1. 下列内部控制和实质性测试并非审计需要实施的所有程序,也非最低要求。它仅仅是关于审计人员在以下方面实施控制和测试程序的指导:
(a)理财及交易业务;
(b)贷款及预付款。
理财及交易业务介绍
2. 理财,指的是与购买、销售、借贷金融工具有关的一切活动。金融工具可能是证券、资金市场工具或衍生金融工具。银行通常为了自己的目的(如为规避风险而进行的保值行为)或者为满足客户的要求而从事此类业务,进行或多或少的交易行为。交易,指的是为了通过一定时期市场价格指数(如汇率、利率或者权益价格)的变动而获利的买卖(或发生/终止)金融工具(包括衍生金融工具)的行为。银行一般通过对风险的划分而不是对金融工具的分类来管理和控制这类理财业务。审计人员在实施审计时所运用的获取审计证据的方法与其他审计相同。IAPS(国际审计实务准则)1012号对银行作为最终衍生金融工具持有者的审计提供了指导。
内部控制需考虑的事项
3. 一般而言,理财业务均由IT系统记录。如果系统可靠,出错的概率一般较低。因此,审计人员在将这方面的固有及控制风险评价为较低水平之前,应该测试关键处理控制程序是否运行有效。理财业务的典型控制程序包括一般银行要考虑的商业风险控制程序,而不仅仅是审计人员在评价内控制度时所需要考虑的内控程序。
典型的控制问题
政策控制
4. 高级管理人员应该为银行理财建立如下常规控制政策:
● 银行自营或者代理业务应该按照风险水平及产品类型加以分类;
● 交易发生的地点:可能是地区市场,或是相对于交易所而言的场外交易(OTC);
● 计量、分析、监督、控制风险的程序;
● 可接受的风险水平及允许变动的范围;
● 合适的限额以及超过该限额应实施的程序;
● 开办新产品或新业务之前设计好的管理程序;
● 对高级管理部门报送报告的类型及频率要求;
● 对控制政策检查、更新以及认可的时间和频率计划。
运行控制
5. 前台和后台业务是否实行职能分离?
6. 下列业务是否由前台人员独立操作:
● 交易确认;
● 对交易量及结果的记录和调整;
● 交易计价或市场价格独立确认;
● 交易的结算。
7. 交易单据是否事先编号(如不是自动生成)?
8. 银行是否对交易人员有下列行为规范要求:
● 禁止交易人员为自己的账户交易;
● 对接收礼物以及娱乐活动的限制;
● 客户资料的保密性;
● 确认交易对方的身份;
● 管理人员对交易人员进行检查的程序。
9. 酬金制度的设计是否可以避免过度风险行为?
10. 新产品是否在经认可后引入?是否有充分的风险控制程序?
交易活动及限制
11. 银行是否有一整套限制整个机构、商业单位及交易人员的市场、信用及流动性风险的措施?一般运用的是理论上或金额上的限制(通过对货币或者交易伙伴的要求实现)、止损限额、缺口或到期日限制、结算限制及风险评估控制(包括市场风险和信用风险)。
12. 与风险相关的限制是否与银行总体限制政策一致?
13. 所有交易人员是否都了解对其的限制并且有效遵循?新业务是否会减少已有的限制?
14. 现有程序是否可以保证限额不被突破?
风险计量及管理
15. 是否有独立的风险管理职能部门(有时又称“中间办公室”)来计量、监督、控制风险?该职能部门是否可以直接向高级管理人员提交报告?
16. 用何种方法计量交易风险(如成交量限制、敏感性限制、风险评估限制等)?
17. 风险控制及管理系统配置是否足以适应交易量、交易的复杂性以及风险?
18. 风险计量系统是否覆盖所有业务、产品以及风险?
19. 是否所有风险系统的因素(方法、计算、参数)均有相应的文档资料?
20. 是否对所有的交易均定期重估价值及风险水平,对正在进行的业务是否每天进行重估?
21. 是否对计量和限制风险的风险管理模型、方法及假定定期进行评价,其档案资料是否随参数改变而随时更新?
22. 是否进行“压力测试”以及“最糟案例”(考虑不利市场状况,诸如价格的不寻常变化、市场的流动性减小或者主要交易伙伴拖欠等)测试研究?
23. 管理人员是否定期收到有用的报告?
证实
24. 银行是否有下列书面控制程序:
● 由独立人员向外发送给交易伙伴的由交易人员记载有事先编号的交易确认书;
● 由独立人员接受交易确认书并与事先编号的内部交易单核对;
● 由独立人员判断收到的交易确认书回复的签字与样本一致;
● 对对方没有回复交易确认书的情况,是否由独立人员进行确认?
● 如果回复中有差额,是否有相应的独立事后程序解决?
交易的结算
25. 结算指令是否同时经过内部和外部的书面确认程序送达交易伙伴?
26. 结算指令是否与合同要求相对比?
27. 结算是否由独立于发起交易和记录交易的有权人员在书面授权的指令下完成?
28. 是否将每日所有既定的结算安排(收、付)书面通知给结算部门以备忘,以便重复发送或未收到付款时能及时发现并采取措施?
29. 会计分录是否不是由操作人员做出和检查,也不是由保管未完成合同记录的人员或出纳人员来完成?
记录
30. 超过限制金额的交易,个别交易商、客户、交易伙伴的短期大量交易,以及不寻常的合同利率交易等是否有“例外报告”上报?上述报告是否由独立于交易员的部门及时提交?
31. 银行是否建立下列书面程序:
● 对所有已用和未用交易单进行会计记录;
● 及时由独立的会计部门对所有交易进行会计记录,包括确认和修改被拒交易事项的程序;
● 每天对交易员记录的交易量和利润与会计记录进行核对,如有差异及时调查;
● 定期向管理人员详细报告对上述限额监控的结果。
32. 是否所有的往来账户由独立于结算部门的人员定期调节?
33. 临时账户是否定期检查?
34. 银行是否允许其会计系统报告不同产品业务的即期、远期、净敞口以及总体状况,如:
● 按买、卖,按货币;
● 按到期日,按货币;
● 按交易伙伴,按货币。
35. 是否定期(如每天)根据牌价或者直接由独立渠道获得的价格对敞口重估至现值?
一般审计程序
36. 一定的审计程序应适应于理财业务的环境。为理解这一环境,审计人员应该了解:
● 这类理财业务的规模、数量、复杂性以及风险;
● 与银行其他业务相比,此类理财业务的重要性;
● 理财业务发生的范围;
● 理财业务的总体组织情况。
37. 一旦了解了上述情况,并对内控制度测试获得满意结果,审计人员应该检查:
● 一定时期交易记录及相关损益的准确性,与相应的交易单和确认单是否一致;
● 交易的完整性以及前台和会计记录期末余额之间的适当调节;
● 期间或者期末通过第三方确认的未结交易量;
● 年末用于计算未实现损益的汇率、利率以及其他隐含市场利率的合适性;
● 年末用于确定金融工具公允价值的计价模型和假设的合适性;
● 用于收入确认以及区分保值/交易工具的会计政策的合适性。
38. 常引发审计风险增加的理财业务的相关方面如下:
产品或业务的变化
39. 新业务或者产品引入时通常伴随特定的风险。审计人员在一开始就应该注意是否存在事先制定好的相关控制程序。一般而言,银行应该在保证新业务在控制系统中平稳运行、相关IT系统充分有效(或有充足的中期系统支持)、相关程序适当成文以后才能引入新业务。新交易工具通常会引起审计人员的特别关注,审计人员通常会先取得在审计期间所有新业务的清单(或所有交易工具清单)。在此基础上,审计人员建立起对相关联风险概貌的认识,确认内部控制以及会计系统的可靠性。
对计算机专家的依赖
40. 由于交易量的巨大,银行一般通过IT系统处理其理财交易循环。IT系统的复杂性及其涉及的程序使得审计人员需要寻求IT专家在测试系统及相应账户余额方面的技术和知识支持。
交易目的
41. 审计人员判断银行持有金融工具的目的在于投机还是为其他交易保值。这种对交易目的的判断应该在交易阶段做出,以便确定相应的会计处理方式。当交易目的是保值时,审计人员应该考虑相应的会计处理方法运用的合理性,并按照相关会计要求列示相应的被保值资产/负债。
计价程序
42. 表外金融工具一般以市场价或者公允价值计量,除非用于保值目的的金融工具棗这在许多财务报表框架中一般要求以被保值项目的隐含价值为基础来计量。如果现成的金融工具的市价无法取得,银行广泛运用财务模型来确定金融工具的公允价值。此外,在揭示地区交易的敞口方面,许多国家要求揭示潜在的风险,如信用风险等价物以及这种未结工具的重置价值。
43. 审计人员一般会测试计价模型,包括业务控制,同时考虑模型所用的单个合同、计价率、假设前提的具体细节是否合理。由于许多金融工具是近年来才发展起来的,审计人员应该对其计价给予特别重视,并牢记下列因素:
● 可能无法找到相关协议条款的法律先例,这对审计人员判断协议的可执行性带来困难。
● 也许只有少数管理人员熟悉与该类金融工具相关的固有风险,这可能导致误报更易发生,难于建立定期预防或者发现、纠正误报的内控机制。
● 有些金融工具并不存在于一个完整的经济循环之中(如牛市和熊市、高/低利率,高/低交易、价格变动),所以和其他一些原先已有的金融工具相比更难确定其价值。同样,想要准确预期与其他用于保值对冲金融工具价格变化间的关系也非常困难。
● 用于计价的模型在非常规的市场条件下可能不能正常运行。
44. 此外,审计人员应该考虑对此类金融工具提取的准备金的充足性,如流动性风险准备、模型风险准备以及操作风险准备。金融工具的复杂性产生了对特定专业知识的需求,所以,如果审计人员不具备从事所需审计程序的专业技能,就应该寻求专家的帮助。
45. 另外一个引起审计人员兴趣的问题是使用非市场利率的交易,因为这常常会存在隐形损失或者舞弊行为的可能性。因此,银行一般会建立内部机制用于检查与市场条件不吻合的交易。审计人员应该获取有关这方面可靠性的足够而有效的审计证据,还可以考虑通过样本进行检查。
贷款及预付款
介绍
46. 根据巴塞尔委员会发布的指导性文件棗“信用风险管理原则”,信用风险简单来讲指的是银行的借款人或者交易伙伴不按照协议履行义务的潜在可能性。
47. 信用风险主要缘于银行的贷款以及预付款,因为这通常是银行最主要的资产,也是产生大部分收入的来源。发放贷款时最重要的考虑因素就是贷款期间的信用风险,对个人贷款而言,信用风险取决于借款人的偿付能力和意愿。除贷款外,信用风险还可能产生于其他业务,如票据承兑、联行往来、贸易融资、外汇买卖、金融期货、调期、债券、股权、期权、担保和保证事项以及结算业务等。
48. 信用风险是银行产生严重问题的主要原因,与对借款人或交易伙伴的信用标准松弛、缺乏有资格的贷款专家、综合风险管理薄弱、对有可能影响交易伙伴信用水平的经济和其他环境变化缺乏敏感等因素直接相关。有效的信用风险管理是银行综合风险管理的一个重要组成部分,对于银行的长期稳定经营非常重要。在管理信用风险时,银行不仅应该考虑个体信用或交易的风险,而且应考虑整个资产的风险水平。银行还需要在信用风险和其他风险之间进行分析。
典型的控制问题
49. 信用风险源于借款人的特性及贷款风险水平。信用程度、贷款地区以及借款人业务的性质均会影响信用风险的水平。同样,信用风险还受风险贷款的安全性及目的的影响。
50. 贷款部门可划分为如下几类功能:
● 发放;
● 监督;
● 收回;
● 定期检查、评估。
发放
51. 银行是否获得完整、有参考价值的贷款申请,包括借款人的财务报表、贷款偿还资金来源以及贷款用途?
52. 在检查贷款申请程序中银行是否建立书面规范要求(如利息偿付来源、边际要求、负债对权益的比率等)?
53. 银行是否对可能的借款者作独立资信调查或者取得其信用报告?
54. 银行是否建立适当的控制程序保证关联贷款被及时发现?
55. 对客户的信用资料是否作适当的分析,包括贷款项目以及偿付资金来源?
56. 贷款限额是否基于贷款部门专家意见核定?
57. 超过贷款限额是否经贷款委员会或行长会议批准?
58. 贷款批准与贷款发放、监督、收回及检查职能有没有适当分开?
59. 贷款抵押物的所有权以及利益优先权是否已经确认?
60. 银行是否要求借款人签署法律文书保证贷款的偿付?
61. 对贷款担保是否已检查其法律可执行性?
62. 贷款申请资料是否经过独立于贷款人员的其他人员检查复核?
63. 是否有对抵押品的登记注册控制程序(如政府授权部门的置留记录)?
64. 对票据、抵押品以及其他支持性资料是否有充分的实物保护?
65. 是否有确保及时记录贷款发放的控制程序?
66. 是否在可能的限度内有适当控制程序保证贷款用途与申请一致?
监督
67. 试算平衡表和总账之间的对账工作是否由独立于发放贷款或记录贷款交易的人员完成?
68. 贷款本金或利息的拖欠情况是否定期报告?
69. 对报告的检查是否由独立于贷款职能的人员完成?
70. 是否有合适程序监督借款人的贷款限制(如特别契约)并向银行报告有关信息?
71. 是否有定期重估抵押物价值的程序?
72. 是否有定期对借款人财务状况以及运营结果进行检查的程序?
73. 是否有对关键管理数据,如准确及时记录安全注册更新等的程序?
贷款收回
74. 对贷款本金、利息回收以及贷款账户余额表更新的记录是否由独立于发放贷款的部门保管?
75. 是否有保证定期跟踪欠款的程序?
76. 对银行通过法律程序如取消赎回抵押品权利或者恢复该权利等方式索还拖欠本金及利息的事项是否有书面的规定?
77. 是否有由独立于贷款发放和记录部门的人员与借款人定期书面核对贷款余额并独立调查报告差异的程序?
定期检查和评估
78. 是否对所有贷款定期进行独立检查,包括:
● 对上述监督程序结果的检查;
● 对目前影响不同地区、行业借款人的问题的检查?
79. 是否建立有下列适当的书面政策标准:
● 建立贷款损失准备;
● 停止记录应收利息(或者建立冲销准备金);
● 为坏账准备而作的抵押物评估;
● 原先提取的准备金的冲销;
● 对应收利息的重新记录;
● 核销贷款。
80. 是否有程序保证会计部门及时记录所有规定的准备金?
一般审计程序
81. 下列审计程序目的在于让审计人员发现银行风险控制管理的运行标准以及处理程序是否充分有效。
计划
82. 审计人员应该获取并了解银行控制贷款风险的方法,如:
● 银行的风险监督程序,包括保证所有关联方贷款能被确认并集中计算的系统;
● 银行对风险抵押物估价以及确认潜在及确定损失金额的方法;
● 银行的贷款实务及客户情况。
83. 审计人员应当考虑这种风险检查程序是否独立于贷款部门,包括报告的频率是否足以提供反映整体经济环境以及贷款趋势的定期信息,如果存在问题贷款,报告的次数是否增加等。
84. 审计人员应该评价信用检查部门人员的资格。银行业务的多变造成贷款专家的短缺,所以审计人员应该注意评价是否信用检查部门的人员具备管理和评估贷款活动的必要知识和技能。
85. 审计人员通过前述信息,考虑系统内可能存在的问题及薄弱环节的原因,以及这些问题和薄弱环节是否会在将来给银行带来潜在影响。
86. 审计人员应检查管理报告并评价是否其中包含了足够详细的风险估价因素。
87. 应该注意,确认及审计关联方贷款业务是比较困难的,因为对关联方交易的识别并不容易,主要还是依赖于管理人员确认关联方及关联方贷款,而银行本身的内部控制系统对此有时也难于辨认。
控制测试
88. 审计人员应获取并了解银行信用风险控制的方法,包括:
● 风险贷款概况及其不同特征;
● 银行的风险贷款记录;
● 不同风险贷款的不同记录;
● 银行处理风险贷款的程序和授权情况。
89. 审计人员应该检查贷款政策以确定:
● 银行是否定期检查这些政策并随相关市场条件以及银行新业务流程变化而更新;
● 这些政策是否经过银行高级管理人员批准并遵照执行。
90. 审计人员应审核贷款风险检查报告系统,包括贷款档案备忘录以及年度风险贷款检查计划,确定其是否贯穿始终并准确、及时地为管理人员提供充分的信息以确认和控制风险。报告是否包括以下内容:
● 确认问题贷款;
● 总体风险贷款的当前信息;
● 总体趋势以及贷款领域的相关信息。
91. 审计人员应考虑风险贷款检查的性质和范围,包括:
● 风险贷款选择的方法;
● 风险贷款检查的方式,包括:
对表明借款人偿债能力的现行财务状况的分析,以及对例外记录、例外政策、未遵循内控程序和违法违纪事项的测试。
92. 审计人员应该检查下列贷款管理以及总体管理的有效性:
● 能影响管理效果的管理人员的一般信贷理念;
● 缺乏当前完整财务信息及偿债能力分析支持的贷款可能产生的后果;
● 贷款资料以及抵押资料不足可能产生的后果;
● 风险贷款总量的不合理结构,如还款计划与风险贷款目的不匹配;
● 集中贷款的数量及性质,包括分类分析贷款的集中;
● 由附属机构转出或转入低质量贷款的合理性;
● 报告的准确性及完整性;
● 高级管理人员、风险管理人员及贷款管理人员的能力。
实质性程序
93. 审计人员通过有选择地检查风险贷款档案,审核管理人员发现银行信用风险问题的程度。审计选择的标准如下:
● 大于或等于某一特定金额的未偿还贷款账户;
● 超过某一金额的“关注类”贷款账户;
● 准备金超过某一特定金额的贷款账户;
● 由管理高风险或问题账户的部门负责的贷款账户;
● 本金或利息拖欠超过一定期间并且超过特定金额的贷款账户;
● 未还余额超过授权贷款限额的贷款账户;
● 根据审计人员的经验,处于高风险经济环境或行业的机构的贷款账户;
● 由银行常规检查确认的问题账户以及以前年度确认的问题账户;
● 同业往来中拆放其他金融机构款项的风险程度。
94. 此外,如果银行员工曾提交过超过特定金额的贷款风险分类特征报告,审计人员应该检查该报告。有下列特征的风险应该作进一步核查:
● 最近财务年度存在大额经营亏损;
● 持续经营亏损(如持续2年以上);
● 高负债/权益比率(如超过2:1棗比率可能随行业不同而变动);
● 未能履行合同条款;
● 被出具过非无保留意见审计报告的;
● 所提供信息不是当前的或者不完整的;
● 无担保的预付款或担保不足的预付款;
● 银行管理人员没有定期检查的账户。
95. 审计人员用抽样的原则从上述风险贷款清单中选取部分作详细检查,取得必要资料确定其可回收性。包括:
● 风险贷款以及抵押担保资料;
● 拖欠清单或报告;
● 业务简报;
● 以前年度可疑账户清单;
● 非当前风险贷款报告;
● 借款人的财务报表;
● 抵押物估价报告。
96. 在使用风险贷款资料档案时,审计人员应该:
● 查明风险贷款种类、利率、到期日、偿还期、抵押品及贷款目的;
● 审查抵押品资料是否经过相应的注册程序,以及银行是否收到相关抵押品法律可执行性的法律建议;
● 检查是否抵押品的公允价值足够(尤其是需要提取准备金的风险贷款)担保,如果可能,是否对抵押品投保。应严格对抵押物的估价程序,包括估价师使用的方法及其前提;
● 评价风险贷款的可收回性,考虑为其提取坏账准备的必要性;
● 确定银行是否由相应级别的管理人员授权处理风险贷款及其展期过程;
● 定期检查借款人的财务报表,注意重要金额以及比率(如营运资本、收入、所有者权益以及负债/权益比率);
● 检查风险贷款档案中包含的所有记录及信函,注意银行员工定期检查该贷款的频率及其是否符合银行的规定。
97. 审计人员应该考虑银行是否为此类问题或风险建立合适的政策和程序,包括:
● 定期检查单项问题贷款;
● 回收或者提高风险贷款质量的规定,包括更新抵押物价值以及置留权的要求、资料检查、与对方官员谈话报告等;
● 超期以及暂停计息的贷款的数量和趋势;
● 处理有问题风险贷款的合格管理人员;
● 有问题风险贷款的适当会计处理规定,如暂停计息政策、特定准备金政策等。
98. 除了评价对单项风险准备金提取的充足性外,审计人员还应该考虑是否应该对特殊种类的风险贷款提取额外的准备金(如信用卡风险贷款以及国际风险贷款),并与银行管理人员讨论提取其他准备金的充足性。
(译自国际会计师联合会(IFA)2001年12月颁布的国际审计实务准则(IAPS)1006号:《银行财务报告审计》)