一、中央银行内部实施风险导向审计的步骤 (一)合理选择固有风险因素,确定固有风险 央行固有风险因素主要有:政治、社会及自然的变化、被审计单位的文化特征、以前审计中发现的问题及整改情况、同级监督部门的独立性以及发现问题的难易程度、问题引起争论和处理的难易程度等等。目前央行主要业务部门(或主要业务)的固有风险因素如下:(1)货币信贷。政府干预再贷款的程度、监管信息共享程度、信贷登记信息完整程度、再贷款担保程度。(2)财务会计制度的透明度、内外部监督力度、指标分配合理性。(3)国库业务:政府部门干预程度、行领导重视程度、国库会计核算系统的安全性和稳定性、经收处和代理支库收纳和报解及时性。(4)科技管理:科技人员业务素质、工作态度、对系统维护及网络安全监测的及时性、硬件设备的先进性。(5)货币金银:业务人员的风险意识、定期查库的有效性、检测系统的先进性。(6)外汇管理:政府干预程度、外汇审批(核)业务信息的真实性、业务人员政策熟悉程度、外汇监管信息共享程度。(7)安全保卫:保卫人员的政治背景及责任心、保卫人员的保密意识、监控设施的先进程度。(8)支付结算:支付系统运行的稳定性、金融机构结算业务的熟练程度。目前,人民银行总行尚未建立对固有风险的评价计量标准,因此对固有风险的量化有一定难度。 (二)对央行内控情况进行评价,确定控制风险 首先,分析内部控制决策(设计)的风险,初步评估控制风险水平。评估的主要因素有:组织结构的合理、合规性,各类制度修订和完善的及时性,岗位分工及职责明确程度等。如果决策机制存在问题,那么将导致严重的管理风险。目前,央行主要职能部门的内部控制设计风险因素有:(1)货币信贷:审批权限、程序管理、对主要货币政策工具运用的检查情况;(2)财务会计:预算指标分配及管理、费用支出的审批与使用、固定资产的入账与实物管理、大宗物品采购管理、基建资金的使用与管理;(3)国库业务:预算退、拨款分级审批制度与审批权限、退库及更正业务办理的合规性;(4)科技管理:系统维护及网络安全管理、电子设备采购招标管理、电子化设备管理、制度制定情况;(5)货币金银:审批权限与程序的合规性、岗位设置科学合理性、发行基金调拨、复点、销毁、出入库等管理的合规性;(6)外汇管理:重要外汇审批(核)业务岗位设置的合规性、审批制度及权限的执行情况、特殊业务是否建立集体商议制度、内部监督检查制度执行、行政许可、外汇检查、处罚程序的合规性;(7)安全保卫:守库、出入库区、监控、押运、枪弹管理的合规性,是否建立了紧急情况处置预案;(8)支付结算:各操作岗位设置是否相互制约并持证上岗,各级别操作人员的口令设置是否有权限差别,重大会计事项是否登记备案并经有权人员审批。 其次,确定控制执行的风险水平。控制执行的风险因素主要有:被审计单位业务的主要类别、各类主要业务的发生过程、重要的会计凭证、账簿记录以及会计报表项目、重大交易和事项的会计处理过程以及交易授权等。 再次,确定监督反馈机制的风险水平。监督反馈机制是央行内部防线,其是否完善与有效直接影响控制风险水平,监督反馈机制越完善越有效则风险的水平越低,监督机制评价主要在于机制的完整性和有效性。最后,对被审计单位的内部控制制度及其执行情况进行测试。测试包括以下步骤:(1)调查了解被审计单位的内部控制制度,如阅读以前的审计资料、发放问卷调查、实地观察、绘制内控流程图等;(2)进行符合性测试。在了解了被审计单位的内部控制制度以后,进行符合性测试。在符合性测试时选择若干控制点,常采取“穿行测试”(在每一类交易循环中选择一笔或若干笔业务进行测试,以验证工作底稿上描述的内部控制制度信息的客观性和真实性)等方法。 执行控制测试后,对内部控制进行评价,确定对其内部控制的信赖程度,从而确定控制风险水平,以进一步确定实施审计的范围、重点内容、抽样比例和审计所需要的时间等。 (三)对央行内部审计风险进行确定 一是在确定了固有风险和控制风险后,确定计划检查风险。计划检查风险=期望审计风险/固有风险×控制风险。在审计中应该对检查进行管理和控制,使实际检查风险保持在一个可接受的范围。审计人员要将检查风险实际水平与可接受的检查风险比较,以保证对检查风险的控制。 二是控制检查风险,全面提升内部审计质量。按照《独立审计准则》的定义,检查风险是进行实质性测试(既现场检查)而未能发现账户错报或漏报的可能性。确定计划检查风险后,应对审计资源进行重新分配,把有限的审计资源向高风险点倾斜,以保证审计重点查深、查透;调整和完善审计计划,当审计过程中事项的重要性发生变化或测试结果显示与早期预期不符,则需要完善审计计划,调整各事项分配的人员及时间;进行实质性测试,确定合理的抽样方法与样本规模,控制检查风险。对内部管理部门采用变量抽样,其他业务采用属性抽样;加强现场管理,降低内审检查风险;科学评价审计结果,注意对审计工作底稿的复核、例外因素的分析和审计差异的汇总,以降低审计总体风险水平。 二、央行借鉴风险导向审计的质量控制 (一)正确树立和把握风险审计的理念。在对风险评价(固有风险和控制风险)时应全面、客观,不能仅仅局限于制度评价,而且应该考虑控制环境,在此基础上确定审计重点与范围以及实质性测试时抽样的方式、样本的数量;审计风险与审计的效率存在负相关,而且应该是在审计风险可接受范围内,只有当可容忍审计风险确定后,才能确定进行实质性测试的内容与数量;符合性测试主要应用于风险评价阶段,实质性测试则应用于现场检查阶段。