审计风险定义篇1

关于审计风险的涵义,目前国内外审计职业界还没有形成一个完全一致的定义。国际审计准则第25号《重要性和审计风险》将审计风险定义为:“审计风险是指审计人员对实质上误报的财务资料可能提供不适当意见的风险。”《美国审计准则说明》第47号认为:“审计风险是审计人员无意地对含有重要错报的财务报表没有适当修正审计意见的风险。”我国《独立审计具体准则第9号———内部控制与审计风险》则将审计风险定义为:“审计风险,是指会计报表存在重大错报或漏报,而注册会计师审计后发表不恰当审计意见的可能性。”以上三个定义,虽然对误报的界定范围有所不同,如国际审计准则界定为“实质上”,我国独立审计准则界定为“重大”,而美国审计准则界定为“无意”行为,而非有意为之;但是对审计风险基本涵义的表述是一致的,即审计风险是指审计人员对存有重大错报和漏报的财务报表,审计后却认为该重大错报和漏报并不存在从而发表与事实不符的审计意见的风险。因此,我们可以认为,审计风险由两方面风险构成:一方面是财务报表本身存在重大错报和漏报的风险,另一方面是审计人员审计后表示该报表并不存在重大错报和漏报的风险。也就是说,审计风险是客观的存在和主观的努力的结合:客观存在可以通过主观努力去调节,但主观努力又受成本效益原则的约束,因而审计风险具有下面三种具体表现形式。

二、审计风险的三种形式

1．评估审计风险。评估审计风险是指审计人员接受某审计项目后,在初步了解被审计单位基本情况的基础上,采用一定的审计手段,所评估的该项目可能存在的审计风险。评估审计风险主要与被审计单位本身的各方面情况有关。被审计单位的规模越大、经营性质越复杂、内部控制越弱、管理当局的可信赖程度越低,则评估审计风险也就越高。评估审计风险是导致财务报表产生重大错报和漏报的可能性,是客观的存在,它不受审计人员的影响和控制。

2．可接受审计风险。可接受审计风险是指审计项目完成后,审计人员或会计师事务所准备承担或可以接受的审计风险。可接受审计风险主要受以下三个因素控制:①会计师事务所的风险承受能力:会计师事务所的风险承受能力越强,可接受审计风险也就可以越高。会计师事务所的风险承受能力则主要取决于事务所的规模、经济实力以及法律责任的承担能力等。②财务报表和审计报告使用者的情况:财务报表和审计报告的使用者素质越高、范围越广,对财务报表和审计报告的利用程度越高,可接受审计风险就越低。③行业之间的竞争情况:会计师事务所之间的竞争越激烈,可接受审计风险也就越低。可接受审计风险是审计人员或会计师事务所主观确定的,其与评估审计风险的差异,即为需要主观努力的程度,是决定审计项目取舍的重要衡量标准之一。

3．终极审计风险。终极审计风险是指审计项目完成后所实际形成或审计人员实际承担的审计风险。终极审计风险主要与审计程序的设计和执行情况有关。审计程序设计和执行得越好,终极审计风险就越低。终极审计风险在数量关系上、理论上应与可接受审计风险一致,但实际上,它既可能大于也可能小于可接受审计风险,因为审计程序的设计和执行受审计人员的业务素质和某些主、客观因素的影响。因而审计人员在执行审计过程中,应尽量按计划规范操作,以使终极审计风险控制在可接受审计风险范围内。

简而言之,评估审计风险是客观存在的,可接受审计风险是主观确定的,而终极审计风险是客观存在和主观努力的结果。因此,审计人员在决定是否承接某一审计项目时,可以将评估审计风险与可接受审计风险进行比较,然后根据成本效益原则决定取舍。如果接受该项目,在审计过程中应尽量严格执行所设计的审计程序,使终极审计风险等于或小于预先设定的可接受审计风险。虽然终极审计风险取决于可接受审计风险,但并不完全等同于后者,它是固有风险、控制风险和检查风险共同作用的结果。

三、审计风险与审计重要性和审计证据的关系

1．审计风险与审计重要性的关系。《我国独立审计具体准则第10号———审计重要性》第二条指出:“审计重要性是指被审计单位会计报表中错报或漏报的严重程度,这一程度在特定环境下可能影响会计报表使用者的判断或决策。”简单地说,审计重要性就是错报的可容忍程度,其量化标准即重要性水平。也就是说,在重要性水平之内的错报,是可以容忍,可以接受的。因此,审计风险与审计重要性之间有着密切的关系。

评估审计风险与审计重要性之间是反向关系,即评估审计风险越高,所确定的重要性水平就越低,这样才能保证终极审计风险在一定水平内。反之,评估审计风险越低,重要性水平越高,这样可以节约审计成本。《我国独立审计具体准则第10号———审计重要性》第八条指出:“注册会计师应当考虑重要性与审计风险之间存在的反向关系。重要性水平越高,审计风险越低;重要性水平越低,审计风险越高。”这里的审计风险指的就是评估审计风险。这一反向关系也可从另一个角度来理解,即计划确定的重要性水平越高,对审计工作质和量的要求就越低,在此条件下作出正确审计结论的可能性就越大,审计风险因而也就越低。

可接受审计风险与审计重要性之间是正向关系,即可接受审计风险越高,所确定的重要性水平越高,这样可以保证审计成本的节约。反之可接受审计风险越低,所确定的重要性水平也应越低,这样才能保证审计质量的控制。因为可接受审计风险越低,说明审计人员要求的财务报表错报的可容忍程度越低,则其重要性水平也应越低,才能满足较低的审计风险的要求。

终极审计风险与审计重要性之间也是正向关系。因为终极审计风险基本上取决于可接受审计风险。

审计风险定义篇2

关键词：风险；风险管理；审计；内部审计

内部审计是和政府审计、注册会计师审计并列的三种审计类型之一，它与“外部审计”相对应，机构及人员都是由单位设置的。国内外专家对内部审计的定义有着不同的表述，国际内部审计师协会IIA在2001年修订了《内部审计实务标准》，权威的阐述了内部审计最新的定义:“内部审计是一种独立、客观的保证工作与咨询活动，它的目的是为组织增加价值并提高组织的运作效率。它采取系统化、规范化的方法对风险管理、控制及治理程序进行评价，提高它们的效率，从而帮助实现组织目标”。

该定义重点说明了为组织增加价值是内部审计的根本目标，突出了内部审计参与风险管理、内部控制和公司治理的要求，是现代内部审计的丰碑，对于内部审计事业的发展有着巨大的意义。新定义在原定义的基础上，确立了一些新的内容:

第一，“保证与咨询”的工作方向；

第二，“增加价值”和“提高组织的运作效率”的工作目标；

第三，评价“风险管理、控制及治理程序”的工作内容；

第四，“系统化和规范化”的工作方法。IIA新的内部审计定义为内部审计参与风险管理提供了重要的依据。

一、内部审计介入风险管理的现实动因

1.企业竞争的需要

随着社会经济的发展、科技的进步、国际经济联系的加强，尤其是经济全球化及国际化程度的加深，企业面临的经营环境日趋复杂。为了在复杂的竞争环境中求得生存和发展，企业需要不断进行变革创新，开拓新的业务领域，经营活动的不确定性增大，企业面临的风险也随之大大增加，加强对风险的控制和管理自然成了企业管理的重中之重。因此，企业经营者必须树立风险意识，把降低风险作为企业实现目标的关键，为此，企业需要对现有的和潜在的各种风险进行识别、衡量、评价，并在此基础上制定和实施对企业价值最大化的风险处理方案。内部审计作为企业的一个相对独立的职能部门，必然应当成为企业风险管理的有效组成部分，从组织战略目标的角度来评估，为专业的风险管理部门提供确认与咨询服务。内部审计部门和内部审计人员参与企业的风险管理也就成为企业竞争的必然需要。

2.内部审计自身发展的需要

20世纪90年代以来，价值链原则——企业必须在世界范围内寻找最有效率的、成本最低的价值环节的理念在国外盛行。同时，民间审计的业务领域不断向企业内部管理扩展，在注册会计师的专家优势和价值链原则的引导下，西方内部审计职业界出现了一种重要的现象——内部审计外包。外包的风潮使内部审计面临边缘化的危机。如何提供价值增值服务，提升自己的组织地位，是内部审计需要解决的紧要问题。而企业对风险的空前重视，为内部审计发展提供了一个契机，内部审计介入风险管理并在其中扮演一个重要的角色，将其在企业中的作用推向一个新的高度。内部审计一旦与风险管理结合，其工作范围自然就扩大到企业管理的整个过程，成为一种整体性、全局性的管理活动。更重要的是，内部审计在介入风险管理过程中，将集中全面评估企业面临的风险，甚至可以在董事会授权的情况下帮助企业制定风险管理战略，这就使内部审计从应管理层要求提供确认的被动服务方式，改变为基于战略向管理层提供确认和咨询的主动服务方式。正因如此，国际内审师协会IIA不遗余力地倡导内部审计介入风险管理，并把风险管理作为内部审计的重要领域写进了内部审计的定义。

3.内部审计在风险管理中的独特优势

内部审计介入风险管理的独特优势风险在企业内部具有感染性、传递性等特征，即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担，而是会传递到企业内部其他部门，最终可能导致整个企业陷入困境。正因为如此，风险的识别、防范和应对需要从全局考虑，而各业务部门又很难做到这一点。内部审计部门处于企业的董事会、总经理和各职能部门之间，不同于一般的职能部门，具有相对独立的地位，这使得它们可以从全局出发、从客观的角度对风险进行识别，及时建议管理部门采取措施控制风险。相对于外部审计，内部审计在风险管理方面拥有无可比拟的优势。如内部审计对企业面临的风险更了解，可以对经济事项进行连续的跟踪审计，及时反馈信息；无论在企业兴盛还是衰败时期都能与企业融为一体，对防范企业风险、实现企业目标有着更强烈的责任感、义务感；具有连续性、服务性强的特点。这些都是外部审计不可比拟的。所以，内部审计更应该介入企业的风险管理。

二、全面风险管理导向内部审计的涵义

全面风险管理导向内部审计就是以实现企业战略目标为起点，以全面风险管理为导向，通过发挥确认与咨询两大功能，应用系统化和规范化的方法评价并改善企业风险管理过程和效果，以实现企业可持续价值最大化的一种内部审计模式。它是企业内部审计系统的环境、资源、战略、公司治理结构相互作用、结构优化的结果。它既是企业公司治理结构的重要组成要素和核心内容，也是当今时代背景下企业内部审计新的发展方向。与现行内部审计模式相比，全面风险管理导向内部审计具有明显的优势特征。

参考文献：

[1]石恒贵刘斌杨卫:上市公司内部审计部门治理效果的实证研究[J].华东经济管理，2009，第4期.

[2]刘斌石恒贵.上市公司内部审计外包决策的影响因素研究.审计研究.2008，第4期

[3]安德鲁:D.钱伯斯等著.陈华译.1995.内部审计[M].北京：中国财政经济出版社.

审计风险定义篇3

[关键词]内部审计；风险；控制

随着社会义市场经济体制的建立和完善，经济组织的多元化和经营方式的复杂化，在内部审计工作中，内部审计风险也日益增加。如何有效地控制和规避审计风险，增强风险意识，提高审计质量，不仅是审计事业自身生存和发展的关键，而且对于维护社会主义市场经济秩序，促进社会主义市场经济体制的发展有着十分重要的意义。本人拟从内部审计风险的涵义、内部审计风险的特征、形成原因和有效控制等方面谈谈自己粗浅的看法。

1内部审计风险的涵义

内部审计是审计体系中的一个有机组成部分，因此，审计界所确定的关于审计风险的理论体系同样适用于内部审计。关于审计风险的涵义，国内外学者都做出了积极的探讨，理论界尚无完全的定义。但综合起来，人们在定义审计风险时主要有三种不同的观点：第一种是最狭义的审计风险，即指对有重大错误的财务报表而审计人员签发完全肯定意见的审计报告的风险，这是审计实践中最常见的风险，因而成为重点，国际审计准则和我国独立审计具体准则都作了这类审计风险的规定；第二种是狭义的审计风险，即发表不恰当审计意见的对象既包括被审计单位的财务报表也包括被审计单位其他有重要的经营活动，含义要广泛一些；第三种是广义的审计风险，即审计风险是审计人员在执行审计业务时面临的风险。这个含义已不局限于审计人员判断失误的风险，而且扩展到被审计单位和环境因素造成的使审计人员受到损失或不利的风险。

综上所述，结合我国目前实际，笔者认为内部审计风险，是指内部审计组织或审计人员在实施审计过程中，对存在重大错报或漏报的报表以及具有重大影响的经营活动审计后发表了不恰当的审计结论，造成审计对象和与之相关方面遭受损失或损害，并由此引起审计主体承担这种责任的风险。

2内部审计风险的基本特征

审计职业的特征决定了审计风险既具备风险的一般特征，又具有其自身的特点，具体地说包括以下几个方面：

2.1客观性

审计面临的风险与人类生存面临的风险一样，是客观存在的，不以人的意志为转移，人类不能完全消除它。也就是说，审计风险发生是必然的，不可避免的。尽管审计人员不能完全消除工作中的风险，但通过各种手段改变风险存在和发生的条件，降低其发生的频率和减少所带来的损失是可以实现的。

此外，审计这个职业是需要利用知识和经验进行判断的，其中所用的大部分知识是难以用语言表达的，只有通过观察来了解和传递。有判断，就有判断正确和错误以及判断被接受和拒绝的可能，就有风险。所以，审计工作的判断性质也决定了审计风险的客观存在。

2.2潜在性

审计风险的潜在性是指审计风险只是一种可能，潜在地存在于审计工作中，当转化为现实的损失时需要一定的条件。如果审计人员在审计过程判断失误未被追究责任，那么即使其行为偏离了审计准则的规定，出现了判断错误，也仅仅是潜在的风险。或者审计人员在执业过程中，尽管发表了不恰当的审计意见，只要没有带来不良后果和造成损失，风险尚停留在潜在阶段，还不能称之为实在意义上的风险。所以，审计风险是一种可能的风险，只有当审计人员被追究失误责任并承担损失时，潜在的审计风险才转化为现实的损失。

2.3普遍性

审计风险普遍地存在于所有审计项目和整个审计过程中的每一个环节。任何一个环节出现失误，都可能导致或增加最终的审计结论出现偏差，形成审计风险。审计风险存在于所有审计项目，贯穿于整个审计过程。内部审计组织或审计人员在选择审计项目时就有立项风险；制定审计计划时有计划不充分的风险；搜集证据时有证据不足或不力的风险；编写审计报告时有措词不当，结论不准确的风险等等。这些具体风险又是由多因素构成的，包括审计对象方面的因素，如提供资料不全，内部控制薄弱，主观上不配合等，以及审计人员自身方面的原因，如使用审计不当，收集证据不充分，违反审计原则，不遵守职业道德等。

2.4可控性

虽然审计风险是客观存在的，并贯穿于所有审计项目和整个审计过程中的每一个环节，但这并不意味审计人员面对审计风险时束手无策，它是可以控制的。只要审计人员遵循职业道德，增强职业谨慎意识，尽可能地运用职业判断准确，实施合理的审计程序，采取先进的工作方法，就可以有效地降低审计风险，将其降至预先设定的较低的可接受的总体水平。

3内部审计风险的形成原因

内部审计风险形成的原因很多，但综合起来无外乎客观和主观两个方面的原因。审计对象和环境及自身组织建设方面的因素属于客观方面的原因，审计人员自身素质及在审计过程中选用审计程序和等因素则属于主观的原因。

3.1客观原因

首先内部审计机构的独立性和权威性欠缺直接带来审计风险。内部审计机构是单位内部设置的机构，在本单位负责人的领导下开展工作，为本单位实现经营目标服务。因此，内部审计的独立性和权威性不如外部审计，在审计过程中，不可避免地受本单位的利益限制，并且内部审计也只是单位内部的管理手段之一。鉴于此，单位内部审计就很难客观、公允地对所进行的审计事项发表准确、公正的审计意见，就不能保证审计质量和规避审计风险。其次内部审计法律法规体系不健全，作业标准不规范。虽然现在有国家审计署颁布的《关于内部审计工作的规定》，但法律级次明显偏低，可操作性不足，并且对于具体作业标准未有明确规定。因此，内部审计法律依据不充分，不健全，使得内部审计人员在进行审计时，只有依据经验和知识进行判断，在一定程度上了审计结论的正确性，增大了审计风险。

最后内部审计对象的复杂性加大了审计的难度。社会主义市场的建立和逐步完善，各种经济主体都得到了充分的和表现，其经营环境十分复杂，经营范围日益拓展，所进行的交易也日趋繁杂，使得内部审计的对象和也更加复杂，审计人员获取正确审计意见的难度增加，这些都使审计人员失察和出现差错的可能性增加，审计风险明显加大。

3.2主观原因

内部审计人员自身素质的高低是决定审计风险大小的主要因素，包括从事内部审计工作需要的政策法律水平、专业知识、经验、技能、审计职业道德等。审计经验是审计人员应有的一种重要专业技能，需要实践的积累。相对于复杂多变的审计对象和审计内容，审计经验和能力是有限的，也会做出误判。此外，内部审计人员是否遵守职业道德，具有工作责任心也影响审计风险，如审计工作中未保持客观公正的态度和应有的职业谨慎，循私舞弊，打击报复，故意放弃对重大的追查和披露，提供与事实不符的审计结论等，不仅直接影响审计质量，还大大增加审计风险。

此外，审计程序和审计方法的选用也影响审计风险。由于审计对象和审计内容的广泛复杂，实际情况各不相同，审计目的也不同，实施审计时采用哪些审计程序和审计方法直接影响审计结果。如果采用不当，会造成审计时间延长，工作效率不高，也可能遗漏一些重要审计内容，未能发现重大错弊，使审计结论与事实不符，导致审计风险。

4内部审计风险的有效控制

审计风险控制是多因素全过程的系统控制，审计风险控制既包括内部审计组织和审计人员主观上对审计项目和审计过程每一个环节的控制，也包括提高审计人员自身素质，优化外部环境以强化审计人员的风险意识，减少和规避审计风险。

内部审计人员实施审计时，就必须按规范的审计程序，选用恰当的审计方法，周密详细地编制审计计划，保证审计证据的充分，可靠和相关性，保持应有的职业谨慎，细致严谨，客观公正地出具审计报告，表述审计建议和意见，把审计风险控制在审计过程中的每一个环节，达到理想的效果。

此外，审计人员树立审计风险意识对控制审计风险也是至关重要的。树立审计人员的风险意识应从提高审计人员自身素质和优化审计活动的外部环境着手，其中首先要转变审计人员的思想观念，充分认识审计风险及其所带来的危害性；其次是提高审计人员的业务水平，这直接关系到审计风险及风险损失发生的可能性的大小，同时也反映着审计人员风险意识的强弱。其途径除了审计人员加强自我和在实践中锻炼外，还有重要的一点就是加强内部审计人员的职业培训，这样才能使审计人员的知识不断更新，在执业时能够关注新问题，发现问题时能准确定性，从而达到主动控制审计风险的目的。

优化审计活动的外部环境，首先要从组织形式上有效保证内部审计机构和人员在组织上和业务上的实质性独立。要真正发挥内部审计的作用，充分实现其职能，就必须设置独立的内部审计机构，配置专门的审计人员。领导关系选择上也要提高其直属领导层次，并需考虑与其他管理工作的关系，如财会工作，避免领导既管财会工作，又管审计工作，即自己监督自己。这样才能保证审计机构和审计人员开展业务时的实质性独立，在制定审计计划，实施审计程序，至最后提出审计建议和意见时不受任何干扰，保持应有的客观公正的态度，圆满完成审计任务，有效降低审计风险。其次建立健全有效的内部审计准则和法规，为内部审计业务操作提供规范和指南，使内审工作走向规范化，制度化和法制化。

「

审计风险定义篇4

一、二者互动交融关系形成的现实背景

当今世界,风险无时不在、无处不在,随着时代的发展,企业所面临的风险变得广泛而复杂。企业必须谨慎地识别各种潜在风险,加强风险管理,并在风险管理方案的制定、执行、评估与监督等方面进行合理分工,以保证风险管理的效率。而在整个风险管理过程中又必然涉及多个部门的沟通和协调,这就需要一个超然、独立的组织机构予以保障。内部审计部门在企业中的超然地位以及独立评估和监督的特殊职能,正好满足了这一要求。因此,企业风险管理必然要将内部审计纳入自身体系。

随着企业所面临风险的增加,风险管理成为了企业管理的核心。由此,内部审计也借机及时进行了自身的重新定位,改变了过去只是作为企业财务监督者的定位,将自身的目标确定为向企业提供保证和咨询服务,评估和改善风险管理、控制和治理程序。这样,企业风险管理和内部审计两者各自不同的发展路线逐渐接近并找到了交点。

二、内部审计与风险管理的互动关系

(一)内部审计定义中包含有风险管理的内容

内部审计从产生到现在已经历了几个世纪,每个时期内部审计的概念都有不同的内涵和外延。国际上,内部审计已有7次定义,至今仍在不断变化,内部审计定义的发展在内部审计史上具有重要意义。

风险管理改变着内部审计的定义,也就同时改变了内部审计的职能和在企业中的价值。1993年版《标准》的序言中对内部审计的表述是:在一个企业内部建立的一种独立的评价活动,并作为对该企业的控制及经营活动进行审查和评价的一种服务。而2001年版对内部审计是如下表述的:内部审计是采用一种系统化、规范化的方法来对机构的风险管理、控制及监督过程进行评价进而提高它们的效率,帮助机构实现目标。这个定义与1993年的定义相比较最明显的变化在于将内部审计的范围延伸到风险管理,比旧定义中提及的控制及经营活动要更为广泛和深入。只有在风险管理框架中实施的内部审计才能称之为风险管理审计。显然,将“评价和改善风险管理”作为内部审计的重要工作领域,是内部审计的新发展,扩大了内部审计的领域,拓展了内部审计的广度和深度,对内部审计的重新定位,修订内部审计准则,重整内部审计流程,提高审计服务质量等提出了较高的要求。

(二)风险管理赋予了内部审计在企业中新的地位和作用

为了在企业中担当更重要的角色和发挥更重要的作用,内部审计总是在不断寻找新的对企业十分重要的领域。风险的广泛存在,使企业经理人员对风险空前重视,为内部审计发展提供了一个绝好的机会。内部审计对风险管理的介入,将会使内部审计在企业中成为一个极其重要的角色,并将其在企业中的作用推向一个新高度。正因如此,内部审计师的职业组织——国际内部审计师协会才不遗余力地倡导内部审计师进军这一领域,把风险管理作为内部审计的重要领域直接写入了内部审计的定义。

三、内部审计与风险管理目标上的一致性

风险管理的定义指出:“企业风险管理是一个由企业的董事会、管理层和其他员工共同参与的,应用于企业战略制定和企业内部各个层次和部门的,用于识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险的,为企业目标的实现提供合理保证的过程。”风险管理就是通过对面临的各种风险的认识、估测、评价,准确把握各种不确定性,采取恰当的内部方法,以便用最低的成本获得最高的安全保障,将损失降至最低水平。风险管理通过测试、评价和控制风险因素来降低风险事件发生的概率和造成的损失,直接服务于实现企业目标。

而在内部审计新定义中,已明确指出内部审计的目的是为机构增加价值并提高机构的运营效率。IIA在2001年修订的《内部审计实务标准》中,对“增加价值”一词作了如下解释:“机构的设立,是为了其所有者、其他利益方、顾客和客户创造价值和谋取利益……内部审计是在收集资料、认识并评价风险的过程中,对经营与改良时机产生了深刻的见解,这些见解可能会对机构带来诸多利益。这些有价值的信息可以咨询、建议、书面报告或通过其他产品的形式呈现出来,所有这些得传达给相应的经营管理人员。”根据这一解释,增加价值的目标应由企业的各个职能部门来共同完成,而内部审计部门作为企业的职能部门之一,也应该努力增加企业的价值;同时,内部审计部门经过收集资料、识别并评价风险的过程之后,对企业管理层及其他职能部门的见解更为深刻,而且这些见解是富有价值的,而企业管理者采纳、利用这些有价值的信息后,一方面可以借此消除各种减值因素,包括风险因素、控制漏洞、治理缺陷等;另一方面可以将这些有价值的信息应用于经营管理活动,从而达到使企业增值的目的。从这个意义上来说,风险管理与内部审计在其目标上是相一致的。

上述种种使企业风险管理与内部审计逐渐形成了你中有我、我中有你、相互依存、联动发展的紧密关系。众多企业在制定本企业风险管理方案时,将内部审计列为风险管理的一道重要防线,由内部审计对整个风险管理流程进行评估和监控;有的企业还特意安排内部审计直接参与风险管理方案的制定和执行全过程,以发挥内部审计在风险管理中的突出作用。与此同时,内部审计也将风险管理作为“为组织增加价值”的重要手段。

四、内部审计在风险管理中的角色定位

COSO在《企业风险管理——整合框架》中的“职能和责任”章节,阐明各管理层在全面风险管理中的地位和职责,并指出组织里的每个人对全面风险管理都有责任。首席执行官承担最终责任,其他管理人员支持全面风险管理的理念,促使组织在风险容量内经营,并在各自负责的领域里负责将风险降低到相应的风险容忍度内。首席风险官、首席财务官、内部审计及其他人员通常承担关键的支持性责任。组织的其他人员负责按照制定的指令和协议执行全面风险管理。这明确表明,内部审计对全面风险管理的建立并没有基本责任,这是高级管理层的责任。内部审计人员的重要角色是,帮助管理层和审计委员会监督、检查、评估、报告、建议全面风险管理过程的充分性和有效性。

审计风险定义篇5

关键词：IIA内部审计定义演进启示

一、引言

随着内部审计实践业务的不断发展，国际内部审计师协会（IIA）就内部审计定义几经修改。内部审计职能也由最初的财务审计、经营审计发展到管理审计，直至现在的风险导向审计。2003年中国内部审计协会的《内部审计准则》中将内部审计定义为“在组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。”此定义与IIA2004年的定义相比主要有以下区别：我国内部审计的职能是监督和评价，而IIA内部审计的职能是确认和咨询服务；我国内部审计的主要业务是监督和评价内部控制和经济活动，而IIA内部审计的主要业务是评价并改善风险管理、控制和治理过程的效果；我国内部审计目的是促进组织目标的实现，而IIA内部审计的目的是增加价值和改善组织的运营；国际内部审计允许外部化，我国则没有做出明确规定。我国内部审计的定位适应了我国内部审计的发展现状，但从长远看，可能会阻碍内部审计业务的拓展。在理论研究和实践探索上我们应紧随国际内部审计的发展趋势，抓住内部审计的未来发展机遇，保证内部审计人员具备面向未来的职业胜任能力和与时俱进的工作精神，推动我国内部审计的职业化并与国际接轨，促进我国内部审计的发展。

二、IIA内部审计定义的演进

（一）财务审计阶段1947年国际内部审计师协会将内部审计定义为：“内部审计是建立在审查财务、会计和其它经营活动基础上的独立评价活动。为管理提供保护性和建设性的服务，处理财务与会计问题，有时也涉及经营管理中的问题。”该定义明确了内部审计的工作内容是审查财务会计和其它经营活动，不仅处理财务会计问题，也处理经营管理中的问题。首次将内部审计定位为“独立评价活动”，初次提出为管理服务的方向。但由于当时内部审计人员业务素质和地位较低，致使内部审计停留在财务审计阶段。

（二）经营审计阶段随着经济活动的发展，内部审计职能逐步从财务审计过渡到经营审计，1957年IIA对定义修改为：“内部审计是建立在审查财务、会计和经营活动基础上的独立评价活动。为管理提供服务，是一种衡量、评价其它控制有效性的管理控制。”这一新定义极大地提高了内部审计的地位。该定义虽然仍强调会计与财务审计的主导地位，经营审计也成为内部审计的重要内容，标志着内部审计由会计与财务审计向经营审计的过渡。

（三）管理审计阶段（1）1971年定义。1971年定义：“内部审计是建立在审查经营活动基础上的独立评价活动，并为管理提供服务，是一种衡量、评价其它控制有效性的管理控制”。定义取消了“建立在财务会计基础上”，保留了“建立在审查经营活动基础上”，这标明内部审计从财务审计向经营审计的方向发展。定义还明确指出，内部审计是一种管理控制。这说明内部审计从财务审计到经营审计再到管理审计的范围拓展得到确认。内部审计评价的范围已扩展到组织内部、应由内部审计评价的所有经营活动，已经与组织的重要事务紧密相连。当时的经营实践证明，在定义修改后审计人员用于财务、会计审计的时间不断减少，而用于经营活动审计的时间越来越多。内部审计正在由经营审计向管理审计方向发展。（2）1978年的定义。1978年定义：“内部审计是建立在以检查、评价组织为基础的独立评价活动，并为组织提供服务。”该定义最重要的变化是将内部审计为管理服务改为为组织服务，为组织服务要求审计人员以整个组织为服务对象，而不是以某一管理部门或其一管理人员为服务对象。内部审计要站在整个组织的立场上观察和评价问题，为组织的长远的和全局的利益服务。次定义扩大了内部审计服务的范围，但是内部审计为组织服务的具体内涵尚未明确。（3）1990年的定义。1990年定义：“内部审计工作是在一个组织内部建立的一种独立评价职能，目的是作为对该组织的一种服务工作，对其活动进行审查和评价。”该定义把内部审计定义为“组织内部的”服务工作，以与外部审计相区别。但为组织服务的具体内涵仍未明确。（4）1993年的定义。1993年定义“内部审计是在组织内部建立的一种独立的评价职能，目的是作为该组织的一种服务工作，对其活动进行审查和评价，以合理成本促进控制工作的有效开展，以帮助组织成员有效地履行责任。”该定义首次解决了为组织服务的具体含义。本阶段的四次定义修订表明内部审计是管理的延伸，是组织管理活动的重要组成部分，内部审计的职能由经营审计扩大到管理审计阶段；并将管理服务改为为组织服务，使内部审计站在整个组织的立场上观察和评价问题，为组织的长远的和全局的利益服务，扩大了内部审计服务的范围，

（四）风险导向审计阶段1999年定义“内部审计是一种独立、客观的保证和咨询活动。其目的在于为组织增加价值和提高组织的运作效率，它通过系统化和规范化的方法，评价和改进风险管理、控制和治理过程的效果，帮助组织实现其目标。“这个定义同1993年定义相比，删除了“组织内部”。“组织内部”一词暗示着内部审计工作只能局限于组织内部，不利于外部借助内审工作，也不利于。这一删除预示着内部审计未来的活动空间更为广阔；内部审计可以借助外部力量，但组织内部的事不可能完全依赖外部力量来完成。随着内审在组织中的作用日益增强和影响范围的逐步扩大，用“咨询”取代“评价活动”，“评价和改进风险管理、控制和治理过程的效果”，预示着内部审计的发展进入了更高的层次和阶段，实现了由管理审计向风险评测估转变，由被动查出问题向主动提出解决问题的建议转变，使内部审计更具前瞻性、咨询性。2004年定义：“内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标。”该定义与1999年定义相比，服务的对象范围更加广泛，不仅为增加本组织价值提供服务，还为组织的所有利害关系人（如政府、股东、债权人、客户和委托人创造价值或利益）服务。2004年的内部审计定义从以下几个重要方面描绘了这一职业形象：（1）作为一项客观活动，并非必须在组织内部设立，可以通过外包来获得。（2）强调内部审计范围包括确认和咨询活动，内部审计是确认服务与咨询服务的统一体，突出内部审计要积极主动、以客户为中心，并关注内部控制、风险管理和治理过程的关键问题。（3）明确内部审计的目的是增加价值和改善组织运营，强调内部审计对各种组织的重要贡献。（4）新定义认为，控制的唯一目的是为了帮助组织管理风险、促进有效治理。这一观点大大拓宽了内部审计的范围，将其工作领域扩展到包括风险管理、内部控制和治理过程。（5）通过考虑整个组织，内部审计的使命更加广泛，使内部审计承担帮助组织实现整体目标的责任。在此定义中，内部审计关注组织治理，而组织治理也由以往的静态命令控制模式转变为与不断变化的经营风险相适应。传统的管理将注意力放在个别控制系统和经营机制上，而现代管理则强调总体管理理念，把总体管理控制系统与组织的长远目标联系起来，把目标的达成与可能发生的风险联系起来。因此，评价和改进风险管理、控制和治理过程，就必然成为内部审计的一项重要内容，将变化的风险管理模式融入内部审计程序，使内部审计更加关注风险管理，注重组织经营的未来风险。风险分析的方法和风险管理的原则，改变了内部审计计划和报告的方式。其实，风险导向审计也属于管理审计的范畴，只是其更强调关注组织治理框架中风险发现与风险管理，关注管理者及其管理经营行为可能出现的风险，关注组织在整个治理过程中的决策风险与经营风险。以上IIA内部审计定义的演变，体现了60年来内部审计从会计的秘书，到一种独立的职业；从审查财务、会计，到评价和改进风险管理、控制和治理过程；从建立在组织内部，到对内外开展咨询服务；从为管理服务，到为组织实现其目标服务的转变。人们对内部审计的作用和地位的认识和期望，已经发生了深刻的变化，内部审计的职能己大大拓展。

三、IIA内部审计定义演进对我国内部审计发展的启示

（一）审计职能由监督评价向确认和咨询服务转变随着我国市场经济的进一步发展，内部审计由监督型向服务型转变并与国际接轨是其发展的重要方向。确认服务是为独立评价组织的治理、风险管理和控制过程而对证据进行的客观检查，如财务、绩效、合规性、系统安全和尽职调查等；咨询服务是指咨询及相关的客户服务活动，其性质和范围需要与客户协商确定，目的是在内部审计师不承担管理职责的前提下，为组织增加价值并改进组织的治理、风险管理和控制过程。顾问、建议、推动、培训等均属于咨询服务。确认服务是在独立评价职能基础上发展而来，咨询服务是内部审计职业为了适应环境的需要而提出的。IIA2004年的内部审计定义强调内部审计的终极目标是增加组织价值。新的内审角色定位要求内部审计积极参与价值创造活动，只有不断创造价值才有在组织中存在的必要。内部审计部门有不同的服务群体，其增值形式也不同。经营管理层对内部审计增进其经营效率和效果的方法有兴趣，他们认为审计应通过识别改善经营的机会来增值，他们关心审计报告或审计过程中所提的建议，这更多的体现了定义中的咨询服务。审计委员会（董事会）相对内部控制的适当性、经营数据的可靠程度、法律和法规是否得到遵循、资产是否安全更感兴趣，这一部分增值更多地与确认服务相关。内部审计实现增值，就必须要注意咨询服务与确认服务的平衡。因为提供的咨询服务是否会损害其独立客观地提供确认服务，这是内部审计实现其增值目标所必须要考虑的。

（二）审计目标由查错防弊向增加价值和改善组织运营转变传统的内部审计侧重查错防弊和对经营业务层的监督控制，使内部审计工作面临很大阻力，内部审计的监督效果大打折扣。实际上，内部审计和被审计对象的目标应是一致的，都是增加价值和改善组织的运营。在防风险、重控制、强监管的背景下，内部审计必须要转变目标理念，应由过去的查错防弊等一般防护性目标，转变到预测决策、献计献策等高层次的增加组织价值的目标导向上来。IIA颁布的《内部审计实务标准》规定：“内部审计活动应该评价并改进组织的治理过程，为组织的治理作贡献。内部审计师应对运营和项目进行评价，以确保与组织的价值保持一致。”

（三）审计范围由财务收支领域向经营管理领域转变内部审计的审计重点应从财务收支领域向经营管理领域延伸，重视风险管理。这些领域既要包括供、产、销等主要经营环节的各种具体业务，又要涵盖人、财、物的管理效率和管理水平。主要包括：（1）风险管理活动。根据COSO委员会（2002）企业风险管理的定义，企业风险管理涵盖了传统的交易事项、资产及营运的内部控制。2004年9月COSO正式的企业风险管理框架包括要素：内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与沟通、监控。在瞬息万变、全球性竞争、各种新组织形式及先进的信息技术不断涌现的背景下，企业的经营环境日趋复杂，企业面临的风险大大增加。内部审计部门通过收集生产和销售过程中的资料，查明和评估企业存在的风险，将这些有价值的信息，以建议、忠告、报告或其它方式，通报给管理层，或全体人员，使组织增值。内部审计部门要有高度的职业责任感和敏锐性，努力扩充自己的相关专业知识，紧紧围绕企业风险管理的要素，计划和实施审计工作，促进并协助企业改进整个内部控制系统，避免遭受严重损失。（2）业务活动。通过审查企业材料采购、产品生产、销售等主要经营环节的具体业务活动，评价企业各项决策的正确性和各项管理规章制度的实际执行情况，考察专项业务活动是否达到预定目标，是否做到了高效率、高效益，为进一步提高专项业务活动的开展能力服务。（3）管理活动。通过审查评价各项管理措施是否有效、管理职能是否有效发挥，为改善企业的管理水平服务。（4）通过审查，考核企业领导干部任期经济责任的履行情况以及内部各单位、各责任中心经济责任的履行情况。

（四）审计时间由事后审计向全程审计、着眼未来转变IIA内部审计定义指出内部审计的主要业务范围是“评价并改善风险管理、控制和治理过程的效果”，强调内部审计是对组织风险管理、内部控制和治理活动全过程的效果的评价与改善。我国《企业内部控制基本规范》也指出，“企业建立与实施内部控制应遵循全面性原则。内部控制应当贯穿决策、执行和监督全过程。”内部控制强调全过程控制，对内部控制负有监督、控制之责的内部审计，也将变为全过程审计即由传统的事后审计变为事前审计、事中审计与事后审计相结合。（1）事前审计。对组织的各项计划、预算和决策方案进行审计，以查明其制定的方法是否科学，所依据资料是否翔实，有关保证措施是否可行，并进行经济技术分析和论证，提出建议，作为组织编制各项计划和预算以及进行决策的参考。（2）事中审计。在计划、预算和决策方案的执行过程中，对计划实施、预算落实和决策方案执行情况进行审计，通过审计结果对实际的经济效益和工作业绩进行评价，以便及时纠正实施过程中存在的问题。（3）事后审计。定期对计划、预算和决策方案的完成情况进行全面综合的事后审查，评价实际执行情况，总结经验教训并提出改进意见。（4）预测。内部审计必须对组织面临的潜在风险进行预测，判断组织是否采取了适当的预防和应对措施，是否具有足够的抵御风险的能力。内部审计通过事前、事中和事后审计相结合，把审计工作贯穿生产经营管理全过程，并着眼未来预测，有助于降低组织运营风险、改进控制和治理、提高绩效，实现增值和改善组织运营的目标。

（五）审计机构由双重领导向审计委员会模式转变随着现代企业制度的建立和公司治理结构的完善，越来越多的企业内部审计机构转向对董事会直接负责或对董事会下设的审计委员会负责，这种形式能减少股东和经营者之间的信息不对称，使股东利益得到有效保护，符合现代企业制度和完善的公司治理结构的要求，使内部审计机构既能作为企业自我约束的机构又能代表包括政府在内的所有投资者和债权人的利益。

（六）审计模式由经营层业务导向审计向战略层治理导向审计转变IIA1999年以来的内部审计定义拓宽了内部审计的范围，将其工作领域扩展到包括风险管理、内部控制和治理过程。IIA颁布的《内部审计实务标准》2130规定：“内部审计活动应该评价并改进组织的治理过程，为组织的治理作贡献。”IIA内部审计定义为我国内部审计由经营层业务导向审计向战略层治理导向审计转变提供了国际借鉴。我国内部控制规范体系的出台，为内部审计由经营层业务导向审计向战略层治理导向审计转变提供了法规和制度保障。《企业内部控制基本规范》明确要求企业应当在董事会下设立审计委员会，构建了内部审计参与公司治理的桥梁和通道。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。《企业内部控制评价指引》指出，内部审计部门对内部控制有再控制和评价之责，有权直接向董事会及其审计委员会报告，内部审计部门必须接受审计委员会的职能监督，并通过审计委员会不受限制地接触董事会。在隶属关系上，内部审计部门不再由经营层领导，而是由董事会下设的审计委员会领导，直接对董事会负责，有较强的独立性和权威性，其工作范围不受管理部门的限制，能够确保审计结果受到足够重视，进而提高内部审计的效率。这种转变体现了内部审计的服务范围和内容从传统的经营层经营业务活动扩大到风险管理、企业文化、社会责任、发展战略等公司治理所关注的内容。

（七）内部审计外包将成为组织内部审计的新动向1999年内部审计定义：审计主体既可以是组织内部的职能部门，也可以不是组织内部的职能部门，即内部审计主体可以向外发包，可以由第三方对内部审计工作进行投标，以获得对组织的内部进行内部审计的权利。但不能因此否认内部审计的存在和内部审计的重要性。由与组织的管理层为一体、充分了解组织情况并具有职业胜任能力的内部审计人员，履行内部审计职能是最佳的选择，但也不排除没有内部审计机构或人员的中、小规模组织，由外部审计机构或咨询组织来提供内部审计服务，即便是内部审计部门健全的大型组织中，很多情况下，仍需要具有特殊技能的外部审计人员协助其完成工作。在美国、加拿大等发达国家，内部审计已经开始由外部审计机构或咨询组织来代替，即内部审计外部化。组织选择“内部审计外包”重要标准是成本因素和质量因素。民间审计组织积极扩展服务领域，向组织提供内部审计服务；内部审计外部化，能够克服组织内部审计机构设置上的缺陷，提供更具独立性和客观性的评价报告，同时降低组织雇佣成本，实现价值最大化。以上两点是我国内部审计外部化的实现基础。通过合作内审实现内部审计外部化，其主要优势有：合作内审能实现对组织战略目标和组织经营情况的实时控制并保持内审的灵活性；合作内审可以使内部审计过程和结果符合组织的特定情况，使审计的工作结果更加符合组织的特定情况，使之更具针对性。

参考文献：

［1］边琪：《从内部审计定义的演变看内部审计职能的发展》，《商业经济》2006年第3期。

［2］〔美〕贝利、格拉姆林、拉姆蒂著，王光远等译：《内部审计思想》，中国时代经济出版社2006年版。

审计风险定义篇6

国际审计准则第25号《重要性和审计风险》将审计风险定义为：“是指审计人员对实质上误报的财务资料可能提供不适当意见的风险。”《美国审计准则说明》第47号认为：“是审计人员无意地对含有重要错报的财务报表没有修正审计意见的风险。”我国《独立审计具体准则第9号――内部控制与审计风险》则将审计风险定义为“是指会计报表存在重大错报或漏报，而注册会计师审计后发表不恰当审计意见的可能性。”以上三个定义，虽然对错报的界定范围有所不同，如国际审计准则界定为“实质上”，我国独立审计准则界定为“重大”，而美国审计准则界定为“无意”行为，而非有意为之；但是对审计风险基本涵义的表述是一致的，即审计风险是指审计人员对存有重大错报和漏报的财务报表，审计后却认为该重大错报和漏报并不存在从而发表与事实不符的审计意见的风险。因此，可以认为，审计风险由两方面风险构成：一方面是财务报表本身存在重大错报和漏报的风险，另一方面是审计人员审计后表示该报表并不存在重大错报和漏报的风险。

二、审计风险的基本特征

1、审计风险的客观性及可控性

现代审计是采用抽样审计的方法，根据样本审查结果来推断总体，会产生一定程度的误差，即审计人员要承担一定程度的做出错误审计结论的风险。因此，风险总是存在于审计活动过程中，只是这些风险有时并未产生灾难性的后果，或对审计人员并未构成实质性的损失而已。但我们可以通过识别风险领域，采取相应的措施加以避免，没有必要因为风险的存在，而不敢承接客户。只要风险降低到可接受的水平，另一方面，我们意识到了审计风险的可控性，说明审计风险是可以通过努力而降低其水平的，可以促使我们研究审计理论，提高审计质量。

2、审计风险的普遍性

虽然审计风险通过最后的审计结论与预期的偏差表现出来，但这种偏差是由多方面的因素引起的，审计活动的每一个环节都可能导致风险因素的产生。从总体来看，可能产生风险的因素有：内部控制结构控制能力差、重要的数字遗漏、对项目的错误评价和虚假注释、项目的流动性强、项目的交易量大、经济萧条、财务状况不佳、抽样技术局限性等。从每一个具体风险看，也是由多因素组成。因此，审计风险具有普遍性，它存在于审计过程的每一个环节。

3、审计风险的潜在性

审计责任的存在是形成审计风险的一个基本因素，如果审计人员在执业上不受任何约束，对自己的工作结果不承担任何责任，就不会形成审计风险，这就决定审计风险在一定时期里具有潜在性。审计风险只是一种可能的风险，它对审计人员构成某种损失有一个显化的过程，这一过程的长短因审计风险的内容、审计的法律环境、经济环境以及客户、社会公众对审计风险的认识程度而异。

4、审计风险的偶然性

审计风险是由于某些客观原因，或审计人员并未意识到的主观原因造成，即并非审计人员故意所为，审计人员在无意接受了审计风险，又在无意中承担了审计风险带来的严重后果。肯定审计风险具有无意性这一特点非常重要，因为只有在这一前提下，审计人员才会努力设法避免减少审计风险，对审计风险的控制才有意义。

三、审计风险的三种形式

1、评估审计风险

评估审计风险是指审计人员接受某审计项目后，在初步了解被审计单位基本情况的基础上，采用一定的审计手段，所评估的该项目可能存在的审计风险。评估审计风险主要与被审计单位本身的各方面情况有关。被审计单位的规模越大、经营性质越复杂、内部控制越弱、管理当局的可信赖程度越低，则评估审计风险也就越高。

2、可接受审计风险

可接受审计风险是指审计项目完成后，审计人员或会计师事务所准备承担或可以接受的审计风险。可接受审计风险主要受以下两个因素控制：会计师事务所的风险承受能力越强，可接受审计风险也就越高；会计师事务所的风险承受能力主要取决于事务所的规模、经济实力以及法律责任的承受能力等。财务报表和审计报告的使用者素质越高、范围越广，对财务报表和审计报告的利用程度越高，可接受审计风险也就越低。可接受审计风险是审计人员主观确定的，其与评估审计风险的差异，即为需要主观努力的程度，是决定审计项目取舍的重要衡量标准之一。

3、终极审计风险