风险导向审计以风险要素识别为基础,以风险评估为中心,遵循“自上而下”的思路,全方位对审计对象经营管理面临的不确定因素进行定性定量评估推理,逐步确定审计范围、重点、目标并实施具体审计程序的系统过程。风险导向审计强调对影响组织战略目标实现的因素分析,其流程如图1所示。
图1 商业银行开展风险导向审计流程图 1、了解基本情况,识别潜在风险,开展风险分析。(1)战略风险。站在组织目标层面,了解组织战略目标以及影响组织战略目标实现的一系列因素,识别与预判潜在的重大风险。战略风险从源头划分包括外生因素和内生因素。外生因素表现为外部环境对战略目标实现带来的不确定,如宏观经济环境、政府政策、竞争对手、市场波动等;内生因素体现为决策层因判断失误导致相关策略对战略目标实现可能产生不利影响,如方针政策、经营模式、业务组合、产品定价、组织结构、资源配置等。商业银行由于经营的外生性较强,对外部环境波动敏感度较高,因此,外部环境变化对经营带来的不确定性是其风险的重要组成部分;同时,因决策选择失误可能对商业银行后续经营管理产生较为长期的负面影响。以上两方面因素是商业银行风险管理过程中应识别应对的首要问题,也是风险导向审计应重点关注的事项。(2)业务经营风险。商业银由于经营业务品种多,控制流程复杂,业务本身面临一系列潜在的控制风险与运营风险。风险导向审计应注重收集、识别业务实际控制情况,重点关注关键控制点和风险点,提高审计的针对性。商业银行经营管理包含:与产品相关的业务,如信贷业务、存款业务、中间业务、电子银行业务等;内部管理活动,如财务管理、会计营运管理、信息技术管理、综合管理等。商业银行各业务单元及经营管理活动关键控制环节的潜在风险如表1所示。 2、以风险评估为基础制订审计计划,确定审计重点。风险导向审计以风险评估为起点,通过对剩余风险的判断决定审计活动的整体进程。一方面,通过分析内外部环境因素对业务经营管理产生的影响、确定需要关注的高风险业务领域或重点风险控制环节,以此作为编制审计计划的重要参考,提升审计立项的针对性。另一方面,系统分析各级机构、部门风险防范的实际效果,评估业务剩余风险,确定审计测试方向、重点及样本,促进审计资源合理分配,审计效率得以提高。 风险评估需要具体把握以下事项:(1)适应不同的分析环境选择不同的风险评估方法。风险评估是定性与定量评估相结合的过程,通过对业务经营管理过程中面临的一系列内外因素进行综合分析与推理,判断风险发生的概率与潜在影响。通常,风险评估是基于不同的分析环境而分别展开,并对评估结论进行整合,以获取整体风险的判断。目前,国内外关于风险评估的方法较多,不同分析环境对应不同的方法,如宏观环境采用PEST(政治、经济、社会、技术)法;行业环境采用波特“五力”模型法;核心竞争力采用SWOT、DCCS、价值链法;绩效评价采用指标分析(成本收入比、盈利能力等)法;流程分析采用流程图法等。(2)风险评估需覆盖业务单元与机构单元。商业银行经营业务品种丰富、控制流程复杂且具有发达的分支行制度,这些特点决定商业银行风险评估需基于业务单元评估与机构单元评估两个层面,适应宏观层次与微观层次审计计划及实施方案的需要。一是业务单元评估。业务单元评估站在银行整体层面,对业务总体运营风险进行基本判断,是制订审计计划的参考。实务领域,除了常规的机构负责人任期经济审计以及年度内部控制审计评价项目外,还包括对不同业务门类的专项审计项目。该类项目的确定通常建立在业务单元评估基础上,如资本性支出专项审计、小企业信贷业务专项审计。二是机构单元评估。审计计划的执行需要分解落实。组织战略层面开展的风险评估属整体风险评估,但不同经济区域、不同内部控制环境、不同管理水平下的不同分支机构,风险实际表现及其影响各不相同。以小企业信贷业务为例,东南沿海地区,中小企业实力强、发展快,对银行信用需求大,且银行同业竞争激烈,为拓展业务,可能因追求业务办理效率导致个别关键环节控制缺失;在中西部经济欠发达地区,中小企业整体发展态势较弱,信用风险相对较大,业务控制严,准入门槛高,业务流程长,业务规模小,成本收益比高,对于该区域的机构,业务拓展较慢是其主要风险。由此可见,审计计划实际执行过程中,需对不同机构实际风险状况进行分析,结合整体战略按照风险优先排序明确审计重点,针对性展开审计测试。 表1 商业银行各业务单元及经营管理活动关键控制环节的潜在风险
3、实施审计测试。审计测试是依据风险评估对剩余风险的基本判断,针对潜在风险事项进行的详细查证与确认活动。审计测试包括控制性测试和实质性测试两种形式。控制性测试是为了确定内部控制的有效性,发现控制风险,以此确定后续审计过程中是否对其采取信任态度。目前,商业银行已经较为普遍地组织实施年度内部控制审计评价,其评价结果通常可以作为是否执行控制性测试程序的重要依据,相应减小了后续审计中控制性测试的工作量,在一定程度上促进了审计效率提高。实质性测试是审计人员进一步通过详细分析与业务抽样,为审计判断提供更高程度保证的必要程序。审计测试的详细与否,关键在于对剩余风险的判断。剩余风险小,测试程序相对简化,对审计抽样量与审计证据数量的要求相对较少;剩余风险大,测试趋于详细与全面,要求充足的抽样数量与证据支撑。在风险导向审计模式下,为了充分考虑外部环境影响,除了获得足够的内部证据外,还应强调外部证据的获得与使用。如开展柜面业务效率性审计评价,除向审计对象了解业务处理流程以及开展现场测试外,还应该通过随机访谈客户、向客户进行问卷调查等方式,获得外部证据对评价提供充分的支撑。