聊聊审计风险

作者：审金兵

5月12日，一个特殊的日子，聊聊内审中的风险。

风险是一个十分宏大的概念，下文要说的风险，是指审计风险即内审失败的风险。

生活中，有些风险是无法防范的。譬如，走在路上，旁边冲出来一条狗，无怨无仇，咬你一口，或者，刚走进屋里，山摇地动，墙柱中没有钢筋。

这样的风险，不可预见、难以避免、无法克服。

在工作中，也同样存在这样的风险，譬如，你用一天时间完成的报告，在点击「保存」按钮的瞬间，硬盘挂了。

具体到内审工作中，风险更是无处不在，抽样的随机性决定了审计的基础数据无论如何总是存在局限性，审计判断依赖于审计师的专业能力与经验，而人的非理性又普遍存在，「原料」和「生产者」的固有缺陷，决定了审计风险无法避免。

但是，无法避免并不意味着束手无策，只要严格遵循作业程序和规则，大部分审计风险是可以被识别并加以防范，且控制在合理范围的。

譬如，更广泛的使用计算机技术和大数据以防范抽样风险，强化复核、检查防范审计人员的道德风险，通过学习培训、实行导师制等控制审计专业能力不足的风险。

真正需要担心的，正如我们常说，知道自己不知道并不可怕，最可怕的是不知道自己不知道，这种「不知道」的审计风险才是需要特别重视的风险。

那么，内审最大的风险来自何处？

窃以为，最大的审计风险是没有准确识别审计需求的风险，这种风险会导致内审在战略层面的根本失败。

对组织而言，这种审计风险是无法容忍的，因为这意味着内审对组织没有价值。

现实情况是，许多内审机构将大部分精力用在防范可接受的审计风险上，而对审计需要识别不足的风险，却没有投入足够的精力，这也是内审机构被边缘化、缺少存在感的根本原因。

试想，一个不能想老板所想、急组织所急的内审机构，除了装点门面，有何意义？一份投入大量审计资源却未聚焦组织痛点的审计报告，即便文采飞扬，除了自我安慰和欣赏，价值何在？

战术上的勤奋，无法克服战略偏差所造成的根本失败。

正是从这个纬度来看，没有准确识别审计需求的风险才是最大的审计风险，而证据不足、定性错误、数据不准、测试不足等带来的审计风险，均不会导致审计的根本失败。

令人沮丧的是，这一最大的审计风险难以识别，也因此更加难以防范。

产生这一问题的根源在于，对于审计需求的识别和判断是非常困难的，而只有准确识别审计需求，才能确定审计的战略重点，也才可能在确认与咨询服务中提供合理的保证。

因此，解决这一问题的关键，就是如何准确识别审计需求，这个话题，下次再接着聊。