樣本量的選擇：控制測試與風險評估的實踐

近期，張家界市中支內(nèi)審部門對發(fā)行庫業(yè)務及管理進行了風險導向?qū)徲嫛Ｔ趯徲嬤^程中，審計人員發(fā)現(xiàn)應該重點關注可接受總體偏差狀況與樣本量的抽取、充分考慮在評價控制設計和獲取其得到執(zhí)行的審計證據(jù)的同時測試控制運行有效性，合理運用風險矩陣圖確定風險評估系數(shù)，以有效提高審計效率，準確評估剩余風險。

一、以可接受總體偏差為參數(shù)，合理選定樣本空間

張家界市中支發(fā)行庫業(yè)務及管理的目標是“總量滿足、結(jié)構(gòu)合理、票面整潔、持有者放心”，其策略選擇就是依托現(xiàn)有內(nèi)外環(huán)境實現(xiàn)并保持總行一級庫標準。審計組圍繞這一目標和策略選擇，在充分了解內(nèi)外控制環(huán)境對發(fā)行庫業(yè)務及管理的影響、具有潛在負面影響的事項以及發(fā)行庫工作人員所反映的日常工作容易忽視的環(huán)節(jié)和關鍵點的基礎上，根據(jù)風險特征將發(fā)行庫業(yè)務及管理風險劃分為法律風險、聲譽風險、資產(chǎn)風險、信息技術風險、效率風險和操作風險六大類風險，從而按照適當性完整性的特征將整個發(fā)行庫業(yè)務及管理確定為抽樣總體，依據(jù)風險層次特征確定采用分層隨機抽樣方法選取樣本。

根據(jù)審計要求，結(jié)合審前調(diào)查，審計人員事先所確立的標準為：可接受的信賴過度風險為10%，預期發(fā)生偏差的數(shù)量為1，可容忍偏差率為5%。基于泊松分布統(tǒng)計模型：樣本量（n）=可接受的信賴過度風險系數(shù)（R）/可容忍偏差率（TR）=39/005=78（個）（依據(jù)《控制測試常用風險系數(shù)表》查得R數(shù)據(jù)）。

根據(jù)風險控制要求，審計預期無一例偏差，根據(jù)公式：總體偏差率上限（MDR）=風險系數(shù)（R）/樣本量（n）=23/78=295%。亦即有90%的把握保證總體實際偏差率不超過295%，大大低于審計人員設定的可容忍偏差率5%，于是可作結(jié)論：總體可以接受。

從而，審計人員將發(fā)行庫業(yè)務及管理風險劃分為法律風險、聲譽風險、資產(chǎn)風險、信息技術風險、效率風險和操作風險六類，按屬性分層為22個風險點，細化成82個分布點，與測試要求的78個樣本量基本接近，為開展下一步審計業(yè)務奠定基礎。

二、以多項審計方法為基礎，充分開展控制測試

控制測試是指在了解內(nèi)部控制的基礎上，審計人員對被審計單位內(nèi)部控制的有效性進行的測試。在測試控制運行的有效性時，審計人員充分關注控制在審計期間不同時點如何運行、是否得到一貫執(zhí)行、由誰執(zhí)行、以何種方式執(zhí)行，并在了解內(nèi)部控制的同時執(zhí)行內(nèi)部控制有效性的測試。由于控制測試是控制是否有效運行的主要證據(jù)來源，依據(jù)審慎原則，審計人員所關注的可接受信賴過度風險應確定在相對較低的水平上。在進行張家界中支發(fā)行庫業(yè)務風險審計中，審計人員采用的可接受信賴過度風險水平為10%，為相對較低水平可接受信賴過度風險的上限（相對較低水平在數(shù)量上是指5%——10%），因此審計抽樣必須相對擴大樣本規(guī)模，從而有效降低抽樣風險。在實施審計過程中，審計人員通過對每一項內(nèi)部控制的有效性開展統(tǒng)計分析并確定效果級次，再開展動態(tài)觀察、問詢、查詢記錄、統(tǒng)計分析等，在可接受信賴過度風險的基礎上力求對執(zhí)行力予以準確評估。以庫款調(diào)運業(yè)務為例，基于上述選取的樣本空間，審計人員通過采用隨機抽樣方法再抽取45個樣本，對該樣本空間中每次押運人員的年齡結(jié)構(gòu)進行列表分析，發(fā)現(xiàn)“押運人員年齡偏大且身體狀態(tài)偏弱”這一特征，與管理層、相關人員及審計人員“對突發(fā)事件的應激反應敏捷能力明顯偏低、風險較大”的預判結(jié)果相印證。

三、以風險矩陣圖為依據(jù)，準確評估剩余風險

樣本量的合理選定，奠定了風險預期的基礎——對固有風險的剩余風險主要是從兩個方面進行評估，即某個風險導致不利的結(jié)果的可能性以及不利結(jié)果的大小。風險評估意在識別發(fā)行庫業(yè)務及管理全流程的剩余風險，即未能被控制（或無法控制）的潛在威脅。根據(jù)風險控制理論，剩余風險的大小與發(fā)行部門對風險的管理和控制有效性呈反向變動，即發(fā)行部門對風險的管理和控制越有效，剩余風險就越小；發(fā)行部門對風險的管理和控制越失效，剩余風險就越大。風險評估的關鍵在于根據(jù)合理性和執(zhí)行力兩個因素，結(jié)合審前調(diào)查收集的信息，運用風險矩陣圖確定相應的評估系數(shù)。

評估系數(shù)的合理與否直接影響著審計風險的大小，為此，審計人員圍繞如何盡量逼近客觀存在的威脅進行了多次測試，并嚴格執(zhí)行了詢問、分析、觀察、檢查等評估程序，就內(nèi)部控制（認定直接相關的控制以及這些控制所依賴的與認定間接相關的控制）在審計期內(nèi)或特定時點上的運行有效性及監(jiān)測手段的合理性獲取充分、適當?shù)膶徲嬜C據(jù)，最終確立了各方可接受認可并基本符合實際情況的評估系數(shù)及整體風險水平（見下表）。結(jié)合整體層面分析的結(jié)果，對固有風險、內(nèi)部控制風險、調(diào)整項風險分別進行評估后的結(jié)果為3882分，并作出本中支發(fā)行庫業(yè)務及管理屬于較為安全級別的結(jié)論，這與張家界市中支發(fā)行庫作為總行一級庫的客觀情況基本相符。

四、審計實踐中亟待破解的困境

此次開展發(fā)行庫業(yè)務風險審計，審計人員在嚴格按照審計方案實施審計的實踐中，面臨幾大亟待破解的困境：

一是風險系數(shù)的客觀量化存在難度。在風險評估環(huán)節(jié)中，對風險水平（風險系數(shù)）的估計與把握是首要任務，而這依賴于審計人員對風險點的識別具有的完整程度與風險估量的準確性。審計方案中《評估系統(tǒng)的量化》對此僅有指導性意見，審計人員需結(jié)合管理層的風險偏好，運用職業(yè)經(jīng)驗來選擇風險系數(shù)，增加了客觀量化的難度。

二是測試控制的自我評估基礎薄弱。在測試控制運行的有效性時，由于被審計單位對日常的內(nèi)控情況未能定期開展自我評估，即在崗位職責里未將內(nèi)控評估工作由誰執(zhí)行、以何種方式執(zhí)行的責任明確，導致審計人員缺乏第一手資料，增大了審計成本和難度。

三是風險評估的主觀判斷比重過大。由于樣本總體規(guī)模、抽樣方法運用等局限，基于評估系統(tǒng)量化數(shù)據(jù)疏松、連續(xù)性不夠，在風險評估過程中審計人員需要大量運用職業(yè)判斷，使風險評估的結(jié)果所體現(xiàn)的審計人員的主觀因素色彩較濃，客觀上增大了審計風險。