財務報告內部控制審計風險模型研究

摘 要：內部控制審計作為注冊會計師的一項新的業務，要求注冊會計師就企業的財務報告內部控制進行審計。目前注冊會計師基本上都是基于風險導向的審計方法進行內部控制審計的，但是在具體審計過程中尚沒有一個具體的風險審計模型。本文通過借鑒財務報告審計模型，并結合財務報告內部控制的具體實際，對財務報告內部控制審計模型進行了初探。

關鍵詞：財務報告 內部控制 審計風險

2010 年4 月，財政部等五部委聯合發布了《企業內部控制基本規范》的配套指引，要求符合條件的上市公司和非上市大中型企業對內部控制的有效性進行自我評價，披露年度自我評價報告，同時應當聘請會計師事務所對財務報告內部控制的有效性進行審計并出具審計報告。根據要求，我國對內部控制的審計將自2011年1月1日起在境內外同時上市的公司實施，自2012年1月1日起在主板上市公司施行，但在實務中，對企業內部控制的審計早已開始，只是限定在特定行業而已。審計師運用財務報表審計風險模型，基于風險導向的審計方法對企業的內部控制有效性進行評價。內部控制是一個過程，運用財務報表審計模型并不能很好的實現財務報告內部控制審計目標。因此，對于注冊會計師而言，迫切需要一個適合財務報告內部控制的審計風險模型。本文即是基于以上的分析試圖對財務報告內部控制審計風險模型進行探討。

一、風險導向審計模型設計

1.模型設計與說明。財務報表審計是通過風險評估程序評估重大錯報風險，并在此基礎上設計和實施進一步審計程序以將檢查風險降低至可接受的低水平。財務報表審計是一個風險識別、風險評估和風險應對的過程。在基于重要性水平的概念上，尋找財務報表是否存在重大錯報，進而判斷企業的財務報告是否真實、公允。然內部控制審計并不是對企業的內部控制自我評價報告進行審計，而是對過程的有效性進行審計。因此，內部控制審計的目的不在于發現重大錯報，在于尋找內部控制的缺陷，便于糾正與完善。我國《內部控制審計指引》第四條指出：注冊會計師執行內部控制審計工作，應當獲得充分、適當的證據，為發表內部控制審計意見提供合理保證。注冊會計師應當對財務報告內部控制有效性發表審計意見，并對內部控制審計過程中注意到的非財務報告內部控制重大缺陷，在內部控制審計報告中增加“非財務報告內部控制重大缺陷描述段”予以披露。因此，注冊會計師進行內部控制審計的目標是獲得關于未發現的內部控制設計、執行或運作有效性的嚴重弱點或重大缺陷的充分、恰當的證據，以為內部控制有效性出具審計意見，同時在整合審計中還需達到獲取充分、適當審計證據支持其在財務報表審計中對控制風險的評估結果。所以財務報告內部控制審計與財務報表審計存在明顯不同，這就迫切要求我們為財務報告內部控制審計設計一個可行的審計模型。本文則是基于風險導向審計模型的原理將財務報告內部控制審計模型設計如下：審計風險=重大缺陷風險×檢查風險

其中：重大缺陷風險=固有風險×監督風險

審計風險是指注冊會計師對財務報告內部控制的有效性發表不恰當審計意見的風險。注冊會計師的目標是獲得關于企業的內部控制系統是否有嚴重弱點或重大缺陷的充分、恰當的證據，以為內部控制有效性出具審計意見。如果注冊會計師認為未被發現的嚴重弱點或重大缺陷的風險沒有被降低至可接受的低水平，注冊會計師就不能對內部控制發表無保留意見。固有風險是指企業沒有對內部控制進行監督的情況下所面臨的風險，主要和控制環境有關。監督風險是企業的內部監督無法有效地確保內部控制有效運行的風險。檢查風險為注冊會計師對已經恰當設計和執行的內部控制，由于運作的不足，難以防止、發現和更正嚴重弱點和重大缺陷的風險。以下對內部控制審計風險模型中的三個構成部分進行說明。

1.1固有風險。固有風險是指內部控制在沒有內部監督的情況下所面臨的風險。固有風險主要表現在控制環境的薄弱上，因為控制環境的薄弱是內部監督無法降低和消除的，當企業的控制環境存在薄弱環節時，即使設計了良好的內部控制并使其有效實施也是無法讓注冊會計師完全地相信企業的內部控制狀況。在評價企業財務報告內部控制的固有風險時，我們有時需要就治理層和管理層對內部控制及其重要性的態度、認識和措施進行了解，考慮企業是否保持了誠實守信和合乎道德的文化，同時還需特別注意員工對工作的勝任能力。因為對固有風險的評估直接地影響著進一步審計的性質、時間和范圍，所以我們認為健全的組織結構、適當的授權機制以及合理的人力資源政策等等都應該是是我們對固有風險評價時所要關注的。

2.監督風險。管理層的重要職責之一就是建立和維護控制并保持其有效運行，對控制的監督可以實現這一目標。然而，在很多時候企業所制定的控制監督程序只是流于形式，并沒有得到有效的貫徹實施，審計委員會或是內部監督人員并沒有對內部控制狀況進行相對獨立、有效地評價和監督，從而使內部控制運行效率大打折扣。正是由于企業對內部控制的監督不到位或是監督缺失使企業內部控制不能有效發揮的風險，我們稱之為監督風險。監督風險也是企業客觀存在的，需要審計人員進行評估，在必要時可以實施監督測試，判斷內部控制監督風險的大小。

3.檢查風險。注冊會計師在對企業內部控制的固有風險和監督風險進行評估之后，即要確定可接受的檢查風險的大小，以便實施進一步審計程序。檢查風險即是內部控制某一環節單獨或連同其他環節存在缺陷，而未能被實質性程序發現的可能性。檢查風險是注冊會計師可以控制的風險，合理的設計和實施實質性審計程序可以將檢查風險降低到可接受的低水平，從而在整體上對財務報告內部控制的有效性作出合理保證。

二、模型在內部控制審計中的運用

財政部等五部委頒布的《內部控制審計指引》規定，注冊會計師既可以單獨對企業的財務報告內部控制進行審計，也可以結合財務報表審計一起進行整合審計，即使財務報告內部控制審計雖與財務報表審計不同，但是兩者可以整合。所以我們設計的財務報告內部控制審計模型既可以在單獨的財務報告內部控制審計中使用，獲取企業財務報告內部控制是否存在嚴重弱點或重大缺陷的審計證據，又可在整合審計中對控制風險的評估獲取證據支持。在對財務報告內部控制進行單獨審計時，注冊會計師需要恰當的計劃內部控制審計工作，配備具有專業勝任能力的人員，以風險評估為基礎。注冊會計師接受委托后，可以直接按照設計的審計模型進行財務報告內部控制審計。通過制定詳細的財務報告內部控制審計計劃，準確的評估重大錯報風險，從而有效的確定實質性程序的性質、時間和范圍。當財務報告內部控制審計與財務報表審計一起進行整合審計時，我們則需要在審計中使用兩個模型，即財務報表審計模型和財務報告內部控制審計模型。注冊會計師可以先運用本文設計的模型進行內部控制審計，評估出企業的控制風險，再依據財務報表審計模型確定實質性程序的性質、時間和范圍。注冊會計師在運用財務報告內部控制審計模型進行內部控制審計后，若內部控制存在嚴重弱點或重大缺陷的風險很低，在單獨審計中，注冊會計師即可據以發表恰當的內部控制審計意見，要是在整合審計中，注冊會計師則需要據以計劃實質性程序。財務報告內部控制審計明顯不同于財務報表審計，前者是對過程（企業的財務報告內部控制有效性）的審計，是一種直接報告業務的鑒證，而后者是對結果（財務報表及其附注）的審計，是一種基于責任方認定的鑒證業務。財務報表審計引入了對內部控制測試與評價，通過實施控制測試，確定實質性程序的性質、時間和范圍。而在財務報告內部控制審計中，內部控制本身即是我們需要進行鑒證的客體，所以在此我們只能關注企業自身對內部控制的監督，據此合理的確定實施實質性程序的性質、時間和范圍。本文對財務報告內部控制審計模型的設計主要是在借鑒財務報表審計模型的基礎上所做的修正，雖然清晰的界定了相關財務報告內部控制審計中所需要關注的風險，將風險審計方法在財務報告內部控制審計中的運用模型化，但是在單獨的財務報告內部控制審計或整合審計中如何有效的實施則需要注冊會計師的具體判斷。

參考文獻：

[1]周安.基于風險管理視角的內部控制自我評估標準研究[J].財會研究，2010（8）.

[2]楊瑞平.內部控制審計有關問題探索[J].商業研究，2010（4）.

[3]張龍平，陳作習，宋浩.美國內部控制審計的制度變遷及其啟示[J].會計研究，2009（2）.

[4]雷英、吳建友.內部控制審計風險模型研究[J].審計研究，2011（1）.

作者簡介：趙麗錦（1988—），女，湖北咸寧人，常州信息職業技術學院，講師，碩士，從事公司治理、內部控制研究。