高端审计业务能力建设的重要技术支撑
——《商业银行审计指引》解读
2014年12月31日,中注协发布《商业银行审计指引》,对注册会计师从事商业银行财务报表审计和财务报告内部控制审计工作提供技术指导,这标志着一项旨在提升行业服务金融业发展能力的重大攻关项目的竣工。
与一般企业审计相比,大型商业银行经营活动具有特殊性,其审计面临诸多挑战,从而构成高端审计业务。
首先,大型商业银行分支机构众多,网点分布广,跨地区、跨业经营,体量庞大,这决定了审计需要动员很多的资源,属于大兵团作战,计划组织协调审计工作难度大。
二是业务创新多,在运用会计准则方面涉及复杂的判断和估计,例如贷款损失准备的计提,衍生金融工具的确认、计量和列报,产品和服务持续创新而会计准则可能滞后等。
三是大型商业银行经营对内部控制依赖程度高,存在很多仅通过实质性程序无法应对的风险,撇开内部控制进行财务报表审计的传统取证方式不可行,会计师事务所需要熟练掌握并运用内部控制了解和测试的方法,采用综合性方案以应对财务报表重大错报风险。
四是大型商业银行经营中广泛运用信息技术并处理海量数据,对内部控制、数据存储和读取方式、审计轨迹、获取审计证据的时点等产生一系列的影响,传统的基于纸质数据存储介质的审计方法和手段也不再适用。因此,会计师事务所需要具备信息技术一般控制与应用控制测试的能力,创新信息技术环境下的审计方法,并需要专门的信息技术审计团队参与审计。
五是经营面临诸多风险,风险可能迅速积聚和爆发并导致严重后果。商业银行表面上经营的是货币,实质上经营的是风险。经营风险与财务报表重大错报风险存在固有的联系,如果注册会计师不能正确识别、评估和应对重大错报风险,则经营风险可能会转化为审计风险。
六是高负债经营,与公众利益密切相关,监管要求严。商业银行经营失败不仅会直接损害广大存款人及其他债权人和股东的利益,还可能危及金融体系的稳定,甚至可能导致经济危机。正是如此,决定了商业银行面临着严格的金融监管,如资本充足率、存贷比例等。对审计而言,这意味着商业银行审计对审计风险控制提出了更高的要求,还需要处理好与金融监管机构之间的互动关系,考虑监管法规要求对审计的影响。
七是舞弊风险高。商业银行管理层和员工日常接触的是“钱”,具有舞弊的机会。同时,监管指标达标及经营业绩考核的压力,增加了商业银行管理层进行财务报表舞弊的动机。这对注册会计师识别、评估和应对舞弊导致的重大错报风险带来挑战。
正是大型商业银行的以上特点,决定了商业银行审计属于高端审计业务,一方面审计的难度大、投入多、对高端审计人才需求高,审计过程中需要掌握和运用复杂的会计、审计、职业道德准则;另一方面,审计收费高。
能否承接高端审计业务是检验会计师事务所做强做大的一个标志。包括大型商业银行在内的金融业是注册会计师行业的高端服务领域,加强行业服务金融业发展的能力建设,关系到我国经济金融信息的安全保障,关系到金融行业的风险管理和投资者的保护,也关系到行业国际竞争力的提升和社会审计强国目标的实现。中注协高度重视提升注册会计师行业服务金融业发展的能力,积极加强对行业服务金融业发展的引导和指导。其中,于2012年和2013年分别出台了《关于支持会计师事务所进一步做强做大的若干政策措施》《关于提升注册会计师行业服务金融业发展能力的若干意见》,鼓励事务所在做强做大的基础上,积极承接银行、保险等金融机构年报审计业务,尤其是大型银行、保险公司年报审计业务,并将制定《商业银行审计指引》作为提升行业服务金融业发展能力的一项重要措施。
《商业银行审计指引》按照风险导向审计理念,根据对财务报表和内部控制进行整合审计的要求,针对商业银行在审计计划的编制、审计方向的确定、审计资源的调配、风险的评估与应对、内部控制的了解与测试、重点业务流程的进一步审计程序、审计报告等方面的特殊性,对审计工作的各个重要环节作出了全面细致的指导。指引共14万字。
一是注重贯穿风险导向审计的现代审计理念。整个指引在行文时以财务报表重大错报风险的识别、评估和应对作为主线,以审计风险控制为导向。指引在审计计划部分用了大量篇幅讲解如何在商业银行审计中具体运用《中国注册会计师审计准则第1211号—了解被审计单位及其环境并评估重大错报风险》,识别和评估商业银行财务报表重大错报风险,并特别注重经营风险与重大错报风险之间的固有联系。在具体业务流程内部控制的了解和测试中,从识别业务流程中错报风险入手,做到导向明确。
二是注重财务报表审计与财务报告内部控制审计的整合。鉴于上市的商业银行财务报表和财务报告内部控制均需审计,考虑到两者之间的密切联系,有很多工作可以整合共享,指引以两者的整合进行为框架,以提高审计的效果和效率。当然,对于仅执行商业银行财务报表审计或内部控制审计的注册会计师,可参照指引中的相应部分。
三是注重提升注册会计师了解和测试内部控制的能力。长期以以来,我国注册会计师整体上仍严重依赖实质性程序,了解和测试内部控制并从中获取审计证据和信心的能力不足,这与现代审计的要求和趋势不符。指引除用了一章对“自上而下”的方法、企业层面控制的了解和测试、信息系统控制的了解和测试等进行讲解外,还以信贷业务、资金业务、现金与柜台业务、中间业务和财务报告等5个核心流程为例,详细演示如何了解具体业务流程的步骤、如何识别业务流程中的错报风险、如何了解和测试具体业务流程相关的控制,具有较强的可操作性。
四是注重审计计划的编制。凡事预则立,不预则废。审计计划在大型审计工作的组织中发挥核心和引领作用。指引用了一章阐述商业银行审计计划的制定,包括确定审计策略、识别组成部分、确定重要性水平、确定报告的目标、审计时间安排和沟通,识别重大类别的交易、账户余额和披露及其相关认定,并对利用专家工作、利用内审工作、查阅监管机构的检查报告及有关文件、调配审计资源作出合理安排。
五是注重层层深入、深入浅出。指引第一章对银行业主要业务、风险、监管框架及商业银行审计面临的挑战进行阐述,为指引使用者理解和掌握指引后面的内容提供铺垫,增强指引的可理解性,做到层层深入、深入浅出,使读者能够掌握商业银行审计的基本框架和内容。(中注协标准部供稿)