商业银行审计指南.doc

商业银行审计指南目 录 关于商业银行审计指南的说明1第一章 概述1 第一节 审计目标1 第二节 审计环境2 第三节 审计策略3 第四节 审计技术与方法6 第五节 审计程序10 第六节 商业银行审计发趋势11第二章 审计准备14 第一节 组成审计组14 第二节 调查了解被审计商业银行的基本情况15 第三节 获取电子数据 执行初步分析性复核26 第四节 初步确定重要性水平36 第五节 分析审计风险 确定审计策略37 第六节 制定审计方案41 第七节 制发审计通知书43第三章 内部控制测试程序和一般性内部控制测评44 第一节 商业银行内部控制简介44 第二节 内部控制测评的程序和方法46 第三节 商业银行一般性内部控制测评48第四章 存款业务审计61 第一节 存款业务概述及审计目标61 第二节 存款业务内部控制测评65 第三节 存款业务的实质性测试69第五章 贷款业务审计77 第一节 贷款业务概述及审计目标77 第二节 贷款业务内部控制测评83 第三节 贷款业务的实质性测试89第六章 支付结算业务审计100 第一节 支付结算业务概述及审计目标100 第二节 支付结算业务内部控制测评103 第三节 支付结算业务的实质性测试120第七章 银行卡业务审计131 第一节 银行卡业务概述及审计目标131 第二节 银行卡业务内部控制测评133 第三节 银行卡业务的实质性测试139第八章 其他中间业务审计145 第一节 其他中间业务概述及审计目标145 第二节 其他中间业务内部控制测评148 第三节 其他中间业务的实质性测试161第九章 资金融通业务审计171 第一节 资金融通业务概述及审计目标171 第二节 资金融通业务内部控制测评172 第三节 资金融通业务的实质性测试181第十章 联行清算业务审计191 第一节 联行清算业务概述及审计目标191 第二节 联行清算业务内部控制测评194 第三节 联行清算业务的实质性测试205第十一章 筹资及投资业务审计211 第一节 筹资及投资业务概述和审计目标211 第二节 筹资及投资业务内部控制测评213 第三节 筹资及投资业务的实质性测试218第十二章 其他业务审计227 第一节 其他业务概述及审计目标227 第二节 其他业务内部控制测评230 第三节 其他业务的实质性测试242第十三章 财务会计报告审计及评价262 第一节 财务会计报告简介及审计目标262 第二节 财务会计报告内部控制测评268 第三节 财务会计报告的实质性测试270 第四节 财务会计报告分析及评价273第十四章 审计终结280 第一节 审计报告280 第二节 审计处理288 第三节 利用审计结果综合分析293 第四节 归集审计档案296附录一：任期经济责任审计298附录二：业务循环与会计科目对照表307 关于商业银行审计指南的说明 一、法律效力本指南是依据国家审计基本准则和其他相关准则制定的，为审计机关和审计人员实施商业银行审计提供指导性的审计操作规程和方法，有利于规范审计行为，控制审计风险，提高审计效率和质量，但不具有法律强制效力。审计机关和审计人员开展商业银行审计时，建议参照本指南进行。二、适用范围本指南定位于对大型化、信息化的国有大型商业银行或股份制商业银行审计。各级审计机关开展其他商业银行审计、政策性银行审计、商业银行行长任期经济责任审计时，可参照本指南的部分内容实施审计。本指南以审计机关对商业银行实施初次审计为前提，当对商业银行实施定期轮流审计或连续审计时，可根据以前年度审计情况，选择本指南部分内容予以实施。三、编写特点（一）以防范和化解金融风险，确保金融安全为商业银行审计的最终目标。本指南以防范和化解金融风险、确保金融安全为最终目标，围绕商业银行“风险、管理、效益”， 将审计业务经营与审计财务收支结合起来，在所有业务循环审计中贯穿审计资产质量这个主线，突出对商业银行资产质量、内部控制、会计信息和遵守法规等情况的审计。（二）以风险基础审计理论为指导。本指南采用国际上先进的风险基础审计理论，从分析风险入手，在全面了解被审计商业银行基本情况的基础上，充分关注商业银行的特殊风险，确认影响实现审计目标的风险因素，即通过测试和评估商业银行固有风险、控制风险，根据风险基础审计策略模型原理和一定的可接受审计风险水平，确定实施实质性检查所需达到的检查风险水平，然后针对这些风险因素存在的状况和程度采取相应审计对策，确定和实施适当的审计程序，确保商业银行审计能够发现业务经营活动中的重大错误和舞弊与财务会计报告中存在的重大错报和漏报，将审计风险控制在可以接受的范围内。（三）以业务循环审计为主展开商业银行审计。由于商业银行审计的最终目标是确保金融安全，而影响金融安全的风险主要发生在商业银行业务经营各环节，因此，本指南以业务循环审计为主展开商业银行审计，将商业银行的主要业务分为存款业务、贷款业务、中间业务、资金融通业务、联行清算业务、筹资及投资业务、其他业务，将审计业务经营与审计与业务经营相关的财务收支有机地结合起来，确保审计最终目标的实现。（四）以计算机审计技术为商业银行审计工作平台。商业银行在处理业务交易和资金划拨中，愈来愈广泛地使用计算机信息系统和电子资金转账系统，经济活动所产生的绝大部分信息由计算机来处理。为了适应这种变化，本指南以计算机审计技术为基本工作平台，在逐步开展对商业银行计算机信息系统审计的基础上，全面应用计算机辅助审计技术实施各业务循环的审计，提高审计效率和质量。（五）注重应用分析性复核方法。本指南将审计人员基于自身经验而在审计实践中用到的分析性复核方法，如趋势分析、比率分析、比较分析等进行总结和提练后，形成一门系统的审计技术，并将其广泛地运用于审计计划、实质性测试、财务会计报告评价等审计各阶段，以充分识别特定风险、发现审计线索、确定审计范围和重点。 四、结构体例本指南共十四章，基本按审计程序顺序排列，其中第四章至第十三章现场实施审计部分按商业银行业务循环分章介绍（因中间业务审计内容较多，编写时按照中国人民银行发布的规范中间业务分类的最新规定，分为三章介绍）：第一章 概述，简要介绍商业银行审计目标、审计环境、审计策略、审计技术与方法、审计程序，以及相关的重要概念，并对商业银行审计的发展趋势进行展望。第二章 审计准备，介绍审计准备阶段应完成的主要工作，包括选派审计人员组成审计组、确定审计组长，调查了解被审计商业银行基本情况，获取商业银行的电子数据、执行初步分析性复核，初步确定重要性水平，分析审计风险、确定审计策略，制定审计方案，制发审计通知书并向商业银行提出书面承诺要求等。第三章 内部控制测评程序与一般性内部控制测评，在简要介绍商业银行内部控制的基础上，介绍商业银行内部控制测评程序与方法，以及一般性内部控制的测评。第四章至第十三章介绍业务循环审计，各章编写体例基本相同，第一节业务概述及审计目标介绍业务内容与流程、审计目标及应索取的相关文件和会计账簿，第二节内部控制测评介绍各业务的主要风险及表现、内部控制调查和测试，第三节实质性测试介绍对各业务进行实质性测试的程序和方法。各章介绍的主要业务分别是： 第四章 存款业务审计，介绍对商业银行各项存款业务及其所涉及财务会计报告科目的审计。 第五章 贷款业务审计，介绍对商业银行各项贷款业务及其所涉及财务会计报告科目的审计。 第六章 支付结算业务审计，介绍对商业银行包括国内外结算业务在内的支付结算类中间业务及其所涉及财务会计报告科目的审计。 第七章 银行卡业务审计，介绍对商业银行包括信用卡和借记卡等业务在内的银行卡业务及其所涉及财务会计报告科目的审计。 第八章 其他中间业务审计，介绍对商业银行代理类中间业务、担保类中间业务、承诺类中间业务、交易类中间业务、基金托管业务、咨询顾问类业务、其它中间业务及其所涉及财务会计报告科目的审计。 第九章 资金融通业务审计，介绍对商业银行拆借、再贷款、再贴现、证券回购、自营外汇买卖等资金融通业务及其所涉及财务会计报告科目的审计。 第十章 联行清算业务审计，介绍对商业银行系统内联行、跨系统联行等联行清算业务及其所涉及财务会计报告科目的审计。 第十一章 筹资及投资业务审计，介绍对商业银行所有者权益类业务及发行债券筹资，按照国家规定进行投资等业务及其所涉及财务会计报告科目的审计。 第十二章 其他业务审计，介绍对商业银行现金资产、长期无息资产、过渡性资金、其他损益等业务及其财务会计报告科目的审计。 第十三章 财务会计报告审计与评价，介绍利用分析性复核等方法对商业银行财务会计报告进行审计和评价。 第十四章 审计终结，介绍审计终结阶段的主要工作，包括汇总审计结果、形成审计报告并征求被审计商业银行意见，审计机关审定审计报告、作出审计意见和审计决定，综合分析审计结果、提出建议报告，归集整理审计档案。附录 经济责任审计，对商业银行领导人员经济责任审计的依据和目的、审计原则、审计程序、审计内容与评价指标体系、责任划分及审计结果报告等进行了初步探索。五、注意事项 （一）与其他相关审计准则相衔接。本指南依据国家审计基本准则和其他相关审计准则，在总结商业银行审计经验的基础上，设计了各项审计工作底稿，以工作底稿的形式体现审计的内容、程序和方法。实施审计时，审计人员可视被审计商业银行具体情况进行选择、增减和调整，或自行设计其他适用的审计工作底稿。对商业银行审计中涉及的有关审计法律文书等，本指南仅作一般性描述，其格式和要求均按照相关审计准则执行。 （二）充分做好审计准备阶段工作。本指南强调审计准备阶段的工作一定要充分，特别是要做好详细周密的审前调查和初步分析性复核工作。审计人员应全面了解被审计商业银行业务经营、内部控制、财务状况、盈利能力、发展趋势等情况，进行系统地风险分析，初步确定合理的重要性水平，确定适当的审计策略，据以制定详细和有针对性的审计工作方案和实施方案，明确审计范围与重点，指导审计人员有目的地开展工作，提高现场实施审计的工作效率。在确定重要性水平时，应充分结合审计人员专业判断，对总行和不同的分支机构、对资产负债表科目和利润表科目，分别确定不同的重要性水平。（三）优先采用依赖内部控制的审计策略。由于银行具有相对较强的内部控制、大量的经济业务以及非常复杂的计算机应用系统等特点，审计人员如果不考虑内部控制的作用，不依赖内部控制测试，而完全通过详细的实质性测试是根本无法完成审计工作的，因此，本指南建议一般情况下优先采用依赖内部控制的审计策略，即通过调查和测试相关的内部控制活动，获取最大程度或适中程度的内控保证，然后执行较低保证程度的实质性测试。应注意的是，审计人员并不需要每次审计时都必须对所有业务循环、所有分支机构进行内控调查和测试，而是可以根据专业判断采用轮流测试等方法，对重要的业务循环如贷款业务循环、联行清算业务循环，以及对重要的计算机控制、重要的分支机构等进行内控测试，对连续审计的商业银行着重了解发生变化的部分，合理地安排好审计力量。当然，依赖内部控制审计策略也不排斥对重要账户、敏感业务、异常事项等重大项目进行详细检查。 （四）利用内部审计和其他工作成果。随着商业银行内部控制约束机制的增强和外部监管的强化，内部审计、中央银行监管和注册会计师审计从不同的角度对商业银行进行监督，审计人员充分利用内部审计和其他工作成果，即可有效地确定审计重点，保证审计质量，又可提高审计效率，降低审计风险。审计人员在利用这些工作成果时，应考虑这些部门工作的独立性和工作能力，对工作成果进行适当地审核利用，并对利用后果负责。（五）审计人员专业判断的重要性。审计工作是一项专业性和实践性都非常强的工作，审计工作所面临的不确定性始终无法完全消除，任何先进的审计理论和审计技术都不能解决审计中的所有问题，因此，本指南强调在整个审计过程中必须充分运用审计人员专业判断。从审计准备阶段的识别特定风险、确定重要性水平、选择适当审计策略，审计实施阶段的运用分析性复核方法、应用计算机审计技术，到审计终结阶段对审计事项的判断和作出审计结论等，都需要审计人员大量地运用专业判断。只有将审计人员的专业判断与审计理论、审计技术方法的应用等有机结合起来，才能提高审计效率，确保审计质量。第一章 概述 本章共分六节，第一节介绍商业银行审计的目标定位、总体审计目标与具体审计目标；第二节介绍商业银行审计环境；第三节介绍为实现审计目标，根据商业银行审计环境，所采用的风险审计策略；第四节介绍实施风险基础审计策略所使用的主要审计方法，包括计算机审计技术；第五节介绍商业银行审计程序；第六节对商业银行审计发展趋势进行展望。审计目标商业银行审计的目标定位商业银行是指依照中华人民共和国公司法和中华人民共和国商业银行法设立的从事吸收公众存款、发放贷款、办理结算等业务的企业法人，包括国有独资商业银行、股份制商业银行、城市合作商业银行、农村合作商业银行、外资商业银行、中外合资商业银行等。本指南所称商业银行审计，定位于对大型化、信息化的国有大型商业银行或股份制商业银行进行审计，其长远目标是强化管理、规范秩序、维护公平、提高效益、防范风险、促进发展，近期目标是降低不良资产比例、消化历史财务包袱、严格内部运行管理、建立风险监管体系。本指南将以防范和化解金融风险、确保金融安全为最终目标，围绕商业银行“风险、管理、效益”， 将审计业务经营与审计财务收支结合起来，在所有业务循环审计中贯穿审计资产质量这个主线，突出对商业银行资产质量、内部控制、会计信息和遵守法规等情况的审计。商业银行审计的总体审计目标商业银行审计的总体审计目标，是指对被审计商业银行业务经营活动及相关财务收支的真实、合法、效益性实施审计监督，并对其违反国家规定的行为进行审计处理、处罚。本指南将围绕上述总体审计目标，确定具体审计目标，并根据商业银行审计环境，确定基本审计策略、主要审计程序和方法。商业银行审计的具体审计目标商业银行审计的具体审计目标是总体审计目标的进一步具体化，主要包括以下八个方面：真实性，指商业银行各项业务所形成的、列示于资产负债表中的各项资产、负债、所有者权益以及有关表外科目在资产负债表日确实存在，列示于利润表的各项收入和支出在会计期间内确实发生。完整性，指商业银行发生的所有业务均已按规定记入有关账簿并列入财务会计报告。准确性，指商业银行各项业务均已准确地记入相关帐户，业务交易金额和账户余额记录准确。所有权，指商业银行各项业务所形成的、列示于资产负债表中的各项资产确实为企业所有，各项负债确实为企业所欠。合法性，指商业银行各项业务活动符合法律法规的要求。计价，指商业银行各项业务所形成的各项资产、负债、所有者权益、收入和支出等要素均已按适当方法进行估价和计量，列入财务会计报告的金额正确。截止期，指商业银行各项业务均按规定准确地记录于恰当的会计期间。分类与披露，指商业银行各项业务所形成的、列示于财务会计报告上的各要素均已被适当地加以分类，财务会计报告恰当地反映了账户余额或发生额，披露了所有应该披露的信息。审计环境由于商业银行审计具有较高的固有风险及内部控制风险，要求审计人员对商业银行特征及主要风险、会计核算体系等方面有深入的了解，并具备一定的商业银行审计经验。因此，本节介绍审计人员必须考虑和了解商业银行的特征和面临的风险等审计环境方面的总体情况，保持应有的职业谨慎，实施相应的审计程序和方法，以提高审计质量，将审计风险降低至可接受的水平。商业银行的特征 （一）经营对象。商业银行通过货币存贷及结算服务获取货币的增值利润，以大量的货币性项目为经营对象，这就要求商业银行具备比生产性企业更加严密、健全、有效的内部控制，以保证经营的安全、顺利、有序进行。（二）交易特征。商业银行主要经营筹资、信用、中间及外汇等业务，交易方式及种类繁杂，交易次数频繁，单笔或累计金额巨大，手续繁简不一。数量和价值的巨大而多样，要求建立严密的会计处理程序及控制；同时，由于异地交易及瞬时交易的需要，计算机信息系统及电子资金转账系统等计算机技术的应用日益广泛。（三）机构分布。商业银行因客户分散及异地服务，需要建立众多的分支机构，如分理处、储蓄所等，因国际业务发展的需要还可能在国外设立分支机构，各分支机构的资金流程、会计处理等职能分散，内控相对薄弱，要求高度统一的操作规程和会计处理系统，以保证银行的正常经营秩序。（四）表外中间业务。商业银行存在大量的不涉及资金流动、不列入资产负债表内的经营活动，如担保、承诺、期权及远期利率协议等，这些表外中间业务可能会为银行带来潜在风险。由于这些潜在风险巨大的业务，在表外单项记录反映，必须严格这些业务的审批操作程序，记录必须及时、充分、完整，监控严密。（五）社会影响。商业银行主要的资金来源是向社会公众吸收存款，高负债经营，债权人众多，与社会公众利益密切相关，如有不慎，则会引发挤兑等信用危机，因此，要求有银行监管法规的约束和政府有关部门的严格监管。商业银行的风险及其表现 参照巴塞尔银行业监管委员会1997年发布的有效银行监管的核心原则中的分类方法，我国商业银行目前和将来面临的主要风险有信用风险、国家风险和转移风险、市场风险、利率风险、流动性风险、操作风险、法律风险、声誉风险。在相当一段时期内，我国商业银行体系还将潜伏着较大的风险。这些风险表现按照来源不同，可分为内源型、外源型和混合型风险：（一）内源型风险。内源型风险由银行内部管理不善、风险控制机制不健全等原因造成，主要表现为资产负债总量控制失衡、流动性要求难以满足、资产结构中贷款比重过高，贷款合同要素不全、信贷决策失误和贷后管理缺乏、人情贷款和关系贷款、银行及分支机构之间缺乏信息沟通造成对恶意贷款人的交叉贷款审查控制不力，高息揽储恶性竞争、违规开立信用证和签发承兑汇票、银行有关人员以权谋私违规操作、搞账外经营和违规自办实体等方面。随着1998年以来防范金融风险意识的增强和中央银行等部门监管力度的加大，各商业银行通过深化信贷管理体制改革，加强信贷风险约束，一定程度上改善了内源型风险的控制机制。（二）外源型风险。外源型风险由银行业外部各因素造成，主要表现在：13社会信用风险。由于当前社会信用基础较为薄弱，社会经济生活中缺乏诚信的现象时有发生，银行在经营活动中遇到相当部分因企业不讲信誉而形成的风险，如在申请银行贷款时不披露企业真实经营情况，提供水分大的报表；借款人还款意愿差，特别是近年来企业借改制等形式逃废银行债务的情况较为普遍。2金融诈骗风险。金融诈骗案件时有发生，如以高息为诱饵，或借助高科技手段作案，诈骗金额巨大。3政府干预风险。中央政府作为国有商业银行所有者代表，给定银行经营者的目标是多维的且存在一定的不协调的地方，加大了经营风险；此外，由于国有商业银行风险最终由中央政府而不是地方政府承担，地方政府为了支持地方经济发展，不同程度地存在直接或间接干预银行经营的行为。4其他行业传递风险。如中央银行允许符合条件的证券公司进入银行间同业拆借市场、允许银行向个人提供股票质押贷款等，扩展了证券公司和个人融资渠道，同时由于利益驱动，银行也会通过各种渠道将资金注入股市，产生新的经营风险。又如，各银行开办的有关证券交易的新业务，一定程度上突破了银行、证券分业经营的模式，尤其是在申购新股时导致银行资金波动量大，加大银行流动性风险。（三）混合型风险。多数情况下，外源型风险是通过银行内部管理漏洞发生的，这就是混合型风险，一方面，犯罪分子利用被收买的银行内部人员为内线，内外勾结进行诈骗，另一方面，由于银行内部管理不善、风险控制机制不健全，也在一定程度上放大了外源型风险。作为上述风险的集中反映，就是银行体系中积累了大量的不良资产。因此，关注资产质量的审计是商业银行审计的一条主线。审计策略本指南根据商业银行审计环境，选用风险基础审计策略来实现商业银行审计的总体审计目标和具体审计目标。审计风险 （一）审计风险的概念。审计风险是指被审计商业银行财务会计报告存在重大错报或漏报，业务经营活动中存在重大的错误或舞弊，而审计人员审计后发表不恰当审计意见，作出不恰当审计结论的可能性。由于被审计商业银行自身的复杂性、审计技术的固有限制，以及审计人员能力和素质等原因，商业银行审计风险客观存在，审计人员只能控制审计风险，而不能完全消除审计风险。因此，审计时，审计人员应设计合理审计程序、应用必要审计技术，把审计风险控制在可以接受的范围内。 （二）审计风险的要素。审计风险包括固有风险、控制风险和检查风险。固有风险是指假定不存在相关内部控制时，某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性；控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报，而未能被内部控制防止、发现或纠正的可能性；检查风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报，而未能被实质性测试发现的可能性。（三）审计风险要素之间的关系。审计风险要素中，固有风险、控制风险与被审计商业银行有关，独立于审计过程之外，审计人员不能改变固有风险与控制风险水平，但可以通过对被审计商业银行的了解，评估其固有风险与控制风险水平的高低；在此基础上，根据审计风险三要素之间的关系，在一定的可接受审计风险水平下，得出可接受的检查风险水平，并据以确定实质性测试的程序和范围。这样，审计人员就可以通过控制检查风险将审计风险降低到可接受水平。审计风险三要素之间关系如下公式所示： 可接受审计风险检查风险 固有风险控制风险审计风险水平与审计保证程度 （一）审计风险水平。本指南假定在一般情况下，审计机关商业银行审计可接受的最大审计风险为5。对被审计商业银行的固有风险和控制风险，可以视情况定性评估为高、中、低，也可以定量以百分比表示。（二）审计保证程度。审计保证程度是审计机关对被审计商业银行财务会计报告正确发表审计意见、作出审计结论的把握程度。审计保证程度可以以百分比方式表述，也可以以系数方式表述。审计保证程度系数越大，审计风险水平就越低。假定在一般情况下，审计机关要求商业银行审计必须达到的最低审计保证程度系数为3，相应的审计保证程度为95，此时可接受审计风险为5。（三）审计风险水平和审计保证程度系数的关系。如表11所示： 表11 审计风险和审计保证程度系数关系表审计保证程度系数以百分比表示的审计保证程度以百分比表示的审计风险定性描述的审计风险00100 高 低0.750501.063371.374262.086142.390103.0955（四）审计保证程度的要素。与审计风险相类似，审计保证程度由商业银行的固有保证程度和控制保证程度，以及审计的检查保证程度构成。按审计保证程度系数方式表述，则可将审计风险的乘法表达式演变为下列的审计保证程度系数加法表达式： 审计保证程度系数固有保证程度系数控制保证程度系数检查保证程度系数风险基础审计策略模型及应用（一）风险基础审计策略模型。对某一特定的商业银行而言，其固有保证程度和控制保证程度是一定的，审计机关为了降低审计风险，提高审计保证程度，要求审计人员必须在了解和评估商业银行固有保证程度和控制保证程度的基础上，确定实质性测试必须达到的检查保证程度，亦即确定实质性测试时可以接受的最大检查风险。本指南采用的风险基础审计策略模型如表12所示： 表12 风险基础审计策略模型检查保证程度系数固有保证程度系数01控制保证程度系数0检查保证程度系数为3，应实施详细检查检查保证程度系数为2，应实施较大量的实质性测试1.3检查保证程度系数为1.7，应实施较大量的实质性测试检查保证程度系数为0.7，可实施较少量的实质性测试2检查保证程度系数为1，应实施较大量的实质性测试检查保证程度系数趋近于0，少量抽样检查即可满足要求2.3检查保证程度系数为0.7，可实施较少量的实质性测试检查保证程度系数趋近于0，少量抽样检查即可满足要求注：1内控调查发现商业银行存在特定风险时，固有保证程度系数为0；不存在特定风险时，固有保证程度系数为最大，取值为1。2根据内控测试结果，确定控制保证程度系数值：内控风险为高，不依赖内控时，控制保证程度系数为0；内控风险为较高、中、低时，控制保证程度系数分别为1.322.3。 可以看出，审计人员必须达到的检查保证系数越大，实质性测试工作量越大；必须达到的检查保证系数越小，实质性测试工作量越小。 （二）风险基础审计策略的应用。由于商业银行固有风险较高，内部控制对防止、发现和纠正错误与舞弊至关重要，审计人员在确定应达到的检查保证程度系数时，必须综合评估商业银行的固有保证程度系数和控制保证程度系数。应用风险基础审计策略时，主要有以下步骤：1确定审计保证程度系数。本指南假定实施商业银行审计时要使审计保证程度系数达到3。2通过了解，评估确定商业银行的固有保证程度系数。3通过了解和测试，评估确定商业银行的控制保证程度系数。4按照风险基础审计策略模型，确定实质性测试必须达到的检查保证程度系数，并在此基础上，确定适当的实质性测试程序、范围和程度，以及适当的抽样检查规模。 如何选用适当的审计抽样方法以及确定样本规模，建议审计人员使用审计署统计抽样软件并参照审计统计抽样的技术与方法（中国时代经济出版社审计技术方法丛书，2002年版），选用货币单位抽样方法来选择样本和推断总体。需要注意的是，利用任何方法推断的总体差错，只能作为审计人员专业判断的基础，审计人员不能将此视为被审计商业银行的实际差错，也不能据此提出审计意见、作出审计决定。重要性原则重要性是指被审计商业银行财务会计报告中存在错报或漏报的程度，这一程度在特定环境下可能会影响审计目标的和财务会计报告使用者的判断或决策。确定重要性水平需要审计人员专业判断和职业谨慎，重要性水平越低，实质性测试工作量以及应获取的审计证据就越多。审计人员审计时应根据商业银行面临的环境，综合考虑各类因素，合理确定重要性水平，如对总行及分支行应分别确定不同的重要性水平。重要性原则在审计过程中的应用。 1审计准备阶段初步评估重要性水平。审计准备阶段初步评估重要性水平是为了编制审计方案，合理确定实质性测试范围和应收集审计证据的数量。审计人员可采用一定的方法并结合专业判断评估确定重要性水平。2审计实施阶段对重要性水平修订和使用。审计过程中，需要根据情况重新考虑重要性水平，对初步确定的重要性水平进行修订，同时，审计人员应将重要性水平作为判断和记录审计情况的一项重要标准。3审计终结阶段运用重要性水平衡量。审计终结阶段，审计人员应利用重要性水平衡量发现问题或差错的严重程度，并发挥专业判断，决定是否需要进一步扩大测试范围，收集更多的审计证据。如果单个问题或差错达到或超过了重要性水平，或所有问题或差错汇总后总体上达到了重要性水平，均应在审计报告上予以揭露，出具相应的审计意见和审计决定。确定重要性水平应考虑的主要方面。 1重要性水平需考虑金额和性质。一般情况下，金额大的错报或漏报比金额小的更重要，但有时，某项错报或漏报从量上看可能并不重要，但从性质上看却很重要，如涉及违法行为或舞弊的错报或漏报、可能引起履行合同义务的错报或漏报，以及频繁发生的小金额错报或漏报等，可能比相同金额的其他错报或漏报更重要。2确定商业银行重要性水平时需重点考虑商业银行业务特征的影响。如相对小的错报对资产负债表的影响可能不重要，但对利润表和资本充足率可能产生重大影响；既影响资产负债表又影响利润表的错报比只影响资产、负债和资产负债表表外承诺的错报更重要；商业银行严重违反监管法规（如资本充足率等刚性的银行监管指标），即使金额较小的错报也可能对财务会计报告造成重大影响等，应对上述情况作特殊考虑。审计技术与方法本节介绍在风险基础审计策略下，实施商业银行审计所采用的主要技术与方法，包括内部控制的了解和测试、实质性测试、计算机审计技术和审计取证方法等。一、内部控制的了解和测试内部控制是商业银行为了保证业务活动有效进行，保护资产安全完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序所形成的调整、检查和制约系统，由内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正等五要素组成。 建立健全内部控制，维护财产物资的安全完整，保证会计信息真实、合法和完整，是被审计商业银行的会计责任。审计人员审计准备阶段的任务是根据被审计商业银行的实际情况，采用适当的方式方法了解和测试其内部控制。通过了解和测试内部控制，可以初步评价控制风险，初步确定控制保证程度系数，决定是否采取依赖内部控制审计策略，为确定实质性测试的程序和范围服务。了解和测试内部控制时应注意： （一）采用“自上而下”原则，关注主要控制环节，了解、测试和评价内部控制。一般而言，了解和测试内部控制，评价控制风险，并不需要详细了解内部控制的所有方面，也没有必要评价内部控制的所有环节，审计人员应关注主要的控制环节，“自上而下”地实施内部控制的了解、测试和评价。 （二）采用按照商业银行经济业务循环综合测试和评价内部控制。了解、测试和评价内部控制，既可按经济业务循环综合测试和评价，也可按财务会计报告科目分别测试和评价。由于商业银行审计的最终目标是确保金融安全，而影响金融安全的风险主要发生在商业银行业务经营环节，审计过程中必须将审计业务经营和审计财务收支结合起来。本指南针对此特点，采用按商业银行经济业务循环来综合测试和评价内部控制，将商业银行经济业务分为存款业务、贷款业务、中间业务、资金融通业务、联行清算业务、筹资及投资业务、其他业务等业务循环，分别进行相关内部控制的测试和评价，在此基础上进行实质性测试。每个业务循环与相对应的主要会计账户除在每个业务循环审计分别介绍外，还将列表作为本指南附录供参阅。 （三）采用调查表法、流程图法和描述法等方法了解和记录内部控制。本指南主要介绍调查表法，审计人员可根据具体情况决定使用何种形式来了解和记录被审计商业银行的内部控制。对多次接受审计的商业银行，审计人员不必重复进行内部控制了解，只需了解发生变化的部分。二、实质性测试实质性测试是指审计人员为了实现具体审计目标，对商业银行各项业务及其所影响的财务会计报告项目余额进行的详细检查和分析性复核。商业银行的固有保证和控制保证只能降低实质性检查保证程度，而不能替代实质性测试，实质性测试是任何审计项目都必不可少的环节，审计人员应根据对内部控制了解和测试情况，对固有保证和控制保证进行评估，据以合理确定实质性测试的程序和范围。对不同性质的账户和交易，根据其特点和复式记账原理，可以确定实质性测试的重点，如对资产业务、支出类账户等，应主要检查真实性、所有权、高估金额、截止日等方面的差错；对负债业务、所有者权益业务和收入类账户等，应主要检查完整性、低估金额和截止日等方面的差错。实质性测试过程中，建议审计人员使用审计署统计抽样软件并参照审计统计抽样的技术与方法（中国时代经济出版社审计技术方法丛书，2002年版），结合应达到的检查保证程度系数和重要性水平，灵活运用抽样审计技术，如在对业务和账户余额进行测试时，可首先考虑采用非统计抽样技术，选择金额重大、性质重要的业务或账户进行测试；对业务和账户进行测试采用统计抽样时，建议采用货币单位抽样方法。当然，对长期投资、所有者权益等一些比较敏感或交易量很少、但金额重大的业务或账户，可不进行抽样审计，代之以详细检查。 三、计算机审计技术商业银行在处理业务交易和资金划拨中，愈来愈广泛地使用计算机信息系统和电子资金转账系统，经济活动所产生的绝大部分信息由计算机来处理，审计人员必须适应审计对象的这种变化。 （一）计算机信息系统对审计环境的影响。计算机信息系统并不改变审计的总体目标和范围，但是计算机的使用改变了财务资料的处理过程和存储方式，并可能影响被审计商业银行为达到适当的内部控制而采用的组织和程序。这些影响表现为： 1审计内容实体发生变化。计算机信息系统环境下，除了部分原始凭证和打印出的账表外，大量会计数据和业务数据都是以电、磁信号的形式被存储在计算机中，不经显示或输出是看不见、摸不着的。这些信息既容易销毁也容易伪造，而且可以不留任何痕迹。单靠原有的手工审计方法和审计手段是不够的，必须补充新的审计方法和审计手段才能满足客观需要。2审计对象内部控制发生变化。计算机信息系统环境下，数据处理集中由计算机自动完成，并改变了原有的业务和账务处理程序，使得原有的内部控制功能丧失，需要制定新的内部控制系统，审计人员需要应用一套新的技术和衡量标准对计算机环境下的内部控制进行测试和评价。3审计线索发生变化。计算机信息系统环境下，传统的账簿和文字记录被存有业务、会计资料的磁性介质所取代，无法按传统的每一步文字记录来追踪审计线索。此外，从原始数据输入到报表输出，其间的全部会计处理都由计算机按程序指令自动完成，传统的审计线索在这里中断了。因此，为了能在计算机信息环境下有效的审计，除制定一些规章制度外，还必须在计算机信息系统的设计和开发中提出审计要求，以便使这些系统在会计核算和业务处理过程中留下审计线索。4审计工作难度加大，对审计人员素质要求提高。计算机信息系统环境下，会计数据、业务数据的处理结果是否真实可靠，不仅取决于会计人员、业务人员的业务水平、工作态度等因素，而且还取决于数据处理过程中所使用的计算机硬件、系统软件和应用软件是否准确可靠，业务操作、处理流程是否符合要求等，这些方面内容复杂、技术性强，可能进行舞弊的手段和途径较多，且不易防范和检查，增加了审计难度，审计人员除要具有丰富的财务会计、审计等相关知识技能，熟悉有关政策法规外，还必须掌握一定的计算机基本知识和操作技能，充分了解计算机信息系统，才能满足计算机环境下审计的需要。 （二）计算机信息系统环境下审计方式及应用。一般可分为以下几种审计方式： 1绕过计算机审计。即审计人员用传统的手工方式对计算机系统的输入以及输出结果进行审计，不考虑计算机系统对数据的处理过程。由于商业银行计算机信息化程度的日益提高，审计人员若仍然回避审计对象的这种变化而绕过计算机来审计，已不能满足审计工作的需要。因此，这种审计方式在商业银行审计中已不再适用。2对计算机信息系统进行审计。即对计算机信息系统程序设计、系统功能、数据处理过程及相关控制进行审计，重点强调对计算机数据处理过程内部控制的审计。计算机信息系统内部控制分为一般控制和应用控制，一般控制包括组织控制、操作控制、系统开发和维护控制、硬件和软件控制以及访问和数据库控制，应用控制包括输入控制、处理控制和输出控制。对商业银行计算机信息系统的审计，重在对影响计算机信息系统开发、修改、接触、数据登录、网络安全和应急计划的相关内部控制的测评，和对商业银行使用电子资金转账系统的程序，评价其交易前监督控制和交易后确认及调节程序的完整性。通过测评评价系统的可靠性，确定对系统的依赖程度。经过近几年商业银行审计的探索，已逐步具备开展对计算机信息系统审计的条件，对计算机信息系统内部控制测评成为商业银行审计中一个不可或缺的重要内容。计算机信息系统审计主要有数据检验技术、平行模拟技术：数据检验技术是指审计人员根据检测目的，设计出一些虚拟的经济业务数据（包括合法的和非法的数据），提交给被审计商业银行的计算机数据处理系统进行处理。将系统对检测数据的处理结果与审计人员的预期结果进行对比，以确定系统控制是否存在并有效地执行。平行模拟技术是指模拟被审计商业银行对实际数据的处理而设计一种软件，通过将被审计商业银行的真实数据用审计人员的软件重新处理，以验证数据处理的正确性。 3计算机辅助审计技术。即审计人员应用计算机技术作为审计工具来完成审计任务。在近几年商业银行审计中，已广泛应用计算机辅助审计技术，尤其是应用通用审计软件、审计管理和作业自动化方面成效显著，为提高审计效率、确保审计质量发挥了积极作用。 计算机辅助审计技术主要有通用审计软件、嵌入审计模块技术、审计管理和作业自动化技术：通用审计软件是辅助审计人员完成审计任务的审计工具软件，可用于对被审计商业银行的内部控制测评和实质性测试，如在实质性测试时，可实现选取和打印样本、检查计算结果、汇总和分析数据、比较计算机数据和审计人员的处理结果等功能。嵌入审计模块技术是指在被审计商业银行的计算机数据处理系统中加入为完成审计目的而编写的程序。审计管理自动化技术是指审计机关运用计算机技术对审计工作进行全面管理，如建立被审计单位信息数据库、建立审计计划系统、建立审计档案管理系统；审计作业自动化技术主要是指实施具体审计项目时运用计算机技术实现工作底稿的自动化，如审计通知书、审计工作底稿、审计结果、审计档案归集等。4网络审计技术。网络审计技术是指利用网络技术将商业银行的会计信息数据与审计机关的网上审计中心联结起来，通过审计软件对这些会计信息数据实施网上实时审计，包括对计算机网络系统及环境的审计以及利用计算机网络进行辅助审计。审计机关运用计算机网络技术对商业银行进行审计监督已成为一种必然的发展趋势，目前我国审计机关已基本具备开展网络实时审计的条件。应该强调的是，对计算机信息系统审计和应用计算机辅助审计技术、网络审计技术的主体是审计人员，计算机审计技术不能解决审计中的所有问题。因此，在商业银行审