浅析企业内部审计风险及其防范策略

曹平珍

摘 要：本文以企业内部审计作为分析对象，从具体的定义出发，解构審计风险的特点，阐述审计风险的成因，并给出防范的策略，以期为企业内部审计从业者提供参考。

关键词：企业内部审计;审计风险;定义;特点;成因;防范

在内部审计受到重视的同时，如何有效保障审计效果，遏制审计风险的危害，成为审计人员重点关注的问题，具有重要的现实意义。

一、企业内部审计风险的定义

企业内部审计的结果会误导信息使用者，并由此给企业运营和决策造成损害。一般来说，企业内部审计风险有三种类型。

1.固有风险

企业的业务特征决定了固有风险，它由业务自身性质来决定，表示发生问题的可能性。例如负责采购的职能、负责实物资产管理的职能，其具备的固有风险相对于其他职能而言，不确定性会相对更高。固有风险在企业中很难得到控制，也较难通过数据来衡量。在企业内部审计过程中，被审计对象的业务复杂度常常带来固有风险，它会使审计人员职业判断出现偏差，而且很难被定量评估。

2.控制风险

通常，企业通过内部控制来预防、侦察和纠正不利事项，当企业的控制措施没有达到预期效果时就会引发控制风险。内部控制存在固有局限，因此控制风险总是存在。在企业内部审计过程中，控制风险主要有两种：一是与内部控制设计相关，被审计对象在设计控制时存在缺陷或者忽略了薄弱环节，进而带来了风险，审计人员在审计意见或结论中都会对内部控制的设计提出评估意见，对于严重的控制问题会提出改进建议。二是与内部控制执行相关，例如在舞弊串通时，就会存在绕开既定控制的情况，这种隐蔽的方式会造成控制风险的发生。

3.检查风险

由美国注册会计师协会（AICPA）提出的审计风险模型指出：审计风险=固有风险卓刂品缦諃准觳榉缦铡F渲校逃蟹缦蘸涂刂品缦蘸苣驯挥行拦篮透纳疲蟛糠智榭鱿抡庑┥蠹品缦帐遣豢杀苊獾模觳榉缦斩杂谄笠的诓可蠹贫裕怯凶沤细呖煽匦缘摹<觳榉缦詹闹匾蚴巧蠹迫嗽弊陨淼奈侍猓纾蠹迫嗽痹谏蟛楣讨忻挥邪凑占榷ǖ墓ぷ鞅曜贾葱校蛘呱蠹迫嗽比狈槲茨苌钊氲鞑槿≈ぁ⑼诰蚰谠谖侍狻W艿睦此担觳榉缦漳芄煌ü晟颇诓可蠹乒ぷ鞴娣短逑岛腿肆ψ试刺逑档冉徊浇档汀？

二、企业内部审计风险的特点

1.审计风险的广泛性

目前，企业内部审计不再是传统的财务收支审计，还包括内控审计、安全审计、绩效审计、合同审计、研发审计等多种类型，涉及的面非常广。随着审计内容的不断扩宽，审计人员的胜任能力受到挑战，也使得审计风险呈广泛性趋势。

2.审计风险的可控性

前文中提到，内部审计风险包括固定风险、控制风险和检查风险。固有风险和控制风险的可控性相对较低，更多建立在企业的内部环境基础上，受审计人员主观影响的要素不多。而检查风险则与审计人员息息相关性，具备很强的可控性。如果在审计活动中，采用标准的工作流程并有效搭配审计人员的经验和技能，可以有效地降低审计风险。对企业来说，审计风险主要由检查风险组成，所以在整体上具备可控性。

3.审计风险的隐蔽性

企业的内部审计风险隐藏在审计活动的各个环节中，需要审计部门具备良好的内部管理机制以及审计人员丰富的经验才能有效地识别风险。在实践当中，审计部门往往无法定量衡量审计风险所带来的损失，审计人员也很难确定审计风险的类型。

三、企业内部审计风险的成因

企业内部审计风险的危害源于审计信息的失真，要有效地防范审计风险，就需要察觉其成因。总体上，企业内部审计风险的成因是多维度的，可以从审计环境因素、审计人员因素和审计管理因素三方面来考虑。

1.审计环境因素

随着我国经济进入换挡期，产业结构面临调整，许多企业不再拘泥于特定行业，开展多元规划，形成多种经营领域并存的格局。这种变化给企业的内部审计带来了更加复杂的审计环境，面临资源、技能和经验等方面的不足，从而导致审计风险被放大。此外，企业在信息系统方面的长足发展加剧了审计环境的复杂化，审计人员获取被审计对象信息的难度也越来越大，分析信息的难度也呈几何趋势增长，审计人员结论的准确性难免有所下降。

2.审计人员因素

在企业的内部审计中，很多环节需要依靠审计人员的职业判断，这对审计人员的职业素养提出了非常高的要求。我国在审计领域起步较晚，从业人员的素质还存在参差不齐的现象，整体上还有很大的提升空间。为了能够与被审计对象进行沟通并给出合适的意见和建议，审计人员除了精通审计技术和方法外，还需要熟悉财务和业务知识，这对审计人员的快速学习和持续学习能力提出要求。总体上来说，企业内部审计风险与审计人员因素有很大的关联性，审计人员的职业素质强，则审计风险能得到有效控制，反过来，则会显著提高审计风险。现阶段，企业中大多数的审计人员是从财务或业务岗位转岗而来，在审计专业能力方面还不能很好地达到有效降低审计风险的要求，在许多方面亟待提高。

3.审计管理因素

每个企业的业务特点各不相同，被审计对象也千差万别，针对不同行业性质，审计业务目标常常差异很大。作为企业的审计部门，如果在审计管理上仅使用单一的模式而缺乏针对性，势必会增加审计疏忽的可能性。在实践当中，一些企业在审计管理上照搬理论，缺少具体情况具体分析的探索精神，在规章制度上存在很多不合理的情况，无形中放大了审计风险。

四、企业内部审计风险的防范

1.提升审计人员职业素养

企业内部审计是一项专业性强并且对审计人员各项综合素质有较高要求的活动。第一，需要精通审计标准实务，以此来规范和指导审计过程;第二，需要熟悉会计原则，因为所有的业务流程最终都汇集在财务流程中;第三，需要理解管理原则，这有助于判断被审计对象的内部控制和目标实现情况;第四，需要了解业务知识，不了解业务就无法有效地开展评估并提出建议;第五，需要沟通能力和表达能力，保证审计过程中的相互理解和报告的可读性;第六，需要责任心和主观能动性，这是发现问题根本原因所必备的素养;第七，需要职业道德，这是审计人员之所以被信赖的基础。企业应该将上述内容纳入考核审计人员的关键绩效指标，并定期对审计人员进行培训，通过不断地更新知识、提高能力，并与考核机制相互作用形成正反馈，以此来全面提升审计人员职业素养，达到有效控制审计风险的目的。

2.健全企业内部审计规章制度

随着企业越来越向综合化、多元化方向发展，出现了很多以前不曾遇到的审计管理问题，审计部门必须健全规章制度，才能有效地界定审计职能并达到审计质量要求。要减少审计风险最核心的规章制度当属审计质量控制，通过严格的质量保证和完善的改进程序来约束审计行为、规范审计过程，同时持续改善审计问题。质量保证和改进程序能够有效避免审计活动中的随意性，让企业内部审计有其评判的标准。质量保证在一定程度上可以为每个审计环节减少风险，进而促使整体审计风险的降低，例如，审计工作底稿的分级复核，就是一个缓解人工差错，及时发现并处理工作底稿问题的制度，这些措施能保障审计活动的有序进行，为工作质量的提高奠定了基础。此外，改进程序能帮助审计人员意识到自己的疏忽，从而在未来的审计活动中避免再犯同样的错误，这从制度层面上降低了审计风险。

3.以合理的风险水平开展业务

通常人们都会认为风险越小越好，但这其实是一个错误的观点，在COSO风险管理框架中认为，风险的减少会对应成本的增加，将可接受风险控制在合理水平是最好的策略。可接受风险也叫重要性水平，是指风险事件造成的损失在企业可承受的心理和经济预期内。审计人员不可能全面掌握所有被审计领域的知识以及发现所有可能的审计问题，这样需要投入的资金、技术和人工成本过高，最合适的做法是将审计风险限定在一个合理的、可接受的水平上，特别是采取以风险为导向的审计方法，抓大放小，确定审计业务活动的重点。通过这种方式将审计风险与审计过程联系起来，以便缓解业务层面上可能出现的问题。另外，从人员層面上，审计人员在接受具体任务时，要考虑胜任能力并保持应有的职业审慎，保证在自己具备知识、技能的范围内开展工作。

总的来说，企业内部审计风险防范是企业共同协调的结果。企业应提升审计人员的职业素养，加强审计部门管理，增强风险意识，在缓解审计风险同时提升审计质量，使企业的运营步履轻盈、持续发展。

参考文献

1.穆锋博.关于审计风险及其缓解策略.行政事业资产与财务，2016（25）.

2.石砾.银行审计风险及其防范策略.中国市场，2018（12）.

3.于澜.集团公司审计风险的防范策略探讨.中国市场，2018（24）.

4.胡蕾.高校内部审计风险及防范策略研究.商业经济，2015（9）.

（责任编辑：何卉）