當前國庫業務風險管理審計的實踐與改進的重點

摘要:國庫業務風險管理審計是指在國庫部門進行風險管理的基礎上，通過對國庫業務的風險管理狀況進行審計，審查并評價國庫部門風險管理的適當性和有效性，針對國庫部門在業務風險管理中存在的薄弱環節及風險隱患，提出改進國庫部門的風險管理的意見和建議，加強風險防范意識，提升國庫部門的業務風險管理的科學性和有效性，保障國庫資金安全。本文以中國人民銀行海口中心支行內審部門開展國庫業務風險管理審計的實踐，介紹國庫業務風險管理審計的內容、風險評價的標準及模型、檢查測試方法等，探討風險管理審計在中國人民銀行內部審計工作的實際應用。

關鍵詞:風險管理;國庫業務風險管理審計;實踐;改進

中圖分類號:F812.2 文獻標識碼:A 文章編號:1003-9031(2010)07-0084-05DOI:10.3969/j.issn.1003-9031.2010.07.19

一、引言

隨著財稅、金融體制改革的不斷深入，財政收支規模的不斷增大，以及國庫部門全面推行新的會計核算體系，國庫業務內容、業務環節不斷增加，業務處理手續不斷發生變化，尤其是國庫加入現代化支付系統，信息化步伐加快后，國庫資金風險防范日益突出。如何有效防控風險，發揮內審在風險管理中的作用，成為中國人民銀行內審部門必須思考的課題。2009年中國人民銀行海口中心支行(以下簡稱“海口中支”)為切實落實總行“推進風險管理審計，促進內審工作轉型”的工作要求，適應國庫的改革發展和業務創新需求，積極探索，運用風險導向審計模式，嘗試開展了國庫業務風險管理審計試點，取得良好效果。

二、國庫業務風險管理審計的主要做法

(一)按照內部控制構成要素及風險管理流程確定審計內容

風險管理是組織內部控制的基本組成部分，對風險管理審計和評價是內部控制審計的基本內容之一。中國人民銀行海口中支在借鑒2005年5月施行的《內部審計具體準則第16號——風險管理審計》、COSO委員會2004年9月制定發布的《企業風險管理——整合框架》、國際內部審計師協會2004年1月修訂的《內部審計實務標準——專業實務框架》的基礎上，研究確定了國庫業務風險管理審計內容，包括內控環境、目標設定、風險識別、風險評估、控制活動、風險應對、信息和溝通、監控與檢查八大項，國庫業務風險管理審計涵蓋了COSO《風險管理整合框架》的所有八要素[1]。

(二)根據識別和分析風險，設計業務風險清單

風險清單是審計測試的操作依據。中國人民銀行海口中支在2008年修訂的《風險量化分類及控制措施一覽表》基礎上，對國庫業務流程進行再分析，對風險再確認，對新上線的TCBS系統業務流程圖重新進行描繪，構建風險清單。

1.建立國庫業務風險量化分類表。采用“歸集—監測—診斷”法，對國庫業務活動中的現實風險和潛在風險因素進行分類，正確識別風險項目，構成國庫業務風險量化分類一覽表(見表1)，包括業務風險類別、風險點、風險隱患、規范化控制等要素，此表最終按照國庫16大類風險要素梳理其風險點和風險隱患。

2.建立風險等級分類表。應用模糊的定量分析方法，建立簡易的風險評估標準體系—風險等級分類表(見表2)。根據國庫業務風險的嚴重性和可能性對風險進行識別及評級，分別用高、中、低風險描述，動態了解業務風險變化情況。

3.確定國庫業務風險關鍵控制項。按照國庫業務流程，借用風險分析“蝴蝶結”模型(Bowtie理論)，構建國庫業務結構關系圖(見圖1)，以梳理國庫風險事件為核心，全方位查找國庫業務的重點領域風險源。共查找國庫預算收入的收納、劃分、報解核算，國庫資金撥款，國庫收入更正，資金支付清算(包括大小額支付往來、TCBS系統、查詢查復、暫收暫付)，國庫資金退庫，國債兌付等六大國庫業務類型，以及會計基礎、賬務組織、重要事項審批、對賬管理、重要空白憑證、有價單證和印章、密押密鑰管理、核算系統管理內部監督等八項關鍵控制項，以確定重要領域流程測試[1]。

4.判明國庫部門風險管理目標所面臨的內外部風險。運用SWOT分析法，對國庫部門所面臨的內外部風險因素進行分析評價，借以確定剩余風險(見表3)[1]。

(三)建立定量評價標準開展定量測評

定量評價標準是開展風險管理審計必不可少技術要件，其功能在于用數據和事實說話，為內審人員的測評分析提供翔實依據。

1.編制量化評價標準表。基于平衡計分卡(BSC)設計國庫業務風險管理審計評價表，此表包括8個方面審計內容的評價項目、評價指標、評價標準、規定分值、審計結果、權重等要素，是審計評價內容的總結。評價項目分值采取百分制，風險點的評分以扣分計算，標準評分以量化分類設定的標準分值為主，同時兼顧定性判斷和抽樣判斷，包括調查問卷和測試題進行風險管理認知度測評等。以控制環境審計量化評價表為例(見表4)。

2.控制檢查。首先，設定抽樣檢查標準。抽樣樣本取決于被審計項目的風險程度、業務頻次、重要性等。根據業務頻次確定的抽樣量標準是:平均每年發生1次的業務或事項，應抽取1個樣本(即全年);平均每季度發生1次的，應抽取4個樣本;平均每月發生1次的，應抽取12個樣本;平均每周發生1次的，應至少抽取12個樣本;平均每日發生1次的，應至少抽取40個樣本;平均每日發生多次的，應至少抽取40個樣本。根據風險程度確定的抽樣量標準則主要參照杜邦(DU PONT)“沸騰壺”風險審計模型，其樣本抽查量為:一類風險抽樣為100%;二類風險抽樣為50%;三類風險抽樣為25%;其他風險抽樣10%[2]。通過抽樣統計、比率計算等數理方法對量化指標值進行計算和分析。

其次，明確評價步驟。第一步，針對量化評價表列明的評價指標(風險點)，檢查測評打分;第二步，計算出分類別的分值，填列量化評價表;第三步，利用層次分析法(AHP)設計出十六大類風險指標及相對權重在內的參數體系，確定一類風險權重70%、二類風險權重20%、三類權重10%，根據評價權重計算總得分;第四步，根據測評總分確定風險管理A、B、C、D四個等級評價標準。

再次，實施現場控制測試和實質性測試。根據國庫業務風險清單、審計評價表等，實施控制測試和實質性測試。控制測試:一是檢查國庫部門是否建立健全有關規章制度和內控制約機制，是否落實崗位責任制，是否明確崗位職責，崗位設置是否遵循相互制約、合理兼崗原則，制度規程是否涵蓋國庫業務運行和管理活動的關鍵環節;二是檢查是否嚴格執行各項內控制度并留有規范完整的記錄。實質性測試(用抽樣審計法):主要是對有關賬簿、報表、憑證、登記簿、日志等資料所反映的會計核算、國庫業務活動和事項進行審計，重點對高風險等級的風險點和風險領域進行檢查。(見表6、7)。

3.提出審計意見或風險建議。對檢查出的風險進行分析，針對每個所區別出的關鍵風險所存在的風險管理缺口提出具體控制建議，明確具體的風險應對措施，制定風險應對方案，將風險控制在組織可接受或可控的范圍內。

三、風險管理審計實踐的體會與改進

(一)轉變現有的審計模式和工作理念是開展風險管理審計的關鍵

以往中國人民銀行內審方法主要是以制度基礎審計為主，工作成果往往更多是羅列被審計單位在檢查中存在的問題，反映問題的著眼點主要是針對組織現有的控制制度，很少上升至從風險管理的角度進行整體評價。推行風險管理審計模式，就必須沖破這種傳統的審計模式和審計思路、方法的束縛。中國人民銀行海口中支此次審計過程，結合了風險導向審計和風險管理審計兩種方式進行。在構建風險清單和具體的控制檢查評估階段，這兩種方式均能結合運用。即首先在對國庫業務進行風險量化分析和評估的基礎上，對重要環節風險控制的有效性實施符合性測試;根據符合性測試結果，確定風險控制的可依賴度，以此確定實質性測試的范圍及抽樣比例;實質性測試過程中，遇到審計事項測試結果與預期不符的，通過擴大樣本抽樣量或及時調整審計計劃，進一步判斷風險隱患的大小或是否形成實質性的業務風險，進而提出建設性意見和建議。

(二)提高內審人員的素質，是開展風險管理審計的前提

內部審計具體準則第16號第七條要求內部審計機構或人員充分了解組織的風險管理過程，審查和評價其適當性和有效性。這就要求內審人員要有較強的發現風險、識別風險的能力，如果不能及時發現和識別風險，就無法評價和改善風險。就目前來看，基層央行的內審人員的素質還很難達到上述要求。因此，要做好內審轉型的各項準備，一是要加大學習與培訓力度，制定長遠的培訓計劃，加強后續教育和培訓工作，培育一批充滿創新活力的學習型內部審計團隊與審計通才，以學促審;二是要加強審計能力建設即依法審計能力、提高自身建設和管理能力。提倡能力建設，從內審流程上來講，就是要提高策劃內審項目能力，制定內審方案能力，審計敏銳性能力和破解項目能力，調查取證能力，撰寫內審報告能力等，以技提審;三是要引入競爭機制，建立職業準入和退出機制以及職業晉級制度，確立CIA資格認證在央行的內部地位，推行有利于內審人員潛能開發的激勵、考核機制，增強內部審計肌體的新陳代謝功能，以改帶審。

(三)根據業務特點建立風險清單和評價標準，是開展風險管理審計的技術保證

目標分解及事前評估階段建立風險清單和評價標準是非常重要的任務，它的標準性和規范性也確定了其將具有較大的實用價值，必須做實做細。但是根據國庫業務部門的業務特點設計的風險清單是動態的，計算分值時是以實際檢查的風險點為計算標準的，風險程度的認定也不是絕對的。如本文案例中介紹的控制環境評價標準并不能涵蓋所有的檢查事項，且應根據風險環境以及業務流程變化及時調整風險評價標準，這些都需要與被檢查單位共同研究找出并共同認可的評估標準和量化標準。

參考文獻:

[1]海口中支內審處.國庫業務風險管理審計試點方案[R].2009.

[2]馮晨光.杜邦沸騰壺風險審計模型對我國內部審計的啟示[J].審計月刊，2005(11):9.