浅谈内部审计风险的成因及防范.doc

浅谈内部审计风险的成因及防范【摘要】：随着社会主义市场经济体制的建立和完善，经济组织的多元化和经营方式的复杂化，作为经济组织加强内部管理与监控需要的重要手段之一的内部审计，其审计风险也日益增加。相对于经济、科学技术的快速发展，内部审计的发展还相对滞后，内部审计风险的存在及成因的多样化已成为内部审计发展的重大障碍，文章从分析内部审计风险的成因入手，提出相应的防范内部审计风险的对策。【关键词】：内部审计风险、防范、控制、【正文】： 科学技术的迅猛发展既带来了大量的发展机遇，也带来了大量的风险。随着市场竞争加剧，经营风险增加，内部审计风险也日益突出。如何加强内部审计风险管理，有效控制和规避内部审计风险，提高审计质量，已成为内审人员热切关注的问题。 一、概述 (一)内部审计风险的涵义。风险应该被理解为一种实际结果与既定目标发生偏离的可能性。审计风险是审计结果与被审计对象实际状况的不一致性，审计风险的存在就意味着审计结果的错误。在内部审计领域，内部审计风险具体表现为内部审计人员未能发现被审计单位经营活动及内部控制中存在的重大差异或缺陷而作出不恰当审计结论的可能性。很多内部审计人员存在对内部审计风险的模糊或错误的认识，将内部审计风险单纯理解为主观风险或者客观风险，这都是对内部审计风险不全面的认识。这种认识上片面性将直接造成对内部审计风险识别和控制上的偏差，致使内部审计人员只重视某一方面的风险识别和控制，而忽视另一方面的风险识别和控制。实际上我们对内部审计风险的正确理解应该是，内部审计风险是总体风险，是内部审计人员做出错误结论的可能性，而这种可能性又是由于内部审计主观方面原因和客观方面原因共同作用的结果，因此，内部审计风险是内部审计人员在综合评价客观风险和主观风险之后对审计结论出现错误可能性的综合评价。内部审计风险是由客观风险和主观风险这两方面要素构成的。客观风险是被审计单位经营活动及内部控制中本身存在重大差异或缺陷的风险，包括固有风险和控制风险；主观风险是内部审计人员所实施的审计没有发现重大差异或缺陷的风险，主要是检查风险。 (二)防范内部审计风险的重要性。在内部审计所处的环境中，风险是无处不在的，其广泛性、复杂性和多样性更是处于与日俱增的态势，这样的风险环境更加加重了内部审计的风险程度。内部审计风险还具有潜在性，它们是隐蔽的存在于内部审计工作中的，这些潜在的风险有转化为现实损失的可能性，但是这种可能性需要一定的条件。如果内部审计人员忽视风险的存在，不能正视它们，并对之没有进行有效的控制和防范，它们就很可能转化为现实的损失。这种损失是十分严重的，它不仅会影响内部审计目标的实现，更会影响到内部审计机构和内部审计人员的声誉。但是，内部审计风险转化为实际损失是需要一定条件的，这也就预示着内部审计风险是可以控制的，如果内部审计人员能够及时的发现它们并对之进行有效的防范和控制，那么这些风险的实质影响也就可以消除了。因此，内部审计机构和人员必须对内部审计面临的风险和本身所固有的风险加强认识，摒弃内部审计不存在风险的错误认识，正视风险的存在，并采取有效的措施评价风险、管理风险、最终达到控制风险、规避风险的目的。有效的防范内部审计风险对内部审计工作来说是非常重要的。二、内部审计风险成因。对内部审计风险严重程度的认识不深，直接导致了对造成内部审计风险的原因认识不足，而无法充分认识造成内部审计风险的各方面原因，就无法有效地识别内部审计中的各种风险情况，也就无法找出使这些风险要素转化为实际损失的条件，这都将直接影响到风险防范和控制措施的有效实施。所以，全面和深入的认识造成内部审计风险的各方面原因是防范和控制风险的关键环节。我们将造成内部审计风险的诸多原因归纳为客观原因和主观原因。 (一)造成内部审计风险的客观原因。客观原因是指独立存在于人的意识之外，不依赖主观意识而存在的原因。审计面临的风险与人类生存面临的风险一样，是客观存在的，不以人的意志为转移，人类不能完全消除它。也就是说，内部审计风险发生是必然的，不可避免的。由客观原因形成的内部审计风险是内部审计单位和审计人员不能够控制的。审计对象和社会法律环境及自身组织建设方面的因素属于客观方面的原因，造成内部审计风险的客观原因来自于内部审计所处的内外部环境，其表现形式是多种多样的，我们将其归纳为以下4个方面。 1内部审计机构自身因素。内部审计机构在组织治理结构中组织地位低下是当前内部审计机构存在的普遍问题。在很多组织内部，内部审计机构隶属于财务部门，内部审计机构负责人需要向财务部门负责人报告工作，或者财务部门负责人兼任审计部门负责人。在另外一些组织内部，内部审计机构和纪检、监察部门合署办公，是相同的负责人和同一梯队的人员。这些状况都体现出内部审计机构组织地位低下的现状，内部审计机构较低的组织地位意味着其独立性和权威性的缺失，这就使内部审计丧失了其本质属性，也必然造成内部审计失去其基本职能，这将带来直接审计风险。内部审计的基本职能不能得到充分的发挥，即便组织内部设置了内部审计机构，也形同虚设，毫无意义。将内部审计机构设置在财务部门之下或与财务部门并行，就使得审计监督与财务监督混同，使审计监督成为财务监督的一部分。内部审计不仅不能实施对财务部门的监督，也很难实施对组织内部其他职能部门的监督，发现的问题更无法向组织更高层次的管理部门进行报告。内部审计机构与纪检、监察部门合署办公则混淆了审计监督和干部组织管理的不同机制，而且这样的设置模式单纯突出了审计的监督职能，从某种程度上讲制约了内部审计其他职能的充分发挥。鉴于上述原因，单位内部审计就很难客观、公允地对所进行的审计事项发表准确、公正的审计意见，就不能保证审计质量和规避审计风险。 2内部审计业务的扩展和审计内容的复杂化引发的审计风险。内部审计发展的初期，其业务主要集中于对企业财务收支的审查，发挥的是内部监督作用，而现代企业内部审计经过帐项基础审计、业务导向审计、管理导向审计，目前已经涉及企业风险审计领域。与政府审计、社会审计比较，现代企业内部审计更多的发挥咨询作用，涉及领域包括财务收支、经营管理、内部控制、企业战略管理、人力资源管理、企业信息系统安全性等，内部审计范围不断扩大。随着内部审计范围的扩大，内部审计业务不断扩展且审计内容日趋复杂，由此可见，现代企业内部审计对内部审计人员素质的要求越来越高，这必然增加内部审计人员的责任，进而加大内部审计的风险。此外，随着企业经营的市场化和国际化，企业的经营环境日益复杂，经营风险日益增大，由此而产生的会计信息也必然趋于复杂，一些虚假或错误的会计信息可能掺杂其中，无形中增加了审计人员对有关问题做出错误判断的可能性，也相应增加了审计风险。 3内部审计法律规章制度的制定滞后且不健全。内审法律法规体系不健全,依法治审不力。1989年1月审计署颁布了关于内部审计的规定，对内部审计机构的隶属关系、审计范围、主要职权、工作程序、干部任免等做了具体规定，这是关于我国内部审计的第一部法规。1995年审计署重新修订关于内部审计工作的规定，进一步明确了内审的地位、内审对象、权责等事项。2003年3月审计署颁布了新的关于内部审计工作的规定，根据内部审计环境的变化，对内部审计的管理、权限、责任等做了新的规定。2004年12月，国资委颁布了中央企业内部审计管理暂行办法和中央企业经济责任审计管理暂行办法。从1989年到2004年国家审计署先后出台了关于内部审计的一些规定、办法，但至今仍没有一部内部审计法。国家审计有审计法作为法律依据；社会审计,国家颁有注册会计师法，而内部审计在这方面与之相比，法律级次明显偏低,可操作性不足，以此来指导现代企业内部审计工作，明显存在滞后现象。显然，内部审计法律依据不充分、不健全，或出现空白，使得内审人员在进行审计时，只有依据经验和知识进行分析判断，在某种程度上影响了审计结论的权威性和正确性，因而增大了审计风险。 4内部审计对象引发的内部审计风险。随着内部审计工作范围的日益扩展，内部审计对象也越来越广泛，内部审计已经将触角深入到了组织管理的方方面面。而伴随内部审计范围的广泛化，内部审计对象也越来越复杂化，可能影响到内部审计对象的各种风险因素日益增多。信息在经过各级管理部门的处理之后出现错误和舞弊的可能性增加了很多倍，特别是舞弊的花样更是不断翻新。主要表现在以下两方面，一是被审单位内部控制制度制定不严密或执行不严格。内部审计作为企业管理的一个重要手段，在对众多目标进行审计时，越来越依赖于对内部控制制度的评审。但被审计单位的内部控制制度如果制订得不严密，或者虽然有严密的控制制度，而企业未能有效全面执行或者不能有效防止企业经济活动的差错和舞弊行为，使内部审计人员据此不能发现企业存在的问题和错弊，形成了审计风险；二是被审单位提供资料不真实，或有意制造会计虚假信息。会计信息的虚假、失真，直接影响内部审计评价指标的真实性和审计评价的客观公正性。近年来，经济活动中违法违纪行为更为隐蔽，造假的技巧更加高明，会计资料失真严重，审计人员稍有疏忽，就无法揭示被审单位财务收支不实和资产、负债、损益虚假的情况，造成审计判断错误，严重影响到审计结论的客观公正性，从而形成审计风险。 （二）造成内部审计风险的主观原因。主观原因是指属于自我意识方面的原因。由主观原因形成的内部审计风险是内部审计单位和审计人员靠自身作用能够控制的因素。审计人员自身素质及在审计过程中选用审计程序和方法、审计评价范围等因素属于主观方面的原因。造成内部审计风险的主观原因主要来自于内部审计自身，我们将其归纳为4个方面。 1内部审计手段和方法的局限性。这是造成审计风险的一个重要原因。由于被审单位的实际情况各不相同，审计目的不同，采用哪些审计程序和选用哪些审计方法才恰当并不容易确定。如果审计程序和方法选择不当，会造成审计时间延长，审计成本增加，也可能会遗漏一些重要的审计内容，未能觉察重大的错弊所为，未能收集到充分可靠的审计证据，使审计结论与被审计单位的实际经济活动不符，导致了审计风险的产生。另外，随着我国改革开放的进一步深入和国民经济、社会各行各业的快速发展，特别是在电子商务兴起之后，电子政务的发展也步入了高速发展的轨道。计算机网络及信息技术的发展和普及，被审计单位的会计核算、财务管理及业务系统管理逐步实现电子化、网络化，使手工作业的传统审计方式面临严重挑战，手工方式的审计形式已经无法实施较为全面的审计工作，更难作到“全面审计，突出重点”。传统审计方式遇到的问题在实际工作中表现在：不利用计算机技术，审计人员只能采取随机抽样的方法进行检查，审计盲目性很大，缺少科学规范的审计思路和方法，因此会带来比较高的审计风险。 2内部审计工作方式的影响。由于受内部审计对象规模的限制，现代内部审计广泛使用分析性复核和抽样技术，这些技术的使用本身就是以假定存在一定程度的审计风险为前提的。很多内部审计人员将分析性复核技术理解为一般的审计测试方法，认为分析性复核技术与其他审计测试技术一样都是在审计测试阶段才使用的方法，其目的也是为了直接对被审计对象进行验证。实际上分析性复核技术不同于其他审计测试方法，而且也不是只在审计测试阶段才使用的审计方法，相反它是在内部审计各个阶段都可使用的方法。而抽样技术的运用必须建立在总体规模足够大的前提下，这样才能保证抽样结果的可信性。如果被审计项目总体本身的规模就很小，还要从较小的总体中选择样本，这样的样本很难具有代表性，据此推断总体特征是很难让人信服的。若审计人员不能正确的理解分析性复核技术和抽样技术的这些特点，不能够合理的去运用这些技术，就会不可避免的造成审计结果的偏差，以至于造成不同程度的审计风险。 3内部审计评价的范围、内容不恰当，产生的审计风险。内部审计评价是内部审计的一个重要环节。内部审计人员应科学、准确的做出审计评价，评价语言应规范、标准，力求量化、全面、直观、明确。内部审计作为企业职能部门，根据管理的需要，其监督与评价的范围就不仅限于财务方面的问题。凡属企业经营行为，都可以成为审计对象，从违反财经法规到经营活动失误，如果内部审计部门未能予以揭示或判断不当，就会产生审计风险。但如果内部审计人员对不属于审计范围，如对政治、经济、社会、文化等诸方面不应评价事项而评价；对审计过程中未涉及的具体事项不应评价而评价；对审计证据不足、评价依据或标准不明确的审计事项不应评价而评价，审计评价措辞不当等也会产生审计风险。4内部审计人员自身素质影响。目前我国内部审计发展整体水平尚处于初级阶段，内部审计人员的素质普遍偏低，人员素质已经成为影响内审职业发展主要制约因素之一，造成这种状况既有历史的原因，也与管理层不重视内审部门建设有关。在许多国有企业，内审部门建设流于形式，地位低下，内审人员的薪资水平偏低，而且内审部门也不被看作是职业晋升的主要部门，使得高素质的人才不愿到审计部门，许多企业的审计部门主要是为解决富余闲散干部、职员的岗位，与现代企业内部审计的本质要求相距甚远。现代内部审计工作的复杂性对内部审计人员的素质要求很高，内部审计人员只掌握基本的审计技术和方法是远远不够的。内部审计人员需要具备更广的知识面、更多的实践经验、更高的专业判断能力。如果内部审计人员素质不高、能力有限就更加无法有效的运用现代审计技术与方法，也更加无法认识和识别内部审计风险，只会造成更大程度的内部审计风险。 三、内部审计风险的防范。内部审计是一种全球性的职业，作为一种职业必须具备一定的条件，在社会上得到认可的同时，必须承担一定的责任，有责任就有风险，内部审计当然也不例外。在实际审计工作中，对内部审计风险的研究是十分必要的，我们不仅应对造成内部审计风险的主观原因、客观原因有充分的了解和认识，还应懂得如何防范这些风险，并随时对以往的审计经验进行充分的总结和积累，以避免工作上的失误，从而造成内部审计风险。内部审计工作是一项操作性很强的工作，工作本身就存在着大量风险，而内部审计机构的特殊位置和内部审计工作的特殊性质又决定了内部审计工作过程中存在更多的风险，内部审计是审计监督体系中重要的组成部分，但相对于政府审计和注册会计师审计而言，内部审计的内部性是其最大特点。针对这一特点，内部审计在机构设置、业务内容、人员素质要求、采用的审计手段和方法、工作规程等方面都呈现出与其他审计不同的特色，下面我们将围绕造成内部审计风险的主观原因、客观原因，探讨如何有效的控制和防范这些风险，力求达到主动控制内部审计风险，形成审计风险防范机制，将内部审计风险降低到可接受水平的目的。（一）从组织形式上确保内审机构人员在组织与业务上的实质性独立。内部审计在组织内部具有特殊的职能定位，为确保其职能的充分发挥，在设置审计机构时必须赋予其在组织治理结构中较高地位，使内审机构和人员保持相对的独立性。审计人员业务上的独立性是以内部审计机构独立性为前提的，如果内部审计机构都没有独立性，那么就更谈不上审计人员业务上的独立性了。审计监督作为一项监督评价工作必须是独立的，离开了独立性就不能称之为审计。审计署关于内部审计工作的规定中指出：“内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实合法和效益的行为，以促进加强经济管理和实现经济目标”。中国内部审计基本准则指出：“内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。”国家的法律、法规、准则都同时强调了内部审计工作的独立性，赋予了审计机构及人员的定位。内部审计独立性的最主要标志，就是内部审计机构设置的独立性。将主管内部审计工作与主管财务工作的领导彻底分离，与经营管理者彻底分离，使内部审计机构直接对决策层（董事会）负责，在决策层内部设立审计委员会直接领导和监督内部审计工作，以强化独立性、权威性，实现依法审计目的。只有这样，审计的质量才有保证，审计人员发表意见的公正性才不会受到影响。 （二）建立良好的内部运行机制，完善内部质量控制制度。建立良好的内部运行机制，完善内部质量控制制度,是控制风险的有力保证。内部审计质量控制，是指内部审计机构和人员为确保其审计质量符合内部审计准则的要求而制定和执行的一系列政策和程序。对于内部审计而言，无论是发挥其监督、评价职能，还是防范审计风险，其工作的质量都是至关重要的，如果内部审计机构无法保证其工作的高质量，其职能就很难得到充分的发挥，就会产生审计风险。有些内部审计机构还没有认识到这一点，在开展业务的同时忽视了对审计工作质量的必要控制。内部审计工作质量的高低是内部审计机构和人员的信誉体现，是内部审计职业的生命线。内审机构要努力建立健全内部审计控制体系，完善质量控制机制，并确保每一个内部审计人员认真遵守和实施每一项质量控制政策和程序，从而最大程度上保证内部审计的工作质量。质量控制制度应从全面质量控制和具体审计项目质量控制两个方面构建。全面质量控制应着重从内部审计计划实施、遵守职业道德规范、提升审计专业人员胜任能力、合理分派审计业务、依据审计准则制定操作规程、审计质量的内部考核与评价、评估审计报告的使用效果和对全面质量控制政策与程序的执行情况的监控等方面入手建立控制程序，及时发现问题，不断完善质量控制制度，以保证审计质量，把风险水平降低到可接受程度；具体审计项目质量控制应重点建立主审负责、审计底稿三级复核、审计部门主管巡视、审计项目质量考核等方面的制度，以把好每个审计项目的质量和风险关。内部审计机构应将质量控制政策和程序以适当的方式通知执行业务的全体内部审计人员，以保证所有执业人员准确的理解和掌握。（三）强化风险意识,更新和提高现行内部审计技术,运用现代审计技术和工具，提高审计质量。风险是客观存在的，关键在于识别和防范，为有效地规避审计风险，每个审计人员都要牢固树立审计风险意识。内部审计人员要借鉴国际和国内同行业先进的内部审计方法，改进内部审计手段，提高内部审计质量，做到真正防范和化解内部审计风险。1实行风险基础审计。注重开展事中及事前的风险审计，分析和判断被审计单位的风险所在及其风险程度，注重风险识别的充分性、风险衡量的恰当性及风险防范的有效性，并在此基础上提出相应的改进建议。加快计算机辅助审计软件的开发和应用。今天的信息系统是非常复杂的，一般由多个部分组成以形成一个商业解决方案。只有各个组成部分通过评估，判定安全，才能保证整个信息系统的正常工作。信息系统审计业务主要由：硬件及环境审计、系统管理审计、网络安全审计、商业连续性审计、数据完整性审计等构成。计算机辅助审计软件能够大大提高审计信息处理的速度和准确性，有助于审计机构加强管理，提高竞争能力，防范审计风险。高度共享信息。各内部审计部门要实现高度共享信息，各内审部门不仅要执行相同的内审监督制度、检查方法，而且要实行数据信息共享。这些数据放在网络上，内审人员可以方便调用。借鉴外部审计先进操作办法。要借鉴外部审计、监事会检查的先进操作办法，把内部审计内容、依据等与外部标准统一起来，进一步规范内部审计工作，使之逐步与国际接轨。5. 引进以风险为导向的风险基础审计模式。在审计方法上，可以引进目前最先进的以风险为导向的风险基础审计模式，以风险的分析与控制为出发点，以保证审计质量为前提，统筹运用各种测试方法，综合、分析各种审计证据，以控制审计风险。（四）准确运用分析性复核技术和抽样技术。分析性复核技术的准确运用。分析性复核技术具有传统审计技术所不具备的优势，通过分析性复核技术的运用，内部审计人员可以较快的发现数据之间存在的异常关系或波动，从而确定重点的审计领域，降低由于实施其他测试而增加的审计时间和成本，最终实现在确保内部审计质量的前提下提高审计效率的目标。内部审计人员通过执行分析性复核可以实现的审计目标包括：确认经营活动的完成程度、发现意外差异、分析潜在的差异和漏洞、发现潜在的不合法和不合规的行为。因此内部审计人员应当合理运用职业判断，在审计准备阶段、实施阶段和完成阶段执行分析性复核。但因内部审计在各个阶段使用分析性复核目的不同，对分析性复核的关注点也理应有所区别。在审计准备阶段执行分析性复核，目的在于了解被审计事项的基本情况，确定审计重点，帮助编制审计计划和审计方案；在审计实施阶段执行分析性复核，目的在于对经济活动和内部控制进行测试，以获取审计证据，只有在实施阶段分析性复核技术才是被作为获取审计证据的直接方法而使用的；在审计完成阶段执行分析性复核，目的在于验证其他审计程序所得结论的合理性，以保证审计质量，如果分析性复核结果表明需要收集更多的审计证据才能支持审计结论的形成，内部审计人员就必须追加审计程序。因此，只有正确的理解分析性复核技术的特点，明确其在内部审计各个阶段应用的具体目标，准确的运用分析性复核技术，才能更好的避免由使用分析性复核技术不当而造成的内部审计风险。抽样技术的准确运用。当内部审计人员决定在审计过程中运用抽样技术时，正确的确定被审计对象的总体是保证抽样技术得到合理运用的关键。因为，如果被审计对象总体的确定存在偏差，在错误的总体中选择样本，并根据样本特征推断总体特征所得出的结论是不可能保证其可信性的。内部审计人员对一定期间业务处理时，业务量较大的被审计对象就可以运用抽样技术，如销售和收款业务等；而对于业务量较小的被审计对象就不能运用抽样技术，如投资和筹资业务、非货币性交易等。因此，正确的确定被审计对象的总体，合理的运用抽样技术，能够有效的避免抽样技术使用不当造成的风险（五）扩展风险导向审计。在意识到内部审计风险的存在及严重程度之后，内部审计人员就需要考虑如何将导致内部审计风险的各种主观风险、客观风险通过系统的方式在内部审计过程中识别、确认、评估和控制，而风险导向审计方法的运用就为内部审计人员提供了系统规划各种审计风险的有效途径。运用风险导向审计方法，内部审计人员可以系统的识别、确认并评估对实现内部审计目标具有影响的各方面客观风险，并利用内部审计风险计算和确定直接影响内部审计测试的性质、时间和范围的主观风险，以指导内部审计测试的具体实施。风险导向审计首先应考虑建立组织目标的方法，然后通过识别、衡量和优先排序等方法评估风险，最后通过：控制和接受风险、规避和分散风险、向其他部门分配和转移部分风险等方法进行风