固有风险与控制风险的区别

固有风险和控制风险是审计风险模型中的两个关键组成部分，审计师使用该模型来评估审计的总体风险。

• 在不考虑内部控制及其对活动总体风险评估的影响的情况下，公司经营活动所固有的初始风险称为固有风险。
• 控制风险是指因公司控制措施的失效而导致风险发生的可能性。

例如，如果内部控制不足以应对特定风险，那么在编制公司财务报表时可能会发现重大失实。

固有风险与控制风险是截然不同的。固有风险是业务流程的性质所导致的，因为没有实施内部控制来降低风险。当一家公司缺乏足够的内部控制来防止和识别欺诈和错误时，就会发生控制风险。

每一项商业交易都伴随着高、中或低的风险，组织应通过内部控制来降低这些风险。但仅仅实施内部控制机制是不够的。

控制风险和固有风险是风险管理的两个核心概念。企业的经营活动本身就充满了风险，这些风险会抵消它们可能为企业带来的任何益处。

财务报表中存在重大失实的风险称为检查风险，它是审计风险模型的第三个组成部分。

审计风险的构成要素

审计风险是指尽管审计师声明财务报表中不存在重大失实，但仍存在重大失实的可能性。

审计的目标是将审计风险降低到可控水平。审计师将对审计的固有风险和控制风险的审查与他们对企业及其经营环境的理解相结合。

因此，审计师有责任核实财务报表中数据的准确性，并对每个审计风险要素进行风险评估。一家进行审计的注册会计师（CPA）事务所可能因审计风险而承担法律责任，因为财务报表是债权人、投资者和其他各方依赖的对象。

通常来说，审计风险是审计师在进行审计时可能发现的各种风险的总和。因此，审计风险有三个基本要素——固有风险、控制风险和检查风险。

什么是固有风险？

在评估公司面临的风险时，必须考虑提供的业务、系统和/或服务以及内部控制环境。公司及其审计师在进行此评估时应同时考虑控制风险和固有风险。

就 SOC 2 报告而言，固有风险更多地与业务运营和/或其向客户提供的系统和服务可能出现的错误的可能性相关，而不是与重大失实的风险相关。在不考虑内部控制的情况下，由于业务的运作方式及其提供的服务/系统而导致错误发生的可能性，称为固有风险。

无论存在何种控制措施，如果一家公司处理大量复杂交易，手工处理大量任务，或者其管理层从事不道德的商业行为，那么该公司的环境本身就更具风险。

公司及其审计师可以评估固有风险，以找出公司中哪些部分风险较高，需要采取何种控制措施，以及这些控制措施如何帮助将固有风险降低到可控水平。

固有风险示例

公司管理层缺乏诚信。当公司高管从事不道德的商业行为时，公司的声誉可能会受损，这可能导致业务损失和固有风险增加。

糟糕的审计：如果过去存在糟糕、有偏见的审计，或者审计师故意忽视了失实，那么发生重大失实的可能性会更大。

关联方之间的交易：任何涉及关联方的财务交易都存在资产价值被高估或低估的风险。

人为错误导致网络安全漏洞：员工经常使用标签和钥匙卡来访问文件或进入工作场所。这些钥匙卡和标签的盗窃或丢失可能导致信息安全问题，并可能被利用来非法访问公司基础设施。

如何识别固有风险？

固有风险不可避免。这意味着固有风险对任何企业都构成威胁。一家公司如果其公司结构简单，那么其固有风险的可能性非常小。然而，拥有复杂系统、更复杂的组织会带来更高的固有风险。

在高度管制的行业（例如金融机构）运营的公司，更有可能面临固有风险。如果公司需要审计部门或内部审计团队，但没有经验丰富的金融审计监督小组，这一点尤其如此。