内部控制审计和风险管理审计比较,本文主要内容关键词为:内部控制论文,风险管理论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
内部审计作为企业管理当局“延长了的手”,正在从传统的财务报表审计向管理审计转变,而内部控制审计和风险管理审计是其中的重要组成部分。本文对两者的概念、具体内容及审计步骤和方法进行比较,寻找异同。
一、概念的比较(表一)
表一:
内部控制审计风险管理审计
目标审查内部控制的健全性、合理 对企业的风险管理、控制过程
性和有效性,查找“盲点”。
进行监督、评价和咨询,并提出
改进和加强风险管理的意见或
建议。
内容控制环境;组织风险管理机制 企业风险管理系统、各业务循
的健全性和有效性;控制活动 环及相关部门在风险识别、分
的适当性、合法性、有效性;组析、评价、管理及处理等方面的
织获取及处理信息的能力。活动内容。
作用控制、监督、评价。 控制、评价、咨询。
审查经营管理秩序的规范性、严密 风险范围确定的合理性;风险
重点性和有序性;各控制点是否由 评标准与指标体系的科学性;
不同部门和个人去完成,有无 风险识别、评价的科学性;风险
“独揽”的情况;经营管理职权 管理措施、方法与程序的合理
是否民主科学和相互制约,寻 性;风险实际处理的合理性等。
找失控点和漏洞,提出弊端及
症结所在。
从表一可以看到,内部控制审计和风险管理审计在目标定位、职能和内容、方法都有共性和交叉,但区别是主要的,主要表现在:
1、内部控制审计局限于会计控制,风险管理审计覆盖经营管理的全过程。内部控制审计更多地服从于会计、审计工作的需要,强调不相容职务分离、强调授权控制、强调检查监督,强调风险与控制,最终目的离不开保证企业财务报告的真实公允和合法性风险管理审计更多的是对企业经营管理活动中突出风险点的查找和评估,目的是建议经营管理人员针对这些风险点实施必要的控制。
2、风险管理审计的内容较内部控制审计的内容更宽泛。COSO委员会1992年发布的《内部控制——整体框架》和2004年发布的《企业风险管理(ERM)——整体框架》中明确指出内部控制的主要目标有三类:经营目标、财务报告目标、合规目标;风险管理的目标有战略目标、经营目标、报告目标及合规目标。明显的风险管理比内部控制多了一个战略目标。战略目标属高层次目标,它与企业的使命息息相关,意味着风险管理审计要格外关注影响企业战略的风险,要站在高管层的角度识别、评估风险,并提出合理化建议。ERM框架指出,企业的高管层应该将主要精力放在可能产生重大风险而不是所有细小的环节上。内部控制审计是风险管理审计的基础,但是不能只偏重于财务信息披露,仅仅关注于流程,尤其是仅仅关注与财务报告相关的流程。企业实施内部控制的核心在于对风险的控制,即通过对企业生产经营过程实施有效控制,并且关注经营战略层面的风险,达到风险管理的目的。
二、审计内容的比较(表二)
表二:
内部控制审计 风险管理审计
责任控制制度:以确定企业组织组织风险:组织的形式框架、权利
内部各部门、各环节、各层次及其 和责任的设计是否符合组织目
人员的经济责任为中心的内部控标、是否有效、是否能发挥应有的
制制度。效能。
内部牵制制度:为了保证会计资料的财务风险:侧重于对信用风险管
正确性、可靠性及保护财产而形成的理、投资风险管理、融资风险管理
不相容职责分离的制度。 三方面的审计。
会计控制制度:为了保证会计数内部控制系统风险:内部控制系
据的正确性和可靠性而采取的各统因设计不适当或执行无效而不
种措施和方法。如账证、账账、账 能防范、发现和纠正风险事故发
表分离。生的可能性。
经营方面各个循环系统的控制制度:经营风险:企业在经营环境、产品
经济组织内部为实现经营目标而实现生产、采购、销售、货物运输等方
生产经营和管理所必须经过的环节 面面临的威胁。
和业务操作的控制制度。
财产、凭单管理制度:为了确保经
济组织的财产和各种凭证单据而
建立的控制制度。
从表二可以看出,就内容上来说,风险管理审计是内部控制审计的延伸,但内部控制审计和风险管理审计的重点不同。内部控制审计的重点应放在内部控制制度各个控制环节的审查上,目的在于发现制度中控制的薄弱环节,找出问题发生的根源,然后在这些环节上扩大检查范围,看其是否造成了重大的错误或舞弊,风险管理审计的内容按照风险管理流程设计展开,从总体目标的角度来评估与改善风险,并对风险管理体系的准确、可靠、充分和有效发表审计意见。
三、审计步骤的比较(表三)
表三:
内部控制审计步骤
风险管理审计步骤
熟悉内部控制环境,了解内评估风险识别的充分性(确定企业正在
部控制情况。或将要面临哪些风险)。
初步评价内部控制的健全 评价已有风险衡量的恰当性(应用管理科
性。学技术,定量估计风险大小,找出主要的风
险源,并评价风险可能产生的影响)。
符合性测试,证实内部控制评估风险防范措施的充分性,并提出改
的设计和执行效果。 进措施(对有关部门针对风险所采取的
防范措施进行检查,检查其是否充分、
得当)。
评价风部控制强弱,在内部
控制薄弱领域扩展审计。
通过表三可以看出,内部控制审计和风险管理审计的程序基本相同,主要经过两个步骤:
1、评价:内部控制审计是对内部控制设计的健全性、执行的有效性进行评价;风险管理审计是针对企业面临的各种内、外部风险进行测试和评价,找出影响企业发展的主要风险因素。
2、提出建议:内部审计的目的就是针对组织内部出现的问题进行评价,并提出改进的建议。因此,内部控制审计和风险管理审计的步骤中都有提出建议这一重要环节,帮助管理层实现组织目标。
四、审计方法的比较(表四)
通过表四可以看出,内部控制审计和风险管理审计在审计方法上存在的差异主要有:
表四:
内部控制审计方法
风险管理审计方法
(1)查阅前期设计报告或审计工作底稿。
决策分析、可行性分析、统
(2)询问被审计单位有关人员,并查阅相
计预测分析、投入产出分
关内部控制文件。 析、流程图分析、资产负债
(3)检查内部控制生成的文件和记录。 分析、因果分析、损失清单
(4)观察被审计单位的业务活动和内部控
分析、保险调查法和专家
制的运行情况。调查法等。
(5)选择若干具有代表性的交易和事项进
行“穿行测试”。
(1)确认内部控制风险,确定内部控制是 调查和专家打分法、风险
否可依赖。报酬法(又称调整标准贴
(2)对内部控制风险和内部控制的可依赖
现率法)、风险当量法、解
程度做出初步评价。析方法、蒙特卡罗模拟方
法等。
(1)询问法。向有关人员询问某些内部控 避免风险、损失控制、分离
制和业务执行情况。风险单位、非保险方式的
(2)观察法。审计人员实地观察有关人员
转移风险(包括转移风险
的实际操作情况。 源、签订免除责任协议、利
(3)证据检查法。抽取一定数量的账表、
用合同中的转移责任条
凭证等书面证据和其他有关证据,检查是 款)、保险等。
否认真执行相关控制制度,以判断内部控
制是否得到有效贯彻执行。
(4)重复执行法。就某项内部控制制度按
照被审计单位的业务程序全部或部分重
做一次,以验证既定的控制措施是否被贯
(1)若内部控制有效实施,评价控制风险
为低,规划仅对各项账户余额和交易进行
有限的实质性测试。
(2)若发现部分内部控制没有得到有效执
行,就应对内部控制风险估计水平和可靠
性重新进行调整,适当扩大实质性审计的
(3)针对内部控制的缺陷,确定实质性测
式的时间、范围和程序。
(4)就内部控制缺陷,向被审计单位管理
当局提出改进建议。
1、风险管理审计方法比内部控制审计方法更加广泛和全面。风险管理审计的具体方法涉及到决策分析、可行性分析、统计预测分析、投入产出分析、保险调查法、专家调查法、专家打分法、风险报酬法(又称调整标准贴现率法)、风险当量法、解析方法、蒙特卡罗模拟方法等。
2、风险管理审计比内部控制审计应用方法更多更新。内部控制审计主要使用传统的财务审计方法进行评价和测试,审计方法比较成熟和完善,而风险管理审计由于涉及的内容比较宽泛,使用的具体审计方法涉及了多种学科,应用更新的现代内部审计手段。
标签:风险管理论文; 内部控制论文; 企业内部控制与风险管理论文; 风险评价论文; 审计方法论文; 内部控制缺陷论文; 会计与审计论文; 审计目标论文; 审计流程论文;