2010年4月,财政部会同证监会、审计署、银监会、保监会联合发布了《关于印发企业内部控制配套指引的通知》,要求企业应当对内部控制的有效性进行自我评价,披露年度自我评价报告,同时应当聘请会计师事务所对财务报告内部控制的有效性进行审计并出具审计报告。这一规定标志着我国内部控制信息披露由自愿性转向强制性,从而掀开了内部控制审计的新篇章。2012年1月,为了进一步规范注册会计师执行内部控制审计业务,明确工作要求,提高执业质量,维护公众,中国注册会计师协会制定了《企业内部控制审计指引实施意见》。内部控制审计的产生必然伴随着内部控制审计风险的客观存在。
一、内部控制审计及其审计风险
(一)内部控制审计
近年来,随着市场竞争的加剧,越来越多的企业认识到了加强内部控制的重要性。企业建立内部控制主要是为了加强管理、规范经营和运作。建立内部控制有利于保证会计记录的真实性和经营的效率效果。然而,由于内部控制固有的局限性和控制环境的缺失,内部控制存在的问题还很多,管理层披露的内部控制自我评估报告的可信度也不高,因此需要注册会计师对管理层披露的内部控制自我评估报告进行审计,以提高内部控制信息的可信度。
根据《企业内部控制审计指引》,内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计,并对其有效性发表意见。注册会计师应当计划并实施适当的审计程序,搜集充分的审计证据,为内部控制设计和运行的有效性发表意见。与财务报表审计有着明显不同,内部控制审计主要是对过程进行审计,其审计的目的不是为了发现报表里面存在的重大错报,而是对内部控制的有效性发表审计意见。
(二)内部控制审计风险
在财务报表审计中,审计风险是指财务报表存在重大错报,注册会计师却未能发现并发表不恰当审计意见的可能性。以此类推,内部控制审计的审计风险是指内部控制存在重大缺陷,注册会计师未能发现并发表不恰当意见的可能性。
内部控制存在的缺陷,按其影响程度分为重大缺陷、重要缺陷和一般缺陷。重大缺陷是内部控制中存在的、可能导致不能及时防止或发现财务报表出现重大错报的一项或多项控制缺陷的组合,这种缺陷有可能导致企业严重偏离其控制目标。注册会计师应当对其注意到的各项内部控制缺陷的进行评价,以确定这些缺陷单独或组合起来,是否构成内部控制的重大缺陷。
二、内部控制审计风险模型的构建与分析
(一)内部控制审计风险模型的构建
近年来,在注册会计师审计中,风险导向审计已受到越来越多审计人员的青睐,其应用范围也相应的扩展到了其他的审计领域。风险导向审计的核心就是审计风险模型的研究和理解。在内部控制审计中,审计人员审计后发表不恰当审计意见的可能性主要由两方面构成:一是财务报表本身存在重大缺陷的风险,主要指固有风险以及控制的设计和运行风险,这是一种客观风险,审计人员不能够提高或降低;二是审计人员通过实施审计程序没能发现重大缺陷的风险,这里指内部控制评价风险,它是一种主观风险,审计人员应当恰当设置审计程序的性质、时间和范围,来控制评价风险。
依据上述影响企业内部控制审计风险的要素,内部控制审计风险模型可以表示为:
ICAR=IR×ICDR×ICOR×ICER
ICAR为内部控制审计风险,是注册会计师在对内部控制审计时发表了不恰当意见的可能性。
IR为固有风险,是指假设不存在相关的内部控制,由于内部因素和客观环境的影响,企业的账户、交易类别和整体财务报表发生重大错报的可能性。
ICDR为内部控制设计风险,指内部控制没有被充分的设计或设计不合理,当缺乏实现控制目标的必要控制或即使按照设计的控制运行仍无法实现控制目标的可能性。
ICOR为内部控制运行风险,是指有关的控制政策和程序没有按照既定的设计得以运行,导致内部控制存在重大缺陷的可能性。
ICER为内部控制评价风险,指被审计单位内部控制存在重大缺陷,但注册会计师没有发现这种缺陷的可能性。
(二)内部控制审计风险要素的分析
1.固有风险
固有风险是被审计单位经营过程中所固有的风险,一般独立于审计过程而存在。固有风险的产生取决于被审计单位自身的经营特点、业务性质、工作人员的素质和品德等,与注册会计师的审计工作无关。注册会计师无法通过自己的工作来降低固有风险,而只能通过设计必要的审计程序来分析和判断固有风险。如果固有风