审计风险和内部控制之间存在着必然的联系。按照著名的COSO报告,内部控制划分为控制环境、风险评估、控制活动、信息与沟通和监控五个方面。而内部审计就是监控环节的重要手段。审计是在对企业内部控制评估的基础上开展的,内部控制健全与否与审计风险有直接的关系,它们之间成负相关定式。如果被审计单位的内部控制健全,就会降低审计风险,否则,将增加了审计风险。当然如果审计人员对企业内部控制评估不准确,把被审计单位原本不健全的内部控制体系评估为健全,那么,就更会增加审计风险。
三、审计风险的表现形式:
我国《内部审计具体准则第17号――重要性与审计风险》第十七条指出,审计风险包括两方面内容:
(一)重大差异或缺陷风险,是指被审计单位经营活动及内部控制中存在重大差异或缺陷的可能性;
(二)检查风险,是指审计人员未能通过审计测试发现重大差异或缺陷的可能性。
所以,审计风险模型为:审计风险=重大错报风险×检查风险。
作为集团型公司的内部审计,我们在工作中遇到的审计风险主要有以下方面:
1.重大差异或缺陷风险类。
(1)被审计单位内部控制严重缺失。
2008年6月,国家财政部、证监会、审计署、保监会、银监会等五部委颁布的《企业内部控制基本规范》第四条中对内部控制作了进一步明确:内部控制是由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现企业一系列控制活动。所以内部控制不仅涉及企业的战略、效率、信息、资产和合法的问题,也是企业所有人员都必须遵守的,而不管你是管理层还是操作层。如果一家企业的管理层带头破坏内部控制制度,那么企业的内部控制就无从谈起。
如我们在对某三层面企业内部审计时,发现该单位有大量的与本单位主营业务无关的业务,而且毛利仅为1%。该企业主要领导的解释是,为了完成上级单位销售收入的考核指标,必须做这些无利可图的生意。尽管审计报告中揭示了这一问题,但审计人员没有更有力的证据作出可能存在舞弊的结论。3个月后,该企业的上级单位收到了举报信,经查,是该经营班子的全体人员,以家属的名义在外注册了一家贸易公司,即用企业的资金为自己谋利益。这种集体腐败,造成了内部控制严重缺陷,也带来了重大的审计风险。
(2)信息传递不流畅
作为具有一定规模的集团公司,往往有很多层面的独立法人企业,如按照投资分级管理,各个层面的投资管理实效将影响整个集团的管理水平。如果某个管理层对下级失控,就会出现整个集团的重大风险点。如果一层面(集团)内部审计部门去最底层面企业开展内部审计,如一层面去三层面审计,也会因为隔了一个管理二层面,造成信息传递不流畅。由于各个层面的管理机制不尽相同,一些在二层面被确认的事情,不被一层面认可。而且三层面在日常经营活动中,平时存在些什么问题,一层面不尽了解。这种信息不对称,会导致一层面(集团)去三层面审计中,出现漏洞。尽管可以用内部控制制度的符合性测试去弥补,但还是属于蜻蜓点水,容易脱离实际,以至于难以发现被审计单位存在的重大缺陷风险。
