中石化山东石油分公司 张书淼

随着经济全球化的快速发展，企业之间的竞争日趋激烈，因此面临的经营风险不断增加。如何加强企业内部审计风险管理，对审计风险进行客观评估，并采取相应措施尽量避免和有效控制内部审计风险，提高审计质量，已成为当下审计理论研讨的主要课题和内部审计人员必须密切关注的问题。本文从审计风险定义、审计风险评估和风险评估步骤三个方面，结合具体事例探讨了企业内部审计风险规避问题。

一、审计风险与评估目的

国际审计准则第25号 《重要性和审计风险》将审计风险定义为:“审计风险是指审计人员对实质上误报的财务资料可能提供不适当意见的风险。”在内部审计领域，内部审计风险具体表现为内部审计人员未能发现被审计单位经营活动及内部控制中存在的重大差异或缺陷而做出不恰当审计结论的可能性，是由客观风险和主观风险两方面要素组成的。

那么，这三者是如何导致审计风险的呢？一是固有风险独立于会计报表审计之外存在的，是审计人员无法改变其实际水平的一种风险。二是被审计单位内部控制未能及时防止或发现其会计报表上某项错报或漏报的可能性必然存在，审计人员无法防范控制风险。三是审计人员通过预定的审计程序未能发现被审计单位会计报表上存在的某项重大错报或漏报的可能性存在，会导致检查风险，但检查风险可以通过审计人员进行控制和管理。

风险管理旨在为组织目标的实现提供合理保证。首先，评估审计风险是为了控制审计风险，保证审计质量。其次，评估审计风险是为了更好的规划审计，提高审计效率。另外，在审计风险评估过程中，审计人员通过调查了解一旦确认被审计单位管理中存在的问题和面临的风险，审计人员可以据此提出有针对性地改进管理的建议，促进被审计单位进一步加强管理，从而增强审计效果。

二、审计风险评估的步骤和方法

（一）确定可以接受的审计风险

可接受审计风险水平的确定，应综合考虑各方面因素：一是报告方面的考虑，如报告主要使用者的需求、标准等；二是经营方面的考虑，如总体经济环境、行业、关键成功因素等；三是规章制度方面的考虑；四是被审计单位财务和资本化状况；五是被审计单位与主要客户、供应商、相关团体之间的独立程度；六是收集审计证据的轻松程度和成本。对于大多数被审计单位来说，除特殊情况外，一般情况下可接受审计风险水平为5%，审计保证系数为3，审计保证程度为95%。

（二）了解被审计单位及其环境，评估固有风险

了解被审计单位及其环境是审计人员对被审计单位经营活动及内部控制中存在的风险进行评估的必要程序，是一个连续和动态地收集、更新与分析信息的过程，贯穿于整个审计过程的始终。审计人员应当运用职业判断确定需要了解被审计单位及其环境的程度，识别和评估重大错报风险。

1、询问程序

询问被审计单位管理层和内部其他相关人员，可以考虑向管理层和财务负责人询问。除了询问管理层和财务负责人外，还应当考虑询问内部审计人员、采购人员、销售人员、生产人员等人员，并考虑询问不同级别的员工，以获取对识别重大错报风险有用的信息。

2、分析程序

分析程序是指审计人员通过研究不同财务数据之间以及财务数据与非财务数据之间的内在关系，对财务信息作出评价。在实施分析程序时，要预期可能存在的合理关系，并与被审计单位记录的金额、依据记录金额计算的比率或趋势相比较。如果发现异常或未预期到的关系，应当在识别重大错报风险时考虑这些比较结果。

3、观察和检查

通过此程序，可以印证对管理层和其他相关人员的询问结果，并提供有关被审计单位及其环境的信息。一是观察被审计单位的生产经营活动；二是检查文件、记录和内部控制手册；三是阅读管理层和治理层编制的报告，如年度财务报告、股东大会、董事会、高级管理层会议的会议纪要，管理层的讨论分析材料、经营计划和战略，投资项目的可行分析报告等；四是实地察看被审计单位的生产经营场所和设备；五是追踪交易在财务报告信息系统中的处理过程（穿行测试），确定被审计单位的交易流程和相关控制是否与之前了解的相一致，并确定相关控制是否得到执行。

只要有某种迹象表明可能存在重大错误，就应取固有保证系数为0，固有风险评估为100%；一般情况下，即使在各方面情况较好，出错可能性较小的情况下，固有保证系数至少应取0.7，及固有风险水平为50%。

（三）对被审计单位内部控制进行测评，评估控制风险

1、了解被审计单位内部控制的主要内容

（1）针对被审单位整体，了解控制环境、风险评估和监督要素。一是了解控制环境，因为控制环境的好坏直接影响到特定控制活动的有效性；二是对风险评估要素调查，主要内容是被审计单位如何确定风险、评估风险，如何将风险发生的可能性与管理目标、经营计划和财务报告的相关内容联系起来并采取相应措施；三是对监督要素进行调查，主要内容是被审计单位为监督各项工作的运行而使用的预算、计划、责任报告等制度与方法，内部审计部门的设置和工作情况。

（2）针对被审单位整体和各主要业务领域，了解信息与沟通要素。审计人员调查信息与沟通要素的重点是被审计单位的会计系统，应查明以下事项：被审计单位经营活动的主要业务类型，处理各类经济业务的程序，各项业务的会计处理程序和所依据信息的来源，会计系统的设计和重要的会计凭证、账簿种类以及会计报表项目，各部门间信息的传递方式等。

（3）针对被审单位各主要业务领域，了解控制活动要素。审计人员调查了解控制活动要素的主要包括：被审计单位各项业务处理程序的授权批准，职责分工，实物控制，凭证与记录的实质和运用，独立的检查程序等控制手段的设置情况。

2、调查了解被审计单位内部控制的方法

（1）询问。询问的对象通常包括被审计单位管理部门、监督人员和普通工作人员等不同层次。通过向不同层次的人员实施相互印证式的询问，可以从侧面验证被询问者答复的真实性。

（2）检查。检查被审计单位的各项管理制度和相关文件，并与管理人员和工作人员进行讨论，从而判断他们对文件中的有关规定的解释和理解是否恰当。检查内部控制过程中生成的凭证和记录，一方面审计人员能更好的理解内部控制文件的精神，增加对内部控制各要素的感性认识，另一方面，还可以提供内部控制执行情况的证据。

（3）观察。实地观察被审计单位的业务活动和内部控制的实际运行情况。进一步加深对内部控制设置和执行情况的了解和认识。

（4）穿行测试。证实对交易流程和相关控制的了解。在若干主要业务领域中选择一笔或几笔具有代表性业务和事项进行测试，以验证内部控制的实际设置是否与审计工作底稿上所描述的内部控制相一致。可以将观察、询问以及检查等方法有效结合起来。

3、对内部控制进行初步评价

在识别和了解控制后，根据执行上述程序及获取的审计证据，需要评价控制设计的合理性并确定其是否得到执行。首先是初步评价内部控制的健全性和合理性。其次是对各主要业务和会计领域的控制风险水平作出初步评估。第三是对是否依赖被审计单位的内部控制进行审计做出决策。如果认为内部控制较为健全、合理，通过实施内部控制测试，验证内部控制的有效性，就相应缩小实质性测试的范围，确定实质性测试的程序和重点。如果进行了健全性和合理性评价后认为被审计单位的内部控制不够健全，弱点较多，不能作为实质性测试中抽样检查的基础，那么审计人员就不应对内部控制加以依赖，直接进入实质性测试。

通常进行健全性和合理性评价后，发现被审计单位存在以下问题时，就可决定不依赖其内部控制：一是相关的内部控制风险水平初步评估为高水平，二是对内部控制进行内部控制测试的工作量可能大于进行内部控制测试所能减少的实质性测试的工作量。

（四）在决定依赖内部控制的情况下，对内部控制的执行情况进行测试

1、内部控制测试的分类

内部控制测试是审计人员为了确定被审计单位内部控制的设置执行情况和有效程度而实施的审计程序。只有在审计人员决定依赖内部控制时，才有必要根据所评估的控制风险水平的高低，设计相应的内部控制测试程序。

（1）业务程序测试。即审计人员选择若干笔具体的典型业务，沿业务处理过程检查业务处理程序超过规定的控制点是否得到执行，以判断控制措施的遵循情况。

（2）功能测试。即审计人员针对业务处理程序中的关键控制点，选择若干时期的同类经济业务进行测试，检查其是否真正发挥作用，效果如何。

2、内部控制测试的方法

（1）询问。即审计人员在内部控制测试和评价中，为了了解被审计单位各项业务操作是否符合控制要求，而向有关人员询问某些业务执行情况的方法。

（2）观察。即审计人员在内部控制测试中，身临被审计单位的工作现场，实地察看有关人员的工作情况，以确定规定的控制措施是否得到了严格执行的方法。

（3）检查。即审计人员在内部控制测试中，抽取一定数量的账表、凭证等数据文档和其它有关资料文件，检查其是否存在控制措施线索，以判断内部控制是否得到有效贯彻执行的方法。

（4）重做。即审计人员在内部控制测试中，将某项交易业务按照被审计单位规定的程序全部或部分重做一次，以验证既定的控制措施是否被贯彻执行。

（五）根据测试结果对内部控制进行再评价

审计准备阶段，审计人员已通过调查了解，对内部控制的可依赖性和控制风险水平、控制保证系数作了初步评价，并在此基础上执行了审计方案。经过了内部控制测试后，审计人员对被审计单位内部控制的实际运行情况和控制效果有了更深入的了解，可能发现内部控制的实际运行情况和原先了解得不一致，这时就需要根据内控测试的结果对内部控制进行再评价，重新调整控制风险水平和控制保证系数，据以确定是否需要调整审计方案。首先，评价内部控制测试获得的证据，然后是评价控制风险。如果出现下列情况之一，该审计人员应将控制风险确定为高水平：一是被审计单位的内部控制薄弱，二是审计人员无法对内部控制的有效性作出评价，三是审计人员不准备进行内部控制测试。

（六）按照审计风险模型确定检查风险，并据此确定实质性测试的范围和重点

审计人员通过对被审计单位内部控制实施调查了解，评价固有风险，然后通过内部控制测试，对被审计单位控制风险作出评价。根据该评价结果，审计人员合理运用专业判断，考虑相关影响因素，按照审计风险模型（审计风险=固有风险×控制风险×检查风险）推导出检查风险（检查风险=审计风险/（固有风险*控制风险））。根据确定的检查风险水平，合理设计对各交易类别和帐户余额的实质性测试。

具体来说，如果审计人员评价被审计单位内部控制风险较低，那么审计人员可以重点进行符合性测试，执行有限的实质性测试，就可以确保审计风险处于可接受水平。相反，如果内部控制风险较高，那么审计人员只有依靠执行更多的实质性测试，才能确保审计风险保持在可接受水平。

结束语

综上所述，审计风险是客观存在的，审计风险评估必然始终贯穿整个审计过程。审计人员只有始终保持风险意识，充分应用风险评估程序，合理确定审计风险水平，才能提高审计工作质量，有效规避审计风险。

[1]中国注册会计师协会.《独立审计具体准则第9号——内部控制与审计风险》，1996年12发布

[2]中国内部审计协会.《内部审计具体准则第16号———风险管理审计》，2005年5月发布

[3]中国注册会计师协会.《审计》，经济科学出版社，2009年版

[4]李凤鸣,王会金.《审计技术方法》，北京大学出版社，2005年版