公司内部审计风险模型研究

摘要：本文以注册会计师审计风险模型为主要参考依据，结合内部审计的固有特点，提出公司内部审计的审计风险模型：审计风险=重大错报风险×检查风险×独立性风险，并对各构成要素的内涵及其关系进行了研究和分析。
    关键词：重大错报风险，检查风险，独立性风险

    一、引言
    
    随着市场经济的发展，社会对于内部审计的要求和期望也越来越高。作为公司内部控制和审计监督体系的重要组成部分，内部审计扮演着越来越重要的社会角色和经济角色。据中国内部审计协会一份针对国有公司调查报告显示：对1236家公司做了调查，有947家公司设置了内部审计机构，其中687家公司设置了独立的内部审计机构。这组数据说明，内部审计机构的建设有了一定的发展，独立性有所加强。在对951家公司调查中，内部审计机构隶属于董事会、监事会和总经理的有629家，占66.14%。说明在公司内部，内部审计的位置和地位有所提升。与此同时，对内部审计理论体系的研究也成为了热点会计问题之一，因此，我的团队把注意力放在了内部审计风险模型的研究上，并力图通过这篇论文来表达我们的研究结论和观点。
    二、注册会计师审计的风险模型
    
    近年来，在注册会计师审计中，风险导向型审计已经形成共识，而风险导向型审计中的核心问题就是对审计风险构成要素即风险模型的研究和理解，因此，理论界对风险模型的研究方兴未艾，代表各种观点的审计风险模型层出不穷。从应用的角度看，目前世界上各大审计组织和会计师事务所以及注册会计师认可的审计风险模型是：审计风险(AR)=固有风险(IR)×控制风险(CR)×检查风险(DR)。审计风险是财务报表存在重大错报而注册会计师发表不恰当审计意见的可能性。固有风险是假定不存在相关内部控制的前提下，某一账户或交易类别或连同其他账户、交易类别产生重大错报或漏报的可能性。但在实务中，对固有风险进行评估时，又必须建立在内部控制基础上，从内部控制入手，这就导致了固有风险的评估和内部控制风险纠缠在一起，从而增加了固有风险的确认难度。控制风险是某一账户或交易类别或连同其他账户、交易类别产生重大错报或漏报而未能被内部控制防止、发现或纠正的可能性，对控制风险的评估很好地把握了内部控制的建立、健全和有效性对实质性测试的影响，充分体现了内控导向型审计的精髓。但是又忽略了内部控制的局限性，即管理层凌驾于内部控制之上会导致内部控制失效。当我们认为控制风险低水平决定实质性测试程序时，问题产生了：员工串通舞弊或管理层舞弊造假使内部控制形同虚设，也使控制风险的评估毫无意义。而建立在固有风险和控制风险基础上的注册会计师可接受的检查风险水平就无法确定。
    因此，国际审计与鉴证准则委员会于2003年10月发布了一系列新的审计准则，将原有的模型重新描述为：审计风险(AR)=重大错报风险(RMM)×检查风险(DR)。在该模型中，引入了“重大错报风险”的概念，即财务报表在审计前存在重大错报的可能性，审计风险概念的内涵和外延得到扩展并趋于一致。重大错报风险不仅包括了传统风险模型中的固有风险和控制风险，还包括了公司的经营风险以及由于公司管理层串通舞弊、虚构交易而造成的内部控制失效风险。这就要求注册会计师充分了解被审计单位及其环境，包括行业状况、法律环境与监管环境及其他外部环境；被审计单位的性质；被审计单位会计政策的选择和运用；被审计单位的目标、战略及相关经营风险；被审计单位财务业绩的衡量和评价；被审计单位的内部控制等，并以应有的职业关注，运用重要性思想，假定财务报告不存在重大错报或漏报，运用分析性程序，对被审计单位的财务数据和非财务数据进行分析，确定重大错报风险，确定可接受的检查风险及最终的审计风险水平，并对财务信息做出合理保证。该风险模型虽然构成要素减少，但其内涵和外延没有减少并趋于一致，而且风险模型变得可理解可操作。
    三、公司内部审计风险模型的建立和分析
    
    内部审计和注册会计师审计、政府审计共同构成了我国的经济监督体系。但是，内部审计是“自律”，与注册会计师审计有着很大的不同。笔者认为，有两点是建立内部审计风险模型时我们必须要考虑的：一是较低的独立性，内部审计虽然有相对独立的机构和人员，但由于身处被审单位，受制于被审单位的治理层和管理层，从身份上看既是审计人又是委托人和被审计人，导致内部审计成为附庸，沦为公司管理中一件漂亮的装饰品。二是丰富的审计内容，对以会计报表为主的财务信息审计和非财务信息审计；对内部控制的审计，尤其是萨班斯法案404条款的出台，更预示了对内部控制审计的重要性；对公司生产经营活动的管理审计等。
    基于以上考虑，我们提出三要素的内部审计风险模型：
    审计风险=重大错报风险(RMM)×检查风险(DR)×独立性风险(IR)。
    重大错报风险由原来的固有风险和控制风险合并而成，要求审计人员在审计过程中执行必要的审计程序，从财务报表整体层次和账户余额层次两方面评估重大错报风险。考虑到内部审计与注册会计师审计的不同，笔者认为，内部审计中的重大错报风险应该从以下方面着手：1.公司所处的环境。主要包括行业状况、法律环境和监管环境等。行业状况指所处行业的市场供求与竞争、生产经营的季节性和周期性、产品生产技术的变化、能源供应与成本、行业的关键指标和统计数据等；法律环境和监管环境指适用的会计准则和会计制度及行业特定惯例、对经营活动产生重大影响的法律法规及监管活动、对开展业务产生重大影响的政府政策、公司所处行业和所从事经营活动相关的环保要求等；其他如宏观经济的景气度、利率和资金的供求情况、通货膨胀水平及币值变动、国际经济环境和汇率变动等。2.公司的性质。例如所有权结构、治理结构、组织结构、投资类型、筹资方式及主要的经营活动等。3.公司会计政策的选择和运用。例如，重要项目的会计政策和行业惯例、重大和异常交易的会计处理方法、会计政策的变更、何时采用和如何理解新颁布的会计准则和相关会计制度、在新领域或缺乏权威性标准或共识的领域重要会计政策产生的影响等。4.公司的目标、战略及相关的经营风险等。5.公司财务业绩的衡量和评价。内部或外部对公司财务业绩的衡量和评价可能对公司管理层产生压力，促使其采取行动改善或歪曲财务报表。6.公司的内部控制。内部控制是公司为了合理保证财务报告的可靠性、经营效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。相关内部控制制度是否建立健全(有无薄弱环节或漏洞)、是否行之有效(有无管理者无视制度或串通舞弊)极其重要，审计人员应当了解相关的内部控制以识别潜在错报的类型，考虑导致重大错报风险的因素。7.公司管理层的职业精神。例如管理层的品行、管理层的能力、管理层对待公司的态度等。
    检查风险是指如果存在某一错报，该错报单独或连同其他错报可能是重大的，审计人员将审计风险降至可接受的低水平而实施程序后没有发现错报的风险。内部审计中的检查风险应该考虑：内部审计人员的专业胜任能力；内部审计人员的职业道德水准；内部审计机构的制度建设和质量控制；内部审计机构的独立性；对公司的了解程度等。
    独立性风险是指审计人员因缺乏独立性而不得已发表不恰当审计意见的可能性。独立性风险在注册会计师审计中影响有限，因此注册会计师审计风险模型没有考虑独立性风险，而内部审计同外部审计的最大不同就在于审计的本质独立性，一般认为内部审计的独立性较差，它很难摆脱公司管理层的控制，因而内部审计能够发挥的作用是有限的。因此，笔者认为，在研究内部审计风险模型时，可以将独立性风险考虑进来，强调独立性缺失的后果。让公司认识到，必须提高内部审计在公司治理层和管理层中的地位，给予足够的独立，只有这样才能有效地降低审计风险，充分发挥内部审计的作用。
    在这个风险模型中，重大错报风险是基础，重大错报风险的评估决定了可接受的检查风险水平，独立性风险是恒定的。重大错报风险、检查风险和独立性风险共同构成内部审计的审计风险。
    参考文献：
    
    [1]张惠.新旧审计风险模型比较研究[J].科技信息，2008(24).
    [2]夏菊子.国外风险导向内部审计研究及对我国的启示[J].安徽商贸职业技术学院院报，2008(4).
    [3]石爱中.内部审计协会发展应重视的问题[J].中国内部审计，2010(3).
    [4]游惠光，李斌.内部审计风险的形成与控制[J].天津市经理学院院报，2010(4).
    [5]郑晓华.基于风险导向审计的审计风险模型研究[J].市场周刊，2010(10).
    [6]辛旭，刘佳.现代审计风险模型的演进及应用研究[J].品牌论坛，2009.
    [7]郭晓玲.浅析内部审计风险的成因与防范[J].新疆财经，2010(3).
    [8]刘琳，陈小林.内部审计的功能定位[J].审计与理财，2009(11).