浅谈内部审计风险的成因及防范

第1页共11页浅谈内部审计风险的成因及防范【摘要】科学技术的迅猛发展既带来了大量的发展机遇，也带来了大量的风险。随着市场竞争加剧，经营风险增加，内部审计风险也日益突出。本文就如何加强内部审计风险管理，有效控制和规避内部审计风险，提高审计质量提出了自己的见解。【关键词】内部审计风险成因防范【正文】一、内部审计风险的概述（一）内部审计风险的涵义和特征1.内部审计风险的含义风险应该被理解为一种实际结果与既定目标发生偏离的可能性。审计风险是审计结果与被审计对象实际状况的不一致性，审计风险的存在就意味着审计结果的错误。在内部审计领域，内部审计风险具体表现为内部审计人员未能发现被审计单位经营活动及内部控制中存在的重大差异或缺陷而作出不恰当审计结论的可能性。很多内部审计人员存在对内部审计风险的模糊或错误的认识，将内部审计风险单纯理解为主观风险或者客观风险，这都是对内部审计风险不全面的认识。这种认识上片面性将直接造成对内部审计风险识别和控制上的偏差，致使内部审计人员只重视某一方面的风险识别和控制，而忽视另一方面的风险识别和控制。实际上我们对内部审计风险的正确理解应该是，内部审计风险是总体风险，是内部审计人员做出错误结论的可能性，而这种可能性又是由于内部审计主观方面原因和客观方面原因共同作用的结果，因此，内部审计风险是内部审计人员在综合评价客观风险和主观风险之后对审计结论出现错误可能性的综合评价。内部审计风险是由客观风险和主观风险这两方面要素构成的。客观风险是被审计单位经营活动及内部控制中本身存在重大差异或缺陷的风险，包括固有风险和控制风险；主观风险是内部审计人员所实施的审计没有发现重大差异或缺陷的风险，主要是检查风险。2.内部审计风险的特征（1）客观性。审计风险是客观存在的，无论审计人员如何努力，审计风险绝不会控制到零的程度。也就是说，审计风险发生是必然的，不可避免的。当然，审计风险不一定都会产生灾难性后果，或对审计人员构成实质性的损失，但导致损失发生的可能性是存在的。尽管审计人员不能完全消除工作中的风险，但在有限的空间和时间内改变风险存在和发生的条件，降低其发生的频率和减少损失是可以实现的。（2）普遍性。审计风险存在于所有审计项目和整个审计过程中的每一个环节，任何一个环节出现失误，都会导致最后的审计结论与预期出现偏差，形成审计风险。（3）潜在性。审计风险无法通过数学计算精确得出，只能依赖于执业判断；同时，审计风险的发生是以审计责任的存在为前提，假设审计人员在执业过程中，没有任何约束，也不须对审计结论与客观事实的背离负任何责任，那么，就不会出现审计风险。审计责任决定了审计风险在一定时期内具有潜在性。在实际工作中，尽管审计人员可能发表了不恰当的审计意见，只要没有造成不良后果和损失，风险尚停留在潜在阶段，还不能称之为实在意义上的风险。因此，审计风险是一种可能的风险，它存在一个显化的过程，只有当审计人员被追究失误责任并承担风险损失时，才表现为实在性。（4）可控性。虽然审计风险是客观存在的，并且贯穿于所有审计项目和整个审计过程中的每一个环节，一旦发生将给审计组织和人员造成有形和无形的名誉及经济损失，但是这并不意味着审计人员在审计风险面前无能为力，它是可以被控制的。只要审计人员保持职业谨慎，运用职业判断，对审计风险进行评估，制定并实施合理的审计程序和方法，就可以将其降低至可接受的水平。（二）内部审计风险的分类1.从审计的客观环境来看，企业内部审计风险可以分成以下几类：（1）法规风险。相对于其他审计而言，内部审计明显存在法律法规不健全的问题，尽管从2003第2页共11页年6月1日起开始施行《内部审计基本准则》、《内部审计人员职业道德规范》和十个具体准则，但内部审计主要依据标准仍为20世纪80年代审计署颁布的《关于内部审计工作的规定》，法律级次明显偏低，可操作性差，不能很好的指导现代企业内部审计工作。这一情况容易使在审计过程中遇到的新问题无法可依，对有些问题难以认定，进而导致企业内审人员在审计过程中只有依据大量的职业判断，而个体主观的差异必然会导致企业内部审计风险的产生。（2）信息风险。主要是指被审计部门对内部审计工作总是存在着一种抵触情绪，片面的认为内部审计就是来检查他们的工作，从而难以形成一种良好的工作关系，使得内部审计很难深入开展。被审计单位甚至为了掩盖真相，提供虚假的会计报表和资料，或者提供的资料不完整，使审计人员在审计中无法取得完整真实的审计证据，难以出具客观公正的审计报告。（3）制度风险。内部控制制度的建立和执行情况是内部审计的基础，健全有效的内部控制制度能及时发现和纠正企业经济活动中的各种差错和舞弊。内部控制制度不健全就会增加差错和舞弊的可能性，使得审计人员难以发现经济活动中存在的差错和舞弊而形成的审计风险。目前我国大部分企业仍然缺乏健全有效的内部控制制度，还未设立专门的审计质量控制机构，会计信息失真和不规范的质量控制方法，也在一定程度上增大了内部审计风险产生的可能性。（4）方法风险。内部审计所采取的审计程序和方法是否科学，将直接影响到内部审计工作的质量。目前我国内部审计多以账页基础审计方法为主，已不能适应当今复杂的经营环境，还未形成以风险导向为核心的审计理念，计算机审计在企业内审中还较少应用，这些都能带来一定的内部审计风险。随着企业不断的发展，实施审计项目时因人力、物力等多方面的原因，不可能全面审计，只能采取抽样审计。而抽样审计技术的运用更多地凭借内审人员的主观判断和经验，如果抽样不能反映审计对象的总体特征，遗漏了影响审计结果的重要事项，审计结论就会偏离实际，产生审计风险。2.从审计人员的主观因素来看，审计风险分为：（1）技能风险。指由于审计人员的审计技能不能适应审计工作的要求而产生的风险，主要包括素质风险、取证风险、技术风险和定性风险。素质风险是指审计人员的专业技能素质不能适应内部审计的要求所产生的风险，目前情形是内部审计人员整体水平不高，综合素质较低、识别风险、判断正误的能力较差。取证风险是指审计人员在审计过程中由于取证不充分、不恰当而作出不正确的审计结论的风险。内部审计人员普遍缺乏计算机审计技能，不能适应新形势的需要，故引起审计人员的审计技术不能满足审计业务的需要或审计的技术方法不能满足控制审计客体整体风险的要求而造成的技术风险，对现代管理知识、科技知识、综合分析能力的把控还有较大的不足。所有这些将直接影响到内部审计工作开展的深度和广度，给内部审计工作的质量和信誉带来的负面影响，从而导致审计风险的发生。（2）道德风险。许多内审机构和人员缺乏应有的职业规范的约束和指导，有些人员职业道德欠佳，经受不住外界诱惑，审计人员与被审计单位或审计对象有某种利害关系，或受到其他压力，在审计中未能严格执行审计纪律，在审计工作中徇私舞弊、以审谋私，搞人情审计，以审计原则做交易，隐瞒事实真相。或审计人员工作作风浮夸、不踏实，使得审计工作不够深入，对于应当发现和揭示的问题没有发现和揭示，从而产生审计风险。（三）防范内部审计风险的重要性在内部审计所处的环境中，风险是无处不在的，其广泛性、复杂性和多样性更是处于与日俱增的态势，这样的风险环境更加加重了内部审计的风险程度。内部审计风险还具有潜在性，它们是隐蔽的存在于内部审计工作中的，这些潜在的风险有转化为现实损失的可能性，但是这种可能性需要一定的条件。如果内部审计人员忽视风险的存在，不能正视它们，并对之没有进行有效的控制和防范，它们就很可能转化为现实的损失。这种损失是十分严重的，它不仅会影响内部审计目标的实现，更会影响到内部审计机构和内部审计人员的声誉。但是，内部审计风险转化为实际损失是需要一定条件的，这也就预示着内部审计风险是可以控制的，如果内部审计人员能够及时的发现它们并对之进行有效的防范和控制，那么这些风险的实质影响也就可以消除了。因此，内部审计机构和人员必须对内部审计面临的风险和本身所固有的风险加强认识，摒弃内部审计不存在风险的错误认识，正视风险的存在，并采取有效的措施评价风险、管理风险、最终达到控制风险、规避风险的目的。有第3页共11页效的防范内部审计风险对内部审计工作来说是非常重要的。二、内部审计风险成因对内部审计风险严重程度的认识不深，直接导致了对造成内部审计风险的原因认识不足，而无法充分认识造成内部审计风险的各方面原因，就无法有效地识别内部审计中的各种风险情况，也就无法找出使这些风险要素转化为实际损失的条件，这都将直接影响到风险防范和控制措施的有效实施。所以，全面和深入的认识造成内部审计风险的各方面原因是防范和控制风险的关键环节。我们将造成内部审计风险的诸多原因归纳为客观原因和主观原因。（一）造成内部审计风险的客观原因客观原因是指独立存在于人的意识之外，不依赖主观意识而存在的原因。审计面临的风险与人类生存面临的风险一样，是客观存在的，不以人的意志为转移，人类不能完全消除它。也就是说，内部审计风险发生是必然的，不可避免的。由客观原因形成的内部审计风险是内部审计单位和审计人员不能够控制的。审计对象和社会法律环境及自身组织建设方面的因素属于客观方面的原因，造成内部审计风险的客观原因来自于内部审计所处的内外部环境，其表现形式是多种多样的，我们将其归纳为以下6个方面。1.内部审计机构自身因素内部审计机构在组织治理结构中组织地位低下是当前内部审计机构存在的普遍问题。在很多组织内部，内部审计机构隶属于财务部门，内部审计机构负责人需要向财务部门负责人报告工作，或者财务部门负责人兼任审计部门负责人。在另外一些组织内部，内部审计机构和纪检、监察部门合署办公，是相同的负责人和同一梯队的人员。这些状况都体现出内部审计机构组织地位低下的现状，内部审计机构较低的组织地位意味着其独立性和权威性的缺失，这就使内部审计丧失了其本质属性，也必然造成内部审计失去其基本职能，这将带来直接审计风险。内部审计的基本职能不能得到充分的发挥，即便组织内部设置了内部审计机构，也形同虚设，毫无意义。将内部审计机构设置在财务部门之下或与财务部门并行，就使得审计监督与财务监督混同，使审计监督成为财务监督的一部分。内部审计不仅不能实施对财务部门的监督，也很难实施对组织内部其他职能部门的监督，发现的问题更无法向组织更高层次的管理部门进行报告。内部审计机构与纪检、监察部门合署办公则混淆了审计监督和干部组织管理的不同机制，而且这样的设置模式单纯突出了审计的监督职能，从某种程度上讲制约了内部审计其他职能的充分发挥。鉴于上述原因，单位内部审计就很难客观、公允地对所进行的审计事项发表准确、公正的审计意见，就不能保证审计质量和规避审计风险。2.内部审计业务的扩展和审计内容的复杂化引发的审计风险内部审计发展的初期，其业务主要集中于对企业财务收支的审查，发挥的是内部监督作用，而现代企业内部审计经过帐项基础审计、业务导向审计、管理导向审计，目前已经涉及企业风险审计领域。与政府审计、社会审计比较，现代企业内部审计更多的发挥咨询作用，涉及领域包括财务收支、经营管理、内部控制、企业战略管理、人力资源管理、企业信息系统安全性等，内部审计范围不断扩大。随着内部审计范围的扩大，内部审计业务不断扩展且审计内容日趋复杂，由此可见，现代企业内部审计对内部审计人员素质的要求越来越高，这必然增加内部审计人员的责任，进而加大内部审计的风险。此外，随着企业经营的市场化和国际化，企业的经营环境日益复杂，经营风险日益增大，由此而产生的会计信息也必然趋于复杂，一些虚假或错误的会计信息可能掺杂其中，无形中增加了审计人员对有关问题做出错误判断的可能性，也相应增加了审计风险。3.内部审计法律规章制度的制定滞后且不健全内审法律法规体系不健全，依法治审不力。1989年1月审计署颁布了《关于内部审计的规定》，对内部审计机构的隶属关系、审计范围、主要职权、工作程序、干部任免等做了具体规定，这是关于我国内部审计的第一部法规。1995年审计署重新修订《关于内部审计工作的规定》，进一步明确了内审的地位、内审对象、权责等事项。2003年3月审计署颁布了新的《关于内部审计工作的规定》，根据内部审计环境的变化，对内