浅析风险导向内部审计与内部控制测试之关系.doc

浅析风险导向内部审计与内部控制测试之关系XXXX公司【内容摘要】风险导向内部审计与内部控制测试的关系，风险导向内部审计的审计风险及对内部控制测试的要求，转型后的内部审计工作要注意的问题。【关键词】风险导向：内部审计开展风险导向内部审计的趋势 内部控制：内部审计开展扩大的内部控制测试的趋势 随着审计风险管理意识的增强，内部审计的工作重心也由对企业内部控制执行情况的事后抽样审计，逐步转向对企业的经营环境、管理模式和内部控制系统进行风险评估，并据以评价风险的后果和严重性，确定实施审计的范围和重点，进而进行实质性审查的审计方向发展。可以看出，采用风险导向审计方式是一种必然的趋势。 内部控制测试是当前我国企业内部审计一种比较成熟的方式，重点是通过分析企业内部控制体系的建立、运行情况，判断审计风险（内部控制中的风险评估）、确定审计重点和抽样范围，对发现的设计层面问题提出合理的设计变更要求，对执行层面问题进行及时纠正。内部控制测试也涉及企业管理层，是对管理层个体对其岗位职能理解的测试。 风险导向内部审计围绕企业目标，以对企业整体风险的评估与改善作为基本目的，其审计范围大于内部控制测试，是从更宏观的角度进行风险评估，要求内部审计从被动查出企业财务问题向主动提出解决企业经营问题的建议方向转变。 可以看出，风险导向内部审计不仅涵盖了内部控制测试的内容，还将对审计风险的判断扩张到经营环境和管理模式的范围。 企业目标-风险导向审计（控制环境、风险评估、信息与沟通、控制活动、监控）内部控制体系-内部控制测试（控制环境、风险评估、会计信息与传递）管理模式-重大舞弊风险审计（管理风险、集体舞弊行为、岗位职能）（岗位职能）一、风险导向内部审计的审计风险及审计要求风险导向内部审计是对源于企业经营环境产生的风险和企业内部重大舞弊行为产生的风险所可能导致的重大错报风险，以及企业内部审计自身因素可能产生的风险的量化分析过程，是以评价和分析企业风险为基础的审计方法。风险导向内部审计的风险模型=重大错报风险x检查风险。其中重大错报风险的构成因素为 ：1、企业经营环境的变化影响完成目标的信念、意识和紧迫感，可能导致企业管理层和执行层的领导人思想的变化，从而做出具备风险的判断，并进一步执行绕过内部控制程序的操作行为；2、企业内部各机构间信息沟通不畅，企业运行数据来源单一，经营判断又过分集中在领导者手中，产生有风险的处置决定，使内部控制出现有失公允的状态；3、企业管理层和执行层思想上愿意会计报表“变得好看”，并可能限制企业财务部门、财务人员的独立性，导致会计报表可信度降低的风险。以上重大错报风险因素的确立，是在企业内部控制体系健全的前提下应当进行的审计调查与判断，并由此推导出审计重点是放在管理风险上（风险高执行全面的经济责任、效益审计）或者审计重点放在内部控制测试的例外事项上（风险在被允许的范围内执行内部控制测试程序）；对检查风险的判断，主要有以下因素：1、内部审计人员的胜任能力、恰当性和完整性不足，引发风险判断的失真；2、企业内部审计本身的受制约因素，造成用以进行风险判断的信息不全面；3、内部审计人员将对企业所属各部门审计所做出的风险判定进一步推演为对整个企业的风险判定，引发可能的判断不全面。上述检查风险因素的确立，是在企业建立了能够正常开展审计工作的内部审计机构的前提下提出的，由此推演为内部审计在企业能够开展风险导向审计（企业负责人允许内部审计在宏观管理中的介入执行围绕企业目标的风险评估，依据审计判断提出减低企业风险的建议）或者内部审计继续维持企业内部控制测试状态（内部审计被限定在对企业各构成要素和各所属单位的审计上执行全面的内部控制测试程序，并逐步延伸和扩展内部控制测试的风险评估和管理层测试范围）。风险导向内部审计理论上强调无论内部控制是否有效，都要对各类重大交易、重要账户余额和重要披露进行详细审计，并据此设计和实施控制测试和实质性程序。根据风险导向内部审计理论，要求在审计实施阶段要从收集决策信息入手，关注计划、预算与执行的差异，发现可能的风险，比对企业内部控制系统运行状况，对风险做出预计。决策信息的收集，不可忽视的是对管理层、执行层各类会议信息的关注，不仅是形成决议的文件，重点是会议当时的笔录，从中掌握企业管理层、执行层领导人的个性，从而发现可能的管理风险和经营风险。审计风险是现代风险导向审计研究的出发点与归宿，风险导向内部审计为提高内部审计效率与效果提供了有效路径。 二、从扩大的内部控制测试中摸索风险导向内部审计方法内部控制测试的方式方法经过有效的充实、扩展，能够为风险导向内部审计在新的起点上得以运用。内部控制测试已经形成了一套比较科学规范的方法，在风险导向内部审计具体操作阶段能够充分运用。如果通过调查，企业的管理风险和经营风险均在内部审计可以接受的范围内，实施全面的内部控制测试可能会较好的控制审计成本、提高审计效率。如果通过调查，企业的管理风险超出预期，也可以先采用内部控制测试当中的管理层测试的方法，了解企业管理层个体对管理职责的认知，掌握企业管理层个体对企业经营管理职责的履行情况，明确风险的存在是发生在管理人还是管理层，从而制定收集审计证据的计划，做到有的放矢。如果通过调查，企业的经营风险超出预期，就不能完全依赖内部控制测试的方式方法，考虑到经营风险的产生可能是企业管理人或管理层绕过内部控制系统实行的管理行为，内部审计就要将审计重点放在对各类重大交易、重要账户余额和重要披露进行详细审计上，对这些数据产生的全程进行跟踪、复核、统计分析，进一步确立问题产生的原因、造成的影响，还要进一步对可能的风险结果做出合理预计。风险导向内部审计应当借鉴内部控制测试的系统方法，逐步建立比较完整的风险导向内部审计系统，并且纳入企业管理制度体系中，其中的重点是对内部审计相对独立性的保障。内部审计要在实行内部控制测试的过程中，完善管理层测试、风险控制测试的方式方法，并逐步扩大、过度到风险导向内部审计。 三、风险导向内部审计实务中要注意的问题（一）、对内部审计职能的定位对内部审计职能的定位一般由内部审计部门的管理章程加以确定。内部审计部门的章程是用以确定审计部门的宗旨、权限和职责的正式书面文件：规定内部审计部门在企业管理机构中的地位；授权可以接触与使用内部审计工作有关的资料、人员和实物资产；确定内部审计活动的范围等。关键是明确内部审计部门在哪个层次上开展工作，和向谁负责的问题。依照我国国情，大型企业一般有集团公司、地区分公司及下属实体组成，多个层级设有内部审计机构。内部审计有的在企业负责人直接领导下开展工作，是目前比较理想的状态；有的在企业财务负责人领导下开展工作。后者使内部审计的宏观主张性在客观上受到诸多制约，这时内部审计开展企业经营风险的评估、执行管理层重大舞弊分析时，有可能触及对自己主管的工作的监督和评价，有时也会受到管理层的限制，进一步增大了内部审计的风险。国外的内部审计规则规定，内部审计部门一般隶属董事会下的审计委员会，行政上向首席执行官负责，职能上向董事会报告工作。我国现行的做法是向企业负责人（行政一把手）负责并报告工作。哪一级的内部审计部门向哪一级企业负责人负责并报告工作，指望下一级的内部审计部门向上一级管理部门的负责是不现实的，下一级的内部审计部门向上一级审计部门报告工作目前实际上也不可行。综合现状，在我国大型企业开展风险导向内部审计虽然是种趋势，但目前企业内部审计依然面临怎么发挥独立性的难题。 （二）、内部审计职能与人际关系目前我国企业内部审计最重要的职能依然是评价和监督。风险导向内部审计要求对企业实现经营目标的方法、过程进行风险评估后，再进行企业内部控制的评价及监督和内部控制的执行层面测试。内部控制测试程序已渗透到各类专项审计中，通过对企业内部各控制子系统执行层面的穿行测试、抽样测试等等手段，达到评估控制风险的目的。内部审计行使职能的过程，时时、处处都在和人打交道，融洽的沟通和顺畅的交流，良好的人际关系是工作中不可或缺并且是非常重要的因素。我国的企业内部审计尤其要注意在审计过程中处理与企业各职能部门和各基层单位间的关系，要有共同维护本企业利益的统一思想，努力创造和谐的审计环境，减低被审计部门、单位的抵触情绪。我国企业内部审计还有一项重要任务，就是对企业面临的各类外部审计、检查的“模拟”，从外部审计的视角发现可能存在的问题，及时建议企业有关部门做出调整，减低企业风险。总之，我国目前的企业内部审计部门首先要同企业其他管理部门保持团结，共同创造企业内部的和谐氛围；然后要同各被审计单位充分沟通、广泛交流，从而保证能够充分行使审计职能，共同实现企业发展目标。 （三）、内部审计业绩的评价规避企业可能面临的外部风险，减少企业实现目标过程中因内部原因产生的损失，依然是风险导向内部审计实现内部审计目的，维护内部审计地位的主旋律。不论从企业内部管理还是企业外部环境，对企业内部审计的认可都来自企业总体目标及具体经营成果的实现。相对于现行的对内部审计业绩的评价，重点依然是具体的审减额和查出并整改的问题金额。风险导向内部审计更注重的是对企业经营风险的控制目标实现情况的贡献和合理的管理建议、有效的经营提示所发挥的效果，这部分审计成果很难量化。内部审计又是一个自由裁量权比较大的工作，要有一个不断完善和改进的对内部审计业绩