宋烨桢

摘要：伴随着内部控制审计的不断发展，对内控审计的要求也随之愈发严格，对于风险模型的需求也更加强烈。审计风险模型是管理风险的重要手段，可以在实务中帮助审计师对风险进行测量，同时也给审计资源的分配问题提供了很好的参考标准，指导审计人员把审计资源分配到风险较高的部分。本文研究企业内部控制审计风险模型，旨在希望进一步减少审计风险，保证审计质量并提高效率做点工作。

关键词：内部控制;审计风险模型

加强内控审计，能够帮助提供更为详实的财务信息，对企业管理质量的提升和运营风险的减少大有好处。内部控制是预防财务信息错误和欺诈舞弊的首道大关，也是保障企业财务信息真实性和完整性的内部机制。不完善的内部控制管理制度，无法有效识别出潜在的舞弊造假行为，极有可能导致企业经营活动的脱轨，最终造成不可估量的后果。内部控制审计作为上市公司审计中必不可少的一部分，是预防内控失控的关键环节。内部控制审计本身由于其发展较晚，存在着实施难度大，相关从业人员能力和经验不足等问题，展开内部控制审计仍然困难重重。内控审计风险模型作为管理审计风险的重要工具，在审计过程中发挥着重大作用，因此，受到广泛关注。

一、本文研究基础

关于内部控制风险的理论研究，成果累累。2007年国外专家就企业内部控制成果展开实证分析，研究结果证明企业的经营业绩与内部控制审计和执行效果之间是正相关关系，也就是说内部控制审计风险将会导致企业业绩的波动。2010年又有专家对内部控制审计进行了简单的定义，即：实体存在审计师未发现的重大缺陷的风险，审计师不会在认为该风险未被控制到可接受水平的情况下对内控发表无保留意见。2012年的研究观点认为，由于内控审计风险基本都基于注册会计师的主观判断，这必然导致审计的效率和进度会受到审计师对审计风险的评估的左右。就此引出，一个设计合理的审计风险模型是审计人员控制和防范审计风险的有力工具。董丽英（2011）对内控审计风险展开了探究，同时提出了其发展中仍需解决的问题，提出内部控制审计风险防范的几个路径 。高玉荣（2011）指出防范内部控制审计风险的具体措施主要是营造良好的审计环境、提高审计人员的素质和风险意识、建立健全内控审计质量控制制度、合理设计并严格执行审计程序、加强外部监督、实施同业互查制度。陈艳华（2012）以内控审计风险的概念为出发点，提出构成内控审计风险三个组成要素，并就如何进行风险防范展开了探讨。丛蔚（2014）从审计师和被审计单位的角度分别对内控审计风险的内涵展开了讨论，提出了自己的新见解。

关于内部控制风险审计模型，专家们也发表了各种观点。在对最早的风险模型进行改动后产生的，普遍认可度较高的传统风险模型被表达为：审计风险=固有风险*控制风险*检查风险。之后，IAASB对模型进行进一步完善，将风险要素改为重大错报风险及检查风险，以应对新的经济形势。但在各国监管机构逐渐开始重视内部控制审计并对其提出明确要求之后，审计人员发现在实务中但这一风险模型不直接适用于内部控制审计。对内部控制的审计涉及对过程的评估而对财务报表的审计涉及对产出的评价。此外，关于内控的审计意见不受分析程序或对细节的实质性测试影响。正是因为这种概念上的差异等，传统的审计风险模型不能直接作为内部控制审计的概念框架。在意识到这一点之后，研究者开始试图为内部控制审计构建一个合适且有效的审计风险模型。

2010年建立的内部控制审计风险模型是基于重大缺陷的风险，而非重大错报，他认为，只有在内部控制的设计不足以应对固有风险，或内部控制未得到充分执行，或设计及执行充分的内部控制未能有效运作时才会产生重大缺陷。同时为了将内部控制审计风险的概念区别开来，他创建了一个新术语：错误控制意见风险，即ICOR。最后为后来者提供思路，指出可以就COSO框架进一步对内控审计风险模型进行拓展。

二、内部控制审计风险模型分析

（一）内部控制审计风险模型内容分析

现有文献研究涉及的风险模型包含有以下五种代表性研究结果：

1.内部控制审计风险 = f（给定固有风险时内部控制设计及实施风险;

2.内部控制风险 = 固有风险 X控制设计及执行风险 X 控制运作有效性风险;

3.内部控制审计分析 = 固有风险 X 控制设计及执行有效性风险

4.内部控制审计风险 = 固有风险 X 内部控制设计及运行风险 X 内部控制评价风险;

5.内部控制审计风险 = 控制设计和执行有效性风险 X 控制评价风险

因此，内控审计风险模型主要由风险要素构成，大部分学者对其界定都来自对内控审计风险的涵义的理解，以可能出现重大缺陷的情况为出发点来提取风险要素。

（二）本文的审计风险模型设计

本文的审计风险模型设计如下：

内部控制审计风险= 固有风险 X 控制设计及执行有效性风险X 控制评价风险

其中，固有风险指独立于审计过程，在被审计单位经营过程中固有的风险。同时具有两个特点：一是不受注册会计师影响，只能通过适当审计程序对固有风险加以分析以此评估固有风险水平;二是固有风险会受到诸多复杂因素影响，但是不包括审计师的工作。固有风险本身不受到审计师影响，但审计师的主观判断会很大程度上影响对于固有风险水平的评估。固有风险的高低将影响对内控设计及执行有效性的评估，作为判断其有效性的重要依据，审计师必须慎重考虑在内控不存在的情况下，可能会引发哪些问题。若固有风险本身较低，则对控制的需求不高，此时即使控制存在不足，也不太可能引发较高的审计风险。伴随着固有风险的上升，则对控制的需求随之增加，需要对内控设计及执行风险进行更加严格谨慎的评估，同时也需要充分的控制来识别和防范审计风险。而控制被充分设计和执行是对控制运作有效性评估的充分條件，也只有当控制被充分设计和执行后，审计人员才会展开相关的控制测试。设计和执行得越充分，可能会导致的审计风险越低，反之亦然。gzslib202204011318

而内控设计及执行有效性风险受到内控有没有设计得当、是否执行以及执行是否有效几个因素影响，是被审计单位导致的，注册会计师在对其风险水平进行评估时需要考虑到设计不当及合理设计后没有执行或执行不佳等情况。

内部控制审计评价风险在注册会计师对企业的内部控制设计和执行效果展开评估时发生，是由注册会计师引起的，在进行了相关审计程序之后仍未发现存在的问题的可能性。注册会计师可以通过设计合适的审计程序来降低评价风险。内控评价风险同时受到其余两个风险要素的影响，审计师应当基于对两者的判断，来确定可以被接受的评价风险的水平。同时审计人员也可以设计有效的审计程序对评价风险加以控制。但评价风险本身受到主客观因素影响，可以通过相关手段减少但无法彻底消除。

内部控制审计风险模型要素之间是相互独立而又互相影响的，而要素间也存在排列的时间逻辑，在对固有风险进行适当评估之后，才会考虑设计和执行风险，与此同时通常需要根据前两者来决定评价风险的高低。要素间依次递进，互相关联，是模型本身的逻辑关系与审计流程一致性的体现。

三、现有风险模型应用局限性分析

基于上述对内部控制审计风险模型的风险要素及其内在关系的总结分析，可以发现在模型的实际应用中仍然存在着不可忽视的局限性：

1.缺乏统一的模型标准

首先我国内控审计相关的法律法规还存在空白，已经出台的准则和指导意见的法律约束力不足。仍缺乏相关文件对企业和审计师应遵循的规定进行明确要求，导致企业和注册会计师双方在行为遵循方面不统一。

2.固有风险评估存在较大局限性

对于固有风险的定义侧重于重大错报，而非重大缺陷。在对固定风险进行评估时，审计人员个人的职业判断和经验将对评估结果产生较大影响，主观性较强，所以很難进行有效的定量分析。因为固有风险难以评估的特点，实务中审计师常常假设被审计单位的内控环境良好或其员工的个人能力较高或者直接简单地将固有风险识别为高风险，而这些假设往往是错误的，会极大地限制之后的审计工作，由于未对固有风险进行整体上的把握导致对审计风险的整体评估不当.。

3.依赖于审计人员的个人能力

内部控制审计风险模型本身是一个定性的模型，很难进行有效的定量分析，在利用模型实施审计程序的过程中，需要审计人员对各风险要素展开大量的判断和评估，这对审计人员的个人能力提出了更高要求，要求注册会计师在具备足够的专业能力和技能的同时，也必须保持较强的分析判断的能力。审计师个人能力的水平高低，将直接影响到内控审计的最终结果，也对其是否能发挥风险管理作用起到关键影响。内部控制审计模型在使用过程中对使用者即审计人员个人能力的高度依赖，可能致使在实际的审计实务当中，由于审计人员的能力不足或经验缺乏的原因，导致无法识别出存在重大缺陷的部分及被审计单位的舞弊行为，致使审计失效，造成严重后果。

四、研究建议

1.对固有风险进行量化排序

从内部控制审计固有风险的特征可以看出，固有风险是企业内在的一种独立存在的风险，审计人员是无法在审计过程中通过人为干涉进行消除的。但是审计人员可以通过收集和分析有关的信息，以获得足够的审计证据，来帮助对固有风险展开评估。

在对固有风险进行衡量时，判断依据一般基于审计人员的职业判断，且没有明确科学的方法和工具，目前能努力的方向只有尽量多地列出可能影响固有风险的因素，在审计过程中通过参考这些因素来判断固有风险水平。审计人员可以在内部控制评估开始之前，根据企业的内部控制自我评价报告，在对企业的固有风险进行了解总结之后，根据企业内外部环境对风险按其可能对企业实现目标造成的影响的程度进行量化排序，再根据这个排序对重要的风险部分展开评估，以便进一步展开审计程序。通过对固有风险进行量化排序，可以便于帮助审计人员进行审计资源分配，保证高风险部分得到足够关注，以降低审计风险，提高效率。

2.培养个人能力

对审计人员个人而言，在专业能力上，要熟悉相关会计准则，在审计过程中遵循准则要求展开审计活动。同时保持持续学习的能力，不断加强后续教育，实时跟进准则的新发展新进步，主动学习审计相关的法律法规。拓宽个人知识面，避免将个人知识背景局限在会计审计领域，不断更新自己的知识储备，提高理解、总结和分析判断的能力。在职业操守方面，始终对自己的职业道德水准保持高要求，坚守职业道德准则，提高思想素质，不断强化职业道德，保持作为审计人员的职业怀疑态度，树立风险意识，对审计风险保持高度敏感和谨慎。

参考文献：

[1]董丽英.内部控制审计风险研究[J].经济与管理，2011（10）.

[2]高玉荣.内部控制审计风险[J].财会研究，2011（09）.

[3]陈艳华.浅析企业内部控制审计风险[J].财政监督，2012（02）.