浅论内部审计风险与控制

一、内部审计风险理论概述（包括涵义、特征、内部审计风险内容探讨）

二、内部审计风险的成因

三、内部审计风险的防范与控制

内 容 摘 要

内部审计作为内部控制的重要组成部分，在公司治理和揭露财务造假中扮演着十分重要的角色，随着我国市场经济的发展，企业经营方式的复杂和企业信息使用者的多元化，审计风险已成为审计理论体系中的一个十分重要的概念，就内部审计而言，内部审计风险日益增加。为了增强风险意识，防范和规避审计风险，本文拟从内部审计风险涵义、特征、形成原因及防范与控制等方面内容予以探讨。

关键词：内产审计；风险；成因；防范与控制

浅论内部审计风险与控制

无论是国际经验还是国内实践看，从根本上解决企业会计信息虚假问题关键在于公司内部，外部审计和政府监督只能起到“配角”作用，随着安然、世通申请破产保护、安达信退出审计业，美国各界人士的舆论渐渐聚集在探讨产生这些财务丑闻和欺诈行为的根源—一些企业的商业道德沦丧，良心泯灭上。在这个问题上，人们的共识是外部环境是促进企业稳键有序发展的“外因”，而促进企业稳键有序发展的“内因”是企业是否存在健全有效的内部控制机制。内部控制机制是企业自身的“免疫系统”，如果“免疫系统”被破坏了，任何“外因”都发挥不了作用。由于内部审计既是内部控制机制的重要组成部分，又是监督与评价内部控制的主要手段，它在企业经营管理中处于极其重要的地位，因此，内部审计风险也就日益增加。

一、内部审计风险理论概述

（一）、内部审计风险涵义

内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法和效益的行为，以促进加强经济管理和实现经济目标。内部审计风险，是企业内部审计组织或人员在实施审计的过程中无意地对存在重大的错报或漏报的会计报表以及对具有重要影响的经营活动审计后发表的不恰当的审计结论，造成审计对象和与之相关方面遭受损失或损害，并由此引起审计主体承担这种责任的风险。

（二）、内部审计风险的基本特征主要表现如下：

1、客观性。所谓风险，是指在一定条件下和一定时期内可能发生和各种结果的变动程度，是事件本身的不确定性，具有客观性。故审计风险是客观存在的，无论审计人员如何努力，审计风险不会控制到零的程度。也就是说,审计风险发生是必然的,不可避免的。

2、普遍性。审计风险存在于所有审计项目和整个审计过程中，任何一个环节出现失误，都可能导致审计结论与预期出现偏差，形成审计风险。

3、潜在性。审计风险无法通过数学计算精确得出，只能依赖于职业判断；同时,审计风险的发生是以审计责任的存在为前提,而审计责任决定了审计风险在一定时期内具有潜在性。在实际工作中,尽管审计人员可能发表了不恰当的审计意见,只要没有造成不良后果和损失,风险尚停留在潜在阶段,还不能称之为实在意义上的风险。因此,审计风险是一种可能的风险，它存在一个显化的过程，只有当审计人员被追究失误责任并承担风险损失时，才表现为实在性。

4、可控性。虽然审计风险是客观存在的，并且贯穿于所有审计项目和整个审计过程中的每一个环节，一旦发生将给审计组织和人员造成有形和无形的经济及名誉损失,但是这并不意味着审计人员在审计风险面前无能为力，它是可控的。只要审计人员保持应有的职业谨慎，充分运用职业判断，对审计风险进行评估，制定并实施合理的审计程序和方法，就可以将其降低至可接受的水平。

（二）内部审计风险内容探讨

企业内部审计在本单位行政主要负责人领导下，为促进企业经营目标的实现和经营管理的加强，对企业内部的经济活动进行监督。评价、审计后发表审计意见，出具审计报告。但由于各方面原因，审计意见会出现不恰当或不正确的问题，从而导致产生内部审计风险的可能性。

1、企业日益复杂的经济关系引及组织机构使审计风险增加。为适应建立现代企业制度的需要，大多数大型国有企业在改制、重组中建立了企业集团，包含母公司、子公司和孙公司；母公司、子公司和孙公司在经济上都实行单独核算，投资的多元化，经营的多样化，关联交易增加，经济往来日趋复杂，加之内部经济关系有的尚未理顺，内部审计制度不够完善等，使得内部审计人员判断问题缺少依据，获取正确审计意见的难度增加，审计风险加大。

2、内部审计的相对独立性特点使审计风险增加。内部审计与企业同呼吸共命运，其独立性和超脱性是相对的，在提出审计意见时既要符合国家利益和政策，又要维护企业合法利益；既要考虑合规性，又要注重合理性，还要考虑企业的经营环境及实际情况等。此外，在对审计中发现的问题需到外单位进行调查核实时，内部审计缺乏相应的条件和手段。这些都会使发表审计意见不恰当或不正确的可能性增大，形成审计风险。

3．被审计单位制度不健全引起审计风险增加。有的被审计单位内部控制制度不健全，会计核算不规范，发生财务错弊的可能性增大，在此基础上提供的会计资料的真实性、完整性存在问题；内部审计人员不可能在短时间内对所有的经济事项进行全面审查，容易出现审计疏忽和审计遗漏，得出的审计结论容易出现偏差，产生审计风险。

4．企业对内部审计信息的过分依赖引起审计风险增加。企业领导及有关部门对内部审计十分重视，对审计信息和审计结果的依赖程度不断增强，期望值高，希望内部审计在加强企业经营管理，提高经济效益方面能提出有价值的审计建议，对被审计单位存在的问题能查清查实，对离任及接任领导的经济责任能划分得清清楚楚。总之，对审计提供的审计信息及审计结果要求质量高，可靠性强。而实际工作中很难达到期望要求，因而产生了期望差距，形成审计风险。

5．审计人员自身原因导致审计风险的增加。审计人员如果专业技术能力不强，对复杂的问题就不能作出正确的判断，对审计事项就不能选择科学先进的审计方法，运用必要的审计程序完成审计任务。由于审计人员素质的影响，容易出现审计疏忽、差错审计判断不正确、审计方法不当及程序不到位等问题，导致审计信息失真及审计意见不正确而形成审计风险。

二、内部审计风险的成因

形成内部审计风险的因素很多,但主要来自以下几个方面:（一）、内部审计机构组织形式不合理

我国目前企业领导对内部审计在组织内部应有的地位、作用认识不足，重视不够，把内部审计放在可有可无的位置，企业内部审计机构大多由总会计师或主管财务工作的副总经理领导，内部审计人员无法主动地选择审计领域，只能被动地接受管理者提出的审计要求，同时由于被审计部门是内部审计人员所在单位的组成部分，客观上造成内部审计人员的工作缺乏应有的独立性和权威性，导致审计人员无法独立、客观、公正地处理审计业务，出具审计报告，从而引发审计风险。

（二）、内部审计法规体系不键全

内部审计法律法规体系不健全，依法治审不力。国家审计有《审计法》作为法律依据；社会审计，国家颁发有《注册会计师法》；而关于内部审计只有审计署颁发的《审计署关于内部审计工作的规定》，并未上升到法律的高度，导致内部审计与国家审计、社会审计地位上的差异，使得内部审计机构和人员得不到应有的重视。

内审法律法规体系不健全,依法治审不力。国家审计有《审计法》作为法律依据;社会审计,国家颁有《注册会计师法》;而内部审计目前只有80年代审计署颁布的《关于内部审计工作的规定》,法律级次明显偏低,可操作性不足,以此来指导现代企业内部审计工作,明显存在滞后现象。显然,内部审计法律依据不充分、不健全,或出现空白,使得内审人员在进行审计时,只有依据经验和知识进行分析判断,在某种程度上影响了审计结论的权威性和正确性,因而增大了审计风险。（三）、内部管理制度不键全

内部审计管理制度建设及执行情况是内部审计的前提和基础。健全有效的内部管理制度能及时发现和控制企业经济活动中发生的各种差错和舞弊。反之,就会增加差错和舞弊的可能性,使得审计人员难以发现经济活动中存在的差错和舞弊而形成审计风险。如企业内部某个部门私设“小金库”,搞真假两套账,内外串通,如果没有线索,审计人员就有不能查清事实真象的风险。

 （四）、内部审计对象和审计内容的复杂化

随着市场经济的发展，企业改制、重组成为国有企业改革的重要方面，由于企业的资产重组，必然涉及到兼并和收购、改制和改组等问题，内部审计对象变得日趋复杂，为内部审计带来了更多的困难，审计风险也随之增加。另一方面，内部审计的内容不仅从传统的财务审计发展为效益、管理、经济责任审计、经营决策审计、经营风险审计、投资审计等，还要预测新形势下的兼并、联合、分拆以后的偿债能力和赢利能力，廉价企业是否有效益，提出是否可行的意见书供领导决策参考。这对内部审计人员提出更高的要求，审计人员作出正确结论的难度也就越大，审计风险也就不可避免的存在。

（五）、内部审计人员综合素质和业务能力的局限性

审计专业判断贯穿于整个审计工作过程。审计人员完成审计项目，需要在多方面运用专业判断：确定重要性水平；识别重要的审计目标；评价审计风险；选择审计程序；评价审计证据；评价分析性程序的结果；评估相关责任主体所做出的陈述或说明；发表审计意见。在审计计划阶段，审计人员应当保持应有的职业谨慎，合理运用专业判新，对审计风险进行评估，制定并实施相应的审计程序，对重要性水平作出初步判断以确定所需审计证据的数量。在审计实施阶段，需要更多地运用专业判断，如审计抽样的样本选择，抽样结果的可信赖程度，审计程序是否能实现审计目标，以及已获取审计证据的充分性、适当性、符合性测试和实质性测试的性质、时间、范围等等。在审计终结阶段，实施最后的质量控制，在复核审计工作底稿，发表审计评价意见，定性、处理、处罚等等环节，尤其需要运用审计人员的专业判断。审计专业判断的正确与否，直接关系到审计事项结论、审计意见及审计决定的正确与否，它是形成内部审计风险的重要因素之一。目前我国内部审计人员整体素质不高，缺乏专业审计知识，审计专业判断和识别风险的能力较差，在审计工作中容易造成专业判断失误，使审计结论与实际不符，导致审计风险。

三、内部审计风险的防范与控制

 内部审计的产生与发展有其内在动因和自身规律。内部审计风险的防范与控制，应在对内部审计自身特点与规律分析的基础上，针对内部审计风险形成的因素，从以下几个方面加以防范与控制，力求将审计风险降到最低水平，以实现企业经营目标。

（一）、建立健全独立的内部审计机构

独立性是审计工作的灵魂,不能有效保证审计机构和人员在组织上的独立性,在业务工作中的自主性和权威性,就不能保证审计质量和规避审计风险。由世通公司破产审查中发现：该公司内部审计对董事会和首席财务官负有双重报告责任，内部审计机构与首席财务官的报告关系损害了审计的独立性，内部审计政策和程序都有局限性，管理层对内部审计的实施、范围和结果报告施加了太多的影响，从而导致世通公司内部审计的失败。因此，要使内部审计实现其职能，发挥其作用，必须建立专门的内部审计机构，独立于其他职能部门；设置专职的审计人员，不参与或负责其他职能部门的管理活动和业务活动，置身于具体的业务活动之外，不直接承担经营责任；在组织形式上，实行公司制企业中，内部审计应由审计委员会和总经理双重领导。2002年证监会和经贸委发布的《中国上市公司治理准则》中，要求上市公司在董事会设立包括审计委员会在内若干专业委员会。一般讲，审计委员会应由董事、具有财务或工程技术专长的内部委员和有特定技能的独立人士构成的外部委员所组成。在未实行公司制的企业中，内部审计机构可以由企业总经理直接领导，充分保证内部审计的独立性。只有这样，审计工作的开展才能得到企业的支持，审计的质量才有保证，审计人员发表意见的公正性才不会受到影响。

（二）、加强内部审计的法规建设

制定内部审计的法规和条例，从法律上进一步明确内部审计的重要性和必要性，明确内审人员的法律责任和权利，明确内审机构的地位、结构、层次，制定相应的实施细则和行业、部门内审规章制度，使内部审计纳入法制化轨道，用法律保障内部审计的独立性。

（三）、建立良好的内部运行机制，完善内部质量控制制度。

建立良好的内部运行机制，完善内部质量控制制度，堵塞管理中的漏洞，是控制风险的有力保证。各内审机构应在充分综合考虑业务规模和范围、组织形式、分支机构设置及区域分布、成本与效益原则、人员素质及构成等其它影响控制政策和程序因素的基础上，建立有效的内部运行机制和质量控制制度。

1、行业自律机制。我国自1998年国务院机构改革以来，由内部审计协会负责各行业内部审计的协调与指导工作。内部审计协会是各企业内部审计机构的行业自律组织。在现代经济社会，企业为了在市场竞争中求得生存与发展，必须重视塑造自身的社会形象，维护企业信誉，提高社会地位。为此，企业具有对自身遵纪守法、照章纳税、保行业自律机制。我国自1998年国务院机构改革以来，由内部审计协会负责各行业内部审计的协调与指导工作。内部审计协会是各企业内部审计机构的行业自律组织。在现代经济社会，企业为了在市场竞争中求得生存与发展，必须重视塑造自身的社会形象，维护企业信誉，提高社会地位。为此，企业具有对自身遵纪守法、照章纳税、保护投资者利益和社会环境作出客观公正评价的内在需求，这正是内部审计协会对各企业内部审计工作进行指导并予以评价的基础。内部审计协会一方面要为协会成员传播内部审计信息和知识，致力于提高内部审计人员的职业道德水平和业务素质，研究内部审计工作的模式，不断开创内部审计工作的新局面；另一方面，各企业内部审计机构要积极主动参与内部审计协会活动，支持内部审计事业的发展，为防范内部审计风险营造一个良好的职业环境。

2、风险评估机制。内部审计风险的产生，除了审计人员自身的业务素质和职业道德水平之外，最主要的来自企业的经营风险和财务风险。因此，审计人员协助企业管理者进行风险控制和管理，建立风险评估机制是降低内部审计风险的有效途径。风险评估就是结合企业重大经营决策，在预期的可能状态下，对实施方案结果风险的评价。风险评估注重向管理者提示企业所面临风险的性质及其强弱，以期管理者采取相应对策，回避或降低风险，而不是对风险的控制。

3、交互审计机制。在大型企业集团中，所属的控股子公司以及设置的分公司或分支部门众多，为适应这种企业组织结构中的内部经营关系、财务关系和审计监督关系，需要建立多级内部审计制度，并形成交互审计机制。在这种机制下，各级企业组织设置内部审计机构，在上级组织指导下开展审计业务，同级企业组织每年（或半年）在上级组织统一领导下，对内部审计业务质量进行交互审计，以交流审计资源，总结审计经验，揭露审计工作中存在的问题，进行审计工作评比，以推动审计工作水平的提高。在整个企业集团中形成自审、互审、抽审的交互审计机制，有利于调动内部审计人员工作积极性，增强各级企业组织自我约束、自我监督的意识，降低内部审计风险。

4、交流沟通机制。内部审计作为企业的职能管理部门，一方面要接受国家审计的业务指导，为维护国家经济利益服务；另一方面又要在企业管理当局的领导之下开展工作，为维护本企业的经济利益服务。在这种双向性的责任导向中，内部审计与被审计对象之间，并非单一的监督与被监督关系。内部审计要摆正自身位置，转变思想观念，树立为企业管理服务，为提高企业经济效益服务的职业形象，提高企业领导和各职能管理部门对内部审计的认识。通过交流和沟通，积极向企业领导者宣传企业与国家在根本利益上的一致性，当国家利益与企业利益发生冲突时，唯有在守法经营、维护国家利益的前提下，才能提升企业的社会信誉，更好地维护本企业的利益。通过交流和沟通，使企业领导者真正认识到内部审计是自己的参谋和助手，在维护企业合法权益和提高经济效益方面有着不可替代的作用，从而取得企业领导的理解与信任，取得各职能管理部门的支持与配合。

5、激励约束机制。为了考核内部审计人员的业务水平，激励内部审计人员的工作热情，在企业中应结合自身特点制定一套审计工作质量考核标准，包括审计工作效率、审计程序规范、审计风险管理、审计效果和审计职业道德等。在审计委员会的统一组织下，对内部审计人员及其审计业务质量进行定期评比考核。根据考评结果对审计工作成绩显著的内部审计机构、审计工作质量优秀的特定审计项目和表现突出的内部审计人员予以精神和物质奖励，并与内部审计人员的晋级升职挂钩。对玩忽职守、内部审计业务质量低下，造成企业损失或影响企业社会信誉的内部审计机构和相关内部审计人员予以行政和待遇处罚，对造成重大过失的内部审计人员应将处罚结果备案，根据过失性质和程度决定其去留；对已取得注册内部审计师资格的人员，应将对其工作表现的评价（奖励或处罚）报送地方内部审计协会备案，从全行业的角度激励和约束内部审计质量的提高。

6、质量控制制度应从全面质量管理和单个项目质量管理两个方面构建。全面质量管理应着重从职业道德原则、专业胜任能力、工作委派、分级督导制度和对全面质量控制政策与程序的执行情况的监控等方面入手建立控制程序，以保证审计质量，把风险水平降低到可接受水平；单个项目质量管理应重点建立主审负责、审计底稿三级复核、审计部门主管巡视、审计项目质量考核等方面的制度，以把好每个审计项目的质量和风险关，以保证审计计划的顺利进行，降低审计风险。 （四）、充分运用现代审计技术和工具，提高审计质量 

内部审计人员活动于本企业，不仅熟悉企业的财务运作、会计核算，而且了解企业的生产、经营管理等活动，容易发现问题，并有能力参与评估企业存在的风险。因此，内部审计人员应树立风险意识，防范可分散的经营风险和财务风险。针对内部控制薄弱环节设立风险控制点，在推动企业建立风险管理的理念中发挥作用。在运用现代审计技术和工具方面，内审人员要冲破传统审计思路和方法的束缚，从思想上、观念上深入理解审计风险，改进审计方法，规范审计程序，监督评价并重，寓监督于服务之中。在审计模式上：从以单纯财务收支审计为主向以经营管理审计、加强内部控制和防范风险为主转变；在审计手段上：以手工操作为主向以计算机和网络技术为主转变；在审计行为上：从审计行为不规范向规范化和科学化转变；在审计方法上引进目前最先进的以风险为导向的风险基础审计模式，以风险的分析与控制为出发点，以保证审计质量为前提，统筹运用符合性测试、实质性测试、分析性复核等方法，综合各种审计证据，以控制审计风险。内部审计人员还应该定期对企业的道德文化氛围进行评估，并评价企业设立的制度、程序、规定在实现法律法规、道德规范和经济目标方面是否适当有效。

（五）、完善内审机构建设，提高内审人员综合素质

高质量的审计来自高素质的审计队伍，企业内部审计制度是否真正能为企业实现其最终目标服务，不仅要有完善的内部审计标准作为内审人员的行为规范，更重要的是要有一批合格的、高素质的内部审计人员。审计工作专业性很强，审计人员只有具备相应的专业知识和技能才能胜任其职责，保证审计任务的顺利完成。建设好一支高素质的审计队伍，要求内审人员具有良好的职业道德、较高的政策水平和较强的专业判断能力。一是内审部门要制定长远的培训计划，加大培训力度，培养内审人员坚持实事、客观公正、廉洁奉公的职业道德；二是实行岗位资格和后续教育制度，企业内部审计人员必须通过国家统一考试才能上岗，每年必须有一定时间的后续教育，并且考试合格方能通过年检，使其不断更新知识，提高分析、专业判断和预测经济活动的能力，以保证审计质量，实现审计目标，尽最大限度降低内部审计风险。

参考文献：（1）、财政部注册会计师考试委员会办公室编、《财务成本管理》、

北京、经济科学出版社出版、2003年3月

（2）、财政部注册会计师考试委员会办公室编、《审计》、北京、经济科学出版社出版、2003年3月