风险导向下内部审计的理论基础

　　2、 风险导向下内部审计的理论基础

　　2.1  审计风险准则

　　2.1.1 审计风险的含义和特点

　　审计风险是审计组织和审计人员在审计的过程中，受到主体、客体和各种环境等多方面不确定因素的作用而产生的。其中主体因素是指审计主体的不当行为导致的审计风险因素；客体因素包括被审计单位的经营风险、错误决策以及造假行为等引发的审计风险；环境因素主要有政治经济环境因素、法律因素、市场因素等。审计风险具有客观性、普遍性、潜在性、偶然性和可控性等特点。

　　审计人员按照审计准则的规定执行审计工作，应该能够对财务报表整体不存在重大错报获取合理保证而非绝对保证。合理保证意味着审计风险不能被完全消除，审计人员通过制定计划和实施审计程序，获取充分、适当的审计证据，将审计风险降低到可接受的水平。

　　审计风险各要素之间的关系用模型表示为：审计风险=重大错报风险×检查风险这个模型也就是审计风险模型。从审计风险模型可以看到，在既定的审计风险水平下，可接受的检查风险水平与认定层次重大错报风险的评估结果成反向关系。一般而言，评估的重大错报风险越高，可接受的检查风险越低；评估的重大错报风险越低，可接受的检查风险越高。

　　2.1.2 审计风险管理

　　由于上述审计风险的产生，需要针对企业的风险点进行专门审计，这便产生了审计风险管理。

　　风险管理主要包括三个阶段，即：风险识别、风险评估、风险应对。

　　风险识别是风险管理的基础和起点，是指在特定的系统中确定风险因素并识别其特征。风险识别的意义在于,如果不能准确地辨明企业所面临的各种风险,就可能将失去处理这些风险的机会,因而使得风险管理的职能得不到正常的发挥,也就不能有效地对风险进行控制和处置。

　　风险评估是在特定的系统中对风险损失的大小进行定量计算的过程。其内容包括:

　　频率分析,即特定风险因素发生的频率或概率分析；后果分析,即分析特定风险因素在环境因素下可能导致的各种事故后果及其可能造成的损失。

　　风险应对是指在特定的系统中，针对识别出的风险，分析其风险性质的严重程度，根据决策主体对风险的承受能力而制定的回避、承受、降低或者分担风险等相应防范计划。制定风险应对策略主要考虑四个方面的因素：可规避性、可转移性、可缓解性、可接受性。

　　2.2  内部审计的发展

　　2.2.1 内部审计的概念、目标和职能

　　中国内部审计协会对内部审计的定义为：内部审计是指在企业内部进行的一种独立客观的监督、评价和咨询活动，它通过对企业经营活动以及内部控制的适当性、合法性和有效性进行审查、评价和提出建议，来促进和改善企业运行的效率效果，从而实现企业发展目标。

　　内部审计以为企业增加价值，帮助企业实现目标为目的。价值是从生产和销售过程中产生出来的，内部审计人员不从事生产和销售活动，不直接产生经济价值。但他们可以通过收集生产和销售过程的资料，查明和评估存在的风险，运用自己的远见卓识，把握机遇，并将这些有价值的信息以建议、忠告、报告或其他方式，通报给管理层或全体人员，为企业带来巨大的机会利益。

　　研究内部审计的职能，有助于提出符合实际的审计目标，并赋予内部审计人员相应的职责和权力，以便完成审计任务、实现审计目标，全面发挥内部审计的职能和作用。一般认为，现代内部审计具有监督、预警、控制、评价和服务五种主要职能。

　　第一、审计监督职能

　　内部审计监督就是检查和督促企业内部人员在其授权范围内有效地履行其职责，以保证企业的各项活动在符合政府的法律法规、组织的方针政策以及公认管理原则的正常轨道上运行。监督职能是内部审计最基本的职能。通过监督和对问题的揭示与查处，促使企业内部各单位、各部门规范经营，科学管理，堵塞漏洞，提高效益，为企业实现经营目标服务，促进企业经营活动的良性循环。

　　内部审计的基本职能和作用首先是经济监督。内部审计监督是对企业所有经济监督的第一道关口，是企业最高管理层的“眼、鼻、耳”，其作用举足轻重。通过审计监督来规范企业的经营行为，使企业自身的经济整体运行协调一致，从而实现自我约束。具体来说，要对企业的财务收支进行监督；要对企业的重点部门、重点资金、重要经济活动进行监督；要对企业运行全过程的合法性、有效性进行监督；要对企业风险的防范和控制进行监督；要对企业内部管理制度的执行情况进行监督。

　　第二、风险预警职能

　　上市公司的内部审计应更多地参与面向未来的规划和决策工作，对企业经营风险发生的可能性密切关注。这些风险包括公司经营现状带来的风险和计划规划及发展战略所带来的潜在风险。内部审计人员应充当起风险管理自我评估的协调人和策划者，为企业的发展中存在风险预警。另外，内部审计还可以通过对企业内部控制系统的评估和检查，发现企业内部控制的缺陷和漏洞，分析经营管理过程中的偏差和失误，解剖问题产生的原因，揭示潜在的威胁。

　　第三、控制管理职能

　　控制职能是指内部审计作为一种管理控制，通过独立的评价活动来衡量和评价其他内部控制的适当性和有效性。建立科学严密的内控机制，正确处理监督与发展的关系，是确保企业安全有效运行的关键。会计财务信息失真及不合法经营导致企业经营失败，很大程度上归因于内部控制的缺失或失效。内部审计机构和人员，通过对内部控制的管理，发现企业营运过程中存在的风险，加以管理，以保证企业的正常经营活动。

　　第四、评价鉴证职能

　　内部审计的评价是指内部审计人员依据一定的审计标准对所检查的活动及其效果进行合理的分析和判断，将检查中发现的问题和缺陷进行评议，从而肯定成绩，指出不足。为实现组织目标所从事的一切生产、经营、管理活动，都是评价的对象。例如决策、计划、方案的确定是否符合实际；各种活动是否依据授权并遵照既定的程序、标准进行；是否正在达到预期的效果、实现既定的目标；各种信息是否真实、准确和完整，以及处理信息的方法是否恰当；资源是否正在经济地、有效地被使用等。

　　鉴证是对企业财务管理及其经济活动的鉴别和证明，据以做出审计结论。由于长期受计划经济体制的影响，在我国的上市公司管理中，下属部门或下属公司往往报喜不报忧，夸大成绩、掩饰缺点，内部审计机构就要揭示经营管理中存在的问题和经济效益的真实情况，从某种程度上为正确决策提供经过鉴证的信息和依据。同时，内部审计要对领导关心的重要问题和普遍存在的问题进行调研，为公司宏观决策提供有价值的信息。

　　第五、服务目标职能

　　公司、股东债权人和利益相关者的根本利益所在是实现企业的经营目标。服务职能是指通过对经营活动的分析和评价，向组织内成员提供改进工作的建议和咨询服务，从而帮助组织内成员有效地履行其职责，提高其工作质量和效率。内部审计立足于组织全局，发现问题，分析原因，并向管理者提供富有建设性的意见和建议。目前这种服务目标的形式已由过去的事后服务逐步转变为事前服务、事中服务，是伴随着事前审计和事中审计来完成的。

　　2.2.2 内部审计与外部审计的异同

　　按照审计主体的不同可以将审计分为外部审计和内部审计两类。外部审计又分为国家审计和社会审计。国家审计是指由国家审计机关所实施的审计。 社会审计是指经政府有关部门审核批准的社会中介机构进行的审计，其主体是注册会计师。内部审计是指由部门、单位内部审计机构或专职审计人员实施的审计，其主体是内部审计机构或专职审计人员。

　　2.2.2.1 共同点：

　　内外部审计的共同点是两者的总体目标是一致的，即企业的经营发展；通过掌握基本的财务审计技术，取得的审计结果可能存在相互借鉴。

　　2.2.2.2 不同点：

　　第一、审计服务对象不同

　　外部审计则是由独立的外部机构以第三者身份提供的监督、鉴证活动，对政府有关部门、企业主管部门和社会公众负责；内部审计属于内部审计机构或专职审计人员履行的内部审计监督，只对本单位负责第二、审计独立性不同。

　　国家审计是由审计机关实施的，独立于企业之外，社会审计更是强调形式上和实质上超然独立于企业之外，因而独立性最强；内部审计的独立性包含两方面，一方面是指审计组织机构的独立，另外一方面指内审人员履职时免受威胁，但在组织、经济等方面都受到本单位的制约，只是相对独立于企业内部的其他部门，与国家审计和社会审计相比，其独立性最弱。

　　第三、审计权限不同

　　国家审计代表国家利益，对被审计单位的违法违纪问题既有审查权，也有处理权；社会审计只能对委托人指定的被审计单位的有关经济活动进行审查、鉴证；内部审计有审查处理权，但其内向服务性决定了其强制性和独立性较国家审计弱，其审查结论也没有社会审计的权威性高。

　　第四、审计方法不同：

　　外部审计的方法则侧重报表审计程序。内部审计的方法是多样的，应结合组织的具体情况，采取各种不同的方法，其中也可以包括外审的一些程序。

　　第五、依据的审计准则不同

　　国家审计所依据的准则是审计署制定的国家审计准则；社会审计依据的审计准则是中国注册会计师协会制定的独立审计准则；内部审计所依据的则是中国内部审计协会制定的内部审计准则。

　　第六、审计报告的形式不同

　　内部审计报告可以根据需要决定采用非标准格式的详式报告，形式多样；社会审计基本是标准格式的简式报告；国家审计与内部审计类似，可以采用形式多样的审计报告。

　　第七、审计报告的作用不同

　　国家审计除涉及商业秘密或其他不宜公开的内容外，审计结果要对外公示；社会审计 报告则要向外界公开，对投资者、债权人及社会公众负责，具有社会鉴证的作用；内部审计报告只能作为本单位进行第八、审计时效不同。

　　内部审计是根据本单位的计划或安排可随时开展工作，并对某项经济活动进行事前、事中、事后的监督和控制；国家审计和社会审计则大多是事后进行监督和鉴证。

　　2.2.3 现代信息技术对内部审计的影响

　　随着全球信息化时代的到来，企业的经营模式和组织方式也发生了巨大变化，信息技术的应用和普及使内部审计环境产生了重大变革。传统的手工方式改为信息系统操作，对人员素质也有了进一步的要求。信息化增加了审计风险，拓展了内部审计的职能和对象，提高了内部审计的工作效率，也加大了内部审计工作的难度。

　　面对信息化的迅速发展，第一，企业应该调整思路，拓宽眼界，及时更新观念，应用信息化进行企业内部审计，使之为企业的发展保驾护航。第二，企业应当充分引进新的审计管理软件，通过电子数据对重点环节进行详细审计监督，提高内部审计的工作效率和质量。第三，培养复合型内部审计人才，普及现代信息化审计知识，增加为企业内部审计人员提供的培训和学习机会。第四，加强对本企业信息系统的审计，由于企业集约化管理的应用，数据之间的直接对接关系模糊，不论是信息系统内部数据的准确和安全还是企业针对外部信息系统的载体的保护，都应该进一步加强。

　　2.2.4 国外内部审计业务的发展现状内部审最早起源于奴隶社会时期的庄园内部审计。目前，内部审计无论在世界上哪个国家的企业或者集体，都占有非同寻常的重要地位。美国一直注重内部审计教育制度，不仅在大学层面开展内部审计教育项目，推行风险管理认证资格考试；而且开通了审计在线频道，为内部审计师与企业和其他需求者提供他们共同关注的焦点问题在线视频，还创建了审计经理中心，拥有众多会员。

　　英国内部审计不受法律强制执行，主要通过审计委员会制度实施。其内部监督体系包括审计委员会、内部审计部门和外聘会计师事务所，三者之间既相互联系又相互制约，形成很有特色的监管体系。

　　从中国内部审计发展来看，虽然滞后于某些发达国家，但是我国的内部审计制度非常具有中国特色，应当吸取别国的发展经验，不断创新完善自己。

　　2.3  风险导向下内部审计的内涵

　　2.3.1 风险导向下内部审计的含义

　　风险导向内部审计核心是内部审计的全过程自始至终都要关注风险,根据风险度选择项目,以降低风险为导向,进行内部控制制度的符合性测试、实质性测试,并进行监督、检查和评价,提出建设性意见和建议。其审计报告可以作为揭示企业风险、防范风险以及信息交流的预警信号。

　　风险导向审计既能够用于降低审计风险,又能够用于降低企业经营风险,是一种特殊的经济控制形式，也是进行风险管理的一种有效工具。

　　2.3.2 风险导向下内部审计的对象和目标

　　从传统意义上的内部审计来看，其审计对象是业务活动、财务活动和管理活动，分别对这些活动进行对应的财务审计、业务审计和管理审计。

　　风险导向下的内部审计以系统理论和战略管理理论为指导，通过对被审计单位存在的各种风险进行判断，评价被审计单位的内部控制，判断是否追加审计程序，从而可以看出，风险导向内部审计的关键对象是企业风险。

　　上文曾阐述传统内部审计以为企业增加价值，帮助企业实现目标为目的。从管理导向发展到风险导向,内部审计更注重与企业目标的直接关联,在创造价值的企业目标作用下,风险导向内部审计目标由高层次兴利转向了增值。通过对比可知两者的总体目标是一致的，即风险导向内部审计的目标就是识别关键风险点，为组织的总体目标服务。

　　2.3.3 风险导向下内部审计的模式

　　从图 2.2 中可以看到，风险导向下的内部审计与外部审计流程可以基本一致：

　　第一、制定总体内部审计计划，编制审计方案。企业的审计计划可以分为年度审计计划或者项目审计计划。审计方案是记录审计计划和各项审计工作的文件，主要包括审计业务从开始到结束的全部执行过程。内部审计人员应当编制完整的审查方案，确定内部审计目标和范围，取得背景材料，成立审计组，明确分工。

　　第二、进行风险评估，根据内控流程找出风险点。了解审计对象的内部控制情况，评估重大错报风险和检查风险，判断其能否作为实质性测试的基础。

　　第三、 实施内部审计程序，先做控制测试，审计从业人员如果通过各种控制测试程序，能够有证据表明被审计单位的内部控制是有效合理的，然后就可以进行各个账户的实质性测试了。完全没有内部控制的企业是不存在的，或者说有些企业本能的有做企业内控，但没有相关的内部控制制度，这种情况下可以直接采取实质性测试。

　　第四、出具内部审计结果或者进行业务通报。审计人员完成审计过程的评估和测试环节后，应当将得出的审计结论形成书面文件，出具内部审计报告或者业务情况说明。