内部控制与审计的区别精选(九篇)

第1篇：内部控制与审计的区别范文

关键词:财务报表审计;内部控制审计;整合审计

一、绪论

1、财务报表审计基本理论

财务报表审计是指注册会计师接受委托，在实施审阅程序的基础之上，通过执行审计工作，对企业对外提供的财务报告是否按照适用的财务报告编制基础编制，财务报表是否在所有重大方面按照适用的会计准则和相关会计制度的规定编制，真实公允地反映被审计单位的财务状况、经营成果和现金流量发表审计意见的鉴证业务。财务报表审计最早起源于19世纪以前，目前在世界各国范围内已发展成熟，美国、日本等国家很早就颁布实施了财务报表审计准则，我国也早在1996年就了国家审计基本准则，相关学者对财务报表审计的研究成果不计其数。

2、内部控制审计相关概论

内部控制审计是指注册会计师接受审计委托，对被审计单位特定基准日的财务报告内部控制设计和运行的有效性进行审计，并在此基础上发表审计意见。在研究美国COSO的《内部控制整体框架》和我国《企业内部控制基本规范》中有关内部控制概论的基础上，将内部控制进一步细分为:广义内部控制和狭义内部控制，广义内部控制采用COSO《内部控制整体框架》和我国《企业内部控制基本规范》中内部控制的概念;狭义内部控制概念借鉴美国PCAOB的AS2中的财务报告内部控制概念，是指由企业董事会、监事会、经理层和全体员工实施的、旨在实现与财务报告有关的内部控制审计目标的过程，其目标主要是为了合理保证企业财务报告及其相关信息的真实公允完整。

3、整合审计基本理论

整合审计是指会计师事务所接受审计单位委托，依照相关法律法规，通过利用两次审计工作的相似性来制定实施双向审计的流程，在整合审计的实施过程中，对被审计单位的财务报表和内部控制制度由同一家会计师事务所的同一项目组来执行，实施审计的整合计划，合理运用他人的审计成果，以求实现两种审计共同的审计目标。财务报表审计和内部控制审计的整合审计研究已经成为国际执业界最新的发展趋势。在近十年的发展过程当中，理论界和实务界一直在孜孜不倦的对整合审计的效率和方案进行探索和研究。

二、财务报表审计和内部控制审计的区别、联系

企业的内部控制审计和财务报表审计的最终目标相同，整合趋势明显，但是财务报表审计和内部控制审计是两种不同的审计模式，二者在实施审计程序的过程中也有着明显的区别，笔者通过下表分析二者的区别和联系:

1、审计业务范围

财务报表审计和内部控制审计都需要了解企业内部控制的设计和运行的有效性，必要时进行内部控制测试，但是二者在审计范围方面有着本质区别，财务报表审计的审计对象主要是对某一时点的或某一会计期间的财务报表、内部控制测试的必要性、并在必要时测试内部控制有效性，在非财务报告内部控制方面，除了了解与财务报表审计有关的非财务报告内部控制外，对于其他内部控制不需要进行了解和评价，内部控制审计主要是对特定基准日的内部控制制度进行审计，对于内部控制必须要进行测试，对注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

2、审计目标

财务报表审计和内部控制审计的具体目标不一致，但是二者的最终目标是一致的，共同目标都是向财务报表外部的信息使用者提供决策有用的高质量的财务信息，并对提供的财务信息的真实公允性提供合理保证;但是，财务报表审计的具体目标主要是对财务报表是否在所有重大方面都进行了真实公允反映，按照适用的财务报告编制基础编制发表审

3、整合审计的必要性和可行性分析

基于上述财务报表审计和内部控制审计两种审计模式的区别和联系的研究，笔者认为，实施整合审计有可行性，有利于提高审计效率，节约审计成本，改善审计效果。从被审计单位的角度来看，整合审计可以有效避免被审计单位重复实施审计程序，收集审计证据，从而减少注册会计师的审计工作量，由此，整合审计可以有效减少被审计单位的经济负担。

参考文献:

［1］李哲．财务报表审计和内部控制审计的整合研究［D］．云南大学，2015．

第2篇：内部控制与审计的区别范文

在具体的内部审计实践中，可以综合运用制度控制方法、质量复核方法、区域控制方法、自查互查质量方法、内部审计公示方法等五种方法，加强审计质量的过程控制，建立内部审计项目质量控制制度体系。笔者结合多年的内部审计工作实践经验，对在审计工作中如何运用这些方法提高内部审计质量谈一些粗浅的看法。

一、运用制度控制方法提高内部审计质量

制度控制方法，是指内部审计部门通过建立健全各种质量控制制度，以监督、约束和规范内部审计行为，提高审计质量的方法。对于内部审计部门而言，一方面应通过制度控制来规范内部审计行为；另一方面还必须通过一定的制度控制来明确内部审计的责任。在内部审计业务中实施制度控制，可以严格审计质量，控制审计流程，使内部审计行为做到规范化、标准化，从而建立控制内部审计质量的长效机制。

如何建立健全审计质量控制制度？借鉴全面质量管理理论中PDCA工作循环法的原理，在实施审计过程中，我们可将审计项目质量控制过程分为四个步骤进行：第一步骤是“计划（Plan）”。针对某一具体审计项目进行分析，制定具体审计质量控制计划和措施；第二步骤是“实施（Do）”。认真执行计划并严格落实各项质量控制措施；第三步骤是“检查（Check）”。对计划实施情况进行检查和考核，找出存在的问题与差距；第四步骤是“处理（Action）”。总结审计经验，以便在今后的审计工作中推行。如果检查的结果与审计之前预定的计划不一致的话，则一定要查明原因，采取措施加以解决。只要我们认真执行以上四个步骤，周而复始，建立有效的审计质量控制循环机制和制度，就一定能够切实保障和提高审计项目质量。

在国家审计署所制订的《审计机关审计项目质量控制办法（试行）》（［2004］审计署令第6号）中，明确规定了国家审计机关实施审计项目时，对编制审计方案、收集审计证据、编写审计日记和审计工作底稿、出具审计报告、归集审计档案等全过程实行质量控制。该办法对国家审计机关如何进行质量控制作出了详尽和严密地规定。内部审计机构在制订本单位的内部审计项目质量控制制度时，可以参照国家审计署所制订的《审计机关审计项目质量控制办法（试行）》，结合本单位的具体实际情况，制订出切合实际的内部审计项目质量控制制度，为运用制度控制方法提高内部审计质量做好基础工作。

二、运用质量复核方法提高内部审计质量

质量复核方法，是指在项目审计过程中，通过一定的程序，结合实际情况建立严格的审计质量复核制度。在审计项目实施过程中，进行多层次的复核十分必要。

怎样进行审计质量复核？首先，在内部审计制度中，应明文规定要对审计质量进行复核，质量复核包括审中复核和审后复核。要对复核人级别、复核程序与要点、复核人职责等作出规定。其次，要结合项目审计的特点，扩展审计质量复核层次，建立由内部审计小组、内部审计机构、内部审计分管领导所组成的三级复核制度，分别履行详细复核、一般复核、重点复核的职责。内部审计小组侧重于审中的详细复核，应指定专人或复核小组对审计过程中已完成的业务跟踪进行质量复核。在审计完成阶段，内部审计机构、内部审计分管领导进行审后复核，在作出正式的审计结论前，对审计组已经完成的全部审计业务进行审计质量把关。

三、运用区域控制方法提高内部审计质量

区域控制方法，是指在审计过程中，内部审计人员将整个审计对象划分为重点审计区域和非重点审计区域，然后对两个区域分别实施详尽程度、繁简程度不同的审计和审计质量控制，做到全面监督和重点检查相结合，提高审计质量。

如何运用区域控制方法进行审计？第一，在审计计划阶段，关键工作是确定重点审计区域和非重点审计区域，在审计方案中应明确将重点审计区域列入工作重点；第二，在审计实施阶段，分别重点区域和非重点区域，按照不同的审计方法和策略进行审计。对重点区域实施重点审计和详细审计，尽可能做到全面监督和重点检查相结合，确保审计质量。

四、运用自查互查质量方法提高内部审计质量

自查互查质量法主要适用于内部审计小组，它是质量复核方法在内部审计小组中的具体运用。自查法，就是审计人员分别根据自己所担负的审计任务，对自己所进行的审计工作进行追溯性检查，以检验审计结果质量的方法；互查法，是指由审计组中担负不同审计任务的审计人员相互之间对审计业务过程进行追溯性检查，以检验审计结果质量的方法。

在实际审计工作中，应努力避免使自查互查审计质量的行为流于形式。特别需注意的是，在自查中审计人员对自己的工作进行复查，受习惯性思维和惯性的影响可能使自查流于形式。互查法虽有助于克服上述局限，但也可能存在审计人员碍于情面，使复查难以深入；或因审计人员不熟悉情况，影响工作效率等弊端。因而，在各单位的内部审计制度中应严格规定内部审计人员的自查责任和互查责任，对违规审计人员要进行处理。

五、运用内部审计公示方法提高内部审计质量

内部审计公示方法，就是内部审计机构对重要内部审计事项的内容、审计程序、过程、结果、举报方式等，采用适当方式向内部被审单位进行公开的制度。内部审计公示的范围包括：一是对内部被审计单位公开，主要是对审计目的、内容、处理结果、审计举报及监督电话进行公开。二是对有关内部主管部门公开，公开的目的是一方面取得有关内部主管部门的支持、配合和监督，另一方面让有关内部主管部门了解被审计单位的审计情况和内部审计机构的审计建议，从而使被审计单位更好地改进自身的工作。

如何进行内部审计公示？首先，在审前阶段，在审计项目正式实施以前，内部审计机构要就审计项目名称、审计的目标、审计的范围、内容和重点、审计组成人员、审计地点及联系电话、审计实施期间审计工作纪律、审计人员廉政纪律及内部审计机构监督举报电话，在被审计单位进行公示。审计公示采取书面形式，根据实际需要，可以一份亦可以多份，张贴于被审计单位显要位置，欢迎被审计单位广大干部职工反映情况和问题，监督审计人员执行工作纪律、廉政纪律情况。其次，在审中和审后阶段，内部审计机构可以在单位职工大会或被审计单位的中层以上干部及职工代表中公布审计中发现的问题和审计报告。

第3篇：内部控制与审计的区别范文

【关键词】 PCAOB AS5； PCAOB AS2； 内部控制； 内部控制审计

一、引言

最近，美国公众公司会计监督委员会（PCAOB）了新的内部控制审计标准：审计准则5号――《与财务报表审计相结合的财务报告内部控制审计》（Auditing Standard No.5 -An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements，简称AS5）。PCAOB AS5取代了2004年的审计准则2号Auditing Standard No.2-An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements，简称AS2），对内部控制审计和财务报表的审计方式产生了重要影响。AS5强化了PCAOB2005年5月的指南，该指南要求外部审计人员使用自上而下的风险基础审计方法执行内部控制的审计，它被看成是一种内部控制审计实务最好的方法。尽管这种自上而下的风险基础审计方法是AS5关注的核心问题，但是审计准则的其他变化也是非常重要的，如AS5修改了“重要缺陷”和“重大缺陷”的定义、修改了“重大缺陷”显著征兆的构成、明确了审计中重要性的作用等。

二、财务报告内部控制审计准则PCAOB AS5的变化解析

（一）强调了风险和所需获取的证据之间的关系

AS5要求外部审计人员使用自上而下的风险基础审计方法执行内部控制的审计，这种方法首先测试控制环境和了解财务报表，识别和评估重大错报风险。基于风险评估的结果，AS5要求外部审计人员识别需要测试的重要账户和流程。就这点而论，AS5强调风险评估及把风险评估与审计中所需获取的审计证据联系起来。

AS5允许减少业务流程层次的测试。尤其是在公司整体层面的控制较强，并且和业务流程层次的控制紧密相连时；或者公司整体层面的控制十分精确足以防止或发现相关认定的重大错报，外部审计人员通常就能够减少对业务流程层面的控制的测试。这两种情况都要求审计人员对业务流程层面的控制和他们与企业整体层面控制的交互作用有一个充分的了解。

大量的PCAOB检查报告表明外部审计人员并没有使用由上而下的方法。同样报告也表明宣称使用自上而下方法的外部审计人员并没有充分测试和记录企业整体层面的控制和业务流程层面的控制之间的直接联系或没有测试和记录企业整体层面的控制如何防止或发现相关认定的重大错报。PCAOB期望“外部审计人员对风险的评估能对内部控制的审计产生深远的影响”，对风险导向证据的依赖不断增加。

AS5将风险和证据相联系，这就需要摒弃固态的审计方法和以偏概全的思路。尤其是AS5要求外部审计人员应该不断调整他们的程序以反映审计人员所获得的信息，包括从内部控制和财务报表中获得的信息。AS5也指出审计测试的性质、时间和范围的不同组合能够提供与既定控制相关的风险水平相对应的充分的证据。为了成功地实施灵活而弹性的审计，风险评估有必要在自上而下审计方法的每个决策点都进行。

（二）修改了对重要缺陷和重大缺陷的定义

AS2和AS5在定义重要缺陷（significant deficiency）和重大缺陷（material weakness）时考虑了SFAS No.5的三大概率界限：极小可能（remote）、可能（reasonably possible）和很可能（probable）。如果把这三个界限看作是连续性的风险概率的话，还有一系列风险水平介于“极小可能”、“可能”和“很可能”之间。AS2使用“极小可能”来定义重要和重大缺陷，指出重要的缺陷是指一个控制缺陷或若干个控制缺陷的集合，对公司依一般公认会计原则可靠地确认、授权、记录、处理和报告外部财务数据的能力，造成不利影响，使其年度或中期财务报告中重要的错报无法被预防和侦查的可能性大于“极小可能”；重大的缺陷是指一个重要的控制缺陷或若干个重要的控制缺陷的集合，使年度或中期财务报告的重大错报无法被预防和侦查的可能性大于“极小可能”。

AS5用“可能”这个术语替代了原来的“极小可能”，以此来定义重要缺陷和重大缺陷。重大缺陷是指财务报告内部控制中的一个缺陷或若干个缺陷的集合，使公司的年度或中期财务报告的重大错报（material misstatement）可能无法被及时地预防和发现。这种可能性包括可能（reasonably possible）和很可能（probable）；重要缺陷是指财务报告内部控制中的一个缺陷或若干个缺陷的集合，比重大缺陷严重性轻一些，但仍很重要足以引起那些有责任监督公司财务报告系统的人的注意。用“可能”这个专业术语来定义重要缺陷，会将那些介于“极小可能”和“可能”之间的缺陷排除在重要缺陷之外。这样会减少审计师所识别的重大缺陷和重要缺陷的数量。公司的管理层和治理层应该明白这些，当外部审计人员识别出的重大缺陷下降时，不要错误地认为内部控制是安全的。

（三）修订了重大缺陷显著征兆（strong indicators）的构成

AS5取消了需要将已公布的财务情况重述和企业整体层面控制环境失效至少应该看作内部控制重要缺陷和重大缺陷显著征兆考虑的规定。因为这种变化，外部审计师需要使用自己的判断确定何时财务重述或公司整体层面控制失效不必被认为是内部控制的缺陷。

AS5同样也阐明了未修正的重要缺陷不必被认为是重大缺陷的显著征兆，但是公司整体层面上的控制缺陷除外。正因为如此，外部审计师（可能也包括内部审计师）必须要不断地评估公司整体层面的控制是否无效。当公司整体层面的控制环境确实是无效的时候，未修正的重要缺陷将成为重大缺陷的显著征兆。AS5中关于“财务重述和未能对外部审计师建议做出反应是否构成重大缺陷的显著征兆”的观点将很可能导致内部控制否定意见的减少。

（四）阐明了审计中重要性（materiality）的角色

AS2要求审计人员查找所有的内部控制的潜在缺陷，而不仅仅是与财务报表相关的内部控制。这一要求使得公司在总体上采用了COSO框架，包括遵守政府的规章制度、公司的运营、信息的有效性等方面的内部控制。AS5鼓励公司仅仅关注与导致财务报表错报相关的内部控制的缺陷。

更明确的是，AS5指出审计人员在计划和执行内部控制审计时采用的重要性衡量标准应该与计划和执行财务报表审计时所采用的重要性标准一致。这一要求使得外部审计人员审计工作的范围发生改变，可以不再检查内部控制所有的潜在缺陷，而是全力以赴地去寻找导致财务报表重大错报的内部控制的缺陷。

（五）取消了对管理层内部控制自我评估程序进行评价的要求

SEC规则曾要求报表者在每一会计年度终了时，使用合适的框架（一般采用COSO内部控制框架，虽然其它框架也能被接受）来评估其内部控制的有效性。为了在AS2的指导下完成审计工作，外部审计人员被要求评价管理层每年的内部控制自我评估程序。如果外部审计人员认为管理层的自我评估程序没有为其内部控制的自我评估结论提供充分的支持，那么就要求外部审计师拒绝对公司的内部控制发表意见。

在AS5和SEC的新的指南下，外部审计人员不再需要评价管理层每年的自我评估程序。然而，为了能够利用其它人员的工作，外部审计人员还需了解管理层的自我评估程序。因此，管理层、内部审计人员以及外部审计师就有必要来协调他们各自的工作。而审计委员会在这一协调过程中发挥着重要的作用。

（六）允许考虑先前审计所获得的信息

AS5允许外部审计人员基于以前年度的审计工作而在某些领域减少测试。这就取消了AS2要求审计师每年必须依靠当年自己的审计工作的规定。AS5要求外部审计人员在执行内部控制测试前，考虑以前年度审计（包括财务报表和内部控制审计）所执行的程序的性质、时间、范围和测试的结果以及自上一次审计以来内部控制或者相关程序的任何变化。在全面的风险评估基础上，外部审计人员应该根据与特定控制相联系的风险决定所需要获得的证据。例如，AS5中，当控制呈现低风险时（如固有风险较低，复杂程度较低，自以前年度审计后没有出现控制或程序的改变，以前年度的测试没有发现缺陷等）可以单独使用穿行测试来评价控制运行的有效性。而在有较高风险的控制中，仅仅采用穿行测试是不够的。但是当年进行的穿行测试以及其它测试的结果可以影响以后年度测试的性质、时间和范围。

AS5不允许减少那些对财务报告相关的内部控制整体有效性起核心作用的控制的测试。所减少的当年的内部控制测试工作（包括性质，时间，范围）必须是该控制对与财务报表相关的内部控制的整体有效性不起核心作用。例如，决算程序的控制对财务报表相关的内部控制整体有效性是起核心作用的，当测试这些控制的时候，以前年度的结果就不再值得依赖。

（七）重新调整多区域测试要求

在AS2的规定下，审计师必须评估他们对公司进行的多区域（multi-locations ）或多业务单元（multi-business units）的内部控制测试是否引起对公司的大部分范围都进行了测试。这种要求导致许多审计人员对某一公司进行大范围的了解，测试的覆盖面广，而不考虑和这些区域、业务单元相联系的财务报表中重大错报风险大小。由于AS2关注的是测试的覆盖面而不是错报风险大小，许多公司觉得他们被迫接受了对内部控制的过度审计。AS5的出台取消了“要对公司的大部分区域和业务单元进行控制测试”的要求，取而代之的是要求审计人员采用风险基础的方法来决定测试的恰当的区域范围和业务单元。

外部审计师在决策需要对一个公司的哪些区域或业务单元进行控制测试时，需要将对该区域或业务单元的评估的风险程度及投入该区域或业务单元的审计关注相联系。当某一区域或业务单元单独或和其他区域或业务单元合并一起没有可能引起公司合并会计报表存在重大错报时，外部审计师可以减少对这些区域或单元的进一步关注。在一个低风险的区域或业务单元，外部审计师可以首先评价公司整体层次控制的测试和那些合理保证恰当的控制贯穿于整个组织的控制是否能为它们提供充分的审计证据，而不是直接对这些低风险的区域或业务单元进行控制测试；在决策对哪些区域或业务单元进行控制测试时，外部审计师可以考虑其他人员的工作。例如，如果公司的内部审计人员在计划的工作中包括了对某些区域或业务单元的审计，外部审计师就可以整合内部审计师的工作，降低对业务区域或单元测试的数目。

（八）消除了使用其他人员工作的障碍

AS2要求外部审计师获取重要的证据以支持对内部控制发表的意见。而AS5要求外部审计人员仍然对他们出具的财务报表和内部控制的审计报告负责。但是AS5放宽了外部审计人员可利用的其它人员工作的情况，如利用内部审计人员的工作。

AS2中规定：“在内部控制审计过程中，外部审计人员对控制进行测试时，可以利用内部审计人员，公司的其他人员以及处于管理层指导下的第三方的工作”。然而“在财务报表审计中进行的控制测试中只能利用内部审计人员的工作”。

AS5为何时可以利用其他人员的工作建立了一个统一框架，这个统一框架的基础标准是：被测项目的性质（强调风险和相关的活动），执行测试人员的胜任能力及客观性。而不管这项工作是和公司的内部控制测试有关（只要执行这项工作的人员的胜任能力和客观性足够“高”）还是和财务报表审计有关。外部审计师需要研究如何运用这一框架判断在审计中公司员工的工作可以在何种程度上被利用，以及哪些人的工作可以被利用，哪些人的工作不能被利用。

（九）重新调整了穿行测试的要求

在AS2下，外部审计人员必须对所有主要的交易层次执行穿行测试（walk through），而且穿行测试不能由其他人执行。AS5则鼓励但不强制要求在每个重要的流程中进行穿行测试。同时，在流程层面支持采用穿行测试并不排除使用除穿行测试以外的其他审计技术来获取对重要流程中控制的了解。

AS5也允许外部审计人员利用其他人提供的直接帮助进行穿行测试。然而外部审计人员仍然必须主要和亲自参与到穿行测试中。在寻求其他人员对穿行测试进行帮助前，外部审计人员需要明确哪些穿行测试是重要的，必须亲自执行，这一点非常重要。

（十）为较小的公司量身定制审计

AS5允许外部审计师根据公司的规模和复杂性以及它的营运单元来量身定制其审计程序。

AS5代表了管制者对那些不得不遵循SOX404条款的公司提出问题的合理回应。外部审计人员应该意识到这些变化，并要有意识地探讨如何从资源、应用于财务报表和内部控制审计的方法方面来应对这些变化。

【主要参考文献】

[1] 阚京华.美国强制性双重内部控制评价制度的解析与启示.经济管理，2007，（22）：p13-18.

[2] PCAOB.2004.Audit Standard AS2：An Audit of Internal Control over Financial Reporting Performed in Conjunction with An Audit of Financial Statements.

[3] PCAOB.2007.Audit Standard AS5：An Audit of Internal Control over Financial Statement That Is Integrated with An Audit of Financial Statement.

第4篇：内部控制与审计的区别范文

关键词：企业；风险导向；内部审计

中图分类号：F239.45 文献标志码：A 文章编号：1673-291X（2014）02-0193-03

风险导向内部审计是企业进行风险管理的一种有效工具，其目标是在全面评估企业风险的基础上，通过对风险进行事前评估与控制，对风险处于何种状态做出准确判断，为控制风险提供依据。与传统的审计模式相比，现代风险导向内部审计更注重从宏观上把握审计风险，审计工作重心从实施阶段前移到计划阶段，关注的核心从内部控制转向风险，在审计的全过程自始至终都关注风险，依据风险选择项目，识别风险，测试管理者降低风险的方法，并以风险为中心出具审计报告，协助企业进行风险管理。审计方法从以审计测试为中心转移到以系统化的风险评估为中心，即计划阶段对风险进行评估，实施阶段对相关风险进行持续监控和报告，报告阶段提出风险管理建议。2007年新审计准则要求全面实施风险导向审计，故本文对我国企业如何实施风险导向内部审计提出几点建议，与大家探讨。

一、建立全流程风险管控机制

建立审计战略计划、审计项目计划和具体审计项目实施的全流程风险管控机制。

一是年度风险导向战略计划的制订。年度风险导向战略计划要与企业目标相契合，建立在对公司重要领域的认定、风险自我评估的基础上，以重大风险和重要风险为导向，明确审计重点，确定年度审计项目。在充分调研的基础上，组织相关部门进行风险自我评估，识别各自存在的风险，排列风险次序，出具风险自我评估结果，以此为依据，确定本年度审计关注点，编制年度审计计划。风险导向内部审计中，风险评估贯穿于年度审计计划、项目计划、执行审计、总结发现和报告的各个阶段，企业要根据风险评估结果和以前年度审计情况，合理分配审计资源，将审计资源重点放在高风险领域。

二是建立风险管控标准，有效识别风险。就是按统一的标准梳理各业务环节的流程，审计部门牵头，各业务单元的内控负责人统一对采购与应付、生产循环、销售与应收、存货与仓储、营销管理等业务循环的流程图和业务流程的风险点进行全面梳理，对应将风险点、控制措施嵌入到流程中，建立清晰的业务流程图、明确的岗位控制标准和风险防范控制措施。

三是业务流程测试和风险评估。风险评估通过实施不同的测试程序识别审计风险，包括企业整体层面控制评估、信息系统一般控制评估、流程层面控制评估、控制测试以及实质性测试等。建立业务循环各个节点的穿行测试标准，指导各单位业务人员开展业务流程的穿行测试，通过全流程的穿行测试验证各业务层面风险受控情况，运用自审、互审和复审相结合的方法，推进全员、全流程的风险自我审计。

四是出具风险评估报告及风险地图。审计部出具企业各业务单元的风险评估报告和完整的风险地图，建立企业审计风险资源库，为相关部门提供风险关注和控制优化的依据。

风险管控机制将风险管理流程与审计基本程序有机融合，更多地从全流程的角度对企业进行全面风险评估。企业要根据自身的具体情况设计风险管理流程、风险评估项目和评估标准，并根据风险环境的不断变化及时调整风险评价标准，以适应管理需要。而且，风险管控是一个持续、循环的管理过程，不能将风险管理审计作为一次性的专项审计项目，在风险管控执行过程中，要不断地关注风险，针对问题制定有效的控制措施。

二、以风险为导向，优化具体审计项目实施程序

以固定资产投资风险导向内部审计为例。固定资产投资项目投资额大、建设周期长，管理环节复杂，管理风险和审计风险都较高，采用风险导向固定资产投资审计，识别和评估重大管理风险和关键控制节点，全面审计，突出重点，可以有效提高审计效率，降低审计风险。其审计程序如下：

一是制订固定资产投资风险导向项目审计计划。风险导向项目审计计划是对具体审计项目实施全过程审计所作的综合安排，需要明确审计目的、审计范围、审计方法和审计程序、项目风险评估、关键风险点、项目组人员分工、时间安排以及其他事项等。固定资产投资审计目标要与企业固定资产投资目标相联系，审计范围包括选定经营单位、选定业务及流程、相关信息系统测试范围、测试时间范围等。

二是业务经营单位初步评估和关键风险识别。审计人员要掌握固定资产投资项目整体情况，注重从宏观层面了解固定资产投资项目的基本情况，获取背景信息，包括行业状况、监管环境、建设模式、建设目标等信息，对固定资产投资项目面临的风险进行分析，识别和评估固定资产投资项目系统风险和关键风险。

三是业务流程分析。在全面评估固定资产投资风险基础上，从投资项目风险入手，进一步了解流程，更新识别的风险，对高风险项目和资金重点监控，从整体上把握审计重点。

四是评估流程有效性和流程重大风险。在了解固定资产投资项目业务流程的基础上，运用分析性程序，分析关键流程，评估固定资产投资项目重大风险，分析对目标产生影响的风险以及风险控制，测试实际的控制能否切实管理这些风险，这是风险导向审计关注的重点。

五是根据风险评估结果，确定项目审计范围和审计重点，制定相应的审计策略。具体是设计审计步骤，根据审计步骤进行审计抽样并对样本进行监督，实施实质性测试等审计程序。在审计实施过程中，要根据审计实施情况对项目方案进行重新评估，扩大审计范围或增加审计程序，实施进一步测试以修订审计方案，保证审计质量。

杜邦“沸腾壶”审计抽样模型就是一种常用的审计抽样方法。它以审计项目风险为对象，建立风险识别模型，对每一类风险进行排序，将其划分为不同的级别，即高风险、敏感风险、适中风险、低风险，直观地反映风险与审计面的关系。杜邦“沸腾壶”模型说明，在风险因素中，风险结构一般是高风险占10%，敏感风险占30%，适中风险占40%，低风险占20%。风险审计规划在审计资源配置时，要依据风险水平高低配置审计资源，对不同级别的风险因素需实行差异化审计。高风险因素要进行详细审计，对于处于敏感风险性质的风险因素一般抽样50%进行重点审计，对于适中风险因素一般抽样 25%，而对于低风险的风险因素只需要抽样10%进行一般审计。风险级别越高，配置的审计资源越多，根据风险评估结果，将主要的审计资源分配在高风险领域，有的放矢，提高审计效率。

六是根据对流程设计有效性测试结果得出审计结论，出具审计报告，提出管理建议。

三、建立以审计调查法为基础的风险评估机制

风险评估机制包括风险识别、风险评估、风险模型的建立及风险评估结果分析等。对确定的审计项目进行风险评估，主要是通过对业务流程的梳理，找出流程关键控制点，并选择科学的风险评估方法对控制点进行风险分析，以准确识别和正确评价风险。以审计调查法为基础的风险评估方法，能清晰揭示风险的高发区域和风险变化趋势，操作性强，评估结果具有很强的说服力。即选取一定比例的被审单位实施风险典型调查，采用审计调查法对风险发生频率和严重程度进行分析和预测，对风险进行分级分类管理，根据风险水平确定审计重点。步骤如下：一是确定评估范围。评估范围与审计范围相关，对风险评估结果的运用有直接影响。二是风险评估数据的采集。采集近几年的相关风险数据，这些数据可以是以往风险管理审计、综合性审计及专项审计的相关资料和数据等。三是对风险评估基础数据进行整理和加工。内部审计人员依据原始资料和专业判断对一些定性资料进行量化处理，确定各组风险数据的影响程度级别，据此对项目风险进行评估。四是进行风险评估和预测。根据事先界定的评估范围，分别对审计项目各类风险、各类子风险的概率和影响程度进行评估，对所采集的一定期间的风险数据，采用审计调查法分析历史数据，寻找各风险的变化趋势和集中趋势，建立能描述各风险变量未来变化态势的模型，运用数学方法对各类风险的主要变量——风险概率和影响程度进行风险变动趋势分析及预测，求出风险预估值，并运用政策分析法，整理和分析可能影响各类风险变量的政策因素，对固定资产投资风险预测值进行修正和完善，确定风险估测值浮动区间。五是风险评估结果的分析和利用。根据风险分布情况，布局安排审计资源，对风险多发区域进行重点审计。风险评估结果可以应用于企业的风险管理，包括：将风险评估结果与企业事先确定的风险管理策略（如各类风险的承受度等）进行对比，并分别采取不同的风险应对措施；协助企业建立风险预警机制，对达到风险预警线的风险发出预警信号，采取相应的风险控制措施；对风险发展趋势进行预测，帮助企业规避和防范风险。

四、建立风险自我评估和预警机制

建立风险预警机制，对风险进行实时监控，可以有效管理和预防重大风险。风险预警机制前移风险管理关口，使风险管理重点由事后监督向事前预防、事中控制转移，防患于未然。企业可以根据风险评估结果，针对风险高发区域建立预警机制，完善风险预警指标体系，如利用DCCS法、盈亏临界点法及财务比率法等有效捕捉企业风险征兆，对异常情况提前发出预警，帮助管理层完善风险管理程序，控制风险。在风险导向内部审计中，使用风险自我评估（RSA）法，可以有效提升风险预警效率。风险自我评估是指内部审计要监督：（1）风险环境分析的恰当性。主要是对企业固有风险和控制风险进行评估，分析风险性质和影响程度的变化以及控制措施是否能与环境变化相符，并在审计报告中反映分析结果。（2）风险事件识别的充分性。（3）风险评估的恰当性。风险评估要从风险发生的可能性和影响性两方面对已识别的风险事件进行定量分析和定性分析。（4）风险度以及风险预报合理性。主要是审核风险度的计算方法是否科学合理，是否反映企业实际风险水平。综合分析企业的内外部环境，审核风险预报的根据及预报的级别是否合理。（5）风险控制措施的有效性。主要是对业务控制程序进行测试，检查是否有效，是否能够控制风险，并对检查发现的问题提出改进措施和建议，帮助企业管理风险，降低风险损失。（6）风险信息沟通的有效性。内部审计人员要从风险识别、评估信息的获得，风险警报的及时发出等方面评估风险信息是否被准确及时地传达给所有相关人员，让管理层了解风险是否被有效管理。风险信息沟通评估也可以提高外界对企业风险管理的信任度。

此外，企业应建立风险审计信息系统，完善审计资源数据库，积极推进审计手段创新，加强内部审计队伍建设，合理配备审计项目组成员，有效提高内部审计效率和质量，提升风险导向审计的价值增值功能。

参考文献：

第5篇：内部控制与审计的区别范文

最近，中国企业内部控制标准委员会与美国科索委员会（COSO）共同签署了《中国企业内部控制标准委员会与美国科索委员会合作备忘录》。按照其中的规定，美国科索委员会将邀请我国参与修订《风险管理――整合框架》，这是外方首次主动邀请我国参与国际内控标准制定工作。此次备忘录的签署，标志着两国内部控制标准制定机构将建立定期工作会议制度，并将在内部控制的标准制定、学术研讨、知识共享、人才培养等领域开展交流活动。

《企业内部控制审计问题解答》

最近，为了进一步指导注册会计师解决在企业内部控制审计中遇到的实务问题，防范审计风险，中国注册会计师协会了《企业内部控制审计问题解答》（会协[2015]7号）。该《问题解答》共包括9个问题，内容涵盖内部控制审计与财务报表审计的联系、区别与整合，财务报告内部控制与非财务报告内部控制的区分，内部控制审计与企业内部控制自我评价之间的关系，与控制相关的风险对控制测试的影响等多个领域。

第6篇：内部控制与审计的区别范文

关键词:商业银行;内部审计;内部控制;对策

1 商业银行内部审计的内涵

(1)保证外部法律法规和内部政策、计划、程序等的执行。

对于内部审计而言，首先必须全面掌握内部控制系统的资料，这些资料包括外部法律法规和商业银行内部的政策与制度，内部审计高层管理人员要建立有效的信息渠道，将这些资料全面、完整、及时地传递给审计人员，使内审人员能够在掌握这些信息的基础上，对执行情况进行客观地评价。其次，商业银行的控制系统是随着业务发展与控制要求的变化而不断变化的，内部审计在起到监控作用的同时，还要起到优化内部控制系统的作用。

(2)保证内部信息的真实、可靠与完整。

商业银行的内部信息主要包括财会信息和经营信息两个部分。财会信息主要包括财务预算、会计核算、成本费用使用情况等一系列财务报告。而经营信息包括商业银行在信贷、筹资、衍生等业务经营活动中产生的各种报告与分析等资讯。

(3)保护商业银行资产的安全。

对于商业银行，资金、凭证账册、业务系统、经营器具等资产的安全十分重要，尤其是现金资产，为了保护这些资产的安全，商业银行设计了相应的内部控制措施，如现金出入库规定、现金收付程序、金库管理规定、财会系统操作规定、会计档案归档查阅规定等等。

2 商业银行内部审计存在的主要缺陷

(1)审计领导机制的缺位。

领导机制的缺乏还导致审计职能与业务职能相互间的区隔不足，使审计工作往往受到业务工作的影响，审计项目不能够完全独立地开展，审计师不能公正地提出审计意见，审计意见得不到充分的重视与正确地运用，内部审计职能不能充分地发挥。领导机制的缺乏还导致内部审计工作缺乏系统性和计划性。

(2)审计部门的组织结构不完善。

商业银行内部审计组织结构经过“分散—集中—再集中”的变革过程，基本上形成了总行、区和片的三级管理模式。商业银行总行的审计部门负责审计工作的总体规划;并在全国设立大区审计处负责区域内审计工作的部署，对区域内各省级分行的审计工作负责;在区审计处的领导下，各省内设置若干审计点分片对省内各市的审计项目负责。每年，大区审计处按照总行审计部门的指导思想安排区域内的审计计划，由各片审计点负责实施具体的审计项目，对于一些重大审计项目，大区审计处则直接组织实施。通常，大区审计处要负责五个以上的省，每个省设置两个审计点，每个审计点配备十五名左右的审计师负责四个以上的市，每年最少要对这些市组织一次重点审计或综合审计。

(3)审计职能分散。

在商业银行开展审计工作之初，审计、稽核、事后监督这三个概念就共同存在于商业银行中，一直并存且分别在各自范围内开展各自的业务监督工作，缺乏相互的支持与资源的共享。这种现象发展到今天，对于基层商业银行，尤其对市级分行，三项业务都属于对业务经营工作实施有效、必要监督的部门，于是，一些市级分行已经尝试将它们放到同一个部门进行管理。

3 完善我国商业银行内部审计的对策

(1)建立监事会领导下的审计委员会。

在目前的法人治理结构中，争议最多的就是监事会如何有效实施监督并对监督责任的负责。企业管理中一旦出现问题，人们总会置疑监事会的作用。

(2)进一步完善审计组织结构，加强基层行的审计管理。

①审计片实施矩阵式组织结构设计。内部审计师各有所长，即审计师往往是按审计业务来划分职责，但是为了加强对基层行的审计管理，审计师还应分别负责管理辖区内的各市级分行的审计管理，由他们制定管理行的审计计划并负责审计项目人员、程序的安排。这种分工可以定期或不定期地进行轮换。这样有利于审计人员的培训与综合业务能力的提高。

②将市级分行管理的储蓄事后监督、会计稽核业务并入审计部门管理，在审计片下设立稽核点，稽核点可集中到审计片办公或在原市级分行办公。这两大业务曾经分别由会计和储蓄部门管理，随着商业银行管理体制的变化，它们与审计的相似，已经集中到市级分行管理，并与原有的业务部门逐渐分离。并且，随着前台会计和储蓄业务操作的逐步合并，一些商业银行已将它们合并起来。设立稽核点可以大大提高审计监督的适时性，增强了审计对业务的监督效率，有利于数据与资料的积累及其真实性的提高。

③将审计片与稽核点的工作范围进行合理的划分。由于市级分行的所有业务都会在会计核算业务中体现出来，包括信贷、信用卡、租赁等业务以及资产、经费等等，设立稽核点后，只将稽核的内容与范围扩大，稽核点就可以轻松地完成对市级分行所有业务的日常监督。而在此基础上，审计片的工作则以重点审计项目为主。

(3)正确地划分审计职能与其他职能的范围。

长期以来，我国商业银行的审计职能与其他职能间没有得到很好的区隔。例如，业务部门是业务制度的制定者，也是制度的执行者，但是业务部门往往还要负责制度执行的监督，这在商业银行会计和储蓄为两大传统业务中十分明显，这与审计职能在商业银行内部是重复的。

(4)扩大监督范围，充实审计内容。

目前，我国商业银行内部审计的范围和内容还不能满足有效监督、风险评价的需要，主要表现在四个方面:①审计范围主要停留在传统的会计、结算、对公信贷等业务项目的审计和内部控制的评价，而对个人信贷、信用卡和外汇等业务审计不足;②对创新业务如消费信贷、业务等的审计滞后，对这些业务规范性和风险性缺乏有效的监督;③对经营管理的状况和效果的评价涉及很少，治理审计在我国商业银行还没有得到充分的重视，如人力资源管理、管理成本、内控制度的效率等;④审计的内容缺乏系统性和相关性，不能够全面地、客观地评价各级行的管理与经营情况。

(5)加强审计项目的流程管理，建立完整资料系统。

①建立内部审计管理流程，如审计效率考核流程、审计建议报告程序、审计计划制定流程等;审计管理流程的作用在于对常规的审计管理工作建立科学的操作程序，优化管理环节，让审计人员明确各种管理事项的正确处理方法，提高审计管理效率。

②进一步完善审计作业流程;审计作业流程的设计应根据不同审计项目的差异分别设计适用的流程，如内部控制审计与信贷资产质量审计的操作流程的环节与重点存在着较大差异，这需要内部审计师分别进行流程的设计。

③在建立流程的同时，对流程中各环节的辅助工具加以优化，如设计不同审计项目的控制问卷、审计底稿、审计意见确认书等。

④建立与流程相互一致的各项审计业务制度，加强审计工作的独立性，避免审计人员独立性和客观性的丧失，提高内部审计行为的规范程度。

⑤结合业务和管理需要，持续改进和优化审计管理流程和作业流程，提高审计工作的职能与效用。

(6)协调审计关系，建设良好的审计环境。

①董事会、监事会和审计委员会等银行高级管理层要积极地为内部审计创建独立性开展审计的环境。

②转变对审计职能的认识，从服务于商业银行持续、健康发展的角度出发，重新确定审计与银行的战略、价值、文化、管理之间的关系。

③内部审计师要恰当地运用审计报告或口头汇报等方式汇报审计工作，提出审计意见，得到审计委员会的支持和银行各级管理人员的配合。

④评价审计项目和考核审计人员必须客观、公正，要采取有效地手段激励内部审计师自觉地开展审计项目、提升个人素养。

参考文献

第7篇：内部控制与审计的区别范文

1.1内部控制的作用

对于任何一家企业而言，内部控制都是必不可少的环节。有效发挥内部控制的作用，不仅能够极大的提升企业的经营效率，同时还能促进企业发展战略的实现。但是，内部控制理论并非一成不变的，它会随着企业面临的经济、法律等环境的变化而不断的发展和完善自身的理论。

1.2内部控制审计的产生

为了防止企业财务报告出现错误或者舞弊等行为，对报表的审计就成为了第一道防线，主要是通过注册会计师鉴定审查财务报表并提出对企业财务信息质量的相关看法。

2.内部控制与财务报表之间的关系

2.1内部控制与财务报表的联系

财务报表审计与内部控制审计之间的关系主要有一下几点：第一，最终目的相同。虽然财务报表审计与内部控制审计两者之间，有不同的侧重点。但是，他们有一个共同的目的，就是提高财务报告的可靠程度，优化财务信息的质量，服务于利益相关者，为他们提供高质量的信息。第二，审计方法相同。为了可以及时对评估中存在的重大缺陷以及存在的风险进行识别，风险导向的审计模式成为了财务报表审计与内部控制审计共同的选择，此模式即首先让注册会计师实施风险评估程序。第三，审计程序相似性。内部控制审计时应该了解并测试内部控制。而财务报表也一样，审计时也要了解内部控制，甚至进行控制测试。第四，有相同的重点关注对象。在财务报表审计中，财务报表审计与内部控制审计都要识别重要交易类别、重点账户等重点审计领域。这些重点领域是否存在错报也是注册会计师需要评价的地方，而这些交易与账户是否被内部控制所覆盖则是内部控制审计需要评价的。第五，确定的重要性水平。对于内部控制审计来说，为了判断内部控制是否存在重大缺陷，需要事先做好重要性水平的确定工作。对于财务报表审计来说，确定的重要性水平是为了检查财务报告中的重大错报情况。

2.2财务报表与内部控制审计的区别

财务报表审计与内部控制审计之间的区别主要有以下几点：第一，直接目的不同。对于内部控制审计中来说，其进行评价内部控制主要是为了给内部控制本身的有效性提供参考意见。对于财务报表审计来说，其进行评价内部控制主要是为了对财务报告的审计意见类型的支持，以及对减少实质性程序的工作量的可行性进行判断。第二，对控制测试的范围不同。为了给内部控制整体的有效性提供参考意见，内部控制审计应该针对每一审计领域，获取控制有效性的证据，不能绕过内部控制测试程序。而在财务报表审计中，在某些审计领域的审计过程中，审计师可以根据成本效益原则绕过内部控制测试程序，采取不同的审计策略。第三，对控制测试结果的可靠性与不同的要求。在内部控制审计中，为了保证内部控制的有效性，应该在控制测试的可靠性上严格要求，样本量选择的相对弹性也较小。而在财务报表审计中，测试的样本量有较高的弹性，在测试的可靠性的方面也有较低的要求。

3.内部控制审计的实施

3.1被审计单位的应对措施

第一，重视内部控制规范体系建设。企业必须依据相关规范和配套指引上的规定，对内部控制规范体系设及实施更加关注，系统性的梳理整个业务流程，以便更好的实施内部控制规范体系。建立内部控制领导体制与组织机构。对业务流程中容易出错的关键控制点加以识别能够更加有效的做好会计师事务所中的内部控制审计工作。

第二，关注内部控制的内部评价工作。对于内部控制的自我评价，是企业应该自觉做好的方面。在内部条件允许的情况下，应该做好与注册会计师的沟通，指定内部部门及人员做好内部控制的全面评价工作。如果企业内部资源不能配合内部控制的评估工作，则可考虑聘请专业人员。

3.2注册会计师的应对措施

第一，事务所应该完善内部控制审计的业务质量控制规范体系。事务所应该根据有关执业准则以及职业道德守则等要求，完善有关内部控制审计方面的质量控制规范体系。以书面文件的形式呈现有关质量规范方面的政策和程序，并及时传达给相关的人员。在这些规范体系的建立和完善过程中，最终责任应该是由主任会计师和类似职位的人员承担。在业务执行的日常活动中，有关规范体系应该是事务所各级领导层都应该遵守的准则，同时还应该对其必要性采用合适的方式予以强调。

第8篇：内部控制与审计的区别范文

随着2008年美国次贷危机的爆发和法国兴业银行丑闻的曝光，世界各国的专业管理机构和企业的管理层纷纷将内部风险管控和外部市场监管作为最重要的课题进行研究。同时，各类审计机构也将风险管理作为审计的首要目标，实施风险导向审计，确保企业有效防范各类经营风险，实现企业目标。然而在审计实践中，许多审计人员存在风险导向审计与内部控制评审概念混淆、程序错乱和结论偏颇等问题。笔者结合实际工作，对二者的区别及相互结合的必要性做一个粗浅的分析。

一、基本概念

内部控制评审是指对内部控制系统设计的合理性、执行的有效性进行动态分析，以促进内部控制有效实施和持续改进。审计人员在实施审计时，对内部控制评审的结果分别采取不同的审计方式。其中，对内部控制存在缺陷的环节，通常是将其涉及的交易和账户余额作为审计的重点；对于可以信赖的内部控制环节，通常将其涉及的交易和账户余额进行抽样审计，以提高审计效率和降低审计费用。从方法论的角度看，内部控制评审实际上是制度基础审计方法的基础。

风险导向审计是指审计人员在审计过程自始至终都以企业经营风险分析评估为导向，根据量化的风险水平排定审计项目优先次序，依据风险确定审计范围与重点，对企业的风险管理、内部控制和治理程序进行评价，进而提出建设性的意见和建议，协助企业管理风险。从方法论的角度看，它是以风险基础为模型的审计方法。风险导向审计自产生以来，经历了两个阶段，理论界把以“审计风险＝固有风险×控制风险×检查风险”为基础进行的审计称为传统风险导向审计模式；把以“审计风险=重大错报风险×检查风险”的模型为基础，以被审计单位的经营风险为导向的审计方法称作现代风险导向审计模式。本文所要讨论的风险导向审计是指后一种――现代风险导向审计。

二、主要区别

（一）工作视野与工作范围不同

内部控制评审的视野通常情况下仅仅局限于被审计单位内部控制系统的健全性和有效性，局限在企业内部管控方面，而风险导向审计却是将被审计单位置放在一个大的对外开放的市场经济环境中，将企业所处的行业状况、政策环境、监管环境、战略规划、经营目标和业务流程等各方面因素全部予以综合考虑。它运用立体的、全方位的思维和方法来评估企业所面临的风险，进而确定企业的风险因素，采取有效措施，加以防范。显然，风险导向审计的视野与工作范围要远远大于内部控制评审，其工作面十分地宽泛。

（二）工作目标不同

内部控制评审的工作目标通常是通过对被审计单位已经存在的内部控制体系进行测试、评价，进而查错纠弊，保护企业资产的安全、完整。而风险导向审计却是通过风险评估，发现风险点，改善风险管理，变被动的事后评价为事前、事中和事后相结合的动态审计，目标是促进企业有效地增加价值，提高运作效率。

（三）工作思路不同

内部控制评审的工作思路通常是一种“自下而上”的思路，具体表现为：首先以企业的内部控制框架或标准作为参照物，检查企业是否设计了应有的内部控制制度，评价内部控制制度是否健全；然后，对已有的内部控制制度进行符合性测试，评价内部控制制度的遵循性；最后，综合评价被审计单位内部控制制度的健全性和有效性，从而确定企业的风险因素，并提出防范风险的建议。

风险导向审计却是一种“自上而下”的工作思路，具体表现为：首先，了解和确定被审计单位的战略目标和经营目标；其次，通过“合理的职业怀疑假设”来识别和评估企业实现目标可能存在或面临的风险；再次，通过查证和职业判断确定企业内部控制制度是否健全，设计是否合理，是否足以防范风险，制度是否得到有效执行；最后，对控制的空白或缺陷进行综合分析，进而提出改进内部控制的建议。

显然，内部控制评价的工作思路是控制风险，而风险导向审计却是风险控制，二者的思路正好相反。同时，内部控制评审通常是采取固定化的、标准化的审计程序进行工作，而风险导向审计则是根据风险评估结果，针对不同的审计对象和审计领域设计审计程序，其审计程序表现出“个性化”的特点。

（四）审计给企业带来的成本和效率不同

大多数审计机构在对被审计单位实施内部控制评审时，通常偏重于对各项内部控制制度进行直接测试，提出增加控制环节的建议。随着持续性的内部控制测试工作的进行和时间的推移，企业的内部控制环节越来越多，业务流程越来越长，控制成本越来越大，企业的运作效率越来越低。而风险导向审计在工作过程中，由于把企业的风险作为着眼点，重点关注有风险的领域、环节是否有控制，对是否增加控制环节要求与风险因素紧密结合。同时，由于风险导向审计还关注由于机构的运作效率低下影响企业价值增加的风险，进而可提出减少控制环节，删除重复控制或交叉控制或不必要的控制的审计建议，从而可大大减少控制成本，提高机构运作效率，增加企业价值。

三、二者相结合的必要性

（一）企业风险导向审计基础不完备

我国国有企业建立现代企业制度至今不到30年，目前，除少数海外上市公司外，大多数国内企业还没有建立风险管理委员会，企业还没有形成风险管理理念。即使是一些建立了风险管理委员会的上市公司，由于受根深蒂固的传统观念影响，在实际管理过程中，风险管理理念的意识仍然比较淡薄，风险管理工作流于形式。到目前为止，我国还没有强制要求上市公司编制年度风险评估报告，年度会计报告还没有经注册风险评估师予以签认。2008年，我国《企业内部控制基本规范》才颁布实施，这表明我国绝大多数上市公司和国有大中型企业还处于内部控制体系建设时期，因此，各类审计机构审计还只能处于以内部控制评审为基础的制度基础审计阶段，甚至对还未建立内部控制体系的企业只能停留在传统的账目基础审计阶段。

（二）信息化建设还不能满足需求

现代风险导向审计的重要特征是审计重心前移，审计人员首先执行风险评估程序，充分了解被审计单位的整体经营环境和所处行业及区域的战略规划，并根据风险评估结果设计个性化的审计程序。由于市场经济环境的双向开放性，各种信息的变化越来越快，越来越复杂，如果审计机构不能及时掌握信息的变化，做出的风险评估报告将无法做到客观，所设计的审计程序无法满足审计目标的实现。从目前来看，绝大多数审计机构都未能建立起开展风险导向审计工作所必需的强大的信息系统，审计信息化建设还达不到现代风险导向审计的客观需求。

（三）审计人员的业务素质还达不到要求

由于现代风险导向审计是一种全新的审计理念和审计方法，它对审计人员的业务素质提出了很高的要求。它不仅要求审计人员必须具备丰富的审计理论和实践经验，还要具备必需的管理学知识、经济学知识，甚至与被审计对象相关的专业知识。它还要求审计人员能够运用系统的、战略的观点充分了解、分析企业所处的宏观经济环境和行业发展状况，对有可能导致企业会计报表错报风险的内外部因素进行客观、系统的分析与评价，并将审计视角扩展到内部控制以外，从较高层面上评估风险。目前，各类审计机构的绝大多数审计人员都尚未达到这样的素质，还无法满足风险导向审计的主观要求。

笔者认为，各类审计机构在实施审计任务时，应将风险导向审计与内部控制评审进行有机结合，促进企业有效地防范风险，实现经营目标，具体实施审计任务时，可采取以下几项措施：

一是开展内部控制评审时，将风险导向审计中的控制风险理念和方法融入进去，改善内部控制评审的方法和结果，减少审计风险，同时也为各类审计机构从以内部控制评为基础的制度基础审计过渡到风险导向审计积累一些有益的经验。

二是审计机构自身要加快信息化建设步伐，并自行开发或委托开发相关的辅助审计软件，充分满足风险导向审计的客观需求。

三是大力提高审计人员的业务素质，通过加强培训，培养复合型的审计人才，同时也可吸收相关的风险评估师等专业人才到审计机构中，充实审计力量，充分满足风险导向审计的主观要求。

参考文献：

①企业内部控制基本规范．财会，〔2008〕7号

②萨班斯－奥克斯利法案404条款实施最新指引．普华永道会计师事务所

第9篇：内部控制与审计的区别范文

【摘要】内部审计外包并不意味着外部审计取代内部审计,因为,外包后的内部审计仅仅是改变了内部审计的主体,它在审计的内容和目的、服务对象、审计时间、审计程序与内部控制的关系等方面和外部审计仍然存在着显著的区别。

【关键词】内部审计外包;外部审计;区别

内部审计和外部审计都是审计监督体系的组成部分,它们相互制约、相互监督、互为补充。两者的主要目标是一致的,都是对被审单位的财政、财务收支活动和经营管理活动的正确性、合法性、合理性和有效性进行审查和监督。内部审计是外部审计的重要基础,外部审计的深度和广度在很大程度上取决于内部审计的工作质量,内部审计做的好,外部审计就有了保证。实践证明,内部审计和外部审计在实施过程中,各有所长、各有所短,两者的有效结合是完善审计监督体系、全面开展审计工作、提高审计质量和审计效率的有效途径。

内部审计外包(OutsourcingtheInternalAuditFunction)又称内部审计外部化或内部审计,它是指组织将其内部审计职能部分或全部通过契约委托给组织外部的具备专业胜任能力的机构或人员执行。与传统的内部审计相比,内部审计外包的显著特征就是内部审计主体的变化,从事内部审计业务的审计主体开放了,它既可以是组织内部的审计人员,也可以是独立于该组织的外部审计机构或人员。内部审计外包有利于提高内部审计的独立性,强化内部审计监督;有利于降低企业内部审计成本,增强企业核心竞争力,提高企业经营效率;有利于转移企业内部审计风险,充分利用社会资源,提高内部审计质量。

企业外包内部审计业务后,内部审计会被外部审计(主要是社会审计,下同)替代吗?我们的回答是否定的。因为外包后的内部审计仅仅是改变了内部审计的主体,它在许多方面和外部审计仍然存在着区别,主要表现在:

一、是审计的内容和目的不同。内部审计的内容主要是依据企业经营战略目标、单位内部的定额、计划指标及内部管理制度等,检查企业各项内部控制的执行情况、经济活动取得的经济效益等,提出各项改善措施,评价企业内部受托经济责任的履行情况等。内部审计的种类,包括财务审计、经济效益审计、经营业务审计和管理审计等。而外部审计则是依据《独立审计准则》,主要审查企业经济活动的真实性和合法性等方面,对被审单位会计报表的合法性和公允性发表审计意见,并未较多触及经济效益审计和管理审计等方面。因此,内部审计在深度和广度方面要比外部审计要求高。21写作秘书网

二、是审计的服务对象不同。内部审计人员在处理企业生产经营管理活动的问题中,充当企业管理当局的参谋和助手,并帮助各级管理人员有效地履行他们的职责,其主要的、直接的服务对象就是包括企业管理当局和董事会在内的组织内部的各级管理人员。通常,外部审计人员是受托对企业的财务会计报表进行年度审计,其服务对象是与企业利益相关的社会各界,包括股东、银行、债权人、政府和潜在的投资者等。当然,这不排除他们的意见被企业管理当局和董事会采用的情况,但这是次要的,不是其主要的使命和目的。

三、是审计作用的范围不同。内部审计所发挥的作用一般仅局限于组织内部,只有当正确的审计结论和建议被采纳并及时采取改进行动时,才会产生具有建设性的实际效果。内部审计人员对生产经营管理所持的观点和看法一般不向外界透露,具有一定的保密性。而外部审计人员对财务会计报表所表述的审计意见和结论要公布于众,客观上起到了社会公正的作用,其作用的覆盖面比内部审计要广阔的多。

四、是与内部控制的关系程度不同。外部审计人员的兴趣主要集中在内部会计控制,以及对会计信息的真实性和完整性有实质性影响的相关控制,而内部审计人员则对整个内部控制系统,包括内部会计控制都给予了极大的关注。而且,两者的出发点不同,外部审计人员之所以关心内部控制,是因为它们影响其设计的审计程序性质和进行实质性测试的范围,这与他们对财务会计报表发表独立意见相比是次要的。内部审计人员关心内部控制的目的在于检查和评价内部控制系统的适当性和有效性,并针对控制的缺陷提出强化控制的意见和措施。

五、是审计的范围和时间不同。内部审计的范围涉及企业生产经营管理的各个领域,它既可以借助于正式的记录和文件,又可以依据非正式的记录和文件;内部审计通常对单位组织内部采用定期或不定期的审计,时间安排比较灵活。而外部审计通常是定期审计,每年对被审单位的会计报表审计一次,其审计范围主要局限于财务会计领域及其相关的内部控制系统,重点在于那些对财务会计报表的合法性和公允性有实质性影响的重大事项,它只能依赖正式的记录和文件。所以,内部审计在审计的对象范围上比外部审计要广泛,在审计时间上也更为灵活。