论文部分内容阅读
近期,张家界市中支内审部门对发行库业务及管理进行了风险导向审计。在审计过程中,审计人员发现应该重点关注可接受总体偏差状况与样本量的抽取、充分考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行有效性,合理运用风险矩阵图确定风险评估系数,以有效提高审计效率,准确评估剩余风险。
一、以可接受总体偏差为参数,合理选定样本空间
张家界市中支发行库业务及管理的目标是“总量满足、结构合理、票面整洁、持有者放心”,其策略选择就是依托现有内外环境实现并保持总行一级库标准。审计组围绕这一目标和策略选择,在充分了解内外控制环境对发行库业务及管理的影响、具有潜在负面影响的事项以及发行库工作人员所反映的日常工作容易忽视的环节和关键点的基础上,根据风险特征将发行库业务及管理风险划分为法律风险、声誉风险、资产风险、信息技术风险、效率风险和操作风险六大类风险,从而按照适当性完整性的特征将整个发行库业务及管理确定为抽样总体,依据风险层次特征确定采用分层随机抽样方法选取样本。
根据审计要求,结合审前调查,审计人员事先所确立的标准为:可接受的信赖过度风险为10%,预期发生偏差的数量为1,可容忍偏差率为5%。基于泊松分布统计模型:样本量(n)=可接受的信赖过度风险系数(R)/可容忍偏差率(TR)=39/005=78(个)(依据《控制测试常用风险系数表》查得R数据)。
根据风险控制要求,审计预期无一例偏差,根据公式:总体偏差率上限(MDR)=风险系数(R)/样本量(n)=23/78=295%。亦即有90%的把握保证总体实际偏差率不超过295%,大大低于审计人员设定的可容忍偏差率5%,于是可作结论:总体可以接受。
从而,审计人员将发行库业务及管理风险划分为法律风险、声誉风险、资产风险、信息技术风险、效率风险和操作风险六类,按属性分层为22个风险点,细化成82个分布点,与测试要求的78个样本量基本接近,为开展下一步审计业务奠定基础。
二、以多项审计方法为基础,充分开展控制测试
控制测试是指在了解内部控制的基础上,审计人员对被审计单位内部控制的有效性进行的测试。在测试控制运行的有效性时,审计人员充分关注控制在审计期间不同时点如何运行、是否得到一贯执行、由谁执行、以何种方式执行,并在了解内部控制的同时执行内部控制有效性的测试。由于控制测试是控制是否有效运行的主要证据来源,依据审慎原则,审计人员所关注的可接受信赖过度风险应确定在相对较低的水平上。在进行张家界中支发行库业务风险审计中,审计人员采用的可接受信赖过度风险水平为10%,为相对较低水平可接受信赖过度风险的上限(相对较低水平在数量上是指5%——10%),因此审计抽样必须相对扩大样本规模,从而有效降低抽样风险。在实施审计过程中,审计人员通过对每一项内部控制的有效性开展统计分析并确定效果级次,再开展动态观察、问询、查询记录、统计分析等,在可接受信赖过度风险的基础上力求对执行力予以准确评估。以库款调运业务为例,基于上述选取的样本空间,审计人员通过采用随机抽样方法再抽取45个样本,对该样本空间中每次押运人员的年龄结构进行列表分析,发现“押运人员年龄偏大且身体状态偏弱”这一特征,与管理层、相关人员及审计人员“对突发事件的应激反应敏捷能力明显偏低、风险较大”的预判结果相印证。
三、以风险矩阵图为依据,准确评估剩余风险
样本量的合理选定,奠定了风险预期的基础——对固有风险的剩余风险主要是从两个方面进行评估,即某个风险导致不利的结果的可能性以及不利结果的大小。风险评估意在识别发行库业务及管理全流程的剩余风险,即未能被控制(或无法控制)的潜在威胁。根据风险控制理论,剩余风险的大小与发行部门对风险的管理和控制有效性呈反向变动,即发行部门对风险的管理和控制越有效,剩余风险就越小;发行部门对风险的管理和控制越失效,剩余风险就越大。风险评估的关键在于根据合理性和执行力两个因素,结合审前调查收集的信息,运用风险矩阵图确定相应的评估系数。
评估系数的合理与否直接影响着审计风险的大小,为此,审计人员围绕如何尽量逼近客观存在的威胁进行了多次测试,并严格执行了询问、分析、观察、检查等评估程序,就内部控制(认定直接相关的控制以及这些控制所依赖的与认定间接相关的控制)在审计期内或特定时点上的运行有效性及监测手段的合理性获取充分、适当的审计证据,最终确立了各方可接受认可并基本符合实际情况的评估系数及整体风险水平(见下表)。结合整体层面分析的结果,对固有风险、内部控制风险、调整项风险分别进行评估后的结果为3882分,并作出本中支发行库业务及管理属于较为安全级别的结论,这与张家界市中支发行库作为总行一级库的客观情况基本相符。
四、审计实践中亟待破解的困境
此次开展发行库业务风险审计,审计人员在严格按照审计方案实施审计的实践中,面临几大亟待破解的困境:
一是风险系数的客观量化存在难度。在风险评估环节中,对风险水平(风险系数)的估计与把握是首要任务,而这依赖于审计人员对风险点的识别具有的完整程度与风险估量的准确性。审计方案中《评估系统的量化》对此仅有指导性意见,审计人员需结合管理层的风险偏好,运用职业经验来选择风险系数,增加了客观量化的难度。
二是测试控制的自我评估基础薄弱。在测试控制运行的有效性时,由于被审计单位对日常的内控情况未能定期开展自我评估,即在岗位职责里未将内控评估工作由谁执行、以何种方式执行的责任明确,导致审计人员缺乏第一手资料,增大了审计成本和难度。
三是风险评估的主观判断比重过大。由于样本总体规模、抽样方法运用等局限,基于评估系统量化数据疏松、连续性不够,在风险评估过程中审计人员需要大量运用职业判断,使风险评估的结果所体现的审计人员的主观因素色彩较浓,客观上增大了审计风险。
一、以可接受总体偏差为参数,合理选定样本空间
张家界市中支发行库业务及管理的目标是“总量满足、结构合理、票面整洁、持有者放心”,其策略选择就是依托现有内外环境实现并保持总行一级库标准。审计组围绕这一目标和策略选择,在充分了解内外控制环境对发行库业务及管理的影响、具有潜在负面影响的事项以及发行库工作人员所反映的日常工作容易忽视的环节和关键点的基础上,根据风险特征将发行库业务及管理风险划分为法律风险、声誉风险、资产风险、信息技术风险、效率风险和操作风险六大类风险,从而按照适当性完整性的特征将整个发行库业务及管理确定为抽样总体,依据风险层次特征确定采用分层随机抽样方法选取样本。
根据审计要求,结合审前调查,审计人员事先所确立的标准为:可接受的信赖过度风险为10%,预期发生偏差的数量为1,可容忍偏差率为5%。基于泊松分布统计模型:样本量(n)=可接受的信赖过度风险系数(R)/可容忍偏差率(TR)=39/005=78(个)(依据《控制测试常用风险系数表》查得R数据)。
根据风险控制要求,审计预期无一例偏差,根据公式:总体偏差率上限(MDR)=风险系数(R)/样本量(n)=23/78=295%。亦即有90%的把握保证总体实际偏差率不超过295%,大大低于审计人员设定的可容忍偏差率5%,于是可作结论:总体可以接受。
从而,审计人员将发行库业务及管理风险划分为法律风险、声誉风险、资产风险、信息技术风险、效率风险和操作风险六类,按属性分层为22个风险点,细化成82个分布点,与测试要求的78个样本量基本接近,为开展下一步审计业务奠定基础。
二、以多项审计方法为基础,充分开展控制测试
控制测试是指在了解内部控制的基础上,审计人员对被审计单位内部控制的有效性进行的测试。在测试控制运行的有效性时,审计人员充分关注控制在审计期间不同时点如何运行、是否得到一贯执行、由谁执行、以何种方式执行,并在了解内部控制的同时执行内部控制有效性的测试。由于控制测试是控制是否有效运行的主要证据来源,依据审慎原则,审计人员所关注的可接受信赖过度风险应确定在相对较低的水平上。在进行张家界中支发行库业务风险审计中,审计人员采用的可接受信赖过度风险水平为10%,为相对较低水平可接受信赖过度风险的上限(相对较低水平在数量上是指5%——10%),因此审计抽样必须相对扩大样本规模,从而有效降低抽样风险。在实施审计过程中,审计人员通过对每一项内部控制的有效性开展统计分析并确定效果级次,再开展动态观察、问询、查询记录、统计分析等,在可接受信赖过度风险的基础上力求对执行力予以准确评估。以库款调运业务为例,基于上述选取的样本空间,审计人员通过采用随机抽样方法再抽取45个样本,对该样本空间中每次押运人员的年龄结构进行列表分析,发现“押运人员年龄偏大且身体状态偏弱”这一特征,与管理层、相关人员及审计人员“对突发事件的应激反应敏捷能力明显偏低、风险较大”的预判结果相印证。
三、以风险矩阵图为依据,准确评估剩余风险
样本量的合理选定,奠定了风险预期的基础——对固有风险的剩余风险主要是从两个方面进行评估,即某个风险导致不利的结果的可能性以及不利结果的大小。风险评估意在识别发行库业务及管理全流程的剩余风险,即未能被控制(或无法控制)的潜在威胁。根据风险控制理论,剩余风险的大小与发行部门对风险的管理和控制有效性呈反向变动,即发行部门对风险的管理和控制越有效,剩余风险就越小;发行部门对风险的管理和控制越失效,剩余风险就越大。风险评估的关键在于根据合理性和执行力两个因素,结合审前调查收集的信息,运用风险矩阵图确定相应的评估系数。
评估系数的合理与否直接影响着审计风险的大小,为此,审计人员围绕如何尽量逼近客观存在的威胁进行了多次测试,并严格执行了询问、分析、观察、检查等评估程序,就内部控制(认定直接相关的控制以及这些控制所依赖的与认定间接相关的控制)在审计期内或特定时点上的运行有效性及监测手段的合理性获取充分、适当的审计证据,最终确立了各方可接受认可并基本符合实际情况的评估系数及整体风险水平(见下表)。结合整体层面分析的结果,对固有风险、内部控制风险、调整项风险分别进行评估后的结果为3882分,并作出本中支发行库业务及管理属于较为安全级别的结论,这与张家界市中支发行库作为总行一级库的客观情况基本相符。
四、审计实践中亟待破解的困境
此次开展发行库业务风险审计,审计人员在严格按照审计方案实施审计的实践中,面临几大亟待破解的困境:
一是风险系数的客观量化存在难度。在风险评估环节中,对风险水平(风险系数)的估计与把握是首要任务,而这依赖于审计人员对风险点的识别具有的完整程度与风险估量的准确性。审计方案中《评估系统的量化》对此仅有指导性意见,审计人员需结合管理层的风险偏好,运用职业经验来选择风险系数,增加了客观量化的难度。
二是测试控制的自我评估基础薄弱。在测试控制运行的有效性时,由于被审计单位对日常的内控情况未能定期开展自我评估,即在岗位职责里未将内控评估工作由谁执行、以何种方式执行的责任明确,导致审计人员缺乏第一手资料,增大了审计成本和难度。
三是风险评估的主观判断比重过大。由于样本总体规模、抽样方法运用等局限,基于评估系统量化数据疏松、连续性不够,在风险评估过程中审计人员需要大量运用职业判断,使风险评估的结果所体现的审计人员的主观因素色彩较浓,客观上增大了审计风险。