內部審計風險防范機制探討

張健 葉陳剛 史慕妍

【摘要】隨著我國經濟飛速發展，企業規模逐步擴大，面臨的生存環境及業務活動越來越繁雜，企業的內部審計在我國的監督體系中發揮著愈發重要的作用。文章依托審計風險模型，論述企業內部審計風險成因，并選取了康得新公司財務造假事件作為案例分析的對象，探究其內部審計風險發生，及防范機制失效的原因，以此為鑒，最終提出構建內部審計風險防范機制的建議。以促進我國內部審計在企業經營管理過程中更好發揮評價、監督功能，提高企業化解內部審計風險的能力。

【關鍵詞】內部審計；風險防范；康得新

【中圖分類號】F239.45；272.3

★ 基金項目：本文受國家社科基金項目“國家審計化解系統性金融風險的機制與路徑研究（20BGL079）；國家審計署重點科研課題“高素質專業化審計隊伍建設研究”（20SJ04002）支持。

一、內部審計風險概述

（一）內部審計風險定義

內部審計風險是指客觀存在于審計實務中，當反映被審計單位及其經濟活動事項的企業內部審計報告及財務會計報告存在重大錯報、漏報，或者內部控制制度存在重大漏洞、缺陷或未被有效執行或者經營管理存在重大舞弊時，內部審計人員經過審計未能發現且發表不正確或不恰當審計意見，或者審計人員沒有按照規章制度進行審計工作而造成重大事故，或者在管理經營企業時存在重大的舞弊行為的可能性。由此造成審計對象和與之相關方面遭受損失或損害，并因此讓審計主體承擔這種責任后果的風險。

（二）內部審計風險特征

1.客觀性

內部審計風險由固有風險、控制風險和檢查風險組成，因為固有風險是客觀存在的，所以內部審計風險也是客觀的，不以內部審計工作人員的意志為轉移，也不會隨著人的主觀努力而完全消失，只要這個固有的風險存在，內部審計風險也就隨之存在。因此，審計人員只能在有限條件下盡可能控制并降低風險發生的概率，而不能完全消除。

2.廣泛性

內部審計涉及的內容是多方面、多種類的，不僅包括企業的賬、表、財務收支，也包括企業的其他資料及各類經濟活動，內部審計風險可能出現在內部審計工作的任何一個環節。與外部審計不同的是，內部審計更加偏向公司治理及內部控制方面，因此可能發生在生產運營流程的每一環節和涉及的各個方面，而風險可能出現在審計過程的任何一個步驟環節，由此導致其具有廣泛性的特征。

3.持久性

與外部審計不同，內部審計無法根據風險情況主動選擇審計項目，即使了解自己企業在某些方面可能存在問題，內部審計部門還是得按照要求完成目標任務，出報告、提意見，不可能看著風險大、難度高就產生畏難情緒。

內部審計風險貫穿于審計的全過程，伴隨著審計工作的前期準備、過程實施、最終報告等各個階段。與外部審計出完報告就結束審計工作不一樣的是，內部審計在審計工作結束之后還要進行審計檔案資料的整理、督促審計問題的整改、了解內部審計效果及審計意見被采納情況、完善內部控制等后續工作，使得內部審計具有了持續性和長久性。

4.隱蔽性

有的管理者認為，目前公司沒有出現大問題，經營管理、財務管理狀況良好，此時內部審計風險就處在隱蔽階段，能預見的審計風險就不會被看見。只有對企業造成嚴重后果和負面影響并需要承擔后果時，大家才能看見風險。所以只有當有了責任后果時，內部審計風險的隱性才會成為顯性。

5.可控性

雖然內部審計風險是客觀的、持久的、隱蔽的，且產生的后果是難以預料的，但內部審計人員可以利用專業判斷和職業經驗，識別風險領域和種類，對內部審計風險進行評估；可以通過細化審計計劃、方案，優化審計程序、方法，完善內部控制制度規定，將內部審計風險可能出現的概率和損失控制在可以接受的范圍內。

（三）內部審計風險的形成原因

目前，我國內部審計還存在諸多缺陷，沒有真正發揮它應有的作用。筆者根據審計風險模型，即重大錯報風險和檢查風險，從這兩部分來源分析內部審計風險形成的原因。

1.重大錯報風險來源

內部審計的重大錯報風險體現在多個方面，包括固有風險、微觀環境問題、體系結構問題以及規章制度問題等。

（1）客觀上內部審計工作日趨復雜

隨著我國經濟社會發展速度日益加快，再加上企業各類業務事項日趨復雜、經濟活動的性質及種類愈發多樣，內部審計范圍已經不再局限于審查會計核算業務。從目前內部審計的內容范圍來看，審計的內容從財務審計發展為經濟責任審計、財經法紀審計、投資管理審計等，還有對某些投資方案的可行性分析、績效評價、對內部控制體系進行評價完善，有的還會涉及到工程審計、合同合規審計等方面，而這些都極大地增加了內部審計的工作難度。

此外，對于新興業務的處理，其方法、標準的制定往往存在滯后性，在這樣的情況下，內部審計的難度越來越大，有的時候必須事先了解這些審計內容的原則定義才可明確數據邏輯結構標準，或者只能依據相關原則來加以歸集，因而極易產生內部審計風險。

（2）內部控制薄弱

內部審計風險與內部微觀環境息息相關，不良的內部審計環境可以形成和增加內部審計風險。因此企業的內部控制水平會影響內部審計風險水平，如果沒有內部控制制度，或者內部控制不健全、不合理、不能有效執行，治理結構不完善，就會導致審計人員無法及時發現并有效控制企業經營活動中出現的各種差錯，無法有效控制錯誤及風險發生，從而內部審計風險出現的幾率也會加大。

（3）主觀上不重視內部審計，風險意識不足

由于內部審計無法為企業直接獲利，因此很多企業不重視內部審計工作，所以主觀上對待內部審計的認知和態度也是造成內部審計風險的原因之一。單位管理層不重視內部審計機構設置、整體團隊建設、吸納專業人才，導致內部審計人員配備不足、專業性不夠；其他員工對內部控制的認知不清晰、重視不夠，日常工作中不能有效執行內控制度，會為違規違法行為留下機會，產生內部審計風險；還有很多企業日常從未關注內部審計風險，也未制定過應對防范措施，一旦風險出現將措手不及。

（4）內部審計的獨立性相對較弱

要想內部審計機構真正發揮監督作用，提高其地位和保持其獨立性是非常必要的。內部審計的獨立性本身就具有一定的局限性，日常工作與其他部門和人員存在著必要的聯系。在實際工作中，我國很多企業尤其中小企業大多沒有實現管理權與經營權的分離，權力大于制度的情況屢見不鮮，許多企業并未設置內部審計機構，或內部審計機構從屬于其他部門，甚至只是在財務部中設了一個崗位職能，由會計或者出納等兼職負責審計工作。此外，還有企業，機構管理缺乏合理分工，各個崗位的職責不明確，不理解審計人員的工作性質，需要各部門協作配合內部審計時，容易對內部審計產生抵抗，互相推脫責任，內部審計工作不易推動。有的內審人員開展的審計活動直接受單位領導影響，若領導不清楚內部審計開展的意義，在過程中過多干預、“指手畫腳”，無法正常進行內部審計工作，這些都會阻礙內部審計工作的順利開展，形成內部審計風險。

（5）內部審計法規制度存在問題

雖然這幾年來發布了多項內部審計基本準則和若干具體準則與實務指南，對規范內部審計行為、明確責任、提高審計質量、規避審計風險、推動內部審計工作起到了重要作用，但當前我國關于內部審計內容的法律法規體系還不完整，國家并沒有出臺內部審計具體方法以及相關風險防范等方面的法律法規，內部審計受重視程度依然偏低，因此內部審計人員在日常工作時，無法規范地處理各類數據關系，最終結果的準確性大大降低，增大了內部審計風險；同時，缺乏強有力的法律依據，會削弱內部審計結論的可信度和權威性，從而降低了其可應用性和說服力，也會造成內部審計風險增大。

2.檢查風險來源

檢查風險主要體現在內部審計方法、內部審計參與者素質、內部審計質量等方面。

（1）內部審計方法落后

從當前內部審計運用的技術和方法看，審計技術方法落后、內部審計選用程序和方法的不確定性、抽樣誤差等都是內部審計的風險形成因素。由于內部審計制度欠缺規范與完整，執行審計時程序不嚴謹，加上內部審計人員專業素質不夠，內部審計部門在開展工作時缺乏事前完善計劃、事中規范程序與報告期仔細復核；一般只專注于自己企業內部想審查的問題，很少對比同行業同類型企業普遍的財務情況和財務指標；并且重點記錄審查到的問題事項，內部審計工作底稿也不夠完整。這樣則導致內部審計工作的不規范、不標準，風險因此增大。

除此之外，我國企業內部審計目前主要采用的仍然是抽樣審計，不能駕馭以風險導向為基礎的現代審計方法，注重詳細審查賬表。而抽樣審計本身具有一定的局限，會影響內部審計的精準性。再加上審計時內部審計人員專業素質不高，大多以自己的經驗來確定樣本的范圍及規模，通過抽樣統計數據的局部特性推測出整體特性，從而得出最終結論。這種判斷在當前繁復困難的企業環境下，審計樣本容易出現誤差，總體特征誤差較大，極容易遺漏重大事項，從而增加了審計風險。

（2）內部審計人員素質水平不高

內部審計人員是企業內部審計工作的實施者，是內部審計風險管理及監督的主體。內部審計人員在開展內部審計活動時的方案計劃、主觀判斷都直接取決于內部審計人員，尤其是負責人的道德、經驗、能力、判斷、責任感等綜合素質。因此，內部審計人員綜合素質高低對內部審計整體效率與質量產生很大影響。

目前，我國內部審計的工作日益復雜，對象多元化，對內部審計人員專業知識和職業經驗方面的要求很高。但目前我國內部審計工作人員素質參差不齊，人員配備不足，與專業的注冊會計師存在一定的差距，尤其特別缺乏高級審計工作人員；其次，內部審計工作具備一定的綜合性，但很多人是從財務部門抽調，因此缺少系統的審計知識框架以及經管、法律、工程等各方面學識和計算機等新技術，知識結構不全面，專業知識薄弱，僅能處理日常事務性的工作，不能勝任更專業、更綜合的內部審計工作，也不能熟練地使用現代審計的技術，工作質量得不到提升。這會導致企業內部審計工作效率與質量不高，內部審計隊伍的能力及專業水平不足以支撐探索科學有效的規避或防范內部審計風險的方法及手段，在企業內部審計監督與風險管控工作方面難以發揮主體作用，增大了內部審計風險。另一方面，如果內部審計人員責任心不強，缺乏嚴謹的工作態度，日常無法嚴格按照規定審計程序工作，或者為了簡化自身工作而選擇丟棄部分審計內容，將導致內部審計工作出現紕漏；或者對重大、異常事項不敏感，不能主動關注并分析問題，就會出現遺漏審計重點的情況。甚至還有的內部審計人員不道德、徇私情、亦或趨利避害，受利益蠱惑，有問題裝看不見，出假結論，使審計結果的質量得不到保證等，給內部審計帶來風險。

（3）內部審計缺少質量控制

根據內部審計準則的要求，內部審計機構要建立審計質量控制制度。我國內部審計機構普遍存在質量控制缺失的問題，通常將內部審計風險管理定義為簡單的復核工作，缺乏真正的質量管控機制，這必然使得內部審計的復核與質量管控無從落實，使得內部審計人員對于有可能出現的風險敏感性不高、意識不強，無法提前預判，不能適應內部審計風險管理的需要，內部審計質量管控不力和管理欠規范，從而加大內部審計風險的發生的概率。

二、內部審計風險案例分析

（一）康得新公司基本情況

康得新復合材料集團股份有限公司（以下簡稱“康得新公司”）于2001年8月21日登記成立，當時注冊資本為354 090萬元，公司成立初期以預涂膜作為其生產經營的主要產品。2010年7月16日在深圳證券交易所中小企業板A股上市（股票代碼：002450），發行股票4040萬股，每股發行價14.20元人民幣，共募集資金57 368萬元。隨著公司資本的積累和產業的升級，增加了對光學膜產品的研發和銷售，此后，預涂膜和光學膜成為其兩大主營業務產品。

（二）康得新內部審計失敗原因分析

1.客觀上內部審計難度較高

康得新公司擁有三大業務板塊、六大生產基地、下轄三十余家子公司，全球布局九大研發中心，擁有一百多個細分類別、超過千種產品，關聯關系、業務形式極其復雜多樣，在眾多關聯交易中，內部審計人員不容易發現舞弊行為。另外，康得新公司還有一些海外業務，由于地域限制使得內部審計工作較為困難，因此風險較大。

2.內部控制存在重大缺陷

康得新公司在治理結構和內控制度方面存在重大缺陷，上市之后，因其他股東股權比例較為分散，最大的股東康德投資集團占股24.05%，接近第二大股東浙江中泰的4倍，股權集中程度非常高，處于絕對的主導地位，股權結構失衡，大股東與小股東之間存在利益矛盾，企業不易實現共同控制和管理。另外，2018年康得新公司在發布的內控自評報告中也提到，公司內控制度在治理結構、內部監督、風險管控及信息交流等方面均存在不同程度的漏洞，缺乏完善的內部控制制度，造成大股東非法占用資金事件的發生。在對外擔保內部控制方面，子公司康得菲爾實業有限公司為康得新公司進行抵押擔保時，雖然金額已經超過康得新公司最近一期凈資產的50%，但并沒有經過董事會、股東大會審議審批，說明其內部控制存在很大缺陷。

3.內部審計部門形同虛設

2015—2018年康得新公司連年虛增利潤，偽造的財務報表卻順利經過層層審批，說明公司的監督機構未盡到應盡的義務，公司內部制衡機制完全失效。在康得新公司內部，實控人鐘玉說一不二，其他制衡方往往只能被操控，董事會、監事會和管理層三方之間的制衡也只是流于形式：鐘玉與陳曙是夫妻，一個是實控人，一個是原總經理；3位監事會成員雖均有高等教育背景，但不具財務會計知識背景，且2/3的監事會成員與康得新公司實際控制人鐘玉存在關聯關系，獨立性的缺乏可能致使其履行監督之職時存在偏頗；3位獨董按理說其能力完全能夠對此舞弊行為進行揭露和糾正，但在康得新公司連續造假的幾年中形同虛設，對康得新公司內部如此嚴重惡劣的財務造假活動未能保持應有的職業判斷，沒有有效的監督與制衡；原有內部審計機構在總經理管理下，與其他部門同層級，在某種程度上已經失去獨立性。監事會、內部審計部門不作為，獨董的職能缺位，公司的監督約束機制形同虛設。

4.內部審計方法程序不健全

康得新公司主要通過關聯方及虛構客戶，來虛構銷售收入并虛構大量應收賬款、預付賬款、貨幣資金等。上市公司的貨幣資金科目一般來說在資產負債表中是最難造假的，康得新公司賬上顯示有大量現金卻依然向外大舉借債，財務費用也隨之劇增。再加上毛利率相對同行業偏高，如此高的競爭力卻還有很高的應收款項，很難不懷疑其真實性。

這些問題通過審查資金、銷售與收款、采購與付款、生產與存貨四大循環，審查往來賬款、購銷合同等都有跡可循，但內部審計人員面對以上異常情況沒有應有的判斷能力，同時也說明日常內部審計程序未按規定要求完整進行。

5.對內部審計工作不重視，發現問題后整改不及時

康得新公司每年都有內控制度自我評價報告，納入評價范圍的主要業務和事項包括組織架構、發展戰略、人力資源、社會責任、企業文化、資金活動、采購業務、資產管理、銷售業務、擔保業務、投資管理、財務報告、預算管理、合同管理、內部信息傳遞、信息系統、信息披露、內部控制監督等；另外還有《內部控制規則落實自查表》，用以評價內部審計運作即信息披露、內幕交易、募集資金、關聯交易、對外擔保、重大投資的內部控制情況等，但是實際上只是流于形式，并沒有落到位。

6.內部審計風險防范不到位

企業實施風險管理的目的是通過專業人員對資金管理過程中企業內外可能存在的風險進行識別和分析，進而采取相對應的風險防范和風險規避等措施進行風險控制。但實際上康得新公司在控制風險方面仍有諸多缺陷：從人員配置方面來看，康得新公司目前僅由三名董事組成的審計和風險控制委員會對企業的內部控制和經濟活動進行監督管理，尚未建立起專門的團隊，無法完成風險從信息收集到評估的任務，無法給出專業的防范風險應對策略；從風險管理的內容來看，康得新公司只針對重大和突發性事件制定了應急預案和責任追究制度，但對風險管理的具體內容和風險管理程序并沒有明確的規定。

此外，康得新公司也缺乏內部審計風險管理控制機制，對內部審計質量的管理欠規范，這必然使得審計復核與質量控制無法真正落實，對已經產生或即將產生的審計風險不能及時預測和判斷。

三、完善內部審計風險防范機制的建議

（一）運用風險導向審計

在現代審計模式下，風險導向審計是核心內容，內部審計部門可以提前分析評估企業可能面臨的各種風險，對固有風險和控制風險進行量化分析，針對不同風險因素狀況及程度制訂不同的內部審計策略，將有限的資源集中在重點領域，結合可以承受的內部審計風險，盡可能做好風險的有效控制。

具體來說，在企業日常內部審計中要真正做好審前、審中及審后各階段的控制工作。首先，做好事前控制措施。工作開始前進行風險測試，明確崗位內容與職責，制定監督與檢查的管理制度，以預防為主。其次，做好事中控制。通過恰當的指標核實財務資料，對比各工作事項預計與實際完成情況，并對實施過程進行考評，夯實基礎。最后，重視事后控制。總結經驗教訓，及時復盤，建章立制，奠定下一步順利進行的基礎。

此外，當今世界環境瞬息萬變，風險隨時發生。因此內部審計部門不能只顧自己企業內部問題，還要重視宏觀市場環境，及時關注國際政治經濟氣候和國家經濟、政策動態等內容，了解和分析同行業及市場情況。這些雖然對企業來說屬于不可控因素，但是提前了解就可以提高對審計風險的認知度和防范意識，做好風險防范預案，提前防范可能發生的風險。

（二）健全內部控制機制

企業應該高度重視內部控制工作，積極搭建有效的內部控制體系，梳理完善內部控制制度，強化內部審計的監督，降低內部審計風險，促進企業健康發展。

具體來說，在股權結構方面，應降低股權集中度，維護股東間的權益制衡機制；優化治理結構，明確治理層和管理層的責權，優化組織架構，董事會、監事會、審計委員會能夠各司其職、相互制約，為決策的制定提供可靠支撐；嚴格依照相關規定，規范資金、財務管理，同時做好財務印鑒保管；在生產、采購、資產各領域符合規定，優化流程，嚴格管控，記錄清晰，提升治理效果。

（三）重視內部審計工作，提高風險意識

企業管理層要擺正對內部審計工作的態度，在開展內部審計的過程中，對其工作給予足夠的重視，且要做好內部審計必要性和重要性的宣傳工作，把內部審計工作放在企業經營管理的重要地位，在單位內部牢固樹立起內部審計的權威性。只有內部審計人員與管理層相互配合才能更好地發揮內部審計的作用。

另一方面，內部審計人員要做好自我定位，所作所為要與企業發展相適應，圍繞企業戰略發展目標，提供有效的建設性提議。另外，內部審計人員在找出問題后要積極監督各部門實施整改，規范企業經營，定期整理分析在日常審計過程中發現的風險隱患，以供日后使用。

（四）增強內部審計的獨立性

通過組織架構設計加強內部審計的相對獨立性。設立獨立的內部審計部門，分配專門的經費，使其與其他職能部門相對獨立，管理者不得干涉內部審計人員的工作，確保其能夠獨立進行審計工作。

內部審計機構由審計委員會直接管控，如果發現線索問題可以直接向其匯報；委托外部審計時由審委會負責，以免外部審計受到他人掌控，保證報告更真實可靠。

（五）完善內部審計法規制度

在國家層面，建議建立健全內部審計相關法規體系，統一職業規范及要求，制定標準工作流程，指導各企業規范使用風險導向內部審計。另外，還要增強對企業內部審計法律法規執行情況的監管，加強對內部審計工作的宣傳力度，提高內部審計地位，將內部審計工作做到更好。

在企業層面，企業自身應該結合自己的實際狀況，明確內部審計的職責，規范內部審計工作程序，健全和完善內部審計制度及工作辦法并嚴格執行，讓內部審計工作更加規范、標準，實現對于內部審計風險的規避和防范。

（六）加強內部審計質量控制

內部審計對企業整體管理和運營具有非常大的幫助，但是企業也需要完善內部審計質量控制系統，建立內部審計質量控制制度和內部審計風險控制機制，嚴格落實質量控制復核與考核，重視內部審計質量管控。此外，還可以利用信息系統，指導各部門設置風險預警紅線，實時監管內部風險管理執行情況，定期對風險管理措施執行的效果、程序、預警化解及時性等情況進行綜合評估，并形成評估報告，及時反饋評估結果，為日后工作提供指導。

（七）建立內部審計風險預警系統

利用區塊鏈、大數據和云審計等技術，搭建內部審計數據庫及具有數據分析功能的實時審計風險預警系統，根據企業自身情況錄入內部控制環境評估數據及財務數據，提前設置系統相關規則及觸發條件（即可接受的內部審計風險最高值），經濟活動發生同時產生系統中的數據，保證內部審計及時發現問題線索并收集取證。當系統測算的內部審計風險超出預設值時，系統提示異常，這就可以對內部審計風險進行實時預警。

主要參考文獻：

[1]肖芬，陳立新.“互聯網+”環境下審計風險評估研究——基于模糊層次分析法[J].會計之友，2018（09）：94-98.

[2]吳國斌，李明燕.審計重大錯報風險評估模型構建及應用分析[J].財會通訊，2020（05）：134-137.

[3]陳崢嶸.企業內部審計風險及其防范措施分析[J].會計師，2019（06）：53-54.

[4]李青竹.企業內部審計風險及其防范措施研究[J].商訊，2020（28）：74-75.

[5]杜方.互聯網時代企業內部審計風險防范措施探析[J].商業經濟，2019（12）：149-150.

[6]謝文彬.會計師事務所審計風險的成因及其防范[J].審計與理財，2019（12）：14-15.

[7]盧祖省.關于審計風險的成因及防范探討[J].商訊，2019（29）：162-163.

[8]伏成果.企業內部審計風險及其防范[J].全國流通經濟，2020（02）：166-167.

[9]劉昕雨.企業內部審計風險及其防范措施探討[J].全國流通經濟，2020（03）：182-184.

[10]鐘國華.企業內部審計的風險管理與防范[J].大眾投資指南，2019（16）：128-129.

[11]孟憲美.論內部審計風險的規避與防范[J].中外企業家，2019（02）：5.

[12]吳悌魁.大數據時代背景下我國注冊會計師審計風險防范研究[J].財經界（學術版），2019，

[13]胡菲菲.企業內部審計風險及其防范措施分析[J].中國管理信息化，202023（15）：20-21.

[14]沈瑞鑒.基于內部審計風險管理的內部審計質量控制研究[J].財會學習，2020（34）：125-126.

[15]AICPA.1983.Audit and accounting guide： Audit sampling.

[16]AICPA： Professional Standards As of June1，2008，AU.312

[17]IIA International Professional Practice Framework（IPPE）.Institute of Internal Auditors（IIA），2009