城市商业银行风险导向的内部审计计划编制初探

张洁 包商银行审计部

摘要：风险导向审计作为一种新的审计模式在我国银行业的应用虽然受到了诸多因素的限制，但却代表着审计未来的发展趋势。本文首先介绍了风险导向审计的内涵、特点及银行开展风险导向内部审计的必要性，然后在分析目前城市商业银行（以下简称城商行）内部审计计划编制缺陷及原因的基础上，从年度审计计划、项目审计计划和审计方案三个层次对城商行风险导向的内部审计计划的编制作了初步探析。

关键词：风险导向审计  城商行内部审计  内部审计计划

一、银行开展风险导向内部审计的必要性

风险导向审计是在账项导向审计和制度基础审计上发展起来的一种新的审计模式，是指审计人员在审计过程中自始至终都以企业风险分析评估为导向，根据的风险水平确定审计项目优先次序，依据风险确定审计范围与重点，对企业的风险管理、内部控制和治理程序进行评价，进而提出建设性意见和建议，协助企业加强风险管理，实现企业价值增值的独立、客观的鉴证和咨询活动。与传统审计相比，具有以下特点：（1）审计重心前移；（2）风险评估由直接评估变为间接评估；（3）以风险评估决定审计程序的性质、时间和范围；（4）风险评估以分析性复核为中心；（5）审计测试程序个性化；（6）以风险评估决定审计证据的质量及数量且审计证据重点向外部证据转移。

风险导向审计弥补了制度基础审计的诸多缺陷，适应了当今社会经济环境的需要。虽然在我国银行业的应用受到了诸多因素的限制，但不可否认的是它代表着我国审计未来的发展趋势。对商业银行来说，开展风险导向内部审计有利于银行业务流程的改进和风险管理水平的提高，同时对内部审计本身也有着十分积极的现实意义。一是有利于审计人员观念的转变和素质的提高，二是有利于提高审计效率、改善审计质量和降低审计风险，充分发挥内部审计的职能作用,实现内部审计的增值目标。

二、城商行内部审计计划的缺陷及原因分析

城商行目前的审计计划的编制存在诸多缺陷：编制计划前未对审计对象进行全面、充分的了解，未进行风险评估，项目的确定具有随意性，重复审计和审计盲点同时存在，项目的审计重点是合规性和控制的有效性，审计方案未对审计程序和方法进行详细说明，指导性和操作性不强。这主要与城商行目前内部审计的条件有关，一是内部审计力量不足，近一半城商行内审人员数量占全行员工数量的比例都没有按要求达到1%；二是内审人员的专业胜任能力不够，大部分内审人员只具备财务、审计方面的知识，经济管理、金融、统计、工程技术、法律、信息和计算机等方面的专业知识比较欠缺；三是目前城商行的信息系统建设不完善，审计人员无法及时获取所有需要的数据。

虽然目前城商行并不完全具备开展风险导向内部审计的条件，但是内审人员还是应该转变观念，在现有的条件下，将风险导向思想贯穿到整个审计流程中，逐步向风险导向审计过渡。具体到编制审计计划环节，就是要通过风险评估（尽管目前只能主要依据定性的评估）来确定审计项目、审计范围，合理分配审计资源，提高审计的效率和效益。

三、城商行风险导向的内部审计计划的编制

《内部审计具体准则第1号——审计计划》指出审计计划是指内部审计机构和人员为完成审计业务，达到预期的审计目的，对一段时期的审计工作任务或具体审计项目做出的事先规划。审计计划一般包括三个层次，即年度审计计划、项目审计计划和审计方案。下面笔者将从这三个层次介绍城商行风险导向的内部审计计划的编制。

（一）年度审计计划

内部审计机构负责人负责制定以风险为基础的年度审计计划，以确定与组织目标一致的内部审计活动重点，合理安排内部审计资源，提高审计效率。年度审计计划的内容主要包括年度工作目标、具体审计项目及其先后顺序和审计资源的分配三个方面。

（1）年度工作目标

内部审计年度工作目标要根据组织战略、组织年度目标并考虑企业管理需要而确定，年度工作目标要与组织目标保持一致。

（2）具体审计项目及其先后顺序

风险导向审计以银行风险分析评估为基础，综合分析影响被审计银行经营活动的各种因素，根据风险水平确定实施审计的范围和重点。因此，确定年度审计计划的具体审计项目时首先要对所有可供审计的项目的风险水平进行评估。审计项目可根据不同地区和不同业务种类的组合来确定。评估审计项目的风险主要考虑两方面因素，一是审计项目的重要性，二是其对经营的重要程度。

审计项目的重要性是指该项目存在偏离特定目标的差异或缺陷的严重程度。对经营的重要程度是指该审计项目与组织的关键目标之间的联系程度。综合重要性和对经营的重要程度两方面因素即可得出该项目的风险评估的最终结果。评估审计项目的重要性应考虑以下因素。一是组织的发展目标、战略及年度工作重点。风险是目标无法实现的可能性，因此，，组织发展目标、战略及年度工作重点是考虑风险因素的基础。二是近期宏观经济政策和国家调控措施、行业动态、货币政策、金融监管当局的要求等。组织的经营活动必须在相关法规、政策和监管要求的限制下进行，违反这些内容将导致组织目标无法实现。三是相关内部控制的质量。一般说来，在内部控制较健全的地方，风险得以较好的控制。四是相关经营活动的复杂性及其近期变化。经营活动越复杂，出现错误和舞弊的可能行就越大，风险也越大；而近期新发生变化的经营活动，通常风险也比较大。五是相关人员的能力、品质及其岗位的近期变动。经营活动发生错误和舞弊的风险与相关岗位人员的能力和品质有很大关系。如果相关岗位的人员不能胜任其职责或其品质存在问题，就会给该岗位的经营活动和内部控制带来较大风险。另外，重要岗位人员变动通常也会增加风险。六是上一次审计的时间和结果。一般而言，对某一业务的审计间隔期越长，其积聚的风险就越大。在运用重要性标准时，应当充分考虑差异或者缺陷的数量、性质等因素。一般而言，数量越大的差异或者缺陷越重要，但有些差异或缺陷从数量上看或许并不大，但从其性质上考虑则可能是重要的差异或缺陷。项目的重要性和对经营的重要程度越高，风险等级就越高。审计项目的先后顺序主要应依据其风险等级确定，风险等级高的优先执行。

（3）审计资源的安排

由于审计资源是有限的，在按照风险等级的高低对审计项目进行排序后，要考虑审计资源来决定最终纳入年度审计计划的审计项目。对于高风险等级的审计项目要安排充分数量和有相应学识、能力的内部审计人员，而有些风险等级较低的审计项目可能会由于审计资源的限制不被纳入年度审计计划。为了更好的分配审计资源和推进全年的审计工作，可以对纳入审计计划的所有审计项目按照不同的审计主题进行整合，不同的审计人员负责不同主题的审计项目。

审计委员会应建立对年度审计计划的动态的复核机制，每季度重新审批年度审计计划以反映银行内外部环境的变化，包括市场环境、监管要求、组织战略、人力资源、操作程序和系统等方面的变化。每季度重新评估年度审计计划可以保证随着时间的推移和环境的变化，审计资源还能得到最好的运用。

（二）项目审计计划

项目审计计划是对具体审计项目实施的全过程所做的综合安排，对审计目的、范围、重要性水平等贯穿于整个项目审计过程中的基本内容进行规划。项目审计计划的重点是审计范围的确定。确定审计范围首先要对该项目所包括的各方面内容进行风险评估。风险等级同样主要通过重要性水平和对项目的重要程度两个因素来确定。确定各项内容的重要性主要考虑以下因素。一是与审计内容有关的制度安排和内部控制的设计及运行情况。二是通过查看与审计内容有关的协议、会议记录和会计报表等资料确定有无潜在风险和异常情况。三是上次审计的结论、整改建议及建议的执行情况。如果上次审计提出的问题还未得到纠正，那么在本次审计中就要特别关注这些问题的影响以及被审计单位管理层对审计的态度。对项目的重要程度是指该内容的规模或范围和对项目的影响程度。审计内容的重要性和对项目的重要程度越高，风险等级就越高。风险等级高的内容将作为该审计项目的重点，在审计人员安排和时间分配上应给予倾斜。以确定对某分行国际业务审计的范围为例。首先对国际业务涉及的所有内容如外汇业务准入、资金和清算业务、结算业务、贸易融资业务、相关系统管理等依据上述方法进行风险评估，然后根据各内容的风险等级确定该项目具体的审计范围及资源分配。

（三）审计方案

审计方案是根据项目审计计划制定的，对实施项目审计计划的具体审计目的、审计程序及其时间安排进行的详细规划与说明。审计方案的重点是审计的程序和方法。风险导向审计的重要程序和方法之一是分析性复核。在风险导向审计中，分析性复核不再只是对财务数据的分析，也包括对非财务性数据进行分析。分析性复核的步骤通常包括：（1）确定将要执行的计算／比较；（2）估计期望值；（3）执行计算／比较；(4)分析数据及确认重大差异；（5）调查重大的非预期差异；（6）确定对审计计划的影响或评价分析结果。内部审计人员通过分析性复合发现差异后，要对这些差异作进一步调查和评价。一般有以下三个步骤：首先询问管理层获取其解释和答复，然后实施必要的审计程序，确认管理层解释和答复的合理性和可靠性。如果管理层没有做出恰当的解释，应扩大审计测试，执行其他审计程序，作进一步的审查，以便得出结论。风险导向审计的方法还有实质性程序和控制测试等。实质性程序包括对银行各类交易、账户余额、列报的细节测试以及实质性分析程序，目的是为了发现认定层次的重大错报。控制测试的目的是为了测试内部控制在防止、发现并纠正认定层次重大错报方面的运行有效性。如果仅实施实质性程序不足以提供认定层次充分、适当的审计证据时可以实施控制测试。在编制审计方案时，审计人员应根据具体审计项目的风险水平、审计资源等因素制定合理的审计程序和方法，将审计风险降低到可接受的水平。

四、结论

城商行虽然目前还不完全具备开展风险导向内部审计的条件，但最重要的还是审计人员观念的转变。在编制审计计划特别是确定年度审计计划的审计项目、项目审计计划的审计范围和审计方案中的程序和方法时，审计人员要将风险导向的思想贯穿其中，通过现有条件下的风险评估来确定审计项目及其范围，合理分配资源，提高审计的效率和效益。

参考文献

[1]国际内部审计协会.《内部审计实务标准——专业实务框架》.中国时代经济出版社.2005

[2]张宏英，陈东等.《中国内部审计准则——阐释与应用》.立信会计出版社.2007

[3]K．H．斯宾塞?皮克特.《审计计划编制——风险导向方法》.东北财经大学出版社.2009

[4]刘正军，范晓阳，吴永兰.我国银行开展风险导向内部审计的分析研究，经济纵横，2009（2）

[5]耿庆环，风险导向审计在商业银行的应用现状和发展趋势，时代经贸，2008（7）

[6]王迈利，商业银行风险导向审计探析，经济师，2009（3）