一、内部审计风险的含义
内部审计是指组织内部的一种独立客观的监督和评价活动,它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。企业内部审计风险是企业内部审计组织或人员在实施审计的过程中无意地对存在的重大错报或漏报的会计报表以及对具有重要影响的经营管理活动审计后发表的不恰当的审计结论,造成审计对象和与之相关方面遭受损失或损害,并由此引起审计主体承担这种责任的风险。对于经营管理审计来说,由于它是一种建设性更强的审计活动,其风险还包括对存在的妨碍企业有效运营的一系列内控缺失、效率低下、决策失误、舞弊欺诈等问题不能有效识别和恰当揭示,从而发表不恰当的审计意见和结论,给审计报告使用者带来损失和风险,而追究审计人员责任的可能性。
(二)内部审计风险的构成要素
内部审计不仅有财务会计审计,还有经济责任审计、营运管理审计、投资项目审计和专项审计等审计类别。内部审计风险同外部审计风险一样包括固有风险、控制风险和检查风险三个构成要素。其中固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性,以及企业即使采取有效的内部控制措施,仍无法完全避免全部风险的客观性;控制风险是指某一账户或交易类别或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性,以及企业业务流程存在缺陷导致舞弊、浪费和效率低下,而未能被有效识别、改善的可能性;检查风险是指某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报,以及企业业务流程存在重大缺陷而未能被实质性测试发现的可能性。
二、内部审计风险的成因
(一)内部审计的法律法规不健全、不完善
内部审计人员在进行内部审计工作时和外部审计一样,同样需要国家的政策法规作为其工作进行的主要依据,但相比外部审计,指导内审工作的各项经济法规政策和准则指南等都仍然处于逐步完善的过程中。而随着市场经济体制的发展,各种新情况、新问题不断出现,如法律法规不能及时与之配套完善,出现滞后现象,则使内审人员对有些问题难以认定,或者出现无法可依或依法错误的情形。在这种情况下,内部审计人员就只能过多地依靠自己的主观经验来对审计对象和内容进行判断,这在一定程度上影响了审计结论的权威性和正确性,也增大了内部审计的风险性。
(二)内部审计机构缺乏应有的独立性
内部审计机构是企业的内设机构,其独立性不如外部审计,在审计过程中,不可避免地受到企业管理层意志的影响。目前,由于很多企业的内审机构并非直接向董事会负责,而是向总经理负责,或者在财务总监的领导下工作,甚至有的企业内审机构从属于财务部门,这种机构设置使内部审计工作的独立性和客观性受到影响,很难以窄观、公允的立场对企业的财务状况和经营管理进行有效的监督和评价,提供出真实客观程度较高的且富有建设性意见的审计报告。
(三)企业管理人员对内部审计不够重视
内部审计产生的内在动因是基于管理和监控的需要,有些企业设立内部审计机构却是迫于行政命令的规定,而非出于自身经营管理的需要;有些企业管理层不明白内部审计的真正意义,没有意识到内部审计对企业内部控制实施、监督和评价的重要作用,将内部审计放在可有可无位置,没有把它有机地融人到企业的管理体系中,使其真正担负起管理、监控的双重责任,内部审计机构设置流于形式,内部审计人员地位边缘化,在企业管理活动中不受重视,这些都会影响内部审计工作的运行环境,使内部审计风险加大。
(四)企业经济活动的复杂性和隐蔽性
随着现代经济的发展,企业的经济活动形式越来越多样化,相应内部审计对象和内容也日益繁杂,内部审计业务范围从传统的财务会计审计向经济管理审计拓展,凡是对企业商业利益和持续经营有影响的管理因素都是内部管理审计的重要内容,审计领域的扩大对内部审计工作提出了更高的要求,审计人员做出正确结论的难度加大;同时,由于内部审计事项一般与企业生产经营活动密切相关,一些敏感事项涉及的人事关系复杂、舞弊手段隐蔽,内部审计人员发现和取证的难度较大,面临更大的责任和风险;另外,随着信息化程度的提高,企业会计信息资料和其他经营管理信息越来越多,形式种类也越来越丰富,同时与之相随的虚假、差错的会计和其他管理信息出现频率也越来越高。各种复杂的经济活动不但扩大了内部审计的范围和工作量,而且给建立在传统审计理论基础上的内部审计方法和程序带来了巨大的冲击,这无形中就增加了内部审计的责任和风险。