|
美国对银行内部控制评估工作相当重视,美国注册会计师协会《现场审计工作准则》(the Auditing Standards of Fieldwork)第2条明确规定:“(审计师)对现行的内部控制结构进行充分的研究和评估,以此作为制定审计计划,确定审计性质、时间安排以及测试范围的基础”。美国是少数几个以法律强制银行披露经独立审计的内部控制评估报告的国家之一,其《联邦存款保险公司改进法》要求所有资产超过1.5亿美元的银行和储蓄机构,应定期公布经独立审计师审计的内部控制评估报告。
美国审计部门对银行内部控制体系的评估,有一套相当成熟的程序,主要分为以下三个步骤:
1、对银行内部控制体系的审查评价
这是内部控制体系评估最重要的一环,可细分为如下四个程序:[17]
(1)初评。在正式评估内部控制体系之前,审计师应先审阅银行上一年度审计报告、银行各种规章、制度和指南,向管理人员询问,现场检查银行工作情况,以便对银行的控制环境、风险管理、信息交流等有一个总体印象。
(2)描述。审计师必须对内部控制的初评结果加以详尽描述,编成工作底稿归入审计档案,描述可以采用多种方法:
文字叙述法(written narratives):即以书面文字的形式阐述银行现有的内部控制制度。一般按照不同业务和业务环节,说明各业务、环节的特征、经办人员、控制措施与方法、财务记录的编制要求和保存方法等,同时还必须说明内部控制措施的效能和可能存在的问题。文字叙述法的优点是简便、灵活、适用面广,常用于经营规模小、内部控制制度简单的银行,但文字描述法不能直观地反映较为复杂的内部控制系统,不适宜对经营网点多、业务复杂的跨国银行进行描述。
系统流程图法(system flowchart):即用流程图解的方式描述各业务环节的处理程序、财务记录的编制、处理、传递与保存。优质的流程图还能直观地显示各项业务的职责分工、授权、批准和复核验证等控制程序和功能。作为图示描述法,系统流程图法具有文字叙述法不可比拟的优势:它可以较为直观地反映较为复杂的内部控制结构,具有直观、明了、清晰、完整的优点,还可以根据业务和内部控制的变化及时加以更新。但系统流程图对编制者的要求较高,审计师编制时必须面面俱到,考虑周详,否则流程图无法反映内部控制的全貌,容易令人费解或招致误解,此外流程图仅能反映内部控制结构的现状,不能明确揭示有关内部控制系统的实际执行情况及其缺陷。
调查表(questionnaire):是一种预先设计的标准化调查问卷,以便了解银行内部控制及其实际功能。调查表分别针对各主要业务和环节的内部控制措施列出一系列问题,备好正面答案和负面答案(有时还有中性答案),交由银行业务人员进行问卷调查。调查表有统计学原理作为依据,较为科学合理,实施起来也较为便利,但答题人的主观心理对问卷结论有着直接影响,且调查表只能分别反映各经营环节或业务活动的内部控制情况,不足以概括银行内部控制体系的全貌。
三种调查描述法各有其优劣,需要根据特定银行的内部控制情况加以选择适用,有时,为了全面客观地反映银行的内部控制运作情况,审计师将三种方法兼施并用,以求达到更为准确真实的描述结果。
(3)验证。通过从银行业务中抽取某一样本业务,从其处理始点审视至终点,借以判断银行的业务控制是否完善,审计师对银行内控机制的初评和描述是否客观全面。
(4)评估。美国的内控机制评估是相当有特色的,审计部门将内部控制风险分为三个层次:
固有风险(inherent risk):指银行因业务性质本身具有发生错误或弊病的可能。
控制风险(control risk):是指银行内部控制未能防止银行业务出现弊病或错漏的可能,控制风险越大,说明银行的内部控制越薄弱,发生风险的可能性越大。
察觉风险(detection risk):是指那些内部控制机制和审计部门均未能有效察觉业务出现错漏或舞弊的可能性。
审计部门根据科学的加权公式,测算出上述风险在内部控制风险中的权重,并据此对银行内部控制机制做出客观的评价。
2、内部控制测试
内部控制测试是对初步评价结果的校验,在整个内部控制评估过程中有着重要的作用:对于内部控制不完善,内部控制风险较大的银行,内部控制测试可以检验其内部控制问题严重的程度,确定内部控制失灵的关键环节,为今后的整改提供重点和思路;对于内部控制完备、风险较小的银行,内部控制测试可以再次验证银行的内控水平,避免有隐藏的内部控制缺漏。
由于跨国银行业务活动纷繁复杂,审计师不可能面面俱到地进行复查,只能以样本抽查的形式进行测试。内部控制测试一般在银行会计年度终了之前进行,这样有助于及早发现银行内部控制的问题,建议监管当局进行整改,保证银行会计记录的真实性和可靠性。测试之后,审计部门会形成最终的内部控制评估报告,对银行内部控制风险进行评价,并分析其内部控制的薄弱环节,确定今后的审计计划与程序。
3、报告银行高级管理层和监管当局
根据美国的审计准则,审计师不对银行内部控制的有效性负责,但其对审计调查过程中发现的重大内部控制缺陷,属于审计准则中的“可报告事项”(reportable conditions),应及时通报银行董事会或高级管理层,或依据金融监管法规的要求,将重大内部控制缺陷报告监管当局。
审计师向银行高级管理层通报审计结果,须采用专门的文书“致管理层函”(management letter),并通过专门的渠道直接呈交银行董事会、董事长或审计委员会。之所以做出这样审慎的安排,是为了防止审计结论被搁置或篡改,以利于银行高级管理层及早针对内控问题做出妥善安排,避免内控危机的发生。审计师发现银行内部控制的重大问题时,必须尽快报知高级管理层或监管机构,如因审计师的瞒报或拖延给银行造成损失,审计师必须承担相应的法律责任。
|
