浅析企业内部控制审计风险

天津财经大学 赵宇

1 企业内部控制审计概述

上世纪80年代的美国，内部控制的失效导致上市公司出现财务报告作假、公司越权管理和破产等事件络绎不绝。随着时代发展，企业面临的风险和不确定性因素也越来越多，许多企业监管、规制部门也都开始重视内部控制。2010年4月，《企业内部控制配套指引》的发布，强制上市公司和非上市大中型企业对内部控制的有效性进行自我评价，披露年度自我评价报告，应同时当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。

因为管理层或职员错报的可能性会因为健全的内部控制而降低，提高会计信息可靠性，从而内部控制成为确保财务报告可靠性的一项重要制度安排。然而，管理层披露的内部控制自我评估报告的可信度不够高成为了内部控制的主要缺陷，因此需要注册会计师对管理层披露的内部控制自我评估报告进行审计，从而使内部控制信息的可信度提高。内部控制审计业务就这样应运而生。

所谓内部控制审计，就是对企业实行的内部控制的设计及运行的有效性进行确认、评价，发现并分析内部控制设计和运行的缺陷，找出形成原因，提出改进内部控制建议。注册会计师应当计划并实施适当的审计程序，搜集充分、适当证据对内部控制的设计和执行有效性出具审计意见，不仅是内部控制系统，注册会计师也需要对企业的内部审计人员、内部控制评价人员和其他相关人员的专业能力和客观性进行评价。在内部控制审计过程中，如发现一般缺陷则应及时与企业管理层沟通，重大缺陷则须在非财务报告内部控制重大缺陷段披露。

2 企业内部控制审计风险及其影响因素

2.1 内部控制审计风险的定义

根据《企业内部控制审计指引》对内部控制审计风险的定义为 “内部控制存在重大缺陷而注册会计师出具了一个不恰当的意见的风险”。通常在实务中，这种风险就是企业内部控制存在重大缺陷而注册会计师没有发现。对于经营管理审计来说，其风险还有效率低下、决策失误、舞弊欺诈、越权管理等一系列不利于企业持续运营的问题，但注册会计师却没有有效识别和恰当揭示，从而发表不恰当的审计意见和结论，给审计报告使用者带来损失和风险，而追究审计人员责任的可能性。

2.2 影响内部控制审计风险的因素

以下三种情况会导致内部控制的重大缺陷出现：(1)内部控制在设计时存在着不合理；(2)设计合理的内部控制在执行时候不够充分；(3)合理设计和充分执行的内部控制没有有效运作。注册会计师必须确认以上三种情形都不存在时才能对内部控制发表无保留意见。

经过分析，内部控制审计风险综合可以表示为：

ICAR＝IR×CDIR×ICER

ICAR (Internal Control Audit Risk)为内部控制审计风险，是指注册会计师对内部控制发表了不恰当的审计意见的风险。

IR (Inherent Risk)为固有风险，固有风险总结归纳起来有两个要点，第一就是假设不存在相关的内部控制，仅由内部因素和客观环境影响。第二是企业的账户、交易类别或整体财务报表发生重大错报。固有风险的高低取决于被审计单位的自身因素(如公司的经营状况、员工的素质、管理阶层的品行、公司的模糊交易和账户等)以及公司的外部经营环境因素(如公司的发展前景、相关政策和法规等)。只要固有风险较低，那么即使公司的内部控制制度存在一定程度上的不足，也不会导致很高的内部控制审计风险。注册会计师需要根据可能导致固有风险发生的因素对固有风险进行综合评价，所以需要将他们包括在控制风险分析中。

CDIR (Control Design and Implementation Risk)为控制设计和执行风险，其含义为假设企业存在内部控制，但是由于对固有风险考虑不全面内部控制设计时就存在一定程度的缺陷，或是设计合理却在执行过程中出现问题而没有达到预期目标导致的内部控制存在的重大缺陷。注册会计师在分析内部控制时，需要全面考虑固有风险情况，对内部控制设计和执行进行评价。也就是说，在判断内部控制执行的有效性时，要考虑内控的设计是否合理。如果合理，则继续判断控制执行的有效性。如果内部控制没有被合理设计或者没有按照规定被执行，则要考虑设计的不合理或执行无效会带来何种状况。控制和执行风险主要来源还是固有风险，固有风险越高则对控制和执行的要求就越高，反之，如果固有风险较低，对控制设计和执行的要求也随之降低。

ICER (Internal Control Evaluation Risk)为内部控制评价风险，它主要指的是注册会计师因为受到审计时间、审计资源、以及自身水平等原因，没有发现被审计单位内部控制中存在的重大缺陷而出具了错误审计意见的风险。注册会计师需要对内部控制审计风险、固有风险及内部控制设计和执行风险进行综合评价分析，来确定一个在可接受范围内的内部控制评价风险水平，从而决定控制测试的程度。内部控制评价风险是必然存在不可避免的风险，这种风险与其他的风险不同在于主要取决于注册会计师设计审计程序的合理性和执行的有效性，而与被审计单位无关。因此要降低控制评价风险，注册会计师应提高内部控制审计程序的合理性，保证程序严格执行，以控制评价风险的目的。

3 企业内部控制审计风险防范

3.1 充分了解被审计单位

注册会计师对企业实施内部控制审计的一个重要前提是要对被审计单位内部控制情况进行全面了解,这也是审计工作的第一步。对被审计单位的基本情况注册会计师应重点了解：被审计单位的行业现状和发展前景，经营理念及其目标等。在管理层方面应重点了解单位领导人在相关行业的工作经验和学历，对于内部控制的态度以及是否曾经涉嫌违反财经法规等。以前年度在于管理层沟通中遇到的问题和障碍也是应当了解的问题之一。只有做好了内部审计工作的第一步才能保证整个审计工作的有效性。

3.2 审计人员素质的提高

企业经营情况多变，经济形势复杂，所以需要审计人员具有丰富的专业知识和敏锐的形势洞察力，所以内部控制审计人员业务素质水平的高低直接关系到内部控制审计是否能帮助企业防范审计风险。审计人员应在心中始终怀有风险意识，无论任何审计业务都依照独立审计准则进行审计，保持职业道德水准。同时，审计人员应积极阅览相关业务的专业书籍，把握经济形势，提高判断分析和预测的能力。行业之间交流经验心得，不断更新知识，与时俱进，了解最新审计业务相关的法律法规和制度，以确保业务质量，从而将内部控制的审计风险在自身方面降到最低。

3.3 科学的内部控制审计质量控制制度

内部控制审计的质量控制制度是实行内部控制审计活动的规范和标准，是审计责任的明确划分依据，所以要想提高审计质量，必须要建立一套完整的科学的内部控制审计质量控制制度和业务流程。这项制度要贯彻到每个人，每个部门，每项审计业务上，使注册会计师在实行内部控制审计的每一个环节上都依据的实施标准，帮助他们识别、减少、消除风险因素并督促注册会计师对职业道德规范遵守，迫使注册会计师不断提高自身执业能力，保证整个会计师事务所的质量。

3.4 施行对审计机构的内外监督

监管部门可以考虑对注册会计师行业实施独立监管，单独设立一个审计行业的监管稽查部门。该部门和审计师行业及政府机构部门和企业相互独立，使审计师行业实现自律和自处。该部门职能包括质检、惩戒和制定审计准则，并受其他部门的监督。同时也要对注册会计师行业设立互查监督制度。注册会计师通过互查对同行的审计质量和独立性表示意见并对不足提出改进措施，当发现同行有违规行为及时向监管机构举报并提出相关处罚的建议。客观公正的互查制度可对注册会计师的审计质量提供保证，降低审计风险的发生率。

4 结语

目前，我国关于内部控制审计的理论相比于欧美国家还有很多的不足和学习改进的空间，理论和实际的结合也尚未成熟。我国企业内部控制审计缺乏相应的思想指导是因为理论的不足；审计工作在监督，执法等方面问题层出不穷是体制的不完善所致；同时审计人员的知识不足，导致企业内部控制审计工作无法按照要求顺利进行。这些问题是当下各审计部门、审计人员无法避免、值得深思的问题。同时，作为审计人员更要正确面对内部控制审计的产生的内部控制审计风险，加紧对内部控制审计问题的讨论，并采取有效的措施防范和控制该类审计风险，才可能使内部控制审计发挥更大的作用。

[1]财政部会计司.企业内部控制配套指引[M].北京：经济科学出版社,2010.

[2]陈艳华.浅析企业内部控制审计风险[J].财政监督,2012(01).

[3]高玉荣.内部控制审计风险[J].财会研究,2011(09).