风险模型工程审计论文

2022-07-03

[摘要]本文从账外工程模型的设计原理出发,剖析了风险的“面—线—点”层层穿透预警方式,阐述了利用系统内数据识别系统外风险这一难题的攻克过程,推动工程审计从事后审计向事中预警转变,从传统抽样审计向全量智慧审计转变,从量价审计向工程管理审计转型。今天小编为大家精心挑选了关于《风险模型工程审计论文(精选3篇)》,仅供参考,大家一起来看看吧。

风险模型工程审计论文 篇1:

工程审计风险模型的设计构建及具体应用

摘 要:本篇文章依据系统复杂性进行了研究,分析工程审计工作的系统特征,并对工程审计的风险做出了研究,构建了审计风险模型。通过这一分析,就可以明确工程风险的控制风向,采取系统性的分析方案降低工程审计的风险问题。

关键词:工程审计 风险模型 风险控制

引言:工程审计是一份非常专业化和复杂化的工作,这其中包含了大量的风险因素,在工程建设的所有阶段中都会出现,对工程审计的质量有着明显的影响。但风险因素并不是独立存在的,它有着明显的层次问题,有着很强的可变性和关联性,正式这些原因直接提高了工程审计这份工作的难度。根据系统的复杂性理论,我们可以构建出工程审计的风险模型,在对风险进行详细的分析,这是一个非常重要的审计风险管理方案,能有效的保证工程的顺利完成。

一、工程审计风险的相关概述

1.1工程审计风险的含义。工程审计就是一种监督的工作,它是通过审计单位,对政府财政资金和工程资源的使用进行监督,算是一种社会公众执行应有权力的重要方式。审计风险是审计工作中的重要表现形式,主要是通过发现计算审计工作中可能出现的错误为主,并且需要了解审计工作中出现的错误意见。根据系统论的观点显示,工程审计的风险环境主要是由于内部环境和外部环境共同组合构成的,这两者通过相互依赖,形成了一种相对稳定的复杂结构。工程审计这份工作中会涉及到很多的因素,所以这份工作的可变原因有很多,这其中不仅仅包含关于审计对象的变化性,还包括有参与主体的多样性,在市场竞争渐渐变得强烈的这种情况之下,审计工作可能会受到外界人为环境的影响,为了追求自己的利益,变得自私自利起来,弄虚作假,开始出现信息失真、舞弊、错误等相关的问题。在审计工作中需要用到的法律条例有很多,会受到不同法律等级和要求的影响,这样一来审计工作的依赖就会发生很大的变化,出现这种情况会导致审计工作的依据不能固定下来。如果工程项目是比较复杂的,相对于审计工作的难度也就会随之增加,这种情况的不确定性也会提升,这样就会给做审计工作的工作人员带来更大的难度,增加工作人员的工作量,相对于审计工作的工作风险也会跟着增加。为了能更好的解决审计工作的风险问题,需要对审计工作中存在的风险进行仔细的了解与研究,还要对风险的结构做出一个合理的分析。

1.2工程审计风险的结构。在保险论当中,我们可以把审计称作为分担风险的方法,而工程的审计活动就是工程自身受到环境影响而产生的固有风险,在经过工程管理的控制之后,工程审计的工作就使工程的整体风险下降了,最终使得审计主体风险转为工程审计风险的这种方法完成了。风险控制系统逐渐的变为收敛的情况,在这样的基础下,工程审计的工作也能够划分成风险、控制、受体这三种子系统。

二、工程审计风险模型的构建

2.1建立风险模型的目的。建立风险模型的主要目的有两个方面,(1)对招标管理、分包管理、合同管理、工程过程管理、工程竣工管理等这几方面进行一个系统全面的审计,在审计的过程中如果发现有问题的地方做出及时的改正,避免在工作过程中可能会出现的法律风险,在提出合理的审计处理已降或建议。(2)利用风险模型把从工程立项到工程竣工投产运行的整个生命周期中所要面临的风险进行归类、分析,并对其建立一个标准化的工程风险的问题库。再根据这个问题库中分析出的风险的发生频率和出现风险后会对工作造成的严重程度进行划分,在对出现风险后会造成的损失进行计算,在这个基础上,决定出风险的处置方式。

2.2工程审计风险模型的构建。风险管理审计风险指的是内部审计人员没有能够发现被审计单位经营活动和内部的控制中存在着很大的差异或是存在缺陷,进而做出不合理的审计结论的可能性。

2.2.1风险识别。工程风险中最主要的任务就是,识别出工程审计项目中的各种各样的风险。然后在根据风险发生的不同阶段以及风险发生时的特征,把风险进行分类,分别为环境风险、组织风险、技术风险以及管理风险,在对这些风险进行进一步的详细划分为主要风险和次要风险。

2.2.2建立风险问题库。利用SAP系统和经法管理平台,对这里面的大量数据进行分析,在这个基础上对次级风险的出现原因进行一个进一步的分析,建立工程审计的问题库。如,当次级风险没有按照制度完全的进行时,我们就可以划分为多个管理方面,比如说,合同管理方面的风险问题库。

2.2.3风险评估。在对项目进行风险识别之后,风险管理的第二个步骤就是要对审计项目进行风险评估。风险评估是在工程审计项目风险识别的基础上,发现本次工程审计项目的风险原因是存在于环境风险、组织风险、管理风险以及技术风险的四个方面中,为了准确的知道各类型的审计项目风险带来的影响程度,需要对工程审计项目的风险主要类型和影响力做一个分析和比较。下面建立经济模型对审计项目的风险进行定量评估。工程审计风险划分为主要风险因素a、次要风险因素b以及风险所导致的具体问题c三个层级,其中a是顶层层级,c为底层层级。将底层层级的指标定义为影响程度e和发生的频率f,e*f是c的影响因子。得出c的影响因子之后,在c层级与b层级之间进行累加得出结果,再从b层级和a层级之间进行累加得出结果,最终得出影响因子数,当影响因子的数值大于规定的数值时,就能判断出被审计的项目存在着比较大的问题,需要进行全面的进行审计工作的探讨。

2.2.4风险控制。风险控制指的是风险管理者使用各种各样的方法,减少或消灭各种可能会发生的风险事件,或是减少发生风险事件后造成的损失。在工程审计中发现的问题,需要计算出项目的风险程度选择合适的处理方法。主要包括风险自留、风险回避、风险转移和风险预防。

三、工程审计风险模型的具体应用

工程审计的最终目标就是达到真实性、合法性和效益型等等,制定工程审计的目标是为了其建设目标,追求工期、投资、质量、安全和环保等目标的统一。审计的主要任务就是将审计的风险控制在一定的范围之内,这也是审计的主体。当审计的主体参与到工程项目之中时,阶段性的工程建设已经完成了,相对的风险源危险性和风险控制有效性也得到了确定,所以审计的主体只能从受体易损伤性进入减少审计风险。

3.1加强审计主体的内部管理。審计的主体是依照国家的相关法律、法规,制定、健全内部的管理制度的,明确审计组织内部的职责和权限做到事事有监督,有考核,出现问题能够及时解决,并且能分清责任。

3.2实施全过程跟踪审计。现在工程采取的都是事后审计的方法,审计参与后时间严重的落后,了解的审计信息不是很完整,很难发现问题。所以,工程审计应该采用全过程审计的方法,这样就能做到全方面的监督,才能及时的发现并解决问题,提高审计的质量和效率。

3.3构建立体式审计平台。工程审计是一个专业性很强的职业,需要所学一些专业知识,例如,财务会计、审计、基本建设预决算等等。一方面身为审计人员需要多多学习知识,提高审计能力,另一方面由于工程的复杂性单单依靠国家的审计人员是不够的,所以需要搭建一个由国家审计机关、社会审计机构、内部审计和专业的团队构成的审计平台,充分发挥作用。

3.4采用科学的设计技术。工程审计根据形势所需,研究使用大型工程审计的创新手段和方法,比如,运用以风险为导向的工程审计方法或是综合审计方法,再引入信息化技术,来提高审计的工作质量。

结语

工程审计风险系统是一个有着很多相关联、相制约的原因组成的复杂系统。本文用复杂系统理论对工程审计进行分析,把审计的风险问题进行结构化、层次化,在这个基础上提出工程风险的由风险源危险性、控制有效性和受体易损伤性三者构成的风险模型,为工程审计风险系统分析、控制、管理工程审计的风险提供了系统化的思路。

作者:张炎鹏

风险模型工程审计论文 篇2:

基于风险导向模式的账外工程风险预警管理体系与实践

[摘要]本文从账外工程模型的设计原理出发,剖析了风险的“面—线—点”层层穿透预警方式,阐述了利用系统内数据识别系统外风险这一难题的攻克过程,推动工程审计从事后审计向事中预警转变,从传统抽样审计向全量智慧审计转变,从量价审计向工程管理审计转型。

[关键词]账外工程   风险导向   工程管理   智慧审计

一、构建账外工程风险预警管理体系的实施背景

(一)审计转型的需要

随着现代企业的高速发展和风险管控的需要,企业管理层对内部审计的要求越来越高,对审计工作的质量和及时性要求越来越高。内部审计作为企业风险管理的第三道防线,传统审计模式已难以满足企业快、精、准的风险防控要求,必须转变审计观念,创新审计思路、方法和手段,构建审计信息化支撑体系,实现由合规审计向内控审计、管理审计、风险审计、效益审计转变,由事后查错纠弊向事中事前防范转变。

(二)现代企业工程管理的需要

2018年,中国电信股份有限公司(以下简称中国电信)的资本性支出已超过700亿元,随着5G技术的逐步发展,中国电信还将继续加大投资规模,为5G商用做好充分准备。其中,网络优化改造、通信设备升级等工程项目将是企业发展不可缺少的。如何有效控制工程建设规模,提升工程管理水平一直是现代企业研究的课题,其中账外工程既是工程管理的顽疾,也是审计工作的重点。通过账外工程风险扫描模型建设,可为有效管控账外工程、提升公司工程管理水平奠定坚实基础。

二、账外工程风险预警管理体系的内涵

中国电信对账外工程的定义,是指未经立项决策且在三个月内仍未纳入计划建设系统或财务系统管控的工程。账外工程风险预警管理体系是运用合理的账外工程风险指标体系和科学的大数据分析算法,根据风险导向审计思路,从基本面中识别账外工程风险较大的区域,聚焦风险较大的工程类型条线,锁定具体疑似账外工程,通过风险点分析揭示风险预警原因,实现风险的“面—线—点”的层层穿透预警、攻克利用系统内数据识别系统外风险的难题,规范工程项目管理,推动工程审计从事后审计向事中审计转变,从传统抽样审计向全量智慧审计转变,从量价审计向工程管理审计转型。

三、账外工程风险预警管理体系架构

账外工程风险预警管理体系是从业务融合、流程穿透、大數据分析算法等方面共同赋能的成果,是集聚业务权威性、数据全面性、算法科学性、风险评估有效性于一体的工程审计风险预警体系。

(一)审计与业务紧密配合,共建权威业务体系

账外工程风险防控属于企业级的重要管控内容,涉及多个部门,需要从多个环节进行精确管理。审计部门组织了网络发展、采购供应管理、企业信息化、财务及财务共享中心等6个业务管控部门与市州分公司共同参与,从投资管控、项目管理规范性、设计监理管理、采购管理、工程物资管理、进度管理、竣工文档规范性7个方面设计出18个风险扫描点,用于账外工程风险扫描预警。审计与业务部门、市分公司联动的方式,共建权威的业务体系,提升预警体系提示风险的效果。

(二)工程建设全生命周期流程穿透,构建全面数据体系

以“关联度”为标准,账外工程风险预警体系梳理了工程建设全生命周期的流转过程,打通了8个专业支撑系统,建立了151个指标的工程项目全视图,聚合了企业生产运营中管理(M)域、运营(O)域数据,构建了工程审计全面数据支撑体系,提升了工程审计基础能力。

(三)紧贴账外工程特点,选定合理技术体系

账外工程风险预警管理体系的难点是以系统内数据为线索,通过大数据算法分析,层层抽丝剥茧,最后识别出系统外风险。本体系选择运用灰色关联度分析法与层次分析法相结合,既保留灰色关联度分析法用数据说话的客观性,又融合层次分析法中业务专家的经验;既避免了纯数据算法结果无法用业务解释的尴尬,又具备发现新账外工程风险操作手法的能力。由于每个工程项目的特点不同,还特别引入了浮动指标算法,为每个工程项目量身定制一套自适应的指标体系,利用“千人千面”技术,攻克了准确锁定疑似账外工程并揭示预警原因的难点。

四、账外工程风险预警管理体系的特点

(一)工程审计理念创新

本体系践行了风险导向审计思路,运用大数据分析算法和合理的指标体系,开创了一条智慧型工程审计模式,探索了工程审计从量价审计向工程管理审计转变的路径,实现了由事后审计向事中预警的风险管控职能。

(二)账外工程预警难点突破

1.突破专题目标实现难点。在传统审计中,账外工程风险“难审”“难防”,主要通过现场审计抽样核实的方式发现,在工程管理中难以防控。本体系实现了通过系统内数据线索预警账外工程风险,使管理者对账外工程可防,让内部审计对账外工程可审。

2.突破账外工程业务梳理难点。由于工程管理流程较长,账外工程虽未纳入系统管理,但总会在流程的某些环节中与系统产生交集。本体系通过审计与业务联动,梳理出7个方面18个风险点,精准掌握账外工程在系统中的蛛丝马迹,通过预警让其无所遁形。

3.突破风险定位难点。本体系通过“面—线—点”层层穿透,识别出风险较大区域,预警出工程类型条件,锁定具体的账外工程,深挖预警原因,不仅服务于审计项目,更应用于日常工程管理对账外工程的风险防控。

(三)账外工程穿透创新

1.跨域、跨系统数据穿透。构建工程基础数据体系需要跨M域和O域数据,打通8个专业系统,实现工程审计数据流程穿越。

2.科学预警算法实现专家经验与客观数据的穿透融合。风险模型应用灰色关联度分析法与层次分析法,实现审计经验与科学阈值生成穿透使用,主观判断与客观数据的有机融合。

3.独创浮动指标算法实现对单个工程指标灵活穿透。应用浮动指标算法打破了固定指标体系的评估模式,根据工程项目所处的不同流程环节、类型与操作模式差异,为每个工程项目量身定制独特的指标体系,通过指标间的灵活穿透,实现单个指标的准确风险评估。

五、实践应用情况

账外工程风险预警管理体系采用构建业务风险架构,梳理指标体系,夯实基础数据,嵌入模型算法,形成一套可视化的具有“面—线—点”层层穿透能力的工程管理智慧预警体系(见图1)。

(一)业务设计

1.构建风险导向审计管理架构。中国电信湖南公司于2018年3月制定并发布了《风险扫描派单审计管理办法(暂行)》,将风险扫描派单审计制度化、流程化、标准化,使之成为并列于传统经济责任审计、财务收支审计、工程项目审计、管理审计的第五大常规审计内容。账外工程风险预警管理体系是该管理办法的具体实例,管理办法也可较好地保证账外工程预警体系的应用执行。

2.构建风险架构。该体系的业务设计由审计部、6个业务管控部门、1个分公司共同完成。风险架构梳理了7个风险大类、18个风险点,其中14个风险点为系统风险扫描模型,4个风险点为现场核查方法。

3.构建风险评价指标体系。从14个账外工程风险扫描模型中,细化形成由22个指标组成的综合评价指标体系,作为账外工程风险模型量化评价的最小数据单元。根据指标反映的业务风险,对指标进行业务分类,划分为投资管理、项目审计规范性、设计监理管理、采购管理、工程物资管理、进度管理、竣工文档规范性7个业务大类。根据重要程度的不同,梳理出5个可直击风险的关键指标和17个能反映风险现象的辅助指标。根据处理方式的不同,将指标转化成指标值在连续区间的连续指标和指标值是0或1的布尔指标。根据指标值打分机制的不同,设计成比例指标和时间指标,避免预警区域规模不同对风险判断的影响(见图2)。

(二)數据整合

1.业务数据整合。根据业务设计内容,涵盖工程基础信息、财务信息、采购物资信息、材料使用信息、结算/决策审计信息、临时工程项目信息、实际使用物资信息、影像凭证信息等,涉及8个生产管理系统数据。为实现业务需求,智慧审计平台进行了跨域数据整合,打通了8个专业系统,汇聚了工程全生命周期信息,构建了工程审计宽表,形成了工程审计全视图和多维风险分析应用。

2.综合数据比对。为保证跨域、跨系统间数据质量,保证业务需求的实现,账外工程风险预警管理体系进行了跨域间的数据比对,如计划建设系统与资源管理系统数据比对。同时,还进行了域内系统间数据比对。

(三)模型算法

1.构建账外工程风险模型架构。本模型采取从基础数据开始自下向上归集的思路,通过层次分析法和灰色关联度分析算法计算出指标得分,再运用层次权重和浮动指标算法计算出工程风险得分,最后分别以工程分类和地域维度计算出工程分类风险得分和地域风险得分,形成地域风险(面)、工程分类风险(线)、工程风险得分(点)三个层次的量化风险分数,并将分数转化为风险级别,生成“面—线—点”层层穿透的模型预警结果(见图3)。

2.层次分析算法。模型运用该算法计算指标大类权重,通过对工程管理相关的业务专家发放问卷的方式,获取专家个人经验对账外工程指标体系7大业务分类重要程度判断的矩阵。通过列归一化、行归一化处理后,形成指标大类特征向量。运用最大特征根法验证特征向量是否合理,验证通过则表示生成的大类权重合理。

3.灰色关联度分析算法。运用该算法计算第二、三层指标得分,运用实际指标根据数据之间的大小关系、顺序、强弱等关系自动生成指标权重,避免了在22个指标中人为干预定义指标权重导致风险失真的问题(见图4)。

4.浮动指标算法。运用该算法将指标得分生成工程风险得分的过程中,可根据每个工程指标得分有无和高低情况,将空值指标信息自动过滤,生成一套适配于每个工程的个性化指标评估体系,重新生成指标权重,形成工程风险得分。

(四)功能系统

1.工程审计功能。本体系在数据整合过程中,对跨域、跨系统的数据整合结果形成可提升工程审计基础数据能力的两个应用,分别是工程审计全视图和工程审计自助多维分析。工程审计全视图从工程基本信息、费用组成、列账明细、订单信息、设计材料、出入库、审计信息、竣工决算资源系统等11个方面对数据进行展示,只需输入项目编码即可一点查询。工程审计自助多维分析提供了工程名称、项目属性、相关工程日期等21个筛选维度,工程审计人员可根据需求自由组合成各种个性化风险扫描模型,满足审计人员自定义数据分析需求。

2.账外工程风险预警管理体系。本体系从审计人员风险核查思路出发,采用图表结合与层层下钻的方式可视化展示账外工程地域风险、工程类型风险、具体疑似账外工程风险(见图5、图6)。

工程风险等级统计表中风险较高、风险极高与合计列中的数据均可进行明细级工程钻取,即可锁定具体的疑似账外工程。

六、应用成效

账外工程风险预警管理体系不仅可以识别预警账外工程风险,还可提升工程审计总体审计能力,是智慧工程审计的尝试与探索。同时,本体系从设计架构、模型算法到可视化输出展示是一套完整的产品,可以在中国电信集团公司或不同省分公司进行扩展推广使用。

(一)通过系统内数据有效识别疑似账外工程

本体系于2018年11月建成并开始投入使用。通过模型扫描,从全省数万个工程项目中进行精确识别,将疑似风险范围缩小到20余个,为账外工程风险预警提供精准靶向目标。通过风险扫描与现场核实相结合,能准确发现账外风险,对工程风险精确管理发挥了重要作用。

(二)跨域、跨系统的工程数据综合应用有效提升工程审计能力

工程审计中有很多类风险,账外工程只是其中一类。中国电信湖南公司在实现账外工程风险预警管理体系的同时,打通了8个与工程相关的系统,贯通了工程全生命周期流程。通过跨域、跨系统的数据比对和整合,形成工程审计全视图和工程审计自助多维分析。审计人员可通过自助多维分析,根据自己的思路与经验筛选出各种存在疑似风险的工程项目,再通过工程审计全视图进一步核实特定疑似风险的工程项目具体情况,从而判断筛选模型的准确性,并确定是否需要进行风险扫描派单审计或通过审计项目进行现场核实。这种方式改变了审计人员无法主动获取工程数据或被动依赖被审计单位提供数据的情况,提供了全生命周期数据查询能力和数据筛选分析能力,提升了工程审计的准确性,增强了工程审计发现风险、挖掘审计价值信息的能力。

(三)打造“基础能力加专题应用”的智慧工程审计模式

工程审计基础数据宽表、工程审计全视图、自助多维分析都是工程审计基础能力,账外工程风险预警管理体系作为一项专题应用,属于基础能力的衍生产品。通过账外工程风险预警体系的成功经验,运用风险导向模式和智慧审计思路,还可以衍生出更多模型产品,探索出一条智慧工程审计的发展模式,综合提升工程审计效率和效益,并可在经责审计、财务收支审计中推广。

(作者单位:中国电信股份有限公司湖南分公司,邮政编码:410011,电子邮箱:hn_ywjsjlxl@chinatelecom.cn)

主要参考文献

王汉生.数据思维:从数据分析到商业价值[M].北京:中国人民大学出版社, 2017

朱红章.工程项目审计[M].武汉:武汉大学出版社, 2010

作者:刘欣灵 杨小明 蒋小红 黄孝文

风险模型工程审计论文 篇3:

内部审计风险防范机制探讨

【摘要】随着我国经济飞速发展,企业规模逐步扩大,面临的生存环境及业务活动越来越繁杂,企业的内部审计在我国的监督体系中发挥着愈发重要的作用。文章依托审计风险模型,论述企业内部审计风险成因,并选取了康得新公司财务造假事件作为案例分析的对象,探究其内部审计风险发生,及防范机制失效的原因,以此为鉴,最终提出构建内部审计风险防范机制的建议。以促进我国内部审计在企业经营管理过程中更好发挥评价、监督功能,提高企业化解内部审计风险的能力。

【关键词】内部审计;风险防范;康得新

★ 基金项目:本文受国家社科基金项目“国家审计化解系统性金融风险的机制与路径研究(20BGL079);国家审计署重点科研课题“高素质专业化审计队伍建设研究”(20SJ04002)支持。

一、内部审计风险概述

(一)内部审计风险定义

内部审计风险是指客观存在于审计实务中,当反映被审计单位及其经济活动事项的企业内部审计报告及财务会计报告存在重大错报、漏报,或者内部控制制度存在重大漏洞、缺陷或未被有效执行或者经营管理存在重大舞弊时,内部审计人员经过审计未能发现且发表不正确或不恰当审计意见,或者审计人员没有按照规章制度进行审计工作而造成重大事故,或者在管理经营企业时存在重大的舞弊行为的可能性。由此造成审计对象和与之相关方面遭受损失或损害,并因此让审计主体承担这种责任后果的风险。

(二)内部审计风险特征

1.客观性

内部审计风险由固有风险、控制风险和检查风险组成,因为固有风险是客观存在的,所以内部审计风险也是客观的,不以内部审计工作人员的意志为转移,也不会随着人的主观努力而完全消失,只要这个固有的风险存在,内部审计风险也就随之存在。因此,审计人员只能在有限条件下尽可能控制并降低风险发生的概率,而不能完全消除。

2.广泛性

内部审计涉及的内容是多方面、多种类的,不仅包括企业的账、表、财务收支,也包括企业的其他资料及各类经济活动,内部审计风险可能出现在内部审计工作的任何一个环节。与外部审计不同的是,内部审计更加偏向公司治理及内部控制方面,因此可能发生在生产运营流程的每一环节和涉及的各个方面,而风险可能出现在审计过程的任何一个步骤环节,由此导致其具有广泛性的特征。

3.持久性

与外部审计不同,内部审计无法根据风险情况主动选择审计项目,即使了解自己企业在某些方面可能存在问题,内部审计部门还是得按照要求完成目标任务,出报告、提意见,不可能看着风险大、难度高就产生畏难情绪。

内部审计风险贯穿于审计的全过程,伴随着审计工作的前期准备、过程实施、最终报告等各个阶段。与外部审计出完报告就结束审计工作不一样的是,内部审计在审计工作结束之后还要进行审计档案资料的整理、督促审计问题的整改、了解内部审计效果及审计意见被采纳情况、完善内部控制等后续工作,使得内部审计具有了持续性和长久性。

4.隐蔽性

有的管理者认为,目前公司没有出现大问题,经营管理、财务管理状况良好,此时内部审计风险就處在隐蔽阶段,能预见的审计风险就不会被看见。只有对企业造成严重后果和负面影响并需要承担后果时,大家才能看见风险。所以只有当有了责任后果时,内部审计风险的隐性才会成为显性。

5.可控性

虽然内部审计风险是客观的、持久的、隐蔽的,且产生的后果是难以预料的,但内部审计人员可以利用专业判断和职业经验,识别风险领域和种类,对内部审计风险进行评估;可以通过细化审计计划、方案,优化审计程序、方法,完善内部控制制度规定,将内部审计风险可能出现的概率和损失控制在可以接受的范围内。

(三)内部审计风险的形成原因

目前,我国内部审计还存在诸多缺陷,没有真正发挥它应有的作用。笔者根据审计风险模型,即重大错报风险和检查风险,从这两部分来源分析内部审计风险形成的原因。

1.重大错报风险来源

内部审计的重大错报风险体现在多个方面,包括固有风险、微观环境问题、体系结构问题以及规章制度问题等。

(1)客观上内部审计工作日趋复杂

随着我国经济社会发展速度日益加快,再加上企业各类业务事项日趋复杂、经济活动的性质及种类愈发多样,内部审计范围已经不再局限于审查会计核算业务。从目前内部审计的内容范围来看,审计的内容从财务审计发展为经济责任审计、财经法纪审计、投资管理审计等,还有对某些投资方案的可行性分析、绩效评价、对内部控制体系进行评价完善,有的还会涉及到工程审计、合同合规审计等方面,而这些都极大地增加了内部审计的工作难度。

此外,对于新兴业务的处理,其方法、标准的制定往往存在滞后性,在这样的情况下,内部审计的难度越来越大,有的时候必须事先了解这些审计内容的原则定义才可明确数据逻辑结构标准,或者只能依据相关原则来加以归集,因而极易产生内部审计风险。

(2)内部控制薄弱

内部审计风险与内部微观环境息息相关,不良的内部审计环境可以形成和增加内部审计风险。因此企业的内部控制水平会影响内部审计风险水平,如果没有内部控制制度,或者内部控制不健全、不合理、不能有效执行,治理结构不完善,就会导致审计人员无法及时发现并有效控制企业经营活动中出现的各种差错,无法有效控制错误及风险发生,从而内部审计风险出现的几率也会加大。

(3)主观上不重视内部审计,风险意识不足

由于内部审计无法为企业直接获利,因此很多企业不重视内部审计工作,所以主观上对待内部审计的认知和态度也是造成内部审计风险的原因之一。单位管理层不重视内部审计机构设置、整体团队建设、吸纳专业人才,导致内部审计人员配备不足、专业性不够;其他员工对内部控制的认知不清晰、重视不够,日常工作中不能有效执行内控制度,会为违规违法行为留下机会,产生内部审计风险;还有很多企业日常从未关注内部审计风险,也未制定过应对防范措施,一旦风险出现将措手不及。

(4)内部审计的独立性相对较弱

要想内部审计机构真正发挥监督作用,提高其地位和保持其独立性是非常必要的。内部审计的独立性本身就具有一定的局限性,日常工作与其他部门和人员存在着必要的联系。在实际工作中,我国很多企业尤其中小企业大多没有实现管理权与经营权的分离,权力大于制度的情况屡见不鲜,许多企业并未设置内部审计机构,或内部审计机构从属于其他部门,甚至只是在财务部中设了一个岗位职能,由会计或者出纳等兼职负责审计工作。此外,还有企业,机构管理缺乏合理分工,各个岗位的职责不明确,不理解审计人员的工作性质,需要各部门协作配合内部审计时,容易对内部审计产生抵抗,互相推脱责任,内部审计工作不易推动。有的内审人员开展的审计活动直接受单位领导影响,若领导不清楚内部审计开展的意义,在过程中过多干预、“指手画脚”,无法正常进行内部审计工作,这些都会阻碍内部审计工作的顺利开展,形成内部审计风险。

(5)内部审计法规制度存在问题

虽然这几年来发布了多项内部审计基本准则和若干具体准则与实务指南,对规范内部审计行为、明确责任、提高审计质量、规避审计风险、推动内部审计工作起到了重要作用,但当前我国关于内部审计内容的法律法规体系还不完整,国家并没有出台内部审计具体方法以及相关风险防范等方面的法律法规,内部审计受重视程度依然偏低,因此内部审计人员在日常工作时,无法规范地处理各类数据关系,最终结果的准确性大大降低,增大了内部审计风险;同时,缺乏强有力的法律依据,会削弱内部审计结论的可信度和权威性,从而降低了其可应用性和说服力,也会造成内部审计风险增大。

2.检查风险来源

检查风险主要体现在内部审计方法、内部审计参与者素质、内部审计质量等方面。

(1)内部审计方法落后

从当前内部审计运用的技术和方法看,审计技术方法落后、内部审计选用程序和方法的不确定性、抽样误差等都是内部审计的风险形成因素。由于内部审计制度欠缺规范与完整,执行审计时程序不严谨,加上内部审计人员专业素质不够,内部审计部门在开展工作时缺乏事前完善计划、事中规范程序与报告期仔细复核;一般只专注于自己企业内部想审查的问题,很少对比同行业同类型企业普遍的财务情况和财务指标;并且重点记录审查到的问题事项,内部审计工作底稿也不够完整。这样则导致内部审计工作的不规范、不标准,风险因此增大。

除此之外,我国企业内部审计目前主要采用的仍然是抽样审计,不能驾驭以风险导向为基础的现代审计方法,注重详细审查账表。而抽样审计本身具有一定的局限,会影响内部审计的精准性。再加上审计时内部审计人员专业素质不高,大多以自己的经验来确定样本的范围及规模,通过抽样统计数据的局部特性推测出整体特性,从而得出最终结论。这种判断在当前繁复困难的企业环境下,审计样本容易出现误差,总体特征误差较大,极容易遗漏重大事项,从而增加了审计风险。

(2)内部审计人员素质水平不高

内部审计人员是企业内部审计工作的实施者,是内部审计风险管理及监督的主体。内部审计人員在开展内部审计活动时的方案计划、主观判断都直接取决于内部审计人员,尤其是负责人的道德、经验、能力、判断、责任感等综合素质。因此,内部审计人员综合素质高低对内部审计整体效率与质量产生很大影响。

目前,我国内部审计的工作日益复杂,对象多元化,对内部审计人员专业知识和职业经验方面的要求很高。但目前我国内部审计工作人员素质参差不齐,人员配备不足,与专业的注册会计师存在一定的差距,尤其特别缺乏高级审计工作人员;其次,内部审计工作具备一定的综合性,但很多人是从财务部门抽调,因此缺少系统的审计知识框架以及经管、法律、工程等各方面学识和计算机等新技术,知识结构不全面,专业知识薄弱,仅能处理日常事务性的工作,不能胜任更专业、更综合的内部审计工作,也不能熟练地使用现代审计的技术,工作质量得不到提升。这会导致企业内部审计工作效率与质量不高,内部审计队伍的能力及专业水平不足以支撑探索科学有效的规避或防范内部审计风险的方法及手段,在企业内部审计监督与风险管控工作方面难以发挥主体作用,增大了内部审计风险。另一方面,如果内部审计人员责任心不强,缺乏严谨的工作态度,日常无法严格按照规定审计程序工作,或者为了简化自身工作而选择丢弃部分审计内容,将导致内部审计工作出现纰漏;或者对重大、异常事项不敏感,不能主动关注并分析问题,就会出现遗漏审计重点的情况。甚至还有的内部审计人员不道德、徇私情、亦或趋利避害,受利益蛊惑,有问题装看不见,出假结论,使审计结果的质量得不到保证等,给内部审计带来风险。

(3)内部审计缺少质量控制

根据内部审计准则的要求,内部审计机构要建立审计质量控制制度。我国内部审计机构普遍存在质量控制缺失的问题,通常将内部审计风险管理定义为简单的复核工作,缺乏真正的质量管控机制,这必然使得内部审计的复核与质量管控无从落实,使得内部审计人员对于有可能出现的风险敏感性不高、意识不强,无法提前预判,不能适应内部审计风险管理的需要,内部审计质量管控不力和管理欠规范,从而加大内部审计风险的发生的概率。

二、内部审计风险案例分析

(一)康得新公司基本情况

康得新复合材料集团股份有限公司(以下简称“康得新公司”)于2001年8月21日登记成立,当时注册资本为354 090万元,公司成立初期以预涂膜作为其生产经营的主要产品。2010年7月16日在深圳证券交易所中小企业板A股上市(股票代码:002450),发行股票4040万股,每股发行价14.20元人民币,共募集资金57 368万元。随着公司资本的积累和产业的升级,增加了对光学膜产品的研发和销售,此后,预涂膜和光学膜成为其两大主营业务产品。

(二)康得新内部审计失败原因分析

1.客观上内部审计难度较高

康得新公司拥有三大业务板块、六大生产基地、下辖三十余家子公司,全球布局九大研发中心,拥有一百多个细分类别、超过千种产品,关联关系、业务形式极其复杂多样,在众多关联交易中,内部审计人员不容易发现舞弊行为。另外,康得新公司还有一些海外业务,由于地域限制使得内部审计工作较为困难,因此风险较大。

2.内部控制存在重大缺陷

康得新公司在治理结构和内控制度方面存在重大缺陷,上市之后,因其他股东股权比例较为分散,最大的股东康德投资集团占股24.05%,接近第二大股东浙江中泰的4倍,股权集中程度非常高,处于绝对的主导地位,股权结构失衡,大股东与小股东之间存在利益矛盾,企业不易实现共同控制和管理。另外,2018年康得新公司在发布的内控自评报告中也提到,公司内控制度在治理结构、内部监督、风险管控及信息交流等方面均存在不同程度的漏洞,缺乏完善的内部控制制度,造成大股东非法占用资金事件的发生。在对外担保内部控制方面,子公司康得菲尔实业有限公司为康得新公司进行抵押担保时,虽然金额已经超过康得新公司最近一期净资产的50%,但并没有经过董事会、股东大会审议审批,说明其内部控制存在很大缺陷。

3.内部审计部门形同虚设

2015—2018年康得新公司连年虚增利润,伪造的财务报表却顺利经过层层审批,说明公司的监督机构未尽到应尽的义务,公司内部制衡机制完全失效。在康得新公司内部,实控人钟玉说一不二,其他制衡方往往只能被操控,董事会、监事会和管理层三方之间的制衡也只是流于形式:钟玉与陈曙是夫妻,一个是实控人,一个是原总经理;3位监事会成员虽均有高等教育背景,但不具财务会计知识背景,且2/3的监事会成员与康得新公司实际控制人钟玉存在关联关系,独立性的缺乏可能致使其履行监督之职时存在偏颇;3位独董按理说其能力完全能够对此舞弊行为进行揭露和纠正,但在康得新公司连续造假的几年中形同虚设,对康得新公司内部如此严重恶劣的財务造假活动未能保持应有的职业判断,没有有效的监督与制衡;原有内部审计机构在总经理管理下,与其他部门同层级,在某种程度上已经失去独立性。监事会、内部审计部门不作为,独董的职能缺位,公司的监督约束机制形同虚设。

4.内部审计方法程序不健全

康得新公司主要通过关联方及虚构客户,来虚构销售收入并虚构大量应收账款、预付账款、货币资金等。上市公司的货币资金科目一般来说在资产负债表中是最难造假的,康得新公司账上显示有大量现金却依然向外大举借债,财务费用也随之剧增。再加上毛利率相对同行业偏高,如此高的竞争力却还有很高的应收款项,很难不怀疑其真实性。

这些问题通过审查资金、销售与收款、采购与付款、生产与存货四大循环,审查往来账款、购销合同等都有迹可循,但内部审计人员面对以上异常情况没有应有的判断能力,同时也说明日常内部审计程序未按规定要求完整进行。

5.对内部审计工作不重视,发现问题后整改不及时

康得新公司每年都有内控制度自我评价报告,纳入评价范围的主要业务和事项包括组织架构、发展战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理、销售业务、担保业务、投资管理、财务报告、预算管理、合同管理、内部信息传递、信息系统、信息披露、内部控制监督等;另外还有《内部控制规则落实自查表》,用以评价内部审计运作即信息披露、内幕交易、募集资金、关联交易、对外担保、重大投资的内部控制情况等,但是实际上只是流于形式,并没有落到位。

6.内部审计风险防范不到位

企业实施风险管理的目的是通过专业人员对资金管理过程中企业内外可能存在的风险进行识别和分析,进而采取相对应的风险防范和风险规避等措施进行风险控制。但实际上康得新公司在控制风险方面仍有诸多缺陷:从人员配置方面来看,康得新公司目前仅由三名董事组成的审计和风险控制委员会对企业的内部控制和经济活动进行监督管理,尚未建立起专门的团队,无法完成风险从信息收集到评估的任务,无法给出专业的防范风险应对策略;从风险管理的内容来看,康得新公司只针对重大和突发性事件制定了应急预案和责任追究制度,但对风险管理的具体内容和风险管理程序并没有明确的规定。

此外,康得新公司也缺乏内部审计风险管理控制机制,对内部审计质量的管理欠规范,这必然使得审计复核与质量控制无法真正落实,对已经产生或即将产生的审计风险不能及时预测和判断。

三、完善内部审计风险防范机制的建议

(一)运用风险导向审计

在现代审计模式下,风险导向审计是核心内容,内部审计部门可以提前分析评估企业可能面临的各种风险,对固有风险和控制风险进行量化分析,针对不同风险因素状况及程度制订不同的内部审计策略,将有限的资源集中在重点领域,结合可以承受的内部审计风险,尽可能做好风险的有效控制。

具体来说,在企业日常内部审计中要真正做好审前、审中及审后各阶段的控制工作。首先,做好事前控制措施。工作开始前进行风险测试,明确岗位内容与职责,制定监督与检查的管理制度,以预防为主。其次,做好事中控制。通过恰当的指标核实财务资料,对比各工作事项预计与实际完成情况,并对实施过程进行考评,夯实基础。最后,重视事后控制。总结经验教训,及时复盘,建章立制,奠定下一步顺利进行的基础。

此外,当今世界环境瞬息万变,风险随时发生。因此内部审计部门不能只顾自己企业内部问题,还要重视宏观市场环境,及时关注国际政治经济气候和国家经济、政策动态等内容,了解和分析同行业及市场情况。这些虽然对企业来说属于不可控因素,但是提前了解就可以提高对审计风险的认知度和防范意识,做好风险防范预案,提前防范可能发生的风险。

(二)健全内部控制机制

企业应该高度重视内部控制工作,积极搭建有效的内部控制体系,梳理完善内部控制制度,强化内部审计的监督,降低内部审计风险,促进企业健康发展。

具體来说,在股权结构方面,应降低股权集中度,维护股东间的权益制衡机制;优化治理结构,明确治理层和管理层的责权,优化组织架构,董事会、监事会、审计委员会能够各司其职、相互制约,为决策的制定提供可靠支撑;严格依照相关规定,规范资金、财务管理,同时做好财务印鉴保管;在生产、采购、资产各领域符合规定,优化流程,严格管控,记录清晰,提升治理效果。

(三)重视内部审计工作,提高风险意识

企业管理层要摆正对内部审计工作的态度,在开展内部审计的过程中,对其工作给予足够的重视,且要做好内部审计必要性和重要性的宣传工作,把内部审计工作放在企业经营管理的重要地位,在单位内部牢固树立起内部审计的权威性。只有内部审计人员与管理层相互配合才能更好地发挥内部审计的作用。

另一方面,内部审计人员要做好自我定位,所作所为要与企业发展相适应,围绕企业战略发展目标,提供有效的建设性提议。另外,内部审计人员在找出问题后要积极监督各部门实施整改,规范企业经营,定期整理分析在日常审计过程中发现的风险隐患,以供日后使用。

(四)增强内部审计的独立性

通过组织架构设计加强内部审计的相对独立性。设立独立的内部审计部门,分配专门的经费,使其与其他职能部门相对独立,管理者不得干涉内部审计人员的工作,确保其能够独立进行审计工作。

内部审计机构由审计委员会直接管控,如果发现线索问题可以直接向其汇报;委托外部审计时由审委会负责,以免外部审计受到他人掌控,保证报告更真实可靠。

(五)完善内部审计法规制度

在国家层面,建议建立健全内部审计相关法规体系,统一职业规范及要求,制定标准工作流程,指导各企业规范使用风险导向内部审计。另外,还要增强对企业内部审计法律法规执行情况的监管,加强对内部审计工作的宣传力度,提高内部审计地位,将内部审计工作做到更好。

在企业层面,企业自身应该结合自己的实际状况,明确内部审计的职责,规范内部审计工作程序,健全和完善内部审计制度及工作办法并严格执行,让内部审计工作更加规范、标准,实现对于内部审计风险的规避和防范。

(六)加强内部审计质量控制

内部审计对企业整体管理和运营具有非常大的帮助,但是企业也需要完善内部审计质量控制系统,建立内部审计质量控制制度和内部审计风险控制机制,严格落实质量控制复核与考核,重视内部审计质量管控。此外,还可以利用信息系统,指导各部门设置风险预警红线,实时监管内部风险管理执行情况,定期对风险管理措施执行的效果、程序、预警化解及时性等情况进行综合评估,并形成评估报告,及时反馈评估结果,为日后工作提供指导。

(七)建立内部审计风险预警系统

利用区块链、大数据和云审计等技术,搭建内部审计数据库及具有数据分析功能的实时审计风险预警系统,根据企业自身情况录入内部控制环境评估数据及财务数据,提前设置系统相关规则及触发条件(即可接受的内部审计风险最高值),经济活动发生同时产生系统中的数据,保证内部审计及时发现问题线索并收集取证。当系统测算的内部审计风险超出预设值时,系统提示异常,这就可以对内部审计风险进行实时预警。

主要参考文献:

[1]肖芬,陈立新.“互联网+”环境下审计风险评估研究——基于模糊层次分析法[J].会计之友,2018(09):94-98.

[2]吴国斌,李明燕.审计重大错报风险评估模型构建及应用分析[J].财会通讯,2020(05):134-137.

[3]陈峥嵘.企业内部审计风险及其防范措施分析[J].会计师,2019(06):53-54.

[4]李青竹.企业内部审计风险及其防范措施研究[J].商讯,2020(28):74-75.

[5]杜方.互联网时代企业内部审计风险防范措施探析[J].商业经济,2019(12):149-150.

[6]谢文彬.会计师事务所审计风险的成因及其防范[J].审计与理财,2019(12):14-15.

[7]卢祖省.关于审计风险的成因及防范探讨[J].商讯,2019(29):162-163.

[8]伏成果.企业内部审计风险及其防范[J].全国流通经济,2020(02):166-167.

[9]刘昕雨.企业内部审计风险及其防范措施探讨[J].全国流通经济,2020(03):182-184.

[10]钟国华.企业内部审计的风险管理与防范[J].大众投资指南,2019(16):128-129.

[11]孟宪美.论内部审计风险的规避与防范[J].中外企业家,2019(02):5.

[12]吴悌魁.大数据时代背景下我国注册会计师审计风险防范研究[J].财经界(学术版),2019,

[13]胡菲菲.企业内部审计风险及其防范措施分析[J].中国管理信息化,202023(15):20-21.

[14]沈瑞鉴.基于内部审计风险管理的内部审计质量控制研究[J].财会学习,2020(34):125-126.

[15]AICPA.1983.Audit and accounting guide: Audit sampling.

[16]AICPA: Professional Standards As of June1,2008,AU.312

[17]IIA International Professional Practice Framework(IPPE).Institute of Internal Auditors(IIA),2009

作者:张健 叶陈刚 史慕妍