我国商业银行内部审计风险控制
2010-08-15时东来
□文/时东来
随着我国商业银行内部审计改革的深入,人们对内部审计的期望越来越高,审计的责任也越来越大。但由于外部环境的复杂性和不确定性以及银行产品创新和业务流程的快速变化等增加了审计的难度,也相应加大了审计风险。为此,我们应更加重视审计风险,增强审计风险意识,积极有效地预防和控制审计风险,使内部审计在促进企业战略目标和经营目标的实现中起到应有的作用。本文试图从分析当前审计实践中面临的影响审计风险的内外部因素着手,探讨当前形势下我们为什么要更加重视审计风险及如何能控制与防范审计风险。
一、审计风险的概念及特性
审计风险目前在理论界还没有统一的概念,但其内涵概括起来可以描述为:审计结论或其形成过程存有的误差而给审计主体带来损失的可能性。审计风险是由三种风险要素即固有风险、控制风险和检查风险组成的,我国理论界公认的审计风险决策模型为:审计风险=固有风险×控制风险×检查风险。固有风险与被审计对象的自身条件有关,受被审计对象外部环境的间接影响,与内部控制的有无没有关系,它独立的存在于审计过程之外;控制风险与被审计对象的内部控制水平有关,它是审计过程中一种独立的风险,其大小取决于内部控制的设计情况及内部控制系统的运行情况。检查风险与审计人员工作的有效性有直接关系,它是审计风险要素中唯一能够通过审计人员的工作加以控制的风险。这三种风险不是单独地发生作用,而是相互制约、相互影响的。对于固有风险和控制风险,审计人员虽然不能加以控制,但却能根据其所掌握的情况进行评估,如评估不准确会加大检查风险,反之则可减少检查风险。
二、审计风险的影响和危害
审计风险的产生与存在最有可能导致审计失败,也就是作出错误的审计判断和评价,其影响和危害是很大的。具体体现在以下几方面:对管理层来说,无法实现对业务和管理信息的真实掌握,导致监管与决策的失误;对被审计对象而言,无法发现业务中的风险隐患,导致不能及时规避风险而发生损失;对审计机构而言,不但影响到审计质量水平,也损害到其审计形象;对审计人员来说,不仅损害到个人形象,而面临被处罚、甚至失去职业的风险。
三、目前审计实践中面临的使审计风险加大的因素
(一)外部环境的复杂性加大了固有风险。当前席卷全球的金融危机还在不断蔓延的情况下,企业处于经营困难,经济利润大幅下降,流动资金十分紧张的局面;个人面临资产缩水,收入剧减,生存压力加大的现状。其结果必然导致企业和个人的信用出现问题,如违约现象不断增加,甚至不惜采取欺骗手段盗取银行信用等,使银行面临的信用环境进一步恶化,这就无形中加大了审计风险要素中的固有风险。例如,在票据贴现大肆扩张的今天,在利益的驱动下难免会出现一些问题。如一些企业按规定并不符合申办银行承兑汇票的条件,但为了达到利用票据办理融资的目的,不惜以欺骗手段提供假财会报表、假商业合同、假税收报告、假市场调查,以此提高信用等级,套取办理票据的信用。企业的欺骗行为往往会使其到期不能按时还贷,造成贷款大量逾期使用,到头来银行不得不大量背书垫款。
(二)内部环境的变化加大了控制风险
一是金融产品创新能力不断增强,新产品、新业务不断涌现,一方面增加了银行的盈利能力,另一方面由于认识上或控制程序上的设计缺陷也会给银行带来巨大风险隐患,而这种认识上或控制程序上的设计缺陷在新产品和新业务的运行初期是不可避免的。因为人们对内部控制的认识是一个渐进的过程,在设计中因认识上的不足而在某些环节出现设计缺陷也在所难免,需要在业务运行中加以完善,这就在客观上加大了控制风险。
二是随着计算机的广泛应用和网络技术的发展,银行绝大多数业务由相应的计算机系统处理完成。计算机和网络技术的广泛运用从内部控制角度说,一方面许多业务环节由人控变为机控使控制得到强化;另一方面由于计算机系统的操作流程及控制是由设计人员完成的,而设计过程中不可能囊括所有现实中的问题,需要在运行中加以完善,所以系统控制缺陷在系统运行初期的存在也是不可避免的,且这种缺陷还具有潜藏深和危害广的特点,进而使控制风险加大。
三是面对不断蔓延的金融危机,银行经营环境变得越来越复杂,各级行在经营中面临越来越大的困难,尤其是基层行面对经营指标的压力,容易出现重业绩指标、轻内控管理的现象,这就有可能导致急功近利、违规经营行为,进而使内部控制失效。还以票据贴现为例,基层行为了完成信贷增长指标,可能出现:(1)对无力支付到期票据款项的企业,继续签发银行承兑汇票,由企业用贴现资金归还到期承兑汇票款项;(2)为逃避上级行授权控制,采取拆分手法,将一笔拆分成几笔签发;(3)擅自放宽保证金收取比例或放松抵押担保条件,为一些资信度不符规定的企业签发汇票;(4)只注重汇票本身的真实性,却放松对企业提交的增值税发票、商品交易合同的审查,导致为无真实贸易背景的银行承兑汇票办理贴现等现象。
四、审计风险的防范措施
(一)准确评估固有风险和控制风险。在审计项目中要对被审计对象存在的固有风险和控制风险进行准确评估,合理确定审计重点和审计抽样量,以将检查风险降低到可接受水平。要达到这一点,我们必须做到:1、了解被审计对象所处的外部环境,判断其对被审计对象固有风险的影响;2、了解被审计对象的业务发展情况,对业务发展指标压力大以及超常规发展的业务进行重点关注;3、了解被审计对象的内部控制情况,尤其要关注新产品、新业务的控制程序,掌握其薄弱环节;4、熟练掌握审计抽样技术,科学确定样本规模;5、与被审计对象建立融洽协调的工作关系,取得其支持,以便了解到实际情况。
(二)深入计算机审计。深入计算机审计,即深入计算机内部对系统运行数据输入、输出的全过程进行审计。内容包括对其系统设计和内部控制进行检查,即系统目的与功能需求是否达到、系统分析与设计是否先进科学和实用、程序设计是否正确可靠、内部控制是否健全、管理制度是否严密有效、文档资料是否齐全完整等。这种方法不仅能提高审计效率,而且能发现计算机数据处理系统设计中的缺陷,消除隐患,使系统功能得以完善,从根本上保障系统的安全运行。
(三)严格执行审计准则。审计准则是审计人员进行审计工作时必须遵循的行为规范,是审计人员执行审计业务,获取审计证据,形成审计结论,出具审计报告的专业标准。
严格按照审计准则的规定执行审计业务,是减少或避免审计风险的重要措施。如,遵守职业道德,保持职业谨慎,严密执行审计程序,采取适当的审计方法,保证审计发现充分,使审计结论建立在客观公正、实事求是的基础上,这样多数审计风险是可以有效避免的。
(四)提高内部审计人员自身素质。审计人员是审计工作的具体执行者,其业务素质的高低,直接关系到审计项目质量的好坏和审计风险的大小。因此,提高审计人员的素质,对控制和防范审计风险,提高审计质量起着根本性的作用。首先,应提高审计人员的职业关注意识。如,对银行经营中面对的内外部形势及变化做经常性的关注和研究,尤其要关注和研究内外部监管政策和经营环境的变化,内部控制环境和措施的改进,新业务、新产品的运行情况等。其次,应提高审计人员的职业判断能力。如,在具体的审计过程中,针对不同的审计案例,分析了解被审计对象的不同表现形态,运用辩证的逻辑思维方式,去感知审计事项中可能出现的实质性问题。同时,应掌握灵活的工作方法,对所收集到的审计资料、信息等,通过系统化整理、综合分析,获取全面有效的证据,以透过现象看本质。第三,迅速提高审计人员的计算机专业知识和技能,使其尽快适应深入计算机审计的需要,以提高审计效率和降低审计风险。