风险导向审计和内部控制评审浅析.docVIP

风险导向审计和内部控制评审浅析 　　摘要：近年来，审计理论界对风险导向审计与内部控制评审相结合的争议不断。本文从风险导向审计的基本概念、二者的区别和相互结合的必要性及采取的措施做了一个比较深入地分析。 　　随着2008年美国次贷危机的爆发和法国兴业银行丑闻的曝光，世界各国的专业管理机构和企业的管理层纷纷将内部风险管控和外部市场监管作为最重要的课题进行研究。同时，各类审计机构也将风险管理作为审计的首要目标，实施风险导向审计，确保企业有效防范各类经营风险，实现企业目标。然而在审计实践中，许多审计人员存在风险导向审计与内部控制评审概念混淆、程序错乱和结论偏颇等问题。笔者结合实际工作，对二者的区别及相互结合的必要性做一个粗浅的分析。 　　一、基本概念 　　内部控制评审是指对内部控制系统设计的合理性、执行的有效性进行动态分析，以促进内部控制有效实施和持续改进。审计人员在实施审计时，对内部控制评审的结果分别采取不同的审计方式。其中，对内部控制存在缺陷的环节，通常是将其涉及的交易和账户余额作为审计的重点；对于可以信赖的内部控制环节，通常将其涉及的交易和账户余额进行抽样审计，以提高审计效率和降低审计费用。从方法论的角度看，内部控制评审实际上是制度基础审计方法的基础。 　　风险导向审计是指审计人员在审计过程自始至终都以企业经营风险分析评估为导向，根据量化的风险水平排定审计项目优先次序，依据风险确定审计范围与重点，对企业的风险管理、内部控制和治理程序进行评价，进而提出建设性的意见和建议，协助企业管理风险。从方法论的角度看，它是以风险基础为模型的审计方法。风险导向审计自产生以来，经历了两个阶段，理论界把以“审计风险＝固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式；把以“审计风险=重大错报风险×检查风险”的模型为基础，以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。本文所要讨论的风险导向审计是指后一种――现代风险导向审计。 　　二、主要区别 　　（一）工作视野与工作范围不同 　　内部控制评审的视野通常情况下仅仅局限于被审计单位内部控制系统的健全性和有效性，局限在企业内部管控方面，而风险导向审计却是将被审计单位置放在一个大的对外开放的市场经济环境中，将企业所处的行业状况、政策环境、监管环境、战略规划、经营目标和业务流程等各方面因素全部予以综合考虑。它运用立体的、全方位的思维和方法来评估企业所面临的风险，进而确定企业的风险因素，采取有效措施，加以防范。显然，风险导向审计的视野与工作范围要远远大于内部控制评审，其工作面十分地宽泛。 　　（二）工作目标不同 　　内部控制评审的工作目标通常是通过对被审计单位已经存在的内部控制体系进行测试、评价，进而查错纠弊，保护企业资产的安全、完整。而风险导向审计却是通过风险评估，发现风险点，改善风险管理，变被动的事后评价为事前、事中和事后相结合的动态审计，目标是促进企业有效地增加价值，提高运作效率。 　　（三）工作思路不同 　　内部控制评审的工作思路通常是一种“自下而上”的思路，具体表现为：首先以企业的内部控制框架或标准作为参照物，检查企业是否设计了应有的内部控制制度，评价内部控制制度是否健全；然后，对已有的内部控制制度进行符合性测试，评价内部控制制度的遵循性；最后，综合评价被审计单位内部控制制度的健全性和有效性，从而确定企业的风险因素，并提出防范风险的建议。 　　风险导向审计却是一种“自上而下”的工作思路，具体表现为：首先，了解和确定被审计单位的战略目标和经营目标；其次，通过“合理的职业怀疑假设”来识别和评估企业实现目标可能存在或面临的风险；再次，通过查证和职业判断确定企业内部控制制度是否健全，设计是否合理，是否足以防范风险，制度是否得到有效执行；最后，对控制的空白或缺陷进行综合分析，进而提出改进内部控制的建议。 　　显然，内部控制评价的工作思路是控制→风险，而风险导向审计却是风险→控制，二者的思路正好相反。同时，内部控制评审通常是采取固定化的、标准化的审计程序进行工作，而风险导向审计则是根据风险评估结果，针对不同的审计对象和审计领域设计审计程序，其审计程序表现出“个性化”的特点。 　　（四）审计给企业带来的成本和效率不同 　　大多数审计机构在对被审计单位实施内部控制评审时，通常偏重于对各项内部控制制度进行直接测试，提出增加控制环节的建议。随着持续性的内部控制测试工作的进行和时间的推移，企业的内部控制环节越来越多，业务流程越来越长，控制成本越来越大，企业的运作效率越来越低。而风险导向审计在工作过程中，由于把企业的风险作为着眼点，重点关注有风险的领域、环节是否有控制，对是否增加控制环节要求与风险因素紧密结合。同时，由于风险导向审计还关注由于机构的运作效