风险”，扩大了审计人员对风险评估的领域，也使审计工作更能从根源上全面地发现错误存在的领域，更符合信息化环境下审计风险的特点和要求。其特点主要包括：1.电子数据重大错误的审计导向性。非信息化环境下的风险导向是以财务审计风险为基础的重大错报风险，据5以确定审计测试的性质、时间和范围。而在信息化环境下，审计的目标不单纯是财务审计为主，审计对象也囊括了被审计单位内部的各种要素，包括管理、经营、制度、业务流程和交易方式等，加之信息网络技术使得其处于开放的系统之中，系统的开放性和易被攻击性及网络活动的无痕性，使得审计面临的不确定因素增多，风险加大。因此在信息化环境下，目标多元化和风险要素的复杂化及电子化使得审计工作的导向性转为评估和测度电子数据的重大错误风险为核心。2.审计的对象和范围扩大。信息化环境大大地拓展了审计工作的对象和范围。这时的审计在某种意义上说是“全面审计”。它不仅包括对审计所处的信息化环境即网络信息系统安全性和可靠性进行测试，而且还包括发生的各类业务的真实性和合法性的鉴证，也就是说，这时的审计已突破传统财务审计的范围，信息化环境下的审计至少有信息系统审计、经营审计、管理审计、业务审计等。3.审计以电子数据为测试重点。信息化环境下，各商业银行因系统软件的功能使得审计方式实现了实时、以电子数据为测试重点的特点。审计人员可利用实时审计系统对被审计单位的数据进行采集、整理和转换，并对比检验相关数据，很便捷地实现对被审计单位数据的验证，正是6由于审计软件系统的这种特点，使得审计方式从以随机抽样审计为主转向以电子数据测试为主。4.审计过程实现三个“转变”。信息化环境中，审计工作依靠信息技术将实现实时审计。因此，在这种条件下，2002年审计署“金审工程”提出审计要有三个转变：从单一的事后审计转变为事后审计与事中审计相结合，以事中审计为主；从单一的静态审计转变为静态审计与动态审计相结合，以动态审计为主；从单一的现场审计转变为现场审计与远程审计相结合，以远程审计为主。联网审计的发展是实现这一宏伟蓝图的必备技术基础。5.信息化环境对审计人员提出了新要求。信息化环境对审计人员素质要求非常高，不仅是财务方面的专家，具有丰富的财务、管理、审计的知识和实践经验，同时还要求对信息系统和网络方面的技术也有较高的掌握程度。审计人员不仅要会操作审计软件，而且要能根据被审计单位各种不同的操作系统，随时进行调整接口程序，以便将其中相关的电子数据导出、转换，形成审计需要的数据形式。（二）信息技术的广泛应用促使运用现代风险导向审计模式成为必要并且具备了可行性商业银行经营环境的复杂性、控制经营风险的迫切性都要求必须建立有效的内部控制制度和独立的内部审计体系，加强内部审计，监督制度执行和进行风险控制。而商7业银行信息技术的飞速发展和广泛应用，为现代风险导向审计的应用提供了可能，也为新的审计方法的应用创造了条件。一是银行有着良好的计算机信息技术平台，为建立审计对象的信息数据库、实施风险导向审计奠定了良好的基础。二是银行信息技术起步早发展快，其较完善的信息化系统与程序为数据采集奠定了基础，为审计人员充分了解被审计银行的资产质量、负债状况、结算业务操作及其内部控制等提供了技术支持。三是商业银行有着较为科学规范的风险管理模式和较成熟的风险管理经验，不仅对信用风险采取十二级分类方法予以识别和计量，还针对操作风险、市场风险探讨了计量标准，使现代风险导向审计在银行的运用成为可能。四是随着银行业务量的日益增大且更加的复杂，现代风险导向审计将控制风险放在首位的做法符合现实需要，以全面评估风险为基础，从重要风险点入手，对风险高的业务与内容加大审计力度，追加审计程序，扩大审计范围，从而适应了发展需求，满足了审计要求。三、信息化环境下现代风险导向审计模式的应用（一）信息化环境下现代风险导向审计的实施程序8国际审计和鉴证准则委员会（IAASB）发布的审计准则《了解被审计单位及其环境并评估重大错报风险》（Understandingtheentityanditsenvironmentandassessingtherisks0fmaterialmisstatement）明确了审计重点，因此，在运用现代风险导向审计方法对商业银行进行审计时，应结合商业银行特点，注重被审计单位的环境调查、内部控制测试及审计对象整体的行业背景分析与评价。其具体的运用程序与步骤是：1.评价外部环境。与整个环境紧密相联，巴塞尔银行监管委员会也将金融风险划分为：信用风险、投资风险、利率风险、汇率风险、市场价格风险、资金过度集中风险、国家风险、银行内部管理风险和操作风险等。因此，商业银行外部环境是个涉及面很广的宏观概念，在评价重大错误风险时，应重点关注以下外部因素：政治、环境；国内、国外经济金融形势；货币政策目标、社会信用体系的构建及金融监管的有效性等。2.评价内部经营环境。传统的风险导向审计主要是评价内部控制，但若银行管理层舞弊或操作者串通舞弊，则再好的不相容职务的分离也将失去效应。因此，信息化环境下，现代风险导向审计注重对重大错误风险的全方位评价，将审计视角扩展到内部控制以外，在评价商业银行内部经营环境时，除相应的流程控制、程序控制、风险控制9等内部控制外，还应关注经营目标与理念、组织结构、风险管理战略、管理者素质及其风险偏好、政策与过程等。3.关注业务循环中的重要风险点及风险域。影响银行重大错误风险的因素很多，除银行外部环境因素、内部管理因素外，业务循环中的操作风险等也是重大错误风险产生的直接诱因。一是从横向上看，应关注商业银行的资产、负债、中间业务、联行业务、财务等业务经营领域及业务事项，并抓住其每一环节的重要风险点。如：银行资产业务中尤其要关注不良贷款，看贷款的流动性、集中度，关注贷款呆账准备金的计提与核销等；在银行负债业务中，则应关注吸收存款及融资的渠道是否正常，有无非法融资、非法拆借等；在支付结算领域，支付结算系统是否快速、安全、稳定，操作是否合规应作为风险测评的重点；对联行业务，尤其是现代化支付系统下的联行系统风险、操作风险应作为风险评估的重中之重；对银行的财务核算风险，应将影响利润的相关科目及业务作为重要的风险点，并通过相关指标分析加以监督，关注其财务制度的透明度及其内外部监督体系是否健全有效等。二是从纵向上看，应关注金融创新业务可能带来的重大错误风险，如金融衍生工具的会计核算、表外业务处理是否规范等，同时，应加强政策、准则或制度变更阶段的10审计及手工操作或手工与电算化操作并存阶段向电算化操作转型阶段的审计等，抓住每一阶段的审计重点。三是在对重大错误风险进行宏观、中观和微观的分析评估基础上，应对重大错误风险的风险度做出判断，可借鉴杜邦“沸腾壶”模型（boilingpot）或“骆驼（camel）”评级，将错误风险划分为高风险、敏感风险、适中风险和低风险等几个层次，从0~100％确定不同的风险系数。只有准确地判断了重大风险点和重要风险域，才能合理有效地分配审计资源，实现资源配置的“帕累托昀优”。4.实施符合性测试和实质性测试。主要工作有两方面，一是检查是否存在内部控制制度，内部控制制度设计得是否合理；二是测试内部控制制度是否得以贯彻执行，其遵循性、有效性如何。实质性测试主要是对账簿、报表所反映的经济业务和事项进行审计。国际审计和鉴证准则委员会（IAASB）在新风险准则中强调，无论内部控制是否有效，都要对各类交易、重要账户余额和重要披露进行详细审计。因此，在现代风险导向审计模式下，实质性测试仍必不可少。（二）信息化环境下现代风险导向审计采取的主要审计技术方法1.在审计计划阶段，采用杜邦“沸腾壶”模型配置审计资源11国际内部审计师协会（IIA）《内部审计实务标准》“工作标准2010—计划的制定”规定，首席审计执行官应该制定以风险为基础的计划，以确定与组织目标保持一致的内部审计活动重点。可见，审计资源的合理配置是关键，也是风险导向审计的出发点与归宿。为了能够在评估风险和风险暴