金融风险评估与风险应对

第四章　金融风险评估与风险应对

第一节　金融风险评估

一、金融风险评估概述

(一)金融风险的含义

金融风险是指金融主体在金融活动过程中,由于一系列不确定性因素而导致损失的可能性。金融风险具有下列六大特征:

1.普遍性

金融风险在现代市场经济条件下具有普遍性,只要存在金融活动,就会伴随着金融风险,这是不以人的意志为转移而客观存在的。

2.隐蔽性

金融机构的经营活动是不完全透明的,金融风险并非在金融危机爆发时才存在,可能会因信用活动特点的表象而掩盖金融风险不确定性损失的实质,原因在于:信用是一种有借有还、此存彼取的循环活动,存在的金融风险容易被掩盖;银行有创造派生存款的功能,从而使本期金融风险的后果被通货膨胀、借新还旧、贷款还息所掩盖;银行垄断、政府干预或政府特权,使一些已显现的金融风险被人为的行政压制所掩盖。

3.扩散性

金融风险不同于其他风险的一个显著特征是,金融机构的风险损失不仅影响自身的生存和发展,更严重的是导致众多的储蓄者和 投资者的损失,从而引起社会的动荡,这就是金融风险 的扩散性。

4.可控性(或然性))

金融风险的存在及发生服从某种概率分布,并非毫无限制,但亦非确定不移的因果规律,而是以一种或然规律存在和发生着。金融风险的可控性,是指市场金融主体依一定的方法、制度可以对风险进行事前识别、预测、事中化解和事后补救。其原因在于:金融风险是可以识别、分析和预测的。人们可以根据金融风险的性质及其产生的条件,识别金融业务经营和管理过程中存在的各种可能导致风险的因素,从而为控制风险提供前提;人们可以依据概率统计及现代化的技术手段,建立各项金融风险的技术参数;现代金融制度是控制金融风险的有效手段。金融制度是约束金融主体行为、调节金融关系的规则,它的建立、健全与创新发展,使金融主体行为受规则的有效约束,从而把金融风险纳入可控的制度保证之中。

5.内外因素的相互作用性

金融风险主要是由于金融体系内的不稳定因素引起的,但是,如果经济运行中存在着结构失衡、相互拖欠款项和严重的通货膨胀等问题,那么即使金融风险程度不是很高,也可能从外部环境角度引发金融危机。因此,宏观经济状况也是导致金融风险转化为金融危机的重要条件。

6.可转换性

某国存在金融风险,不一定会发生金融危机,但如果对金融风险控制不够及时,则引发金融危机的可能性很大。金融服务的社会性和金融机构互相联系的紧密性,使金融体系内部形成了信用链相互连接、相互依存的关系,一家金融机构出现问题或破产,会迅速影响到同其有信用联系的其他金融机构;信息的不对称,使债权人不能像对上市企业那样根据公开信息来判断某个金融机构的清偿能力,从而将某一金融机构的困难或破产视为其他所有机构同时存在风险,形成对金融机构的挤兑风险;经济全球化和金融全球化使金融风险的扩散更为迅速。如果一个国家的金融系统发生了普遍的不良预期,那么国际金融机构将会更加谨慎从事与该国有关的金融活动,结果将会由于这种急剧紧缩的国际金融环境导致该国金融资产风险的全面上升,而金融国际化的发展则使得个别国家的金融风险迅速波及全球。

把握金融风险的特征,不仅要从单个层面上去认识,还要从系统的角度去认识。由于金融日益成为现代经济的核心,因此金融风险不是某种孤立的系统内风险,而会扩散、辐射到经济运行的各个方面。金融机构之间存在着密切而复杂的信用关系,一旦某一金融机构的金融资产价格发生损贬,使其正常的流动性头寸难以保持,则会由单一或局部的金融风险演变为系统性和全局性金融动荡。

(二)金融风险的类型

根据不同的标准,金融风险可划分为不同的类型。按照金融风险的性质来划分,可分为市场风险、信用风险、操作风险、流动性风险和事件风险。

1.市场风险

市场风险,是指交易组合由于市场价格反向变化导致市场价值产生波动而带来的风险。根据国际清算银行的定义,市场风险是由于资产负债表内和表外的资产价值受到股票、利率、汇率的变动而发生反向变化的风险。市场风险包括利率风险、汇率风险、通货膨胀风险、证券价格波动风险和扰动风险。

(1)利率风险。它是指由于利率的波动使资产价值或利息收入减少,或者使负债利息支出增加的可能性。对普通公司来说,经常面临的利率风险是借款利息成本增加的可能性。无论是金融企业还是非金融企业,只要其资产和负债的类型、数量及期限不一致,利率的变动就会对其资产、负债产生影响,使其资产的收益、负债的成本发生变动。对于某个时期内被重新定价的资产来说,将面临着到期日利率下降、利息收入减少的风险;而对于某个时期内被重新定价的负债来说,将面临到期日利率上升、利息支出增加的风险。对于一些支付固定利率的资产或负债来说,尽管现金流量确定,但是利率的升降也可能带来一些间接的损失,如按固定利率收取利息的投资者必将面临市场利率可能高于原先确定的固定利率的风险。此外,利率的变动可能影响资产的市场价格,利率的变动还会影响汇率,进而给金融活动的当事人造成不利影响。

(2)汇率风险。由于国际分工的存在,国与国之间贸易和金融往来便成为必然,并且成为促进本国经济发展的重要推动力。汇率的波动,会给从事国际贸易者和投资者带来巨大的风险,这种风险就称为汇率风险。它表现在两个方面:贸易性汇率风险和金融性汇率风险。在国际贸易活动中,商品和劳务的价格一般是用外汇或国际货币来计价,目前大约70%的国家用美元来计价。在实行浮动汇率制的今天,由于汇率的频繁波动,生产者和经营者在进行国际贸易活动时难以估算费用和盈利,由此产生的风险就称为贸易性风险。在国际金融市场上,借贷的都是外汇,如果借贷的外汇汇率上升,借款人就会遭受巨大损失,汇率的剧烈变化甚至可以吞噬整个企业,汇率的波动还直接影响一国外汇储备价值的增减,从而给各国央行在管理上带来巨大风险和困难,此种汇率风险称为金融性汇率风险。

(3)通货膨胀风险。即购买力风险,是指通货膨胀使经济主体的实际收益率下降,或者使其筹资成本提高。通货膨胀导致单位货币购买力下降,即通常所讲的货币贬值,最终会引起货币持有者实际余额的下降。通货膨胀会导致实际收益率下降,因为实际利率近似等于名义利率与通货膨胀率之差,当名义利率一定时,通货膨胀率越高,实际利率就越低;当通货膨胀率超过名义利率时,实际利率将变为负值,即意味着投资者不仅没有收益,而且他的本金还会受到损失。

(4)证券价格波动风险。它主要是指债券、股票、基金和票据等的价格变化而给投资者带来的风险,这种风险不但使得投资者在投资到期时可能得不到投资决策时所预期的收益,而且还可能亏损不少。

(5)扰动风险。即某一风险因素的方差或波动性的变动对金融资产或负债的价值的影响。在金融工程学中,随机变量的方差是表示扰动大小的参数。利率波动性大小的变动对无息债券价格的影响就是典型的扰动风险。在股票、期货等金融市场中,扰动风险也是普遍存在的,如果描述波动性的方差是一个不变的常数,那么就不存在扰动性风险。扰动性风险的存在使市场风险变得更加难以管理。

2.信用风险

信用风险(违约风险),是指交易中,当一方违约而无法履行合同义务时可能带来的损失。信用风险的大小取决于某一特定对方的全部敞口头寸的大小、在某一特定日期需进行结算的交易额大小以及事先是否有只对交易净额进行支付的约定。信用风险存在于一切信用活动中,也存在于一切交易活动中。由于信用业务既是银行的传统业务,也是主要业务,而银行是社会的信用中心,也是信用风险最集中的地方,信用风险会给银行带来巨大的损失。因此,银行对信用风险的管理和控制必须引起高度的重视。

3.操作风险

操作风险(运营风险),是指由于企业或金融机构内部控制不健全或失效、操作失误等原因导致的风险。操作风险的主要表现有:(1)政策执行不当,这是由于有关信息没有及时传达给操作人员,或在信息传递过程中出现偏差,或者是操作人员没有正确领会上司的意图等原因而造成的损失。(2)操作不当甚至违规操作,即操作人员业务技能不高或偶然失误可能造成的损失。(3)交易系统或清算系统发生故障。操作风险造成的后果也可能是非常严重的,甚至是致命的。

4.流动性风险

流动性风险,是指由于缺乏流动性而给经济主体造成损失的可能性。对于一个企业来说,保持流动性是很重要的,流动性的好坏关系到企业生产、经营能否正常进行,关系到企业能否生存下去。对国家或家庭来说,流动性风险也是不能忽视的。当然,保持流动性对金融机构特别是商业银行来说是至关重要的,流动性风险可以置金融机构于死地。

流动性包括资产市场流动性和公司流动性:资产市场流动性是指市场中资产与现金之间相互转换的能力。在一个流动性好的市场中,参与者可以迅速执行大规模的交易指令,并且不会对资产价格产生很大的影响。公司流动性是指公司履行到期现金支付义务的能力。流动性好的公司可以很容易地完成现金支付。

保持良好的流动性是银行和企业经营管理的一项基本原则。但这并不是说流动性越高越好,也不是说流动性资产越多越好,因为流动性和盈利性是有矛盾的,流动性越高,往往盈利性越低。因此,银行和企业必须保持流动性与盈利性的平衡。但流动性需求具有很大的不确定性,从而使得企业特别是银行面临很大的流动性风险。

5.事件风险

事件风险,是指金融活动的参与者面临的自然的、政治的、军事的、法律的、政策的和社会的、环境的突然变化而带来的风险。环境变化给金融活动参与者带来的损失可能是直接的,也可能是间接的。如自然灾难、意外事故可能给借款人造成直接的财产损失和人身伤害,致使借款人无法按期归还贷款,进而间接地给发放贷款的银行造成损失。

(三)金融风险评估的含义

金融风险评估是指审计人员通过实施询问、观察、检查、分析等一系列程序,了解被审计金融机构,识别、度量其风险,评价该金融机构存在的风险程度。金融风险评估的主要作用是识别、评估和管理影响被审计金融机构实现经营目标能力的各种风险。

目前我国新出台的一系列审计风险准则,要求审计人员必须了解被审计金融机构及其环境,包括内部控制,以充分识别和评估重大报错的风险。

(四)金融风险评估的总体要求

金融风险评估过程中审计人员必须了解被审计金融机构及其环境,以及被审计金融机构的内部控制,以充分识别和评估其重大报错风险,设计和实施进一步审计程序。了解被审计金融机构及其环境是一个连续和动态收集、更新与分析信息的过程,贯穿整个审计过程的始终,审计人员应当应用职业判断确定需要了解被审计金融机构及其环境的程度。评价对被审计金融机构了解的程度是否恰当,关键是看审计人员对被审计金融机构及其环境的了解是否足以识别和评估其重大报错风险,是否足以设计和实施进一步的审计程序。如果是肯定的,那么了解的程度就是恰当的。

了解被审计金融机构及其环境可为审计人员在下列关键环节做出职业判断提供重要基础:(1)确定重要性水平;(2)考虑会计政策的选用是否恰当;(3)识别需要特别考虑的领域;(4)确定在实施分析程序时所使用的预期值;(5)审计和实施进一步审计程序;(6)评价所获取审计证据的充分性和适当性。

二、金融风险评估程序

为了解被审计金融单位及其环境而实施的程序被称为“金融风险评估程序”。其目的是为了识别和评估财务报表的重大错报风险。

审计人员应当实施金融风险识别、金融风险度量等风险评估程序,以了解被审计金融机构的金融风险程度。

(一)金融风险识别

金融风险识别是指对金融机构主体面临的各种潜在的或存在的金融风险进行认识、鉴别和分析。金融风险识别首先要分析金融机构主体的风险暴露。金融风险暴露是指金融活动中存在金融风险的部位以及受金融风险影响的程度。审计人员不仅要考虑表内业务的风险暴露,还要关注承诺、保证、金融衍生品等表外项目的风险暴露。另外,还要进一步分析金融风险的成因和特征。造成金融风险的因素错综复杂,有客观的,也有主观的;有系统性的,也有非系统性的。不同因素造成的金融风险具有不同的特征。通过对风险成因和特征的诊断可以进一步分析哪些金融风险可以回避、哪些金融风险可以分散、哪些金融风险可以减少。例如,由贷款方面引起的信用风险是可以回避的,而由业绩引起的证券市场风险是可以分散的,等等。

金融风险识别所要解决的主要问题是确定哪些风险应予以考虑,并且分析引起金融风险的原因、类型、性质及其后果。

(二)金融风险度量

金融风险度量主要是衡量各种风险导致损失的可能性的大小以及损失发生的范围和程度。金融风险度量是金融风险识别的延续。

金融风险的识别和度量,可通过询问被审计金融机构管理层和内部其他相关人员(实施分析程序、观察和检查)、了解被审计金融机构及其环境、了解被审计金融机构内部控制等过程(风险评估程序的具体内容)来完成。

三、询问被审计金融机构管理层和内部其他相关人员

询问被审计金融机构管理层和内部其他相关人员,是审计人员了解被审计金融机构及其环境的重要信息来源。审计人员可以考虑向管理层和财务负责人询问下列事项: (1)新的竞争对手、主要客户等状况,新的税收法规实施以及经营目标或战略的变化等管理层所关注的主要问题;(2)被审计金融机构最近的财务状况、经营成果和现金流量;(3)可能影响财务报告的交易和事项,或者目前发生的重大会计处理问题,如重大的购并事宜等;(4)所有权结构、组织结构的变化、内部控制的变化以及其他重要变化等。

审计人员除了询问被审计金融机构管理层和财务负责人外,还应考虑询问其他内部人员,如内部审计人员、内部法律顾问、经营人员等,并考虑询问不同级别的员工,以有助于审计人员理解财务的环境、内部控制设计运行效果、法律法规执行情况、运用会计政策的适当性等,进而获取对识别重大错报风险有用的信息。

(一)实施分析程序

分析程序是指审计人员通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系,对财务信息做出评价。分析程序还包括调查识别出的与其他相关信息不一致或与预期数据严重偏离的波动和关系。

审计人员实施分析程序有助于识别异常的交易或事项,以及对财务报表和审计产生影响的金额、比率和趋势。在实施分析程序时,审计人员应当预期可能存在的合理关系,并与被审计金融机构记录的金额、依据记录金额计算的比率或趋势相比较,如果发现异常,审计人员应当在识别重大错报风险时考虑这些比较结果。如果使用了高度汇总的数据,实施分析程序的结果仅可能初步显示财务数据存在重大错报风险,审计人员应当将分析结果连同识别重大错报风险时获取的其他信息一并考虑。

(二)观察和检查

观察和检查程序可以印证对管理层和其他相关人员的询问结果,并可提供有关被审计金融机构及其环境的信息。审计人员应当实施下列观察和检查程序:

(1)观察被审计金融机构的生产经营活动,观察被审计金融机构人员正在从事的营运过程和内部控制活动,增加审计人员对被审计金融机构人员如何进行营运活动及实施内部控制的了解。

(2)检查被审计金融机构的章程,与其他单位签订的合同、协议,各业务流程操作指引和内部控制手册等文件、记录,了解被审计金融机构组织结构和内部控制制度的建立和健全情况。

(3)阅读由管理层和治理层编制的报告。例如,阅读被审计金融机构年度和中期财务报告,股东大会、董事会会议、高级管理层会议的会议记录或纪要,管理层的讨论和分析资料,营运计划和战略,对重要营运环节和外部因素的评价,被审计金融机构内部管理报告以及其他特殊目的报告(如新投资项目的可行性分析报告)等,了解自上一期审计结束至本期审计期间被审计金融机构发生的重大事项。

(4)实地察看被审计金融机构的营运场所和设备。通过现场访问察看被审计金融机构的营运场所和设备,可以帮助审计人员了解被审计金融机构的性质及其营运活动。在实地察看被审计金融机构办公场所的过程中,审计人员有机会与被审计金融机构管理层和担任不同职责的员工进行交流,从而增强审计人员对被审计金融机构的营运活动及其重大影响因素的了解。

(5)追踪交易在财务报告信息系统中的处理过程(穿行测试)。这是审计人员了解被审计金融机构业务流程及其相关控制时经常使用的审计程序。通过追踪某笔或某几笔交易在业务流程中如何生成、记录、处理和报告,以及相关控制如何执行的,审计人员可以确定被审计金融机构的交易流程和相关控制是否与之前通过其他程序所获得的信息一致,并确定相关控制是否得到有效执行。

除了采用上述程序从被审计金融机构内部获取信息外,如果根据职业判断认为从被审计单位外部获取的信息有助于识别重大风险,审计人员应当实施其他审计程序以获取这些信息。例如,询问被审计金融机构聘请的外部法律顾问、专业评估师、投资顾问和财务顾问等。

四、了解被审计金融机构及其环境

审计人员应了解的被审计金融机构及其环境主要包括两部分:一是外部环境,如行业状况、法律环境与监管环境以及其他外部因素等;二是内部因素,如被审计金融机构的性质、被审计金融机构对会计政策的选择和运用、被审计金融机构的目标和战略以及相关营运风险、被审计金融机构财务业绩的衡量和评价、被审计金融机构内部控制状况等。

(一)外部环境

1.行业状况

审计人员应当了解被审计金融机构的行业状况,主要包括:(1)所处行业的市场供求、竞争与发展趋势;(2)所处的发展阶段,譬如属于起步、快速成长或成熟还是衰退阶段;(3)该行业受经济周期波动影响的程度;(4)能源供应与成本的关系;(5)行业的关键指标和统计数据;(6)被审计金融机构最重要的竞争者,它们各自所占的市场份额,以及被审计金融机构与其竞争者相比主要的竞争优势;(7)被审计金融机构业务的增长率和财务业绩与行业的平均水平及主要竞争者相比的状况,存在重大差异的原因等。

了解行业状况有助于审计人员识别与被审计金融机构所处行业有关的重大报错风险。

2.法律环境与监管环境

审计人员应当了解被审计金融机构的法律环境与监管环境,主要包括:(1)适用的会计准则、会计制度和行业特定惯例;(2)国家对金融机构的特殊监管要求;(3)对营运活动有重大影响的法律法规及监管活动;(4)对开展业务有重大影响的政府政策,包括财政、货币、税收等政策;(5)相关环保要求;(6)国家法律、法规、政策、制度的最新变化等。

审计人员应考虑将了解的重点放在对被审计金融机构营运活动可能产生重要影响的关键外部因素以及与前期相比发生的重大变化上。

(二)内部因素

1.被审计金融机构的性质

了解被审计金融机构的性质主要包括了解被审计金融机构的所有权结构、治理结构、组织结构、营运活动、投资活动及筹资活动等。

(1)所有权结构。审计人员应当了解被审计金融机构是属于国有企业、外商投资企业、民营企业,还是属于其他类型的企业;应当了解其直接公司、间接控股母公司、最终控股母公司和其他股东的构成,以及所有者与其他人员或单位(如控股母公司控制的其他企业)之间的关系。同时,审计人员还需要对其控股母公司(股东)的情况做进一步了解,包括控股母公司的所有权性质、管理风格及其对被审计金融机构营运活动及财务报表可能产生的影响;控股母公司与被审计金融机构在资产、业务、人员、机构、财务等方面是否分开,是否存在占用资金等情况;控股母公司是否施加压力,要求被审计金融机构达到其设定的财务业绩目标等。

(2)治理结构。审计人员应当了解被审计金融机构的治理结构,例如,董事会的构成情况、董事会内部是否有独立董事;治理结构中是否设有审计委员会或监事会及其运作情况。审计人员还应考虑治理层是否能够在独立于管理层的情况下对被审计金融机构事务做出客观判断。良好的治理结构可以对被审计金融机构实施有效的监管,降低重大报错的风险。

(3)组织结构。复杂的组织结构可能导致某些特定的重大报错风险。审计人员应当了解被审计金融机构的组织结构,考虑复杂组织结构可能导致的重大错报风险。

(4)营运活动。审计人员应当了解被审计金融机构的营运活动和主营业务的性质,例如,被审计金融机构是属于银行业、证券业、保险业还是其他金融服务业;业务开展情况;业务分部设立情况、地区与行业分布等。

(5)投资活动。审计人员应当了解被审计金融机构的投资活动,主要包括:已实施或近期拟实施的并购活动与资产处置活动;证券投资、委托贷款的发生和处置;资本性投资活动;联营、合营或其他投资。了解被审计金融机构的投资活动有助于审计人员关注被审计金融机构在营运策略和方向上的重大变化。

(6)筹资活动。审计人员应当了解被审计金融机构的筹资活动,主要包括债务结构、担保情况、表外融资、关联方融资、实际受益股东、固定资产租赁、衍生金融工具的运用等。了解被审计金融机构的筹资活动,有助于审计人员评估被审计金融机构在融资方面的压力,预测持续营运能力。

2.被审计金融机构对会计政策的选择和运用

审计人员应当了解被审计金融机构对会计政策的选择和运用,主要应关注以下内容:(1)重要项目的会计政策和行业惯例。当被审计金融机构采用与行业惯例不同的会计处理方法时,审计人员应当了解其原因,并考虑采用与行业惯例不同的会计处理方法是否适当。(2)重大和异常事项的会计处理方法。例如,银行向客户发放贷款、证券公司进行投资等时,审计人员应当考虑对重大的和不经常发生的交易的会计处理方法是否适当。(3)在新领域或缺乏权威性标准或共识的领域,审计人员应当关注被审计金融机构选用了哪些会计政策,为什么选用这些会计政策以及选用这些会计政策所产生的影响。(4)如果被审计金融机构变更了重要的会计政策,审计人员应当考虑变更的原因及其适当性。(5)被审计金融机构何时采用新会计准则和相关会计制度,包括是否采用激进的会计政策、方法、估计和判断;财会人员是否拥有足够的运用会计准则的知识、经验和能力;是否拥有足够的资源支持会计政策的运用,如人力资源及培训、信息技术的采用、数据和信息的采集等。

3.被审计金融机构的目标、战略以及相关营运风险

审计人员应当对被审计金融机构的目标、战略以及相关营运风险加强了解,主要应关注以下内容:(1)目标、战略及营运风险,包括:行业发展及其可能导致的被审计金融机构不具备足以应对行业变化的人力资源和业务专长等风险,开发新产品或提供新服务及其可能导致的被审计金融机构产品责任增加等风险,业务扩张及其可能导致的被审计金融机构对市场需求的估计不准确等风险,新颁布的会计法规及其可能导致的被审计金融机构执行法规不当或不完整或会计处理成本增加等风险,监管要求及其可能导致的被审计金融机构法律责任增加等风险,本期及未来的融资条件及其可能导致的被审计金融机构由于无法满足融资条件而失去融资机会等风险,信息技术的运用及其可能导致审计金融机构信息系统与业务流程难以融合等风险;(2)营运风险对重大错报风险的影响;(3)被审计金融机构的风险评估过程等。

4.被审计金融机构财务业绩的衡量和评价

在了解被审计金融机构财务业绩的衡量和评价时,审计人员应当关注以下内容:(1)关键业绩指标;(2)业绩趋势;(3)预测、预算和差异分析;(4)管理层和员工业绩考核与激励性报酬政策;(5)分部信息与不同层次部门的业绩报告;(6)与竞争对手的业绩比较;(7)外部机构提出的报告;(8)内部财务业绩衡量的结果;(9)财务业绩衡量指标的可靠性;等等。

五、了解被审计金融机构的内部控制

(一)内部控制的含义

内部控制是被审计金融机构为了合理保证财务报告的可靠性、经营的效率和效果以及对法律、法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。

内部控制主要包括五个要素:(1)控制环境;(2)风险评估过程;(3)信息系统与沟通;(4)控制活动;(5)对控制的监督。

内部控制的目标是合理保证以下三点:(1)财务报告的可靠性;(2)经营的效率和效果,即经济有效地使用资源,以最优方式实现目标;(3)在所有经营活动中合乎法律、法规,即在法律、法规的框架下从事经营活动。

值得注意的是,设计和实施内部控制的责任主体不单是治理层、管理层,还包括其他人员,也就是说,组织中的每一个人都对内部控制负有责任。

(二)控制环境

良好的控制环境是实施有效内部控的基础。控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制重要性的态度、认识和措施。在评价控制环境的设计和实施情况时,审计人员应当了解管理层在治理层的监督下,是否营造并保持诚实守信和合乎道德的文化,以及是否建立防止或发现并纠正舞弊和错误的恰当控制,具体应了解以下内容:

1.被审计金融机构诚信和道德价值观念的沟通与落实

审计人员在了解和评估被审计金融机构诚信和道德价值观念的沟通与落实时,考虑的主要因素包括:(1)被审计金融机构是否有书面的行为规范并向所有员工传达;(2)被审计金融机构的企业文化是否强调诚信和道德价值观念的重要性;(3)管理层是否身体力行,高级管理人员是否起表率作用;(4)对违反有关政策和行为规范的情况,管理层是否采取适当的惩罚措施。

2.对胜任能力的重视

审计人员在对被审计金融机构胜任能力的了解和评估时,主要应考虑的因素包括:(1)财会人员以及信息管理人员是否具备与被审计金融机构业务性质和复杂程度相称的足够的胜任能力和培训,在发生错误时,是否通过调整人员或系统来加以处理;(2)管理层是否配备足够的财会人员以适应业务发展和有关方面的需要;(3)财会人员是否具备理解和运用会计准则所需的技能等。

3.治理层的参与程度

被审计金融机构的控制环境在很大程度上受治理层(董事会)的影响。审计人员在对被审计金融机构治理层的参与程度进行了解和评估时,考虑的主要因素包括:(1)董事会是否建立审计委员会或类似机构;(2)董事会、审计委员会或类似机构是否与内部审计人员以及审计人员有联系和沟通,联系和沟通的性质以及频率是否与被审计金融机构的规模和业务复杂程度相匹配;(3)董事会、审计委员会或类似机构的成员是否具备适当的经验和资历;(4)董事会、审计委员会或类似机构是否独立于管理层;(5)审计委员会或类似机构会议的数量和时间是否与被审计金融机构的业务复杂程度相匹配;(6)董事会、审计委员会或类似机构是否充分参与监督编制财务报告的过程;(7)董事会、审计委员会或类似机构是否对经营风险的监控有足够的关注,进而影响被审计金融机构和管理层的风险评估过程;(8)董事会成员是否保持相对的稳定性。

4.管理层的理念和经营风格

审计人员在了解和评估被审计金融机构管理层的理念和经营风格时,考虑的主要因素包括:(1)管理层是否对内部控制,包括信息技术的控制,给予了适当的关注;(2)管理层是否由一个或几个人所控制,董事会、审计委员会或类似机构对其是否实施有效监督;(3)管理层在承担和监控经营风险方面是风险偏好者还是风险规避者;(4)管理层在选择会计政策和做出会计估计时是倾向于激进还是保守;(5)管理层对于信息管理人员以及财会人员是否给予了适当关注;(6)对于重大的内部控制和会计事项,管理层是否征询审计人员的意见,或者经常在这些方面与审计人员存在不同意见。

5.组织结构及职权与责任的分配

审计人员在了解和评估被审计金融机构组织结构及职权与责任的分配时,考虑的主要因素包括:(1)在被审计金融机构内部是否有明确的职责划分,是否将业务授权、业务记录、资产保管和维护以及业务执行的责任尽可能地分配;(2)数据的所有权划分是否合理;(3)是否已针对授权交易建立适当的政策和程序。

6.人力资源政策与实务

审计人员在对被审计金融机构人力资源政策与实务进行了解和评估时,考虑的主要因素包括:(1)被审计金融机构在招聘、培训、考核、晋升、薪酬、调动和辞退员工方面是否都有适当的政策和程序;(2)是否有书面的员工岗位职责手册,或者在没有书面文件的情况下,对于工作职责和期望是否做了适当的沟通和交流;(3)人力资源政策与程序是否清晰,并且定期发布和更新;(4)是否设定适当的程序,对分散在各地区和海外的经营人员建立并沟通人力资源政策与程序。

(三)被审计金融机构的风险评估过程

评估风险过程的作用是识别、评估和管理影响被审计金融机构实现营运目标能力的各种风险。任何经济组织在经营活动中都会面临各种各样的风险,风险对其生存和竞争能力产生影响。很多风险并不为经济组织所控制,但管理层应当确定可以承受的风险水平,识别这些风险并采取一定的应对措施。可能产生风险的事项和情形包括:(1)监管及经营环境的变化;(2)新员工的加入;(3)新信息系统的使用或对原系统进行升级;(4)业务快速发展;(5)新技术的应用;(6)新生产型号、产品的投入和业务活动的开展;(7)企业重组;(8)发展海外经营;(9)新会计准则的颁布等。

审计人员在对被审计金融机构整体层面的风险评估过程进行了解和评估时,应考虑的主要因素包括:(1)被审计金融机构是否已建立并沟通其整体目标,并辅以具体策略和业务流程层面的计划;(2)被审计金融机构是否已建立风险评估过程,包括识别风险、估计风险的重大性、评估风险发生的可能性以及确定需要采取的应对措施;(3)被审计金融机构是否已建立某种机制,以识别和应对可能对被审计金融机构产生重大且普遍影响的变化,如在金融机构中建立资产负债管理委员会等;(4)会计部门是否建立了某种流程,以识别会计准则的重大变化;(5)当被审计金融机构业务操作发生变化并影响交易记录的流程时,是否存在沟通渠道以通知会计部门;(6)风险管理部门是否建立了某种流程,以识别经营环境包括监管环境发生的重大变化。

(四)信息系统与沟通

1.了解与财务报告相关的信息系统

与财务报告相关的信息系统,包括用以生成、记录、处理和报告交易、事项和情况,对相关资产、负债和所有者权益履行经营管理责任的程序和记录。报告是指用电子或书面形式编制财务报告和其他信息,供被审计金融机构用于衡量和考核财务及其他方面的业绩。与财务报告相关的信息系统应当与业务流程相适应。与财务报告相关的信息系统所生成信息的质量,对管理层能否做出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。与财务报告相关的信息系统通常包括下列职能:(1)识别与记录所有的有效交易;(2)及时、详细地描述交易,以便在财务报告中对交易做出恰当分类;(3)恰当计量交易,以便在财务报告中对交易的金额做出准确记录;(4)恰当确定交易生成的会计期间;(5)在财务报表中恰当列报交易。

审计人员应当从下列方面了解与财务报告相关的信息系统:(1)在被审计金融机构经营过程中,对财务报表具有重大影响的各类交易。(2)在信息技术和人工系统中,交易生成、记录、处理和报告的程序。在获取信息时,审计人员应当及时考虑被审计金融机构将交易处理系统中的数据录入总分类账和财务报告的程序。(3)与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目。(4)被审计金融机构编制财务报告的过程,包括做出的重大会计估计和披露。编制财务报告的程序应当同时确保适用的会计准则和相关会计制度要求披露的信息得以收集、记录、处理和汇总,并在财务报告中得到充分披露。(5)管理层凌驾于账户记录控制之上的风险,并考虑被审计金融机构如何纠正不正确的交易处理。

2.了解与财务报告相关的沟通

审计人员应当了解被审计金融机构内部如何对财务报告的岗位职责,以及财务报告相关的重大事项进行沟通。审计人员还应当了解管理层与治理层(特别是审计委员会)之间的沟通,以及被审计金融机构与外部(包括与监管部门)的沟通。具体包括:(1)管理层就员工的职责和控制责任是否进行了有效沟通;(2)针对可疑的不恰当事项和行为是否建立了沟通渠道;(3)组织内部沟通的充分性是否能够使人员有效地履行职责;(4)对于与客户、监管者和其他外部人士的沟通,管理层是否及时采取适当的进一步行动;(5)被审计金融机构是否受到某些监管机构发布的监管要求的约束;(6)外部人士获知被审计金融机构的行为守则的程度。

(五)控制活动

控制活动是指有助于确保管理层的指令得到执行的政策、措施和程序,具体包括授权、业绩评价、信息处理、实物控制和职责分离等相关活动。

审计人员对被审计金融机构整体层面的控制活动进行的了解和评估,主要是针对被审计金融机构的一般控制活动,特别是信息技术的一般控制。在了解和评估控制活动时,审计人员考虑的主要因素包括:(1)被审计金融机构的主要营运活动是否都有必要的控制政策和程序;(2)管理层在预算、利润和其他财务及经营业绩方面是否都有清晰的目标,在被审计金融机构内部,是否对这些目标加以清晰的记录和沟通,并且积极进行监控;(3)是否存在计划和报告系统,以识别与目标业绩的差异,并向适当的管理层报告;(4)是否由适当层次的管理层对差异进行调查,并及时采取适当措施;(5)不同人员的职责应在何种程度上相分离,以降低舞弊和不当行为发生的风险;(6)会计系统中的数据是否与实物资产定期核对;(7)是否建立了适当的保护措施,以防止未经授权接触文件、记录和资产;(8)是否存在信息安全职能部门负责监控信息安全的政策和程序。

(六)对控制的监督

对控制的监督是指被审计金融机构评价内部控制在一段时间内运行有效性的过程,该过程包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。

审计人员在对被审计金融机构整体层面的监督进行了解和评估时,主要应考虑下列因素:(1)被审计金融机构是否定期评价内部控制;(2)被审计金融机构人员在履行正常职责时,获得内部控制是否有效运行证据的程度;(3)与外部的沟通能够在多大程度上证实内部产生的信息或者指出存在的问题;(4)管理层是否采纳内、外部审计人员和有关内部控制的建议;(5)管理层是否及时纠正控制运行中的偏差;(6)管理层根据监管机构的报告及建议是否及时采取纠正措施;(7)是否存在协助管理层监督内部控制的职能部门(如内部审计部门)。如果存在,对内部审计职能需进一步考虑的因素包括:①独立性和权威性;②向谁报告,对接触董事会、审计委员会或类似机构是否有限制;③是否有足够的人员、培训和特殊技能;④是否坚持适用的专业准则;⑤活动的范围;⑥计划、风险评估和执行工作的记录和形成结论的适当性;⑦是否不承担经营管理责任;等等。

六、评估重大错报风险

(一)识别和评估重大错报风险

1.识别和评估重大错报风险的审计程序

在识别和评估重大错报风险时,审计人员应当实施下列审计程序:(1)在了解被审计金融机构及其环境的整个过程中识别风险,并将识别的风险与各类交易、账户余额相联系;(2)将识别的风险与认定层次可能发生错报的领域相联系;(3)考虑识别的风险是否重大;(4)考虑识别的风险导致财务报表发生重大报错的可能性。

2.被审计金融机构可能存在重大错报风险的事项

审计人员应当充分关注被审计金融机构可能存在重大错报风险的事项,并考虑由于这些事项导致的风险是否重大,以及该风险导致财务报表发生重大错报的可能性,主要包括:(1)在经济不稳定的国家或地区开展业务;(2)在高度波动的市场开展业务;(3)在严厉、复杂的监管环境中开展业务;(4)融资能力受到限制;(5)持续经营和资金流动性出现问题;(6)行业环境发生变化;(7)供应链发生变化;(8)开发新产品或提供新服务,或进入新的业务领域;(9)开辟新的营运场所;(10)发生重大收购、重组或其他偶然事项;(11)拟出售分支机构或业务分部;(12)复杂的联营或合资;(13)运用表外融资、特殊目的实体以及其他复杂的融资协议;(14)重大关联方交易;(15)缺乏具备胜任能力的会计人员;(16)关键人员变动;(17)内部控制薄弱;(18)信息技术战略与经营战略不协调;(19)信息技术环境发生变化;(20)安装新的与财务报告有关的重大信息技术系统;(21)营运活动或财务报告受到监管机构的调查;(22)以往存在重大错报或本期期末出现重大会计调整;(23)发生重大的非常规交易;(24)按照管理层特定意图记录的交易;(25)应用新颁布的会计准则或相关会计制度;(26)会计计量过程复杂;(27)事项或交易在计量时存在重大不确定性;(28)存在未决诉讼和或有负债。

3.考虑财务报表的可审计性

审计人员在了解被审计金融机构的内部控制后,如果发现以下情形:(1)被审计金融机关会计记录的状况和可靠性存在重大问题,不能获取充分、适当的审计证据以发表无保留意见;(2)对管理层的诚信存在严重疑虑;(3)对财务报表局部或整体的可审计性产生疑问,审计人员就应当考虑出具保留意见或无法表示意见的审计报告,必要时,审计人员应当考虑解除业务约定。

另外,审计人员还应关注:(1)审计人员应当识别两个层次的重大错报风险,即在对重大错报风险进行识别和评估后,审计人员应当确定,识别的重大错报风险是与特定的某类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定;(2)控制环境对评估重大错报风险的影响比较广泛,即薄弱的控制带来的风险可能对财务报表产生影响,但难以限于某类交易、账户余额列报,审计人员应当采取总体应对措施;(3)在评估重大错报可能性时,除了考虑可能的风险外,还要考虑控制对风险的遏制作用,即有效的控制会减少错报发生的可能性,而在控制不当和缺乏控制的情形下,错报就有可能成为现实。

审计人员应当考虑对识别的各类交易、账户余额和列报认定层次的重大错报风险予以汇总和评估,以确定进一步审计程序的性质、时间和范围。

(二)需要特别考虑的重大错报风险

作为风险评估的一部分,审计人员应当运用职业判断,确定识别的风险哪些是需要特别考虑的重大错报风险(简称特别风险)。

1.确定特别风险时应考虑的事项

在确定特别风险时,审计人员应当在考虑识别出的对相关风险的抵消效果前,根据风险的性质、潜在错报的重要程度和发生的可能性,判断风险是否属于特别风险。在确定风险的性质时,审计人员应当考虑下列事项:(1)风险是否属于舞弊风险;(2)风险是否与近期经济环境、会计处理方法和其他方面的重大变化有关;(3)风险是否涉及重大的关联方交易;(4)交易的复杂程度;(5)财务信息计量的主观程度;(6)风险是否涉及异常或超出正常经营过程的重大交易。

2.非常规交易和判断事项导致的特别风险

非常规交易是指由于金额或性质异常而不经常发生的交易,例如,企业并购、债务重组、重大或有事项等。非常规交易具有下列特征:(1)管理层更多地介入会计处理;(2)数据收集和处理涉及更多的人工成分;(3)复杂的会计处理方法;(4)非常规交易的性质可能使被审计金融机构难以对由此产生的特别风险实施有效控制。因此,非常规交易与重大非常规交易相关的特别风险可能导致更高的重大错报风险。日常的、不复杂的、经正规处理的交易不太可能产生特别风险。特别风险通常与重大的非常规交易和判断事项有关。

与重大判断事项相关的特别风险可能导致更高的重大错报风险的原因一般有以下三种:(1)对涉及会计估计(如资产减值准备金额的估计)、收入确认等方面的会计原则存在不同的理解;(2)所要求的判断可能是主观和复杂的,或需要对未来事项做出假设;(3)需要用复杂估值技术确定的公允价值计量;等等。

3.考虑与特别风险相关的控制

对特别风险,审计人员应当评价相关控制的设计情况,并确定其是否已经得到执行。由于与重大非常规交易或判断事项相关的风险很少受到日常控制的约束,审计人员应当了解被审计金融机构是否针对该特别风险设计并实施了控制。例如,做出会计估计所依据的假设是否由管理层或专家进行复核;是否建立做出会计估计的正规程序;重大会计估计结果是否由治理层批准;管理层在收到重大诉讼事项的通知时应采取的措施,包括这类事项是否提交适当的专家处理、是否对该事项的潜在影响做出评估、是否确定该事项在财务报表中的披露问题以及如何确定等。了解与特别风险相关的控制,有助于审计人员制定有效的审计方案予以应对。

如果管理层未能实施控制以恰当应对特别风险,审计人员应当认为内部控制存在重大缺陷,并考虑其对风险评估的影响。在此情况下,审计人员应当就此类事项与治理层沟通。

(三)仅通过实质性程序无法应对的重大错报风险

如果认为仅通过实质性程序获取的审计证据无法将认定层次的重大报错风险降至可接受的低水平,审计人员应当评价被审计金融机构针对这些风险设计的控制,并确定其执行效果。例如,在被审计金融机构对日常交易采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,在这种情况下,如果认为仅通过实施实质性程序不能获取充分、适当的审计证据,审计人员应当考虑依赖的相关控制的有效性,并对其进行了解、评估和测试。

需要说明的是,对认定层次重大错报风险的评估,审计人员应以获取的审计证据为基础,并可能随着获取审计证据的不断变化而做出相应的调整。评估重大错报风险是一个连续和动态地收集、更新和分析信息的过程,贯穿整个审计过程始终。在实务中,审计人员应当及时汇总、识别重大错报风险。

(四)与治理层、管理层沟通

内部控制的重大缺陷是指内部控制设计或执行存在严重不足,使被审计金融机构管理层或员工无法在正常行使职能的过程中,及时发现并纠正错误和舞弊引起的财务报表重大错报。内部控制五个要素中都可能存在控制缺陷。

被审计金融机构管理层有责任在治理层的监督下,建立、执行和维护有效内部控制,以合理保证金融机构营运目标的实现。审计人员在了解和测试内部控制的过程中可能会注意到内部控制存在的重大缺陷。审计人员将其告知适当层次的管理层或治理层,将有助于管理层和治理层履行其在内部控制方面的职责。因此,审计人员应当及时将注意到的内部控制设计或执行方面的重大缺陷告知适当层次的管理层或治理层。

在了解和测试内部控制的过程中可能会发现偏差,偏差是否构成缺陷,取决于偏差的性质、频率和后果。在做出职业判断时,审计人员应考虑以下因素:(1)偏差的性质和原因是什么?(2)偏差数量和控制执行频率的比例是多少?(3)偏差涉及的账户、披露和认定的性质是怎样的?(4)缺陷可能影响到哪些财务报表金额或交易事项?(5)相关资产或负债是否容易遭受损失或产生舞弊?(6)控制的目的是什么?(7)该控制对数据可靠性的影响程度如何?(8)控制的影响是否具有广泛性?(9)所测试的信息处理目标的重要程度如何?(10)控制是预防性的还是检查性的?(11)控制设计或控制运行的文件记录是否足够?(12)是否存在行业性的或法规要求的控制实施标准?(13)是否存在针对同一风险或认定的补偿性的控制或程序?(14)谁完成控制程序?(15)偏差是否导致财务报表的重大错报?(16)如果存在因错误或舞弊导致的重大错报,是否可能尚未得到更正?

下列情况通常表明内部控制存在重大缺陷:(1)审计人员在审计工作中发现了重大错报,而被审计金融机构的内部控制却没有发现;(2)控制环境薄弱;(3)存在高层管理人员舞弊迹象。

如果识别出被审计金融机构未加控制或控制不当的重大错报风险,或认为被审计金融机构的风险评估过程存在重大缺陷,审计人员应当针对此类内部控制缺陷与管理层沟通。

审计人员在风险评估过程中应当就下列内容形成审计工作记录:(1)项目组对由于舞弊或错误导致财务报表发生重大错报的可能性进行的讨论,以及得出的重要结论;(2)审计人员对被审计金融机构及其环境各个方面的了解要点、信息来源以及实施的风险评估程序;(3)审计人员在财务报表层次和认定层次识别、评估出的重大错报风险;(4)审计人员识别出的特别风险和仅通过实质性程序无法应对的重大错报风险,以及对相关控制的评估。记录时审计人员需要运用职业判断并采用一定的方式。常用的记录方式包括文字叙述、问卷、核对表、流程图等。记录的方式和范围受被审计金融机构性质、规模、复杂程度、内部控制、被审计金融机构信息的可获得性以及审计过程中使用的具体审计方法和技术的影响。

第二节　重大错报风险应对措施

根据《中国审计人员审计准则第12331号——针对评估的重大错报风险实施的程序》指南,审计人员应当针对评估的财务报表层次重大错报风险确定总体应对措施,并针对评估的认定层次重大错报风险设计和实施进一步审计程序,以将审计风险降至可接受的低水平。在确定总体应对措施以及设计和实施进一 步审计程序的性质、时间和范围时,审 计人员应当运 用职业判断。

一、财务报表层次重大错报风险的总体应对措施

(一)财务报表层次重大错报风险的总体应对措施

在财务报表重大错报风险的评估过程中,审计人员应当确定,识别的重大错报风险是与特定的某类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进 而影响多项认 定。如果是后者,则属于财务报表层次的重大错报风险。

审计人员应当针对评估的财务报表层次重大错报风险确定下列总体应对措施:(1)向项目组强调在收集和评价审计证据过程中保持职业怀疑态度的必要性。(2)分派更有经验或具有特殊技能的审计人员,或利用行业专家的工作。各行业在经营业务、经营风险、财务报告、法规要求等方面具有特殊性,审计人员的专业分工细化成为一种趋势。(3)提供更多的督导。对于财务报表层次重大错报风险较高的审计项目,项目组经验较丰富的高级别成员要向其他成员提供更详细、更经常、更及时的指导和监督并加大项目质量复核。(4)在选择进一步审计程序时应当注意使某些程序不被管理层预见或事先了解。(5)对拟实施审计程序的性质、时间和范围做出总体修改。修改时应当考虑:①在期末而非期中实施更多的审计程序;②主要依赖实质性程序获取证据(不依赖内部控制);③修改审计程序的性质以获取更具说服力的审计证据;④扩大审计程序的范围。

(二)总体应对措施对拟实施进一步审计程序的总体方案的影响

财务报表层次重大错报风险难以限于某类交易、账户余额、列报的特点,意味着此类风险可能对财务报表的多项认定产生广泛影响,并相应增加审计人员对认定层次重大错报风险的评估难度。因此,审计人员评估的财务报表层次重大错报风险以及采取的总体应对措施,对拟实施进一步审计程序的总体方案具有重大影响。

拟实施进一步审计程序的总体方案包括实质性方案和综合性方案。其中,实质性方案是指审计人员实施的进一步审计程序,以实 质性程序为主;综合性方案是指审计人 员在实施进一步审计程序时,将控制测试与实质性程序结合使用。当评估的财务报表层次重大错报风险属于高风险水平时,拟实施进一步审计程序的总体方案往往更倾向于实质性方案。

在实务中,审计人员可以通过以下方式提高审计程序的不可预见性:(1)对某些以前未测试的低于设定的重要性水平或风险较小的账户余额和认定,实施实质性程序;(2)调整实施审计程序的时间,使其超出被审计金融机构的预期;(3)采取不同的审计抽样方法,使当年抽取的测试样本与以前有所不同;(4)选取不同的地点实施审计程序,或预先不告知被审计金融机构所选定的测试地点等。

二、认定层次重大错报风险的进一步审计程序

(一)进一步审计程序的含义

进一步审计程序相对于风险评估程序而言,是指审计人员针对评估的各类交易、账户余额、列报认定层次重大错报风险实施的审计程序,包括控制测试和实质性程序。

审计人员应当针对评估的认定层次重大错报风险设计并实施进一步审计程序,包括审计程序的性质、时间和范围。其中,性质最为重要。审计人员评估的重大错报风险越高,实施的进一步审计程序的范围通常越大;但是只有首先确保进一步审计程序的性质与特定风险相关,扩大审计程序的范围才是有效的。审计人员设计和实施的进一步审计程序的性质、时间和范围,应当与评估的认定层次重大错报风险具备明确的对应关系。审计人员实施的审计程序具有目的性和针对性,有的放矢地配置审计资源,有利于提高审计效率和效果。

审计人员在设计进一步审计程序时,应当考虑下列因素:(1)风险的重要性。风险的重要性是指风险造成的后果的严重程度,风险的后果越严重,审计人员就越需要关注和重视,越需要精心设计有针对性的进一步审计程序。(2)重大错报发生的可能性。重大错报发生的可能性越大,越需要精心设计进一步审计程序。(3)涉及的各类交易、账户余额和列报的特征。(4)被审计金融机构采用的特定控制的性质。(5)审计人员是否拟获取审计证据,以确定内部控制防止或发现并纠正重大错报方面的有效性。如果审计人员在风险评估时预期内部控制运行有效,随后拟实施的进一步审计程序就必须包括控制测试,且实质性程序自然会受到之前控制测试结果的影响。

可见,审计人员对认定层次重大错报风险的评估,为确定进一步审计程序的总体方案奠定了基础。审计人员应当根据对认定层次重大错报风险的评估结果,恰当选用实质性方案或综合性方案。在通常情况下,审计人员出于成本效益的考虑可以采用综合性方案设计进一步审计程序,即将测试控制运行的有效性与实质性程序结合使用。但在某些情况下(如仅通过实质性程序无法应对重大错报风险),审计人员必须通过实施控制测试,才可能有效应对评估出的某一认定的重大错报风险;而在另一些情况下(如审计人员的风险评估程序未能识别出与认定相关的任何控制,或审计人员认为控制测试很可能不符合成本效益原则),审计人员可能认为仅实施实质性程序就是适当的。需要特别说明的是,审计人员对重大错报风险的评估毕竟是一种主观判断,可能无法充分识别所有的重大错报风险,同时内部控制存在固有局限性(特别是存在管理层凌驾于内部控制之上的可能性),因此,无论选择何种方案,审计人员都应对所有重大的各类交易、账户余额、列报设计并实施实质性程序。

(二)进一步审计程序性质的确定

进一步审计程序的性质是指进一步审计程序的目的和类型。其中,进一步审计程序的目的包括通过实施控制测试以确定内部控制运行的有效性,通过实施实质性程序以发现认定层次的重大错报;进一步审计程序的类型包括检查、观察、询问、函证、重新计算、重新执行和分析程序。

在确定进一步审计程序的性质时,审计人员首先需要考虑的是认定层次重大错报风险的评估结果。因此,审计人员应当根据认定层次重大错报的评估结果选择审计程序,评估的认定层次重大错报风险越高,对通过实质性程序获取的审计证据的相关性和可靠性的要求越高,从而可能影响进一步程序的类型及其综合运用。例如,当审计人员判断某类交易协议的完整性存在更高的重大错报风险时,除了检查文件以外,审计人员还可能决定向第三方询问或函证协议条款的完整性。除了从总体上把握认定层次重大错报风险的评估结果对选择进一步审计程序的影响外,在确定拟实施的审计程序时,审计人员接下来应当考虑评估的认定层次重大错报风险产生的原因,包括考虑各类交易、账户余额、列报的具体特征以及内部控制。另外,如果在实施进一步审计程序时拟利用被审计金融机构信息系统生成的信息,审计人员应当就信息的准确性和完整性获取审计证据。

(三)进一步审计程序时间的选择

进一步审计程序的时间是指审计人员何时实施进一步审计程序,或审计证据适用的期间或时点。当提及进一步审计程序的时间时,在某些情况下指的是审计程序的实施时间,在另一些情况下是指需要获取的审计证据适用的时间或时点。

审计程序的实施时间选择,关键在于如何权衡期中与期末实施审计程序的关系;需要获取的审计证据适用的时间或时点的选择,分别集中在如何权衡期中审计证据与期末审计证据的关系、如何权衡以前审计获取的审计证据与本期审计获取的审计证据的关系。这两种情况的最终落脚点都是如何确保获取审计证据的效率和效果。

审计人员可以在期中或期末实施控制测试或实质性程序。这就引出了审计人员应当如何选择实施审计程序时间的问题。一项基本的考虑因素应当是审计人员评估的重大错报风险,当重大错报风险较高时,审计人员应当考虑在期末或接近期末实施实质性程序,或采用不通知的方式,或在管理层不能预见的时间实施审计程序。

虽然在期末实施审计程序在很多情况下非常必要,但仍然不排除审计人员在期中实施审计程序可能发挥的积极作用。在期中实施进一步审计程序,可能有助于审计人员在审计工作初期识别重大事项,并在管理层的协助下及时解决这些事项,或针对这些事项制定有效的实质性方案或综合性方案。当然,在期中实施进一步审计程序也存在很大的局限性:(1)审计人员往往难以仅凭在期中实施的进一步审计程序获取有关期中以前的充分、适当的审计证据;(2)即使审计人员在期中实施的进一步审计程序能够获取有关期中以前的充分、适当的审计证据,但从期中到期末这段剩余期间还往往会发生重大的交易或事项,从而对所审计期间的财务报表认定产生重大影响;(3)被审计金融机构管理层也完全有可能在审计人员于期中实施了进一步审计程序之后对期中以前的相关会计记录做出调整甚至篡改,审计人员在期中实施了进一步审计程序所获取的审计证据已经发生了变化。为此,如果在期中实施了进一步审计程序,审计人员还应当针对剩余期间获取审计证据。

审计人员在确定何时实施审计程序时应当考虑以下重要因素:(1)控制环境。良好的控制环境可以抵消在期中实施进一步审计程序的局限性,使审计人员在确定实施进一步审计程序的时间时有更大的灵活度。(2)何时能得到相关信息(某些控制活动可能仅在期中发生,而之后可能难以再被观察到)。(3)错报风险的性质。(4)审计证据适用的时间或时点。审计人员应当根据需要获取特定的审计证据来确定何时实施进一步审计程序。

虽然审计人员在很多情况下可以根据具体情况选择实施进一步审计程序的时间,但也存在一些限制选择的情况,某些审计程序只能在期末或期末以后实施。如果被审计金融机构在期末或接近期末发生了重大交易,或重大交易在期末尚未完成,审计人员应当考虑交易的发生或截止等认定可能存在的重大错报风险,并在期末或期末以后检查此类交易。

(四)进一步审计程序范围的选择

进一步审计程序范围是指实施进一步审计程序的数量,包括抽取的样本量、对某项控制活动的观察次数。

在选择进一步审计程序范围时,审计人员应当考虑以下因素:(1)确定的重要性水平。确定的重要性水平越低,实施进一步审计程序范围越广。(2)评估的重大错报风险。评估的重大错报风险越高,对拟获取审计证据的相关性、可靠性越高,因此审计人员实施的进一步审计程序的范围越广。(3)计划获取的保证程度。计划获取的保证程度,是指审计人员计划通过所实施的审计程序对测试结果可靠性所获取的信心。计划获取的保证程度越高,对测试结果可靠性要求越高,审计人员实施的进一步审计程序的范围越广。

三、控制测试

控制测试是对被审计金融机构内部控制运行的有效性实施的测试。控制测试属于审计人员针对认定层次重大错报风险所实施的进一步审计程序的一种类型。

(一)控制测试的前提

当存在下列情形之一时,审计人员应当实施控制测试:

(1)如果在评估认定层次重大错报风险时预期控制的运行是有效的,审计人员应当实施控制测试,就控制在相关期间或时点的运行有效性获取充分、适当的审计证据。这时,选择控制测试主要是出于成本与效益的考虑,其前提是审计人员通过了解内部控制后认为某项控制存在着被信赖和利用的可能。只有认为控制设计合理、能够防止或发现并纠正认定层次的重大错报,审计人员才有必要对控制运行的有效性实施测试。

(2)如果认为仅实施实质性程序而获取的审计证据无法将认定层次重大错报风险降至可接受的低水平,审计人员应当实施相关的控制测试,以获取控制运行有效性的审计证据。

例如,被审计金融机构信息的生成、记录、处理和报告均通过电子格式进行,审计证据是否充分和适当通常取决于自动化信息系统相关控制的有效性,即属于仅通过实施实质性程序不能获取充分、适当的审计证据的情况。此时审计人员必须实施控制测试,并且这时选择控制测试已经不再是单纯出于成本与效益的考虑,而是为获取此类审计证据必须实施的程序。此外,如果被审计金融机构在所审计期间内的不同时期使用了不同的控制,审计人员应当测试不同时期控制运行的有效性。

(二)了解内部控制与控制测试的关系

(1)目的不同。审计人员了解内部控制的目的在于确定控制是否得到执行,而控制测试的目的在于测试控制运行的有效性。

(2)证据的内容不同。审计人员测试控制运行的有效性与确定控制是否得到执行所需获取的审计证据或审计证据需要证实的内容是不同的。了解内部控制程序旨在确定某项控制是否存在、是否正在使用,而控制测试程序需要证实的是控制能否在不同时点按照既定设计得以一贯执行,为此,审计人员需要抽取足够数量的交易进行检查或对多个不同时点进行观察,而要了解控制的程序则只需抽取少量的交易进行检查或观察某几个时点。可是,由于证据证实的内容不同,两项程序所需收集的证据数量和审计工作量也有所不同。另外,采用审计程序的类型不同。控制测试与了解内部控制所采用的具体审计程序的类型不同。两者相同的审计程序,包括询问、观察、检查和穿行测试等程序。

尽管了解内部控制与控制测试是两项不同的审计程序,但两者均针对内部控制。审计人员可以在了解控制的同时测试控制运行的有效性,以提高审计效率。

(三)控制测试性质的确定

控制测试的性质是指控制测试所使用的审计程序的类型及其组合。决定控制测试性质的主要因素是计划从控制测试中获取的保证水平。计划的保证水平越高,对有关控制运行有效性证据的可靠性要求越高。当拟实施的进一步审计程序主要以控制测试为主,尤其是仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平时,审计人员应当获取有关控制运行有效性的更高的保证水平。

控制测试程序的类型包括:

(1)询问。审计人员可以向被审计金融机构的相关员工询问,获取与内部控制运行情况相关的信息。尽管询问是一种有用的手段,但它必须和其他测试手段结合使用才能发挥作用。

(2)观察。观察是测试不留下书面记录的控制是否运行的有效方法。例如,观察实物盘点控制的执行情况。通常情况下,审计人员通过观察直接获取的证据比间接获取的证据更可靠。

(3)检查。检查程序对那些运行中留有书面证据的控制尤为有效。被审计金融机构复核时留下的记号,或其他记录在报告中的标志都可以作为检查对象,被当作控制运行情况的证据。例如,检查出库单是否有复核人员签字等。

(4)重新执行。通常只有当询问、观察和检查程序结合在一起仍无法获得充分的证据时,审计人员才考虑通过重新执行来证实控制是否有效运行。但是,如果需要进行大量的重新执行,审计人员就要考虑通过实施控制测试以缩小实质性程序的范围是否有效率。

(5)穿行测试。穿行测试是通过追踪交易在财务报告信息系统中的处理过程,来证实审计人员对控制的了解、评价控制设计的有效性以及确定控制是否得到执行。穿行测试不是单独的一种程序,而是将多种程序按特定审计需要进行结合运用的方法。

(四)控制测试时间的选择

控制测试的时间包括两层含义:一是何时实施控制测试;二是测试所针对的控制适用的时点或期间。如果测试特定时点的控制,审计人员仅得到该时点控制运行有效性的审计证据;如果测试某一期间的控制,审计人员可获取控制在该期间有效运行的审计证据。审计人员应当根据控制测试的目的确定控制测试的时间。如果需要获取控制在某一期间有效运行的审计证据,仅获取与时点相关的审计证据或将多个不同时点运行有效性的审计证据做简单累加均是不充分的,审计人员应当辅以其他控制测试,包括测试被审计金融机构对控制的监督。而所谓的“其他控制测试”应当具备的功能是,能提供相关控制在所有相关时点都运行有效的审计证据;被审计金融机构对控制的监督起到的就是一种检验相关控制在所有相关时点是否都有效运行的作用,因此,审计人员测试这类活动能够有助于获取控制在某期间运行有效性的充分、适当的审计证据。

审计人员在期中实施控制测试具有积极的作用。如果审计人员已获取有关控制在期中运行有效性的审计证据,并拟利用该证据,则应实施下列审计程序:第一,获取这些控制在剩余期间变化情况的审计证据;第二,确定针对剩余期间还需获取的补充审计证据。上述两项审计程序中,第一项是针对期中已获取过审计证据的控制,审计人员应考察这些控制在剩余期间的变化情况。如果这些控制在剩余期间没有发生变化,审计人员可能决定信赖期中获取的审计证据;如果这些控制在剩余期间发生了变化,审计人员就需要了解并测试控制的变化对期中审计证据的影响。第二项是针对期中证据以外的、剩余期间的补充证据。

内部控制中的诸多要素相对于被审计金融机构的具体交易、账户余额和列报往往是稳定的,因此,审计人员在本期审计时可以适当利用以前审计获取的有关控制运行有效性的审计证据;然而,内部控制在不同期间可能发生重大变化,审计人员需要格外慎重,充分考虑拟信赖的以前审计中测试的控制在本期是否发生变化。

值得注意的情况包括:(1)如果拟信赖的控制自上次测试后已发生变化,审计人员应当在本期审计中测试这些控制的运行有效性。(2)如果拟信赖的控制自上次测试后未发生变化,且不属于旨在减轻特别风险的控制,审计人员应当运用职业判断,确定是否在本期审计中测试其运行的有效性,以及本次测试与上次测试的时间间隔,但两次测试的时间间隔不得超过2年。(3)如果确定评估的认定层次重大错报风险是特别风险,并拟信赖旨在减轻特别风险的控制,审计人员不应依赖以前审计获取的审计证据,而应在本期审计中测试这些控制的运行有效性。

(五)控制测试范围的选择

控制测试的范围是指某项控制活动的测试次数。审计人员应当设计对控制的测试次数,以获取控制在整个拟信赖期间有效运行的充分、适当的审计证据。

审计人员在确定某项控制的测试范围时一般考虑以下因素:

(1)在整个拟信赖期间,被审计金融机构执行控制的频率。控制执行的频率越高,控制测试的范围越大。

(2)在所审计期间,审计人员拟信赖控制运行有效性的时间长度。拟信赖控制运行有效性的时间长度不同,在该时间长度内发生的控制活动次数也不同。审计人员需要根据拟信赖控制的时间长度确定控制测试的范围。拟信赖期间越长,控制测试的范围越大。

(3)为证实控制能够防止或发现并纠正认定层次重大错报,需要获取审计证据的相关性和可靠性。对审计证据的相关性和可靠性要求越高,控制测试的范围越大。

(4)通过测试与认定相关的其他控制获取的审计证据的范围。针对同一认定,可能存在不同的控制。当针对其他控制获取审计证据的充分性和适当性较高时,测试该控制的范围可适当缩小。

(5)在风险评估时拟信赖控制运行有效性的程度。审计人员在风险评估时对控制运行有效性的拟信赖程度越高,需要实施控制测试的范围越大。

(6)控制的预期偏差。预期偏差可以用控制未得到执行的预期次数占控制应当得到执行次数的比率即预期偏差率加以衡量。控制的预期偏差率越高,需要实施控制测试的范围越大。如果控制的预期偏差率过高,审计人员应当考虑控制可能不足以将认定层次的重大错报风险降至可接受的低水平,从而针对某一认定实施的控制测试可能是无效的。

对于自动化应用控制,一旦确定被审计金融机构正在执行该控制,审计人员通常无需扩大控制测试的范围,但需要考虑执行下列测试以确定该控制是否持续有效地运行:(1)测试与该应用控制有关的一般控制的运行有效性;(2)确定对交易的处理是否使用授权批准的软件版本;(3)确定系统是否发生更改,如果发生更改,是否存在适当的系统更改控制。

四、实质性程序

(一)实质性程序的含义

实质性程序是指审计人员针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序。审计人员应当针对评估的重大错报风险设计和实施实质性程序,以发现认定层次的重大错报。实质性程序包括对各类交易、账户余额、列报的细节测试以及实质性分析程序。

审计人员实施的实质性程序应当包括下列与财务报表编制完成阶段相关的审计程序:(1)将财务报表与其所依据的会计记录相核对;(2)检查财务报表编制过程中做出的重大会计分录和其他会计调整。审计人员对会计分录和其他会计调整检查的性质和范围,取决于被审计金融机构财务报告过程的性质和复杂程度以及由此产生的重大错报风险。

由于审计人员对重大错报风险的评估是一种判断,可能无法充分识别所有的重大错报风险,并且由于内部控制存在固有局限性,无论评估的重大错报风险结果如何,审计人员都应当针对所有重大的各类交易、账户余额、列报实施实质性程序。

如果认为评估的认定层次重大错报风险是特别风险,审计人员应当专门针对该风险实施实质性程序;如果针对特别风险仅实施实质性程序,审计人员应当使用细节测试,或将细节测试和实质性分析程序结合使用,以获取充分、适当的审计证据。这是因为,为应对特别风险需要获取具有高度相关性和可靠性的审计证据,仅实施实质性分析程序不足以获取有关特别风险的充分、适当的审计证据。

(二)实质性程序的性质

1.实质性程序的性质的含义

实质性程序的性质,是指实质性程序的类型及其组合。实质性程序的两种基本类型包括细节测试和实质性分析程序。细节测试是对各类交易、账户余额、列报的具体细节进行测试,目的在于直接识别财务报表认定是否存在错报。实质性分析程序从技术特征上仍然是分析程序,主要是通过研究数据间的关系评价信息,只是将该技术方法用作实质性程序,即用以识别各类交易、账户余额、列报及相关认定是否存在错报。

2.实质性程序的设计

审计人员应当根据各类交易、账户余额、列报的性质选择实质性程序的类型。细节测试和实质性分析程序的目的和技术手段存在一定差异,因此各自有不同的适用领域。细节测试适用于对各类交易、账户余额、列报认定的测试,尤其是对存在或发生、计价认定的测试;对在一段时期内存在可预期关系的大量交易,审计人员可以考虑实施实质性分析程序。

审计人员应当针对评估的风险设计细节测试,获取充分、适当的审计证据,以达到认定层次所计划的保证水平。审计人员需要根据不同认定层次的重大错报风险设计有针对性的细节测试。例如,在针对存在或发生认定设计细节测试时,审计人员应当选择包含在财务报表金额中的项目,并获取相关审计证据;在针对完整性认定设计细节测试时,审计人员应当选择有证据表明应包含在财务报表金额中的项目,并调查这些项目是否确实包括在内。如为应对被审计金融机构漏记本期应付账款的风险,审计人员可以检查期后付款记录。

审计人员在设计实质性分析程序时应当考虑的主要因素有:(1)对特定认定使用实质性分析程序的适当性;(2)对已记录的金额或比率作出预期时,所依据的内部或外部数据的可靠性;(3)作出预期的准确程度是否足以在计划的保证水平上识别重大错报;(4)已记录金额与预期值之间可接受的差异额。

考虑到数据及分析的可靠性,当实施实质性分析程序时,如果使用被审计金融机构编制的信息,审计人员应当考虑测试与信息编制相关的控制以及这些信息是否在本期或前期经过审计。

(三)实质性程序时间的选择

实质性程序的时间选择与控制测试的时间选择既有共同点,也有差异。两者的差异在于:在控制测试中,期中实施控制测试并获取期中关于控制运行有效性审计证据的做法更具常规性;而由于实质性程序的目的在于更直接地发现重大错报,在期中实施实质性程序时更需要考虑其成本与效益的权衡;在本期控制测试中拟信赖以前审计获取的有关控制运行有效性的审计证据,已经受到很大的限制;而对于以前审计中通过实质性程序获取的审计证据,则采取了更加慎重的态度和更严格的限制。两者的共同点在于:两类程序都面临着对期中审计证据和对以前审计获取的审计证据的考虑。

1.对期中实施实质性程序的考虑

在期中实施实质性程序,一方面可能消耗了审计资源,另一方面期中实施实质性程序获取的审计证据不能直接作为期末财务报表认定的审计证据,审计人员仍然需要消耗进一步的审计资源使期中审计证据能够合理延伸至期末。审计人员需要权衡这两部分审计资源的总和是否能够显著小于完全在期末实施实质性程序所需消耗的审计资源。因此,审计人员在考虑是否在期中实施实质性程序时应当考虑以下因素:(1)控制环境和其他相关的控制。控制环境和其他相关的控制越薄弱,审计人员越不宜依赖期中实施的实质性程序。(2)实施审计程序所需信息在期中之后的可获得性。如果实施实质性程序所需信息在期中之后可能难以获取,审计人员应考虑在期中实施实质性程序。但如果实施实质性程序所需信息在期中之后的可获得性并不存在明显困难,该因素不应成为审计人员在期中实施实质性程序的重要影响因素。(3)实质性程序的目标。如果针对某项认定实施实质性程序的目标就包括获取该认定的期中审计证据(从而与期末比较),审计人员应在期中实施实质性程序。(4)评估的重大错报风险。审计人员评估的某项认定的重大错报风险越高(如舞弊导致的重大错报风险),针对该认定所需获取的审计证据的相关性和可靠性要求也就越高,审计人员越应当考虑将实质性程序集中于期末(或接近期末)实施。(5)各类交易或账户余额以及相关认定的性质。(6)针对剩余期间,能否通过实施实质性程序或将实质性程序与控制测试相结合,以降低期末存在错报而未被发现的风险。如果针对剩余期间审计人员可以通过实施实质性程序或将实质性程序与控制测试相结合,较有把握地降低期末存在错报而未被发现的风险,审计人员可以考虑在期中实施实质性程序。但如果针对剩余期间审计人员认为还需要消耗大量审计资源才有可能降低期末存在错报而未被发现的风险,甚至没有把握通过适当的进一步审计程序降低期末存在错报而未被发现的风险,审计人员就不宜在期中实施实质性程序。

2.对期中审计证据的考虑

如果拟将期中测试得出的结论延伸至期末,审计人员应当考虑针对剩余期间仅实施实质性程序是否足够。如果认为实施实质性程序本身不充分,审计人员还应测试剩余期间相关控制运行的有效性或针对期末实施实质性程序。

对于舞弊导致的重大错报风险(作为一类重要的特别风险),被审计金融机构存在故意错报或操纵的可能性,那么审计人员更应慎重考虑能否将期中测试得出的结论延伸至期末。因此,如果已识别出由于舞弊导致的重大错报风险,为将期中得出的结论延伸至期末而实施的审计程序通常是无效的,审计人员应当考虑在期末或者接近期末实施实质性程序。

如果已在期中实施实质性程序,或将控制测试与实质性程序相结合,并拟信赖期中测试得出的结论,审计人员应当将期末信息与期中的可比信息进行比较、调节,识别和调查出现的异常金额,并针对剩余期间实施实质性分析程序或细节测试。

在确定针对剩余期间拟实施的实质性程序时,审计人员应当考虑是否已在期中实施控制测试,并考虑与财务报告相关的信息系统能否充分提供与期末账户余额及剩余期间交易有关的信息。

在针对剩余期间实施实质性程序时,审计人员应当重点关注并调查重大的异常交易或分录、重大波动以及各类交易或账户余额在构成上的重大或异常的变动。如果拟针对剩余期间实施实质性分析程序,审计人员应当考虑某类交易的期末累计发生额或账户期末余额在金额、相对重要性及构成方面能否被合理预期。

如果在期中检查出某类交易或账户余额存在错报,审计人员应当考虑修改与该类交易或账户余额相关的风险评估以及针对剩余期间拟实施实质性程序的性质、时间和范围,或考虑在期末扩大实质性程序的范围,或重新实施实质性程序。

3.对以前审计获取的审计证据的考虑

在以前审计中实施实质性程序获取的审计证据,通常对本期只有很弱的证据效力或没有证据效力,不足以应对本期的重大错报风险。只有当以前获取的审计证据及其相关事项未发生重大变动时,例如,以前审计通过实质性程序测试过的某项诉讼在本期没有任何实质性进展,以前获取的审计证据才可能作为本期的有效审计证据。但是,如果拟利用以前审计中实施实质性程序获取的审计证据,审计人员应当在本期实施审计程序,以确定这些审计证据是否具有持续相关性。

(四)实质性程序范围的确定

实质性分析程序的范围有两层含义:

一是对什么层次上的数据进行分析。审计人员可以选择在高度汇总的财务数据层次进行分析,也可以根据重大错报风险的性质和水平调整分析层次。

二是需要对什么幅度或性质的偏差展开进一步调查。实施分析程序可能发现偏差,但并非所有的偏差都值得展开进一步调查。在设计实质性分析程序时,审计人员应当确定已记录金额与预期值之间可接受的差异额。可容忍或可接受的偏差(即预期偏差)越大,作为实质性分析程序一部分的进一步调查的范围就越小。于是确定适当的预期偏差幅度同样属于实质性分析程序的范畴。在确定该差异额时,审计人员应当主要考虑各类交易、账户余额、列报及相关认定的重要性和计划的保证水平。

在确定实质性程序的范围时,审计人员应当考虑评估的认定层次重大错报风险和实施控制测试的结果。审计人员评估的认定层次的重大错报风险越高,需要实施实质性程序的范围就越广。如果对控制测试结果不满意,审计人员应当考虑扩大实质性程序的范围。在设计细节测试时,审计人员除了从样本量的角度考虑测试范围外,还要考虑选样方法的有效性等因素。例如,从总体中选取大额或异常项目,而不是进行代表性抽样或分层抽样。

(五)控制测试与实质性程序结果的相互影响力

控制测试与实质性程序结果具有相互影响力。一方面,控制测试的结果不理想,审计人员需要调整实质性程序的性质,延长和扩大实质性程序的时间和范围;反之亦然。另一方面,实施实质性程序的结果对控制测试结果也具有影响力。尽管通过实施实质性程序未发现某项认定存在错报,然而这本身并不能说明与该认定有关的控制是有效运行的;但如果通过实施实质性程序发现某项认定存在错报,审计人员就应当考虑实施实质性程序发现的错报对评价相关控制运行有效性的影响,如降低对相关控制的信赖程度、调整实质性程序的性质、扩大实质性程序的范围等;如果通过实施实质性程序,审计人员发现被审计金融机构没有识别出的重大错报,这通常表明内部控制存在重大缺陷,审计人员应当就这些缺陷与管理层和治理层进行沟通。