如何评价内部控制与审计风险

《企业内部控制审计指引实施意见》实施已经近两年时间,与传统的财务报表审计业务相比,企业内部控制审计是一种全新业务,相关理论研究较少,且比较零星,尚未形成系统的理论。审计实务工作也处在探索阶段,难免存在一定的风险。注册会计师在实施企业内部控制审计时,如何既能对企业内部控制出具客观公正的评价,又能尽量降低自身的审计风险,是值得探讨的问题。

内部审计风险的内部审计风险的作用

强调内部审计风险意识，不但有利于提高内部审计质量，规范内部审计工作，而且有利于更好发挥内部审计在现代信息社会条件下，加强宏观调控，强化企业经营管理，提高企业经济效益等方面作用，其具体表现在：
1、强调内部审计风险意识，有利于规范内部审计工作。当前，内部审计在审计程序、标准、报告等诸多方面不够规范，带有很大随意性，从而造成内部审计工作的混乱无序。强调风险意识，可促使内部审计标准的制定，按程序办事，进而保证审计质量。
2、强调内部审计风险意识，是优化企业经营管理的客观需要。现代信息社会日益复杂，加上信息的非直接性、信息提供者的偏见和动机、数据量大且业务复杂，这就要求审计人员对信息进行审核，并提供评价，从而使信息风险转化为审计风险。强调风险意识，有利于企业管理层得到真实可靠信息，有助于企业正确决策和提高效益。
3、强调内部审计风险意识，是现代企业制度的必然要求。现代企业制度要求所有权和经营权分离，企业内部形成多种利益关系。此时，作为企业自身约束机制的内部审计，成为所有者和经营者的共同需要。一方面，所有者要评价受托给经营者的资产是否安全；另一方面，现代企业使管理部门报酬与其工作业绩挂钩，经营者需要审计部门对其业绩报告真实性作出鉴定。现代企业制度从某种意义上说，打破了传统的审计关系三要素格局，加大了内部审计承担的责任，增强风险意识尤显重要。

内控导向审计与风险导向审计的本质区别有哪些

个人理解：
内控导向：从既有的规章制度出发，是否遵守了规章制度，而不考虑规章制度控制什么风险，风险有多大，只是机械检查制度的执行情况。
风险导向：从分析风险出发，是否有制度控制这些风险，可以帮助被审计单位梳理既有风险，提出控制风险的切实可行的整改意见。

审计风险中对内部控制了解的深度到底该怎么解释？

对内部控制了解的深度，是指在了解被审计单位及其环境时对内部控制了解的程度。包括评价控制的设计，并确定其是否得到执行，但不包括对控制是否得到一贯执行的测试。
　　（一）评价控制的设计
　　评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。控制得到执行是指某项控制存在且被审计单位正在使用。设计不当的控制可能表明内部控制存在重大缺陷，注册会计师在确定是否考虑控制得到执行时，应当首先考虑控制的设计。如果控制设计不当，不需要再考虑控制是否得到执行。（判断）
　　（二）获取控制设计和执行的审计证据
　　注册会计师通常实施下列风险评估程序，以获取有关控制设计和执行的审计证据：（1）询问被审计单位的人员；（2）观察特定控制的运用；（3）检查文件和报告；（4）追踪交易在财务报告信息系统中的处理过程（穿行测试）。这些程序是风险评估程序在了解被审计单位内部控制方面的具体运用。
　　询问本身并不足以评价控制的设计以及确定其是否得到执行，注册会计师应当将询问与其他风险评估程序结合使用。