浅析内部审计风险的成因与防范(一)

一、内部审计风险概述

  (一)内部审计风险的概念

  内部审计风险可以概括为狭义的审计风险和审计职业风险两个方面。狭义的审计风险指审计人员无意识地发表了不恰当的,偏离客观事实的审计结论并因此遭受损失的可能性。既包括把客观上是正确的东西判断为错误的,并给予否定的α风险,也包括把客观上是错误的东西判断为正确的而加以肯定的β风险。审计职业风险主要指,虽然内部审计人员根据审计规范采取了正确的审计程序,发表了恰当的审计意见,但因为审计机构和审计人员之外的原因,使审计机构和审计人员受到损失和伤害的可能性。这些原因主要包括:审计资源的有限性、被审计单位存在的固有风险等。当内部审计机构所在的组织的管理层对上述原因没有了解的情况下,有可能对内部审计的期望过高,对内部审计职业的发展构成影响。

  (二)内部审计风险的构成要素

  内部审计是组织内部的一种独立客观的监督和评价活动,其审计对象是被审计单位的经营活动和内部控制。由于对内部控制的测试是内部审计的直接目的,因此,审计风险的构成要素为重大差异或缺陷风险与检查风险。其中,重大差异或缺陷风险指,在审计之前,被审计单位经营活动及内部控制中存在重大差异或缺陷的可能性。检查风险指审计人员未能通过审计测试发现重大差异或缺陷的可能性。

  (三)内部审计风险的特征

  1、客观性。由于抽样审计方法本身存在的缺陷,以及被审计单位经济业务的复杂程度、管理人员道德品质等因素,审计结果与客观实际不一致的情况一般难以消除。审计风险客观存在于审计活动过程中。

  2、普遍性。有什么样的审计活动,就有与之相对应的审计风险。审计活动的每一个环节都有可能导致风险因素的产生。任何一个环节的审计失误,都会增加最终的审计风险,并会最终影响总的审计风险。

  3、潜在性。审计风险只有在错误形成以后经过验证才能表现出来。假如这种错误被人们无意中接受,即不再进行验证,则审计人员由此而应承担的责任或遭受的损失实际没有成为现实。所以,审计风险只是一种可能的风险,它对审计人员构成某种损失有一个显化的过程。

  4、无意性。审计风险是由于某些客观原因,或审计人员并未意识到的主观原因造成,即并非审计人员故意所为,审计人员在无意中接受了审计风险,又在无意中承担了审计风险带来的严重后果。倘若审计人员因某种私利故意作出与事实不符的审计结论,则由此承担的责任并不形成真正意义上的审计风险。

  二、内部审计风险成因分析

  (一)审计风险形成的客观原因

  主要指内部审计本身的固有缺陷及所处环境方面的原因,具体包括以下几个方面:

  1、内部审计抗御风险能力先天不足,对审计风险构成影响

  ①内部审计一般不可能拒绝组织管理层安排的审计项目,即使该审计项目存在极大的审计风险,审计人员依然要进行审计并发表审计意见。这一问题在一部分单位已开展的对拟提拔领导人员任前经济责任审计中表现的尤其突出。在这类审计中,组织要求审计机构必须履行审计任务,出具审计报告,提出审计结论,发表审计意见。同时,为了保障被审计单位的业务运行正常有序,给予审计机构的审计时间又非常有限。对于这类审计任务,审计机构只有完成,无法因被审计单位可能存在较大的固有风险而拒绝审计。审计机构对这类审计的审计风险难以控制。

  ②当发生审计失败,而责任又并非审计人员过错时,审计人员很难通过区分会计责任和审计责任的方式解除自己的责任。在组织内部,也没有某种机构来调查审计人员的尽责情况以减轻审计责任。有的审计机构在审计前,要求被审计单位签订承诺书,承诺所提供的资料真实、完整,想以此减轻审计责任。但是,因为没有相关的制度规定对提供了虚假的资料的单位负责人进行处罚,审计承诺制度实际上是形同虚设,无法起到保护审计人员的作用。

  ③内部审计在取得外部证据方面能力较弱。审计证据是指内部审计人员在从事审计活动中,通过实施审计程序所获得的,用以证实审计事项,作出审计结论和建议的依据。从审计证据的可靠性程度而言,因为外部证据来源于被审计单位外部,没有经过被审计单位的作业系统而直接由内部审计人员取得,其来源的客观性较强,可靠性也较强。取得外部证据,有利于审计人员作出正确的审计结论。但是,因为内部审计机构存在于特定的组织当中,其权力也仅限于在该组织中行使,要取得外部证据,基本依靠被审计单位提供和相关外部单位的配合态度。如果外部相关单位不予配合,则无法有效取得外部证据,因此,内部审计取得外部证据的能力较弱。从审计实践的情况看,被审计单位与外部经济业务纷繁多样,内容庞杂,被审计单位与相关外部单位关系复杂,审计人员在缺少外部证据的情况下,要证明被审计单位发生交易的真实性、合法性与完整性,的确非常困难,由此对审计结论的恰当性造成极大的影响。例如,在国家审计之前,组织一般都要求内部审计先行自查,但因为难以取得外部审计证据,内部审计无法有效发现重大问题。而这些重大问题,在国家审计时,因其取得审计证据的能力强,从而被揭露出来,造成内部审计机构十分被动。

  2、内部审计资源有限,导致审计风险产生

  近年来,经过内部审计人员的不懈努力,组织对内部审计的重视程度日益提高。同时,随着组织业务规模的拓展,组织结构的复杂,组织管理层对审计信息和审计结果的依赖程度也不断增强,寄希望内部审计在查清问题,明确责任,加强内部管理,提高经济效益方面发挥更大的作用。但是,审计资源,包括审计机构的人力状况、知识经验、财力和时间,相对于组织的期望总是有限的。

  现实中,审计机构人力资源不足,知识结构单一的问题始终没有得到有效解决。人力资源缺乏,知识结构存在缺陷,导致审计监督覆盖面小,审计深度不够。一些组织为了弥补人力资源不足的缺陷,尝试采取审计机构牵头,有关业务部门参加的联合审计方式。但因参加审计组的各业务部门的人员无法由审计部门确定。因此,无法保障参加审计任务人员的质量,效果并不明显。

  审计资源的有限性还体现在审计项目开展方面。为了适应组织在不同发展时期的具体情况、满足组织管理层的专门要求,内部审计的审计项目已呈现出多样性的特点,不仅包括传统的财务收支审计,还更多地开展了效益审计、管理审计、经济责任审计、风险管理审计等。每种审计项目的审计目标又各有侧重,如经济责任审计强调对被审计人的业绩确认,经济责任完成情况的界定,对经济责任履行情况的评价;风险管理审计注重对风险事项的识别与评估、对有关风险管理措施的充分性、有效性的评价等。但是,内部审计资源在一定时期内是相对有限的,不可能同时开展上述的各种审计项目,只能根据组织当前的需求,有所侧重地将审计资源投入到一定类别的审计项目中,依据具体的审计目标,设定审计程序、收集审计证据,发表审计意见。不可能在审计项目中做到面面俱到。这种情况下,就可能出现审计死角的问题。而一旦出现重大问题,给组织造成了损失,尽管审计工作开展规范,审计人员尽职负责,相应的审计结论客观恰当,但组织管理层依然有可能以审计机构曾对该单位进行了审计为由,追究审计机构责任。这也是为什么“安然”和“世通”公司的内部审计机构虽然做了大量审计工作,而这些公司依然发生了财务丑闻的一个原因。

  组织管理层对审计的期望,应以现实的审计资源为基础。审计机构也只有在其资源允许的条件下才能发挥作用。超出审计资源的限制,审计机构就难以完成审计任务,导致审计风险的形成。

  3、审计对象的复杂性和被审计单位的经营管理情况对审计风险影响较大

  内部审计的审计对象是组织的经济活动和内部控制。在现代市场经济环境下,组织的经济活动正在变得日益复杂。特别是迅速扩张中的企业组织,业务领域不断拓宽,在原有产品生产、劳务服务基础上,已涉足资本运作、房地产开发以及其他的投资活动。随之而来的,一方面是经济行为日益复杂,经营风险不断提高,另一方面,为了占有更多的市场,业务开展较快,内部控制则相对滞后。这种情况给内部审计工作增加了难度。首先,资本运作项目,房地产开发项目等投入资金大,项目运行时间长,外部影响因素多,对其进行审计评价,发表恰当的审计意见比较困难;其次,审计人员的知识积累、专业经验和职业判断能力有可能在短时间内无法适应业务的迅速扩展和新业务的复杂性,造成审计结论严重偏离实际情况的可能性加大,从而加大审计风险。

  被审计单位经济业务活动的特点,内部控制制度的强弱,技术发展趋势,管理人员的素质和品质等因素对被审计单位的经营风险产生影响,进而影响审计风险。一是被审计单位的资金、人员和业务量的多少。在其他条件相同的情况下,资金、人员越多,业务量越大,信息包含错误且被发现的可能性越高,审计风险越大;二是被审计单位重要岗位人员的流动情况。重要岗位人员的流动越频繁,由于员工对该岗位业务不熟练,有关错误发生的的可能性也越大,给审计工作带来一定的风险;三是管理人员的正直性与遭受的异常压力。管理人员缺乏正直性,或者遭受诸如经营状况不佳、连续亏损、受托经济责任难以完成等情况时,则信息存在重大错误或舞弊的可能性会增大;四是被审计单位的行业性质。一般而言,经营风险高的行业,其经营失败的可能性大,审计风险也高;五是容易遭受损失或被挪用的资产。若某项经营活动涉及容易遭受损失或被挪用的资产,则与之有关的重大差错或舞弊的风险会增加;六是被审计单位的内部控制情况。内部控制健全有效,则审计风险小,反之则大。

  (二)审计风险形成的主观因素

  审计风险的主观原因是指审计人员自身因素及审计项目开展对风险形成的影响,具体可以从以下几个方面来说明:

  1、审计人员素质的高低是决定审计风险大小的主要因素

  审计人员的素质包括从事审计工作需要的专业知识、审计经验、应有的职业谨慎性、高度的工作责任感与积极的工作心态等。审计人员的专业知识与审计经验是审计人员素质的重要内容。但是专业知识需要不断更新,审计经验需要实践积累。面对纷繁复杂的审计内容,专业知识的陈旧与审计经验的不足都会造成审计责任无法履行和审计判断出现错误,直接导致审计风险的产生。例如,会计电算化和网络技术深入发展,为审计人员在信息系统环境下的审计工作带来了不同于传统手工业环境下的审计风险。但是,由于对IT技术生疏,审计人员无法有效对对这些内容进行审查,形成审计空白,加大了审计风险。

  审计人员风险意识不强,加大审计风险。由于我国多数内部审计机构在初建时,并非出于组织管理的需要,而是基于国家的强力要求,导致一些内部审计机构和审计人员的风险意识淡薄,认为内部审计仅是奉命行事,履行手续而已,即使出现误差或疏漏,也没有多大影响。这种思想非常错误。随着市场经济的不断深入,组织所处的内外部环境已发生了巨大的变化,加强内部管理,增加组织价值,保障组织目标的有效实现已成为组织的迫切愿望,而这一愿望必须在组织内各部门,包括内部审计部门,有效履行职能的情况下才能实现。审计机构和审计人员如果没有风险意识,就会加大出现重大差错的可能性,致使审计职责无法有效履行。不恰当的审计信息有可能误导组织管理层作出错误的决策,最终给组织造成损失。组织也将因此严厉追究审计机构和审计人员的责任,导致审计职业受到损害。

  另外,审计人员的工作责任感不高、没有积极的工作心态,也是造成审计风险加大的原因。舞弊等重大问题,往往隐藏很深,在审计过程中,审计人员如果没有责任心,不积极主动地思考分析问题,仅被动地执行规定的审计程序,极有可能遗漏这些重大问题,造成审计失败。

  2、内部审计欠规范,审计质量失控制,造成审计风险增大

  审计程序是审计机构开展审计活动的全过程,包括制定审计项目计划、准备阶段、实施阶段和报告阶段。审计程序是使审计工作能够按照科学合理的轨迹有序运转的保证,在审计过程中,审计人员要根据所确定的审计目标和可支配的审计资源,针对具体的审计事项取得具有充分证明力的审计证据,依据审计证据去证实审计事项与审计依据的相符程度,就审计事项的性质作出审计结论,并将审计结论传达给利益相关的人。审计程序是确定审计目标的手段,是确定审计方法的前提,规范的审计程序是保证审计质量,降低审计风险的客观要求,是提高审计效率,减少资源消耗的有效途径。

  2003年以来,根据审计署《关于内部审计工作的规定》,中国内部审计协会陆续制定和公布了中国内部审计准则,对规范审计程序,提高审计质量,减小审计风险起到了积极的推动作用。但是,一些组织的审计机构没有根据这些内部审计准则修订、完善自己的审计工作规定,没有积极规范自己的基本审计程序,没有建立健全审计质量控制制度和措施,导致审计工作随意性大,表现为,在审计计划的制定中,未能以风险为导向制定审计计划;在审计的全过程中,没有合理考虑和应用重要性标准;审计项目开展之前,缺乏充分的审前调查,审计实施方案的编制缺少依据;必要的审计程序存在缺失;取得的审计证据证明力不足;审计工作底稿随意编制,审计范围存在漏洞的可能性大,作出的审计结论依据不充分。