内审知识——易被审计忽视审计目标，平衡风险与控制

ID：内审师修行与实战

实务中，我们常常只重视审计报告的3个小目标：专业视角发现问题、对审计问题匹配确认等级、改善风险和控制的建议。

而不重视或忽略另外2个目标：确定过度管理或不必要控制；提出平衡风险与控制的建议。

1.为啥会选择性忽略？

人们对审计的固有印象或审计人员的自我认知：审计就是发现问题和提出建议的。

一方面：如果你发现不了业务出了问题，却在审计报告中提出来：“你们管理过严了，没必要有这些控制。”

估计会被人嘲笑死：“没本事查出问题，就想放水养鱼？降低控制就为了让你们审出问题？”

另一方面：过度管理或控制只会限制自由和创新思想，或者只会让经办人员花费更多劳动时间，并不会产生严重的质量和成本问题。

这就造成很多企业不重视该问题。

2.什么算过度控制？参照价值增值视角

比如你雇人栽树，一个人栽树，一个人检查，或许你说这不叫过度控制。

如果你雇十个人，只有1个人栽树，另外10个人监督与考核，还不算过度控制吗？

再比如：你的工作内容十分简单，一周汇报一次工作或检验一次就没问题，但是，却要求你必须每天记录你干了什么，一天汇报三次，一天由三波人来检查，这也算过度控制！

过度控制，产生的后果是效率低下，创新能力被严重压抑。

审计中，我们怎么才能评价什么叫过度控制呢？

不好有明确标准：就像保险箱，你上一把锁叫控制，上十把锁也是控制。

但是，我们要用增值视角来看待管理：将某项控制所花费的资源（人力、物料、时间）平摊到其他控制节点上，能起到更好效果，那此节点就存在过度控制了。

简单理解，一个产品从原材料到产成品，中间有多少个增值环节？是不是每个增值环节都分摊到了对应的资源？如果有的环节投入大，造成其他环节投入少，就存在过度控制。

如果，各环节的投入与增值成比例，那你控制的再多，也不存在过度控制问题。

3.平衡风险与控制

过度控制，虽然本质是控制与增值的不匹配，但同时也是：控制与风险不匹配！

审计报告的目标的之一：平衡风险与控制。

有多大的风险，就要投入多少控制。

就比如：武大郎要想防止潘金莲害自己，先防的就是她偷人，她因为偷人而害自己的风险很大，那就要投入更多时间和精力去防止她偷人。

因为潘金连贪钱而害自己的风险较小，就不用过多地控制财产风险。

我们提出审计问题时，得深度思考风险与控制的关系，结合风险容忍度，风险偏好，结合自身资源与外界环境，找出适合的风控方式。

如果实在不好评价，那就多作对比分析：7个葫芦娃，你只防大娃，不防小娃，这就是明显的不平衡啊？

亲，多点赞转发！