审计风险是由于审计而产生的风险,在审计实践中,已经愈来愈得到独立审计人的高度重视,学术界对审计风险的理论研究也不断深化。近20年来,许多国家都在研究如何控制审计风险,国际审计和保证准则委员会(IAASB)围绕如何提高独立审计人评估风险、发现舞弊的能力方面开展研究,在2004年对旧审计风险准则作出了一系列重大修订。中国注册会计师协会2006年2月15日发布、2007年开始执行的新审计准则《中国注册会计师审计准则第1211号一了解被审计单位及其环境并评估重大错报风险》(以下简称1211号准则),在这一具体准则中,很详尽地提出了有关评估审计风险的一系列规定。国际会计师联合会主席沃德沃德认为,中国审计准则与国际审计准则趋同。国内外学术界对审计风险不断努力地研究,以期使研究成果更好的指导审计工作实践。本文拟以商业银行的审计风险为例,分析审计风险要素及其内在关系,以及如何控制商业银行的审计风险。 一、商业银行审计风险要素的分析 新的国际审计准则较之旧准则相比有一系列重大实质性修订,在新审计准则中,审计风险被定义为“当财务报表存在重大错报而审计人员发表不适当审计意见的可能性。”新的审计风险模型:审计风险=重大错报风险×检查风险;旧的审计风险模型:审计风险=固有风险×控制风险×检查风险。这一改变,明确了重大错报风险是由于被审计单位在会计处理过程以及编制财务报表过程(包括其会计控制系统),不能发现和改正的重大错误的风险;而检查风险是由于审计人员在执行审计过程中没有发现错误的风险。新的审计风险模型,可以清楚地看出,审计风险的产生可归纳为两个方面:一方面是应由审计人控制的检查风险,而另一方面则是被审计人的重大错报风险,后者审计人是无能为力的,只能对其风险水平进行评估,以便确定可接受的检查风险水平,决定是否可以接受委托。 商业银行原本就是一个高负债、高风险的特殊行业,他本身的业务经营活动就存在着许多固有的风险。表现在分支机构多、营业网点多、实行分权制,造成会计处理系统与控制系统难以保持一致;银行业务很繁杂,日均业务量大、金额也大且存在大量的货币资金收付、票据转让、贴现、兑现等;同时还经常发生不涉及资金转移的承诺事项,是不做正常的会计记录的,称为表外业务(即资产负债表以外的业务);特别是在普遍利用计算机系统,进行电子银行资金转账的当今时代,如果银行的内部控制系统不健全、不奏效,那么就会使审计人的工作难度加大,这一切决定了商业银行的审计风险高于一般企业的审计风险。1211号准则第三章第三节被审计单位的性质第28条文规定:“注册会计师应当了解被审计单位的经营活动,主要包括:主营业务的性质……。”据此分析商业银行主营业务存在的主要风险如下:(1)信用风险。这是由于银行的借贷业务引起的最重要的风险,其中最常见的就是不良贷款风险,指贷款到期后债务人不能足额偿还本息而给银行造成损失的可能性。信用风险还包括交易方风险,指交易对方违约而给银行造成损失的可能性。再有由于银行承兑商业汇票以及票据贴现等引发的结算风险。除此还有发行风险、清算风险等。(2)流动性风险。指银行不能支付债务、不能满足存款人提现需求、贷款人融资需求,致使银行蒙受信誉损失或经济损失的可能性。(3)利率风险。由于市场利率的不断波动,给商业银行的借贷利率造成不完全同时或不同幅度的变动而发生损失的风险;同样商业银行的投资活动或衍生金融交易等保值活动,也会因市场利率波动造成财务损失的风险。(4)市场风险。由于各种金融工具、产品或与银行债权、债务有关的商品市场价格波动而给银行带来损失的可能性。如汇率风险就是市场风险的一部分,汇率原本就是市场汇率,银行为调剂头寸而买进卖出各种货币的同时,不可能不遭遇汇率市场波动的影响;国际贸易结算同样有可能受汇率波动影响,这就是汇兑损益的风险。(5)国家环境风险与转移风险。这是指从事国际业务的商业银行在借款国的政治、经济、社会环境等发生变化时,导致外国借款人或交易对方不能偿还债务的可能性。当借款国是一个外汇管制国家时,受他国政府外汇管制影响而不能如期偿付外汇债务时又造成转移风险。(6)操作风险。这是由于商业银行内部控制制度和内部治理结构失效,计算机信息系统出现故障以及各种人为因素而导致商业银行发生损失的可能性。(7)法律风险。是指现行法律不健全、不完善或接受了不正确、不适当的法律建议、有缺陷的法律文书而导致商业银行损失的可能性。(8)声誉风险。这是指由于商业银行的管理不善、受利益驱动做违法违规的交易等导致存款人、投资者、监管机构对其丧失信心,自我损坏了公众形象而导致损失的可能性。1997年始于泰国、迅速扩散到整个东南亚并波及世界的金融风暴,无非是这些固有的业务风险,在一定的条件下由潜在变为现实。 二、商业银行的内部控制风险 在影响重大错报风险的因素中,很重要的一点是被审单位的内部控制制度(以下简称内控制度)的设立和执行情况。1211号准则第四章第一节第45条文规定:“注册会计师应当了解与审计相关的内部控制以识别潜在错报风险的类型,考虑导致重大错报风险的因素,以及设计和实施进一步审计程序的性质、时间和范围。”很明确,注册会计师首先应该了解被审计商业银行相关的内控制度设立与执行情况、识别内控缺陷、确定潜在重大错报风险所在。1211号准则第47条文规定:“内部控制包括下列要素:(一)控制环境;(二)风险评估过程;(三)信息系统与沟通;(四)控制活动;(五)对控制的监督。”现代商业银行是一个开放系统,备受社会各界关注,特别是相关部门——政府部门、中央银行、银监会等的监督;还要受到来自外界各方面因素——国内外政治、经济、法律、社会公众,以至于自然条件等影响和干扰。这些内外因素都直接、间接地影响着商业银行内控制度的设立和执行。其中如政府部门,我们国家当前执行的是金融分业经营制,所有与借贷等传统银行业务无关的业务银行都不能经办,诸如投资、保险、证券、房地产等等,这样可以使商业银行内控的外延比混业经营要小得多。笔者认为混业经营是一种必然的发展趋势,但此问题无须在本文中探讨。注册会计师还应了解商业银行对风险的识别和评估,这是风险管理决策的基础,在此基础上设立内控体系、制度、执行程序和措施。开放的系统还应该体现在商业银行必须及时获取内外部的各种信息,诸如经营管理状况、法律法规执行情况、财务报表资料在银行内部上下级、外部相关客户、政府部门及央行之间互相交流,通过信息交流与反馈,获取主要客户在本系统和其他银行的贷款与授信情况,以便确定本行的授信额度和测定信用风险。为了保证商业银行内控的有效性、充分性和可行性,就必须对内控制度的执行情况进行有力的监督并持续评价。主要包括:决策系统、执行系统、监督系统、支持保障系统是否健全、是否发挥作用;决策人和管理层对内控是否高度重视;是否具有明确的岗位责任制;授权、分工、制约机制是否健全;指标管理体系是否健全;奖惩机制是否完善;员工对内控制度是否充分理解和认真执行;内部审计人的独立性和权威性如何。1211号准则第48条文规定:“本准则对内部控制要素的分类提供了了解内部控制的框架,但无论对内部控制要素如何进行分类,注册会计师都应当重点考虑被审计单位某项控制,是否能够以及如何防止或发现并纠正各类交易、账户余额、列报存在的重大错报。”商业银行的内控系统要素如何分类,应该取决于银行本身经营活动的特点和业务繁复情况,以此设计自己的内控制度。正如准则所说,无论对内控要素如何分类,注册会计师都应重点考虑被审单位的内控是否能够以及如何防止或发现并纠正……存在的重大错报。中华人民共和国审计署金融审计司分析指出,商业银行经营活动本身具有的主要风险是信用风险、市场风险、利率风险……,商业银行要根据这些风险,将内控的各构成要素有机结合,形成完整的内控机制。商业银行内控主要应包括以下要素:内控环境、风险识别与评估、内控措施、信息交流与反馈、监督评价与纠正。1211号准则第50条文规定:“与审计相关的控制,包括被审计单位为实现财务报告可靠性目标设计和实施的控制。注册会计师应当运用职业判断,考虑一项控制单独或连同其他控制是否与评估重大错报风险以及针对评估的风险设计和实施进一步审计程序有关。在运用职业判断时,注册会计师应考虑下列因素:(一)注册会计师确定的重要性水平;(二)被审计单位的性质;(三)被审计单位的规模;(四)被审计单位经营的多样性和复杂性;(五)法律法规和监管要求;(六)作为内部控制组成部分的系统的性质和复杂性。”商业银行是有着巨大营业风险的特殊行业,除了借贷等传统业务外,一些中间业务、表外业务确实是多样又复杂,更有许多金融创新产品、金融衍生工具的不断涌现,存在着巨大的潜在风险,这应该是注册会计师所确定的重要性水平。中国目前的法律法规和监管制度是不健全、不完善的,这一点必须承认,所以对于商业银行不断创新的金融衍生产品的内控系统是更应该值得关注的,具体说是在内控系统的设计和执行上是否存在利用法律法规与监管方面的空白而造成的潜在重大错报风险。
