浅析风险导向审计方法在银行全面业务审计中的应用

⼀、风险导向审计⽅法的原理及优点
风险导向审计是在账项基础审计和制度基础审计上发展起来的⼀种新审计模式，是指审计⼈员在对被审计单位的内部控制充分了解和评价的基础上，判断、分析被审单位的风险所在及其风险程度，通过审计风险模型，对风险进⾏量化，把审计资源集中于⾼风险的审计领域，针对不同风险因素状况、程度采取相应的审计策略，加强对⾼风险点的实质性测试，将审计的剩余风险降低到可接受⽔平，达到降低检查风险，节约审计成本，提⾼审计质量和效率的⽬的。

审计风险模型是指“审计风险＝固有风险Ⅹ控制风险Ⅹ检查风险”。

固有风险是指假定不存在相关内部控制时，某⼀账户或交易单独或连同其他账户、交易类别产⽣重⼤错报或漏报的可能性。

控制风险是指某⼀账户或交易单独或连同其他账户、交易类别产⽣重⼤错报或漏报⽽未能被内部控制防⽌、发现和纠正的可能性。

检查风险是指某⼀账户或交易单独或连同其他账户、交易类别产⽣重⼤错报或漏报⽽未能被实质性测试发现的可能性。

固有风险和控制风险与被审计单位有关，审计⼈员对此⽆能为⼒。

但可以对被审计单位固有风险和控制风险的⾼低做出评估。

在此基础上，确定实质性测试的性质、时间和范围，以便将检查风险以及总体审计风险降低⾄可接受的⽔平。

从定量的⾓度看：在既定的审计风险下，检查风险=审计风险/（固有风险Ⅹ控制风险）；从定性的⾓度看：固有风险和控制风险的综合⽔平越⾼，可接受的检查风险越低，反之亦然。

也就是说，当固有风险和控制风险的综合⽔平越⾼，审计时就必须扩⼤审计范围，将检查风险尽量降低，以便使整个审计风险降低⾄可接受⽔平。

如果被审计单位内部控制⾏之有效，固有风险和控制风险的综合⽔平较低，则即使冒较⼤检查风险，但总体审计风险仍然较低。

风险导向审计模式最显著的特点是：它⽴⾜于对审计风险进⾏系统的分析和评价，并以此作为出发点，制定审计策略和与企业状况相适应的多样化审计计划，将风险考虑贯穿于整个审计过程。

因为它着眼于全⾯的控制测试，⽽不是着眼于测试内部控制制度的执⾏效果（即符合性测试）。

风险导向审计模式不只依赖对被审计单位管理层所设计和执⾏内部控制制度的检查与评价，⽽实事求是地对公司管理层是否诚信，是否有舞弊造假的驱动，始终保持⼀种合理的职业警觉，将审计的视野扩⼤到被审计单位所处的经营环境，捕捉潜在的风险点，将风险评估贯穿于审计⼯作的全过程。

风险导向审计⽅法体现的审计思路，是以项⽬的审计风险为质量控制依据，⾸先研究理解企业经营及所从事经济活动、企业的内部控制及其运⾏，然后，通过对有关数据、信息的分析和检查，由概括到具体，由表及⾥地认识财务报表披露的信息与企业实际状况关系，确定会计准则的遵循状况。

审计全过程所搜集到的证据、信息，构成审计意见的合理保证。

具有以下优点：1.风险导向审计⽅法有利于审计⼈员全⾯认识被审计单位。

审计过程是审计⼈员不断加深对被审计单位的认识过程。

审计⼈员从被审计单位某种认定出发（如存在或发⽣、完整性、权利和义务、估价或分摊、表达与披露），通过调查了解、收集证据，从各个⾓度逐步地验证某项认定，最终以合理地保证某项认定是否正确，形成审计意见。

客观地讲，审计⼈员的认识过程应该是⼀个由表及⾥、逐步深⼊的过程，风险审计模型合理地体现了这个过程。

2.风险导向审计⽅法注重在保证质量的前提下提⾼效率。

在风险审计模式中，对被审计单位的了解，对内部控制的研究与评价，分析性测试（复核）均属于效率较⾼的审计⼿段，可以有效地降低审计风险，并有效地减少效率较低的细节测试⼯作。

3.风险导向审计⽅法有助于合理确定重要性⽔平。

根据审计风险模型可知，在固有风险和控制风险⼀定的条件下，检查风险和期望的审计风险成正向关系。

如果期望的审计风险较低，那么就必须接受较低的检查风险⽔平，以便扩⼤实质性测试的样本规模或追加审计程序，收集更多的审计证据，也就是说，应该确定较低的重要性⽔平，才能满⾜较低的期望审计风险的要求。

如果审计⼈员确定的重要性⽔平过⾼，即允许存在的错报过⼤，则将承受过⾼的审计风险。

因此，从这⼀⽅⾯来说，重要性与期望的或可接受的审计风险成正向关系。

这种正向关系还可以联系审计证据来理解，即重要性与审计证据成反向关系，期望的审计风险与审计证据成反向关系，则重要性与期望的审计风险成正向关系。

重要性与审计风险之间的关系要求审计⼈员在确定重要性⽔平时，不仅要考虑实际的或评估的审计风险以确保审计质量，也要考虑期望的或可接受的审计风险以提⾼审计效率。

⼆、风险导向审计⽅法对传统审计技术⽅法的冲击
1.内部审计领域运⽤风险导向审计⽅法，改变了过去那种内部审计⼈员以检查历史业务记录和内部控制系统的历史运营情况提出建议和意见的⽅式，变为更加关注企业⾯临的风险和企业未来的发展及企业为降低风险所进⾏的⼀项管理活动。

在快速发展的时代，企业管理*需要了解变化过程中可能遇到的风险，⽽固定的、静态的控制体系只能反映企业的过去。

因此，要求内部审计师在风险环境中观察业务过程，提出控制风险的建议，从⽽为企业增加更多的价值。

2.采⽤风险导向审计⽅法，内部审计的报告更容易被接受，管理部门也更容易理解内部审计存在的价值。

在过去的制度基础审计中，内部审计总是以其内部控制为中⼼，并在审计报告中不断提出增加控制点或增加控制的建议，这样，若⼲年后审计的结果就是控制点越来越多，业务过程越来越繁杂。

同时，也产⽣了不能为企业增加价值的员⼯。

在风险导向审计中，审计报告中关注的企业当前及未来需要的准备，是企业现⾏经营活动与战略计划之间的“桥梁”。

3.传统的内部控制评价模式主要是采⽤“内部控制调查问卷”和符合性测试，对企业已经存在的内部控制进⾏评价，审计报告中的建议也是管理*早已经知道的，缺乏新意。

有⼈形象地⽐喻，内部审计的⼯作就是“审核数⾖⼦的⼈是否将⾖⼦数得⼀粒不差”。

风险导向审计⽅法要求内部审计⼈员改变传统的评价模式，把审计的起点放在关注企业发展战略和识别企业业务流程的风险上，分析风险，并提出控制风险的建议和⽅法。

4.风险导向审计⽅法要求内部审计⼈员更为关⼼的是下列问题：与控制相关的⽬标是什么？这种控制要解决的问题是什么？这种控制是否对被审计单位的经营活动有益？是否存在重复控制？什么样的风险⽔平是可以接受的？控制的效果是否影响管理*决策？只有清楚地了解了这些，内部审计⼈员才能辨别何处控制环节过多，何处控制环节不充分，何处控制满意，何处控制需要改善。

企业在经营过程中不可能没有风险，在合理的程度内，冒点风险是必要的。

越过内部控制的某些薄弱环节，这也是风险导向审计⽅法与其他审计⽅法的本质区别。

但⼤多数内部审计⼈员是难以确认管理*是否能接受这些风险，因此，传统的内部控制评价⽅法受到挑战，要求内部审计⼈员采⽤⼀个动态的评价模式，通过与企业管理*的有效沟通，为企业提供增加价值服务。

5.扩⼤了审计证据的内涵。

审计⼈员形成审计结论所依据的证据不仅包括实施控制测试和实质性测试获取的证据，还包括了解企业及其环境获取的证据。

6.由主要依赖管理层和财务⼈员提供审计信息向员⼯及外部⼈员扩散。

审计⼈员将眼光转向⼀般员⼯，发动员⼯举报管理层作假。

此外，发挥内查外调的优势，积极向存贷款客户询问。

审计⼈员将更多依赖业内⼈⼠和专业咨询⼈⼠的看法，补充⾃⼰的审计专业判断。

7.审计范围⽆边界、专业能⼒⽆边界。

现代风险导向审计的审计范围⼤⼤扩展，审计⼈员关注的是整个内部控制。

审计范围没有边界导致对审计⼈员的专业能⼒要求也没有边界，这就要求审计师充分提⾼⾃⼰的专业能⼒。

三、风险导向审计⽅法在银⾏全⾯业务审计中具体运⽤
在风险审计阶段，我们应根据银⾏业务风险的⾼低来确定审计的范围、内容和重点，对下列⾼风险领域予以重点关注：
1.容易被挪⽤的资产和被盗⽤的银⾏凭证。

如现⾦、有价证券等流动性强，具有变现能⼒强的资产及银⾏的重要空⽩凭证，如存单、存折、银⾏承兑汇票等。

2.发放的⼤额贷款或个⼈贷款。

近年来，银⾏为防范信贷风险，⼤量向上市公司、⼤型企业集团、城市基础设施、交通建设发放贷款，并且随着同业竞争的加剧，在对上述企业发放贷款时，除采取降低贷款利率等优惠⼿段外，在办理抵押担保等贷款⼿续上也放松了审查，对贷款⽤途也很少监管，信贷集中风险有不断加剧之势，应引起审计⼈员的⾜够重视；另外，个⼈住房贷款和汽车消费贷款增长迅速，个别⼈利⽤银⾏审查不严的漏洞，与房地产公司串通，利⽤虚假的⾸付款收据和购房(车)合同，骗取银⾏贷款。

3.临近会计期末发⽣的异常和复杂交易。

如会计年度即将结束时贷款、存款⾦额的异常增长、发⽣⼤量的关联⽅交易，可能意味着被审⾏为了掩盖风险⼈为地进⾏账务调整。

4.违反银⾏监管法规的交易和事项。

如⾼息吸收存款和未经批准或不按规定程序发放贷款、未经授权和批准开办新的⾦融业务等。

5.⾼度复杂和投机性强的交易及表外业务。

⾃营外汇买卖、期权、掉期、银⾏承兑汇票、信⽤证、保函、保理等业务的固有风险较⾼，审计中也应重点关注。

6.出现异常变动的项⽬和形成的不良资产及各类垫款。

7.⾦融创新业务。

随着⾦融全球化，新的⾦融业务如上银⾏、电⼦银⾏、各种理财业务和⾦融衍⽣⼯具不断出现，这些新兴业务的内部控制相对较弱，国家相应的法规和制度建设滞后，容易成为银⾏新的风险点，此外，随着外资银⾏的进⼊和同业竞争的加剧，制⽌不正当竞争、反洗钱也将成为审计的重要内容。

8.内部控制的健全性和有效性。

银⾏内部控制是防范风险的主要⼿段，正如巴塞尔委员会在其发布的《关于操作风险管理的报告》中的陈述：“内部控制是操作风险管理的重要⼯具，绝⼤多数操作风险事件都是与内控漏洞或者与不符合内控程序有关的。

”⾸先要重视对内部控制环境的调查，包括管理理念、管理⼈员的道德品⾏、价值取向和管理能⼒，⾼级管理⼈员对内部控制的重视程度，组织结构和员⼯素质等，在我国，银⾏⾼级管理⼈员作案产⽣的危害巨⼤，损失惨重，因为⾦融机构的主要负责⼈作案，所有的内部控制形同虚设，起不到任何控制作⽤，中国银⾏⼴东开平发⽣的“10·12”案件，中国银⾏开平⽀⾏前后3任⾏长在长达10年时间⾥，盗⽤联⾏资⾦4．82亿美元，就是内部控制对银⾏⾼级管理⼈员失效产⽣的恶果。

由此可见，在审计中⼀定要加强对⾦融机构⾼级管理⼈员的道德品⾏、管理能⼒的审查；其次，从业务审批、职能分离、程序的交叉核对、风险管理、资产保全等⽅⾯对内部控制活动及效果进⾏评价。

四、实施风险导向型审计应当注意的⼏个问题
1.围绕审计⽬标，有效地选择和控制审计程序的实施。

审计程序的实施应由审计⼈员主动控制，不能被外部条件或被审⾏牵着⿐⼦⾛。

如果审计⼈员在审计中，被审⾏提供什么，审计⼈员就审计什么，该实施的审计程序没有实施，该取得的审计证据没有收集，⼀些重要审计程序被被审⾏控制，⼀些重要的审计证据根据被审⾏需要提供，审计⼈员就会落⼊被审⾏造假的“陷阱”之中。

2.科学运⽤审计抽样⽅法，降低抽样风险。

现代审计的⼀个显著特征，就是采⽤抽样审计的⽅法，即根据总体中的⼀部分样本特性来推断总体的特性，⽽样本的特性与总体的特性或多或少有⼀点误差，这种误差可以控制，但⼀般难以消除。

因此，不论是统计抽样还是判断抽样，如果根据样本审查结果来推断总体，总会产⽣⼀定程度的误差，即审计⼈员要承担⼀定程度的作出错误审计结论的风险。

如何降低这种抽样风险呢？换句话讲，如何能够保证随机抽样抽出的样本满⾜风险导向审计的要求呢？这除了要求抽样必须遵循随机原则外，离不开审计⼈员的专业判断，风险的控制和不确定因素要由审计⼈员正确的专业判断来加以解决。

3.运⽤专业判断，提升审计质量和效率。

审计⼈员的审计过程，实质上是排除疑虑或证实某⼀事项的取证过程。

在这个过程中，审计⼈员必须依靠证据进⾏专业判断，才能提升审计质量和效率。

因此，审计⼈员审计的过程，实质上是审计⼈员充分发挥其聪明才智实施专业判断的过程，如审计⼈员实施抽样审计时，⽆论是采⽤统计抽样或是⾮统计抽样，都存在不确定因素，需要审计⼈员根据审计对象的总体及特征，选择选样的⽅法，对抽样结果进⾏评价等；对于直接或间接取得的证据，审计⼈员都应专业判断证据来源的可靠性、证据的真假、证据的适当性和充分性，并以此决定是否扩⼤或追加审计程序；对于审计中的发现的异常事项、重⼤事项，审计⼈员应专业判断应追加实施哪些审计证据，才能取得充分、适当的证据，以排除审计⼈员的疑虑或证实某⼀事项。

4.科学地使⽤风险导向审计模式，选择合理的审计⽅法，确实能将审计风险控制在审计⼈员可以接受的⽔平之内。

但新审计模式的产⽣，并不意味着原有审计模式的淘汰和消亡，⽽是意味着我们在实施审计时有了更多的审计模式可供选择。

在实施审计时对审计模式的选择，不能脱离被审⾏的规模、审计项⽬性质等具体情况，分别适⽤不同的审计模式。