第1章 概述.doc

第一章 概述 本章共分六节，第一节介绍商业银行审计的目标定位、总体审计目标与具体审计目标；第二节介绍商业银行审计环境；第三节介绍为实现审计目标，根据商业银行审计环境，所采用的风险审计策略；第四节介绍实施风险基础审计策略所使用的主要审计方法，包括计算机审计技术；第五节介绍商业银行审计程序；第六节对商业银行审计发展趋势进行展望。第一节 审计目标一、 商业银行审计的目标定位商业银行是指依照中华人民共和国公司法和中华人民共和国商业银行法设立的从事吸收公众存款、发放贷款、办理结算等业务的企业法人，包括国有独资商业银行、股份制商业银行、城市合作商业银行、农村合作商业银行、外资商业银行、中外合资商业银行等。本指南所称商业银行审计，定位于对大型化、信息化的国有大型商业银行或股份制商业银行进行审计，其长远目标是强化管理、规范秩序、维护公平、提高效益、防范风险、促进发展，近期目标是降低不良资产比例、消化历史财务包袱、严格内部运行管理、建立风险监管体系。本指南将以防范和化解金融风险、确保金融安全为最终目标，围绕商业银行“风险、管理、效益”， 将审计业务经营与审计财务收支结合起来，在所有业务循环审计中贯穿审计资产质量这个主线，突出对商业银行资产质量、内部控制、会计信息和遵守法规等情况的审计。二、 商业银行审计的总体审计目标商业银行审计的总体审计目标，是指对被审计商业银行业务经营活动及相关财务收支的真实、合法、效益性实施审计监督，并对其违反国家规定的行为进行审计处理、处罚。本指南将围绕上述总体审计目标，确定具体审计目标，并根据商业银行审计环境，确定基本审计策略、主要审计程序和方法。三、 商业银行审计的具体审计目标商业银行审计的具体审计目标是总体审计目标的进一步具体化，主要包括以下八个方面：真实性，指商业银行各项业务所形成的、列示于资产负债表中的各项资产、负债、所有者权益以及有关表外科目在资产负债表日确实存在，列示于利润表的各项收入和支出在会计期间内确实发生。完整性，指商业银行发生的所有业务均已按规定记入有关账簿并列入财务会计报告。准确性，指商业银行各项业务均已准确地记入相关帐户，业务交易金额和账户余额记录准确。所有权，指商业银行各项业务所形成的、列示于资产负债表中的各项资产确实为企业所有，各项负债确实为企业所欠。合法性，指商业银行各项业务活动符合法律法规的要求。计价，指商业银行各项业务所形成的各项资产、负债、所有者权益、收入和支出等要素均已按适当方法进行估价和计量，列入财务会计报告的金额正确。截止期，指商业银行各项业务均按规定准确地记录于恰当的会计期间。分类与披露，指商业银行各项业务所形成的、列示于财务会计报告上的各要素均已被适当地加以分类，财务会计报告恰当地反映了账户余额或发生额，披露了所有应该披露的信息。第二节 审计环境由于商业银行审计具有较高的固有风险及内部控制风险，要求审计人员对商业银行特征及主要风险、会计核算体系等方面有深入的了解，并具备一定的商业银行审计经验。因此，本节介绍审计人员必须考虑和了解商业银行的特征和面临的风险等审计环境方面的总体情况，保持应有的职业谨慎，实施相应的审计程序和方法，以提高审计质量，将审计风险降低至可接受的水平。一、 商业银行的特征 （一）经营对象。商业银行通过货币存贷及结算服务获取货币的增值利润，以大量的货币性项目为经营对象，这就要求商业银行具备比生产性企业更加严密、健全、有效的内部控制，以保证经营的安全、顺利、有序进行。（二）交易特征。商业银行主要经营筹资、信用、中间及外汇等业务，交易方式及种类繁杂，交易次数频繁，单笔或累计金额巨大，手续繁简不一。数量和价值的巨大而多样，要求建立严密的会计处理程序及控制；同时，由于异地交易及瞬时交易的需要，计算机信息系统及电子资金转账系统等计算机技术的应用日益广泛。（三）机构分布。商业银行因客户分散及异地服务，需要建立众多的分支机构，如分理处、储蓄所等，因国际业务发展的需要还可能在国外设立分支机构，各分支机构的资金流程、会计处理等职能分散，内控相对薄弱，要求高度统一的操作规程和会计处理系统，以保证银行的正常经营秩序。（四）表外中间业务。商业银行存在大量的不涉及资金流动、不列入资产负债表内的经营活动，如担保、承诺、期权及远期利率协议等，这些表外中间业务可能会为银行带来潜在风险。由于这些潜在风险巨大的业务，在表外单项记录反映，必须严格这些业务的审批操作程序，记录必须及时、充分、完整，监控严密。（五）社会影响。商业银行主要的资金来源是向社会公众吸收存款，高负债经营，债权人众多，与社会公众利益密切相关，如有不慎，则会引发挤兑等信用危机，因此，要求有银行监管法规的约束和政府有关部门的严格监管。二、 商业银行的风险及其表现 参照巴塞尔银行业监管委员会1997年发布的有效银行监管的核心原则中的分类方法，我国商业银行目前和将来面临的主要风险有信用风险、国家风险和转移风险、市场风险、利率风险、流动性风险、操作风险、法律风险、声誉风险。在相当一段时期内，我国商业银行体系还将潜伏着较大的风险。这些风险表现按照来源不同，可分为内源型、外源型和混合型风险：（一）内源型风险。内源型风险由银行内部管理不善、风险控制机制不健全等原因造成，主要表现为资产负债总量控制失衡、流动性要求难以满足、资产结构中贷款比重过高，贷款合同要素不全、信贷决策失误和贷后管理缺乏、人情贷款和关系贷款、银行及分支机构之间缺乏信息沟通造成对恶意贷款人的交叉贷款审查控制不力，高息揽储恶性竞争、违规开立信用证和签发承兑汇票、银行有关人员以权谋私违规操作、搞账外经营和违规自办实体等方面。随着1998年以来防范金融风险意识的增强和中央银行等部门监管力度的加大，各商业银行通过深化信贷管理体制改革，加强信贷风险约束，一定程度上改善了内源型风险的控制机制。（二）外源型风险。外源型风险由银行业外部各因素造成，主要表现在：1社会信用风险。由于当前社会信用基础较为薄弱，社会经济生活中缺乏诚信的现象时有发生，银行在经营活动中遇到相当部分因企业不讲信誉而形成的风险，如在申请银行贷款时不披露企业真实经营情况，提供水分大的报表；借款人还款意愿差，特别是近年来企业借改制等形式逃废银行债务的情况较为普遍。2金融诈骗风险。金融诈骗案件时有发生，如以高息为诱饵，或借助高科技手段作案，诈骗金额巨大。3政府干预风险。中央政府作为国有商业银行所有者代表，给定银行经营者的目标是多维的且存在一定的不协调的地方，加大了经营风险；此外，由于国有商业银行风险最终由中央政府而不是地方政府承担，地方政府为了支持地方经济发展，不同程度地存在直接或间接干预银行经营的行为。4其他行业传递风险。如中央银行允许符合条件的证券公司进入银行间同业拆借市场、允许银行向个人提供股票质押贷款等，扩展了证券公司和个人融资渠道，同时由于利益驱动，银行也会通过各种渠道将资金注入股市，产生新的经营风险。又如，各银行开办的有关证券交易的新业务，一定程度上突破了银行、证券分业经营的模式，尤其是在申购新股时导致银行资金波动量大，加大银行流动性风险。（三）混合型风险。多数情况下，外源型风险是通过银行内部管理漏洞发生的，这就是混合型风险，一方面，犯罪分子利用被收买的银行内部人员为内线，内外勾结进行诈骗，另一方面，由于银行内部管理不善、风险控制机制不健全，也在一定程度上放大了外源型风险。作为上述风险的集中反映，就是银行体系中积累了大量的不良资产。因此，关注资产质量的审计是商业银行审计的一条主线。第三节 审计策略本指南根据商业银行审计环境，选用风险基础审计策略来实现商业银行审计的总体审计目标和具体审计目标。一、 审计风险 （一）审计风险的概念。审计风险是指被审计商业银行财务会计报告存在重大错报或漏报，业务经营活动中存在重大的错误或舞弊，而审计人员审计后发表不恰当审计意见，作出不恰当审计结论的可能性。由于被审计商业银行自身的复杂性、审计技术的固有限制，以及审计人员能力和素质等原因，商业银行审计风险客观存在，审计人员只能控制审计风险，而不能完全消除审计风险。因此，审计时，审计人员应设计合理审计程序、应用必要审计技术，把审计风险控制在可以接受的范围内。 （二）审计风险的要素。审计风险包括固有风险、控制风险和检查风险。固有风险是指假定不存在相关内部控制时，某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性；控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报，而未能被内部控制防止、发现或纠正的可能性；检查风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报，而未能被实质性测试发现的可能性。（三）审计风险要素之间的关系。审计风险要素中，固有风险、控制风险与被审计商业银行有关，独立于审计过程之外，审计人员不能改变固有风险与控制风险水平，但可以通过对被审计商业银行的了解，评估其固有风险与控制风险水平的高低；在此基础上，根据审计风险三要素之间的关系，在一定的可接受审计风险水平下，得出可接受的检查风险水平，并据以确定实质性测试的程序和范围。这样，审计人员就可以通过控制检查风险将审计风险降低到可接受水平。审计风险三要素之间关系如下公式所示： 可接受审计风险检查风险 固有风险控制风险二、 审计风险水平与审计保证程度 （一）审计风险水平。本指南假定在一般情况下，审计机关商业银行审计可接受的最大审计风险为5。对被审计商业银行的固有风险和控制风险，可以视情况定性评估为高、中、低，也可以定量以百分比表示。（二）审计保证程度。审计保证程度是审计机关对被审计商业银行财务会计报告正确发表审计意见、作出审计结论的把握程度。审计保证程度可以以百分比方式表述，也可以以系数方式表述。审计保证程度系数越大，审计风险水平就越低。假定在一般情况下，审计机关要求商业银行审计必须达到的最低审计保证程度系数为3，相应的审计保证程度为95，此时可接受审计风险为5。（三）审计风险水平和审计保证程度系数的关系。如表11所示： 表11 审计风险和审计保证程度系数关系表审计保证程度系数以百分比表示的审计保证程度以百分比表示的审计风险定性描述的审计风险00100 高 低0.750501.063371.374262.086142.390103.0955（四）审计保证程度的要素。与审计风险相类似，审计保证程度由商业银行的固有保证程度和控制保证程度，以及审计的检查保证程度构成。按审计保证程度系数方式表述，则可将审计风险的乘法表达式演变为下列的审计保证程度系数加法表达式： 审计保证程度系数固有保证程度系数控制保证程度系数检查保证程度系数三、 风险基础审计策略模型及应用（一）风险基础审计策略模型。对某一特定的商业银行而言，其固有保证程度和控制保证程度是一定的，审计机关为了降低审计风险，提高审计保证程度，要求审计人员必须在了解和评估商业银行固有保证程度和控制保证程度的基础上，确定实质性测试必须达到的检查保证程度，亦即确定实质性测试时可以接受的最大检查风险。本指南采用的风险基础审计策略模型如表12所示：表12 风险基础审计策略模型检查保证程度系数固有保证程度系数01控制保证程度系数0检查保证程度系数为3，应实施详细检查检查保证程度系数为2，应实施较大量的实质性测试1.3检查保证程度系数为1.7，应实施较大量的实质性测试检查保证程度系数为0.7，可实施较少量的实质性测试2检查保证程度系数为1，应实施较大量的实质性测试检查保证程度系数趋近于0，少量抽样检查即可满足要求2.3检查保证程度系数为0.7，可实施较少量的实质性测试检查保证程度系数趋近于0，少量抽样检查即可满足要求注：1内控调查发现商业银行存在特定风险时，固有保证程度系数为0；不存在特定风险时，固有保证程度系数为最大，取值为1。2根据内控测试结果，确定控制保证程度系数值：内控风险为高，不依赖内控时，控制保证程度系数为0；内控风险为较高、中、低时，控制保证程度系数分别为1.322.3。 可以看出，审计人员必须达到的检查保证系数越大，实质性测试工作量越大；必须达到的检查保证系数越小，实质性测试工作量越小。 （二）风险基础审计策略的应用。由于商业银行固有风险较高，内部控制对防止、发现和纠正错误与舞弊至关重要，审计人员在确定应达到的检查保证程度系数时，必须综合评估商业银行的固有保证程度系数和控制保证程度系数。应用风险基础审计策略时，主要有以下步骤：1确定审计保证程度系数。本指南假定实施商业银行审计时要使审计保证程度系数达到3。2通过了解，评估确定商业银行的固有保证程度系数。3通过了解和测试，评估确定商业银行的控制保证程度系数。4按照风险基础审计策略模型，确定实质性测试必须达到的检查保证程度系数，并在此基础上，确定适当的实质性测试程序、范围和程度，以及适当的抽样检查规模。 如何选用适当的审计抽样方法以及确定样本规模，建议审计人员使用审计署统计抽样软件并参照审计统计抽样的技术与方法（中国时代经济出版社审计技术方法丛书，2002年版），选用货币单位抽样方法来选择样本和推断总体。需要注意的是，利用任何方法推断的总体差错，只能作为审计人员专业判断的基础，审计人员不能将此视为被审计商业银行的实际差错，也不能据此提出审计意见、作出审计决定。四、 重要性原则重要性是指被审计商业银行财务会计报告中存在错报或漏报的程度，这一程度在特定环境下可能会影响审计目标的和财务会计报告使用者的判断或决策。确定重要性水平需要审计人员专业判断和职业谨慎，重要性水平越低，实质性测试工作量以及应获取的审计证据就越多。审计人员审计时应根据商业银行面临的环境，综合考虑各类因素，合理确定重要性水平，如对总行及分支行应分别确定不同的重要性水平。（一） 重要性原则在审计过程中的应用。 1审计准备阶段初步评估重要性水平。审计准备阶段初步评估重要性水平是为了编制审计方案，合理确定实质性测试范围和应收集审计证据的数量。审计人员可采用一定的方法并结合专业判断评估确定重要性水平。2审计实施阶段对重要性水平修订和使用。审计过程中，需要根据情况重新考虑重要性水平，对初步确定的重要性水平进行修订，同时，审计人员应将重要性水平作为判断和记录审计情况的一项重要标准。3审计终结阶段运用重要性水平衡量。审计终结阶段，审计人员应利用重要性水平衡量发现问题或差错的严重程度，并发挥专业判断，决定是否需要进一步扩大测试范围，收集更多的审计证据。如果单个问题或差错达到或超过了重要性水平，或所有问题或差错汇总后总体上达到了重要性水平，均应在审计报告上予以揭露，出具相应的审计意见和审计决定。（二） 确定重要性水平应考虑的主要方面。 1重要性水平需考虑金额和性质。一般情况下，金额大的错报或漏报比金额小的更重要，但有时，某项错报或漏报从量上看可能并不重要，但从性质上看却很重要，如涉及违法行为或舞弊的错报或漏报、可能引起履行合同义务的错报或漏报，以及频繁发生的小金额错报或漏报等，可能比相同金额的其他错报或漏报更重要。2确定商业银行重要性水平时需重点考虑商业银行业务特征的影响。如相对小的错报对资产负债表的影响可能不重要，但对利润表和资本充足率可能产生重大影响；既影响资产负债表又影响利润表的错报比只影响资产、负债和资产负债表表外承诺的错报更重要；商业银行严重违反监管法规（如资本充足率等刚性的银行监管指标），即使金额较小的错报也可能对财务会计报告造成重大影响等，应对上述情况作特殊考虑。第四节 审计技术与方法本节介绍在风险基础审计策略下，实施商业银行审计所采用的主要技术与方法，包括内部控制的了解和测试、实质性测试、计算机审计技术和审计取证方法等。一、内部控制的了解和测试内部控制是商业银行为了保证业务活动有效进行，保护资产安全完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序所形成的调整、检查和制约系统，由内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正等五要素组成。 建立健全内部控制，维护财产物资的安全完整，保证会计信息真实、合法和完整，是被审计商业银行的会计责任。审计人员审计准备阶段的任务是根据被审计商业银行的实际情况，采用适当的方式方法了解和测试其内部控制。通过了解和测试内部控制，可以初步评价控制风险，初步确定控制保证程度系数，决定是否采取依赖内部控制审计策略，为确定实质性测试的程序和范围服务。了解和测试内部控制时应注意： （一）采用“自上而下”原则，关注主要控制环节，了解、测试和评价内部控制。一般而言，了解和测试内部控制，评价控制风险，并不需要详细了解内部控制的所有方面，也没有必要评价内部控制的所有环节，审计人员应关注主要的控制环节，“自上而下”地实施内部控制的了解、测试和评价。 （二）采用按照商业银行经济业务循环综合测试和评价内部控制。了解、测试和评价内部控制，既可按经济业务循环综合测试和评价，也可按财务会计报告科目分别测试和评价。由于商业银行审计的最终目标是确保金融安全，而影响金融安全的风险主要发生在商业银行业务经营环节，审计过程中必须将审计业务经营和审计财务收支结合起来。本指南针对此特点，采用按商业银行经济业务循环来综合测试和评价内部控制，将商业银行经济业务分为存款业务、贷款业务、中间业务、资金融通业务、联行清算业务、筹资及投资业务、其他业务等业务循环，分别进行相关内部控制的测试和评价，在此基础上进行实质性测试。每个业务循环与相对应的主要会计账户除在每个业务循环审计分别介绍外，还将列表作为本指南附录供参阅。 （三）采用调查表法、流程图法和描述法等方法了解和记录内部控制。本指南主要介绍调查表法，审计人员可根据具体情况决定使用何种形式来了解和记录被审计商业银行的内部控制。对多次接受审计的商业银行，审计人员不必重复进行内部控制了解，只需了解发生变化的部分。二、实质性测试实质性测试是指审计人员为了实现具体审计目标，对商业银行各项业务及其所影响的财务会计报告项目余额进行的详细检查和分析性复核。商业银行的固有保证和控制保证只能降低实质性检查保证程度，而不能替代实质性测试，实质性测试是任何审计项目都必不可少的环节，审计人员应根据对内部控制了解和测试情况，对固有保证和控制保证进行评估，据以合理确定实质性测试的程序和范围。对不同性质的账户和交易，根据其特点和复式记账原理，可以确定实质性测试的重点，如对资产业务、支出类账户等，应主要检查真实性、所有权、高估金额、截止日等方面的差错；对负债业务、所有者权益业务和收入类账户等，应主要检查完整性、低估金额和截止日等方面的差错。实质性测试过程中，建议审计人员使用审计署统计抽样软件并参照审计统计抽样的技术与方法（中国时代经济出版社审计技术方法丛书，2002年版），结合应达到的检查保证程度系数和重要性水平，灵活运用抽样审计技术，如在对业务和账户余额进行测试时，可首先考虑采用非统计抽样技术，选择金额重大、性质重要的业务或账户进行测试；对业务和账户进行测试采用统计抽样时，建议采用货币单位抽样方法。当然，对长期投资、所有者权益等一些比较敏感或交易量很少、但金额重大的业务或账户，可不进行抽样审计，代之以详细检查。 三、计算机审计技术商业银行在处理业务交易和资金划拨中，愈来愈广泛地使用计算机信息系统和电子资金转账系统，经济活动所产生的绝大部分信息由计算机来处理，审计人员必须适应审计对象的这种变化。 （一）计算机信息系统对审计环境的影响。计算机信息系统并不改变审计的总体目标和范围，但是计算机的使用改变了财务资料的处理过程和存储方式，并可能影响被审计商业银行为达到适当的内部控制而采用的组织和程序。这些影响表现为： 1审计内容实体发生变化。计算机信息系统环境下，除了部分原始凭证和打印出的账表外，大量会计数据和业务数据都是以电、磁信号的形式被存储在计算机中，不经显示或输出是看不见、摸不着的。这些信息既容易销毁也容易伪造，而且可以不留任何痕迹。单靠原有的手工审计方法和审计手段是不够的，必须补充新的审计方法和审计手段才能满足客观需要。2审计对象内部控制发生变化。计算机信息系统环境下，数据处理集中由计算机自动完成，并改变了原有的业务和账务处理程序，使得原有的内部控制功能丧失，需要制定新的内部控制系统，审计人员需要应用一套新的技术和衡量标准对计算机环境下的内部控制进行测试和评价。3审计线索发生变化。计算机信息系统环境下，传统的账簿和文字记录被存有业务、会计资料的磁性介质所取代，无法按传统的每一步文字记录来追踪审计线索。此外，从原始数据输入到报表输出，其间的全部会计处理都由计算机按程序指令自动完成，传统的审计线索在这里中断了。因此，为了能在计算机信息环境下有效的审计，除制定一些规章制度外，还必须在计算机信息系统的设计和开发中提出审计要求，以便使这些系统在会计核算和业务处理过程中留下审计线索。4审计工作难度加大，对审计人员素质要求提高。计算机信息系统环境下，会计数据、业务数据的处理结果是否真实可靠，不仅取决于会计人员、业务人员的业务水平、工作态度等因素，而且还取决于数据处理过程中所使用的计算机硬件、系统软件和应用软件是否准确可靠，业务操作、处理流程是否符合要求等，这些方面内容复杂、技术性强，可能进行舞弊的手段和途径较多，且不易防范和检查，增加了审计难度，审计人员除要具有丰富的财务会计、审计等相关知识技能，熟悉有关政策法规外，还必须掌握一定的计算机基本知识和操作技能，充分了解计算机信息系统，才能满足计算机环境下审计的需要。 （二）计算机信息系统环境下审计方式及应用。一般可分为以下几种审计方式： 1绕过计算机审计。即审计人员用传统的手工方式对计算机系统的输入以及输出结果进行审计，不考虑计算机系统对数据的处理过程。由于商业银行计算机信息化程度的日益提高，审计人员若仍然回避审计对象的这种变化而绕过计算机来审计，已不能满足审计工作的需要。因此，这种审计方式在商业银行审计中已不再适用。2对计算机信息系统进行审计。即对计算机信息系统程序设计、系统功能、数据处理过程及相关控制进行审计，重点强调对计算机数据处理过程内部控制的审计。计算机信息系统内部控制分为一般控制和应用控制，一般控制包括组织控制、操作控制、系统开发和维护控制、硬件和软件控制以及访问和数据库控制，应用控制包括输入控制、处理控制和输出控制。对商业银行计算机信息系统的审计，重在对影响计算机信息系统开发、修改、接触、数据登录、网络安全和应急计划的相关内部控制的测评，和对商业银行使用电子资金转账系统的程序，评价其交易前监督控制和交易后确认及调节程序的完整性。通过测评评价系统的可靠性，确定对系统的依赖程度。经过近几年商业银行审计的探索，已逐步具备开展对计算机信息系统审计的条件，对计算机信息系统内部控制测评成为商业银行审计中一个不可或缺的重要内容。计算机信息系统审计主要有数据检验技术、平行模拟技术：数据检验技术是指审计人员根据检测目的，设计出一些虚拟的经济业务数据（包括合法的和非法的数据），提交给被审计商业银行的计算机数据处理系统进行处理。将系统对检测数据的处理结果与审计人员的预期结果进行对比，以确定系统控制是否存在并有效地执行。平行模拟技术是指模拟被审计商业银行对实际数据的处理而设计一种软件，通过将被审计商业银行的真实数据用审计人员的软件重新处理，以验证数据处理的正确性。 3计算机辅助审计技术。即审计人员应用计算机技术作为审计工具来完成审计任务。在近几年商业银行审计中，已广泛应用计算机辅助审计技术，尤其是应用通用审计软件、审计管理和作业自动化方面成效显著，为提高审计效率、确保审计质量发挥了积极作用。 计算机辅助审计技术主要有通用审计软件、嵌入审计模块技术、审计管理和作业自动化技术：通用审计软件是辅助审计人员完成审计任务的审计工具软件，可用于对被审计商业银行的内部控制测评和实质性测试，如在实质性测试时，可实现选取和打印样本、检查计算结果、汇总和分析数据、比较计算机数据和审计人员的处理结果等功能。嵌入审计模块技术是指在被审计商业银行的计算机数据处理系统中加入为完成审计目的而编写的程序。审计管理自动化技术是指审计机关运用计算机技术对审计工作进行全面管理，如建立被审计单位信息数据库、建立审计计划系统、建立审计档案管理系统；审计作业自动化技术主要是指实施具体审计项目时运用计算机技术实现工作底稿的自动化，如审计通知书、审计工作底稿、审计结果、审计档案归集等。4网络审计技术。网络审计技术是指利用网络技术将商业银行的会计信息数据与审计机关的网上审计中心联结起来，通过审计软件对这些会计信息数据实施网上实时审计，包括对计算机网络系统及环境的审计以及利用计算机网络进行辅助审计。审计机关运用计算机网络技术对商业银行进行审计监督已成为一种必然的发展趋势，目前我国审计机关已基本具备开展网络实时审计的条件。应该强调的是，对计算机信息系统审计和应用计算机辅助审计技术、网络审计技术的主体是审计人员，计算机审计技术不能解决审计中的所有问题。因此，在商业银行审计中，既要求审计人员掌握一定的计算机知识，熟练运用计算机审计技术，同时也要求将运用计算机审计技术与审计人员专业判断充分结合起来，这样才能有效地提高审计效率，确保审计质量。 四、审计取证方法审计证据按照证据形式分类，可分为书面证据、言词证据、实物证据和行为证据。为获取上述证据，最常用的取证方法有检查、监盘、观察、查询、函证、计算、分析性复核和调节。检查，是指审计人员对被审计商业银行的会计资料和其他书面文件可靠程度进行的审阅与复核，是取得书面证据的方法。检查可运用于原始凭证、记账凭证、账簿、报表及预算、合同、计划等书面材料。监盘即监督盘点，是指审计人员现场监督被审计商业银行各种实物资产及现金、有价证券等的盘点，并进行适当的抽查，是取得实物证据的方法。观察，是指审计人员对被审计商业银行的经营场所、实物资产和有关业务活动及其内部控制的执行情况等所进行的实地察看，是取得实物证据的方法。审计人员可以利用各种感官来获取被审计商业银行经营环境、资产状况、业务运转情况及有关内部控制执行情况等方面的证据。查询，是指审计人员通过向被审计商业银行内部和外部有关方面调查、询问来了解审计事项。查询结果应形成书面记录，并由被查询人签字盖章。通过查询方式获得的证据，还需通过其他审计程序获得的相关证据来佐证。函证，是指审计人员通过向有关单位寄发询证函来取得证据的方法。函证多用于存款、贷款及其他往来款项的查证，分为积极函证和消极函证二种。一般应采用积极函证方法，即要求被函询单位对函询事项无论与事实是否相符均需复函，以取得书面证据。采用函证方法，应要求被函询单位将复函直接寄给审计人员。计算，是指审计人员对会计核算、业务档案等资料反映的数据进行验算或重新计算。分析性复核，是指审计人员对被审计商业银行重要的比率或趋势进行分析，包括调查异常变动以及这些重要比率或趋势与预期数额和相关信息的差异，从而对被审计事项进行核实的方法。常用的分析性复核方法有比较分析法、比率分析法、因素分析法和趋势分析法等，此外，还可根据需要采用时间序列分析、回归分析、财务模型分析等方法。分析性复核可运用于审计的全过程，如审计准备阶段，审计人员可以通过对被审计商业银行所提供的会计资料及其他有关资料进行分析性复核，更加全面地了解被审计商业银行的基本情况，发现可能存在审计风险的领域，为确定实质性测试的程序与范围服务；审计实施阶段，如果被审计商业银行相关内部控制较强，检查风险较低，分析性复核的结果与预期数额和相关信息差别不大，则可直接作为证实账户余额和发生额的审计证据，如有异常变动现象或差别较大，审计人员则应重新考虑所采用审计方法的适当性，必要时应追加其他适当程序，以获取相应的审计证据。调节，是指在检查某一审计事项时，为了验证数据的正确性而对其中某些因素进行必要的增减调节。调节一般分为两种，一是对未达账项的调节，二是对财产物资收发存的调节。审计人员在运用调节法时，应将自结账日至盘点日期间内的未达账项或财产物资收发业务事先加以审阅和核对。第五节 审计程序本节介绍运用风险基础审计理论开展商业银行审计的主要审计程序，包括审计准备阶段、审计实施阶段和审计终结阶段。由于商业银行实行统一法人制度，商业银行审计程序也体现出与其他专业审计程序不同的特点。一、 审计准备阶段审计准备阶段工作主要由审计署金融司组织完成，主要是： （一）根据法律、法规和国家其他有关规定，围绕政府工作重点，考虑审计机关的审计资源条件等因素，经过一定程序确定商业银行审计项目计划。 （二）组成总行审计组，了解被审计商业银行基本情况，确定影响审计目标的主要风险因素。 （三）总行审计组组织各特派办部分金融审计人员开展试点审计或审前调查，执行初步分析性复核，进一步确定审计的重要风险领域。（注：此处只提特派办是因国有大型商业银行的审计主要由审计署组织各特派办完成，如组织地方审计机关审计时，此处及以后各处则应相应更改为地方审计机关。） （四）审核和利用内部审计、社会审计的审计成果，利用监管部门监管报告。 （五）初步确定重要性水平，分析审计风险，确定审计策略。（六）制订审计工作方案，确定内部控制测试和实质性测试的程序和范围。（七）对总行下达审计通知书，附送审计署关于加强审计纪律的规定等有关资料。 （八）各特派办组成审计组，根据审计工作方案，结合所审计商业银行分支行的实际情况，制订审计实施方案，并向所审计商业银行分支行下达执行审计通知书。 （九）各审计组要求被审计商业银行总行及其分支行行长和财务主管人员就与审计事项有关会计资料的真实、完整和其他有关情况作出书面承诺。二、 审计实施阶段审计实施阶段工作由审计署金融司和各特派办共同完成，主要是： （一）各审计组分别进点开展现场审计。 （二）根据审计实施方案实施内部控制测试和评价，验证初步评估控制风险的准确性。 （三）根据内部控制测试和评价的结果，调整和完善审计实施方案。 （四）根据完善后的审计实施方案对商业银行业务循环实施实质性测试。（五）审计署金融司、总行审计组通过编发商业银行审计动态和到各分支行审计组进行检查、调研等方式，加强对各分支行审计组实施审计工作的指导和质量控制。（六）审计工作底稿编制及复核。三、 审计终结阶段 审计终结阶段的主要工作是： （一）总行审计组和各分支行审计组汇总审计结果，运用重要性水平，评价审计结果。（二）总行审计组就总行本级审计结果、各分支行审计组就该分支行审计结果分别形成审计报告，初步征求被审计商业银行总行及分支行的意见。（三）各分支行审计组将审计报告、所审计商业银行分支行的反馈意见及审计组的书面说明报总行审计组，总行审计组审核后与总行本级审计报告进行汇总，形成全行汇总审计报告，提出审计处理意见和建议。（四）总行审计组就全行汇总审计报告征求被审计商业银行的意见。（五）总行审计组向审计署报送全行汇总审计报告、被审计商业银行反馈意见及总行审计组就反馈意见的书面说明。 （六）由审计署复核机构或专职复核人员对全行汇总审计报告、被审计商业银行反馈意见及审计组书面说明、以及审计意见书、审计决定书等审计文书代拟稿进行复核。 （七）审计署审定审计报告，出具审计意见书和审计决定。审计署在作出较大数额处罚的审计决定之前，还应依法告知被审计商业银行有权在3日内要求举行听证。 （八）派出各分支行审计组的特派办根据审计署下达的审计意见书和审计决定，按照总行审计组审核确定的各分支行审计结果，经过特派办复核机构或专职复核人员复核后，分别向所审计的商业银行分支行下达执行审计意见和执行审计决定。 （九）综合分析利用审计结果，向国务院报送商业银行审计情况报告，以及向其他部门提出建议报告。 （十）归集审计档案。第六节 商业银行审计发展趋势一、 审计对象混业化趋势扩大了审计范围在没有成熟的信息技术之前，为将外部和内部的信息不完备和不对称程度降低到与其信息处理能力相适应的水平，防止金融业各部门之间的风险传递，金融业实行银行、证券、保险、信托等分业经营的模式是必要的。但在信息处理能力不断增强和市场竞争日益加剧的现代金融条件下，商业银行光靠传统业务已无法扩大其利润增长来源。为了拓展业务范围和增强抗风险能力，获取更高的利润，商业银行必须不断地进行业务创新和金融工具创新，开拓和经营非传统业务。现代信息技术和网络技术的广泛应用，为金融创新、为各业融合提供了物质技术基础。我国加入世界贸易组织后，金融开放过程中必然要引进发达国家已经存在的金融创新产品，以及在华外资金融机构与其母公司或其他分支机构的集团内交易等，对我国现行的分业经营模式产生巨大冲击。在重重压力之下，严格分业管理的政策已有所松动，如允许证券公司进入银行间同业拆借市场、发行债券、允许进行证券抵押融资等，扩大证券公司融资渠道；国有商业银行通过各种方式进入证券保险业，银行与证券公司的授信合作已有一定规模；中国光大集团、中信集团等在已有银行业的基础上，先后合资建立各自的保险公司、证券公司，等等，一定程度地突破了分业经营的“防火墙”。虽然完全实行混业经营还有一个渐进的过程，但可以预见，我国商业银行的发展趋势必然是朝着全能化、大型化的“金融百货公司”和“金融超市”方向发展。商业银行的这种混业经营发展趋势必将扩大审计对象的范围，要求审计机关将原来游离于商业银行审计之外的各种准银行业务，证券、保险、信托业务等逐渐纳入商业银行审计范围。二、 审计事项更加复杂化要求审计手段现代化、审计内容与方法规范化 经济全球化必然带来金融的全球化。一方面，金融全球化使世界各地金融市场相互贯通，信息化、网络化将全球主要国际金融中心连成一体，各个金融市场之间的界限日益模糊，金融交易规模的急剧增大和金融业综合化经营趋势的强化，使得金融机构和金融市场之间相互依赖程度加深，导致金融体系的系统性风险水平上升，金融危机发生频率和破坏程度增大。另一方面，金融全球化和信息技术的广泛应用，使商业银行的业务跨过国界，资金可以在全球范围内迅速进行配置，资金配置和利用效率得到提高，但同时也使得交易变得复杂化，尤其是金融衍生工具等业务的风险十分巨大且难以有效控制，商业银行经营风险有不断加大之势。此外，在全球金融一体化过程中会出现利率和汇率频繁变动、金融风险跨国传递渠道扩大等现象，导致了国际金融的不稳定性，从而加深了金融体系的脆弱性。 商业银行审计的最终目标是防范和化解金融风险，确保金融安全。面对日益复杂的商业银行业务和金融体系系统性风险上升的情况，为了达到审计目标，审计机关和审计人员必须不断改进审计手段，规范审计内容、标准和方法，如在审计手段上充分运用计算机进行审计，尤其是实现网上实时审计；审计方法上实现现场审计与非现场审计结合；审计内容上进一步突出对内部控制测评和对资产质量的审计；审计标准上要逐步与国际上通行的巴塞尔委员会有效银行监管核心原则、核心原则评价方法等规定的监管标准和评价方法相适应。 三、必须更加依赖内部控制测试和利用其他机构工作成果由于商业银行具有