商业银行审计风险

商业银行审计风险（共12篇）

商业银行审计风险 篇1

在整个金融体系中, 商业银行是最古老、最重要的组成部分, 对一国的金融发展乃至整个经济和社会的稳定起到举足轻重的作用。虽然随着外部监管的加强以及银行自身内部控制的完善, 商业银行的风险得到一定程度的控制, 但银行经营的各种风险依然存在, 金融审计的形势依然严峻。商业银行审计要发挥“预警机”的作用, 通过查处各种重大问题, 揭露风险隐患, 维护金融秩序, 促进银行业的健康发展。

一、商业银行审计风险的种类

1. 体制内风险

商业银行体制内风险是指假定商业银行不存在内部控制制度时, 商业银行的某一业务环节出现重大违法违规问题的可能性。商业银行的体制内风险较高, 并且体现在经营、管理、操作、审计各个环节中, 这是由其本身经营项目特殊性和经营手段所决定的。

2. 内部控制风险

商业银行控制风险是指商业银行的某一业务环节存在重大违法违纪问题, 而未被内部控制防止、发现和纠正的可能性。控制风险实质就是商业银行内部控制制度执行的有效性的问题。由于我国商业银行尤其是国有商业银行各个级别的“一把手”的权利过于集中, 降低了其他工作人员的积极性, 整体人员素质又普遍偏低, 导致银行的内部控制制度在执行的过程中缺失, 内部控制的执行力度明显薄弱, 由此形成的控制风险比较高。

3. 检查风险

商业银行的检查风险是唯一可以由审计人员进行控制的风险。它是指商业银行的某一业务环节存在重大违法违纪问题, 通过审计未能发现, 并出具了错误的审计意见的可能性。控制商业银行审计的检查风险, 是控制审计风险的唯一途径, 也对最终形成审计意见起着重大作用。

二、我国商业银行经营风险的主要表现

在中国, 国有商业银行的风险和一般资本主义国家的银行风险大抵相似, 但就产生的根源来看是截然不同的。资本主义国家商业银行风险产生的原因主要是管理水平 (包括资产管理, 现金管理, 贷款管理人员, 管理品牌管理及内部控制等) ;在我国, 商业银行的主要风险集中在制度缺陷、信用风险、高比例的不良资产信贷、道德风险和法律风险等方面。具体表现为:

(1) 中国的国有商业银行至少就其经营目的来说不符合商业银行的本质定义。因为我国的商业银行绝大部分的贷款不是给了消费信贷、不动产抵押贷款、创业贷款等, 而是给了国有企业和政府, 但是这种贷款很难算息, 一旦发生问题回收也很难。所以是这个制度本身强加给了我国商业银行最大的风险。这种制度即是中国特色的社会主义市场经济下形成的有中国特色的金融制度。

(2) 社会信用环境差, 银行经营的信用风险高。信用风险主要发生在发放贷款、拆出资金、开出银行承兑汇票和信用证等业务领域:一是借款人 (或者开票人、开证人) 注册多家公司, 使用虚假资料骗取贷款或者骗开银行承兑汇票, 将骗取的资金转移出去或用于个人挥霍;二是借款人利用企业改制、改组来逃废银行债务;三是对一些行业和单个企业或企业集团过度授信, 产生信贷集中风险。目前在全社会信用体系未建立起来以前, 信用风险是我国商业银行面临的最主要风险, 因此审计时应把信用风险作为重点。

(3) 组织结构不合理。国内商业银行由于产权归属缺位, 致使委托代理关系流于形式, 政府以行政干预等非市场化、非透明的方式影响银行经营行为十分方便, 加上激励机制和约束机制的无效使银行公司治理结构不健全。商业银行即使设有风险管理委员会, 也由于其独立性、权利力度不够, 而无力对金融风险实现有效的控制;风险管理也只能停留在以营利为目的的业务决策服务的层次上, 而不能上升到银行发展的战略高度。

(4) 风险管理机制不健全。商业银行风险管理是一项系统工程, 需要诸因素的密切配合才能真正达到有效降低银行风险的目的。国外商业银行因具有健全有效的风险管理机制, 包括风险鉴别机制、风险预警机制、风险决策机制、风险避险机制, 所以风险管理相对比较到位。国内商业银行则普遍存在风险管理的体系不完善、风险管理制度落实不到位、风险监控机制不健全等问题。

(5) 不良资产比例高, 潜在的流动性风险不容忽视。由于以前年度违规经营和部分企业恶意逃废银行债务, 各商业银行的不良资产比例都较高, 到2001年底, 四大国有商业银行的不良贷款率为25.37%, 不良资产比例高, 银行的支付能力受到严重影响;此外由于以前年度违规经营中贷款手续不健全, 无效抵押、重复抵押及高估抵押物价值, 以及担保流于形式, 使银行保全信贷资产的难度很大, 导致信贷资产存在较大的安全隐患, 银行的流动性风险偏高。

三、商业银行审计风险的成因

商业银行审计风险产生的原因是多方面的, 既有人员素质因素、管理因素、审计质量因素, 也有审计技术和方法的因素。分析其形成风险的主要成因, 有以下几个方面:

1. 内部审计独立性不强

目前大部分商业银行内部审计部门在组织结构上仍未完全独立, 审计人员的组织关系、经济关系一般都隶属于所在分支行, 不少商业银行虽已逐步建立相对独立的审计体制, 实行总行垂直管理或“派出”、“交流”制度, 但审计人员仍有后顾之忧, 主要是审计人员的经济关系还没有完全脱离被审单位, 以致审计人员在审计中发现问题后不愿或不敢毫无保留地报告, 形成审计风险。

2. 缺乏质量控制标准完整、有效的审计质量控制体系

从商业银行内控系统的运行情况来看, 有效的审计质量控制体系对规范审计行为、强化审计执法、增强审计人员的质量意识和责任意识、有效地降低审计风险起到保障作用。目前, 审计机关建立了包括国家审计基本准则、通用准则、专业准则、操作指南等在内的一系列审计质量控制标准, 但这些标准, 定性的内容多, 定量的内容少。而内部审计部门进行监督的倾向, 在无形中加大了内部审计部门的监督压力, 使得内部审计部门面临更多的风险隐患。

3. 审计人员风险意识淡薄

风险是客观存在的, 它时刻潜伏在商业银行各种金融项目审计的过程和业务之中, 要完全消除是不可能的。通过近年来对商业银行审计结果进行分析和对内部稽核效果进行观察, 到目前为止, 虽然没有发现由于风险导致局部工作被动或引发损失的案例, 但是通过对已审计项目的回顾与反思, 仍然发现存在一些风险隐患, 隐藏着部分风险漏洞, 潜伏着审计风险事项。究其原因, 一是缺乏完整健全的风险管理体系, 二是缺少有效的风险防范和风险控制的技术和方法, 三是审计人员在思想上、观念上、意识上未能引起足够重视。

4. 审计人员专业知识水平结构和层次较为单一

商业银行内部审计人员大多是会计专业出身, 其他相关知识比较缺乏, 不能站在更高的高度去观察分析审计过程中发现的问题, 因此也很难写出有力度的审计报告, 为银行领导科学决策提供有力的依据。目前, 在国家审计机关中, 具有较高的金融知识水平, 又有多年金融审计工作经历和专业技术水平的人员, 所占比例很小。自身不具备更多的专业金融知识, 面对商业银行业务的不断发展和新业务、新产品的不断出台, 这些审计人员往往感到力不从心。

5. 审计方式、方法不先进

一是审计方式仍停留在账项基础审计和制度基础审计阶段或风险导向审计的初级阶段, 二是现代的审计技术方法仍然以账表基础审计为主, 无法适应现代商业银行审计的需求。面对被审计单位庞大的金融数据, 虽然已广泛开展了计算机审计, 但审计软件技术开发的速度还是很慢。对商业银行后台数据的备份、转换的时间仍然较长, 极大地影响了审计工作的效率。

四、商业银行审计风险的防范对策

商业银行内部审计风险的形成原因是多方面的, 作为商业银行内审部门来讲, 必须采取有效的防范措施, 把审计风险控制在一个较低的可以接受的水平之内。因此, 可以从以下几个方面进行改进:

1. 强化商业银行审计风险防范的研究

加强对商业银行审计风险防范的研究, 增强审计风险意识, 主要是提高对商业银行审计风险防范的重要性和必要性的认识。银行是高风险的行业, 外部监管、经营环节对银行强化风险防范、提高内控能力提出了全新的、更高的要求。加入WTO后, 我国的金融业将融入国际金融体系, 将面临更大的风险。这就迫切要求商业银行重视审计风险防范的研究。

2. 增强风险防范意识

一是提高对审计客体和审计环境的风险意识。审计客体和审计环境方面的客观原因引发的风险难以控制。审计人员要有足够的认识。一方面研究我国金融业的宏观政策, 与国外金融业进行比较, 发现其风险环节所在;另一方面, 要研究具体审计对象的管理和经营体制, 对其内控环节及制度的完整性和有效性进行评估。二是加强对审计主体的风险控制。防范和控制审计风险的关键在于审计主体, 即审计机关采取的主动对策。如在审计机关内部建立健全业绩评价制度。有利于识别和预警审计风险, 从而在一定程度上降低审计风险。

3. 以内部控制的监督检查为基础, 促进银行风险控制体系的完善

面临新的国内外经济环境, 商业银行应建立一套新的审计风险管理规范。其中第一条应是加强内部审计工作的组织领导, 增强其独立性。各银行一级领导应严格按照《中国人民银行内部审计工作制度》要求, 切实加强对内部审计工作的领导, 支持内部审计人员大胆有效地展开工作, 在分配内部审计任务时, 尽量避免实际存在的和可能出现的利益冲突。与此同时, 建立、健全内部审计法规, 合理界定内部审计的职责。此外, 为有效降低内审风险, 必须严格界定会计责任与内部审计责任, 有效规避因责任划分不清而使内审人员遭受的风险。

4. 严格执行审计程序, 规范操作行为

在商业银行业务范围不断扩大, 金融创新不断发展, 金融衍生产品不断增多的今天, 要控制好审计风险, 尤其是商业银行的检查风险, 必须不断加强审计机关的自我约束, 严格执行审计程序, 规范操作行为。其主要措施就是对审计工作的各个阶段严格把关, 审前调查充分, 审计方案的制订要具有针对性;在审计实施过程中, 要充分运用重要性水平分析和内部控制制度测试方法, 使审计实施过程更具有针对性, 提高审计工作效率, 降低审计风险;要加强对审计项目的业务审理工作, 对审计工作的全过程进行有效的质量控制。

参考文献

[1]汪叶斌.商业银行审计[M].大连:东北财经大学出版社, 2001.

[2]刘家义.关于我国金融审计的思考[J].审计研究, 2002 (5) .

[3]杨景.浅谈计算机审计的风险成因和防范[J].工业审计, 2005 (4) .

[4]罗春花, 陶春海, 程浩.商业银行对中小企业信贷融资风险的防范[J].商场现代化, 2006 (4, 下) .

商业银行审计风险 篇2

确保网上银行业务安全

-----鄞州银行开展网上银行管理风险专项审计

------------------

作者：周亚芬

2011-4-25 17:16:45

来源：鄞州审计局

------------------

网上银行拥有强大、灵活的业务创新能力，但同时其数字化、虚拟化的操作模式，使其易于受到高科技化的手段攻击，因而安全性成为网上银行业务发展壮大的基础和核心竞争力的主要体现。为了确保网上银行的稳健发展，鄞州银行在网银业务试运行近两周年之际，组织开展了网上银行专项风险审计，取得了较好的审计成效。

一、审计背景

网上银行业务具有金融业务一体化、业务处理自动化、金融服务信息化、银行运营经济化、客户操作便利化等特点，近年来越来越受到银行和客户的喜爱，网上银行得到了蓬勃发展；但另一方面，有关网上银行被黑、被破解、被攻击的案例屡见不鲜，为促使网上银行向更加安全的方向发展，根据鄞州银行监事会的指示和银监会电子银行业务管理办法，适时开展了网上银行管理风险专项审计。

二、审计的基本情况

根据《宁波鄞州农村合作银行内部审计工作规定》和工作计划，在充分开展审前调查、收集相关资料的基础上，严格按操作程序，认真组织了审计，并根据我行网上银行业务开展情况，详细制定了审计方案，明确了审计重点，审计内容包括评价网上银行风险管理体系和内部控制体系的健全性和有效性、网上银行风险识别、评估、监测和控制措施的齐全性和有效性和以及业务的合规性，操行的规范性等。审计通过现场查阅、询问、功能模块测试等方法，结合利用计算机辅助、运维平台监测系统等技术手段，排查网上银行风险点50余个，发现在网银制度建设、执行、内部控制、风险控制、网上银行柜面操作、网上银行系统建设等方面存在问题17个，重大风险隐患5个，审计发现的问题得到了监事会的高度重视，要求管理层进行整改落实，整改率为94.1%，审计取得了较好的成效。

三、审计方法

（一）审前培训。针对网银业务新，技术性强，审计风险大的特点，审计组在审计前做好做足功课。认真学习制度文件，广泛收集网银案例，并邀请技术专家对网银系统的体系架构、关键技术进行讲解，通过学习、讨论，研究，网上银行审计思路逐渐清晰，审计中应把握的风险点逐步明确。

（二）开展审前调查，确定审计重点。在调查中，运用了问卷调查、访谈、询问等审计技术和方法，全面了解我行网上银行风险管理状况。调查网上银行的风险管理体系、内部控制体系，系统方面风险管理状况，业务方面风险管理状况。通过审前调查，认为我行的网上银行的技术比较先进，系统安全方面的风险相对较少，审计重点为网上银行业务管理风险。并根据审计重点制定可操作性的审计方案，确保审计风险可控。

（三）采用计算机辅助审计的方法，提高审计效率和审计质量。如对企业网银限额控制进行实质性测试时，编写SQL程序语言，从数据库中取得客户在一段时间内网银交易数据，通过对交易金额按客户按时间进行分类汇总，验证企业网银限额控制的有效性。通过测试，发现有部分客户的累计交易金额超过限额控制，而且又没有限额修改申请表，是柜员未按要求私自修改限额还是程序控制存在漏洞？经过对数据进行进一步的分析，初步确认为程序控制存在漏洞，未将企业费用报销和代发工资统计在内。为了确诊此问题，审计人员在网银测试环境针对此问题进行功能性测试，确认限额控制程序存在漏洞，客户资金存在较大的安全风险。

（四）利用本行计算机预警系统和远程监控系统，以巡航式审计方法，全面扫描检验本行内控制度建设和执行过程中的安全性和有效性。

（五）利用审前调查成果，有针对性的开展现场审计工作。通过查阅、审核等审计方法、分析性复核、抽样调查等审计技术，对网上银行风险管理情况进行有针对性的审核，在系统安全方面重点审查对系统的检测和应急问题处理流程，在业务安全方面重点审查内控的有效性，业务的合规性、操作的规范性，服务的安全性。通过现场审计，对网上银行业务的各个风险控制点进行了全面的排查。

四、审计成果及应用

鄞州银行监事会认真审阅了稽核内审部撰写的审计报告，对审计发现的问题给予高度重视，要求管理层针对审计发现问题，进行整改落实。整改工作有序进行，审计取得了较好的成效。

1、完善了风险管理体系和内控控制体系。增加了网上银行业务针对各种风险的管理办法。完善了网上银行应急预案，由原来只是科技管理部对网银系统硬件设备故障采取的应急预案，扩展为全行范围内针对各类事件场景下的应急预案，包括启动应急预案条件、应急处理流程、系统恢复流程、事后经验总结和培训等内容。应急预案更加全面、更加有效。修订了网上银行业务管理办法，在办法中明确了网上银行各相关部门的职责，建立了职责明确、分工合理、运行高效、监督有力地网上银行业务服务体系，和网银信息修改审批、监督机制，使内部控制得到完善。

2、加强了应用科技力量进行风险控制。针对审计发现的限额控制存在漏洞的问题，鄞州银行立即进行了系统完善。同时业务部门组织人员对网银使用情况进行调研，对程序中存在的BUG，功能缺陷、风险隐患进行排查，科技管理部针对业务部门提交的问题，及时进行程序修改和功能完善。

3、规范了业务操作。如：通过对网上银行业务柜面操作方面的检查，发现鄞州银行各支行在办理USB-Key密码解锁和挂失业务时，缺乏事中和事后的监督、授权环节，而BeeKey相当于一个保险箱，用于保护数字证书的安全。用户在登录我行网站进行交易时，在电脑上插入Beekey，系统会通过校验Beekey中的数字证书来验证客户的身份。Beekey相当于客户在网银系统中的身份证，其重要性不言而喻。业务部门立即规范了对数字证书的遗失处理、USB-Key的挂失和解锁程序，过程中增加了属主身份认证、换人复核环节，并进一步细化各处理步骤。

4、增强了各部门对于网上银行风险管理的重视度。网上银行业务作为我行一项“年轻”的业务，客户量和业务量目前正处于快速上升阶段，通过此次审计，提高了相关部门的风险意识，不仅对行内的业务操作进行规范，而且加大了对客户的风险意识的培养。通过各种渠道向客户宣传网上银行的安全知识。如在鄞州银行的网站上，发布了《关于网上银行安全提醒的公告》，在公告中提醒客户虽然使用USB_key登陆网银是安全的，但也需要提高安全意识，养成安全习惯，不给犯罪分子可乘之机。并提供了《网上银行安全须知》，要求客户点击阅读。而科技管理部在持续关注网上银行信息安全问题，一直在关注USB_key产品的推陈出新，并对新产品进行测试，了解最新最高端的安全技术。给客户一个安全、放心的运行环境。

5、总结审计经验，推广审计成果。审计组根据网上银行审计经历，总结网上银行的主要风险和防范建议，编写《网上银行业务风险及其防范建议》一文，发表在宁波内审经验交流园地，另外还有《开展网银信息系统安全审计 增强网银系统安全运行》、《鄞州银行把好网银安全关 审慎数字证书管理》等多篇介绍我行审计过程中发现的重要风险和警示的文章发表在宁波内审园地，供同行们参考借鉴。

五、几点启示

1、加强学习，控制审计风险。网上银行业务作为新兴业务，具有专业性强、技术要求高、审计风险大的特点，如何控制审计风险，就需要审计人员加强对专业领域的学习和研究，掌握审计关键控制点。

2、持续关注网上银行信息安全风险。由于信息技术的高速发展，不法分子对网上银行攻击的手段将呈现多样化和高科技化，银行需持续关注网上银行的信息安全，在客户身份认证、数据传输私密性、防钓鱼、防欺诈等方面进行持续的技术更新，审计部门需持续关注网上银行的风险动态，适时开展安全审计，及时发现风险隐患，始终给客户创造一个安全的、放心的运行环境。

商业汇票承兑业务风险审计 篇3

随着《票据法》《支付结算办法》等法规的实施，票据业务越来越受到企业和银行的重视，其中商业汇票尤为突出。商业汇票业务在满足企业短期资金需求、改善银行债务功能、降低企业融资成本等方面有独到的作用，成为银行扩大信贷投资、支持经济发展的新支撑点，但在其运作过程中不能忽视存在的各种风险。从银行内部审计的角度如何发现商业汇票的风险，对银行有重要的意义。本文通过一个商业汇票风险审计典型案例来分析说明如何发现和防范商业汇票承兑业务风险。

某银行A支行2005年1月13日为甲公司办理了10笔银行承兑汇票业务，每笔1000万元，合计金额1亿元。出票日期均为2005年1月13日，期限均为6个月。所办银行承兑汇票依据同一份客户购销合同办理，用于从乙公司购买钢材（数量：10000吨），收款人为乙公司。10笔银行承兑汇票均采用100%保证金的担保方式，均于2005年7月13日到期结清。

如果仅从上述表面情况来看，这10笔银行承兑汇票业务已经结清，没有什么问题，但通过进一步审计发现该1亿元银行承兑汇票业务在操作上却存在较大的风险隐患，值得银行以此为鉴。

一、银行承兑汇票未严格审核企业经营管理，存在银行因客户违约、违法而面临的各种风险

该10笔银行承兑汇票2005年1月13日办理，客户购销合同2004年12月19日签订，合同金额1.04亿元。所办银行承兑汇票用于购买钢材，数量达1万吨。按合同约定，2005年1月31日前结清货款。经查询甲公司2005年3月31日会计报表，企业销售成本与存货科目合计金额8300万元，却小于合同金额，这表明办理银行承兑汇票依据的销售合同不实。A支行上述10笔银行承兑汇票业务档案的《信贷业务真实性审核声明》、《经营主责任人声明书》均记载企业申报材料真实。这说明经办行对异地企业的出票人在业务受理环节未严格审核企业的经营管理状况，也未按审慎性原则查询人民银行“银行信贷咨询系统” 有关该企业信贷业务信息资料，未预测异地大额银行承兑汇票业务存在的固有风险，存在银行因客户违约、违法而面临的各种风险。

二、未对异地企业办理银行承兑汇票业务交易背景的真实性和真实目的进行严格审核，面临监管风险

该10笔银行承兑汇票业务的出票人甲公司为经办行银行A支行的异地企业，注册资本510万元，经营范围为建材、计算机耗材、计算机软件等高科技产品。工商执照记载，企业组织形式为有限公司。从企业组织形式、注册资本和经营范围分析，出票人注册资本与经营规模均不属大型股份有限公司，所办银行承兑汇票金额达1亿元，而且企业会计报表不支持1亿元的合同交易，表明企业贸易背景不真实。我国目前的金融监管法规严禁金融机构为企业办理贸易背景不真实的银行承兑汇票业务，经办行面临监管风险。

出票人为经办行的异地企业，经办行对企业出票的真实目的缺乏了解，特别是对保证金来源的合法性不了解，不能完全排除客户由于非法转移资金、洗钱等目的而办理银行承兑汇票以及出票人与关联企业交易套取银行信用的风险。

三、银行办理异地银行承兑汇票业务未备案

出票人一般存款户出票当日开立，10笔银行承兑汇票业务的保证金在出票的当日由异地企业汇入，数额巨大而且与汇入企业的规模不相称，办理银行承兑汇票以后无任何业务发生，余额一直为0，符合2003年1月3日中国人民银行令〔2003〕第2号（公布施行《人民币大额和可疑支付交易报告管理办法》）中规定的大额可疑资金的特征。在审计过程中发现，经办行A支行在受理时未经人民银行备案，不符合《贷款通则》第五十九条“贷款人发放异地贷款，或者接受异地存款，应当报中国人民银行当地分支机构备案。”的规定，存在被国家监管部门处罚的风险。

四、签发与开证环节，银行承兑汇票的存款保证金来源不明，保证金存款数额巨大，存在一定的风险隐患

该10笔银行承兑汇票业务2005年1月13日办理。但在审计中发现：（1）出票人一般存款账户于2005年1月13日开户，同日，存入现金2.4万元，丙集团转账支票转入200万元，丁公司从某农行汇入资金9797.60万元，合计金额1亿元。(2)2005年1月13日当日，1亿元存款经转账后存入保证金账户，一般存款户余额为0。出票人保证金存款达1亿元，经办行也未向有关部门报备，面临政策风险。

在现场审计过程中，调阅了经办行的请示报告、市分行的审批记录，调查相关经办人员，均认为100%保证金风险较低。实际上，出票人为经办行的异地企业，出票数额巨大，购销合同与企业规模不相称，企业一般存款户资金大进大出，虽然存有100%保证金，但根据最高人民法院、中国人民银行[2000]2号规定：“人民法院依法可以对银行承兑汇票保证金采取冻结措施，但不得扣划。如果金融机构已对汇票承兑或者已对外付款，根据金融机构的申请，人民法院应当解除对银行承兑汇票保证金相应部分的解冻措施。银行承兑汇票已丧失保证金功能时，人民法院可以依法采取扣划措施。”这条规定为银行办理承兑业务的保证金担保提供了有利的法律保障，但同时也使许多操作人员、审批人员错误地认为：承兑申请人只要存入保证金，银行承兑业务的风险便为零，从而放松了对客户资信状况的调查，忽视了真实贸易背景的承兑和相关规章制度的贯彻执行。实际上，人民法院对保证金的保障是基于正常渠道的资金来源，而对于诈骗等非法取得的资金，虽然存在办理银行承兑业务保证金账户中，仍然会产生争议，因为该法律条文并不针对特殊情况存入的保证金情形，保证金来源正当与否的审查责任在银行。也就是说，不同来源的保证金担保会有不同的担保结果，存在风险的不确定性。

五、银行承兑汇票执行审批程序存在缺陷，风险提示不足，未能很好地发挥防范风险的作用

甲公司董事会2005年1月13日作出决议，授权董事长代表公司办理1亿元半年期银行承兑汇票业务，出票人甲公司2005年1月13日向银行A支行提出承兑业务申请书。

银行A支行2005年1月12日报请银行A分行为出票人办理银行承兑汇票，银行A分行2005年1月12日批复同意办理。银行A支行请示办理银行承兑汇票业务以及银行A分行批复同意办理时间均早于出票人申请时间1天。

也就是说，出票人授权委托书2005年1月13日出具，而银行A支行2005年1月12日就已经出具了《信贷业务真实性审核声明》，证明客户“授权委托书合法有效”。

内部操作程序不合规，难以判断银行承兑汇票业务诸环节在该业务中是否很好地发挥了作用。

六、商业汇票管理的建议

（一）加强管理，在业务加快发展的同时，牢固树立风险防范优先的思想。在业务受理、审批、签发与开证、事后管理各环节、各流程严格按照《银行信贷业务手册》等规章制度的要求执行，业务受理环节要严格审核出票人的贸易背景、资信状况、企业以及企业法人的诚信记录等项目。

（二）从思想和业务两方面加强一线员工的教育和培训力度，提高经办人员的法律意识、风险防范意识以及对国家法律法规的掌握、理解程度。

（三）切实加强基础管理，提高管理水平，夯实业务发展的基础，提高基础管理水平和内控制度建设。严格执行国家的法律法规，避免政策风险和监管风险。

商业银行风险导向审计探析 篇4

近年来, 国内外财务金融丑闻案接连不断, 引致学术界和实务界的广泛关注。对审计风险估计不足是导致审计失败的重要原因之一, 风险导向审计模式应运而生。

我国审计署在《内部审计工作的规定》中, 已将风险管理评审纳入内部审计工作的职责范围。将于2009年7月1日在上市公司范围内施行的《企业内部控制基本规范》, 也将风险评估和风险控制作为重要内容列示。因此, 研究和探讨风险导向审计, 对于促进企业内部审计及审计学科本身的发展, 更好地为商业银行服务具有重要意义。

二、相关研究及其内涵特征

(一) 相关研究

风险导向审计的核心是审计风险理论。胡春元 (2001) 认为风险导向审计以量化的风险水平为重点, 以此决定实质性测试的程度和范围。张立民 (2002) 认为风险审计使审计人员以对风险的分析评价控制为基础, 综合运用各种技术, 搜集审计证据并形成审计意见。姚力其 (2006) 认为, 风险导向审计对风险评估的重要创新是将风险评估的重点转移到经营风险上。谢志华、崔学刚 (2006) 则指出, 风险导向审计的实质是委托人、需求、期望作用于审计制度, 而这反过来又影响审计策略与方法的选择。庄立, 王玉蓉 (2007) 通过建立三方关系人博弈模型, 提出要切实减少违规行为, 需要全面推广应用风险导向审计模式。总体来看, 针对商业银行内部控制的风险导向审计模式研究还很少。

(二) 风险导向审计的内涵及特点

1. 风险导向审计的内涵。

风险导向审计是一种基于战略和系统的观点, 通过综合评价经营风险以确定实质性测试范围、时间和程序的审计方法。

商业银行审计部门作为内部控制的监督机构, 既要审计财务状况及其经营成果的数字本身, 也要审计这些数字的形成过程。银行内部审计工作者, 要了解商业银行的经营过程, 评估和测试银行的风险, 评估用来衡量经营的财务性和非财务性指标, 提供管理层决策所需要的审计信息, 为提高银行经济效益服务。

2. 风险导向审计的特点。

风险导向审计代表了国际审计发展的新趋势。该模式重点突出风险, 涵盖面更广泛, 弥补了合规性审计不能全面、系统评价内控状况、揭示风险的缺限。优化了审计资源配置。风险导向审计根据审计对象的风险排序, 合理确定审计重点和审计计划, 将有限的审计力量投入到最需要关注的领域, 并降低了审计成本。风险导向审计始终围绕风险展开审计。该模式以影响对象经营目标实现的各类风险为依据, 以内部控制标准为工具, 全面、系统地检查和评价被审单位的风险状况, 抓住了商业银行防范与化解风险的关键。形成持续性、周期性的监督过程。风险导向审计是一种闭合循环的持续性监督, 倾向于年复一年地降低并最终化解风险。

三、风险导向审计的程序和实施

(一) 风险导向审计的程序

1. 风险识别程序。

风险识别是一个渐进、持续、制度性的工作, 是进行风险导向审计的第一步。商业银行的经营环境随时都在变化, 各种风险随时影响其生存和发展, 但要重点识别那些目前还没有遇到、又具有一定潜在威胁的风险, 寻找风险源, 这也是风险识别的重要工作。

2. 风险评估程序。

在风险识别的基础上, 对风险的后果进行定性估计或收集相关数据, 利用统计、精算等方面的知识, 对风险损失的频率和幅度进行估计和预测。风险评估是一项非常复杂的技术性工作, 也是审计人员普遍感到困难的地方。

3. 风险控制测试程序。

测试程序主要包括控制测试和实质性程序。在认为必要或决定进行内部控制测试时执行该程序。如果认为评估的重大错报风险是特别风险, 审计人员应当专门针对该风险实施实质性测试程序。

4. 风险评价程序。

指根据相关标准衡量风险, 以确定风险是否需要处理或选择处理的方法和可接受的程度。风险评价是风险导向审计的有机组成部分, 由于风险认识水平的阶段性及风险处理技术的不断完善, 人们需要对风险处理技术定期检查、修正, 以保证处理技术的最佳效果。风险导向审计的程序可用图3-1所示模型表示。

(二) 风险导向审计的实施

风险导向审计的常用方法有审计风险评估 (risk assess) 、分析性程序 (analytical procedure) 、控制测试 (tests of control) 、交易业务实质性测试 (substantive test of transaction) 等。根据审计目标, 商业银行审计人员可以有效地选择和控制程序的实施

1. 程序的实施应由审计人员主动控制。

如果内部审计人员只是审计被审计银行提供的资料及重要的审计证据, 而重要审计程序由被审计行控制, 没有实施自己的审计程序并收集取得审计证据, 则审计人员易落入被审计银行造假的“陷阱”之中。

2. 内审人员应保持应有的执业关注。

独立审计准则要求审计人员在内审中保持应有的执业关注, 随时了解异常、非常规事项并及时做出积极反应, 经过初次评估控制风险——再次评估控制风险——最终评估控制风险, 根据客观情况的变化和异常事项的出现, 不断修改审计程序, 补充审计证据, 直到足以支持发表正确的审计意见。

3. 对审计证据的审慎分析。

取得审计证据只是审计人员审计的一种手段。内控审计人员必须对取得的证据进行审慎分析, 判断其来源是否可靠、证据是否真实并能够支持审计结论。

4. 运用专业判断提升审计效率和质量。

商业银行的内部审计过程, 也是审计人员充分发挥聪明才智、实施专业判断的过程。统计抽样或非统计抽样都存在不确定因素, 需要审计人员根据被审银行的总体特征选择抽样的方法并对抽样结果进行评价。如果只收集证据而不实施必要的专业判断, 就不能称之为审计。

四、风险导向审计在商业银行的应用前景

(一) 风险导向审计将使内部审计全面发展和深化

风险导向审计在审计理念、审计对象、审计方法等各方面都有很大进步。

1. 风险导向审计体现了全面和重点审计的原则。

风险导向审计是无边界审计。只有全面审计, 才能准确地预测风险。在此基础上, 根据重要性原则, 从风险的严重程度和对银行经营目标的影响程度进行重点审计。

2. 风险导向审计实现了审计关口前移的理念。

风险导向审计以风险防范为目标, 体现了超前审计的理念。无论是采取风险回避、风险分散、风险转移, 还是风险防范, 都属于事前审计的范围。

3. 风险导向审计将促进审计手段现代化。

风险导向审计需要收集银行大量信息, 了解各项业务的运营情况, 还需要计算机技能的支持以有效利用海量数据, 因此风险导向审计的开展会推动和加快审计手段现代化的进程。

4. 风险导向审计会提高审计人员的素质。

风险导向审计要求审计人员有熟练的审计专业知识, 熟悉金融、证券、保险、外贸等方面的经济知识。既要了解银行业的微观运行情况, 也要了解社会的经济周期、行业所处的地位、国家政策及重大事件等宏观因素。

5. 风险导向审计可有效提高审计质量。

审计质量与风险控制因素存在正相关性。风险控制能使内部审计人员摆脱财务报告的束缚, 站在了解、分析、评价被审银行的内外部经营环境、控制策略的高度分析问题的本质。若将风险因子转化为可量化的替代指标, 审计质量与风险导向审计因素成正相关关系。

(二) 风险导向审计的应用前景

风险导向审计能全方位认识被审计银行的经营情况, 并对风险因素进行全面评估, 借助银行的环境和报表形成两者的互动, 对发表审计意见形成正确支持。由于可以确认公允性, 证实可信度, 因此, 风险导向审计对是否存在重大错弊、特别是管理层舞弊具有确认作用, 支持对非财务信息披露的适当性发表意见。风险导向审计通过运用审计风险模型, 对风险进行系统的评价, 据此制订审计计划, 将风险评估与审计程序紧密结合起来。

但是, 风险导向审计并不可能完全消除审计风险。分析风险导向审计模型:审计风险=重大错报风险×分析性测试风险×实质性测试风险, 由于审计风险存在于审计过程的每一个环节, 任何环节的审计失误, 都会增加最终的审计风险 (ultimate audit risk) 。因此, 对最终审计风险的控制, 就取决于对上述各种风险的控制。在银行内部控制审计中, 审计人员只能在有限的空间和时间内改变风险存在和发生的条件, 降低其发生的频率和减少损失的程度, 不能、也不可能完全消除风险。

五、结论与建议

风险导向审计对改善商业银行内部控制, 提高经营管理水平和风险防范能力, 促进可持续发展有重要意义。

1.全面推行风险导向审计模式。通过推行风险导向审计, 促使商业银行审计人员强化风险意识, 淡化逐利动机, 最大限度查出舞弊, 降低审计风险, 获得品牌收益, 维护市场经济秩序和社会公众利益。

2.风险导向审计有利于银行内部治理。风险导向审计的自身优势会促进其在我国现阶段的应用发展, 并成为商业银行内部治理、外部监管的迫切需求。通过改进审计方式来提高商业银行内部审计质量, 可以最大程度降低风险。

3.有利于成本效益的平衡。在审计程序实施过程中, 风险导向审计侧重于优势资源集中配置, 避免了以往审计盲点和审计失效问题, 还可以降低监管成本, 强化监管激励约束机制, 因此, 能够很好地处理成本效益平衡关系。

4.塑造以风险控制意识为核心的内部审计文化。商业银行的内部审计过程, 也是控制审计风险的过程, 这种文化是在审计人员的具体工作中逐步凝结而成的。

参考文献

[1].曾繁荣, 郑毅.论风险导向审计[J].求索, 2004 (10)

[2].胡春元.风险基础审计[M].大连:东北财经大学出版社, 2001

[3].李爽, 吴溪.审计失败与证券市场监管——基于中国证监会处罚公告的思考[J].会计研究, 2002 (2)

[4].王泽霞.管理舞弊导向审计研究[M].北京:电子工业出版社, 2005

[5].谢志华, 崔学刚.风险导向审计:机理与运用[J].会计研究, 2006 (7)

[6].杨玉华.内部审计的新发展——风险导向审计[J].商业会计, 2006 (2)

[7].姚力其.传统和现代风险导向审计风险评估策略比较研究[J].审计与经济研究, 2006 (4)

[8].张立民.我国审计市场制度安排与审计质量要求[J].会计研究, 2002 (2)

[9].庄立.风险导向审计质量影响因素研究述评[J].财会月刊 (理论) , 2007 (12)

商业银行审计风险 篇5

2012年04月10日 10:15 来源：《当代经济》 2011年第10期下 作者：毛显波 字号

打印 纠错 分享 推荐 浏览量

摘要：目前，风险导向审计已经成为审计理论界和实务界研究的新趋势，在银行内部审计中引入风险导向审计，对于改善银行内部控制具有重要意义。本文从风险导向审计的相关概念入手，阐述了在银行内部审计中运用风险导向审计理念的可行性与必要性，并进一步论述了风险导向审计在银行内部审计中的作用。

关键词：风险导向审计，银行内部审计，作用

风险导向审计作为一种全新的审计理念和方法，日益受到审计理论界和实务界的广泛关注，它为审计人员从系统和全局的角度评价企业经营的风险状况，为企业提供增值性审计服务提供了基础。它不仅是审计技术方法、审计程序的重大变革，更重要的是审计理念上质的飞跃。银行作为经营货币的高风险行业，与国计民生联系紧密，随着银行服务范围的日益拓展和金融产品的逐渐丰富，银行的内部审计日趋重要。银行业应树立风险导向内部审计理念，改进银行内部审计模式。借鉴和运用风险导向审计理念，对于银行内部审计活动具有重要的作用和意义。

一、风险导向审计的内涵及其特点

基于战略观和系统观的思想，风险导向审计的理念应运而生，并成为了当前国内外审计发展的新趋势。这种新的审计模式以被审计单位经营风险的分析评估为导向，强调审计风险。在对被审单位内部控制充分了解和评价的基础上，通过综合评价企业经营风险，对企业所处的外部环境、战略定位和关键经营环节进行分析，判断被审计单位的风险所在及高低程度，从而把审计资源分配到高风险审计领域之中。

在对审计对象风险排序的过程中，可以确定审计重点和审计计划，围绕重点高风险领域展开审计，便抓住了防范和化解风险的关键。风险导向审计将审计对象置于经济、法律、行业、内部制度、组织建设，甚至企业的经营哲学等内外部环境中，从各个方面研究环境对审计的影响，并将对审计风险的评价作为一切审计工作的起点并始终贯穿于整个审计过程。具有以战略论、系统论为理论基础、将审计重心前移并着重运用分析性程序等几大突出特点。

二、银行实施风险导向内部审计的可行性与必要性

1、可行性分析

首先，内部控制的实施为倡导风险导向审计奠定了基础。中国人民银行于2002年9月正式颁布《商业银行内部控制指引》，其用意是促进我国银行建立和健全内部控制，防范金融风险，保障银行体系安全稳健运行。对此，近年来，我国银行业积极开展风险管理宣传，对各岗位职责进一步明确，把强化内部控制作为防范内部控制风险，提高履职水平的保障性手段，风险管理逐步深入，初步形成了风险管理组织架构。无疑，内部控制的实施为银行内部审计部门顺利实施风险导向审计奠定了基础。

其次，银行业务的不断扩宽和多样性为风险导向审计的运用提供了有利条件。银行业务经营的高度信息化，以及数据的集中运行，为审计信息采集和风险评估提供了基础。银行业具有较为科学规范的风险管理和严格的内部控制制度，同时国际银行业通行的风险管理和风险评级方法，为风险导向审计开展风险评估，有效识别风险，找准审计的切入点提供了良好的参照和借鉴。

最后，良好的信息化技术平台扩大了风险导向审计的应用空间。随着信息化建设的发展，银行各项业务操作逐步借助计算机来实现，这为银行内部审计部门搜集审计资料、实施审计抽样等提供了便捷的信息平台。借助完善的信息化系统与程序能够为风险导向审计提供信息数据库，为银行内部审计人员开展风险导向审计提供技术支持。以信息手段评估银行风险，为实施风险导向审计提供了便利的环境，使得风险导向审计应用空间扩大。

2、必要性分析

首先，能够降低经营风险。银行作为国民经济发展的命脉，因其经营内容的特殊性和经营模式的高负债性，使得其面临着较大的经营风险。当前经济环境错综复杂，如何有效地进行风险管理成为了银行经营管理中首当其冲的任务。内部审计作为银行风险管理的重要组成部分，当前面临着内部审计资源供需矛盾凸显的情况，而风险导向内部审计理念的诞生，恰好可以解决审计资源供需不平衡的局面，从而提供内部审计质量，降低经营风险。

其次，能够防范操作风险。随着现代市场经济的发展，计算机信息化程度不断提高，银行从业人员操作不当的风险也面临着加剧的局面。风险导向审计以风险为基础，使得内部审计人员始终关注影响风险的因素，能够更加充分地了解银行业务操作的真实性和完整性，并且进行有效分析、风险评估，从而能够及时发现操作风险，并且给予有效的防范。

三、以风险为导向的银行内部审计

1、银行风险导向内部审计概念

银行风险导向内部审计是以银行全面风险管理为导向，从风险识别、计量、监测和控制四个主要阶段，审核银行风险管理的能力和效果，发现并报告潜在的重大风险，提出应对方案并监督风险控制措施的落实情况。

2、银行风险导向内部审计目标

银行风险导向内部审计的目标与其战略目标相一致：一是强化控制、提高效率、防范风险、发现和控制风险，提高风险管理水平，不断完善风险管理系统；二是督促银行各项风险管理目标和措施得到落实，确保银行战略目标的实现；三是通过对风险管理的审计，分析和评估战略目标中不符合风险与收益原则的部分，提出调整战略目标的建议。

3、银行风险导向内部审计方法

银行以风险为导向的内部审计方法是在对风险进行分析和评价的基础上，从控制风险的角度出发，针对银行经营中存在的主要风险提出对策性建议，并就如何降低风险提出改进措施，进而改善银行经营管理，实现银行发展目标。比起以内控为导向的内部审计方法，使用以风险为导向的审计方法对银行来讲更为科学合理。

四、风险导向审计在银行内部审计中的作用

1、揭示运营中的战略性和系统性风险

银行业务经营具有高负债、高风险等特点，面临着国家严格的金融监管和社会监督，这在客观上要求银行必须建立起严格的内部控制和有效的内部审计制度，以揭示运营中的重大风险隐患，保证银行业务经营的稳健发展。风险导向审计在传统账项审计和制度审计基础上发展而来，能够全面进行风险评估，选择重要风险领域，开展审计工作，从而能够揭示运营中的战略性和系统性风险，提高审计质量。

2、有效利用内部审计资源，提高审计的效率和效果

当前，银行业务量大、业务环节复杂、涉及领域广泛，而与之相对应的内部审计资源表现匮乏，在有限的审计资源的前提下，如何进行审计资源配置，提高审计的效率和效果，就成为审计部门的当务之急。审计资源配置是指审计资源在既定的条件下，运用有效的手段或者方式根据审计资源的需求将有限的资源进行分配，以保障审计资源有效供给，最终实现审计目标的一种活动。审计资源配置以效益性为核心，有两点要求：一是使有限的审计资源产出最大的收益；二是为取得预定的效益尽可能少地消耗审计资源。风险导向审计方法通过风险评估，能够合理确定重要性水平，主动控制审计风险，将资源用在高风险领域，能够避免审计资源的浪费，促进审计资源的有效分配和利用。

3、促进银行治理结构的重构和完善

现代银行业金融机构一般实行总分行制，每一层级经营管理架构根据职能隋况进行设置，在总行级，内设的经营管理机构、部门一般为股东大会、董事会、相关委员会、业务管理部门。各银行业金融机构内部管理体制、机制、职责分工因经营管理特点各异而不尽相同。实施风险导向审计立足于对组织经营目标实现风险状况的分析评价，深层次寻找风险管理策略和风险管理体制方面存在的缺陷与不足，并依赖内部审计的相对独立性，提出相应审计建议，能够促进银行对管理架构的反思与调整，使组织治理架构能够根据形势变化得以进一步的重构和完善。

4、对全面风险管理体系的有效补充

全面风险管理，是指对整个银行内各个业务层次，各种类型风险的通盘管理，这种管理要求将信用风险、市场风险、操作风险等以及包含这些风险的各种金融资产与资产组合、承担这些风险的各个业务单位纳入到统一的体系中，对各类风险依据统一的标准进行测量并加总，并依据全部业务的相关性对风险进行控制和管理。实施风险导向审计，从整体上把握审计风险因素，警惕潜在的重大风险，最大限度地减少审计风险。在审计计划、审计实施、审计报告阶段，将风险作为重要考虑因素，在整个审计过程贯穿对风险的关注，充分考虑风险管理的充分性和有效性，是对全面风险管理体系的有效补充。

5、推动银行高效发展，实现银行企业价值最大化

风险导向审计通过科学和精细化的方法、模型，及时检测并揭示金融风险，约束经营行为，促进经营模式的转变和经营行为的理性化，实现风险可控下的高效发展。有助于全面风险管理作用的最大化，并实现银行企业价值的最大化。实施风险导向审计，有助于银行资本、规模、效益持续动态平衡，确保风险计量与监控、资本分配、绩效衡量与考核的质量，并能够增强资产定价的合理性，使风险管理战略更加符合股东、管理层、员工和客户的最大利益，从而实现银行自身企业价值的最大化。

6、确保国家金融体系稳健发展

银行作为国家最主要的金融机构，因其广泛的职能，使得它对整个社会经济活动的影响十分显著，在整个金融体系乃至国民经济中位居特殊而重要的地位。“免疫系统论”理论认为审计是国家经济运行的“免疫系统”，在维护国家安全和人民根本利益方面具有十分重要的作用。“免疫系统论”理论作为科学的理论，对内部审计实践同样具有指导意义。对于银行内部审计而言，通过实施风险导向审计能够很好地发挥内部审计“免疫系统”的功能。风险导向审计以风险管理为导向，在内部审计管理与实施全过程紧盯风险、关注危机，以风险为导向制定审计计划、实施审计程序、根据审计结果进行风险分析与评价，形成对违法违规行为处理的审计意见，提出预防、控制、化解风险的对策建议，从而帮助银行提高风险管理水平，进而稳健整个金融体系的良性发展。

综上所述，随着银行服务范围的日益拓展和金融产品的逐渐多样，银行面临着日益加剧的经营风险，风险导向审计作为一种全新的审计理念，应该被广泛地应用到银行内部审计中去，在吸收国际经验的同时结合自身实际情况，培养实用型的内部审计人才，充分发挥现代风险导向审计的特点，提高审计的质量，降低审计风险，从而提高银行风险管理与经营决策水平。

参考文献：

[1]中国银行业从业人员资格认证办公室：风险管理[M]，中国金融出版社．2007．

[2]谢荣、吴建友：现代风险导向审计理论研究与实务发展[J]．会计研究，2004(4)．

[3]王迈利：商业银行风险导向审计探析[J].经济师，2009(3)．

[4]江勇：风险导向审计模式下对银行信贷业务的风险评估[J]．时代金融，2007(2)．

[5]付国民、朱岚：风险导向审计在我国商业银行的应用前景分析[J]．商场现代化，2006(21)．

商业银行审计风险 篇6

随着银行业信息化建设的快速发展，信息系统不仅为各项业务的运营提供后台支持保障，而且随着新产品、新业务和新流程的不断推出，信息系统日益成为业务发展的直接驱动力和核心竞争力，因此信息系统在业务应用中的风险范围和程度也急剧加大，大量数据存储于计算机中，与手工相比，它会受到更多的威胁。因此，有效控制信息系统在业务应用中的风险成为摆在我们面前的一大课题。

1信息技术的广泛应用给银行带来的风险

银行的IT风险不仅涵盖了传统的操作风险、信誉风险，还包含了在银行的经营管理过程中，所表现出的许多与信息化相关联的其他类型风险。商业银行的内控应该以风险管理为中心，尤其离不开IT风险管理的支持。IT风险主要表现在：

(1)业务风险发生后一般可以通过业务流程、法律手段等加以弥补，而IT风险发生后往往难以弥补；

(2)IT风险的对象要考虑各类技术设施，相对来讲比较复杂；

(3)业务风险通过制度、流程、审批等环节能够基本加以控制，而IT风险中的IT设施自身存在这样那样的缺陷，要控制就相对复杂；

(4)IT风险发生后波及范围大、影响大，例如目前大多数银行采取的IT系统大集中模式，一旦IT风险发生，将会影响到上百万的用户。

2银行信息技术审计的重点

银行信息技术审计是一个采集资料数据及对其进行评估，以确定电脑系统是否能达到“保护银行资产、维护数据的完整性、有效地协助银行实现其经营管理目标、高效率地利用资源”的效果。依据这一审计理念，信息技术审计的重点应包括应用控制，以及与应用控制对应的是信息系统的一般性控制，主要是嵌入到IT流程和服务中的控制。

2１1一般性控制方面

IT一般控制的基本范围是IT内部普遍存在的风险及高层次的风险，而不是具体的应用程序所涉及的风险。IT一般控制包括但不限于以下类型：

(1)授权审批：授权包括根据政策及程序执行审批操作。

(2)职责分离：将不相容岗位的职责分离，防止个别人员利用职权作出并隐瞒错误或违规的行为。

(3)管理层审阅：独立于编制人的人员对编制人进行的活动进行分析并实施监控。

(4)特殊事项报告：用于监控发现的特殊事项以及对这些事项的跟进解决措施的报告。

(5)IT绩效指标：包括定期和不定期生成、审阅和分析IT绩效指标。

(6)系统访问权限：在信息系统操作环境中，通过系统设置以决定和定义系统用户的访问权限，系统访问权限应与授权的权限相一致。

2１2应用控制方面

IT应用控制存在于每一个基于应用系统的事务及数据处理中，是针对输入、处理和输出功能的控制，信息系统的应用控制审计是利用标准、规范和审计技术，对信息系统进行测试、检查和评价，检查应用系统是否存在漏洞和功能缺陷，评价信息系统的安全性、稳定性和有效性，并提出相应的改造建议。IT应用控制包括但不限于以下类型：

(1)输入控制

①输入／数据源控制：输入控制程序必须确保每一笔需要被处理的数据能够正确完整地接受、处理和记录。

②输入授权：输入授权验证所有由管理层授权和批准的事务，输入授权有助于确保只有经授权的数据才能进入计算机系统进行处理。

③批处理控制：批处理控制对输入事务进行分组以提供总计控制，批处理控制包括基于总金额、总项目数、总文件数等控制手段。

④错误报告和错误处理方法：输入处理要求系统内部控制能够验证输入数据被系统正确地接受，输入错误会被识别和纠正。

⑤数据确认和编辑检查：建立程序以保证输入数据被确认，通过在程序中设定输入格式，确保数据以正确的格式被输入到正确的区域。

(2)处理控制

处理控制保证计算数据的完整性和准确性。这类控制保证数据在文件或数据库中的完整和准确，只有授权的处理或修改程序才能对数据进行更改。

(3)输出控制

输出控制主要是保证交付给用户的数据是符合格式要求的、可交付的，并以一致和安全的方式递交给用户或不同的系统。

3银行信息技术审计的方法

信息技术审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的企业目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。下面结合笔者开展审计项目的实践，就相关审计方法归纳如下：

(1)调查问卷法

调查问卷法是审计人员针对取证对象设计问卷，对于问卷不能解释清楚的部分在附注中用文字加以说明，要求被调查人员根据实际情况做出真实回答的取证方法。

(2)询问法

询问法是指审计人员在审计现场向取证对象了解信息系统开发、运行管理等方面情况的审计方法，访谈对象必须是执行该项控制的岗位人员。

(3)观察法

观察法是审计人员采用检查操作用户权限与被审单位内控制度、现场观察测试操作、分析系统的操作日志和分析系统业务数据等审计方法，对于正在执行的控制步骤是主要测试方法。

(4)书面文档检查法

该方法是指审计人员查阅被审计对象的信息技术政策、规章制度、项目的业务需求、设计文档、技术手册和操作手册、差错调整等相关文档的审计过程，用以了解系统业务处理流程，检查信息系统控制功能是否有效、完整。

(5)开发环境测试法

该方法是指审计人员设计一些测试案例，提交系统进行处理，以测试系统应用控制是否恰当、有效。

(6)穿行测试法

该方法主要是由审计人员通过重新执行某项控制，检查该项控制实际执行结果是否准确的方法。

(7)源代码走查法

商业银行审计风险与防控策略初探 篇7

当今社会中商业银行已经成为我国国民经济发展的基础,为了我国国民经济的更好发展,商业银行必须不断提高自身的经济效益,最大程度降低风险性,纵观整个社会形势用发展的眼光做事。随着全球经济危机的不断冲击以及全球经济萎靡现象的到来,我国各商业银行都开始制定并实施一系列的措施,这些措施也发挥了一定的作用,比如说提高资产负债规模、业务产品的创新等等。但是经济的风险是无处不在的,因此,我国各商业银行要分析社会形势,将风险降到最低,做好商业银行审计风险的防控工作,保证商业银行得以可持续健康发展。

二、商业银行审计风险

随着社会的发展,商业银行的审计工作由传统的财务收支审计逐渐转变为“风险、管理、效益”等的审计,各商业银行对审计的重视程度也越来越大。所谓“审计风险”则是指审计工作人员在审计工作后表达错误或不合理的审计意见的可能性,它主要包括固有风险、控制风险以及检查风险这三类。

(一)固有风险

所谓“固有风险”是指商业银行假如没有内部控制制度,商业银行的某个业务环节出现重大的违法问题的可能性。我国商业银行出现固有风险的可能性比较高,它是由于其自身经营货币的独特性质造成的,可能会出现在银行经营管理的各个环节。

(二)控制风险

所谓“控制风险”是指商业银行的业务环节中出现了大的违法违纪问题,但是并没有被银行内部发现、控制和纠正的可能性。这一风险的实质是商业银行的内部控制制度在执行过程中的有效性问题。再加上我国商业银行企业权利过于集中,工作人员素质较低,银行内部控制制度的执行力度明显较低。

(三)检查风险

“检查风险”则是指审计后商业银行的业务环节中出现的重大违法违纪问题未被发现,并且给出了错误意见的可能性。这一风险是审计风险中唯一的可以由审计人员控制的。

商业银行审计风险是由以上提到的固有风险、控制风险以及检查风险共同作用的,其中固有风险是银行本身特点造成的;控制风险是银行经营管理过程中形成的,这两类风险都是商业银行审计部门和审计工作人员无法控制的。因此,我国商业银行应该将审计风险防控重点放在检查风险上。

三、商业银行审计风险的防控策略

我国商业银行审计风险所形成的原因也是多方面的,比如说审计工作力度不够、审计工作人员自身知识能力匮乏、审计工作技术不先进、审计工作不规范等等。

(一)提高审计风险意识

我国各商业银行的审计部门以及审计人员都应该提高风险意识,只有从思想上提高风险意识,工作人员才能在每一个工作环节提高职业责任感,及时发现并解决审计工作中存在的问题,这样才能从根本上做到审计风险的防控。商业银行审计部门以及审计人员的风险意识直接影响了审计风险的防控能力。

(二)加大审计人员的能力培训

社会是不断发展进步的,商业银行的审计人员应该不断更新自己的知识库,通过日常的学习掌握新知识、新技能等。商业银行应该切实重视审计人员的业务培训,提高审计人员自身的知识素质能力,银行审计部门应该定期组织审计人员参加经济、金融以及法律等方面的培训。审计人员自身的知识水平、法律意识得到提高,才能更好的完成审计工作,从而大大降低商业银行的审计风险。

(三)提高审计技术

随着时代的发展,我国计算机等科学技术得到了飞速的发展,在商业银行的审计工作中,应该充分发挥先进科学技术的作用,加大开发商业银行审计软件的工作力度。通过一些先进的现代化的审计软件,可以更好的完成审计工作中数据处理、分析等工作。先进的科学技术在审计工作中的应用,不仅可以大大提高商业银行的审计工作质量和效率,还可以降低审计工作的风险。

(四)规范审计工作程序

商业银行应该制定审计工作的规范化程序,这样可以保证审计工作有章可循。由于目前我国商业银行的发展规模越来越大,只有切实控制审计风险,特别是可以由审计人员控制的检查风险。商业银行的审计机关应该严格按照程序规定,做好审计工作中的每一步,对工作中的每个阶段都实行严格的把关。审计工作开始前要充分调查,制定合理的方案计划;在工作过程中,要严格遵守要求,提高工作效率。商业银行的审计工作只有不断加强规范性,才能降低审计风险。

四、结束语

总之,随着我国金融对外开放工作的实施和深入,我国商业银行审计工作产生了巨大的影响。商业银行在发展过程中,业务内容和形式不断丰富,审计风险也随之而生。由于商业银行在我国金融体系中占有十分重要的作用,对我国国民经济水平的稳定和提高有着不可替代的影响,因此,我国应该重视商业银行中存在的审计风险,及时的发现各商业银行存在的审计风险隐患,切实做好审计风险的防控工作。

摘要：商业银行是一个主要以经营货比为主的企业,有着极高的风险性、效益性。就我国社会经济发展的形势来说,商业银行的利润来源困难,风险越来越大,其中审计风险就是重要的一项。本篇文章我们主要围绕商业银行的审计风险展开,分析审计风险的具体表现,并且制定相关的防控策略,从而提高商业银行的经济效益。

关键词：商业银行,审计风险,防控策略,国民经济

参考文献

[1]李思涵.商业银行审计风险与管理探析[J].现代经济信息,2014年4期

[2]黄煜,华严冬.商业银行经济责任审计风险及管控[J].时代金融(中旬),2015年6期

[3]李传奎.新巴塞尔协议背景下银行审计风险问题研究[J].科技致富向导,2011年3期

浅析商业银行的审计风险与控制 篇8

一、商业银行审计风险的定义及种类

审计风险是指审计人员没有发现被审计单位的财务存在的重大错弊, 做出与被审计单位财务状况不相符的审计结论的可能性。

商业银行审计风险分为固有风险、控制风险和检查风险三类。

首先, 商业银行审计的固有风险是指商业银行在没有内部控制的前提下, 某一经营业务环节出现重大问题的可能性。商业银行本是一个高风险、高负债的特殊行业, 由于所经营的货币本身的特殊性, 商业银行固有风险较高, 广泛存在于其经营管理的各个方面, 不受审计人员的控制。

其次, 商业银行审计的控制风险是指某一经营业务环节存在重大问题, 但是银行的内部控制没有及时预防、发现并纠正的可能性。商业银行审计的内部风险从实质上说就是银行内部控制制度实施是否有效的问题。长期以来, 我国的商业银行尤其是国有的商业银行, 员工的整体素质不高, 每个级别的“一把手”的职权过于集中, 使得商业银行的内部控制在实施的过程中总是遇到这样或者那样的问题, 内部控制的效果不明显, 因此形成也较高的商业银行审计的控制风险。控制风险也是审计人员无法控制的。

再次, 商业银行审计的检查风险是指某一经营业务环节出现了重大问题, 但是审计并没有及时发现, 并出具不恰当的审计意见的可能性。商业银行审计的检查风险是可以由审计机构控制的风险。控制检查风险, 是控制商业银行审计风险的有效途径, 对审计意见的最终形成有重大作用。

二、商业银行审计风险形成的原因

商业银行审计风险是由多种因素共同作用形成的, 其中既有人为的因素、审计质量的因素和管理因素, 也有审计方法和审计技术的因素。具体来说主要有以下几个方面:

1. 缺乏审计风险意识。

只要有经营业务就会有风险, 风险是客观存在的, 它存在于商业银行各种项目的审计过程中, 审计风险是无法消除的。对近年来的商业银行审计结果进行分析并对内部控制执行的结果进行观察, 虽然还没有发现由风险引发损失的案例, 但是对已审计项目进行反思与回顾发现, 部分审计项目仍然存在着审计风险隐患和部分风险漏洞。这些审计风险事项产生的原因一是没有健全完整的风险管理体系, 二是缺乏对风险防范和控制的技术方法, 三是审计人员没有在思想观念和意识上引起足够的重视。

2. 审计的理念和方法技术不先进。

一方面, 现代商业银行审计的重点已经转向内部控制审计和经营风险审计, 但是现阶段很多商业银行的审计仍然停留在对银行日常经营业务的常规审计上, 还是以查证帐表为主, 没有对风险控制因素进行充分考虑, 这就加大了商业银行审计的风险。另一方面, 现代商业银行的信息化程度提高很快, 审计技术还停留在对账表审计的基础上, 无法适应商业银行审计需求;对商业银行的风险因素控制不力, 准确判断的水平不高, 实质性测试的重点和范围的选取存在一定的问题, 审计中样本数量抽取有限, 增大了审计风险;少数的审计人员并没有严格的执行审计准则, 对个别商业银行忽略重要的审计步骤, 导致审计记录不完整、不细致, 审计风险增大。另外, 广泛开展计算机审计后, 审计软件开发的速度不够快, 影响了审计工作开展的效率。

3. 审计人员的技术水平不能适应商业银行审计的要求。

现阶段, 在我国的审计机构中, 既具有较高的审计和金融知识水平, 又具有多年的审计金融工作经验的专业人员, 占得比例很小。首先, 很多从事过多年金融行业审计的人员虽然具有审计经验, 但是没有合理扎实的金融知识结构, 面对现代商业银行新业务的增加和新产品的出台, 就会感到力不从心, 他们审计的重点只能放在财务收支上, 对商业银行新业务的审计存在很大的困难。其次, 审计人员的知识结构层次不一, 虽然现在的审计人员大多数都是审计岗位的骨干人员, 但是他们中间受过正规涉及培训的人员较少, 在宏观上把握的能力不强, 综合分析能力较弱。再次, 审计人员往往不能及时更新相关知识, 相关的设计理论和审计实务存在较严重的脱钩现象, 审计人员的适度流动和相对稳定的关系没有处理好, 审计人员缺乏稳定性。

4. 审计工作程序不规范。

从审计的立项到审计的开始、审计报告的提出, 整个审计过程包括审计的准备、审计的实施、出具审计报告、审计的终结以及后续审计等环节, 如果审计行为在任一环节出现不规范的行为, 就会产生审计风险。从现阶段商业银行的审计过程看, 往往对审计程序不重视, 主要表现为:实施审计前没有进行充分的调查, 审计的实施方案缺乏合理性和针对性, 对内控测试、重要性水平的认识不足等, 这些问题都会引起审计风险的产生。

5. 审计缺乏质量控制标准。

有效、完整的审计质量控制体系可以规范审计行为、增强审计人员的责任意识和质量意识, 对审计风险的降低起着保障作用。当前, 审计机关已经建立了国家审计准则、专业准则、通用准则、操作指南等相关的审计质量控制标准, 但是以上标准定性内容较多, 定量内容较少。一方面, 没有对重要性水平、风险的评估标准和符合性测试的方法步骤等制定出科学合理的标准。另一方面, 质量控制失去应有的作用, 有些项目的审计质量问题只有到出现问题时才被会发现, 质量检查制度不够完善。

三、防范商业银行审计风险的对策

1、加强风险防范意识。

一方面, 应该提高对审计环境和审计客体的风险意识, 研究我国的金融政策, 发现政策中的风险环节所在, 研究被审计对象的经营管理体制, 对其内部控制环节和内部控制制度的有效性和完整性进行科学评估。另一方面, 要加强对审计主体风险的控制, 审计机关采取的对策是控制和防范审计风险的关键, 可以在审计机关内部建立绩效评价机制来预警和识别审计风险, 在一定的程度上来降低审计风险。》转22页

2、加强对审计人员的业务培训, 努力提高审计人员的综合素质。

首先, 建立审计人员的素质控制体系, 明确审计人员的素质标准, 使其能够适应并驾驭审计工作。审计人员的素质标准应该包括:政治素质标准, 用定性指标来衡量审计人员的政治素质;业务素质标准, 用定性指标和定量指标相结合来衡量审计人员的业务素质标准, 其中定性指标包括懂得审计法律法规, 熟悉审计的基本知识, 熟悉有关的会计知识, 熟悉一定的经济管理知识等, 定量指标主要是审计人员取得的相关的专业技术职称以及个人的成果等等;文化标准, 审计人员具有的文化程度以及所具备的分析能力、组织能力等。其次, 应该制定详尽的审计人员的培训计划, 培训时间、培训内容、培训内容等都要包括在计划之内。从事银行审计的审计人员还应该接受金融业务和计算机业务的培训, 使审计人员能够广泛接触到企业行业的相关知识, 增长见识, 提高自身的综合素质。

3、提高计算机的应用水平, 大力开发审计软件。

随着计算机的广泛应用和商业银行的业务不断的发展, 审计人员需要开发与商业银行审计相配套的计算机审计软件, 建立与商业银行的数据接口, 以便能够更方便的对商业银行的数据进行处理和分析, 提升审计工作的质量和审计的效率, 以此降低审计风险。

4、规范审计的操作行为, 严格执行审计程序。

现阶段, 商业银行的业务不断扩展, 金融衍生品不断增多, 金融创新不断发展, 要控制好商业银行的审计风险, 必须严格执行商业银行审计的程序, 规范审计的操作行为。要对审计行为的各个环节进行严格的把关, 审计之前进行充分的分析调查, 制定具有针对性的审计方案, 审计工作开展的过程中, 运用内控测试和重要性水平提高审计工作的质量。此外, 还应该对审计的全过程进行科学有效的质量控制, 加强对商业银行业务的审理工作。

5、加强对审计工作的质量控制, 提高质量控制的水平。

建立健全审计质量控制体系, 在方法上, 要充分利用计算机技术, 对不同的审计阶段, 制定审计方案、审计证据、审计日记以及审计底稿、审计报告草案等每个环节的质量控制。利用计算机软件提供的控制功能和操作权限, 设置质量控制点, 使未履行本程序的, 不能进入下一程序。在不影响审计人员操作的基础上, 各级领导对审计工作进行实时监控。另外, 成立专门的审计质量监督机构, 对审计质量进行监督检查, 追求审计责任, 发挥对审计质量的制约和监督作用。

摘要：本文介绍了商业银行审计风险的定义和分类, 指出了商业银行审计风险产生的原因主要是缺乏风险意识、审计技术落后、审计人员的技术水平制约、工作程序不规范以及缺乏相应的质量监督等。建议从加强风险意识、提高审计人员的综合素质、开发审计软件、规范操作行为和加强审计质量监督等方面来控制商业银行的审计风险。

关键词：商业银行审计,风险,控制

参考文献

[1]、杨东.对规避审计风险提高商业银行审计质量的思考[J].审计监督, 2007, (3)

[2]、刘家义.关于我国金融审计的思考[J].审计研究, 2002, (5)

[3]、杨景.浅谈计算机审计的风险成因和防范[J].工业审计, 2005, (4)

商业银行审计风险 篇9

理顺思路才能把握住正确方向。审计正常类贷款要以风险为导向, 审计前不仅要认真研究审计抽样, 明确疑点、难点, 还应总体把握、抓住特点、重点。审计思路如下:

一是“有什么”?充分利用现代审计技术手段, 对由非现场生成的样本疑点线索和初步掌握的信息资料进行初步分析, 通过整体把握、筛选鉴别, 判断所审计业务中有没有问题。

二是“是什么”?如果判断审计样本中有问题, 要明确重点, 按照审计程序多策并举、内查外调取证, 认定是什么性质 (如系统性风险、能力风险或舞弊风险) 问题, 锲而不舍, 深度挖掘。

三是“为什么”?进一步核查, 查找问题产生的原因和症结并深入分析, 对照有关法律法规和内部审计依据, 对发现问题作出合理、准确的定性和评价, 得出正确的审计结论。

四是“怎么办”?从完善机制、体制和制度建设层面积极寻求从源头和根本上解决问题, 有针对性地提出具有可操作性和时效性的审计意见和管理建议。

二、对正常类法人贷款进行审计的方法

(一) 着眼企业和贷款行两个基点发现审计线索

1.正常类法人贷款风险审计的切入点是企业。 (1) 从原始文件或账证中发现虚假注资线索:企业虚假注资一般是采用从企业或个人借入资金, 验资后归还。因此, 必须查阅公司章程, 弄清企业注资或增资时间时点。如验资账户在本行, 通过查询企业存款分户账和相关凭证查证资金流入和流出情况, 关注是否存在抽逃资本金问题。如验资账户在他行, 核查验资报告及所附存款函证、转账凭证等证明资料的真实性。

(2) 对比分析数据发现虚假会计报表线索:一是了解借款企业的性质, 如企业性质为商贸性企业, 一般是流动资产占比较重;生产性企业则固定资产占比较重等;企业类型不同, 会计报表中资产分布不同。二是比较两个年度以上会计报表, 对比分析报表中重点科目 (应收、应付账款和存货等) 的异常变动及不合理变化, 审查是否虚增资产和利润, 是否人为操纵报表数据掩盖企业真实经营情况, 找出差异。三是查看会计报表附注, 验证报表明细的合理性。如应收和预付账款的账龄是否合理, 是否存在不合理的挂账, 是否有企业股东及股东近亲或员工长期在公司长期有大额借款等问题。四是查看资产负债表, 现金流量表、损益表等报表数据勾稽关系是否衔接、合理, 必要时延伸审计, 到企业核实账务或到税务部门调阅企业纳税申报情况, 上市公司可借助公开披露的财务信息辅证。

(3) 通过现场勘察发现虚假项目、虚假抵押等线索:对无法确证的问题, 通过现场观察取证, 如房地产项目建设情况, 贷款抵押品的真实性、有效性、合理性和可实现性, 企业生产能力和经营规模, 目前是否关停等。实地查看宜突击进行, 勘察要带着问题去寻找发现。

(4) 追踪贷款资金流向发现虚构贷款用途线索:企业贷款的目的是为了使用。一是审阅企业申请资料及购销合同等证明材料, 关注贷款用途与其经营范围和规模以及交易对手的经营范围与合同约定用途是否相符。对关联交易, 重点关注交易背景的真实性;二是查看贷款资金流向情况, 是否按合同规定使用贷款资金。

2.从商业银行内部运作环节查证风险。 (1) 查证贷前调查企业信用状况。验证贷前调查报告是否客观、真实反映了企业不良信用记录和逃废债行为等风险信息。通过商业银行内部查询系统、人行征信系统、法院系统、行业协会等渠道了解企业及其主要股东、法定代表人、高管层信用记录情况。

(2) 核实调查报告中的重要数据。粉饰借款人及担保人财务数据的目的是为满足贷款准入条件提供便利。而盲目采信企业提供的数据, 可能误导审查、审批。因此, 要关注调查报告中企业财务因素分析, 核实报告中引用的财务数据, 查看有无隐瞒重要信息、虚夸财务数据情况。

(3) 审核贷款需求的合理性。重点关注企业资金需求是否与其生产经营匹配、负债是否超出合理承受能力, 是否存在盲目扩大生产或多元化投资倾向。是否通过人为调整采用过时或虚假报表数据测算营运资金缺口、变相提高贷款额度延缓风险暴露。重点关注是否人为掩盖贷款形态, 是否存在道德风险。

(4) 查看还贷资金来源。企业现金流紧张, 贷款到期一般采用借款还贷, 贷后归还方式。通过审阅企业存款分户账、相关凭证等核实还贷资金是否为经营现金流入。关注还贷资金来源于贷款资金、关联企业、民间融资、本行员工账户。

(5) 识别贷款担保风险。主要从担保环节的有效性、合法性着手;审查保证人担保能力或意愿, 是否存在互保、循环担保现象;集团客户关联保证是否超过规定比例;押品估值是否合理、测算质抵押率能否覆盖信贷风险。采取实地观察法, 重点关注有法律瑕疵、变现能力弱的抵押品。

(6) 贷后管理是否落实。一是贷后跟踪检查是否掌握企业真实经营状况, 分析第一还款来源是否有劣变风险;对企业重大风险事项是否及时核实并报告。二是通过审核结算账户资金往来明细, 分析企业货款归行, 存款和结算份额与信用占比是否匹配。

(二) 多维取证间接查询审计线索

1.充分利用公用网络信息平台强大功能查询企业及行业信息, 获取有价值线索。如:到当地工商局网站查询著名商标、免检企业名录及吊销企业名录等相关信息;登陆当地国税局网核查发票的真实性;登陆法院网查询诉讼案件等。

2.高度重视群众举报内容, 群众举报信息往往来自内外部情况的知情者, 为审计提供了线索方向, 对不确定性线索, 按照审计程序查证举报线索的真实性。对被审计行内部员工举报的线索, 一般可信度和价值较高, 甚至就是一些大、要案审计线索的突破口, 要进一步追踪, 一查到底。

3.借助访谈、闲聊找有关当事人核实资料中无法确定的问题, 可以作访谈笔录或要当事人将谈话内容写出书面材料。对一些看似合情合理尚不能弄清的事实真相, 要善于观察和发现, 有意识地提出问题, 通过不同人员对同一问题所阐述情况不同, 分析对比、找出差异, 以此求得突破, 锁定、寻找出审计线索。

4.高度关注以前年度内外部监管检查发现问题及整改情况。一方面, 通过共享检查资源减少审计成本, 开拓审计思路, 针对问题的整改到位、风险可控状况, 综合评估审计风险;另一方面, 利用已有检查成果不能只停留在证实问题是否仍然存在。通过深入思考、分析研判, 可能新发现更多违规、违纪线索。

摘要：银行贷款风险分类形态为正常类的基本特征是“贷款状态一切正常”。商业银行内部审计中, 如何审计正常类法人贷款?如何透过“正常”表象发现、揭示正常类法人贷款中已存在或潜在的风险?这是商业银行信贷业务审计的一大难点, 本文结合笔者银行审计工作实践, 理顺审计思路, 重点阐述了发现审计线索的方法。

关键词：内部审计,正常类法人贷款,思路与方法

参考文献

商业银行审计风险 篇10

根据银监会2009年颁布的《商业银行信息科技风险管理指引》和中国内部审计协会制定的《内部审计具体准则第28号———信息科技审计》, 信息科技风险是指“信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险”。内部审计机构及人员应对本机构信息系统及其相关的信息技术内部控制和流程开展一系列综合检查、评价与报告活动, 即信息科技审计。

信息科技审计是审计的一种类型, 与其他审计工作的不同在于, 其任务范围涵盖自系统规划、研发至系统监控及退出的整个软、硬件生命周期。最终目的是保证组织的信息科技战略与业务战略目标相一致, 提高组织运行所依赖信息系统的可靠性、稳定性、安全性及数据的完整性和准确性, 提高系统运行效果, 合理保证系统运行符合法规及监管要求。在此过程中, 审计人员要将风险评估思想贯穿于审计计划、实施、报告及后续各个阶段。

二、信息科技审计的分类

根据监管部门的界定, 信息科技审计主要包括总体风险审计、系统审阅和专项风险审计三种方式。其中, 总体风险审计是指对本机构所有信息系统共有的公共部分 (如数据集市、数据整合平台、渠道整合平台、应用整合平台等) 进行审计, 实施总体风险控制。信息系统的系统审阅是指对研发、运行及退出的全过程进行审计, 分投产前与投产后的审阅。投产前的系统审阅是指审计人员采用非现场方式, 对信息项目开发过程中所提交的有关文档资料进行审阅, 指出其中存在的风险, 了解是否已采取相应的控制措施, 然后提出评价和建议。系统投产前审阅主要关注信息系统的安全控制、权限设置、正确性、连贯性、完整性、可审计性和及时性等内容, 尤其重视对关键交易的数据处理流程、交易接口和其他重要的安全事项的审查和测试。投产后的系统审阅是指在系统投产一段时间后进行的审计, 旨在评估系统各项风险控制是否恰当, 能否实现预定设计目标。这项工作大多在信息系统投产6个月后进行, 审计人员要评价被审计的信息系统是否需要改进或增加风险控制措施, 系统运行维护水平是否稳定可靠。信息系统专项风险审计是指对信息安全事故和系统重大结构调整进行的专项调查、分析与评估。

三、信息科技审计常用方法与工作思路

审计人员在对信息技术相关内部控制及流程进行审计时可单独或综合应用下述审计方法, 进而获取充分、适当的审计证据, 以评估信息系统及内部控制的适当性和有效性。

在确保独立性、客观性及职业判断的前提下, 审计人员可先行回顾早前版本的审计结果或评估报告, 明确审计重点;之后, 审计人员可向系统终端用户发放调查问卷, 通过对系统功能、反应速度、界面友好性、流程感受等方面的应答统计分析了解系统客户的使用体验;第三步, 审计人员可以查阅组织架构图、与系统建设相关的审批文件、业务需求书、开发文档及测试、验收报告、运行管理文档、系统日志等文件和报告, 明确信息科技相关部门及人员构成和系统建设的动态情况。

之后, 审计人员可以根据信息系统的业务属性, 进行系统内全流程穿行测试和系统计算逻辑验证工作, 追踪交易在系统中的处理过程, 判断数据在系统间传递的一致性。在此环节, 审计人员也可通过搭建系统模拟运行环境或利用系统备机, 采取平行模拟操作、试探性操作、计算机辅助审计工具等方法, 对系统的内部控制功能进行审计检测, 并观察“多点登陆”、“定时退出”等特定控制的运用状况。

四、信息科技审计实践中常见的各类风险

信息科技审计实践中常见的风险问题主要包括:

(一) 信息科技风险管理架构尚待理顺

良好的公司治理架构是做好信息科技风险管理工作的前提和保障。在很多商业银行, 虽然在总行层面都设有信息技术委员会和风险管理委员会, 管理部门也包括信息科技部和风险管理部, 但是从全行的角度来讲, 在信息科技风险归哪个管理部门履行职责方面, 往往存在推诿扯皮, 报告路线也不清晰, 这种状况将极大地影响到全行层面的信息科技风险管理水平。

(二) 外包风险管理效果欠佳

由于信息科技开发实力的限制, 考虑到监管指引的急迫性, 很多商业银行都部分甚至全部采用外包方式开发信息系统。但在此过程中, 经常忽略对信息科技外包风险的防范, 比如, 在对外包人员的管理方面, 并未遵循“必需知道”和“最小授权”的原则对外包人员进行授权, 部分外包人员掌握个别系统应用系统管理员账号, 并具有访问生产环境对系统进行数据修改、配置变更、程序移植等操作的权限。外包第三方利益体的引入虽然一定程度上解决了效率和经验问题, 但由此衍生的法律、操作风险, 乃至声誉风险值得银行业界加强关注和防控。

(三) 数据标准管理有待加强

在一些银行, 虽已制定数据标准用于规范业务和管理数据的格式和内涵, 但没有建立明确的数据管控机构对标准的颁布实施、执行、监督、更新维护等流程进行统一管理。而且, 在一些情况下, 数据标准中部分内容的使用部门和制定部门由于缺乏充分的沟通, 导致业务需要和格式定义未能统一, 各自提出业务需求的独立系统在协同整合时出现“同一指代含义、各自界定实施”的情况。

(四) 信息安全管理措施有待加强

近年来, 由于人民银行、银监会等金融监管机构频繁发布风险提示, 各个商业银行更为重视信息安全管理水平的完善与提升, 比如组织应急演练、开展漏洞扫描、监控入侵检测等。但信息安全管理体系仍存在若干隐患和漏洞, 比如, 对业务系统的数据库、操作系统及应用日志缺乏保管、监控及定期审阅机制;当桌面电脑终端的防病毒软件病毒库更新失败时没有进行后续处理和补充。

(五) 系统用户角色和权限管理需进一步加强

随着信息系统的逐步上线及业务发展, 很多商业银行都在组织架构、人员安排上发生了较大的变化, 而在此过程中信息系统的用户权限往往滞后于实际情况。启用权限有人管理, 审批清晰, 但是用户变更管理并不到位, 很多银行都没有建立用户角色及权限的定期审阅机制, 造成部分系统存在冗余账号。比如, 外包人员、外部监管检查人员、系统测试人员、已调离人员的账号不妥当地留存于系统中;有时, 系统内不相容岗位的实际权限也被同一业务操作人员所掌握;也有时, 用户角色及权限的修改、删除并未得到管理层的授权审批。这种权限管理的疏忽往往积少成多, 成为日后操作风险突然爆发的根源。

五、提升银行信息科技审计水平的几点对策

为做好商业银行信息科技工作, 提升信息科技风险管控水平, 加强以风险为导向的信息科技审计工作, 可以从如下方面加强研究与实践。

(一) 制度先行, 做好组织保障

考虑到信息科技审计与其他类型审计在业务技能要求上的不同, 设置信息科技审计相应的职能机构、配备专职人员, 是推动信息科技审计走向更高水平的前提和保障。此外, 审计制度规定的出台, 往往可以既规范审计人员行为、确保审计质量, 同时也可以在全行范围内引起对此项工作的更多重视, 减少工作阻力。

(二) 以查代训, 提升实践水平

信息科技审计工作初期, 根据内审人员队伍的状况, 商业银行可确定如下基本工作方针:以审计计算机业务应用系统的操作、运维情况为突破口, 不断探索信息科技审计方法和内容, 逐步扩大审计范围, 通过审计实践, 培养人才, 锻炼队伍。在审计过程中, 商业银行可通过“以查代训”方式, 锻炼、培养审计队伍。

(三) 强化培训, 拓展审计视野

信息科技审计培训是巩固基本理论、丰富审计思路、交流工作实践经验的重要平台, 可分批分次选派审计人员参加理论、实务、案例相结合的审计培训, 使其尽快了解信息科技审计国内外发展趋势、后SOX法案时代内部控制与信息科技审计、数据库审计、Windows审计、Unix审计、数据中心审计、审计管理系统等相关内容, 拓展其审计视野, 强化信息科技审计中理论与实践的结合, 全面提升信息科技审计人员的综合素质。

(四) 比较研究, 支撑工作实践

为更好地学习借鉴国际金融同业先进的IT治理理念, 提高商业银行自身信息科技审计水平, 可尝试性开展对国际通用的IT审计标准“信息与相关技术控制目标” (CO-BIT) 的研究与分析。此项研究工作, 对形成信息科技审计评价与判断标准, 完善审计操作规程, 提高信息科技审计技术水平有重要意义。

商业银行审计风险 篇11

【关键词】内部审计；农商银行；风险防控

近年来，农商银行的规模体系不断扩大，取得了令人瞩目的发展成就。为巩固农商银行发展成果，亟需加强内部审计研究，充分发挥内部审计在农商银行风险识别、监控、防范等各个环节的积极作用，推动农商银行又快又好发展。

一、农村商业银行风险的主要表现形式

1.信用风险

信用风险是指交易对手不能如期履约而造成损失的风险，也就是借款人无法按时偿还本息而使银行实际收益偏离预期收益的可能性。对农商银行来说，信贷资金投放出去以后，只有在规定期限内安全收回，实现信贷资金良性循环，才能维持自身正常经营运作。但由于信用活动本身的不确定性，加之信贷市场中复杂环境因素的影响，贷款人很可能出现逆向选择及道德风险行为，特别是贷款人的经营效益不理想时，信用风险大为增加，使银行生成逾期贷款，一旦逾期贷款积累到超过银行储备资产的程度，就会给银行资金的正常运作带来巨大威胁。

2.流动性风险

流动性风险是指农商银行无力为负债的减少或资产的增加提供融资而导致损失甚至破产的风险。近年来，我国农商银行保持快速发展势头，但部分农商银行一味看重贷款资金的高速增长，严重欠缺流动性管理观念，长期以往就会导致银行流动性不足，不能以合理成本迅速增加负债或变现资产以获取充足资金，使自身盈利水平大幅下滑，甚至出现资不抵债的局面。

3.市场风险

市场利率的频繁波动也可能给农商银行带来一定损失。利率作为银行衡量筹资成本与投资收益的基本指标，对银行经营利润有直接影响，现阶段农商银行的主要收入就来自存贷款利率差。但利率作为国家经济调控的重要工具之一，会根据金融经济形势的变化而进行动态调整，很可能造成农商银行资金头寸不匹配、资产结构与资产期限失衡等问题，进而导致银行收支的不一致。

4.操作风险

操作风险是指因不完善的操作流程、操作系统或操作人员自身问题而使银行遭受损失的风险，对农商银行而言，最严重的操作风险当属会计操作风险与贷款操作风险。农商银行点多面广，其业务大多额度较小、但数量较多，在日常会计操作过程中经常出现人为简化操作流程、业务交接不规范、凭证审核不严等情况，从而弱化了内控机制的有效性。部分临柜人员的信息操作水平有限，只能进行一些简单操作，而风险防范意识不足，容易出现密码泄露情况，由此造成一些不必要的经济案件。在贷款操作方面，部分农商银行存在贷前调查不深入、对逾期贷款催收力度不足、办理抵押贷款不合规等问题，给银行发展造成巨大隐患。此外，内部人员违背职业道德，利用职责便利套取银行资金，或违规发放贷款以谋取私人利益等，也会给银行带来巨大的经济及信誉损失。

5.政策风险

农商银行直接接受央行监管，央行基于国际经济发展环境变化所出台的各项货币信贷政策，会直接影响农商银行信贷资金的投向及投量，如果农商银行未紧跟政策变化调整自身经营策略，就可能触犯政策规定而面临处罚。

二、内部审计在农村商业银行风险防控中的主要作用

1.客观识别风险

首先，内部审计独立于农商银行的其他业务管理部门，能够从全局、客观角度出发，实现对银行风险的有效识别。内部审计对农商银行风险的识别是通过以下方面来实现：一是分析、监控银行内部经营业务数据与财务报表数据，对银行各项经营活动的合规性作出合理评价，揭示银行正在或即将面临哪些风险；二是评价银行战略目标是否合理，如是否切合行业及组织发展实情、是否进行了充分的swot分析等；三是评价银行内部是否建立了有效的风险识别机制，如是否对可能的风险进行了合理分类、是否制定了相应的控制措施、风险监控执行是否到位等。

2.评价和应对风险

内部审计可以对已有的风险的衡量结果进行再检验，以确定其是否适当，对不恰当的估计予以更正；并对有关部门针对风险所采取的规避和防范措施进行检查，评估其是否充分、得当。对于风险缺乏充分的控制措施的情况，内部审计部门和内部审计人员会提出改进措施和建议，以促进农村商业银行强化风险管理，降低风险损失，提升防范和化解风险的效率。

3.对风险进行监控和反馈

审计建议可以作为审计报告的关键组成部分，在各项审计报告中列出被审计单位存在的风险隐患，深入分析现有风险管理措施的充分性和有效性，向管理层提出明确的改进建议。建议经过管理层的推动，多数转换为具体的风险管理措施和明确的制度安排，可以有力地促进风险管理。

三、结语

内部审计对于农村商业银行有重要的意义，我们需要在实践中总结出内部审计的利弊得失，以充分发挥出内部审计应有的作用。

参考文献：

[1]吴贵川.内部审计在银行发展中的作用[J].消费导刊，2013（6）：47-47.

[2]丁瑶.试论内部审计在商业银行风险管理中的作用[J].北方经贸，2015（11）：177-178.

商业银行审计风险 篇12

1 经济责任审计风险的常见表现

1.1 审计准备阶段的审计风险

审计准备阶段的审计风险, 主要是指审计人员未按规定的审计程序开展工作, 而引发审计风险的可能性。主要表现在:一是审前调查不深入, 对被审人和所在机构的情况心中无数, 未能有效抓住重点, 责任不明确;二是审计方案未能体现风险导向, 缺乏指导性。审计准备不充分, 势必加大审计风险。

1.2 审计实施阶段的审计风险

审计实施阶段的审计风险, 主要是指审计人员在审计实施过程中因查证能力、专业技能、政策水平、综合分析能力等主观和客观原因的影响, 导致审计结果产生偏差的可能性。主要表现在:一是取证风险即审计人员所取得的审计证据不完备, 不能满足客观性、相关性、充分性和合法性, 导致审计结果偏离事实产生风险;二是检查风险即审计人员由于在实质性检查的测试过程中所造成的失误使审计结果偏离事实的可能性, 在进行审计抽样检查时, 选取样本误差较大, 特别是信赖过度产生的误受风险可能导致严重违规事项遗漏的状况。

1.3 出具报告阶段的审计风险

出具报告阶段的审计风险, 主要是指审计人员由于对审计事项把握不全面, 对责任者的经济责任评价、责任认定不准确, 未能按照规定征求被审计对象的意见, 从而带来不良影响和某种损失的可能性。

2 形成经济责任审计风险的原因

经济责任审计风险成因比较复杂, 大致归纳为以下三个方面:

2.1 审计技术方法的局限性和审计人员素质、资源的限制所形成的审计风险。

由于经营业务日趋复杂和市场风险因素的多变性, 对经济责任审计技术方法提出了更高的要求。而某些舞弊手法更趋隐蔽, 使审计难度和风险相对加大。从实践层面来看, 经济责任审计一般任务急、时间紧、工作量大, 虽然抽样审计方法和计算机技术已得到广泛应用, 但是审计抽样是否科学、适用, 样本信息能否准确反映并代表整体的情况, 如何对员工道德风险事项进行有针对性的查证, 上述难点直接影响到审计工作的质量, 形成新的风险。审计任务的综合性和问题的复杂性, 客观上也要求审计人员具有较为全面的综合素质, 审计人员作为个体不可避免地存在知识、经验和能力的不足, 以及审计资源局限等因素的制约, 从而引发诸如审计发现问题处理不当或职业判断产生偏差等方面的审计工作失误, 由此产生审计风险。

2.2 经济责任界定难度较大形成的审计风险。

经济责任的界定包括原任责任与现任责任、主要责任与次要责任、个人责任与集体责任、直接责任与间接责任等内容。如被审单位违规行为, 在某些环节上既有离任者的个人行为, 又有领导班子的集体行为, 往往使责任难以区分。而对于决策失误或管理不当造成重大的经济损失, 也无明确金额标准界定。这样, 由于责任难以界定而产生的审计风险, 往往很难避免。

2.3 审计评价失真带来的审计风险。

审计评价是经济责任审计中最重要的一项内容。作为审计过程的最终结果, 审计评价要对分支机构负责人任期内履职情况作真实、客观、准确的反映, 笔者在实践中注意到, 有些业务经营数据的增长可能存在“水分”, 资产质量的真实状况可能通过某种手段而掩盖, 不加以审慎的分析判断, 审计评价就可能偏离准确与客观, 有些审计事项虽然获取了审计证据, 但证据可靠性不强, 证明力不足而草率做评价;审计评价用词欠妥等等, 上述种种都会带来审计评价风险。

3 经济责任审计风险的规避措施

3.1 合理制定审计方案, 严格审计规范和质量控制, 规避审计风险

严格执行审计法规和审计规范, 从立项、编制审计方案、送达审计通知书、审计取证、审计报告、征求意见到最终审计结论等每个环节都要按既定程序和要求进行, 避免审计人员执行的随意性, 预防程序不当引发风险。

3.1.1 合理确定审计重点和范围, 规避风险。

经济责任审计一定要限定在审计所规定的范围和内容之内。对在审计中未涉及到或虽然已涉及到但未获得充分证据或难以分清责任的事项, 不做任何评价, 规避经济责任审计的风险。

3.1.2 注重内部控制状况的事先了解, 进行风险分析。

内部控制评价是经济责任审计的重要内容, 其本身也可起到防范审计风险的作用, 且内部控制制度的制定和执行与被审人的经济责任和管理能力是息息相关。若内部控制不合理、不健全或执行乏力, 就必须实施详细审计, 降低检查风险。为提高效率, 充分有效利用内、外部审计检查的工作成果就尤为重要。

3.1.3 运用科学有效的审计方法, 进行深入细致的查证。

对于应予披露的审计发现或易形成风险事项, 应予以充分揭示。加强审计工作底稿的复核, 对经济责任审计项目报告, 进行反复讨论修改, 力求措词得当经得起推敲, 并认真考虑被审计单位和被审计人的意见, 避免人为因素造成的审计风险。

3.2 公正、客观地进行审计评价

3.2.1 审计评价应建立在查清审计事实、准确界定经济责任的

基础之上, 充分考虑政策、市场、区域经济等主客观因素, 尽可能运用量化方法来进行。严格按照经济责任审计的内容, 以审计查明的事实为依据, 进行客观、公正的评价, 不能照搬被审计对象的述职报告和工作总结。

3.2.2 坚持审慎原则。

对于审计未涉及到或虽已涉及但审计证据不充分、证明力不足而又不可能进一步获取有力证据予以证实的审计事项说明情况;对审计过程中未涉及的具体事项和审计证据不足的审计事项只反映客观事实, 不作审计评价;对超出经济责任审计范围、审计人员无法取证的事项不作评价;责任认定应注意区分任期前还是任期内的责任、直接责任还是间接 (管理) 责任、主观原因还是客观原因造成的经济责任等, 以有效防范风险。

3.2.3 通过复核把关来减少审计风险。

审计组组长、主审应对审计取证的全面性、证明材料的充分性、审计证据的相关性、审计事实的完整性进行全面检查, 审核证明材料与审计结果之间是否存在因果关系, 是否前后一致, 有无矛盾和疑点;同时, 对使用制度、依据的正确性、准确性、时效性、实用性进行复核。

3.3 提高审计人员的自身素质

要加强审计人员的职业培训和继续教育, 提高审计人员的风险意识和风险分析与控制能力, 通过经常召开研讨会, 交流经济责任审计中审计技术和方法运用的经验与教训。在此基础上, 总结典型案例, 指导日后工作。

总之, 防范和规避经济责任审计风险, 重要的是加强审计质量控制, 严格执行审计规范, 真正提高审计工作质量, 最终目的把审计风险降到最低限度, 从而提高审计结果的可信度与权威性。

参考文献