- 瑞瑞爱吃桃
-
论企业内部审计的风险控制
一、引言
随着社会主义市场经济的建立和不断完善,市场竞争日趋激烈,增强竞争实力,提高经济效益,内部控制在企业内部管理系统中起着举足轻重的作用,而内部审计既是内部控制的一个组成部分,又是内部控制的一种特殊形式,它是对会计的控制和再监督。内部审计是在一个组织内部对各种经营活动与控制系统的独立评价,以确定既定政策的程序是否贯彻,建立的标准是否遵循资源的利用、是否合理有效、以及单位的目标是否达到。
市场经济的发展,所有权与经营权的分离,企业规模的不断扩大,内部环境和外部环境的要求与制约,给内部审计的发展提供了必要的前提和土壤,但同时也给内部审计增加了风险。从我国的审计现实来看,我国公司企业特别是上市公司普遍存在公司法人结构不健全或者失效的现象,其带来的许多不确定性因素使审计风险空前加大。首先,经营者缺乏有效管理,为高级管理人员欺诈,舞弊提供了机会。其次,所有者缺位,一方面导致公司经理层操纵利润,对外提供虚假信息;另一方面导致公司内部控制弱化,甚至出现公司高层人员串通造假,从而使会计造假的技术含量越来越高,使审计人员防不胜防。再次,委托人缺席,使被审计人和委托人成为同一人,这种现象降低了审计的独立性。在国际,一段时间以来,国际大公司爆发了一系列假帐丑闻。近年来,我国发生的“中农信事件”、“广国投事件”至今人们记忆犹新。前不久的“铁本事件”、“周正毅金融诈骗案”、“德隆案”,以及南方证券的被托管,等等,为什么假帐屡见不鲜,我们不得不说内部审计风险没有得到有效控制。审计风险已成为企业内部审计一个无法回避的问题。同时也都昭示这样一个事实:防范和化解风险任何时期都不能放松,内部审计应当将防范风险放在十分重要的地位。这一现象也得到了世界范围内的普遍关注,为了解决这些问题,一些相应的法律文件相继出台。
所以,如何强化审计风险意识,有效控制和规避审计风险,提高审计质量,已被提到了议事日程,加强企业内部审计的风险控制就成为必要。要对审计风险有一个全面深刻的认识,才能有效地促进企业内部审计事业的健康发展。.
二、内部审计风险及其产生的原因
内部审计风险是指当反映被审计单位及其经济活动或项目及事项的财务会计报告存在重大错报、漏报,或者内部控制制度存在重大漏洞、缺陷或未被有效执行,或者经营管理存在重大舞弊时,内部审计人员经过审计未能发现或失察,且发表不正确或不恰当审计意见的可能性。明确这一概念必须清楚,企业内部审计组织或人员是审计风险产生的主体,审计风险的本质表现为无意地发表错误审计结论的可能性。
(一) 审计风险产生原因的理论综述
1、内审机构独立性不强,影响内审工作的权威性
20世纪80年代中期,在政府的推动下,我国内部审计逐步发展起来。但它的行政性太强,审计人员与被审单位的各种利益密切相关,使得内审机构及其人员独立性不强,不能自主地开展工作,作出的审计处理决定也得不到执行。企业内部审计一方面受国家审计机关的业务指导,对本单位进行监督检查;另一方面又要受本单位行政领导,工资福利由本单位解决。业务工作的“外向型”与行政待遇的“内靠型”,使内审人员很难进入角色,久而久之,内部审计便失去了权威性。独立性是审计工作的灵魂,不能有效保证审计机构和人员在组织上的独立性、业务工作中的自主性和权威性,就不能保证审计质量和规避审计风险。
2、内部审计所处的外部审计环境不佳
具体表现为:(1)法制不健全。随着市场经济的发展和改革的深入,许多新情况、新问题不断出现,而目前我国内部审计的依据仅有一部1995年7月发布的《审计署关于内部审计工作的规定》,缺乏统一的内部审计准则,出现明显的滞后现象。(2)审计对象的复杂性和隐蔽性。内部审计事项的复杂性和隐蔽性往往会增加审计难度,使审计人员对事实真相难以做出准确判断。由于内部审计事项一般与企业生产经营活动联系较为密切,涉及到企业生产经营的方方面面,一些敏感事项涉及人事关系复杂,舞弊手段隐蔽,内审人员取证难度较大,从而面临审计风险。
3、被审单位内部控制制度不健全
内部控制制度建设及执行情况是内部审计的前提和基础。健全有效的内部控制制度能及时发现和控制企业经济活动中发生的各种差错和舞弊行为。反之,会增加差错和舞弊的可能性,使得审计人员难以发现经济活动中存在的差错和舞弊行为,从而形成审计风险。
4、单位领导对内部审计不够重视
我国不少单位设立内部审计机构是迫于法律规定或行政命令,而非出于自身经营管理的需要,因而内部审计机构的设置不尽合理。有些单位领导不明白内部审计的真正意义,认为内部审计可有可无,没有将审计融入到企业的管理体系中,真正担负起管理、监控的双重责任,这些都会使内部审计风险加大。
5、内审人员业务素质参差不齐
现代内部审计是一项涉及面非常广泛的专业活动,不仅要求内审人员具备丰富的专业知识,包括会计、审计、定量分析、内部控制的检查和评价、电子数据处理等方面的知识,而且还要求审计人员具有应有的职业道德素质。目前我国内部审计人员整体水平不高,综合素质较低,识别风险、判断正误的能力较差;审计能力相对有限,使审计所能完成任务的能力难以达到社会的全部期望;有些人职业道德欠佳,不能经受各方面的诱惑;有的审计人员的工作责任心,没有能够达到一定的要求;内审人员普遍缺乏计算机审计技能,不能适应新形势的需要;所有这些将给内部审计工作的质量、信誉带来负面影响,从而导致审计风险的出现。
6、内部审计方法存在弊端
目前内部审计采用的审计方法是制度基础审计,这种审计方法的弊端日渐突出,已不能适应当今复杂的经营环境。因为它过分依赖被审计单位内部控制制度的测试,本身就蕴藏着巨大风险。
(二)审计风险产生原因的深层次分析
1、内审机构开展审计责任的风险的主要来源
对本部门、本单位的责任者及员工较为熟悉,发现问题不好深究,情况调查不够深入;对本部门、本单位以往情况比较了解,容易产生麻痹思想而简化了相关程序,或形成思维定式,对企业已发生的变化没有引起足够的重视;本部门、本单位对固有的审计步骤和方法已十分了解,提前做好了应对“准备”,使调查取证增加了难度等以及其他一些不可控制的风险。对于不可控制的审计风险,可通过预测、评估、转移和回避等多种途径来加以缓解或抑制。对于可以控制的风险,应坚持独立、客观、公正的立场,严格执行审计规范。
2、造成内部审计风险失控的根本原因
在于独立审计关系的异化以及现行审计制度的缺陷——在所有者发生分化的情况下,现有股东、控股股东可能侵占潜在股东的利益,并通过操纵审计意见实现侵占目的;而现行审计委托制度却仍然规定由所有者(实际上是现有、控股股东)行使审计委托权;这是为现有控股股东操纵意见提供了条件;独立审计关系的异化为不独立的审计关系,而审计委托制度未作出针对性调整,致使内部审计人员的独立性失去制度保证而难以客观发表审计意见。在“银广厦”,“麦科特”等系列案件中在一定程度上就体现了内部审计的风险控制失控的现象。而主要原因本人认为就是审计的独立性不强,进而影响了审计工作的权威性。
从某种意义上说,审计风险是由审计信息不对称引起的。如果审计人获取不充分不真实的审计信息而做出了不正确的审计结论,审计风险便产生了。理论上,审计师的介入可制衡管理者的不当得利机会,最终使委托代理关系持续并向着良性方向发展。但是,这种理论上的良好愿望常常被实际的欺诈事件所打碎。审计报告的可靠性是建立在审计人员有公正、诚信的执业能力和职业道德的假设基础上的,如果该假设不成立,审计人员屡有失职,甚至与公司串通一气,联手造假,那么,审计报告非但不能有效防范信息不对称,还将进一步降低资本市场的有效性,使投资者完全丧失资本市场的信心,甚至引起国家经济衰退。在国内外资本市场上出现的每一桩造假事件,无不伴随着审计者利用审计信息不对称所采取的有利于自己私利的行动,无不揭示着某些审计师职业道德的沦丧与诚信缺失。恶性造假事件的频繁出现,也使得审计行业的社会公信力遭受重创,就是说,审计信息不对称引发了审计风险,进而引发了审计人员的诚信危机,还导致了整个审计行业的诚信危机。可见,企业内部审计的风险控制多么重要。
三、内部审计风险的防范和控制
进二十年来,世界经济发生了急剧的变化,科学技术飞跃发展,市场竞争全球化,国际金融形势复杂多变,活动经营风险日益加剧。因此,建立防范和化解风险的机制,进行有效的风险管理,已成为企业管理中得一项紧迫任务。我国内审准则中也充分考虑了“风险评估”作为内审中得一个核心概念。
(一) 防范内部审计风险的措施
对于防范内部审计风险的措施,我们不仅要对具体审计项目实施风险管理,更要对内部审计的各种环境因素进行综合风险管理,形成内部审计风险防范,力求将审计风险降到最低水平,以实现企业经营目标的实现。
1、建立和加强审计的独立性和权威性
因为独立性是内部审计的生命,是其赖以存在的必要条件。建立在企业最高管理层领导下的相对独立的内部审计机构,是完善公司治理结构,规避内部审计风险的前提条件。目前有的企业的内审机构独立性相当差,甚至是财务人员兼任审计人员,有的形同虚设。这样在很大程度上保证不了内部审计的独立性和权威性,更谈不上内部审计风险的防范和组织保障。
2、加强内部审计协会工作,为防范内审风险营造一个良好的职业环境
特别是在规范审计程序、规范审计操作、规范审计档案上更需要得到行业指导。内部审计协会为协会成员传播内部审计信息和知识,致力于提高内部审计人员的职业道德水平和业务素质,研究内部审计工作的模式,不断开创内部审计工作的新局面,为防范内部审计风险营造一个良好的职业环境。
3、树立为企业服务意识,以取得内部各职能部门的支持
内部审计要摆正自身位置,转变思想观念,树立为企业管理服务,为提高企业经济效益服务的职业形象,提高企业领导和各职能管理部门对内部审计的认识。通过交流和沟通,积极向企业领导者宣传企业与国家在根本利益上的一致性。通过交流和沟通,使企业领导者真正认识到内部审计是自己的参谋和助手,从而取得企业领导的理解与信任,取得各职能管理部门的支持与合作。
4、开展企业内部交互审计,增强各级企业组织自我约束和监督的意识
在大型企业集团中,所属的控股子公司以及设置的分公司或分支部门众多,为适应这种企业组织结构中的内部经营关系、财务关系和审计监督关系,需要建立多级内部审计制度,并形成交互审计机制。在这种机制下,各级企业组织设置内部审计机构,在上级组织指导下开展审计业务,同一级别的企业组织定期在上级组织统一领导下,对内部审计业务质量进行交互审计,总结审计经验,揭露审计工作中存在的问题,进行审计工作评比,以推动审计工作水平的提高。在整个企业集团中形成自审、互审、抽审的交互审计机制,有利于调动内部审计人员工作积极性,增强各级企业组织自我约束、自我监督的意识,降低内部审计风险。
5、加强对内审工作人员的风险意识教育
加强对内审工作人员的风险意识教育,使其认识到风险事件的重要性和不良影响,始终保持谨慎的工作态度和严谨的工作作风,客观公正地发表审计意见。加强对内审人员的后续教育,在重点提高审计技能的同时,努力提高审计人员的综合知识储备,造就一批有高度责任心、既精通财务审计又懂经济管理的复合型人才的审计队伍。加强对内部审计人员的业务考核,努力提高审计质量。
6、改进内部审计的方法,采取风险基础审计方法
风险基础审计是将审计风险观念全面应用于审计过程的一种审计模式,它通过对审计风险进行系统的分析和评价,来确定审计风险是否可以控制在可以容忍的范围内。它主要运用分析性复核的方法
不仅对客户的控制风险进行评价,同时更要对产生风险的各个要素进行分析和评价,以确定实质性测试的范围和重点,这样就使审计风险与整个审计过程密切联系起来。风险基础审计依据下列基本模式进行审计决策,即:
详细检查风险=审计风险/(固有风险×控制风险×分析性检查风险)
内审人员首先研究确定审计风险可以接受的水平,然后评估固有风险、控制风险和分析性检查风险,最后根据各种风险水平参数计算详细检查风险水平。根据确定的详细检查风险水平及其他有关数据,运用统计抽样方法,即可确定详细检查需要抽查的经济业务或记录的数量。近几年来,风险基础审计在世界各国已广泛使用,其原因就在于它从审计准备阶段开始就考虑审计风险,并把它控制在最低水平,从而减轻审计人员的法律责任,降低审计风险。内部审计也应尽快实现向这种审计模式的过渡,以提高审计效果和质量。
7、加快有关审计法规制度建设
当前,世界上许多国家对内部审计都有专门的法律规范,国际内部审计师协会也制定有内部审计实务标准等。国家应抓紧制定、颁布内部审计法规和内部审计业务准则,以统一内部审计执业规范,降低审计风险。在中国经济走向世界的同时,内部审计还要借鉴国外的先进经验,尽快地同国际惯例接轨,以谋求长足的发展。
8、建立完善的内部质量控制制度
首先,内审机构应建立健全各项规章制度并严格执行,尤其要严格审计工作底稿的分级复核制度(可根据本单位实际情况设立二级或三级复核制),减少或消除人为审计误差,及时发现和解决审计过程中遇到的问题,以保证审计计划的顺利进行,降低审计风险。其次,要建立一套审计质量指标体系,以加强对内审人员工作质量的考核,从而减少人为风险。
9、理顺内审管理体制
内审作为单位内设机构,其独立性是相对的。当前,要充分发挥内审的经济警察作用,必须进一步深化国有企业改革,理顺国有企业的产权关系及内部治理结构,推进国有企业法人与国家之间委托—受托关系的建设,切实实现国有企业的自主经营、自负盈亏、自我发展、自我约束。在规范法律、税收、货币、财政等经济运行调节手段的基础上,培育和发展国家、社会、企业内部、行业管理四位一体的监督体系,理顺内部审计所依存的外部环境,提高国有企业管理者对内部审计作用的重要性认识。
(二) 控制内部审计风险的措施
目前,在审计机构内部虽然已建立一套行之有效的内部管理制度,这对于加强审计执法,提高审计质量,防范审计风险,已起到了积极的作用。但也不可忽视,在当前审计工作面对新形势,迎接新挑战,仍然要把防范审计风险、提高审计质量,放在第一位。所以,本人又提出以下控制审计风险的主要对策:
1、面对审计风险应采取分析性对策
一是要对审计风险进行预测、控制和分析。预测审计风险,收集和整理审计风险资料,制定控制审计风险方案,评估审计风险,分析选择风险最小的方案,并采取相应有效的控制措施,如配备合格的审计人员确定有效的审计范围,实施有效的质量控制体系,健全和完善各级岗位责任制等等。二是有意回避,对被审计单位内部控制制度十分薄弱,账证记录不全,会计核算存在过多的不确定因素,审计环境不具备开展审计作业基本条件,审计风险特别大,且审计自身又无法有效控制时,对该单位不审或拒绝发表意见;也可以待其完整建账后,再开展审计工作。三是自我保障,对审计结论的表达持十分谨慎的态度,详细、清楚地说明实际审计的范围和事项,并只对此负责;避免使用绝对化的表述。如对抽审的一些事项,有限定地发表意见,不作无限定的全面评价。四是转移风险,分清风险产生的原因,如涉及其他部门或人,与有关部门联系,通报情况,对其作出的被审计处理和评价依据的某种决策、规定,要求其承担一部分责任,从而把风险责任转移给有关部门和个人来承担。五是承受风险,提高审计机关权威性和审计人员风险意识,有效地抗拒来自审计工作外部各方面的压力和干扰,减少行政和社会关系的干预,为审计人员撑腰,控制风险诱发的因素,保证审计的独立性,提高审计人员的风险承受力,保证顺利完成各项审计任务。
2、控制审计风险应采取主动性对策
防范审计风险,提高审计质量,人是决定因素。因此,必须不断提高审计队伍的政治素质和业务素质。在目前人员少、任务重的条件下,要要求每个审计干部都要树立正确的理想信念,要有事业心和使命感,要排除一切外界干扰,要廉洁自律、团结协作、服从大局,工作精益求精,吃苦耐劳;要注重案例分析和理论研究,经常召开典型案例分析会,不断总结提高;要不断学习和掌握新理论、新知识、新方法,如审计抽样技术、内控测试技术、工作底稿编制和审计报告撰写技术等;在审计过程中严格执行国家审计准则,使审计行为符合准则的要求;在审计机关内部建立质量标准体系,在现有考核标准的基础上,对审计质量工作全面进行量化和细化,制定具备科学性、可操作性的审计质量认定标准;完善岗位责任制;完善激励约束机制,如设立发现案件线索奖、审计项目优秀奖和精品奖等,对于有过错行为,应追究其责任。
3、规避审计风险应采取技术性对策
审计业务有其技术技巧。这里重点是指项目管理、审计报告反馈意见、审计文书等能处理得当,有效地规避审计风险。
审计项目管理,应包括项目计划的编制、项目实施过程重点、难点、信息的控制。一个审计项目的确定关系到这个审计事项的成功与否,影响到审计的威信。选择审计项目,要注意实质性的问题,即对影响国计民生的、社会反映的热点、难点问题的单位和项目,要作为审计的重点,应逐个入手,立足查深查透。要建立项目主审负责制,明确主审人员的权利和义务;对于每个项目的审计应在查深查透上下功夫,事实查深,问题查透,定性准确,责任落实;对于项目的每个问题,应做到“是什么、为什么、怎么样、怎么办”;对于查违法违纪案件,一发现线索就报告,一查到底,绝不手软;对于普遍性、倾向性问题,要抓住问题的实质,反映宏观问题,促进规范管理,以体现审计的服务职能。
重视对审计项目的反馈意见。审计报告是项目管理的重点,经过反馈处理的审计报告才具有审计意见、决定的依据作用。审计报告征求意见,不是形式,而是审计与被审计由对立的争论达到相对统一的沟通,是达到客观公正的途径。书面反馈是规范的方法,在此基础上,我们还要根据需要采取和被审计单位对话的方法,进一步了解事态的背景、动机、环境因素,进一步阐明审计观点,更深入、更充分地交换意见,使矛盾冲突得到化解。
审计文书是审计行为的载体。特别是审计意见、审计决定集中体现了审计结果。有道是“口说无凭、有字为据”。审计文书是证据,文字必须认真推敲,措辞达意,力求无懈可击。
4、重新定义企业内部审计的本质和目的
笔者认为,就其本质来看,企业内部审计的风险控制是企业管理活动的组成部分。其目标是为了提高企业价值,提高企业的运作效率,帮助企业实现整体发展目标。企业内部审计的重新定义,将有助于重新认证企业内审活动的性质,实现其工作中心的转移。企业内部审计的风险控制活动应该能够科学评级并有助于改进企业的风险管理、控制和治理体系。
5、强化内审风险控制工作的服务意识、质量意识
企业内审不仅要善于发现企业运营中存在的问题,更要提出改进建议。为企业领导提供决策依据。要通过与其他部门共同协作,充分发挥企业内审的作用。内审组织应该强化服务意识,对内审项目质量的整体有效性进行监测和评价。通过强化质量意识保证内审活动能够遵守相应的规范和程序。
6、对于风险的处置
本人认为:对损失大、概率大的灾难性的风险要避免;对损失小、概率大的风险,可采取措施来降低风险量;对损失大、概率小的风险,可通过保险或合同条款将责任转移;对损失小、概率小的风险,可采取积极手段来控制。企业应当将审计关口前移,积极推行风险管理审计,辅助风险决策,促进风险管理,在防范风险中发挥中坚作用。
参考文献
[1]《内部审计风险:值得关注的话题》,中国审计报,2003年4月29日
[2]《审计风险分类及相互关系研究》,审计文摘,2002年第6期,12-14
[3]刘惠萍,论企业审计风险的成因及防范,财会论坛,2003年第11期
[4]于云海,从管理层舞弊谈制度基础审计的改进,中国审计,2005年第03期,58-59
[5] 徐旭,浅谈现代企业内部控制的制度建设,中国经济时报,2003年第02期
[6]叶鹏飞,王奇飞,内部审计的沃土,财务与会计,2004年第10期,58
[7]James A. Hall,《Information Systems, Auditing and Assurance》, South-Western College Publishing, 2000,128
[8]程新生,张宜,中国制造业上市公司内部审计模式实证研究,审计研究,2005年总第1期,70-74
[9]周涤,工业企业审计风险成因分析,财会通讯,2005年第2期,56-57
[10]赵琳,国家重点建设项目审计监督机制探究,财务与会计导刊,2005年第2期,60-63
[11]刘一飞,论企业内部审计的风险控制,辽宁工程技术大学学报,2004年第3期
[12]孙晓红,浅谈现代企业内部控制的制度建设,中国经济时报,2003年9月11日
[13]包汉良,非国有企业的内部审计风险,中国财经报,2004年9月23日
[14]田丽云,尹钩惠,内部审计参与风险管理的动因及其运作探讨,现代财经,2004年第8期第24卷(总第175期),24
[15]曹文火,新世纪企业内部审计发展趋势和应对策略,中国审计报,2004年1月29日