总第22期:内部控制审计和风险管理审计区别与联系
文章作者:guanli
来源:《中国内部审计》浏览次数:1
字体:
840 2007年第11期
内部控制审计和风险管理审计区别与联系
中国内部审计协会内部审计发展研究中心 姜旎
【摘要】内部审计作为企业管理当局“延长了的手”,正在从传统的财务报表审计向管理审计转变,而内部控制审计和风险管理审计是其中的重要组成部分。本篇文章试图从两者的概念、具体内容及审计的步骤和方法上进行比较,寻找二者的异同。
【关键字】内部控制审计 风险管理审计 内部审计
纵观国际内部审计发展的历史,内部审计已经从单纯的财务会计审计跨越到了企业经营管理领域,以改善企业的管理素质和提高管理水平为目的,审查被审计单位在计划、组织、领导控制、决策等管理职能上的表现,促使被审计单位提高管理水平,促使生产力要素的更好配合,以提高经济效益,这就是我们所说的管理审计。管理审计是现代内部审计的新发展,包含了很多内容,其中,内部控制审计和风险管理审计是两个重要的方面。
一、概念的比较 表一:
内部控制审计 风险管理审计 目标 内容 作用 审查 重点
审查内部控制的健全性、合理性和对企业的风险管理、控制过程进行有效性,查找“盲点”。 督、评价和咨询,并提出改进和加风险管理的意见或建议。 控制环境;组织风险管理机制的健企业风险管理系统、各业务循环及全性和有效性;控制活动的适当关部门在风险识别、分析、评价、性、合法性、有效性;组织获取及理及处理等方面的活动内容。 处理信息的能力。 控制、监督、评价 控制、评价、咨询 经营管理秩序的规范性、严密性和风险范围确定的合理性;风险评价有序性;各控制点是否由不同部门准与指标体系的科学性;风险识别和个人去完成,有无“独揽”的情评价的科学性;风险管理措施、方况,经营管理职权是否民主科学和与程序的合理性;风险实际处理的相互制约,寻找失控点和漏洞,提理性等。 出弊端及症结所在。 从表一我们可以发现内部控制审计和风险管理审计不管是在目标定位上还是在职能上,乃至内容方法上都有共性和交叉的部分,但区别是主要的,主要表现在:
1、内部控制审计局限于会计控制,风险管理审计覆盖经营管理的全过程
内部控制审计更多得服从于会计、审计工作的需要。内部控制强调不相容职务分离,强调授权控制,强调检查监督,强调风险与控制,其最终目的还是离不开保证企业财务报告的真实公允和法律法规的严格遵守。而风险管理审计更多的是对企业经营管理活动中突出的风险点的查找和评估,目的是建议经营管理人员针对这些风险点实施必要的控制。
2、风险管理审计的内容较内部控制审计的内容范围更广
COSO1992年发布的《内部控制整体框架》和2004年的《企业风险管理整体框架》中明确指出内部控制的主要目标有三类:经营目标、财务报告目标、合规目标;风险管理的目标:战略目标、经营目标、报告目标及合规目标。不难看出,两者间明显的区别在于风险管理比内部控制多了一个战略目标。战略目标属高层次目标,它与企业的使命息息相关。这就意味着风险管理审计要格外关注影响企业的战略的风险,要站在高管层的角度识别、评估风险,并提出合理化建议。
二、具体审计内容的比较
表二: 内部控制审计 责任控制制度:以确定企业组织内部各部门、各环节、各层次及其人员的经济责任为中心的内部控制制度。 内部牵制制度:为了保证会计资料的正确性、可靠性及保护财产而形成的不相容职责分离的制度。 会计控制制度:为了保证会计数据的正确性和可靠性而采取的各种措施和方法。如账证、账账、账表分离。 经营方面各个循环系统的控制制度:经济组织内部为实现经营目标而实现生产经营和管理所必须经过的环节和业务操作的控制制度。 风险管理审计 组织风险:组织的形式框架、权利和责的设计是否符合组织目标,是否有效,否能发挥应有的效能。 财务风险:侧重于对信用风险管理、投风险管理、融资风险管理三方面的审计内部控制系统风险:内部控制系统因设不适当或执行无效而不能防范、发现和正风险事故发生的可能性。 经营风险:企业在经营环境、产品生产采购、销售、货物运输等方面面临的威财产、凭单管理制度:为了确保经济组织 的财产和各种凭证单据而建立的控制制度。 从表二我们可以看出,就内容上来说,内部控制审计是风险管理审计的一个部分,风险管理审计包括对内部控制制度的审计。内部控制审计的重点应放在制度内各个控制环节的审查上,目的在于发现制度中控制的薄弱环节。发现这些薄弱环节实际上就是找出了问题发生的根源,然后在这些环节上扩大检查范围,看其是否造成了重大的错误或舞弊。风险管理审计的内容按照企业风险管理流程设计展开,从企业目标的角度来评估与改善风险,并对企业风险管理体系的准确、可靠、充分和有效发表审计意见。
三、审计步骤及审计方法的比较
表三:
内部控制审计 审计步骤 审计方法 熟悉内控环境,了(1)查阅前期设计解内控情况 报告或审计工作底稿; (2)询问被审计单位有关人员,并查阅相关内部控制文件; (3)检查内部控制生成的文件和记录; (4)观察被审计单位的业务活动和内部控制的运行情况: (5)选择若干具有代表性的交易和事项进行“穿行测试” 初步评价内部控(1) 确认内部控制制的健全性 风险,确定内部控制是否可依赖; (2)对内部控制风险和内部控制的可依赖程度做出初步评价 风险管理审计 审计步骤 审计方法 评估风险识别的充决策分析、可行性分性(确定企业正析、统计预测分析在或将要面临哪些投入产出分析、流风险) 图分析、资产负债析、因果分析、损清单分析、保险调法和专家调查法等 符合性测试,证实(1)询问法,向有内控的设计和执关人员询问某些内行效果 部控制和业务执行情况; 评价已有风险衡量的恰当性(应用管理科学技术,定量估计风险大小,找出主要的风险源,并评价风险的可能影响) 评估风险防范措施的充分性,并提出改进措施(对有关部门针对风险所采调查和专家打分法风险报酬法(又称整标准贴现率法)风险当量法、解析法、蒙特卡罗模拟法等。 避免风险、损失控制、分离风险单位非保险方式的转移风险(包括转移风(2)观察法。审计人员亲临被审计单位的操作现场,实地观察有关人员的实际操作情况; (3)证据检查法。抽取一定数量的账表、凭证等书面证据和其他有关证据,检查是否认真执行相关控制制度,以判断内部控制是否得到有效贯彻执行; (4)重复执行法。就某项内部控制制度来按照被审计单位的业务程序全部或部分重做一次,以验证既定的控制措施是否被贯彻执行。 评价内控强弱,在(1)若内部控制有内控薄弱领域扩效实施,评价控制风展审计程序 险为低,规划仅对各项账户余额和交易进行有限的实质性测试; (2)若发现部分内部控制没有得到有效执行,就应对内部控制风险估计水平和可靠性重新进行调整。适当扩大实质性审计的范围; (3)针对内部控制的缺陷,确定实质性测试的时间、范围和程序; (4)就内部控制缺取的防范措施进行源、签订免除责任协检查,检查其是否议、利用合同中的转充分、得当) 移责任条款)、保险等。 陷,向被审计单位管理当局提出改进建议。 通过表三我们可以看出:内部控制审计和风险管理审计的程序基本相同,主要经过了三个步骤:
1、评价:内部控制审计是对内部控制设计的恰当性、执行的有效性进行评价;而风险管理审计则是针对企业面临的各种内、外部风险进行测试和评价,找出影响企业发展的主要风险因素。
2、控制:内部控制审计对组织内部控制制度的各个环节进行控制,发现其中的薄弱环节,针对这些薄弱环节进行重点检查,看是否造成了重大错误或舞弊。风险管理审计针对企业决策层的不同,分别进行监督性控制(Monitoring Control)、层面性(Pervasive Control)和具体控制(Specific Control)。
3、建议:内部审计的目的就是针对组织内部出现的问题进行评价,并提出改进的建议。因此,内部控制审计和风险管理审计的步骤中都有提出建议这一环节,这也是笔者认为最重要的一部分。内部审计不在于找到多少问题,而在于对发现的问题提出解决的办法,帮助管理层实现组织目标。
参考文献:
1、史蒂文·J·鲁特 《超越COSO》《中信出版社》2004年8月 2、张庆龙《内部审计理论与方法》《中国时代经济出版社》2005年 3、卓继民《现代企业风险管理审计》《中国财政经济出版社》2005年 4、宋常 《企业风险管理与内部控制关系微探》《企业改革与发展研究》2007年2月
5、孟焰 潘秀丽 《企业风险管理审计研究》《审计研究》2006年第3期
