銀行增值型內部審計研究論文范文

本站小編為你精心準備了銀行增值型內部審計研究論文參考范文，愿這些范文能點燃您思維的火花，激發(fā)您的寫作靈感。歡迎深入閱讀并收藏。

一、基于COSO框架的量化評價是商業(yè)銀行改進內部控制的重要工具

（一）評價內容COSO內部控制框架將內部控制歸納為內控環(huán)境、風險評估、內控活動、信息溝通、監(jiān)督評價五要素，這五個要素在內部控制中相互作用，為組織持續(xù)穩(wěn)健運行提供保障，具體評價內容如表1。

（二）評價對象商業(yè)銀行具有分支機構發(fā)達、業(yè)務多元的特征，特殊的管理架構與經營模式決定了其內控評價對象應涵蓋機構單元與業(yè)務單元兩個方面：從機構單元來看，審計對象可以是某一級經營機構，如總行（一級法人）、一級分行、二級分行等不同層級的機構，層級不同，管理權限、經營范圍均有不同；從業(yè)務單元來看，業(yè)務分類為公司類存款、個人存款、中間業(yè)務、銀行卡業(yè)務、電子渠道業(yè)務、財務管理、會計管理、綜合管理等。

（三）評價方式通過查閱規(guī)章制度、政策文件、具體實施細則機構系統(tǒng)圖解，訪談相關人員，查閱前期審計結論等途徑，按業(yè)務規(guī)模適當抽取樣本，初步了解判斷被審計機構內部控制體系的基本運行情況以及效果。

（四）評價工具以審計對象機構單元和業(yè)務單元為評價對象，以測試表的方式搭建量化評價模型，開展內部控制初評。1.對業(yè)務單元逐一評價以公司類貸款業(yè)務單元為例，假定內控五要素的評分權重如表2。長，內部制衡關系復雜，對內部控制措施設計的要求較高，故對內部控制措施要素設定最高權重。假設內部控制措施先按滿分100分設計控制要點，所得分值按照60%的權重進行折算得分，再與其余四要素評分求和，評價公式為：Yi=Ai+Bi+Ci+Di+Zi*60%。Y為某業(yè)務單元內控評分；A、B、C、D分別為內部控制環(huán)境、風險識別與評估、信息交流與反饋、監(jiān)督評價與糾正四要素的分項評分；Z為內部控制措施要素分項評分。其中：Max（Ai+Bi+Ci+Di）=40；Max（Zi）=100；Max（Yi）=100。參考內控五要素權重及其所包含的內容，結合所評價業(yè)務單元的經營特點，可以考慮按表3格式設計測試表。2.對機構單元的匯總評價機構單元評價建立在業(yè)務單元評價的基礎上，以某一種特定的量化計分形成對審計對象（機構單元）內部控制的整體評價。假定開展的是一項綜合性審計，針對審計對象的所有業(yè)務，鑒于當前商業(yè)銀行業(yè)務均衡發(fā)展的整體思路，可以考慮以算術平均的方式確定審計對象最終的內部控制得分。3.確定評價等級參考銀監(jiān)會制定的《商業(yè)銀行內部控制評價試行辦法》，對內控狀況進行等級分類，從高到低分為五級，不同等級按百分制對應一定分值。基于量化評價模型對審計事項和審計對象內部控制的評分最終可以轉換為對內部控制的定性描述，幫助審計人員合理判斷內控水平，從而考慮如何選擇后續(xù)審計策略。

二、基于內控量化評價的商業(yè)銀行內審增值策略選擇

通過對內控五要素的量化評價，可以直觀了解審計對象或某一類、一項業(yè)務的內部控制狀況，找到內控的薄弱環(huán)節(jié)，有利于循著內控缺陷分析的方向選擇審計策略。

（一）根據內控初評結果選擇測試路徑內部控制初步評分與等級的初步劃分，能幫助審計人員形成內控可信賴程度的基本判斷，參考“審計風險=固有風險×控制風險×檢查風險”的原理，有利于合理選擇審計測試方案。（1）高信賴程度，內控評級90分以上（一級以上），以符合性測試為主。內控可高度信任，說明審計對象具有健全、合理的內部控制，并且均能有效發(fā)揮作用，業(yè)務循環(huán)過程和會計記錄發(fā)生錯弊的可能性很小。此時審計組對審計對象制定的制度、辦法、流程、對其提供的財務報表、業(yè)務臺賬、檔案資料以及業(yè)務基礎數據均采取信任態(tài)度。審計人員基于一定的審計風險控制標準，可以用統(tǒng)計抽樣的方式繼續(xù)確定少量樣本，進一步判斷是否存在控制設計不夠合理或執(zhí)行不夠嚴謹的可能，以促進內控體系優(yōu)化與運行效率的提高。（2）中等信賴程度，內控評級70-89分（二、三級），有重點地開展實質性測試。中等信賴說明內部控制存在一定的缺陷或薄弱環(huán)節(jié)，或內部控制較為健全合理，但實際執(zhí)行不力，影響了會計記錄的真實性和可靠性。此時，審計人員可根據內控評價模型的量化評價結果，重點針對低分單元與低分環(huán)節(jié)開展實質性測試；同時應避免對審計對象提供資料的過度依賴，要合理利用第三方信息形成證據的相互印證，敏銳捕捉薄弱控制環(huán)節(jié)下隱藏的違規(guī)或風險，通過推動內控促進潛在風險的化解。（3）低信賴程度，內控評級69分以下（四級及以下），更加全面的實質性測試。低水平的內部控制，說明審計對象的內部控制設計不合理，且多數執(zhí)行無效，造成大部分業(yè)務管理失控，會計記錄差錯頻繁。審計人員應擴大抽樣，通過對多數業(yè)務、多數環(huán)節(jié)進行全面檢查，將審計風險控制在一定水平。要參考舞弊審計的思路，參照第三方標準與最佳操作范例，盡可能揭示低控制水平下的高風險，督促審計對象調整經營管理策略，從環(huán)境建設的角度啟動內控重建。

（二）從內控的視角分析與揭示問題審計人員基于對內控的初步判斷，可以更好地把握審計測試的重點；通過揭示薄弱控制背后的風險事項，又能形成對內控缺陷判斷的事實支撐。所以，審計應始終著眼于內控分析與改進，爭取審計對象的認同與應對。審計工作底稿應以分析內控缺陷為主要內容，應該著重強調兩個環(huán)節(jié)。一是從內控分析的角度規(guī)范審計工作底稿。其目的在于由表及里揭示問題全貌。審計工作底稿應包括五個方面的基本要素，即狀況、差異、原因、影響、建議。通過逐一闡述，反映問題的表象與實質，指出后續(xù)改進的方向，是實現(xiàn)審計增值的重要工具。二是把握問題源頭，確定適當的審計溝通層次與溝通策略。審計測試過程中揭示的差異主要有三類。第一類是一般遵循性問題，由取證對象主觀因素決定，與內控設計無關，完全屬于個體執(zhí)行層面的問題。第二類是內控設計缺陷，測試中揭示的差異只是表象，根本上還需要頂層設計的優(yōu)化，只有完善制度、優(yōu)化流程、改進系統(tǒng)并堵住漏洞，才可能防止問題一再發(fā)生。第三類是風險事項，即受經營環(huán)境等外部因素的影響，經營主體必須面對的不確定性。內部審計應促進組織自我修復，或盡可能規(guī)避風險，可通過風險緩釋策略、差別定價策略、計提撥備等方式實現(xiàn)對風險的有效管理。

（三）將審計跟蹤作為增值型審計的必經程序1.區(qū)分重要性與一般性，選擇適當的跟蹤方式一是定期開展現(xiàn)場跟蹤，周期性覆蓋重大控制缺陷。重大控制缺陷包含兩方面內容：重大設計缺陷，主要是流程、系統(tǒng)控制不符合內控制衡原理，先天存在控制不足；重大執(zhí)行缺陷，即執(zhí)行層面出于利益考慮有意繞開控制導致重大風險。對于這類問題，應投入專門資源定期開展現(xiàn)場跟蹤，一對一督促重點整改。考慮初次跟蹤與再跟蹤結合的方式：問題一經揭示，及時啟動初次跟蹤，重點關注機制層面的整改措施，如是否確定整改責任部門，是否啟動內控重檢程序，是否制定改進計劃、進入實質性整改進程并初見成效；在此基礎上，基于一定的整改周期安排（如六個月或一年），進入再跟蹤程序，以剩余風險評價為主，通過擴大抽樣，檢驗內控改進是否有效減少實質性風險，對是否需要持續(xù)改進提出合理化建議。二是合理運用合并跟蹤與非現(xiàn)場跟蹤，對一般問題實現(xiàn)全面覆蓋。根據審計項目周期性覆蓋機構與業(yè)務的特點，可以將一般問題跟蹤合并于新實施的相關審計項目中，將既往問題整改作為內控初評的依據之一，且在實質性測試中提升同一環(huán)節(jié)、同質問題的關注度，通過連續(xù)審計督促被審計機構主動減少差錯。此外，當內控初評確認中等信賴以上，也可以適當利用非現(xiàn)場跟蹤的方式，即利用整改報告反饋信息，以分析性復核的方式綜合判斷問題整改的效果。2.區(qū)分遵循性與健全性，選擇適當的剩余風險評價標準建立了內部控制但執(zhí)行不嚴產生風險或損失的現(xiàn)象被歸為遵循性問題，這類問題因執(zhí)行層面主觀違規(guī)所導致。審計跟蹤此時應將執(zhí)行層面作為責任主體，將其自身努力達到的效果作為剩余風險的評價標準。假設責任主體通過規(guī)范業(yè)務辦理流程、追加風險緩釋、實施違規(guī)問責等方式提前消除風險敞口或遏制了風險發(fā)生的可能，可以認為剩余風險得到控制并認定問題已整改，審計價值完全得到體現(xiàn)。如一筆貸款，因經營主體未遵循既有的行業(yè)準入控制要求而面臨風險，審計跟蹤關于剩余風險的評估將根據經營主體采取保全措施、逐步覆蓋風險敞口直至收回貸款，表現(xiàn)為由大到小直至為零，形成由部分整改直至完全整改的判斷。還有一部分問題，表面屬于執(zhí)行機構執(zhí)行不嚴，但問題具有普遍性。究其根源，與內控設計不合理有關，即背后存在深層次的健全性缺陷。如測試發(fā)現(xiàn)多個執(zhí)行機構因審核不嚴導致保理業(yè)務貿易背景不真實的外部欺詐風險，經過深層次分析，發(fā)現(xiàn)流程設計始終未將對客戶交易對手的現(xiàn)場確認作為業(yè)務辦理的必要條件，為外部欺詐行為提供了空間。所以，從源頭看，其責任主體應該是管理層（控制設計層面），審計跟蹤在關注單個問題風險是否得到化解時，重點應評價導致風險頻發(fā)的業(yè)務流程缺陷是否得到糾正，通過一定范圍的抽樣，根據差錯發(fā)生概率與風險敞口占比的比較，綜合判斷整改效果。

（四）推動審計對象內部控制自我評價與自我完善內部控制自我評價（CSA）是管理層或業(yè)務人員直接參與的考察和評估內部控制效果的過程，主要有三個特征：關注業(yè)務過程和控制的成效、由管理部門和職員共同進行、用結構性方法開展自我評估。其積極作用在于：一是有助于提高組織內部控制的自我意識。內審人員不再是內部控制的唯一責任主體,企業(yè)的所有成員都對內部控制負有相應的責任,從而促進內部控制全員參與。二是提高發(fā)現(xiàn)問題和解決問題的效率。內部控制自我評價是組織經營管理部門的自發(fā)行動，相對于傳統(tǒng)的內部審計更容易找到問題并提出解決問題的方法。三是提高內部審計的效率與效果。內部審計和經營人員可以開展有效合作，共同開展內部控制自我評價，實現(xiàn)資源和信息的共享。內部審計也可以利用內控自我評價的成果,減少收集信息的時間和審計中所需的驗證程序。這種合作提高了內部審計人員可獲信息的數量和質量,把審計人員從對立者、監(jiān)督者轉換為企業(yè)發(fā)展的參與者、推動者。另外，以內控為核心的增值型審計應注意幾個問題：內部控制量化評價模型參數并非一成不變；不能將內部控制缺陷簡單理解為設計缺陷；管理層有權選擇接受剩余風險，跟蹤審計需要同時關注組織發(fā)展的持續(xù)性；基于內控的增值型審計自始至終是審計人員與被審計對象交流合作的過程。

作者：丁平李萍周曉偉單位：中國建設銀行武漢審計分部