内部审计风险防范机制探讨

2021-10-23张健叶陈刚史慕妍

国际商务财会 2021年11期

张健叶陈刚史慕妍

【摘要】随着我国经济飞速发展，企业规模逐步扩大，面临的生存环境及业务活动越来越繁杂，企业的内部审计在我国的监督体系中发挥着愈发重要的作用。文章依托审计风险模型，论述企业内部审计风险成因，并选取了康得新公司财务造假事件作为案例分析的对象，探究其内部审计风险发生，及防范机制失效的原因，以此为鉴，最终提出构建内部审计风险防范机制的建议。以促进我国内部审计在企业经营管理过程中更好发挥评价、监督功能，提高企业化解内部审计风险的能力。

【关键词】内部审计；风险防范；康得新

【中图分类号】F239.45；272.3

★ 基金项目：本文受国家社科基金项目“国家审计化解系统性金融风险的机制与路径研究（20BGL079）；国家审计署重点科研课题“高素质专业化审计队伍建设研究”（20SJ04002）支持。

一、内部审计风险概述

（一）内部审计风险定义

内部审计风险是指客观存在于审计实务中，当反映被审计单位及其经济活动事项的企业内部审计报告及财务会计报告存在重大错报、漏报，或者内部控制制度存在重大漏洞、缺陷或未被有效执行或者经营管理存在重大舞弊时，内部审计人员经过审计未能发现且发表不正确或不恰当审计意见，或者审计人员没有按照规章制度进行审计工作而造成重大事故，或者在管理经营企业时存在重大的舞弊行为的可能性。由此造成审计对象和与之相关方面遭受损失或损害，并因此让审计主体承担这种责任后果的风险。

（二）内部审计风险特征

1.客观性

内部审计风险由固有风险、控制风险和检查风险组成，因为固有风险是客观存在的，所以内部审计风险也是客观的，不以内部审计工作人员的意志为转移，也不会随着人的主观努力而完全消失，只要这个固有的风险存在，内部审计风险也就随之存在。因此，审计人员只能在有限条件下尽可能控制并降低风险发生的概率，而不能完全消除。

2.广泛性

内部审计涉及的内容是多方面、多种类的，不仅包括企业的账、表、财务收支，也包括企业的其他资料及各类经济活动，内部审计风险可能出现在内部审计工作的任何一个环节。与外部审计不同的是，内部审计更加偏向公司治理及内部控制方面，因此可能发生在生产运营流程的每一环节和涉及的各个方面，而风险可能出现在审计过程的任何一个步骤环节，由此导致其具有广泛性的特征。

3.持久性

与外部审计不同，内部审计无法根据风险情况主动选择审计项目，即使了解自己企业在某些方面可能存在问题，内部审计部门还是得按照要求完成目标任务，出报告、提意见，不可能看着风险大、难度高就产生畏难情绪。

内部审计风险贯穿于审计的全过程，伴随着审计工作的前期准备、过程实施、最终报告等各个阶段。与外部审计出完报告就结束审计工作不一样的是，内部审计在审计工作结束之后还要进行审计档案资料的整理、督促审计问题的整改、了解内部审计效果及审计意见被采纳情况、完善内部控制等后续工作，使得内部审计具有了持续性和长久性。

4.隐蔽性

有的管理者认为，目前公司没有出现大问题，经营管理、财务管理状况良好，此时内部审计风险就處在隐蔽阶段，能预见的审计风险就不会被看见。只有对企业造成严重后果和负面影响并需要承担后果时，大家才能看见风险。所以只有当有了责任后果时，内部审计风险的隐性才会成为显性。

5.可控性

虽然内部审计风险是客观的、持久的、隐蔽的，且产生的后果是难以预料的，但内部审计人员可以利用专业判断和职业经验，识别风险领域和种类，对内部审计风险进行评估；可以通过细化审计计划、方案，优化审计程序、方法，完善内部控制制度规定，将内部审计风险可能出现的概率和损失控制在可以接受的范围内。

（三）内部审计风险的形成原因

目前，我国内部审计还存在诸多缺陷，没有真正发挥它应有的作用。笔者根据审计风险模型，即重大错报风险和检查风险，从这两部分来源分析内部审计风险形成的原因。

1.重大错报风险来源

内部审计的重大错报风险体现在多个方面，包括固有风险、微观环境问题、体系结构问题以及规章制度问题等。

（1）客观上内部审计工作日趋复杂

随着我国经济社会发展速度日益加快，再加上企业各类业务事项日趋复杂、经济活动的性质及种类愈发多样，内部审计范围已经不再局限于审查会计核算业务。从目前内部审计的内容范围来看，审计的内容从财务审计发展为经济责任审计、财经法纪审计、投资管理审计等，还有对某些投资方案的可行性分析、绩效评价、对内部控制体系进行评价完善，有的还会涉及到工程审计、合同合规审计等方面，而这些都极大地增加了内部审计的工作难度。

此外，对于新兴业务的处理，其方法、标准的制定往往存在滞后性，在这样的情况下，内部审计的难度越来越大，有的时候必须事先了解这些审计内容的原则定义才可明确数据逻辑结构标准，或者只能依据相关原则来加以归集，因而极易产生内部审计风险。

（2）内部控制薄弱

内部审计风险与内部微观环境息息相关，不良的内部审计环境可以形成和增加内部审计风险。因此企业的内部控制水平会影响内部审计风险水平，如果没有内部控制制度，或者内部控制不健全、不合理、不能有效执行，治理结构不完善，就会导致审计人员无法及时发现并有效控制企业经营活动中出现的各种差错，无法有效控制错误及风险发生，从而内部审计风险出现的几率也会加大。

（3）主观上不重视内部审计，风险意识不足

由于内部审计无法为企业直接获利，因此很多企业不重视内部审计工作，所以主观上对待内部审计的认知和态度也是造成内部审计风险的原因之一。单位管理层不重视内部审计机构设置、整体团队建设、吸纳专业人才，导致内部审计人员配备不足、专业性不够；其他员工对内部控制的认知不清晰、重视不够，日常工作中不能有效执行内控制度，会为违规违法行为留下机会，产生内部审计风险；还有很多企业日常从未关注内部审计风险，也未制定过应对防范措施，一旦风险出现将措手不及。

（4）内部审计的独立性相对较弱

要想内部审计机构真正发挥监督作用，提高其地位和保持其独立性是非常必要的。内部审计的独立性本身就具有一定的局限性，日常工作与其他部门和人员存在着必要的联系。在实际工作中，我国很多企业尤其中小企业大多没有实现管理权与经营权的分离，权力大于制度的情况屡见不鲜，许多企业并未设置内部审计机构，或内部审计机构从属于其他部门，甚至只是在财务部中设了一个岗位职能，由会计或者出纳等兼职负责审计工作。此外，还有企业，机构管理缺乏合理分工，各个岗位的职责不明确，不理解审计人员的工作性质，需要各部门协作配合内部审计时，容易对内部审计产生抵抗，互相推脱责任，内部审计工作不易推动。有的内审人员开展的审计活动直接受单位领导影响，若领导不清楚内部审计开展的意义，在过程中过多干预、“指手画脚”，无法正常进行内部审计工作，这些都会阻碍内部审计工作的顺利开展，形成内部审计风险。

（5）内部审计法规制度存在问题

虽然这几年来发布了多项内部审计基本准则和若干具体准则与实务指南，对规范内部审计行为、明确责任、提高审计质量、规避审计风险、推动内部审计工作起到了重要作用，但当前我国关于内部审计内容的法律法规体系还不完整，国家并没有出台内部审计具体方法以及相关风险防范等方面的法律法规，内部审计受重视程度依然偏低，因此内部审计人员在日常工作时，无法规范地处理各类数据关系，最终结果的准确性大大降低，增大了内部审计风险；同时，缺乏强有力的法律依据，会削弱内部审计结论的可信度和权威性，从而降低了其可应用性和说服力，也会造成内部审计风险增大。

2.检查风险来源

检查风险主要体现在内部审计方法、内部审计参与者素质、内部审计质量等方面。

（1）内部审计方法落后

从当前内部审计运用的技术和方法看，审计技术方法落后、内部审计选用程序和方法的不确定性、抽样误差等都是内部审计的风险形成因素。由于内部审计制度欠缺规范与完整，执行审计时程序不严谨，加上内部审计人员专业素质不够，内部审计部门在开展工作时缺乏事前完善计划、事中规范程序与报告期仔细复核；一般只专注于自己企业内部想审查的问题，很少对比同行业同类型企业普遍的财务情况和财务指标；并且重点记录审查到的问题事项，内部审计工作底稿也不够完整。这样则导致内部审计工作的不规范、不标准，风险因此增大。

除此之外，我国企业内部审计目前主要采用的仍然是抽样审计，不能驾驭以风险导向为基础的现代审计方法，注重详细审查账表。而抽样审计本身具有一定的局限，会影响内部审计的精准性。再加上审计时内部审计人员专业素质不高，大多以自己的经验来确定样本的范围及规模，通过抽样统计数据的局部特性推测出整体特性，从而得出最终结论。这种判断在当前繁复困难的企业环境下，审计样本容易出现误差，总体特征误差较大，极容易遗漏重大事项，从而增加了审计风险。

（2）内部审计人员素质水平不高

内部审计人员是企业内部审计工作的实施者，是内部审计风险管理及监督的主体。内部审计人員在开展内部审计活动时的方案计划、主观判断都直接取决于内部审计人员，尤其是负责人的道德、经验、能力、判断、责任感等综合素质。因此，内部审计人员综合素质高低对内部审计整体效率与质量产生很大影响。

目前，我国内部审计的工作日益复杂，对象多元化，对内部审计人员专业知识和职业经验方面的要求很高。但目前我国内部审计工作人员素质参差不齐，人员配备不足，与专业的注册会计师存在一定的差距，尤其特别缺乏高级审计工作人员；其次，内部审计工作具备一定的综合性，但很多人是从财务部门抽调，因此缺少系统的审计知识框架以及经管、法律、工程等各方面学识和计算机等新技术，知识结构不全面，专业知识薄弱，仅能处理日常事务性的工作，不能胜任更专业、更综合的内部审计工作，也不能熟练地使用现代审计的技术，工作质量得不到提升。这会导致企业内部审计工作效率与质量不高，内部审计队伍的能力及专业水平不足以支撑探索科学有效的规避或防范内部审计风险的方法及手段，在企业内部审计监督与风险管控工作方面难以发挥主体作用，增大了内部审计风险。另一方面，如果内部审计人员责任心不强，缺乏严谨的工作态度，日常无法严格按照规定审计程序工作，或者为了简化自身工作而选择丢弃部分审计内容，将导致内部审计工作出现纰漏；或者对重大、异常事项不敏感，不能主动关注并分析问题，就会出现遗漏审计重点的情况。甚至还有的内部审计人员不道德、徇私情、亦或趋利避害，受利益蛊惑，有问题装看不见，出假结论，使审计结果的质量得不到保证等，给内部审计带来风险。

（3）内部审计缺少质量控制

根据内部审计准则的要求，内部审计机构要建立审计质量控制制度。我国内部审计机构普遍存在质量控制缺失的问题，通常将内部审计风险管理定义为简单的复核工作，缺乏真正的质量管控机制，这必然使得内部审计的复核与质量管控无从落实，使得内部审计人员对于有可能出现的风险敏感性不高、意识不强，无法提前预判，不能适应内部审计风险管理的需要，内部审计质量管控不力和管理欠规范，从而加大内部审计风险的发生的概率。

二、内部审计风险案例分析

（一）康得新公司基本情况

康得新复合材料集团股份有限公司（以下简称“康得新公司”）于2001年8月21日登记成立，当时注册资本为354 090万元，公司成立初期以预涂膜作为其生产经营的主要产品。2010年7月16日在深圳证券交易所中小企业板A股上市（股票代码：002450），发行股票4040万股，每股发行价14.20元人民币，共募集资金57 368万元。随着公司资本的积累和产业的升级，增加了对光学膜产品的研发和销售，此后，预涂膜和光学膜成为其两大主营业务产品。

（二）康得新内部审计失败原因分析

1.客观上内部审计难度较高

康得新公司拥有三大业务板块、六大生产基地、下辖三十余家子公司，全球布局九大研发中心，拥有一百多个细分类别、超过千种产品，关联关系、业务形式极其复杂多样，在众多关联交易中，内部审计人员不容易发现舞弊行为。另外，康得新公司还有一些海外业务，由于地域限制使得内部审计工作较为困难，因此风险较大。

2.内部控制存在重大缺陷

康得新公司在治理结构和内控制度方面存在重大缺陷，上市之后，因其他股东股权比例较为分散，最大的股东康德投资集团占股24.05%，接近第二大股东浙江中泰的4倍，股权集中程度非常高，处于绝对的主导地位，股权结构失衡，大股东与小股东之间存在利益矛盾，企业不易实现共同控制和管理。另外，2018年康得新公司在发布的内控自评报告中也提到，公司内控制度在治理结构、内部监督、风险管控及信息交流等方面均存在不同程度的漏洞，缺乏完善的内部控制制度，造成大股东非法占用资金事件的发生。在对外担保内部控制方面，子公司康得菲尔实业有限公司为康得新公司进行抵押担保时，虽然金额已经超过康得新公司最近一期净资产的50%，但并没有经过董事会、股东大会审议审批，说明其内部控制存在很大缺陷。

3.内部审计部门形同虚设

2015—2018年康得新公司连年虚增利润，伪造的财务报表却顺利经过层层审批，说明公司的监督机构未尽到应尽的义务，公司内部制衡机制完全失效。在康得新公司内部，实控人钟玉说一不二，其他制衡方往往只能被操控，董事会、监事会和管理层三方之间的制衡也只是流于形式：钟玉与陈曙是夫妻，一个是实控人，一个是原总经理；3位监事会成员虽均有高等教育背景，但不具财务会计知识背景，且2/3的监事会成员与康得新公司实际控制人钟玉存在关联关系，独立性的缺乏可能致使其履行监督之职时存在偏颇；3位独董按理说其能力完全能够对此舞弊行为进行揭露和纠正，但在康得新公司连续造假的几年中形同虚设，对康得新公司内部如此严重恶劣的財务造假活动未能保持应有的职业判断，没有有效的监督与制衡；原有内部审计机构在总经理管理下，与其他部门同层级，在某种程度上已经失去独立性。监事会、内部审计部门不作为，独董的职能缺位，公司的监督约束机制形同虚设。

4.内部审计方法程序不健全

康得新公司主要通过关联方及虚构客户，来虚构销售收入并虚构大量应收账款、预付账款、货币资金等。上市公司的货币资金科目一般来说在资产负债表中是最难造假的，康得新公司账上显示有大量现金却依然向外大举借债，财务费用也随之剧增。再加上毛利率相对同行业偏高，如此高的竞争力却还有很高的应收款项，很难不怀疑其真实性。

这些问题通过审查资金、销售与收款、采购与付款、生产与存货四大循环，审查往来账款、购销合同等都有迹可循，但内部审计人员面对以上异常情况没有应有的判断能力，同时也说明日常内部审计程序未按规定要求完整进行。

5.对内部审计工作不重视，发现问题后整改不及时

康得新公司每年都有内控制度自我评价报告，纳入评价范围的主要业务和事项包括组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、担保业务、投资管理、财务报告、预算管理、合同管理、内部信息传递、信息系统、信息披露、内部控制监督等；另外还有《内部控制规则落实自查表》，用以评价内部审计运作即信息披露、内幕交易、募集资金、关联交易、对外担保、重大投资的内部控制情况等，但是实际上只是流于形式，并没有落到位。

6.内部审计风险防范不到位

企业实施风险管理的目的是通过专业人员对资金管理过程中企业内外可能存在的风险进行识别和分析，进而采取相对应的风险防范和风险规避等措施进行风险控制。但实际上康得新公司在控制风险方面仍有诸多缺陷：从人员配置方面来看，康得新公司目前仅由三名董事组成的审计和风险控制委员会对企业的内部控制和经济活动进行监督管理，尚未建立起专门的团队，无法完成风险从信息收集到评估的任务，无法给出专业的防范风险应对策略；从风险管理的内容来看，康得新公司只针对重大和突发性事件制定了应急预案和责任追究制度，但对风险管理的具体内容和风险管理程序并没有明确的规定。

此外，康得新公司也缺乏内部审计风险管理控制机制，对内部审计质量的管理欠规范，这必然使得审计复核与质量控制无法真正落实，对已经产生或即将产生的审计风险不能及时预测和判断。

三、完善内部审计风险防范机制的建议

（一）运用风险导向审计

在现代审计模式下，风险导向审计是核心内容，内部审计部门可以提前分析评估企业可能面临的各种风险，对固有风险和控制风险进行量化分析，针对不同风险因素状况及程度制订不同的内部审计策略，将有限的资源集中在重点领域，结合可以承受的内部审计风险，尽可能做好风险的有效控制。

具体来说，在企业日常内部审计中要真正做好审前、审中及审后各阶段的控制工作。首先，做好事前控制措施。工作开始前进行风险测试，明确岗位内容与职责，制定监督与检查的管理制度，以预防为主。其次，做好事中控制。通过恰当的指标核实财务资料，对比各工作事项预计与实际完成情况，并对实施过程进行考评，夯实基础。最后，重视事后控制。总结经验教训，及时复盘，建章立制，奠定下一步顺利进行的基础。

此外，当今世界环境瞬息万变，风险随时发生。因此内部审计部门不能只顾自己企业内部问题，还要重视宏观市场环境，及时关注国际政治经济气候和国家经济、政策动态等内容，了解和分析同行业及市场情况。这些虽然对企业来说属于不可控因素，但是提前了解就可以提高对审计风险的认知度和防范意识，做好风险防范预案，提前防范可能发生的风险。

（二）健全内部控制机制

企业应该高度重视内部控制工作，积极搭建有效的内部控制体系，梳理完善内部控制制度，强化内部审计的监督，降低内部审计风险，促进企业健康发展。

具體来说，在股权结构方面，应降低股权集中度，维护股东间的权益制衡机制；优化治理结构，明确治理层和管理层的责权，优化组织架构，董事会、监事会、审计委员会能够各司其职、相互制约，为决策的制定提供可靠支撑；严格依照相关规定，规范资金、财务管理，同时做好财务印鉴保管；在生产、采购、资产各领域符合规定，优化流程，严格管控，记录清晰，提升治理效果。

（三）重视内部审计工作，提高风险意识

企业管理层要摆正对内部审计工作的态度，在开展内部审计的过程中，对其工作给予足够的重视，且要做好内部审计必要性和重要性的宣传工作，把内部审计工作放在企业经营管理的重要地位，在单位内部牢固树立起内部审计的权威性。只有内部审计人员与管理层相互配合才能更好地发挥内部审计的作用。

另一方面，内部审计人员要做好自我定位，所作所为要与企业发展相适应，围绕企业战略发展目标，提供有效的建设性提议。另外，内部审计人员在找出问题后要积极监督各部门实施整改，规范企业经营，定期整理分析在日常审计过程中发现的风险隐患，以供日后使用。

（四）增强内部审计的独立性

通过组织架构设计加强内部审计的相对独立性。设立独立的内部审计部门，分配专门的经费，使其与其他职能部门相对独立，管理者不得干涉内部审计人员的工作，确保其能够独立进行审计工作。

内部审计机构由审计委员会直接管控，如果发现线索问题可以直接向其汇报；委托外部审计时由审委会负责，以免外部审计受到他人掌控，保证报告更真实可靠。

（五）完善内部审计法规制度

在国家层面，建议建立健全内部审计相关法规体系，统一职业规范及要求，制定标准工作流程，指导各企业规范使用风险导向内部审计。另外，还要增强对企业内部审计法律法规执行情况的监管，加强对内部审计工作的宣传力度，提高内部审计地位，将内部审计工作做到更好。

在企业层面，企业自身应该结合自己的实际状况，明确内部审计的职责，规范内部审计工作程序，健全和完善内部审计制度及工作办法并严格执行，让内部审计工作更加规范、标准，实现对于内部审计风险的规避和防范。

（六）加强内部审计质量控制

内部审计对企业整体管理和运营具有非常大的帮助，但是企业也需要完善内部审计质量控制系统，建立内部审计质量控制制度和内部审计风险控制机制，严格落实质量控制复核与考核，重视内部审计质量管控。此外，还可以利用信息系统，指导各部门设置风险预警红线，实时监管内部风险管理执行情况，定期对风险管理措施执行的效果、程序、预警化解及时性等情况进行综合评估，并形成评估报告，及时反馈评估结果，为日后工作提供指导。

（七）建立内部审计风险预警系统

利用区块链、大数据和云审计等技术，搭建内部审计数据库及具有数据分析功能的实时审计风险预警系统，根据企业自身情况录入内部控制环境评估数据及财务数据，提前设置系统相关规则及触发条件（即可接受的内部审计风险最高值），经济活动发生同时产生系统中的数据，保证内部审计及时发现问题线索并收集取证。当系统测算的内部审计风险超出预设值时，系统提示异常，这就可以对内部审计风险进行实时预警。

主要参考文献：

[1]肖芬，陈立新.“互联网+”环境下审计风险评估研究——基于模糊层次分析法[J].会计之友，2018（09）：94-98.

[2]吴国斌，李明燕.审计重大错报风险评估模型构建及应用分析[J].财会通讯，2020（05）：134-137.

[3]陈峥嵘.企业内部审计风险及其防范措施分析[J].会计师，2019（06）：53-54.

[4]李青竹.企业内部审计风险及其防范措施研究[J].商讯，2020（28）：74-75.

[5]杜方.互联网时代企业内部审计风险防范措施探析[J].商业经济，2019（12）：149-150.

[6]谢文彬.会计师事务所审计风险的成因及其防范[J].审计与理财，2019（12）：14-15.

[7]卢祖省.关于审计风险的成因及防范探讨[J].商讯，2019（29）：162-163.

[8]伏成果.企业内部审计风险及其防范[J].全国流通经济，2020（02）：166-167.

[9]刘昕雨.企业内部审计风险及其防范措施探讨[J].全国流通经济，2020（03）：182-184.

[10]钟国华.企业内部审计的风险管理与防范[J].大众投资指南，2019（16）：128-129.

[11]孟宪美.论内部审计风险的规避与防范[J].中外企业家，2019（02）：5.