本站小编为你精心准备了银行增值型内部审计研究论文参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。
一、基于COSO框架的量化评价是商业银行改进内部控制的重要工具
(一)评价内容COSO内部控制框架将内部控制归纳为内控环境、风险评估、内控活动、信息沟通、监督评价五要素,这五个要素在内部控制中相互作用,为组织持续稳健运行提供保障,具体评价内容如表1。
(二)评价对象商业银行具有分支机构发达、业务多元的特征,特殊的管理架构与经营模式决定了其内控评价对象应涵盖机构单元与业务单元两个方面:从机构单元来看,审计对象可以是某一级经营机构,如总行(一级法人)、一级分行、二级分行等不同层级的机构,层级不同,管理权限、经营范围均有不同;从业务单元来看,业务分类为公司类存款、个人存款、中间业务、银行卡业务、电子渠道业务、财务管理、会计管理、综合管理等。
(三)评价方式通过查阅规章制度、政策文件、具体实施细则机构系统图解,访谈相关人员,查阅前期审计结论等途径,按业务规模适当抽取样本,初步了解判断被审计机构内部控制体系的基本运行情况以及效果。
(四)评价工具以审计对象机构单元和业务单元为评价对象,以测试表的方式搭建量化评价模型,开展内部控制初评。1.对业务单元逐一评价以公司类贷款业务单元为例,假定内控五要素的评分权重如表2。长,内部制衡关系复杂,对内部控制措施设计的要求较高,故对内部控制措施要素设定最高权重。假设内部控制措施先按满分100分设计控制要点,所得分值按照60%的权重进行折算得分,再与其余四要素评分求和,评价公式为:Yi=Ai+Bi+Ci+Di+Zi*60%。Y为某业务单元内控评分;A、B、C、D分别为内部控制环境、风险识别与评估、信息交流与反馈、监督评价与纠正四要素的分项评分;Z为内部控制措施要素分项评分。其中:Max(Ai+Bi+Ci+Di)=40;Max(Zi)=100;Max(Yi)=100。参考内控五要素权重及其所包含的内容,结合所评价业务单元的经营特点,可以考虑按表3格式设计测试表。2.对机构单元的汇总评价机构单元评价建立在业务单元评价的基础上,以某一种特定的量化计分形成对审计对象(机构单元)内部控制的整体评价。假定开展的是一项综合性审计,针对审计对象的所有业务,鉴于当前商业银行业务均衡发展的整体思路,可以考虑以算术平均的方式确定审计对象最终的内部控制得分。3.确定评价等级参考银监会制定的《商业银行内部控制评价试行办法》,对内控状况进行等级分类,从高到低分为五级,不同等级按百分制对应一定分值。基于量化评价模型对审计事项和审计对象内部控制的评分最终可以转换为对内部控制的定性描述,帮助审计人员合理判断内控水平,从而考虑如何选择后续审计策略。
二、基于内控量化评价的商业银行内审增值策略选择
通过对内控五要素的量化评价,可以直观了解审计对象或某一类、一项业务的内部控制状况,找到内控的薄弱环节,有利于循着内控缺陷分析的方向选择审计策略。
(一)根据内控初评结果选择测试路径内部控制初步评分与等级的初步划分,能帮助审计人员形成内控可信赖程度的基本判断,参考“审计风险=固有风险×控制风险×检查风险”的原理,有利于合理选择审计测试方案。(1)高信赖程度,内控评级90分以上(一级以上),以符合性测试为主。内控可高度信任,说明审计对象具有健全、合理的内部控制,并且均能有效发挥作用,业务循环过程和会计记录发生错弊的可能性很小。此时审计组对审计对象制定的制度、办法、流程、对其提供的财务报表、业务台账、档案资料以及业务基础数据均采取信任态度。审计人员基于一定的审计风险控制标准,可以用统计抽样的方式继续确定少量样本,进一步判断是否存在控制设计不够合理或执行不够严谨的可能,以促进内控体系优化与运行效率的提高。(2)中等信赖程度,内控评级70-89分(二、三级),有重点地开展实质性测试。中等信赖说明内部控制存在一定的缺陷或薄弱环节,或内部控制较为健全合理,但实际执行不力,影响了会计记录的真实性和可靠性。此时,审计人员可根据内控评价模型的量化评价结果,重点针对低分单元与低分环节开展实质性测试;同时应避免对审计对象提供资料的过度依赖,要合理利用第三方信息形成证据的相互印证,敏锐捕捉薄弱控制环节下隐藏的违规或风险,通过推动内控促进潜在风险的化解。(3)低信赖程度,内控评级69分以下(四级及以下),更加全面的实质性测试。低水平的内部控制,说明审计对象的内部控制设计不合理,且多数执行无效,造成大部分业务管理失控,会计记录差错频繁。审计人员应扩大抽样,通过对多数业务、多数环节进行全面检查,将审计风险控制在一定水平。要参考舞弊审计的思路,参照第三方标准与最佳操作范例,尽可能揭示低控制水平下的高风险,督促审计对象调整经营管理策略,从环境建设的角度启动内控重建。
(二)从内控的视角分析与揭示问题审计人员基于对内控的初步判断,可以更好地把握审计测试的重点;通过揭示薄弱控制背后的风险事项,又能形成对内控缺陷判断的事实支撑。所以,审计应始终着眼于内控分析与改进,争取审计对象的认同与应对。审计工作底稿应以分析内控缺陷为主要内容,应该着重强调两个环节。一是从内控分析的角度规范审计工作底稿。其目的在于由表及里揭示问题全貌。审计工作底稿应包括五个方面的基本要素,即状况、差异、原因、影响、建议。通过逐一阐述,反映问题的表象与实质,指出后续改进的方向,是实现审计增值的重要工具。二是把握问题源头,确定适当的审计沟通层次与沟通策略。审计测试过程中揭示的差异主要有三类。第一类是一般遵循性问题,由取证对象主观因素决定,与内控设计无关,完全属于个体执行层面的问题。第二类是内控设计缺陷,测试中揭示的差异只是表象,根本上还需要顶层设计的优化,只有完善制度、优化流程、改进系统并堵住漏洞,才可能防止问题一再发生。第三类是风险事项,即受经营环境等外部因素的影响,经营主体必须面对的不确定性。内部审计应促进组织自我修复,或尽可能规避风险,可通过风险缓释策略、差别定价策略、计提拨备等方式实现对风险的有效管理。
(三)将审计跟踪作为增值型审计的必经程序1.区分重要性与一般性,选择适当的跟踪方式一是定期开展现场跟踪,周期性覆盖重大控制缺陷。重大控制缺陷包含两方面内容:重大设计缺陷,主要是流程、系统控制不符合内控制衡原理,先天存在控制不足;重大执行缺陷,即执行层面出于利益考虑有意绕开控制导致重大风险。对于这类问题,应投入专门资源定期开展现场跟踪,一对一督促重点整改。考虑初次跟踪与再跟踪结合的方式:问题一经揭示,及时启动初次跟踪,重点关注机制层面的整改措施,如是否确定整改责任部门,是否启动内控重检程序,是否制定改进计划、进入实质性整改进程并初见成效;在此基础上,基于一定的整改周期安排(如六个月或一年),进入再跟踪程序,以剩余风险评价为主,通过扩大抽样,检验内控改进是否有效减少实质性风险,对是否需要持续改进提出合理化建议。二是合理运用合并跟踪与非现场跟踪,对一般问题实现全面覆盖。根据审计项目周期性覆盖机构与业务的特点,可以将一般问题跟踪合并于新实施的相关审计项目中,将既往问题整改作为内控初评的依据之一,且在实质性测试中提升同一环节、同质问题的关注度,通过连续审计督促被审计机构主动减少差错。此外,当内控初评确认中等信赖以上,也可以适当利用非现场跟踪的方式,即利用整改报告反馈信息,以分析性复核的方式综合判断问题整改的效果。2.区分遵循性与健全性,选择适当的剩余风险评价标准建立了内部控制但执行不严产生风险或损失的现象被归为遵循性问题,这类问题因执行层面主观违规所导致。审计跟踪此时应将执行层面作为责任主体,将其自身努力达到的效果作为剩余风险的评价标准。假设责任主体通过规范业务办理流程、追加风险缓释、实施违规问责等方式提前消除风险敞口或遏制了风险发生的可能,可以认为剩余风险得到控制并认定问题已整改,审计价值完全得到体现。如一笔贷款,因经营主体未遵循既有的行业准入控制要求而面临风险,审计跟踪关于剩余风险的评估将根据经营主体采取保全措施、逐步覆盖风险敞口直至收回贷款,表现为由大到小直至为零,形成由部分整改直至完全整改的判断。还有一部分问题,表面属于执行机构执行不严,但问题具有普遍性。究其根源,与内控设计不合理有关,即背后存在深层次的健全性缺陷。如测试发现多个执行机构因审核不严导致保理业务贸易背景不真实的外部欺诈风险,经过深层次分析,发现流程设计始终未将对客户交易对手的现场确认作为业务办理的必要条件,为外部欺诈行为提供了空间。所以,从源头看,其责任主体应该是管理层(控制设计层面),审计跟踪在关注单个问题风险是否得到化解时,重点应评价导致风险频发的业务流程缺陷是否得到纠正,通过一定范围的抽样,根据差错发生概率与风险敞口占比的比较,综合判断整改效果。
(四)推动审计对象内部控制自我评价与自我完善内部控制自我评价(CSA)是管理层或业务人员直接参与的考察和评估内部控制效果的过程,主要有三个特征:关注业务过程和控制的成效、由管理部门和职员共同进行、用结构性方法开展自我评估。其积极作用在于:一是有助于提高组织内部控制的自我意识。内审人员不再是内部控制的唯一责任主体,企业的所有成员都对内部控制负有相应的责任,从而促进内部控制全员参与。二是提高发现问题和解决问题的效率。内部控制自我评价是组织经营管理部门的自发行动,相对于传统的内部审计更容易找到问题并提出解决问题的方法。三是提高内部审计的效率与效果。内部审计和经营人员可以开展有效合作,共同开展内部控制自我评价,实现资源和信息的共享。内部审计也可以利用内控自我评价的成果,减少收集信息的时间和审计中所需的验证程序。这种合作提高了内部审计人员可获信息的数量和质量,把审计人员从对立者、监督者转换为企业发展的参与者、推动者。另外,以内控为核心的增值型审计应注意几个问题:内部控制量化评价模型参数并非一成不变;不能将内部控制缺陷简单理解为设计缺陷;管理层有权选择接受剩余风险,跟踪审计需要同时关注组织发展的持续性;基于内控的增值型审计自始至终是审计人员与被审计对象交流合作的过程。
作者:丁平李萍周晓伟单位:中国建设银行武汉审计分部