基于風險的內部審計方法及內部控制

張倪俊++閆汝乾+++劉雁堃

摘要：基于風險的內部審計是內部審計的演進，強調整體和組織目標的實現。此過程始于被審計的組織的目標，然后轉向影響這些目標實現的風險，最后消除這些風險，實現組織的整體目標的過程。

關鍵詞：風險 內部控制 采購支付循環

隨著我國管理體制、模式的轉型，以及與世界審計觀念的接軌。內部審計作為組織實現其戰略目標及經營目標的一個重要部門，應不斷更新內部審計的觀念與方法，在內部控制的基礎上提升到基于風險的內部審計模式。

在此模式下，首先管理者要平衡風險與執行控制風險的成本。內部審計師根據設定實質性錯誤的標準去確定審計證據的范圍。在設計及評估內部控制之前，內審師應先對組織的固有風險（潛在的欺騙行為及在財務報表中嚴重的實質性錯誤）進行評估。評估固有風險的因素包括高級管理者的經驗和技能、一般經濟狀況和組織所處的行業情況等。若固有風險比較高，內部控制有效性的設計與評估必須很好，才能防止實質性的錯誤。

審計師檢查內部控制作為審計的一部分，以決定涉及到交易的信息的可靠性。根據COSO （Committee Of Sponsoring Organisations）定義內部控制：內部控制是一個過程，被組織的領導，管理人員和其他員工所影響，是被設計用來提供合理的保證，以實現以下的目標：經營的有效性和效率；財務報告的可靠性；遵從法律和規章。

內部控制有五個部分組成：控制環境，風險評估，控制活動，信息和交流，以及監控。

從90年代起，內部審計開始注重過程和系統而不是交易，并幫助管理者進行合作，而不是給管理者找問題。

風險被定義為某個事件或活動極大的影響了組織實現它的目標的成功和執行它的策略的能力。

管理層不僅要檢查內部控制的有效性，還要提供保證所有顯著的風險已經被有效的檢查過了，風險已經被完全有效的管理了，并且風險管理程序是適當的，合適的。

基于風險的審計，簡單的說就是去審計對于你的組織最重要的實務（最重要的實務，就是那些會產生最大風險的地方）。基于風險的審計是一個過程。始于被審計組織的目標，然后轉向影響這些目標實現的風險，最后消除這些風險的過程。因此基于風險的審計是一個演進，而不是一個變革。

內部審計的發展經歷了三個階段：

階段一：賬面審計

早先傳統的方法強調詳細的賬面審計。

階段二：以系統為基礎

此階段強調對系統和流程的審計，而不是去審查大量的交易。

階段三：以風險為基礎的方法

強調整體和組織目標的實現，而不是僅關注控制和尋找影響目標的威脅。

根據澳大利亞和新西蘭審計標準402，（AASB2000），對風險標準的定義，風險是正在發生的某事將會影響組織目標實現的一種可能性。

傳統的組織是以功能角度設計的。被等級化設計的組織有清晰的組織結構，包括功能劃分，報告責任被清晰定義在這些的功能里。組織被部門化，且基于不同的功能。例如組織的部門可能包括財務部，只負責組織財務活動的記錄；生產部，只負責生產貨物。基于功能的組織，各部門之間是獨立的，財務不涉及到銷售，生產也不涉及到銷售，沒有為實現組織共同的目標而互相合作及溝通。類似于我國建國初期的組織企業模式。

以某事業單位為例，該單位審計處對采購支付循環的內控及風險評估：

當風險被識別在風險評估階段，控制活動是管理者或內部審計師對風險的對策，是內部控制的重要組成。控制活動主要分為五類：

第一，職責分離。資產的采購，交易的授權，資產和記錄的保存所涉及到的人是否被分離。如果沒有健全的職責分離很容易使個體進行犯罪并能掩蓋他們的行為。

第二，在此采購支付循環中，要求分離資產的保管工作與資產清點記錄工作，否則將造成資產盜竊并更改記錄的可能性，因此要求后勤處安排不同的人負責保管資產和資產清點記錄工作。

此循環中，采購單記錄被保存在不同的部門，如果只有一個部門擁有并保管記錄，會造成更改記錄的可能性。

第三，恰當的交易授權。授權可分為一般授權和特殊授權。在一般的授權下，管理者建立了一般規定去指導一般授權以便批準在上限之內的交易。特殊授權被應用到特定的交易，比如金額巨大的采購，管理者將親自審查批準。

第四，對于資產和記錄的保護。只有授權的人才能保管和接觸資產以及記錄文件。

第五，獨立的檢查及核實。最后一個控制活動是對上面4個控制活動的持續和仔細的檢查。負責內部核查程序的人員必須獨立于最初負責記錄這些數據的人。

基于風險的內部審計方法中，審計師要使用控制測試，交易的實質性測試，分析性程序，賬戶的詳細測試四個工具去測試控制有效性。

第一，控制測試。詢問適當的員工；檢查文件，記錄和報告；觀察與控制有關的活動；審計師重新履行控制活動去檢查控制活動的有效性。

第二，交易的實質性測試，（實質性測試是一個用來去測試直接影響財務報表余額正確性的貨幣性錯誤的程序）用來決定對于每一個交易是否與交易有關的六個審計目標都被滿足。

第三，分析性程序涉及比較被記錄的數目與審計師期望的數目。

第四，賬戶的詳細測試強調資產負責表和損益表的期末的總賬余額，比如確認應付賬款，現場核查存貨以及賣家的應收賬款申明。

在此循環中，重大的風險通過內部控制中的風險評估所識別，并在控制活動中所處理。最后通過控制測試和交易的實質性測試監測測試控制的有效性。

參考文獻：

[1]Arens， AA， Elder 2008， Auditing and assurance services ： an integrated approach， 12th edn， Pearson Education， New Jersey

[2]Robert Knechel， W 2007， Auditing： Assurance & Risk， 3rd end， Cengage Learning， Stamford

[3]Considine， B 2008， Accounting information systems： understanding business processes，2nd end， John wiley & Sons Australia， Milton

[4]Griffiths，P 2005， Risk-based auditing， Gower Publishing， Hampshireendprint