商业银行审计理论

一、风险基础审计理论

国外的审计理论已从传统的账项基础审计、制度基础审计全面转向风险基础审计。风险基础审计理论的核心是从分析审计风险入手，建立科学的“审计风险分析模型”和“审计保证模型”，审计风险由固有风险、控制风险和检查风险组成，通过定性和定量分析，找出影响审计风险的因素进行重点控制和检查，以保证审计质量。并通过对被审计单位经营情况的调查和内部控制的测评，量化确定固有保证程度系数、控制保证程度系数，根据审计保证程度模型确定可接受的检查风险水平，然后针对这些风险因素状况和程度采取相应的审计对策，确定和实施规范的审计程序。与风险基础审计理论相关的一个重要概念是重要性水平。

重要性水平是指被审计商业银行财务会计报告中存在错报或漏报的程度，这一程度在特定环境下可能会影响审计目标和财务会计报告使用者的判断或决策。论文百事通因而对重要性水平的判断直接影响到审计的深度和广度，如果重要性水平定得过高，则审计中执行的审计程序和获取的审计证据可以随之减少，但却可能产生较大的审计风险；如果重要性水平定得过低，审计人员要执行详细审计程序和获取过多的审计证据，从而影响审计效率。在随后的分析性复核和实质性测试中确定抽样规模时，都会用到重要性水平，如根据重要性水平确定货币精确度(MP)，根据货币精确度来确定可接受偏差和抽样间距等。目前，国外商业银行审计重要性水平一般以税后利润的5—10%确定，当税后利润很小或为负数时，则以净利息收入的一定比例来确定。

二、审计程序

将商业银行整个审计过程分为审计计划、审计实施和审计报告三个阶段：

1．审计计划阶段。审计计划阶段的工作非常详细，主要包括根据业务特点评价审计项目风险，选调人员组成审计组。调查的内容包括：被审计银行的经营业务、所占有的市场份额、面临的风险及所采用的风险管理措施、法人治理结构和人力资源政策；内部控制环境，主要是银行各级管理层的内控活动及内部审计的作用；会计核算和会计处理程序。获取财务信息和业务经营数据后，执行初步分析性复核，通过初步分析性复核，找出异常变动的区域，作为审计的重点。初步确定重要性水平。根据业务循环确定关键的内控活动以及与通用计算机控制有关的内控活动，制定内部控制轮流测试计划和实质性测试计划。

2．审计实施阶段。主要包括测试内部控制制度并作出评价。由于银行电子化程度非常高，在对计算机控制系统的测试中，通常由熟悉财务和精通计算机的专家对被审计商业银行的计算机控制环境、控制活动及处理程序进行检查，并对计算机内部控制作出评价。执行实质性的分析性复核，执行重大项目详细检查和细节测试，对财务报表进行检查。

3．审计报告阶段。主要包括期后事项检查、获取管理人员陈述函、汇总审计结果和编制审计报告。

三、采用的审计策略与方法

1．优先采用依赖内部控制的审计策略。银行一般都具有相对较强的内部控制环境，包括健全的信息系统管理、内部控制制度和综合风险管理、内部审计等。国外商业银行审计以风险基础审计理论为依托，优先采用依赖内部控制的审计策略，根据银行业务经营特点，以业务循环来规范银行审计的程序，将银行主要业务活动划分为七大循环：即存款业务循环、贷款业务循环、支付与清算业务循环、资金业务循环、费用业务循环、固定资产业务循环、工薪业务循环。其中前四个是银行业特有的业务循环，后三个业务循环与别的行业相同。值得一提的是，资金业务循环指融资、拆借、投资、衍生金融工具交易、头寸管理、流动性管理、利率管理、汇率管理等等，一般不以投机为目的。该循环涵盖的业务品种比较多，所涉及典型的金融工具有银行承兑汇票、国库券、可转让票据、存款证明、债券、商业票据、本票、通知存款、银行间贷款等，几乎除了存贷款之外的业务都可以归入该循环。

对每一个业务循环，指出其主要的业务活动，然后针对每一个主要业务活动，提出相关的内控目标，针对每一个内控目标，还指出关键的控制活动，如对贷款业务循环中的“新发放的贷款需经过信用评估和审批程序”这一内控目标，其关键的控制活动有：(1)信贷经理／信贷委员会确保贷款的审批符合经营限额；(2)信贷委员会或信贷人员在其授权范围内审批贷款；(3)根据业务性质和借款人状况要求提供担保；(4)承诺贷款前初步评价借款人的财务和经济状况，包括地区和行业分析；(5)评价与复杂交易相关的额外风险；(6)信贷经理／信贷委员会基于信贷评级系统或外部机构的评级审批贷款；(7)全面评价借款人的整体状况。通过询问、观察和检查书面文件，对上述内控活动进行测试，最后对整个贷款业务的内部控制作出评估，获取内部控制保证系数。由此可见，内部控制测试并不是笼统抽象的，而是有具体的目标、控制活动和评价标准。经内部控制评估，若其内部控制保证程度高，则可以减少贷款业务检查的工作量。2．重视分析性复核技术。在审计计划阶段，运用分析性复核中的比率分析和趋势分析，来确定审计重点；在审计实施阶段，运用分析性复核可以直接作为实质性测试程序以收集与账户余额和各类业务活动有关的证据。在银行业务存在大量的单笔金额很小的交易情况下，通过分析性复核，可以使审计人员重点关注那些重大的和例外的交易业务，在保证审计质量的前提下减少审计的工作量。

分析性复核常用于测试商业银行的利润表项目，如根据利息收入与生息资产、利息支出与付息负债之间的比例关系，设计利息收入与利息支出的精确期望值，通过建立这种合理的比例关系，审计人员就能够根据生息资产的平均余额和付息负债的平均余额计算出相应的数据，与财务报告上实际的利息收入与利息支出进行对比，检查两者差异的程度。分析性复核的程序如下：

(1)设计期望值。在设计期望值前，审计人员首先需要检查设计期望值所使用数据的可靠性，以便使计算出来的期望值与会计数据计算口径保持一致。

(2)确定可接受的偏差。可接受的偏差是指期望值与实际会计记录之间存在的不需要作出解释和进一步调查的最大差额。可接受偏差通常根据审计的重要性水平、所需的检查保证程度和分组数量来确定。

(3)计算比较期望值与实际记录之间的偏差；找出重大差异，即期望值与实际记录之间的偏差大于可接受偏差的情况。

(4)对重大差异进行调查，评价分析性复核的结果。对重大差异若查明了原因，则直接作为实质性测试的结果；若查不出原因，则执行其他的实质性测试程序。

3．重大项目(金额)详查与抽样审计相结合。为降低审计风险，提高审计效率，对一些金额巨大的业务和高风险的业务，通常采用详细检查的方法，如在贷款业务的审计中，若前10名贷款企业的贷款额可能达到贷款总额的70—80%，则对前10名的贷款企业进行详细检查，这样就可以保证这部分贷款业务不存在审计风险，类似的业务还有投资业务、资金拆借业务、固定资产业务、应收应付款及费用支出等，对其余部分，则采用抽样审计的方法。样本规模则根据如下公式得出：

(1)根据重要性水平确定的货币精确度(一般为重要性水平的80%至90%)MP除检查保证程度系数R，得出抽样间距J；

(2)用详查后余下的部分作为总体除抽样间距J，得出抽样规模S。

样本数确定后，审计人员既可以采取统计抽样方法，也可以采取非统计抽样方法或根据经验判断来抽取样本。

4．充分考虑计算机在银行审计中的重要性，广泛应用计算机审计技术。

一是调查了解计算机运行环境。银行审计首先要了解银行的计算机信息系统、了解计算机运行环境和自动化控制、熟悉银行会计处理程序。由于系统的复杂性，该过程通常由计算机审计专家来完成。

二是调查了解计算机内部控制。计算机内部控制包括一般控制和应用控制。一般控制包括：应用系统开发和维护控制；计算机操作控制；系统软件控制；数据和程序控制。此外，还应了解其他促进计算机信息处理连续性的控制，包括：数据和程序的制作备份；发生被盗、丢失或损坏时可使用的恢复程序；发生灾难时提供异地处理等。应用控制主要包括：输入控制、计算机处理与数据文件控制及输出控制。

三是复核计算机产生信息和数据的可靠性。审计人员对计算机产生信息的依赖，使审计人员必须测试和验证计算机产生电子数据的准确性和完整性。无论审计人员是否采用依赖内控的审计策略，都需要实施这种测试，如利用客户现有的数据重新生成有关信息、或将计算机生成信息的合计数与现有数据的合计数相核对、选取客户部分数据与计算机生成的信息相比较等。

四是运用专门的审计软件对电子数据进行检查、分析和处理。在银行审计中广泛使用回归分析法、统计抽样法等专门的数据分析软件进行数据分析，并运用计算机的查询、筛选、排序、统计计算等功能进行审计。

由于国外商业银行审计都是由民间的会计师事务所承担，审计的主要目的是对财务报表的真实、公允性发表意见，因此在审计目标、审计报告的编制与国家审计有一定的差异，但其采用的审计理论、审计程序和技术方法值得我们学习和借鉴。