審計風險評估在內部審計實務中的應用

中石化山東石油分公司 張書淼

隨著經濟全球化的快速發展，企業之間的競爭日趨激烈，因此面臨的經營風險不斷增加。如何加強企業內部審計風險管理，對審計風險進行客觀評估，并采取相應措施盡量避免和有效控制內部審計風險，提高審計質量，已成為當下審計理論研討的主要課題和內部審計人員必須密切關注的問題。本文從審計風險定義、審計風險評估和風險評估步驟三個方面，結合具體事例探討了企業內部審計風險規避問題。

一、審計風險與評估目的

國際審計準則第25號 《重要性和審計風險》將審計風險定義為:“審計風險是指審計人員對實質上誤報的財務資料可能提供不適當意見的風險?！痹趦炔繉徲嬵I域，內部審計風險具體表現為內部審計人員未能發現被審計單位經營活動及內部控制中存在的重大差異或缺陷而做出不恰當審計結論的可能性，是由客觀風險和主觀風險兩方面要素組成的。

那么，這三者是如何導致審計風險的呢？一是固有風險獨立于會計報表審計之外存在的，是審計人員無法改變其實際水平的一種風險。二是被審計單位內部控制未能及時防止或發現其會計報表上某項錯報或漏報的可能性必然存在，審計人員無法防范控制風險。三是審計人員通過預定的審計程序未能發現被審計單位會計報表上存在的某項重大錯報或漏報的可能性存在，會導致檢查風險，但檢查風險可以通過審計人員進行控制和管理。

風險管理旨在為組織目標的實現提供合理保證。首先，評估審計風險是為了控制審計風險，保證審計質量。其次，評估審計風險是為了更好的規劃審計，提高審計效率。另外，在審計風險評估過程中，審計人員通過調查了解一旦確認被審計單位管理中存在的問題和面臨的風險，審計人員可以據此提出有針對性地改進管理的建議，促進被審計單位進一步加強管理，從而增強審計效果。

二、審計風險評估的步驟和方法

（一）確定可以接受的審計風險

可接受審計風險水平的確定，應綜合考慮各方面因素：一是報告方面的考慮，如報告主要使用者的需求、標準等；二是經營方面的考慮，如總體經濟環境、行業、關鍵成功因素等；三是規章制度方面的考慮；四是被審計單位財務和資本化狀況；五是被審計單位與主要客戶、供應商、相關團體之間的獨立程度；六是收集審計證據的輕松程度和成本。對于大多數被審計單位來說，除特殊情況外，一般情況下可接受審計風險水平為5%，審計保證系數為3，審計保證程度為95%。

（二）了解被審計單位及其環境，評估固有風險

了解被審計單位及其環境是審計人員對被審計單位經營活動及內部控制中存在的風險進行評估的必要程序，是一個連續和動態地收集、更新與分析信息的過程，貫穿于整個審計過程的始終。審計人員應當運用職業判斷確定需要了解被審計單位及其環境的程度，識別和評估重大錯報風險。

1、詢問程序

詢問被審計單位管理層和內部其他相關人員，可以考慮向管理層和財務負責人詢問。除了詢問管理層和財務負責人外，還應當考慮詢問內部審計人員、采購人員、銷售人員、生產人員等人員，并考慮詢問不同級別的員工，以獲取對識別重大錯報風險有用的信息。

2、分析程序

分析程序是指審計人員通過研究不同財務數據之間以及財務數據與非財務數據之間的內在關系，對財務信息作出評價。在實施分析程序時，要預期可能存在的合理關系，并與被審計單位記錄的金額、依據記錄金額計算的比率或趨勢相比較。如果發現異常或未預期到的關系，應當在識別重大錯報風險時考慮這些比較結果。

3、觀察和檢查

通過此程序，可以印證對管理層和其他相關人員的詢問結果，并提供有關被審計單位及其環境的信息。一是觀察被審計單位的生產經營活動；二是檢查文件、記錄和內部控制手冊；三是閱讀管理層和治理層編制的報告，如年度財務報告、股東大會、董事會、高級管理層會議的會議紀要，管理層的討論分析材料、經營計劃和戰略，投資項目的可行分析報告等；四是實地察看被審計單位的生產經營場所和設備；五是追蹤交易在財務報告信息系統中的處理過程（穿行測試），確定被審計單位的交易流程和相關控制是否與之前了解的相一致，并確定相關控制是否得到執行。

只要有某種跡象表明可能存在重大錯誤，就應取固有保證系數為0，固有風險評估為100%；一般情況下，即使在各方面情況較好，出錯可能性較小的情況下，固有保證系數至少應取0.7，及固有風險水平為50%。

（三）對被審計單位內部控制進行測評，評估控制風險

1、了解被審計單位內部控制的主要內容

（1）針對被審單位整體，了解控制環境、風險評估和監督要素。一是了解控制環境，因為控制環境的好壞直接影響到特定控制活動的有效性；二是對風險評估要素調查，主要內容是被審計單位如何確定風險、評估風險，如何將風險發生的可能性與管理目標、經營計劃和財務報告的相關內容聯系起來并采取相應措施；三是對監督要素進行調查，主要內容是被審計單位為監督各項工作的運行而使用的預算、計劃、責任報告等制度與方法，內部審計部門的設置和工作情況。

（2）針對被審單位整體和各主要業務領域，了解信息與溝通要素。審計人員調查信息與溝通要素的重點是被審計單位的會計系統，應查明以下事項：被審計單位經營活動的主要業務類型，處理各類經濟業務的程序，各項業務的會計處理程序和所依據信息的來源，會計系統的設計和重要的會計憑證、賬簿種類以及會計報表項目，各部門間信息的傳遞方式等。

（3）針對被審單位各主要業務領域，了解控制活動要素。審計人員調查了解控制活動要素的主要包括：被審計單位各項業務處理程序的授權批準，職責分工，實物控制，憑證與記錄的實質和運用，獨立的檢查程序等控制手段的設置情況。

2、調查了解被審計單位內部控制的方法

（1）詢問。詢問的對象通常包括被審計單位管理部門、監督人員和普通工作人員等不同層次。通過向不同層次的人員實施相互印證式的詢問，可以從側面驗證被詢問者答復的真實性。

（2）檢查。檢查被審計單位的各項管理制度和相關文件，并與管理人員和工作人員進行討論，從而判斷他們對文件中的有關規定的解釋和理解是否恰當。檢查內部控制過程中生成的憑證和記錄，一方面審計人員能更好的理解內部控制文件的精神，增加對內部控制各要素的感性認識，另一方面，還可以提供內部控制執行情況的證據。

（3）觀察。實地觀察被審計單位的業務活動和內部控制的實際運行情況。進一步加深對內部控制設置和執行情況的了解和認識。

（4）穿行測試。證實對交易流程和相關控制的了解。在若干主要業務領域中選擇一筆或幾筆具有代表性業務和事項進行測試，以驗證內部控制的實際設置是否與審計工作底稿上所描述的內部控制相一致。可以將觀察、詢問以及檢查等方法有效結合起來。

3、對內部控制進行初步評價

在識別和了解控制后，根據執行上述程序及獲取的審計證據，需要評價控制設計的合理性并確定其是否得到執行。首先是初步評價內部控制的健全性和合理性。其次是對各主要業務和會計領域的控制風險水平作出初步評估。第三是對是否依賴被審計單位的內部控制進行審計做出決策。如果認為內部控制較為健全、合理，通過實施內部控制測試，驗證內部控制的有效性，就相應縮小實質性測試的范圍，確定實質性測試的程序和重點。如果進行了健全性和合理性評價后認為被審計單位的內部控制不夠健全，弱點較多，不能作為實質性測試中抽樣檢查的基礎，那么審計人員就不應對內部控制加以依賴，直接進入實質性測試。

通常進行健全性和合理性評價后，發現被審計單位存在以下問題時，就可決定不依賴其內部控制：一是相關的內部控制風險水平初步評估為高水平，二是對內部控制進行內部控制測試的工作量可能大于進行內部控制測試所能減少的實質性測試的工作量。

（四）在決定依賴內部控制的情況下，對內部控制的執行情況進行測試

1、內部控制測試的分類

內部控制測試是審計人員為了確定被審計單位內部控制的設置執行情況和有效程度而實施的審計程序。只有在審計人員決定依賴內部控制時，才有必要根據所評估的控制風險水平的高低，設計相應的內部控制測試程序。

（1）業務程序測試。即審計人員選擇若干筆具體的典型業務，沿業務處理過程檢查業務處理程序超過規定的控制點是否得到執行，以判斷控制措施的遵循情況。

（2）功能測試。即審計人員針對業務處理程序中的關鍵控制點，選擇若干時期的同類經濟業務進行測試，檢查其是否真正發揮作用，效果如何。

2、內部控制測試的方法

（1）詢問。即審計人員在內部控制測試和評價中，為了了解被審計單位各項業務操作是否符合控制要求，而向有關人員詢問某些業務執行情況的方法。

（2）觀察。即審計人員在內部控制測試中，身臨被審計單位的工作現場，實地察看有關人員的工作情況，以確定規定的控制措施是否得到了嚴格執行的方法。

（3）檢查。即審計人員在內部控制測試中，抽取一定數量的賬表、憑證等數據文檔和其它有關資料文件，檢查其是否存在控制措施線索，以判斷內部控制是否得到有效貫徹執行的方法。

（4）重做。即審計人員在內部控制測試中，將某項交易業務按照被審計單位規定的程序全部或部分重做一次，以驗證既定的控制措施是否被貫徹執行。

（五）根據測試結果對內部控制進行再評價

審計準備階段，審計人員已通過調查了解，對內部控制的可依賴性和控制風險水平、控制保證系數作了初步評價，并在此基礎上執行了審計方案。經過了內部控制測試后，審計人員對被審計單位內部控制的實際運行情況和控制效果有了更深入的了解，可能發現內部控制的實際運行情況和原先了解得不一致，這時就需要根據內控測試的結果對內部控制進行再評價，重新調整控制風險水平和控制保證系數，據以確定是否需要調整審計方案。首先，評價內部控制測試獲得的證據，然后是評價控制風險。如果出現下列情況之一，該審計人員應將控制風險確定為高水平：一是被審計單位的內部控制薄弱，二是審計人員無法對內部控制的有效性作出評價，三是審計人員不準備進行內部控制測試。

（六）按照審計風險模型確定檢查風險，并據此確定實質性測試的范圍和重點

審計人員通過對被審計單位內部控制實施調查了解，評價固有風險，然后通過內部控制測試，對被審計單位控制風險作出評價。根據該評價結果，審計人員合理運用專業判斷，考慮相關影響因素，按照審計風險模型（審計風險=固有風險×控制風險×檢查風險）推導出檢查風險（檢查風險=審計風險/（固有風險*控制風險））。根據確定的檢查風險水平，合理設計對各交易類別和帳戶余額的實質性測試。

具體來說，如果審計人員評價被審計單位內部控制風險較低，那么審計人員可以重點進行符合性測試，執行有限的實質性測試，就可以確保審計風險處于可接受水平。相反，如果內部控制風險較高，那么審計人員只有依靠執行更多的實質性測試，才能確保審計風險保持在可接受水平。

結束語

綜上所述，審計風險是客觀存在的，審計風險評估必然始終貫穿整個審計過程。審計人員只有始終保持風險意識，充分應用風險評估程序，合理確定審計風險水平，才能提高審計工作質量，有效規避審計風險。

[1]中國注冊會計師協會.《獨立審計具體準則第9號——內部控制與審計風險》，1996年12發布

[2]中國內部審計協會.《內部審計具體準則第16號———風險管理審計》，2005年5月發布

[3]中國注冊會計師協會.《審計》，經濟科學出版社，2009年版

[4]李鳳鳴,王會金.《審計技術方法》，北京大學出版社，2005年版