浅谈内部审计风险的成因及防范

浅谈内部审计风险的成因及防范（提纲）

【摘要】随着社会主义市场经济的发展和审计环境的日益复杂化，审计风险已成为企业内部审计无法回避的问题。如何加强内部审计风险管理，有效控制和防范内部审计风险，提高审计质量，已成为内审人员热切关注的问题。

【关键词】内部审计；风险；成因；防范

一、内部审计风险概述

（一）审计风险的涵义、基本特征

1．内部审计风险的涵义

2．内部审计风险的基本特征

（二）内部审计风险的内容、分类

1.内部审计风险的内容

2.内部审计风险的分类

（三）防范内部审计的重要性

二、内部审计风险的成因

（一）因客观因素导致的内审风险

1．内部审计机构的相对独立性

2．内部审计法律法规体系不健全

3．内部控制制度的不完善导致了审计风险的加大

4．内部审计对象的复杂化和审计范围的扩大化，增加了审计风险

（二）因主观因素导致的内审风险

1．内部审计选用程序和方法的不确定性，加大了审计的风险

2．审计人员素质的高低是决定审计风险大小的主要因素

三、内部审计风险的防范措施探讨

（一）积极规避客观因素导致的审计风险

1．树立内部审计的独立性

2．建立和完善与内部审计相关的一系列法律、法规和制度

3．建立有效的内部运行机制，完善内部质量控制制度

4．加强对被审计单位的了解，做好审前工作，降低审计风险

（二）有效控制因主观因素导致的内审风险

1．科学应用审计抽样方法，积极探索风险基础审计，减低审计风险

2．加强内部审计队伍建设，树立风险意识，提高业务素质和工作责任感

浅谈内部审计风险的成因及防范

【摘要】随着社会主义市场经济的发展和审计环境的日益复杂化，审计风险已成为企业内部审计无法回避的问题。如何加强内部审计风险管理，有效控制和防范内部审计风险，提高审计质量，已成为内审人员热切关注的问题。

【关键词】内部审计；风险；成因；防范

一、内部审计风险概述

（一）内部审计风险的涵义、基本特征

1．内部审计风险的涵义

对于审计风险的定义，目前存在几种不同的观点，笔者对收集的资料作了一个大致的归纳，具有代表性的观点有以下三种：

（1）“单一风险论”。持这一观点的学者认为，审计风险是审计人员在其审计工作中，所面临的各种不确定性的事项。这一观点是把审计风险单一地归集为审计的对象上。例如，审计人员在审核财务报表时，面对企业编制的各种报表数据，一般无法确定其数据的真实、可靠性。从科学的角度进行分析，审计人员可以很容易地判断出某一数据是真实可靠的，一般而言，审计人员只能根据审计对象提供的数据资料作出合乎逻辑的判断。

（2）“多重风险论”。持这一观点的学者认为，审计风险的产生是由多种因素所确定的。而每一种因素本身都存在一定的不确定性。据此推论，认为审计风险由以下三种风险组成：一是“内在风险”。所谓内在风险是指会计报表上的数据从业务事项的产生、归集、计算一直到编制报表，客观上存在的一种不确定性，这里既有人为因素，也有环境因素。例如，在业务数据处理过程中，会计人员的舞弊行为或业务生疏都可能造成误报、漏报等。另外，企业的主管人员从主观愿望上要求会计人员提供带有偏向性的会计数据。从客观上讲，内在风险由于产生的原因较多，所以往往是审计风险的主要来源。二是“控制风险”。所谓控制风险是指被审计单位的内部控制系统未能有效地将编报的差错控制在允许范围内。控制风险既表明企业内部控制系统是否能有效地阻止差错的产生，或能否有效地检测差错所在，以便采取及时措施，也为编制审计计划中的风险估价提供了客观依据。例如，一旦审计人员有理由为被审单位内部控制系统完全不起作用，则在审计计划中，审计人员将会认为内部控制风险百分之百地存在，从而不再考虑审计对象内部控制系统对报表差错的预防与检测功能。三是“审计检测风险”。所谓审计检测风险是指假定企业的报表数据存在差错，审计人员所收集的审计证据无法确认差错的存在，并且这一差错超出允许的范围。审计检测风险不仅取决于审计人员对审计风险的主观判断，而且也确定了审计取证的数据与质量。例如，如果审计人员认为，被审单位报表数据存在差错的可能很小，那么审计人员就可能减少审计取证的数量，这反而会加大审计检测风险。

（3）“双重风险论”。这一观点实质上是以上两种观点的综合。假定我们将被审计对象与审计执行人员看成是审计工作的客体与主体，那么，所谓双重风险就是指审计客体风险与审计主体风险。审计客体风险包括被审计单位会计人员与管理人员有意或无意地造成会计报表的差错。而审计主体风险是指审计人员由于种种原因未能采取有效措施来检测与修正被审计单位会计报表的差错。按照审计的一般常识，审计质量的高低取决于两个方面，一是被审单位有关人员对被审材料所作的承诺。二是审计人员的主观判断能力。前已述及，作为审计的执行者，一般很容易发现会计报表中的虚假，但确很难判断报表数据是真实可靠的。审计人员对被审材料所下的结论，其唯一依据是被审单位对有关数据所作的承诺。一旦审计人员无法确认这一承诺的虚假，则必然确认这一承诺的真实可靠，这本身就存在一种风险。

2．内部审计风险的基本特征

（1）内部审计风险的不可避免性。由于形成审计风险原因的多样性，造成内部审计风险的必然性。但是，由于内部审计人员熟悉企业情况，了解企业内部控制制度，对高风险项目、关键重点项目进行经常性审查。所以较之于外部审计，其审计风险大为降低。

（2）内部审计风险范围的广泛性。由于内部审计目的是促进有效控制成本费用，提高企业经济效益，这使得内部审计范围扩展到企业整个经营运作之中。现阶段，当外部审计只局限于真实性、合法性时，效益审计对内部审计提出了更高的要求，提供了更大的范围。

（3）内部审计风险的持久性。审计风险存在于审计项目全过程，包括准备阶段、实施阶段、报告阶段。内部审计风险也同样存在于以上阶段，但当审计项目归档后，外部审计即完成任务，然而内部审计的目的要求内部审计人员督促、帮助管理人员对不轨行为进行整改、处理，而非外部审计的建议，这使内部审计在时间、空间上大为扩大，这也可能加大审计风险。

（4）内部审计风险的隐蔽潜在性。虽然内部审计风险较之于外部环境审计，其隐蔽性较低，但同样存在，其表现在无法通过计算得到。此外，内部审计风险的后果也是潜在的，只有当内部审计结论对企业造成不良影响成为现实并承担严重后果时，才表现为实在性。审计风险只有在错误形成以后经过验证才能表现出来。假如这种错误被人们无意中接受，即不再进行验证，则审计人员由此

而应承担的责任或遭受的损失实际没有成为现实。所以，审计风险只是一种可能的风险，它对审计人员构成某种损失有一个显化的过程。

（5）内部审计风险的或然性。内部审计风险不一定都会产生审计责任，也不一定对企业经营运作产生重大影响。

（6）内部审计风险的可测可控性。虽然审计风险是客观存在的,并且贯穿于所有审计项目和整个审计过程中的每一个环节,一旦发生将给审计组织和人员造成有形和无形的名誉及经济损失,但是这并不意味着审计人员在审计风险面前无能为力,它是可以被控制的。内部审计人员可以通过对内控制度强弱的测试，运用专业技能和丰富经验，并采取相应的审计程序、方法，帮助管理人员完善内部控制制度，改善经营管理，可使风险降至低点。

（二）内部审计风险的内容、分类

1.内部审计风险的内容

内部审计风险包括固有风险和控制风险。固有风险是指在假定与内部会计控制无关的情况下，被审计单位整体财务报表和各账户余额或某项业务发生重大差错的可能性，即由于被审计单位经济业务的特点和会计核算工作本身的不足而形成的审计风险。如某些企业缺乏对会计制度应有的重视，账户体系庞杂、会计信息明晰性降低，报表利用困难，成本、费用缺乏成本核算概念等。控制风险是指由于被审单位内部控制制度不够健全完善，内部控制行为不力，不能及时发现和纠正某个账户或某种业务中的重大错误而形成的审计风险。有时即使审计人员确认被审计单位的内部控制制度不合理或在关键环节上失控，其提出的修正建议能否真正适合被审计单位的经营活动，也会形成一种修正风险。

2.内部审计风险的分类

关于企业内部审计风险的种类，有不同的分类标准。如果从企业内部审计风险的成因来看，其可以分成以下几类：

（1）体制引发型风险：企业内部审计机构是企业内部设置机构，在本企业负责人的领导下开展工作，为本企业实现经营目标服务，其人员工资福利、审计经费都由本企业解决。企业内部审计机构的这种组织模式就使审计人员与被审企业的各种利益密切相关，企业不能有效地保证审计机构和人员在组织上的独立性、在业务工作中的自主性和权威性。在这种情况下，企业内部审计部门不能对企业的财务进行有效的监控，更不能做出客观、真实、合理的评价，因而增大了企业内部审计风险。

（2）业务引发型风险：随着社会主义市场经济的建立和完善，现代企业经营规模不断扩大，企业之间的竞争越来越激烈，企业面临的经营问题日趋复杂，内部审计对象的复杂，为内部审计工作增加了更多的困难，审计风险也随之增加。加上各种现代高科技交易手段的运用，也使审计部门面临的信息资料也越来越多，发生差错和虚假情况也就越多，失察的可能性也随之增大，这也意味着企业内部审计所面临的审计对象逐步扩展，复杂化程度逐步提高。企业内部审计对象的复杂化和审计范围的扩展化，不仅加大了审计人员的审计责任，进一步加大了企业内部审计风险的产生。

（3）方法引发型风险：企业内部审计所采取的审计程序和方法是否科学，将直接影响到企业内部审计工作的质量。目前我国企业内部审计多以账页基础审计方法为主，已不能适应当今复杂的经营环境；还未形成以风险导向为核心的审计理念；抽样审计技术的运用更多地凭借内审人员的主观判断和经验，易使审计结论产生偏差；计算机审计在企业内审中还较少应用。这些都能带来一定的企业内部审计风险。

（4）制度引发型风险：内部控制制度的建立和执行情况是内部审计的基础，健全有效的内部控制制度能及时发现和纠正企业经济活动中的各种差错和舞弊。内部控制制度不健全就会增加差错和舞弊的可能性，使得审计人员难以发现经济活动中存在的差错和舞弊而形成审计风险。目前我国一些企业缺乏健全有效的内部控制制度，还未设立专门的审计质量控制机构，会计核算不规范，会计信息失真的现象大量存在，不规范的质量控制方法，这也在一定程度上增大了企业内部审计风险产生的可能性。

（5）人员引发型风险：我国内部审计工作相对起步较晚，内部审计理论研究和人才培养也相对滞后。目前我国企业内部审计人员整体水平不高，综合素质较低，识别风险、判断正误的能力较差；部分企业内审人员多数只注重财务与审计知识的学习，但对现代管理知识、科技知识、综合分析能力的把握还有较大差距；许多企业内审机构和人员缺乏应有的职业规范的约束和指导，有些人职业道德欠佳，不能经受各方面的诱惑；内部审计人员普遍缺乏计算机审计技能，不能适应新形势的需要。所有这些将直接影响到企业内部审计工作开展的深度和广度，给企业内部审计工作的质量、信誉带来负面影响，从而导致审计风险的出现。

（6）法规引发型风险：相比其它审计而言，内部审计明显存在法律法规不健全的问题。尽管从2003年6月1日起已开始施行《内部审计基本准则》、《内部审计人员职业道德规范》和十个具体准则，但内部审计主要依据标准仍为20世纪80年代审计署颁布的《关于内部审计工作的规定》，法律级次明显偏低，可操作性差，不能很好地指导现代企业内部审计工作。这一情况容易使在审计过程中遇到新情况新问题时，出现无法可依的情况，对有些问题难以认定!进而导致企业内审人员在审计过程中只有依据大量的职业判断，而个体主观的差异必然会导致企业内部审计风险的产生。

（7）经营引发型风险：随着改革开放事业的不断推进，各种经济主体发生着巨大的变化。国有企业大量改制，外资纷纷涌入，多种经济成分并存；承包、租赁、收购、关联交易等新问题不断涌现；企业盈利能力、偿债能力和持续经营能力均出现了很大的不确定性，随着竞争的加剧，破产、兼并、重组现象时有发生；企业内部管理薄弱，管理者不能认真履行管理职责，人、财、物等资源不能有效使用，导致资产流失、利润不增、挥霍浪费等。企业经营风险如此之大必然导致企业内部审计风险的增加。

（8）认识引发型风险：现实表明，不少企业内部审计机构的设立迫于法律或行政命令的规定，而非出于自身经营管理的需要。因而，一方面企业领导对内部审计不够重视，在审计经费的安排、审计人员的培训等方面都不能够满足审计机构的需要，审计中也得不到领导的支持；另一方面被审计部门对内部审计工作或多或少地存在一种抵触情绪，片面地认为内部审计就是来监督他们的工作，从而难以形成一种良好的工作关系，更谈不上相互间的积极配合。这些片面认识使得企业内部审计很难深入开展，从而增加了企业内部审计风险。

（三）防范内部审计风险的重要性

在内部审计所处的环境中，风险是无处不在的，其广泛性、复杂性和多样性更是处于与日俱增的态势，这样的风险环境更加加重了内部审计的风险程度。内部审计风险的潜在性，使它们隐蔽于内部审计工作中，这些潜在的风险有转化为现实损失的可能性，但是这种可能性需要一定的条件。如果内部审计人员忽视风险的存在，不能正视它们，并对之进行有效的控制和防范，它们就很可能转化为现实的损失。这种损失是严重的，它不仅会影响内部审计目标的实现，更会影响到内部审计机构和人员的声誉。但是，内部审计转化为实际损失时需要一定条件的，这也就预示着内部审计风险可以控制的，如果内部审计人员能够及时的发现它们并对之进行有效的防范和控制，那么这些风险的实质影响也可以消除了。因此，内部审计机构和人员必须对内部审计面临的风险和本身固有的风险加强认识，摒弃内部审计不存在风险的错误认识，正视风险的存在，并采取有效的措施评价风险、管理风险，最终达到控制风险、规避风险的目的。有效的防范内部审计风险对内部审计工作是非常重要的。

二、内部审计风险的成因

内部审计与外部审计在审计风险的基本原理上是相同的，是指财务报告存在重大错报、漏报或企业经营上存在弊端和漏洞，而内部审计人员认为财务报告是合法、公允以及经营管理是健全的，并因此提出不恰当审计意见的可能性。通常人们认为审计风险主要是由于审计机构或审计人员主观判断错误所致，其实审计风险贯穿于整个审计过程之中。我们可以这样认为，审计风险由两方面风险构成：一方面是财务报表本身存在重大错报、漏报或企业经营管理上存在弊端和漏洞的风险，另一方面是审计人员审计后表示该报表并不存在重大错报、漏报的风险。也就是说。审计风险的产生是客观的存在和主观的努力结合。笔者认为，内部审计风险产生的原因主要有以下几个方面：

（一）因客观因素导致的内审风险

客观原因是指独立存在于人的意识之外,不依赖于主观意识而存在的原因。审计面临的风险与人类生存面临的风险一样，是客观存在的，不以人的意志为转移，人类不能完全消除它。也就是说，内部审计风险发生是必然的，不可避免的。内部审计风险形成的客观原因主要指内部审计本身的固有缺陷及所处环境方面的原因，具体包括以下几个方面：

1.内部审计机构的相对独立性

内部审计机构是单位内设机构，在本单位负责人的领导下开展工作，为本单位实现经营目标服务。因此，内部审计的独立性不如外部审计，在审计过程中，不可避免地受本单位的利益限制。内部审计的组织形式也反映出其独立性的弱化：有的单位把审计机构设在财务部门中；有的单位把审计机构和监察部门合并在一起；有的单位由分管钱财物资及账目的人员兼任审计岗位；有的单位领导既领导财务工作，又领导审计工作。因此，企业的内部审计很难站在客观、公允的立场上对企业的财务状况作出客观、公正的评价。特别是当面对领导参与或法人违规时，内部审计往往无能为力。在这种情况下，作为企业的内部审计部门，若服从于领导意志，不能对企业的财务状况进行有效监督，不能作出真实、客观的评价，而出具虚假审计报告，就会埋下巨大的隐患。独立性是审计工作的灵魂。不能有效保证审计机构和人员在组织上的独立性及其在业务工作中的自主性和权威性，就不能保证审计质量和规避审计风险。

2．内部审计法律法规体系不健全

随着改革开放的不断深入和市场经济的发展，中国有些法律法规出台相对滞后，国家审计有《审计法》作为法律依据，社会审计有《注册会计师法》，而内部审计目前只有20世纪80年代审计署颁布的《关于内部审计工作的规定》，法律级次明显偏低，可操作性不强，以此来指导现代企业内部审计工作，明显存在滞后现象，致使在审计过程中遇到新情况、新问题时，出现无法可依的情况，对有些问题难以认定。内部审计法律依据的不充分、不健全，使得内部审计人员在进行审计时，只能依据经验和知识进行分析判断，在某种程度上影响了审计结论的权威性和正确性，因而增大了审计风险。

3．内部控制制度的不完善导致了审计风险的加大

以《审计法》为核心的相关法规都明确规定，国务院各部门和地方人民政府各部门、国有的金融机构和企业事业组织应当按照国家有关规定建立健全内部审计制度。但在具体设立时，一般仅强调它与被审的其他职能部门的相对独立地位，即在企业的决策体系中缺乏应有的独立地位，机构设置的合理是导致独立性差的重要原因。我国公司内部审计管理模式主要采用受本企业总会计师或主管财务的副总裁领导或受本企业总裁或主管财务的副总裁领导。内部审计机构有企业总会计师或主管财务的副总裁领导，隶属层次太低，内部审计与日常财务、会计监督混为一谈，根本无法发挥作用。内部审计机构受本企业总裁或总经理、董事会、或董事会领导下的审计委员会的领导，其独立性依然受限制，从公司制企业来看，我国公司制企业实行董事会领导下的总经理负责制，由于公司法人治理机构不健全，尤其是董事会与经理层人员的高度重合，董事会的决策职能与经理层人员的高度重合，董事会的决策职能与经理层的经营职能混淆不清，有的企业甚至是董事长与总经理身为一人，形成决策、执行、监督职能集于一身，在这种情况下，让内部审计发挥作用，就如同“让自己的右手监督左手”。

4．内部审计对象的复杂化和审计范围的扩大化，增加了审计风险

在市场经济条件下，现代企业由于经营规模的扩大，经营业务的日趋复杂，使得内审对象逐步扩展，内审工作日益复杂，为内审带来了更多的困难。随着信息化程度的提高，被审计单位的会计信息资料也越来越多，差错和虚假的会计资料掺杂其中，失察的可能性也随着增大。内部审计的内容从传统的财务审计发展为效益审计、管理审计、经济责任审计、决策审计、风险审计、投资审计等，这对内部审计人员提出了更高的要求，审计人员做出正确结论的难度也就越大。审计范围的扩大，内部审计业务的拓展，使得审计人员承担的责任更多，责任的加大导致了风险的相应增加。

（二）因主观因素导致的内审风险

主观原因是指属于自我意识方面的原因。由主观原因形成的内部审计风险是内部审计单位和审计人员靠自身作用能够控制的因素。审计人员自身素质在审计过程中选用审计程序和方法等因素属

于主观方面的原因。造成内部审计风险的主观原因主要来自于内部审计自身，具体包括以下几个方面：

1．内部审计选用程序和方法的不确定性，加大了审计的风险

在内部审计发展的初期，审计人员在审计实践中基本上采用全面详查的方法，对所有被审计资料进行详细核查。随着组织规模的不断扩大，被审计信息和资料也急剧增长，为了合理分配有限的审计资源，认真审查重要的，紧急的审计事项，审计人员只能采用抽样的方法。但是，因为统计抽样本身的复杂性，以及审计人员对数理统计知识的相对缺乏，在进行抽样时，审计人员往往单一地使用判断抽样方法。判断抽样是审计抽样方法之一，是审计人员根据审计经验和专业判断能力来确定需要抽查的样本量、选取样本和推断总体的审计抽样方法，具有简单易行，便于操作的优点。但是，其缺点也十分明显，即对审计人员的审计经验和专业判断能力要求高，审计人员的主观判断色彩浓。使用判断抽样方法，总体中的每个审计对象被选取的概率不一样，所选取的样本的代表性不足，可能造成更大的审计风险。另外，如果内部审计人员经验不足，会导致在选取样本时无法正确地选择具有代表性的样本，甚至遗漏重大事项，导致审计人员得出错误的审计结论。而且，判断抽样方法是以审计人员的主观感觉为基础的一种抽样方法，因此，对于审计风险无法进行量化。

现代企业会计信息的数量越来越多，范围越来越广，所采取的程序和方法是否科学、适用，直接影响到审计质量。抽样审计以“个别”推断“整体”，必然与实际情况存在着或大或小的差距，使审计结论产生偏差。又由于现代审计强调成本效益原则，审计人员可能会舍弃对审计结论影响不大但耗时费力的审计程序，而这可能导致一些影响审计意见正确的程序被放弃，使审计结论出错，引发审计风险。目前内部审计采用的审计方法是制度基础审计，这种审计方法过分依赖被审计单位内部控制制度的测试，本身就蕴藏着较大风险。

2．审计人员素质的高低是决定审计风险大小的主要因素

审计人员的素质包括从事审计工作需要的专业知识、审计经验、应有的职业谨慎性、高度的工作责任感与积极的工作心态等。审计人员的专业知识与审计经验是审计人员素质的重要内容。但是专业知识需要不断更新，审计经验需要实践积累。面对纷繁复杂的审计内容，专业知识的陈旧与审计经验的不足都会造成审计责任无法履行和审计判断出现错误，直接导致审计风险的产生。例如，会计电算化和网络技术深入发展，为审计人员在信息系统环境下的审计工作带来了不同于传统手工业环境下的审计风险。但是，由于对IT技术生疏，审计人员无法有效对对这些内容进行审查，形成审计空白，加大了审计风险。

审计人员风险意识不强，加大审计风险。由于我国多数内部审计机构在初建时，并非出于组织管理的需要，而是基于国家的强力要求，导致一些内部审计机构和审计人员的风险意识淡薄，认为内部审计仅是奉命行事，履行手续而已，即使出现误差或疏漏，也没有多大影响。这种思想非常错误。随着市场经济的不断深入，组织所处的内外部环境已发生了巨大的变化，加强内部管理，增加组织价值，保障组织目标的有效实现已成为组织的迫切愿望，而这一愿望必须在组织内各部门，包括内部审计部门，有效履行职能的情况下才能实现。审计机构和审计人员如果没有风险意识，就会加大出现重大差错的可能性，致使审计职责无法有效履行。不恰当的审计信息有可能误导组织管理层作出错误的决策，最终给组织造成损失。组织也将因此严厉追究审计机构和审计人员的责任，导致审计职业受到损害。

另外，审计人员的工作责任感不高、没有积极的工作心态，也是造成审计风险加大的原因。舞弊等重大问题，往往隐藏很深，在审计过程中，审计人员如果没有责任心，不积极主动地思考分析问题，仅被动地执行规定的审计程序，极有可能遗漏这些重大问题，造成审计失败。

审计人员能力的高低，直接决定了检查风险的大小。能力可以分为两部分:首先，审计人员是否有足够的职业道德。如果审计人员不讲职业道德，就不能做到独立，客观，公正的进行审计活动，必然会加大审计风险的可能性。其次，审计人员是否具有足够的专业能力。如果审计人员不顾自己的专业能力，承接不能胜任的审计工作，或者在审计过程中达不到审计准则的要求，那结果也必然会产生审计风险。

综上所述，内部审计风险的成因包括客观因素与主观因素。客观因素主要有内部审计抗御风险能力先天不足，组织管理层对内部审计的期望超越了审计资源的限制以及审计对象的复杂性和被审计单位的经营管理情况。主观因素涉及审计人员的基本素质、审计工作的规范程度以及审计技术和方法的有效使用。客观因素中，前两项对内部审计职业风险构成影响。即在审计项目开展中，内部审计机构和人员已在其资源和能力范围内以做到尽职，但因组织对内部审计的固有缺陷及资源状况不了解，在出现审计失败时，将责任确认由审计机构承担，给内部审计职业带来威胁。审计对象的复杂性和被审计单位的经营管理情况以及主观因素的三个方面直接对狭义的审计风险产生作用。审计机构与审计人员如果不能适应被审计单位的业务复杂性，不能具体了解被审计单位的经营管理情况，不能规范审计工作的开展及科学合理地使用审计技术与方法，则导致审计失败的可能性会加大，审计风险增加。其中，被审计对象和被审计单位经营管理状况是审计人员无法决定的，属于客观因素。审计人员只有采取措施深入了解。而提高审计人员的职业道德和风险意识，规范审计工作开展，加强审计技术与审计方法的应用，则是审计机构通过主观努力可以取得效果的工作。

三、内部审计风险的防范措施探讨

内部审计风险，取得组织管理层的支持与理解是关键所在。审计机构首先要通过各种途径使组织的管理层对内部审计的固有缺陷、审计资源状况、审计项目开展与审计具体目标有正确的了解，取得组织管理层的理解与支持，促使组织对内部审计有合理的预期。否则，内部审计的职业风险将会增大。其次，内部审计机构要加强被审计对象以及被审计单位经营管理情况的日常监控与了解，加强对主观因素导致的审计风险的管理与控制，在组织确立的合理的期望范围内，努力提高审计工作质量，从而达到防范审计风险的目的。

（一）积极规避客观因素导致的审计风险

1．保证内部审计的独立性、权威性。

为了确保内部审计监督活动的顺利开展，充分发挥内部审计的职能作用，必须建立健全内部审计机构。因此，在设计企业内部审计机构时，应遵循如下原则:

（1）独立性原则。独立性可以使内部审计师提出公正的和不偏不倚的专业判断，这对审计工作的恰当开展是必不可少的。内部审计机构独立性的内涵应主要表现为形式上的独立和实质上的独立两方面。形式上的独立要求内部审计在组织内具有较高的组织地位，内部审计师的工作应能够获得高级管理层和董事会的支持。实质上的独立是指内部审计人员在精神上必须保持必要的独立性，应以公正的态度，避免利益冲突，在开展内部审计工作时，保持诚实的信念，遵守职业道德准则，在整个审计过程中不做出重大的妥协。

（2）效率性原则。内部审计机构应是精练和高效的，能够满足企业对内部审计工作所提出的有关要求。

（3）灵活性原则。根据委托代理理论，内部审计能够约束委托人和代理人之间的契约关系，而且内部审计可以帮助委托人解决信息不对称的问题，监督代理人的行为。在复杂的商业环境中，信息不对称问题更加突出，规模大小不同的企业，内部环境差别很大。从一般意义上说，大规模企业对内部审计的需求程度具有强烈的要求，需要内部审计部门监督各部门和直属机构的经营活动。相对而言，较小规模的家族制企业对内部审计的需求程度较小，管理层可以直接监督企业的日常经营活动。所以，内部审计组织是否存在，以何种方式存在等一系列问题，都要根据企业的需要和规模而定。

2．建立和完善与内部审计相关的一系列法律、法规和制度。

我国的现代内部审计起步较晚，与西方国家相比，在相关制度建设上存在着许多不完善的地方。为了能够适应现代内部审计不断发展的要求，加快内部审计相关法制以及职业道德建设就显得尤为重要和迫切。当前我国在有关内部审计法律方面的体系正在逐步建立，依法审计已初步实现，内部审计工作规范也逐步健全。内部审计工作规范的颁布实施将促使我国内部审计工规范化目标得以实现。虽然我国正在逐步建立各项内部审计的法律、法规、政策，但还不够完善，与国际先进的内部审计体制还有一定差距。不断完善和建立健全各级内部审计机构，制定和完善内部审计的各项规章制度，实现内部审计工作制度化，已经成为各企事业、各集团公司内部审计机构的内在要求。在实

现审计抽样是指审计人员在实施审计测试中，从被审计总体中选取一定数量的样本进行审查，通过样本的审查结果来推断被审计总体特征的一种方法，包括统计抽样与判断抽样。

科学运用审计抽样方法，就是要了解和掌握两种抽样方法的优劣以及使用的范围，在审计中，将统计抽样与判断抽样有机地结合起来使用。一方面，借助内部审计人员对组织业务与内部控制比较了解的优势，利用判断抽样方法，充分发挥内部审计人员的职业判断和经验，尤其是在舞弊审计中，判断抽样可以充分发挥审计人员的职业经验和职业敏感性，可以取得良好的效果。另一方面，充分利用统计抽样弥补判断抽样的不足。统计抽样是审计人员根据概率论原理确定抽查的样本量，随机选取样本并由样本的审查结果推算评估总体的审计抽样方法。它以数理统计为基础，在确定抽样的相关事项时，比判断抽样更具有客观性，由此得出的审计证据客观性也更强。另外，在选择样本时，总体中的每个项目被选中的概率是一样的，因此，样本更具有代表性。而且，由于采用的是数理方法，对于抽样过程中的抽样风险可以利用数学公式量化。还有，随着计算机审计技术的开展，

统计抽样也不再难以操作。将统计抽样与判断抽样有机结合起来使用，可以有效保障抽样的合理性，保证审计结论的恰当性，从而有效降低审计风险。

风险基础审计是将审计风险观念全面应用于审计过程的一种审计模式，它通过对审计风险进行系统的分析和评价，来确定审计风险是否可以控制在可以容忍的范围内。它主要运用分析性复核的方法，不仅对客户的控制风险进行评价同时更要对产生风险的各个要素进行分析和评价，以确定实质性测试的范围和重点，这样就使审计风险与整个审计过程密切联系起来。风险基础审计依据下列基本模式进行审计决策，即：

详细检查风险=审计风险／(固有风险×控制风险×分析性检查风险)

内审人员首先研究确定审计风险可以接受的水平，然后评估固有风险、控制风险和分析性检查风险，最后根据各种风险水平参数计算检查风险水平。根据确定的详细检查风险水平及其他有关数据。运用统计抽样方法。即可确定详细检查需要抽查的经济业务或记录的数量。近几年来，风险基础审计在世界各国已广泛使用，其