内部控制导向审计与风险导向审计的比较
2024-02-19陈渊
[摘 要]随着企业规模的不断扩大和风险的不断增加,内部控制导向审计和风险导向审计在企业的管理中发挥了至关重要的作用。本文对内部控制导向审计与风险导向审计进行比较,从定义、目标、一般步骤、优缺点等方面进行分析,旨在帮助企业更好地了解和选择适合自身的审计方式。
[关键词]内部控制导向审计;风险导向审计;企业管理
[中图分类号]F27 文献标志码:A
内部控制导向审计和风险导向审计是企业管理中常用的两种审计方式。下面对这两种审计方式进行比较,以期为企业选择合适的审计方式提供参考。
1 内部控制导向审计
1.1 定义
内部控制导向审计是一种以企业内部控制体系为基础的审计方式[1]。它通过评估和改善企业的内部控制体系,确保企业的经营活动符合法律法规和规章制度,减少错误和失误的发生。
1.2 目标
内部控制导向审计的目标是提高企业的内部控制水平,减少潜在的风险和错误。它通过发现和纠正内部控制体系中的问题和不足,提高企业的运作效率和管理水平,确保企业的财务报告准确、可靠。
1.3 实施内部控制导向审计的一般步骤
第一,确定审计目标。明确审计的目的、范围和期望结果。这包括确定审计的重点领域、关注的业务过程或功能及内部控制的目标。
第二,内部控制评估。评估组织的内部控制体系,包括控制的有效性、适用性和一致性。这可以通过文件分析、采访关键人员、观察业务流程等方式来实现。
第三,风险识别。识别组织内部控制体系中的潜在风险,特别关注可能导致重大错误或失误的领域。这需要了解业务流程、风险点及相关的法规和合规要求。
第四,确定审计活动。根据内部控制评估和风险识别结果,确定需要进行审计的具体活动、过程或领域。这些审计活动可能包括文件审查、系统测试、采访相关人员等。
第五,收集证据。执行审计计划,收集与审计目标相关的证据。这可能包括文件、记录、报告、系统数据等。
第六,问题识别和评估。根据收集的证据,识别可能存在的内部控制问题或不符合情况,并评估其严重性和潜在后果。
第七,分析和报告。分析审计结果,并准备审计报告。报告应明确指出发现的内部控制问题、建议改进的措施及潜在的风险和后果。
第八,跟进和监督。监督报告中提出的改进措施的实施情况,并确保组织采取适当的措施来改进内部控制,并监督其有效性[2]。
需要注意的是,实施内部控制导向审计需要充分了解组织的内部控制框架和相关政策法规。审计人员还应具备充足的专业知识和技能来评估内部控制的有效性和适用性。此外,内部控制导向审计应与组织的风险管理和合规框架相结合,以实现全面的内部控制管理[3]。
1.4 内部控制导向审计的优点
第一,保障财务报告的准确性和可靠性。内部控制导向审计关注组织的内部控制体系,包括控制环境、风险评估、控制活动、信息与沟通及监督等方面的审查。通过评估和测试内部控制的有效性,可以提高财务报告的准确性和可靠性,减少财务报告中的错误和欺诈行为。
第二,预防和检测风险和错误。内部控制导向审计的目标是确保组织内部控制的规范运行。通过审查和评估内部控制流程、控制设计和操作,可以发现潜在的风险和错误,并及时采取措施进行纠正和预防,减少组织遭受损失的可能性。
第三,提高运营效率和效益。内部控制导向审计帮助组织评估和改进内部控制流程和操作,提高工作效率和效益。通过识别和消除不必要的繁文缛节,减少冗余和重复工作,优化流程和资源配置等,可以降低成本并提高组织的运营效率。
第四,促进合规性和治理。内部控制导向审计有助于确保组织遵守法规和规章制度,提高合规性水平。通过检查和验证组织内部控制的合规性和完整性,可以发现和纠正违反法规和规定的行为,促进组织的良好治理。
第五,增强投资者和利益相关者的信心。内部控制导向审计的存在和执行表明组织对风险管理和财务报告的重视。通过公正、独立的审计过程和结果,可以增强投资者和利益相关者对组织的信心,提升组织的声誉和形象。
1.5 内部控制导向审计的缺点
第一,局限性。内部控制导向审计主要关注组织的内部控制体系,而忽视了其他可能存在的风险和问题。它可能无法涵盖所有的潜在风险领域,如战略风险、市场风险、技术风险等,导致对整体风险情况的评估不全面。
第二,过度依赖文件和程序。内部控制导向审计通常依赖文件和程序的审查,即依靠检查和验证内部控制的存在与操作来评估其有效性。然而,这种方法可能无法全面了解实际操作中的问题和风险,因为内部控制的执行可能与规定的程序存在偏差。
第三,难以检测人为错误和欺诈。内部控制导向审计主要关注内部控制的设计和操作,但它可能无法充分检测到人为错误或欺诈行为。人为错误和欺诈行为可能会通过绕过内部控制的方式隐藏起来,导致内部控制导向审计无法完全发现这些问题。
第四,消耗大量成本和时间。内部控制导向审计需要对内部控制流程和操作进行详尽的审查和评估,这需要投入大量的时间和资源。同时,它也需要雇佣专业的审计人员或外部审计机构,这会增加审计的成本。
第五,可能导致过度依赖。过度依赖内部控制导向审计可能使组织过度依赖内部控制体系,而忽视其他管理和监督手段。这可能导致组织忽视其他潜在风险和问题,从而影响组织的整体风险管理能力。
2 风险导向审计
2.1 定义
风险导向审计是一种以风险为导向的审计方式。它通过发现和评估企业的风险,提供风险管理和控制的建议,以保障企业的可持续发展。
2.2 目標
风险导向审计的目标是帮助企业识别和管理风险,提供风险控制和管理的建议,确保企业的可持续发展。
2.3 实施风险导向审计的一般步骤
第一,确定审计目标。明确审计的目的、范围和期望结果。这包括确定审计的关键风险领域和重点关注的业务过程或功能。
第二,风险识别。通过风险评估方法,识别与组织相关的潜在风险。这可以通过与组织内的相关人员讨论、文件分析、数据收集等方式来实现。
第三,风险评估。对已识别的风险进行评估和分类,确定其潜在影响和可能性。这有助于确定哪些风险是最重要和紧迫的,需要更深入的审计关注。
第四,确定审计活动。根据风险评估结果,确定需要进行审计的具体活动、过程或领域。这些审计活动可能包括文件审查、数据分析、采访相关人员等。
第五,收集证据。执行审计计划,收集与审计目标相关的证据。这可能包括文件、记录、报告、系统数据等。
第六,风险评估和问题识别。根据收集的证据,进一步评估风险的严重性和潜在后果,并识别可能存在的问题或不符合的情况。
第七,分析和报告。分析审计结果,并准备审计报告。报告应明确指出发现的问题、建议改进的措施及潜在的风险和后果。
第八,跟进和监督。监督报告中提出改进措施的实施情况,并确保组织采取适当的措施来管理和减轻风险。
需要注意的是,实施风险导向审计需要灵活性和适应性,具体步骤可能会因组织和审计目标的不同而有所调整。此外,风险导向审计是一个持续的过程,需要与组织的风险管理和内部控制框架相结合,以实现有效的风险管理。
2.4 风险导向审计的优点
第一,全面的风险评估。风险导向审计侧重于评估组织的风险管理能力,包括战略风险、操作风险、市场风险、合规风险等。通过综合考虑各种风险因素,可以全面评估组织面临的潜在风险,帮助组织识别关键风险并制定相应的风险缓解策略。
第二,强调预防和早期干预。风险导向审计注重发现风险事件的可能性和影响,以及风险控制措施的有效性。通过早期发现和干预风险,可以防止问题的发生或减轻其影响,从而降低组织遭受损失的可能性。
第三,数据驱动的审计方法。风险导向审计运用数据分析、模型建立和风险评估等技术手段,以数据为基础进行审计工作。这种数据驱动的方法能够提供更客观和准确的风险评估结果,帮助审计人员更好地理解和应对风险。
第四,与战略和目标的一致性。风险导向审计关注战略风险,并将其与组织的战略目标进行对齐。通过识别与战略目标不一致的风险,提供风险缓解建议。风险导向审计能够帮助组织确保战略的有效实施和目标的实现。
第五,持续改进和学习。风险导向审计强调风险管理的持续性和改进过程。通过审计结果和建议的反馈,组织可以不断改进其风险管理体系,并从中学习经验教训,提高风险管理能力和效果。
2.5 风险导向审计的缺点
第一,风险评估的主观性。风险导向审计涉及对风险的评估和量化,这涉及主观判断和主观假设。不同审计人员可能对风险的评估有不同的观点和假设,导致评估结果的主观性和不确定性。
第二,风险评估的不完全性。尽管风险导向审计试图全面评估组织的风险,但由于风险的复杂性和多样性,可能存在某些风险未能被完全捕捉的情况。这可能导致漏检或低估一些潜在风险。
第三,数据可靠性和可获取性。风险导向审计依赖数据的可靠性和可获取性。如果组织的数据质量不高或数据不完整,那么风险评估的准确性和可靠性可能会受到影响。此外,获取必要的数据可能需要耗费大量的时间和资源。
第四,风险控制的成本。风险导向审计强调风险控制措施的有效性,但一些风险控制可能需要投入较高的成本。对于某些组织来说,采取适当的风险控制措施可能会面临经济和资源方面的挑战。
第五,风险变化和动态性。组织所面临的风险是动态变化的,可能随着时间和环境的变化而发生变化。风险导向审计在某个时间点的评估结果可能无法完全反映风险的实际情况,因此需要定期进行审计和评估,以保持风险管理的有效性。
3 内部控制导向审计与风险导向审计的比较
内部控制导向审计是一种侧重于评估和提高组织内部控制体系有效性的审计方法。它关注的是组织内部控制的设计和运行是否能够确保财务报表的准确性和可靠性。审计师将依据内部控制框架和政策,评估内部控制的合规性、有效性和效率,并提出改进建议。这种审计方法旨在确保组织运作的规范性和内部控制的健全性,以减少潜在的错误和欺诈行为[4]。
举个例子,假设一家公司拥有复杂的采购流程,包括采购申请、审批、采购订单和付款等环节。内部控制导向审计会重点关注这个采购流程的各个环节是否符合内部控制政策和程序,是否存在足够的审批和授权程序,以及支付款项是否与实际的采购订单相符。审计师会抽样检查一些采购订单和相关文件,以评估内部控制的有效性,并提出改进建议,比如增加审批程序或加强对供应商的风险评估。
而风险导向审计则更加关注潜在的风险和不确定性。它基于风险管理理念,致力于评估组织在达成业务目标时所面临的风险,并提出相应的控制建议。审计师会通过风险评估和分析,确定可能对组织造成负面影响的风险,并评估现有控制措施的有效性和适用性。
以供应链管理为例,风险导向审计可能会关注供应商的选择和监管过程。审计师会分析供应商的信用状况、供货能力和合规性等因素,并评估组织是否建立了适当的供应商管理机制来应对潜在的风险,如供应中断或不合规行为。审计师可能会提出建议,如建立备选供应商、加强供应商合同管理或增加监管措施,以降低供应链风险[5]。
内部控制导向审计与风险导向审计的理论对比如下。
第一,审计内容。内部控制导向审计主要关注企业的内部控制体系,而风险导向审计则更关注企业面临的风险。
第二,审计目标。內部控制导向审计的目标是提高企业的内部控制水平,减少潜在的风险和错误;而风险导向审计的目标是帮助企业识别和管理风险,提供风险控制和管理的建议。
第三,方法。内部控制导向审计主要通过评估和测试内部控制体系来发现问题和不足,并提出改进建议;而风险导向审计则通过风险识别和评估,提供风险管理和控制的建议。
第四,优缺点。内部控制导向审计强调提高内部控制水平和管理效能,但成本较高,缺乏灵活性;而风险导向审计注重风险管理和控制,具有灵活性,但风险评估存在主观性,结果难以量化。
综上所述,内部控制导向审计和风险导向审计在审计的焦点和目标上有所差异。内部控制导向审计注重评估和改进内部控制体系,确保财务报表的准确性和可靠性;而风险导向审计则侧重于评估和管理组织面临的风险,以保障业务目标的实现。在实际审计中,审计机构通常会根据组织的需求和审计目标,综合运用这两种方法来提供全面的审计服务。
4 结语
内部控制导向审计和风险导向审计在企业管理中都有其重要的作用和优势。内部控制導向审计可以帮助企业提高内部控制水平,减少风险和错误的发生,提高管理效能和财务报告的准确性。风险导向审计则更注重识别和管理风险,为企业提供风险控制和管理的建议,保障企业的可持续发展。
在选择审计方式时,企业应根据自身的需求和情况进行权衡和选择。如果企业内部控制体系较为完善,重视合规性和程序性,可选择内部控制导向审计;如果企业面临较大的风险和不确定性,需要更全面的风险管理和控制建议,可选择风险导向审计。
此外,内部控制导向审计和风险导向审计并不是相互排斥的,可以相互补充和结合使用。企业可以根据具体情况综合运用两种审计方式,以实现更全面和有效的审计效果。
总之,无论是内部控制导向审计还是风险导向审计,都是企业管理中不可或缺的重要工具。企业应根据自身的需求和目标,选择适合自己的审计方式,以提高企业的管理水平和风险控制能力,实现可持续发展。
参考文献
[1]商禹. 风险导向审计在内部控制审计中的运用探究[J]. 中国管理信息化. 2019,22(16):24-25.
[2]王瑾玲. 基于风险导向的内部审计质量控制研究[J]. 中国管理信息化. 2022,25(19):27-30.
[3]方鹏. 基于风险导向下企业财务内部控制审计研究[J]. 全国流通经济. 2021(18):166-168.
[4]魏晨. 探讨风险导向审计在内部控制审计中的运用[J]. 经济师. 2020(11):109-110.
[5]包茵瑛. 基于风险导向下企业财务内部控制审计的思考[J]. 纳税. 2021,15(10):123-124.
[作者简介]陈渊,男,江苏无锡人,江苏铭纳阳智能装备有限公司,中级经济师,本科,研究方向:审计、企业管理。
