内部审计的风险与控制
2009-07-23赵剑
赵 剑
【摘耍】内部审计是在一个企业内部建立的一种独立的评价活动,作为对该企业活动进行审查和评价的一种服务,它对企业管理起着制约、防护、鉴证、促进、建设性和参谋的作用。内部审计以增加企业价值和改善企业经营为目的,这是内部审计性质所决定的,也是现代社会对内部审计的必然要求。本文通过理论联系实际,从内部审计的目的、内部审计风险的涵义度其特征、形成的原因以及如何防范和控制等方面对内部审计风险进行了详细的阐述。
【关键词】内部审计;内部控制;审计风险
内部审计是企业内部的一种评价体系,对企业的经营管理起监督和评价作用。20世纪90年代以前,我国的内部审计机构大多是在政府的行政干预下建立起来的,具有强制性。20世纪90年代以后,这种状况有所改善。但是内部审计机构是在企业内部设立的机构,在本单位负责人的直接领导下开展工作,不可避免地要受到本单位利益的限制。就内部审计的实质而言,充其量是企业的管理手段之一,只是服从于本单位管理当局的工具,是管理当局主观意志的体现,很难站在公允的立场上对企业的财务状况做出客观、公正的评价。当内部审计机构面临本单位负责人或法人违纪时,往往无能为力,如果一直听之任之,出具虚假的财务报告,就会埋下巨大的隐患。
审计风险已经受到人们的关注,但议论较多、诉讼案件较多、社会关注亦较多的审计风险往往局限于社会审计,对于内部审计的风险还重视得不够,在部分人的思想认识上还存在一些误区:一是“无险”论。认为审计是查别人的,自己不存在差错(风险)。而且,内部审计开展的审计项目一般都不大,涉及的范围不广,而且审计人员自以为平时对被审计单位的情况比较了解,加上内部审计的时间相对比较充分,采用传统的审计方法也比较多,认为审计结果偏离实际的概率较小。没有什么风险;二是“不用承担风险”论。内部审计在单位负责人直接领导下开展工作,一不收费,二不出本单位范围,三有领导批准文件,手持“尚方宝剑”,根本不用承担风险;三是“风险难免”论。认为审计不可能面面俱到,想通过一次审计把所有问题都查清楚是办不到的,出现一点疏漏也无可非议,属于正常范畴,自己原谅自己;四是法制意识淡薄。内审多数是“上审下”,即使审计结论不正确或者数据有出入,与被审计单位说明一下,打个招呼就行了,不从法律方面考究自己所应承担的责任和风险。
内部审计的目的是增加企业的价值和改善企业的经营,这是由内部审计的性质和其所处的内外部环境所决定的,并有利于内部审计作用的充分发挥。因为内部审计的目的与企业的价值相一致,这不仅有利于内部审计人员一心一意地开展工作,为企业增加价值,而且可以使内部审计成为企业真正有用的活动,得到高层管理人员的重视和支持,有利于内部审计工作的开展和作用的发挥。本文就目前内部审计的现状及存在的风险进行了详细的论述,初步探讨了一些防范和控制内部审计风险的措施。
内部审计作为一种独立客观的监督和评价活动,推动着企业管理中内部审计作用的充分发挥。但是,任何新生事物与其所带来的风险都是同在的。因此,内部审计人员应采取相应的措施,防范审计风险,使内部审计人员能够真正认识到防范审计风险的重要性,使内部审计机构能够真正起到应有的作用,使企业的经营得到改善,增加企业的价值,达到内部审计的目的。
一、内部审计的风险及其构成
内部审计是我国审计监督体系的重要组成部分,在推进现代企业管理中,内部审计的作用日益突出。因此,内部审计同审计机关一样,当一种新生事物引起社会各界乃至有关部门领导的重视。对其运用所带来的风险也是同在的。正如审计理论界所研究的关于审计风险的理论体系问题,同样适用于内部审计。那么,内部审计风险的概念是什么呢?《内部审计实务准则》是这样表述的:“内部审计风险是指被审计单位存在重大错报漏报,企业的内部审计人员由于采用了没有意识到的错误的或不恰当的审计方法,而发表了不恰当的审计意见,形成的审计风险。”
(一)内部审计风险的组成要素及其相互关系
内部审计风险同审计风险在很大程度上存在相同的地方,在组成要素上借鉴新颁布的审计准则,审计风险的组成要素由原来的固定风险、控制风险和检查风险修改为现在的重大错报风险和检查风险。认定层次的重大错报风险又可以进一步细分为固有风险和控制风险。由于固有风险和控制风险不可以分割地交织在一起,有时无法单独进行评估,审计准则通常不单独提到固有风险和控制风险,而只是将这两者合并称为“重大错报风险”。这并不意味着内部审计人员不可以单独对固有风险和控制风险进行评估。相反,内部审计人员既可以对两者进行单独评估,也可以对两者进行合并评估,具体方法由内部审计人员偏好的审计技术和方法及实务上的考虑来决定。
内部审计人员为了把发表不恰当审计意见的可能性控制在一定的范围内。通过分析,确定可接受的风险水平,然后恰当地安排审计程序和方法,以实现内部审计的目的。为了把发表不恰当审计意见的可能性控制在一定的范围内,审计风险二要素的关系可以表示为:审计风险=重大错报审计风险×检查风险。在既定的审计风险水平下,可接受的检查风险水平与认定层次重大错报风险的评估结果成反向关系。评估的重大错报风险越高,可接受的检查风险越高。内部审计人员不对绝无错误承担责任,应当合理地设计审计程序的性质,时间和范围,并有效地执行内部审计程序,以控制检查风险。
(二)内部审计风险的特征
1内部审计风险与外部审计风险的共有特征
(1)客观性。审计风险是客观存在的,审计风险无法控制到零的程度。也就是说。审计风险的发生是必然的,不可避免的。审计人员不能完全消除工作中的风险,但通过充分的审前准备和审时严谨的工作,降低其发生的频率和减少损失是可以实现的。
(2)普遍性。审计风险存在于所有审计项目和整个审计过程中的每一个环节,任何一个环节出现失误都会导致最后的审计结论与预期出现偏差,形成审计风险。
(3)潜在性。审计风险无法通过数学公式计算精确得出,只能依赖于职业判断。同时,审计风险的发生是以审计责任的存在为前提,假设审计人员在执业过程中,没有任何约束,也不须对审计结论与客观事实的背离负任何责任,那么就不会出现审计风险。审计责任决定了审计风险在一定时期内具有潜在性。因此,审计风险是一种可能的风险,它是一个显化的过程,只有当审计人员被追究失误责任并承担风险损失时,才表现为实在性。
(4)可控性。虽然审计风险是客观存在的,并且贯穿于所有审计项目和整个审计过程中的每一个环节,一旦发生将给审计组织和人员以及被审单位造成有形和无形的经济及名誉损失,但是这并
不意味着审计人员在审计风险面前无能为力,审计风险是可以被控制的。只要审计人员保持职业谨慎,运用职业判断,对审计风险进行评估,制定并实施合理的审计程序和方法,就可以将其降低至可接受的水平。
2与外部审计相比内部审计具有独特的特征,导致内部审计风险也具有独特的特征
(1)风险一致性。内部审计的目的在于提高企业的经营效益,具有与企业相一致的目标。作为企业组织的构成之一,内部审计的利益与企业整体利益紧密相联,可谓同舟共济、荣辱与共。因而,内部审计风险与企业为达到经营目标所面临的风险具有一致性。
(2)内部审计风险范围的扩大化。社会审计接受委托,其风险仅限于约定审计项目涉及的内容。而内部审计作为企业职能部门,根据管理的需要,其监督与评价的范围不仅仅限于财务方面的问题,凡属企业的经营行为,都可以成为审计对象。因而,从违反财经法规到经营活动失误。如果内部审计部门未能予以揭示或判断不当,都会产生审计风险。但是,如果内部审计人员在提交的审计报告或管理建议书中已充分、客观地揭示了所存在的问题,而企业管理当局未能予以足够重视和采取相应的解决方案,由此而造成的损失不是内部审计的责任。
(3)内部审计风险系数增加。首先内部审计环境的局限性增加了内部审计风险的系数。内部审计在性质上属于企业自我约束的管理控制行为,当审计事项涉及外单位时,往往难以进行调查取证。而且内部审计人员与本单位员工长期共事,相互之间有一定的利益关系和感情联系。当审计中涉及具体人和事时。难以遵循审计回避制度,影响了审计的客观、公正性,最终使内部审计人员承担了较大的审计风险。其次是内部审计对审计事项不具有选择性增加内部审计风险的系数。社会审计在接受审计委托之前,可以通过对被审计单位基本情况的了解,实施符合性测试程序,对审计风险做出评估。当预计审计风险水平高于可接受的风险水平时,可以拒绝接受审计委托。但内部审计作为企业管理控制的一种职能,必须围绕实现企业整体目标,在审计委员会的统筹安排之下展开日常工作,不可能对风险水平不同的审计项目做出选择。只能通过不断提高审计质量,努力降低审计风险。
二、内部审计风险的成因
(一)内部审计风险产生的客观原因
1内部审计机构独立性差
20世纪90年代以前,我国绝大部分企业内部审计机构是在有关政府部门的行政干预下建立起来的,带有很大的强制性。而非企业基于加强管理的内在需要建立起来的。这就形成了“行政规定式”的内审机构。20世纪90年代之后,企业为了加强自身管理的需要,发挥内部审计机构的作用,企业内部审计机构在隶属领导层次上,一种模式是受董事会或者监事会领导;另一种模式是受总经理领导,从而增强了内部审计机构的独立性和权威性。内审机构置于董事会或监事会的领导下,内部审计以相对独立的身份受董事会或监事会之托对经营者的业绩进行监督,造成经营者对内部审计的误解,认为内部审计是专门对经营者挑毛病、找麻烦,从而不同程度地引发了审计风险;内部审计机构置于总经理领导下,内部审计作为总经理的参谋和助手,会涉足企业经营活动有关的风险,从而引发审计风险。
内部审计机构是单位内部设置机构,在本单位负责人的领导下开展工作,为本单位实现经营目标服务。因此,内部审计的独立性不如外部审计,在审计过程中,不可避免地受本单位的利益限制。就内部审计的实质而言。充其量,内部审计只是企业的管理手段之一,只是服务干企业管理当局的管理工具,是管理当局主观意志的体现。鉴于此,企业的内部审计很难站在客观、公允的立场上对企业的财务状况做出客观、公正、合理、合法的评价。特别是当面对领导参与或法人违纪时,内部审计往往无能为力。在这种情况下,作为企业的内审部门,如若服从于长官意志,不能对企业的财务进行有效监控,不能做出真实、客观的评价,听之任之,而出具虚假审计报告,就会埋下巨大的隐患。
2内部审计所处的外部环境不佳
内部审计所处的外部环境不佳主要表现在以下几个方面:
(1)法制不健全。随着市场经济的发展和改革的深入,许多新情况、新问题不断出现,而我国内部审计的依据只有几部《审计署关于内部审计工作的规定》、《审计机关指导监督内部审计业务的规定》,《内部审计具体准则》等,出现明显的滞后性。
(2)审计对象的复杂性和隐蔽性。内部审计事项的复杂性和隐蔽性往往增加审计难度,使审计人员对事实真相难以作出准确判断。由于内部审计事项一般与企业的生产经营活动联系比较密切,涉及到企业生产经营的方方面面,一些敏感事项涉及人事关系复杂,舞弊手段隐蔽,内部审计人员取证难度较大,从而面临审计风险。
(3)被审计单位内部控制制度较差,会计信息失真使得内部审计风险人为增大。
3内部审计程序缺乏规范性
审计是一项规范性很强的实证工作。内部审计工作从开始到结束要经过三个阶段:准备阶段、实施阶段和终结阶段,每一个阶段包括不同的内容和步骤。但在实际工作中,很少有人严格依据规范化审计程序开展业务。具体表现为:
(1)指令性计划太多,积极参与方案太少。可审可不审的不安排审计,必须审计的,有的对审计工作中的问题视而不见,有的不深入进行审计,审计取证随意性大,所取证据证明力不足。这些都说明,内部审计工作程序缺乏规范性,会引发内部审计风险。
(2)选用内部审计方法的影响。绝大多数审计人员偏好用经验判断法和详查法,而较少用到统计抽样法。当前审计人员对于审计抽样存在着一些片面的认识,一是认为审计抽样没有详细审计来的可靠,不管审计的业务量多大,都一味地采取详细审计,排斥审计抽样;二是将审计抽样等同干审计抽查,用审计抽查的结果判断审计总体;三是过多地采用经验抽样法进行审计抽样,结果由于审计人员经验不足等原因造成审计误差较大。
(二)内部审计风险产生的主观原因
1内部审计人员业务能力的局限性
我国内审人员普遍具有的综合素质和专业技能与审计工作的要求还有相当距离,主要原因是一些单位领导不重视内审工作,不重视内审人员队伍建设,将一些“老弱病闲”、工作能力差、缺乏责任心的人员安排到审计岗位上,导致审计人员整体素质不高,缺乏专业审计知识,判断和识别风险的能力较差。
2内部审计的方法存在弊端
目前内部审计采用的审计方法是制度基础审计,这种审计方法的弊端日浙突出,已不能适应当今复杂的经营环境。因为它过分依赖被审计单位内部控制制度的测试,本身就蕴藏着巨大风险。
(1)我国内部审计方法模式滞后的影响。我国内部审计方法模式仍以账项基础审计方法为主,主要审计目的是“查
错防弊”,内审人员风险观念淡薄,审计风险控制因素考虑较少。更谈不上运用最新的以风险导向为核心的审计方法来防范和化解风险。
(2)抽样审计误差影响。内部审计中抽样技术虽已被广泛应用,但是内审人员在运用这一技术时,基本上全凭审计人员的主观标准和经验来确定样本规模和评价样本结果,这种判断抽样极易遗漏重要事项,形成审计风险。
(3)内部审计质量控制制度不健全的影响。为保证内部审计质量,内审组织应建立完善的质量控制制度。但是,部分审计机构至今仍缺少事前的审计计划、事中的审计程序和报告期的审计复核;审计工作底稿不完整。一般仅记录审计问题事项,而未记录内部审计人员认为正确的审计事项,使得审计复核、审计质量控制无从下手;审计报告以协调关系为出发点,以肯定工作成绩为基调,问题定性模棱两可。以上状况的存在,使得保证内部审计质量成为一句空话,更谈不上防范风险。
三、内部审计风险的防范与控制
(一)保证内部审计机构和内部审计人员的独立性独立性是内部审计区别与企业其他审计部门的重要标志,要使内部审计实现其职能,发挥其作用,必须保证内部审计机构和人员的独立性。无论内部审计机构是由董事长领导,还是由总经理领导,都存在弊端,在董事长下设审计委员会,在行政系统——经营管理系统设置审计机构是企业最好的选择。从内部审计机构设置独立性、权威性、高效性的原则上看,这种模式也是最为科学、有效的。理由如下:一是能够最大限度地体现内部审计的独立性和权威性。现在企业制度强调内部审计机构的独立性和权威陛,而独立性和权威性的强弱取决于内部审计机构的隶属关系和领导层次的高低。领导层次越高,独立性和权威性就越强。反之就越弱。二是符合国际惯例。这种双向负责、双轨报告,保持双重关系的组织形式,与国际内部审计师协会的《内部审计实务准则》的要求相一致。该准则指出:“内部审计的目的是协助该组织的管理成员有效地履行他们的职责”,而内部审计所要协助的本组织的“管理成员”,是“包括管理人员和董事会成员”两方面的成员。三是有利于保证现代企业制度下内部审计职能的发挥。传统的审计理论多强调和偏重于内部审计的职能,忽视了内部审计的评价和服务职能。从西方现代内部审计工作的发展来看其重心已经转移到评价和建设性功能的发挥,这同样也是我国内部审计的发展趋势。四是能帮助审计委员会有效履行公司治理职责。审计委员会的组成人员中,并不是每个成员都具备财务方面的专业知识,他们也无法经常参加审计业务。一方面,审计委员会要有效履行全面监管的职能,就需要依靠内部审计的监督职能,并经常与之保持信息的沟通;另一方面,内部审计人员具有相关专业的技能和资源优势,了解公司的内部控制,可以对审计委员会实施有效的帮助。
(二)健全内部控制制度
现代审计是以内部控制制度为基础的抽样审计,完善内部控制制度是降低内部审计风险的有效途径。首先要建立严格的内部牵制制度;第二是要坚持岗位分离的原则;第三是要严格遵守审计工作底稿分级复核制度;第四是审计部门领导要巡视,最后要建立上项目质量考核制度。
(三)提高内部审计人员的素质
1提高内部审计人员上岗资格的获取条件
参照国际内部审计师协会建立国际注册内部审计师制度的做法,在我国建立注册内部审计师资格考试制度,提高内部审计人员的从业门槛。提升内部审计队伍的整体素质。
2规范内部审计人员的职业道德
内部审计风险在一定程度上是由内审人员职业道德水平低造成的。职业道德水平低就可能使内审人员不关注审计工作质量,造成审计工作质量降低,这无疑会造成审计风险。规范内审人员的职业道德就是要使内审人员具有过硬的政治思想素质、严谨的工作作风和高度的工作责任心,就是要创造和保持一种以崇尚正直和威信为中心的经营文化和组织精神,就是要将职业关注和风险意识贯穿于审计的全过程。从思想上、心理上防范审计风险。
3提高内部审计人员的业务水平
内审人员业务水平的高低直接关系到内部审计风险及风险损失发生的可能性的大小,同时也反映着内审人员风险意识的强弱。因此。强化内审人员的风险意识,从而降低内部审计风险,必须提高内部审计人员的业务水平。要提高内部审计人员的业务水平,首先,应配备合格的内部审计人员,要将实践经验丰富、业务水平较高、工作责任心强的人员充实到内部审计队伍中,使内部审计队伍的构成从单纯的财务人员向具有综合知识和能力的多元化高素质人才的结构转换。其次,应建立内部审计人员的从业资格考试和考核制度,加强对内审人员的后续教育,使内审人员掌握与内部审计有关的法规动态,把握新的《内部审计具体准则》。再次,应建立严格的内部审计人员聘用机制,并对新聘用者进行适当的培训和监督指导,培养其风险管理意识和职业谨慎态度,从进人关上为防范审计风险打好基础。
4严格内部审计工作程序
严格制定科学合理的内部审计工作程序是圆满完成审计工作任务、降低内部审计风险的重要手段。从审计任务下达、审计工作方案的编制到实施审计、编制审计工作底稿、撰写审计报告,整个工作流程必须有一套规范的程序。在准备阶段应该建立审计计划制度;在实施阶段应该建立审计取证管理制度;在终结阶段应该建立工作底稿复核制度和审计报告制度。审计报告结束后应该建立档案管理制度,并且还要重视后续审计。对在审计报告中要求本单位纠正、整改的问题是否落实,提出的建设性的建议是否被采纳,验证提出的建设性意见是否符合实际进行检验,这样有利于提高审计工作的质量。降低审计风险。
5改进内部审计方法
风险导向审计是将被审计对象置于一个大的经济环境中,运用立体观察的理论。从企业所处的外部环境、经营方式和管理机制等各个方面来分析评估审计的风险水平,并把风险意识贯穿到审计的全过程。风险导向审计程序分为五个阶段:
第一阶段,通过预备调查、分析性检查、了解、评估等方法确认重要的审计领域,目的是评估固有风险,它一般在审计计划开始时进行。
第二阶段,了解和评估重要的资料来源,考虑何处可能出错,确认与评估相关的控制,目的是寻找并确定控制弱点,一般在期中审计时进行。
第三阶段,执行初步风险评估(即固有风险和控制风险的联合)。首先考虑固有风险,再对控制风险做出初步评估,通过对管理意识、控制程序、职责分工等状况的判断,对控制有效或无效做出判断。如果有效,对其可依赖程度如何、发生重大错误的可能性如何进行风险评估,确定不同的风险程度。针对不同的审计风险,选择可靠的、有效益的、有效果的审计查核程序。
第四阶段,拟定与执行审计计划,通过实施审计程序获取审计证据。
第五阶段。执行全面评估,将审计结论形成书面文件,即做出审计报告。
由此可见。风险导向审计以风险评估为起点,注重从宏观层面上了解组织及其环境,识别和评估内部审计风险,并将识别和评估的风险与审计程序相联系,设计和实施进一步的控制测试和实质性测试,并通过审计程序将审计风险降低到内审人员可以接受的水平
6建立内部审计质量控制与评价体系,实现内部审计的目的
(1)建立有效的内部审计质量控制与评价体系
内部审计质量控制是防范内部审计风险的核心。内部审计部门应建立健全一套科学、严密的内部审计质量控制制度,并把这套制度推行到每一个内部审计部门、每一个内部审计人员和每一项内部审计业务,促使内审人员按照专业标准的要求执业。在审计的每一环节上,识别风险因素。消除或减少内部审计风险,保证内部审计质量。通过全面、综合地考核与评价,促进内部审计工作质量的提高,达到防范与控制内部审计风险的目的。
(2)转变观念,充分发挥内部审计的增值功能
要使内部审计创造价值,单位和组织就必须彻底转变观念,促使内部审计的工作重点由财务审计转向经营审计,逐步将审计内容扩展到企业发展战略及经营决策审计、投资效益审计、物资采购审计、生产工艺审计、产品销售审计、人力资源管理审计、后勤服务审计、环境审计等方面,使内部审计有更多的机会为组织创造价值。内部审计人员也应当注重自我完善和自我发展,用新思维、新视角审视内部审计,将工作重点转向利用内部审计创造价值、防范企业经营风险、当好管理者的高级参谋和得力助手,以高度的敬业精神和广博的知识与技能发挥内部审计的增值功能,提升内部审计的地位和影响,取得组织各级人员的信赖和支持。
审计风险已经受到人们的重视,但是关注较多的是社会审计,对内部审计的重视还不够。内部审机风险的存在及成因的多样化是内部审计发展的重大障碍。所以应努力加强内部审计风险的管理,以求降低内部审计风险,提高内部审计质量。
本文得出的结论如下:第一,依据新颁布的审计准则提出了内部审计风险的组成要素(借鉴注册会计师审计风险的组成要素)包括重大错报风险和检查风险,并提出内部审计的特征。第二。从主观和客观两个方面提出内部审计风险产生的原因。第三,根据内部审计风险的成因提出相应的防范和控制措施,从宏观和微观上进行分析,在宏观上提出了风险导向的内部审计方法。内部审计风险是不可能完全消除的,只有通过加强内部审计风险的管理、提高内部审计人员的素质,才能使内部审计的作用得到充分发挥。