内部审计作为企业管理当局“延长了的手”,正在从传统的财务报表审计向管理审计转变,而内部控制审计和风险管理审计是其中的重要组成部分。本文对两者的概念、具体内容及审计步骤和方法进行比较,寻找异同。 一、概念的比较(表一) 表一: 内部控制审计风险管理审计 目标审查内部控制的健全性、合理 对企业的风险管理、控制过程 性和有效性,查找“盲点”。 进行监督、评价和咨询,并提出 改进和加强风险管理的意见或 建议。 内容控制环境;组织风险管理机制 企业风险管理系统、各业务循 的健全性和有效性;控制活动 环及相关部门在风险识别、分 的适当性、合法性、有效性;组析、评价、管理及处理等方面的 织获取及处理信息的能力。活动内容。 作用控制、监督、评价。 控制、评价、咨询。 审查经营管理秩序的规范性、严密 风险范围确定的合理性;风险 重点性和有序性;各控制点是否由 评标准与指标体系的科学性; 不同部门和个人去完成,有无 风险识别、评价的科学性;风险 “独揽”的情况;经营管理职权 管理措施、方法与程序的合理 是否民主科学和相互制约,寻 性;风险实际处理的合理性等。 找失控点和漏洞,提出弊端及 症结所在。 从表一可以看到,内部控制审计和风险管理审计在目标定位、职能和内容、方法都有共性和交叉,但区别是主要的,主要表现在: 1、内部控制审计局限于会计控制,风险管理审计覆盖经营管理的全过程。内部控制审计更多地服从于会计、审计工作的需要,强调不相容职务分离、强调授权控制、强调检查监督,强调风险与控制,最终目的离不开保证企业财务报告的真实公允和合法性风险管理审计更多的是对企业经营管理活动中突出风险点的查找和评估,目的是建议经营管理人员针对这些风险点实施必要的控制。 2、风险管理审计的内容较内部控制审计的内容更宽泛。COSO委员会1992年发布的《内部控制——整体框架》和2004年发布的《企业风险管理(ERM)——整体框架》中明确指出内部控制的主要目标有三类:经营目标、财务报告目标、合规目标;风险管理的目标有战略目标、经营目标、报告目标及合规目标。明显的风险管理比内部控制多了一个战略目标。战略目标属高层次目标,它与企业的使命息息相关,意味着风险管理审计要格外关注影响企业战略的风险,要站在高管层的角度识别、评估风险,并提出合理化建议。ERM框架指出,企业的高管层应该将主要精力放在可能产生重大风险而不是所有细小的环节上。内部控制审计是风险管理审计的基础,但是不能只偏重于财务信息披露,仅仅关注于流程,尤其是仅仅关注与财务报告相关的流程。企业实施内部控制的核心在于对风险的控制,即通过对企业生产经营过程实施有效控制,并且关注经营战略层面的风险,达到风险管理的目的。 二、审计内容的比较(表二) 表二: 内部控制审计 风险管理审计 责任控制制度:以确定企业组织组织风险:组织的形式框架、权利 内部各部门、各环节、各层次及其 和责任的设计是否符合组织目 人员的经济责任为中心的内部控标、是否有效、是否能发挥应有的 制制度。效能。 内部牵制制度:为了保证会计资料的财务风险:侧重于对信用风险管 正确性、可靠性及保护财产而形成的理、投资风险管理、融资风险管理 不相容职责分离的制度。 三方面的审计。 会计控制制度:为了保证会计数内部控制系统风险:内部控制系 据的正确性和可靠性而采取的各统因设计不适当或执行无效而不 种措施和方法。如账证、账账、账 能防范、发现和纠正风险事故发 表分离。生的可能性。 经营方面各个循环系统的控制制度:经营风险:企业在经营环境、产品 经济组织内部为实现经营目标而实现生产、采购、销售、货物运输等方 生产经营和管理所必须经过的环节 面面临的威胁。 和业务操作的控制制度。 财产、凭单管理制度:为了确保经 济组织的财产和各种凭证单据而 建立的控制制度。 从表二可以看出,就内容上来说,风险管理审计是内部控制审计的延伸,但内部控制审计和风险管理审计的重点不同。内部控制审计的重点应放在内部控制制度各个控制环节的审查上,目的在于发现制度中控制的薄弱环节,找出问题发生的根源,然后在这些环节上扩大检查范围,看其是否造成了重大的错误或舞弊,风险管理审计的内容按照风险管理流程设计展开,从总体目标的角度来评估与改善风险,并对风险管理体系的准确、可靠、充分和有效发表审计意见。 三、审计步骤的比较(表三) 表三: 内部控制审计步骤 风险管理审计步骤 熟悉内部控制环境,了解内评估风险识别的充分性(确定企业正在 部控制情况。或将要面临哪些风险)。 初步评价内部控制的健全 评价已有风险衡量的恰当性(应用管理科 性。学技术,定量估计风险大小,找出主要的风 险源,并评价风险可能产生的影响)。 符合性测试,证实内部控制评估风险防范措施的充分性,并提出改 的设计和执行效果。 进措施(对有关部门针对风险所采取的 防范措施进行检查,检查其是否充分、 得当)。 评价风部控制强弱,在内部 控制薄弱领域扩展审计。 通过表三可以看出,内部控制审计和风险管理审计的程序基本相同,主要经过两个步骤: