作为一名不够资深的审计从业者,在风控审计不断的摸爬滚打中摸索着经验,常见的审计工作可能会有包括风控、合规、审计,三者都有所接触,而三者的区别又有哪些呢?本次文章主要来说说三者的区别。
一、审计
关注的工作项目的事后监督,作为我的本职专业,也是后续工作的发展方向之一,其实审计的主要作用就是发现问题,报告问题,监督问题的改进,当然也有部分的企业或者项目少量的会开展事前的审计工作项目,不过就本文而言主要关注的还是事后审计部分。
常见的国家审计、内部审计、事务所审计,除事务所审计外,都接触过(对,本人曾在某审计局上过班)就先行的国家审计师职称结构的文章中有写到这三类的一些区别,但总归较于理论化,就审计工作方法而言,不外乎,审计准备,审计实施,审计报告三大部分,若说是否有所补充,可能就是审计跟踪吧,跟踪确认审计事项,或审计发现问题改进。
以下是某百科中关于审计相关的三大部分的一些说明。
(一)政府审计(governmental audit)
政府审计是由政府审计机关依法进行的审计,在我国一般称为国家审计。我国国家审计机关包括国务院设置的审计署及其派出机构和地方各级人民政府设置的审计厅(局)两个层次。国家审计机关依法独立行使审计监督权,对国务院各部门和地方人民政府、国家财政金融机构、国有企事业单位以及其他有国有资产的单位的财政、财务收支及其经济效益进行审计监督。各国政府审计都具有法律所赋予的履行审计监督职责的强制性。
(二)独立审计(independent audit)
独立审计,即由注册会计师受托有偿进行的审计活动,也称为民间审计。我国注册会计师协会(CICPA)在发布的《独立审计基本准则》中指出:“独立审计是指注册会计师依法接受委托,对被审计单位的会计报表及其相关资料进行独立审查并发表审计意见。”独立审计的风险高,责任重,因此审计理论的产生、发展及审计方法的变革都基本上是围绕独立审计展开的。
(三)内部审计(internal audit)
内部审计是指由本单位内部专门的审计机构和人员对本单位财务收支和经济活动实施的独立审查和评价,审计结果向本单位主要负责人报告。这种审计具有显著的建设性和内向服务性,其目的在于帮助本单位健全内部控制,改善经营管理,提高经济效益。在西方国家,内部审计被普遍认为是企业总经理的耳目、助手和顾问。1999年,国际内部审计师协会(IIA)理事会通过了新的内部审计定义,指出:“内部审计是一项独立、客观的保证和咨询顾问服务。它以增加价值和改善营运为目标,通过系统、规范的手段来评估风险、改进风险的控制和组织的治理结构,以达到组织的既定目标。”
——————————————————————————————————————————
自问自答部分:
1. 审计究竟应该做什么?
就我而言,审计工作的主要工作就是参与审计项目的开展,主要的工作内容大概会有包括三个阶段:
准备阶段
a.审计资料的收集,包括被审计单位的工作流程文档,日常工作文档,以及相应的资产管理情况
b.审计资料的准备,包括审计通知书、审计方案、审计工作计划、审计工作底稿、审计访谈记录、审计标准等等
实施阶段
a.审计工作的实际开展,可能使用到的一些常见审计方法,如访谈、询问、观察、重新计算、重新执行等等
b.审计报告征求意见、最终报告的编写,与审计问题的汇总等
报告阶段
通过会议的方式与被审计单位说明本次审计的结论。
———————————————————————————————————————————
二、风控
关注的工作项目的事前、事中;内控,其实就是属于风控的范畴,又可以说是风险控制,当然也有部分公司把其作为风险管理的职能,就本人目前的认知,风险控制可以说是较为宽泛的一块内容,细化领域可以包括,金融风险控制,信息安全风险控制,合规风险控制等等内容,各细化领域所涉及的专业各不相同,若读者目前所处的行业更多偏向于整体的风险控制,可建议在某细分领域进行深入研究,以防止风险控制领域过于粗浅。
以下是某百科的关于风险管理的一些内容,风险管理(Risk Management)主要是识别、分析、接受或减轻投资决策中的不确定性。风险管理的目标是根据资本回报以最小的成本获取最大的安全保障。
在网上搜了一圈,发现所说的风险管理主要包括以下几类:
一类
a. 企业风险管理
b. 运营风险管理
c. 金融风险管理
d. 市场风险管理
二类
a. 金融风险管理
b. 财务风险管理
以上,似乎没有更多的方向,获取有所缺失没有进行整合,欢迎补充。
——————————————————————————————————————————
自问自答部分:
1. 风险管理究竟应该做什么?如果说让你成为一个公司的风险管理总负责人,你应该怎么开展工作?
就我而言,我觉得风险管理工作的开展需要了解公司当前已知的风险,并通过业务的了解发现潜在的未知风险,而以哪种方式来发现风险,以及发现风险需要什么样的能力是后话。
在风险管理的工作中,我觉得至少需要建立风险框架并整理风险清单,并在了解整体业务环境的情况下开展风险评估发现风险。
开展风险评估或者风险审计,一者是发现风险,二者是确定已发现的风险如何去整改。
2. 风险管理需要什么能力?
我觉得风险管理需要的能力包括
a. 风险发现/识别能力——相应行业的专业知识能力
b. 风险分析能力——思维能力
c. 风险解决能力——提供合理解决方案的能力
——————————————————————————————————————————
三、合规
关注的工作项目的事前,事中,合规的工作内容,更多的是结合业务工作本身法律法规的要求,通过对比现状与要求的方式,将不合规的内容扼杀在摇篮中,从而使得公司业务得以合规发展避免风险。
合规的内容主要是管理层的工作内容,需要管理层根据最新的法律法规要求,建立起相应的制度规范,并切实推动落地,来防止合规风险,若把合规或者是上文中有说到的风险管理的有关工作内容也强加给审计人,是不大妥当的,审计在工作的过程中可以参与到业务的工作中去,但仅提供一些咨询方面的建议,不能实际参与到业务管理工作过程中去,而合规工作,需要基于对法律合规的要求解读,来推进管理工作的合规化。
自问自答部分:
1. 合规简单来说就是通过解读法律法规要求,在内部制定管理规范,推动落地,或是通过合规性检查,来发现内部工作业务的不合规情况?
是的,合规的工作就是要求符合规定,这里的符合规定,包括了法律、法规、部门规章制度,当然,最主要的部分仍是法律法规。