商业银行审计计划

金融企业审计 商业银行审计计划 金融企业审计 o 商业银行客户接受 o 审计计划总览 o 执行风险分析程序并识别重大错报风险 内容提要 金融企业审计 一、商业银行客户的接受 （一） 四大对中国商业银行的 2004年度审计收费的调整及其原因 o 审计方法从传统的着重于账户细节和流程性的内部控制（传统的风 险导向审计）发展到着重于对企业经营风险的分析，并着重于战略 性（公司层面的控制）和业务性（认定层面的控制）相结合，并更 为强调审计目标的有的放矢（现代风险导向审计） 。 o 涉及的准则 n 国际审计准则 ISA315 理解企业及其环境并分析重大错报风险（ 替代 ISA310）、 ISA330 审计师对风险评估反应的程序（替代 IAS400） ISA500 审计证据（修订）集中体现了这一变化。我 国的风险审计准则也制定完毕，分别为中国注册会计师审计准则第 1211号 了解被审计单位及其环境并评估重大错保风险，中国 注册会计师审计准则第 1231号 针对评估的重大错报风险实施的程 序，中国注册会计师审计准则第 1301号 审计证据。 金融企业审计 （ 二）委托人是谁？ o 与其他类型的审计业务一样，在商业银行的审计中，审计师同 样面临委托人到底是社会公众、股东、董事会，还是管理层的 问题。对于这一问题的最现实的处理方式是对于公众上市银行 ，重点放在公众投资者的角度，强调与董事会下属的审计委员 会的交流，但同时也要考虑管理层对审计服务的预期；对于非 上市银行，则需要考虑其规模和所有权性质，同时考虑保护公 众投资者（存款人等）和管理层的预期。 o 在实际的客户承接过程中，客户预期的开发主要是与被审计银 行的董事会和管理层交流。 一、商业银行客户的接受 金融企业审计 （ 三）审计产品的属性 n 控制属性 n 补充服务 n 信息的可靠性 n 遵循规范 一、商业银行客户的接受 金融企业审计 201条款 审计业务范围之外的服务 （ a） 禁止在提供审计服务的同时提供以下任何服务： （ 1）为被审计客户记账或其他与会计记录或报表相关的服务； （ 2）财务信息系统的设计和执行； （ 3）评估或估值服务，公证意见，或实物出资（ contribution-in-kind） 报告； （ 4）精算服务； （ 5）内部审计外包服务； （ 6）管理功能或人力资源； （ 7）经纪商或交易商，投资咨询，或投资银行服务； （ 8）法律服务和与审计无关的专家服务；和 （ 9）其他委员会通过规定认为不被允许的服务。 事务所可以提供 1 9规定以外的其他服 务，包括税收服务 ，但前提是获得审 计委员会的批准。 （ b） 豁免权 个案处理 SOX法案关于其他服务的规定： 金融企业审计 一、商业银行客户的接受 （四）审计过程总览 金融企业审计 执行风险分析程序和识别风险 决定审计战略 决定计划的审计方法 计划 控制评价 计划文件 公司层面的控制方案 对特定问题的审计方案 审计方案 决定审计战略 决定计划的审计方法 审计方案 财务报告审计方案 特定问题的审计方案 审计差异汇总 终结文件 财务报告审计方案 对特定问题的审计方案 审计检查表 实质性测试 终结审计 理解会计和报告业务活动 评价选择出的控制的设计与执行 测试选择出的控制的运营有效性 风险控制风险和重大错报风险 计划实质性程序 执行实质性程序 考虑审计证据是否充分适当 执行终结程序 执行总体评价 形成审计意见 阶段 业务活动 要求的记录 金融企业审计 一、商业银行客户的接受 （五）初步审计计划 1. 取得对客户的理解 审计师需要取得关于以下十个问题的理解： 1这一商业银 行的产品？它的顾客？它的市场？ 2这一商业银行发展和 保持持续的竞争优势的战略？ 3它开发产品、营销和交付 产品的周期？ 4它的关键的流程和业务活动？ 5它的资 产和融资的性质与组合方式？ 6它的信息系统的复杂程度 ？ 7这一商业银行对可靠的会计信息的态度和战略？ 8 需要从信息系统生成什么样的财务报告信息？ 9审计师需 要关注的关键风险在哪里？ 10就本会计师事务所的专长 和技术，是否可以审计这一客户？ 金融企业审计 一、商业银行客户的接受 （五）初步审计计划 2. 分析商业银行的战略计划 审计师需要了解商业银行总体的远景战略。在理解远景战略的基 础上，按照商业银行的业务条线理解其战略计划，是采用低成本 、差异化，还是集中战略。 3.取得商业银行对信息处理的理解，特别是关于信息技术的利用 4.识别可能会影响审计计划的问题领域： 评估风险因素：管理层的特征，行业特征，经营特征，控制的缺 陷 识别商业银行所采用的会计政策 识别可能影响审计计划的特定事实：关联方交易，对专家的依赖 ，对内部审计师工作的利用。 金融企业审计 一、商业银行客户的接受 （五）初步审计计划 信息的来源：以上海银行 2004年度审计为例 公司网站 上年度报告 行业资料 公开信息 金融企业审计 一、商业银行客户的接受 （六）客户预期的开发 见 2附 1 金融企业审计 一、商业银行客户的接受 （七）业务约定书与审计计划的交流 业务约定书 见 2附 2 与客户交流审计计划 见 2附 3 审计预算 见 2附 3 金融企业审计 二、审计计划总览 计划的目的 取得对客户及其环境，客户的会计政策和实务，以及财务绩效的 理解 理解和评价公司层面与审计相关的控制 分析财务报表的重大错报风险，包括错误与舞弊 根据这些风险开发审计战略 对重要的账户和披露开发计划的审计方法 金融企业审计 二、审计计划总览 决定 计划的审计方法 执行风险分析程序 并识别风险 决定审计战略 理解企业 企业，行业和环境 会计政策和会计实务 财务绩效 评价公司层面的控制 识别财务报表层次的 风险，包括舞弊风险 重要性 时间和团队分派 包括专家的工作 涉及其他人的工 作 决定 审计 目标 识别 重要账户 认定层次的固有风险 包括舞弊风险 交易类别 会计估计 其他账户 披露 基于控制 的审计方法 实质性审计 方法 分析 固有 风险 或错 误 金融企业审计 （一） 风险分析程序的特征 n 传统的商业银行审计着重于银行这一法律主体及其资产负债表 ，现代的商业银行审计采用的是经营风险导向的注重于功能性 的业务条线（比如，公司银行、零售银行、资本市场业务等） 的分析方法，并将之与对法律主体的分析结合起来。 n 这一功能性的分析方法着重于业务活动，通过对商业银行整体 的宗旨、目标、战略的理解和业务条线宗旨、目标、战略的理 解，从而分析商业银行所面临的风险，并将分析结果与报表认 定结合起来，从而有针对性地计划审计，决定需要执行的检查 活动，最后通过检查，将审计风险控制在可接受的范围之内。 n 因此，现代商业银行的审计计划相对来说更为重要，它是整个 审计工作成败的根本。 三、执行风险分析程序并评估重大错报风险 金融企业审计 （二 ）重要性水平的设定与审计团队组成和工作委派 n 重要性水平主要有两个个概念：计划的重要性水平（ Materiality For Planning Purpse, MPP）、 重大错报的临界 值（ Material Misstatement Threshhold， MMT） n 对于计划的重要性水平，需要考虑定性因素（比如激励 薪酬、目标利润等），按照税前利润的一定比例；在计 划的重要性水平的基础上，决定重大错报的临界值，从 而将其运用于账户、交易类别和披露层次。一般来说， 临界值的确定在计划的重要性水平的 75或更低，而对 于特定账户可能会采取更低的临界值。 三、执行风险分析程序并评估重大错报风险 金融企业审计 三、执行风险分析程序并评估重大错报风险 重要性水平：以上海银行 2004年度审计为例 o 标准 : o 资产负债表 : 估计的合并净资产的 1%; o 利润表 : 估计的合并税前利润的 5%; o 资产负债表外项目 : 估计的合并净资产的 1% o 还需要考虑定性因素 , 比如具有特别重要性的因素 (如 将 CAR提高到 8%的项目 ), 有意的错报等 , 这些因素还将 影响关于是否还有潜在的调整项目的判断 。 金融企业审计 三、执行风险分析程序并评估重大错报风险 团队组成与工作委派： o 人员组成与预算 见 2附 4 金融企业审计 三、执行风险分析程序并评估重大错报风险 （三） 理解商业银行及其所处的环境 取得或更新关于客户及其所处的行业的理解， 从而形成关于业务风险的观点，以及这些风险 对于财务报表和 /或审计的影响 ： 金融企业审计 三、执行风险分析程序并评估重大错报风险 适用多种来源收集信息 ; 考虑执行财务报表的标竿分析 ; 与主要的管理人员讨论，主要管理人员可以是财务领域的，也可以是财务 领域之外的 ; 取得并阅读客户对外部的交流的文件 ; 在适当的地方需要专家的介入 ; 复核以前年度的工作底稿 ; 和 在审计团队成员之间分享获得的信息。 金融企业审计 o 利用企业经营分析框架（ Business Analysis Framework， BAF） 记录以上取得的理解 。 这一框 架帮助审计业务团队形成关于这一银行的风险的 观点 。 通过审计师的职业怀疑，审计师需要将这 一理解与管理层的风险分析相对照，并考虑其对 控制环境的影响。这一分析框架包括四个方面的 内容： 三、执行风险分析程序并评估重大错报风险 金融企业审计 市场总览 客户所面临的动态的市场环境以及其目前的定位 , 特别是 竞争环境、监管环境和经济环境。 战略 客户的战略，其宗旨和目标，其组织架构和治理结构。 价值创造活动 业务活动及支撑财务绩效的相互关系 包括与顾客 、人员、创新、品牌、供应链、环境、社会道德等相关的非财务领域。 财务绩效 用来管理业务的财务信息及计量指标。对于管理风险、回 报和增长、计量企业财务状况、风险敞口、经济绩效、分部分析及风险 之间的相互关系的指标需要特别关注，这也需要同客户的会计政策的运 用，包括新的会计和审计准则的发布联系起来。 三、执行风险分析程序并评估重大错报风险 金融企业审计 n 通过记录对客户及其行业的理解，分析并记录 对一下因素的影响 : 重要的风险； 需要向客户报告的与经营目标和经营风险相关的重 要风险 ； 重要性水平； 舞弊的风险； 初步分析性程序。 三、执行风险分析程序并评估重大错报风险 金融企业审计 n 理解企业及其环境列示： 上海银行 2004年度审计 见 2附 5 BAF， p422 三、执行风险分析程序并评估重大错报风险 金融企业审计 三、执行风险分析程序并评估重大错报风险 （四）理解商业银行的会计政策和会计实务 n 会计政策 n 会计实务 金融企业审计 （五）理解商业银行的信息系统 o 银行业通常都有庞大的信息系统，审计师需要配备 专业的计算机系统审计队伍对 IT系统进行测试，并 为实质性测试提供审计证据。 o 由于商业银行广泛地适用 IT、 电子资金转账（ Electronic Funds Transfer， EFT） 和其他通讯系 统，审计师首先需要获得关于整个 IT技术的清单。 o 在实务中，一般以银行的会计核算系统数据库为主 系统，其他运用系统与主系统的的接口为理解重点 。 o 在此基础上，审计师需要考虑是否利用专家对各个 系统的设计和安全性进行测试。（新就准则的比较