企業內部控制審計風險模型研究

宋燁楨

摘要：伴隨著內部控制審計的不斷發展，對內控審計的要求也隨之愈發嚴格，對于風險模型的需求也更加強烈。審計風險模型是管理風險的重要手段，可以在實務中幫助審計師對風險進行測量，同時也給審計資源的分配問題提供了很好的參考標準，指導審計人員把審計資源分配到風險較高的部分。本文研究企業內部控制審計風險模型，旨在希望進一步減少審計風險，保證審計質量并提高效率做點工作。

關鍵詞：內部控制;審計風險模型

加強內控審計，能夠幫助提供更為詳實的財務信息，對企業管理質量的提升和運營風險的減少大有好處。內部控制是預防財務信息錯誤和欺詐舞弊的首道大關，也是保障企業財務信息真實性和完整性的內部機制。不完善的內部控制管理制度，無法有效識別出潛在的舞弊造假行為，極有可能導致企業經營活動的脫軌，最終造成不可估量的后果。內部控制審計作為上市公司審計中必不可少的一部分，是預防內控失控的關鍵環節。內部控制審計本身由于其發展較晚，存在著實施難度大，相關從業人員能力和經驗不足等問題，展開內部控制審計仍然困難重重。內控審計風險模型作為管理審計風險的重要工具，在審計過程中發揮著重大作用，因此，受到廣泛關注。

一、本文研究基礎

關于內部控制風險的理論研究，成果累累。2007年國外專家就企業內部控制成果展開實證分析，研究結果證明企業的經營業績與內部控制審計和執行效果之間是正相關關系，也就是說內部控制審計風險將會導致企業業績的波動。2010年又有專家對內部控制審計進行了簡單的定義，即：實體存在審計師未發現的重大缺陷的風險，審計師不會在認為該風險未被控制到可接受水平的情況下對內控發表無保留意見。2012年的研究觀點認為，由于內控審計風險基本都基于注冊會計師的主觀判斷，這必然導致審計的效率和進度會受到審計師對審計風險的評估的左右。就此引出，一個設計合理的審計風險模型是審計人員控制和防范審計風險的有力工具。董麗英（2011）對內控審計風險展開了探究，同時提出了其發展中仍需解決的問題，提出內部控制審計風險防范的幾個路徑 。高玉榮（2011）指出防范內部控制審計風險的具體措施主要是營造良好的審計環境、提高審計人員的素質和風險意識、建立健全內控審計質量控制制度、合理設計并嚴格執行審計程序、加強外部監督、實施同業互查制度。陳艷華（2012）以內控審計風險的概念為出發點，提出構成內控審計風險三個組成要素，并就如何進行風險防范展開了探討。叢蔚（2014）從審計師和被審計單位的角度分別對內控審計風險的內涵展開了討論，提出了自己的新見解。

關于內部控制風險審計模型，專家們也發表了各種觀點。在對最早的風險模型進行改動后產生的，普遍認可度較高的傳統風險模型被表達為：審計風險=固有風險*控制風險*檢查風險。之后，IAASB對模型進行進一步完善，將風險要素改為重大錯報風險及檢查風險，以應對新的經濟形勢。但在各國監管機構逐漸開始重視內部控制審計并對其提出明確要求之后，審計人員發現在實務中但這一風險模型不直接適用于內部控制審計。對內部控制的審計涉及對過程的評估而對財務報表的審計涉及對產出的評價。此外，關于內控的審計意見不受分析程序或對細節的實質性測試影響。正是因為這種概念上的差異等，傳統的審計風險模型不能直接作為內部控制審計的概念框架。在意識到這一點之后，研究者開始試圖為內部控制審計構建一個合適且有效的審計風險模型。

2010年建立的內部控制審計風險模型是基于重大缺陷的風險，而非重大錯報，他認為，只有在內部控制的設計不足以應對固有風險，或內部控制未得到充分執行，或設計及執行充分的內部控制未能有效運作時才會產生重大缺陷。同時為了將內部控制審計風險的概念區別開來，他創建了一個新術語：錯誤控制意見風險，即ICOR。最后為后來者提供思路，指出可以就COSO框架進一步對內控審計風險模型進行拓展。

二、內部控制審計風險模型分析

（一）內部控制審計風險模型內容分析

現有文獻研究涉及的風險模型包含有以下五種代表性研究結果：

1.內部控制審計風險 = f（給定固有風險時內部控制設計及實施風險;

2.內部控制風險 = 固有風險 X控制設計及執行風險 X 控制運作有效性風險;

3.內部控制審計分析 = 固有風險 X 控制設計及執行有效性風險

4.內部控制審計風險 = 固有風險 X 內部控制設計及運行風險 X 內部控制評價風險;

5.內部控制審計風險 = 控制設計和執行有效性風險 X 控制評價風險

因此，內控審計風險模型主要由風險要素構成，大部分學者對其界定都來自對內控審計風險的涵義的理解，以可能出現重大缺陷的情況為出發點來提取風險要素。

（二）本文的審計風險模型設計

本文的審計風險模型設計如下：

內部控制審計風險= 固有風險 X 控制設計及執行有效性風險X 控制評價風險

其中，固有風險指獨立于審計過程，在被審計單位經營過程中固有的風險。同時具有兩個特點：一是不受注冊會計師影響，只能通過適當審計程序對固有風險加以分析以此評估固有風險水平;二是固有風險會受到諸多復雜因素影響，但是不包括審計師的工作。固有風險本身不受到審計師影響，但審計師的主觀判斷會很大程度上影響對于固有風險水平的評估。固有風險的高低將影響對內控設計及執行有效性的評估，作為判斷其有效性的重要依據，審計師必須慎重考慮在內控不存在的情況下，可能會引發哪些問題。若固有風險本身較低，則對控制的需求不高，此時即使控制存在不足，也不太可能引發較高的審計風險。伴隨著固有風險的上升，則對控制的需求隨之增加，需要對內控設計及執行風險進行更加嚴格謹慎的評估，同時也需要充分的控制來識別和防范審計風險。而控制被充分設計和執行是對控制運作有效性評估的充分條件，也只有當控制被充分設計和執行后，審計人員才會展開相關的控制測試。設計和執行得越充分，可能會導致的審計風險越低，反之亦然。gzslib202204011318

而內控設計及執行有效性風險受到內控有沒有設計得當、是否執行以及執行是否有效幾個因素影響，是被審計單位導致的，注冊會計師在對其風險水平進行評估時需要考慮到設計不當及合理設計后沒有執行或執行不佳等情況。

內部控制審計評價風險在注冊會計師對企業的內部控制設計和執行效果展開評估時發生，是由注冊會計師引起的，在進行了相關審計程序之后仍未發現存在的問題的可能性。注冊會計師可以通過設計合適的審計程序來降低評價風險。內控評價風險同時受到其余兩個風險要素的影響，審計師應當基于對兩者的判斷，來確定可以被接受的評價風險的水平。同時審計人員也可以設計有效的審計程序對評價風險加以控制。但評價風險本身受到主客觀因素影響，可以通過相關手段減少但無法徹底消除。

內部控制審計風險模型要素之間是相互獨立而又互相影響的，而要素間也存在排列的時間邏輯，在對固有風險進行適當評估之后，才會考慮設計和執行風險，與此同時通常需要根據前兩者來決定評價風險的高低。要素間依次遞進，互相關聯，是模型本身的邏輯關系與審計流程一致性的體現。

三、現有風險模型應用局限性分析

基于上述對內部控制審計風險模型的風險要素及其內在關系的總結分析，可以發現在模型的實際應用中仍然存在著不可忽視的局限性：

1.缺乏統一的模型標準

首先我國內控審計相關的法律法規還存在空白，已經出臺的準則和指導意見的法律約束力不足。仍缺乏相關文件對企業和審計師應遵循的規定進行明確要求，導致企業和注冊會計師雙方在行為遵循方面不統一。

2.固有風險評估存在較大局限性

對于固有風險的定義側重于重大錯報，而非重大缺陷。在對固定風險進行評估時，審計人員個人的職業判斷和經驗將對評估結果產生較大影響，主觀性較強，所以很難進行有效的定量分析。因為固有風險難以評估的特點，實務中審計師常常假設被審計單位的內控環境良好或其員工的個人能力較高或者直接簡單地將固有風險識別為高風險，而這些假設往往是錯誤的，會極大地限制之后的審計工作，由于未對固有風險進行整體上的把握導致對審計風險的整體評估不當.。

3.依賴于審計人員的個人能力

內部控制審計風險模型本身是一個定性的模型，很難進行有效的定量分析，在利用模型實施審計程序的過程中，需要審計人員對各風險要素展開大量的判斷和評估，這對審計人員的個人能力提出了更高要求，要求注冊會計師在具備足夠的專業能力和技能的同時，也必須保持較強的分析判斷的能力。審計師個人能力的水平高低，將直接影響到內控審計的最終結果，也對其是否能發揮風險管理作用起到關鍵影響。內部控制審計模型在使用過程中對使用者即審計人員個人能力的高度依賴，可能致使在實際的審計實務當中，由于審計人員的能力不足或經驗缺乏的原因，導致無法識別出存在重大缺陷的部分及被審計單位的舞弊行為，致使審計失效，造成嚴重后果。

四、研究建議

1.對固有風險進行量化排序

從內部控制審計固有風險的特征可以看出，固有風險是企業內在的一種獨立存在的風險，審計人員是無法在審計過程中通過人為干涉進行消除的。但是審計人員可以通過收集和分析有關的信息，以獲得足夠的審計證據，來幫助對固有風險展開評估。

在對固有風險進行衡量時，判斷依據一般基于審計人員的職業判斷，且沒有明確科學的方法和工具，目前能努力的方向只有盡量多地列出可能影響固有風險的因素，在審計過程中通過參考這些因素來判斷固有風險水平。審計人員可以在內部控制評估開始之前，根據企業的內部控制自我評價報告，在對企業的固有風險進行了解總結之后，根據企業內外部環境對風險按其可能對企業實現目標造成的影響的程度進行量化排序，再根據這個排序對重要的風險部分展開評估，以便進一步展開審計程序。通過對固有風險進行量化排序，可以便于幫助審計人員進行審計資源分配，保證高風險部分得到足夠關注，以降低審計風險，提高效率。

2.培養個人能力

對審計人員個人而言，在專業能力上，要熟悉相關會計準則，在審計過程中遵循準則要求展開審計活動。同時保持持續學習的能力，不斷加強后續教育，實時跟進準則的新發展新進步，主動學習審計相關的法律法規。拓寬個人知識面，避免將個人知識背景局限在會計審計領域，不斷更新自己的知識儲備，提高理解、總結和分析判斷的能力。在職業操守方面，始終對自己的職業道德水準保持高要求，堅守職業道德準則，提高思想素質，不斷強化職業道德，保持作為審計人員的職業懷疑態度，樹立風險意識，對審計風險保持高度敏感和謹慎。

參考文獻：

[1]董麗英.內部控制審計風險研究[J].經濟與管理，2011（10）.

[2]高玉榮.內部控制審計風險[J].財會研究，2011（09）.

[3]陳艷華.淺析企業內部控制審計風險[J].財政監督，2012（02）.