金融内部稽核作为金融行业风险管理的一个重要综合部门,对提高内部风险管理能力与业务运行效率起着重要的作用;稽核部门独立于其他业务部门,直接对最高管理层负责,内部审计向管理层独立提供自己对其他业务部门业务操作的评价。
管理层在利用该评价之前,要保证内部审计提供的审计报告是客观、公正、正确的,确认其对被审计单位的评价建立在客观事实基础上,并对事实进行了合理的分析与评价。要获得这种工作执行情况,至关重要的是质量保证,要对审计质量进行必要的控制,以保证内部审计部门为它所服务的对象所信赖。充分发挥金融内部稽核在金融机构内部管理中的作用,就需要建立金融业内部稽核质量控制制度。
内部稽核质量控制的核心是使稽核审计工作符合适用准则,适用准则不只是简单地符合所制定的政策和程序,还包括内部审计部高效率和有效地执行工作。
内部稽核质量控制的原则是:制定一套业务操作程序与质量标准,使稽核工作有标准可依,这些操作程序与质量标准要有可操作性、可检查性;同时要建立保证该程序与标准得到实施的监督措施;落实质量控制的责任制。
内部稽核质量控制是通过制订可执行的、可衡量的、有效的质量保证程序实现的,使审计工作符合有关内部审计专业实务标准的要求。质量保证程序包括几个层次:审计部门的职能与机构、审计工作的业务标准控制、审计工作的监督。
金融机构的内部稽审应包括两个层次:合规性审计与管理性审计。二者不是分割的,而是达到同一目的的两个层次。合规性审计通过对业务的实际运行情况与外部制度、内部制度要求的比较,评价业务部门的工作;管理性审计通过对理论上最优的运行方式与实际内部制度、业务实际运行的比较,提出内部控制制度的不足之处、业务操作中应该加强的控制点、业务操作的方式方法中需要改进的方面。在金融业风险控制愈来愈得到重视的宏微观环境下,金融内部稽核正逐渐将工作重心转向管理稽核,从简单的查帐查弊转向直接促进全行、全公司管理目标的实现。
内部稽核管理职能的发挥是通过组织机构设置实现的。建立在以往重视合规性(强调财务稽审)基础上的审计部门内部处室设置已不能满足以管理审计与合规性审计并重的职能变化的需要,因此需对内部处室重新设置,使内部稽审覆盖到金融企业的各个业务操作以及业务管理部门,检查每个部门完成全公司目标的效率与业务操作风险;而且稽核部门内部应设立监督检查处室,根据稽对稽审工作全过程进行再检查与控制,落实稽审工作责任制,保证稽审工作的质量。
稽审工作要通过稽审人员来实现。要对稽审人员的素质结构进行培训与调整。从总体素质来说,稽审人员不能只会查帐,应在审计方面受过充分训练、而且要有足够的管理分析经验和能力,要有识别存在的问题或潜在的问题的能力,以及能够确定是否要采取进一步的研究或需要得到协助的能力;从结构上来说,稽审部门应有分别对全公司(全行)所进行的各项业务都比较熟练的人员,以保证每项审计都有人员上的保证。
(一)建立稽核审计项目选择机制
以往审计项目的选择上注重审计项目数量的多少与任务的完成,没有按照各类业务操作的质量特征、风险大小和重要性程度选择,客观上也没有对审计项目的选择建立评价标准,所以常常出现稽审工作的数量与全公司业务风险防范不相衬的情况。需要通过建立科学的项目选择机制,减少主观影响带来的项目选择的随意性与偏差,直接体现管理效率与有效风险防范要求,提高了稽审工作的效率与作用。
内部稽审的目的是协助该组织的管理成员有效地履行他们的职责,要根据管理层的管理思路与工作重点的变化,确定并及时调整内部审计项目的选择机制。科学的项目选择机制包括两个层次:一是区分确定常规性稽核与非常规性稽核的范围,这是通过对各类业务性质的重要性分析得到的,如离任审计是性质上重要的例行审计;对于常规的审计项目应制定相应的操作规程,对审计的时间、范围、方法等进行具体规定。二是制定非常规性稽核的选择机制,它是通过对各类业务操作中心的风险大小即数量上的重要性判断得到的。稽核部门应建立全方位的基础业务信息库,设计稽审监控指标体系与信息分析体系,非常规性的稽核选择机制是指通过对全公司(全行)的各项业务按重要性、风险性的分类分析,建立一套监测与预警指标体系,及时反映全公司(全行)的业务操作风险性、风险概率、风险来源,作为选择实施重点稽核的依据。这些指标分析体系应设计成一个动态的、具有前瞻性的、及时反映内外发展情况、反映金融机构经营管理最新要求的系统。
(二)制定稽核审计项目具体的操作规程与质量标准
1、制定工作的委派原则。
在做出稽审项目选择以后,应将具体深化工作(现场稽核或研究分析)委派给适当的稽审人员进行,应以最好地实现本次审计目的为原则配备人员。对一套审计工作所需要的各岗人员,制定业务技能要求与层次要求基本原则。稽审部门主管应根据对人员素质与能力的评价以及本次稽审的具体技能要求确定所委派的人员。并将工作完成情况做为评价委派质量的标准,稽审部门主管对工作委派承担责任。
2、明确编制稽审方案的依据、方法与质量要求。
稽核审计方案是实施审计的基础与依据。根据审计项目选择的依据(预警指标),确定通过本次审计计划达到的管理效果与工作质量要求。稽核审计方案由接受本次审计任务委派的小组负责起草,包括稽核目的、稽核依据、稽核方式与范围、时间安排。小组与部门审查人对方案的有效性负责。
稽核方案由稽核部门负责人审查通过。应审查以下内容:(1)稽核目的是否根据项目选择的风险因素与效率因素确定;(2)稽核依据应明确反映稽审人员评价被审计单位的标准;(3)稽核方式与范围应能保证与被稽审项目的特点相适应、最有效率地完成目标;(4)时间安排应能使工作有效率并保证质量地完成。
3、制定审计实施的制度与质量标准。
通过制度建设明确完成一项审计所必需的步骤(初步了解、细化方案、检查内部制度、证实性抽查),对每个步骤需得出的审计判断与质量标准进行制度化规定,接受委派的审计人员在每一个步骤所做的工作都要形成文字记录,以便考核与控制其工作进度与质量。接受委派的稽审组人员(稽审员、复核、组长)对审计过程的质量负有直接责任。
(1)明确初步了解的方式、程度与深度要求。
初步了解方式主要有查阅稽审信息库中关于被稽审对象的资料、向对方调阅、与对方座谈、向其他与被审计单位有业务联系的部门了解。调阅资料应附清单,座谈应至少有两个稽审员参加并在座谈记录上签字。初步了解应了解被审计单位的职能、机构设置与人员配备;各级人员的管理意识、风险控制意识与业务素质;业务种类与内容、有关规章制度、进行业务操作时的基本工作程序;
(2)根据初步了解所反映的基本情况,进行方案细化。
细化方案主要是通过一种对应该是怎样做和实际是怎样做的对比方法得出的。细化的方案应包括具体的评判标准(即应该怎样)与具体检查要点。评判标准是在做出评价和/或核实时所使用的准则、措施或所期望的事物(什么是应该有的)。评判标准包括对被稽审部门职能、机构设置、人员配备、业务规章制度、业务操作程序等方面应当是什么。具体检查要点要反映被稽审部门实际职能确定的依据、现有职能是否与管理目标一致、机构设置是否能满足实现职能的需要、人员配备是否满足实现职能的需要、业务规章制度是否规范了可能产生的风险和影响管理效率的控制点、业务操作程序是否明确在各个环节的操作依据、方式、标准、责任承担人、该业务的操作方式是否符合效率原则。
(3)根据细化方案进行查证,检查被审计单位实际怎样。
调阅反映其职能分工的文件及实际执行各职能的业务记录来判断职能确定与执行情况;调查各内部机构之间业务的交叉、磨擦与衔接来判断内部处室设置的效率;调查各人员的人事资料并座谈来判断执行业务的人员素质;调阅各类具体业务操作资料(事实证据),按照其业务流程的各个步骤,检查各个控制点的操作依据、业务运行与管理方式、涉及有关业务人员主观判断的事项是否有依据、依据是否得到执行。
4、制定工作底稿质量标准。
(1)明确工作底稿形成条件与标准:
工作底稿必须以充足的事实为依据,被审计部门提供的汇报材料和判断不足以形成工作底稿,工作底稿中要据实陈述检查中的事实情况,所发现的问题也必须是以事实为根据的、客观的,应在工作底稿后附相应的事实依据。
(2)根据判断标准与实际情况的差别提出被审计部门所存在的问题:
问题的提出不能脱离工作底稿中所列示的事实依据。问题应能合理地从所查实的事实中推出。
(3)分析问题(所期望的和实际存在之间的差异)存在的原因:
是客观因素还是主观因素;是什么层次的原因,如职责明确程度、机构设置、人员素质与结构、业务操作工具、各部门之间的协调不足。工作底稿应反映审计人员做出分析判断的逻辑过程。
(4)问题的影响(重要性):
指出所发现的问题的性质;使被审者组织和/或其他人将碰到的风险或敞口;改变这种状况的成本与效益(长期性、短期性);不改变这种状况的后果。
5、建立复核制度。
制定复核岗的业务素质要求、需要复核的范围、各项复核的工作标准与要点。复核岗应由稽核经验丰富、判断力较强且客观的稽审员承担;复核岗对每个审计人员的每份底稿都要进行认真的复核;检查审计人员的审计事实是否足以形成工作底稿,事实与所得出的结论的逻辑关系是否正确,对问题的分析是否正确,审计判断是否正确。
6、制定审计报告制度。
对审计报告写作的程序、依据、结构、方法提出要求。报告应根据工作底稿的事实基础、分析及各底稿反映内容的重要程度综合形成;报告中所提出的问题应对工作底稿所反映的问题进行分类,根据问题提出针对被稽审部门的改进建议,建议要有建设性、可行性、操作性。审计报告提出的程序应是:由接受委派的小组撰写,并充分讨论,提交稽审主管审批通过。
进行质量控制
(一)稽核审计人员应及时将工作底稿与被审计单位交换意见
不同意见应记录,并详细记录发生不同意见的性质、分歧点,不能根据被审计单位的意见随意改变工作底稿,避免“购买审计政策”情况的发生。对被审计单位的意见进行分析,并据以检查审计过程及底稿中的不足。
(二)报告反馈
形成的审计报告提交给管理层,通过管理层的反馈意见对审计工作是否达到管理者要求进行评价,总结经验与不足。
(三)利用外部审计力量对内部审计进行质量监督
根据中国人民银行对金融机构内部控制制度检查与对内部稽核审计部门的检查以及审计署的财务审计的结论,判断内部审计工作的效果。
