一、内部审计风险含义与特点
内部审计风险与企业经营风险总体上相一致。一方面,内部审计部门是企业组织机构的一部分,即使是目前的控股和相对控股公司也存在着产权纽带关系,归属上的同一性使内部审计部门的利益与企业整体利益密切相关;另一方面,内部审计的目的在于提高企业的经济效益,为企业增加价值,具有与企业相一致的总体目标。内部审计归属上的同一性决定了其相对的独立性。内部审计部门行政上受企业管理,人员待遇方面也依赖企业提供,它与企业的联系是千丝万缕的,存在着复杂的人经济关系。这种情感上的纽带必定会对审计工作产生一定的影响,使审计人员承担更多额外的风险。被审计部门与审计人员在价值观念上的冲突,使内部审计面临外部审计所没有的风险。一般来说,管理部门对内部审计的概念更为狭隘,这样会限制内部审计做更多有益的工作,同时也是内部审计部门不能更有效地为组织服务。审计需要接受和认可,审计人员与被审计单位价值观念的不同将会使内部审计人员的工作需求得不到满足,工作效果受到限制,产生风险的可能性就会大大增加。内部审计风险中的报告风险更为突出。审计报告对问题的表述会直接影响被审计单位和相关负责人的业绩评价,因此往往成为审计人员与被审计单位关注的焦点。在实际工作中,被审计单位总是对审计报告提出种种变通的要求,例如承认所调查出的问题作法不妥并承诺改正,但要求不上审计报告;要求就存在的问题在审计报告上的具体表述作变通,减轻问题的严重性等等。内部审计在这种情况下处于两难境地,如实上报,被审计单位有意见,还可能会影响以后的工作关系;按照被审计单位要求报告有违背内部审计职业道德和工作准则,也不符合内部审计的基本要求,必定会带来报告风险。内部审计部门是公司风险管理的最后一道防线,因此内部审计风险的影响更大,后果更严重。IIA多年来就一直积极倡导内部审计参与风险管理,它认为内部审计为组织提供价值的两个非常重要的途径是对风险管理的充分性、有效性以及内部控制框架的有效性提供保证服务。《企业风险管理———总体框架》指出,首席执行官对风险管理负有最高职责,内部审计师负有关键的支持责任。从某种意义上说,框架的执行远比框架的设计重要,一个设计完美的控制框架可能因判断错误、滥用职权、相互勾结、情境变化等原因而失效。内部审计对风险管理活动进行持续监控、修正和独立评估可以合理保证企业风险管理框架的有效实施。由此可见,控制内部审计风险,保证内部审计质量对企业是至关重要的。
二、内部审计风险表现形式与动因
广义的内部审计风险包括审计职业风险和审计工作风险。后者是内部审计主体对企业经营管理活动实施审计时,由于不确定因素影响或者由于审计人员能力所限,作出不恰当的审计判断或是对存在的错弊未予揭示,从而造成企业遭受损失的可能性。这部分风险是不可控的。而前者是指对内部审计职业界的发展产生不利影响的因素与环境总和。影响内部审计风险的因素主要有以下几个方面:内部审计的法律法规体系不健全。国家审计有《审计法》,社会审计有《注册会计师法》,而内部审计仅有审计署出台的内部审计规定,还没有相关法律法规,规定层次明显偏低,权威性不足,从根本上导致了内部审计从业风险。组织对内部审计不够重视。内部审计机构的设置不尽合理,部分单位将内部审计设在财务部门或将其与经委、监察合并,没有把它有机地融入到企业的管理体系中,加大了内部审计风险。内部审计机构独立性不强。我国内部审计是在政府的推动下发展起来的,其行政性太强,审计人员与被审单位的各种利益密切相关,使得内审机构及其人员独立性不强。内部审计人员的整体素质不高,增加了审计职业风险。内审人员总体素质不高,与现代企业制度的要求不相适应,直接影响到内审工作开展的深度和广度。内部审计对象的复杂化和业务范围的扩展增加了审计职业风险。现代企业由于经营规模的扩大,经营业务的日趋复杂,使得内审对象逐步扩展,为内部审计带来了更多的风险。企业经营风险导致的审计职业风险。企业改制,外资引入,收购、重组、租赁、关联交易等新问题不断涌现,经营风险加大必然导致内部审计职业风险的增加。
三、内部审计风险防范机制探讨
建立健全内部审计法规准则体系。审计署了《关于内部审计工作的规定》。中国内部审计协会制定了《内部审计准则》、《内部审计人员职业道德规范》,并了具体准则。这些规定和准则还不能满足实际需要,需在实践中紧密结合未来发展变化情况,并积极借鉴国外先进或成功的做法,对之不断加以总结改进充实提高,制定出较为健全有效的我国内部审计规范体系。建立行业自律机制。内部审计协会:一方面,要为协会成员传播内部审计信息和知识,致力于提高内部审计人员的职业道德水平和业务素质,研究内部审计工作的模式,不断开创内部审计工作的新局面;另一方面,各企业内部审计机构要积极主动参与内部审计协会活动,支持内部审计事业的发展,为防范内部审计风险营造一个良好的职业环境。推广先进审计技术方法。风险基础审计是将审计风险观念全面应用于审计过程的一种审计模式,它通过对审计风险进行系统的分析和评价,来确定审计风险是否可以控制在可容忍的范围内。风险基础审计在世界各国已广泛应用,它从审计准备阶段就开始考虑审计风险,并把它控制在最低水平,从而减轻审计人员的法律责任,降低审计风险。我国的内部审计也应尽快向这种审计模式过渡,以控制审计风险,提高审计效果和质量。合理设置内部审计组织结构。在董事会下设审计委员会,在行政系统—经营管理系统设置审计机构是企业最好的选择。这样的组织结构在保持信息的客观性的同时,通过为组织中所需要它的成员与内部审计信息来时内部审计作用最大化,同时减少了对内部审计工作的干扰,降低审计风险。实施具体审计程序时,通过审计风险管理降低审计风险。内部审计人员实施审计时,必须按规范的审计程序,选用恰当的审计方法。首先,要合理确定审计项目。内部审计部门在确定审计项目时要考虑企业管理的需要,围绕企业中心工作确定项目;其次,审计项目数量与审计力量之间要平衡,不应不切合实际、不考虑业务承受能力盲目确定审计项目;再次,要保证审计证据的充分性、可靠性和相关性,保持应有的职业谨慎,客观公正的出具审计报告,把审计风险控制在审计过程中的每一个环节。全面提高审计人员素质,建立完善的内审队伍。一是完善注册内部审计师资格考试制度,提高内审人员就业门槛,优化内审队伍素质;二是配强内审人员,建立由审计、会计、法律、经济管理、工程技术和计算机专业技术人员组成的队伍,改善企业内部审计队伍的知识结构;三是通过多途径、多方式对内审人员进行培训和考核,不断提高其专业胜任能力和职业道德水平。建立审计责任追究制度。建立审计责任追究制度,明确规定内部审计人员对自己所做的工作承担相应的责任,进一步增强内部审计人员的质量意识和责任意识,有效降低审计风险。首先,要对审计质量责任进行评估,并以此为依据,对涉及质量问题的各级责任人所应负的审计责任进行追究;其次,应成立审计质量检查委员会,并使其成为审计项目质量检查、评估、和责任追究方面的权威机构;最后,应建立日常监督与事后检查相结合的质量责任监督检查制度。通过对各质量控制环节的监督,强化过程控制,将事后责任评估工作前移,并定期开展事后审计质量检查工作,防范风险于未然。
作者:产航 单位:中南财经政法大学
