审计风险的产生原因及其防控措施

2016-03-28颜永才陈龙

财政监督 2016年10期

●颜永才陈龙

审计风险的产生原因及其防控措施

●颜永才陈龙

审计工作是我国经济社会发展中的重要部分，其复杂性导致在实际运用中不可避免地出现审计风险，做好审计风险的规避与防范工作能够有效提高我国审计事业的质量。本文主要介绍了审计风险构成、风险产生、影响因素以及危害等，并对审计风险的规避与防范提出了措施建议，以期有助于我国审计市场逐渐发展完善。

审计风险风险控制风险防范

长期以来，国内外许多学者一直从事关于审计风险以及审计风险防控等方面的研究。国外对于审计风险的研究早于国内，在审计风险模型等方面取得了一定成果，我国目前从事审计风险相关理论研究尚未成熟，然而随着审计市场的逐步发展，我国对于此领域的研究日渐深入。

审计风险是指，当财务报表存在重大错报时，注册会计师发表不恰当审计意见的可能性。审计风险有着客观性、普遍性等特征。审计风险模型的发展反映了审计人员对于审计风险认识的加深。审计风险模型最早由美国注册会计师协会提出，经不断改善，现已进入现代风险导向审计的发展阶段，在此过程中，审计方法也随之演变，最初审计工作的单一性使得审计方法以账项审计为主，由于社会经济事项越来越多样化，审计方法由账项审计逐渐发展为制度基础审计，随着制度基础审计方法暴露出审计资源分配不均等问题，风险导向审计方法进入了人们的视野，风险导向审计方法关注了企业内外部的环境变化的因素，使审计人员能更好地识别审计风险。风险导向审计是目前最主要的审计方法，审计职业界在该审计方法的基础上，仍在努力探索风险导向审计的新模式，积极推进我国风险导向审计的健康发展。

一、审计风险的构成

审计风险包括固有风险、控制风险和检查风险。固有风险是指在考虑被审计单位相关的内部控制或程序之前，财务报表里某类交易、账户余额或者某项认定发生重大错报的可能性。其具有四个特征：受财务报表里的错误和舞弊的影响，在财务报表中，错误和舞弊的次数越多，则固有风险越大；其产生与被审计单位有关，而与审计人员无关，审计人员不能通过自己的工作来消除风险，只有被审计单位提供严谨的报表才能降低审计风险；受被审计单位外部经营环境的间接影响，市场环境的变化增加了审计工作的难度，进而增加了审计固有风险；独立存在于审计过程中。

控制风险是指当财务报表里的某项认定发生重大错报，但被审计单位未能通过内部控制发现该错报的可能性。控制风险受被审计单位内部控制设计及运行有效性的影响。控制风险具有三个特征：被审计单位的内部控制影响控制风险，内部控制制度与工作流程不够完善，则控制风险就越高；审计人员工作不影响控制风险，控制风险无法通过审计人员的工作而降低或者消除，只能通过被审计单位的工作来评估其水平；内部控制制度的缺陷独立于审计过程，因此控制风险一直存在。

检查风险指注册会计师为降低审计风险实施了审计工作程序后，仍未发现存在的重大错报的可能性。检查风险具有两个特征：与固有风险和控制风险无关，它不受审计过程影响；与检查风险直接相关，在实际审计工作中，审计人员通过保持审计证据的充分性与适当性来使审计风险控制在合理的范围内，降低检查风险。

二、审计风险的产生原因

由于经济活动的复杂性导致了审计风险的产生。因此，充分认识审计风险产生的原因，才能提出相应的措施来防范。审计风险产生的原因主要有以下几点：

第一，审计独立性的缺失。审计独立性由三方面因素造成：政府对审计市场的过度干预，使得审计人员很难做到独立与公正；法规不健全、惩治不力且违规成本低，我国相关的审计法律法规与监管不够健全，企业在经济活动中缺乏规范，加之违规成本低，使审计工作的独立性受到威胁；审计定价不规范，会计师事务所之间的价格战使其减少了某些审计程序，造成审计独立性缺失。

第二，与审计人员相关因素。我国审计事业相关的审计制度和法律法规还不健全，对审计人员约束不够，审计人员在进行审计工作时钻法律的空子，导致审计风险的产生。从我国现状来看，会计师事务所中的很多审计人员不具备进行审计工作所需要的能力，导致发生审计风险；有的会计师事务所不按照审计质量控制基本准则进行审计工作，使审计程序出现差错，产生审计风险。审计工作中大多采用的统计抽样的审计方法，由于审计人员无法消除对审计样本与审计总体间的误差，以此为基础做出的判断会导致审计风险的产生。

第三，其他因素。众多企业相关资料的有限性决定了其内部控制有限性，内部控制一旦发生漏洞，审计工作将难以进行，则审计风险一定会增加；会计师事务所在招聘员工时大都会选择实习生来做一些繁琐复杂的工作，实习生缺乏实际工作经验，在对企业进行审计的时候难免会出差错，造成审计风险的增加；企业信息技术的不完备以及信息系统的不稳定都会增加企业出现重大错报的机会，当信息技术的复杂度较高以及规模广泛，如果审计人员无法很好地评估与测量企业信息质量时，会增加审计风险出现的几率；另外，出于成本因素考虑，审计人员会选择放弃执行一些意义不大的审计程序，这也会产生审计风险。

三、审计风险的防控措施与建议

审计风险的存在对审计业务的多方主体都会造成不利影响。一方面，审计风险会降低从事审计业务的审计人员与机构的信誉，有损自身形象；另一方面，有差错的审计报告无法反映真实财务状况，从微观层面来看，审计风险会导致被审计单位自身以及社会同行业企业做出错误的经营决策，从宏观层面来看，会导致国家依据错误审计信息进行政策调控。基于此，本文提出以下措施建议：

（一）提高审计人员的意识与道德素质

审计人员只有具备良好的职业素养，增加自身的专业能力、审计意识和风险意识，不断提高审计质量，才能有效地控制审计风险。具体措施有:第一，适时开展风险审计教育和素质教育，通过学习来提升人员整体素养、通过实践培养审计意识；第二，会计师事务所负责人通过制定奖惩制度来鼓励、督促审计人员做好审计工作；第三，适时开展批评与自我批评。审计人员能够通过自我反省来提醒自己需要具备的审计能力、风险审计意识和道德素质。

（二）建立内部控制制度

建立健全内部控制制度，使企业内部各部门之间互相牵制、相互制约，使审计部门能够真正发挥其财务监管职能。一是完善各项审计控制制度，要求内部审计人员严格遵守内部控制制度，减少工作中的错误；二是强化内部管理，如建立审计项目质量考评、绩效考评制度等，约束审计人员的行为。

（三）增加独立性和客观性

审计工作发挥其职能的关键在于审计工作、审计人员的独立性以及审计报告过程和结果的客观性。审计机构和审计人员应不屈从于权力主体，做到客观、独立，保证审计的公正性；同时，建立健全审计制度和法律法规，一切审计工作、审计程序均按照法律及制度规章进行，用法律的武器保证审计工作的独立性和客观性。

（四）合理配置审计资源

资源结构的转变可以产生质的变化。一方面，根据各审计人员的专业特长分配审计工作，使每个人发挥自身优势，实现资源配置的优化，从而减少审计风险发生的人为因素；另一方面，合理安排审计时间。审计时间也是审计工作中一项重要的资源，通过合理安排审计时间来减少时间成本，实现利益最大化，减少审计风险。

（五）创建良好的审计社会环境

良好的审计环境对于有效规避审计风险是很重要的。如果无法建立良好的外部审计市场环境，审计报告质量受到质疑，无法为审计报告使用者提供公正的信息，也就失去了审计行业存在的意义。对于出具虚假审计报告的行为，社会应予以坚决的抵制，加大惩罚力度。为了形成良好的审计环境，各事务所首先应从自身做起，加强职业操守，同时建立行业内部互相监督的体制，共同创造良好的职业环境，提高自身在社会中的可信度，使审计质量得到保证。

（六）注重科学的分析方法

注册会计师在执行审计业务，要注重科学的分析方法。要对整个审计工作保证系统的分析方法，审计人员要坚持以风险管理为导向的风险审计模式，在整个审计过程中注重对审计观念的培养，最终选择有效的审计程序，将审计风险降至可接受的合理水平。实际操作中要遵循审计质量和控制风险的原则，保证审计证据质量，不能以审计证据充分性替代适当性或者因审计成本等问题减少必要的审计程序，从而无法对获取的审计证据进行科学合理的分析推断，要统筹实质性测试与分析检查等方式进行分析，达到有效控制审计风险的目的。

（七）加强与被审计单位意见沟通

在审计工作中，审计人员应积极与被审计单位人员就相关事项进行沟通，尽量全面掌握情况。对已查证的相关事实，应告知被审计单位，是否能形成一致认可，对不认可的事项，在询问被审计单位时，要认真分析被审计单位对不一致事项的情况说明，充分考虑各种主客观因素，采取进一步的调查取证。在沟通过程中发现的自身失误或应调整的分析处理，审计人员应予以及时改正，从而做出客观公正的分析与意见。

（八）建立审计风险保险机制

建立审计风险保险机制，预防审计风险。对于业务工作中客观存在的审计风险及其责任承担，提前建立风险准备基金制度，专款专用于审计风险发生时对事务所造成的损失。或者通过第三方保险公司对本事务所可能出现的风险进行投保，当实际发生审计风险损失，通过保险公司的业务赔款能够减少事务所的实际损失，降低了审计风险对事物的影响。

（九）加强被审计单位信息技术的控制

传统的人工控制模式下，审计人员只需要对人工控制流程进行控制。采用信息化技术后，更要充分考虑信息化下自动控制对于审计业务的影响，审计人员需要从信息技术一般控制审计、信息技术应用控制审计以及公司层面信息技术控制审计三方面考虑。

对于信息技术的一般控制，审计人员主要从程序开发、程序变更、程序和数据访问以及计算机运行方面进行控制；对于信息技术的应用控制，审计人员要对数据输入、处理以及输出等环节的完整性、准确性、存在和发生进行审计控制；对于公司层面的信息技术控制，审计人员应考虑企业对于信息技术规划、信息技术内部审计制度、信息安全和风险管理、信息系统架构和信息技术复杂程度方面的规定。