关于对内部审计和内部控制关系的认识

　　一、内部审计和内部控制关系综述

　　国际内部审计师协会2001年在其发布的《内部审计实务框架标准》中定义:“内部审计是一种独立、客观的保证和咨询活动，其目的在于为组织增加价值并提高组织的运作效率。它采取系统化和规范化的方法，来对风险管理、控制和治理程序进行评估和改善，从而帮助组织实现它的目标。” 可以看出，内部审计职能不仅要考虑传统的监督职能，更要强调通过评价而促进经营管理活动效率的提高。

　　内部控制，简单来说，就是为实现组织目标而提供合理保证的一系列控制方法、措施和程序。1992年，COSO委员会在其发布的《内部控制整体框架》中指出：“内部控制是一个过程，受机构的董事会、管理层以及其他人员的影响，设计内部控制是为以下类别的目标的实现提供合理的保证：运营的效果和效率；财务报告的可靠性；遵守适用的法律和法规。”并且提出了内部控制五要素内容，即控制环境、风险评估、控制活动、信息和沟通以及监督。到2004年，COSO又颁布了《企业风险管理总体框架》，发展了内部控制框架，提出了八要素内部控制理论，即控制环境、目标确定、事件识别、风险评估、风险反应、控制活动、信息沟通和监控。

　　基于以上对内审和内控定义的描述，我们可以得知：首先，作为组织的监督控制职能，内部审计是对内部控制的控制。即内部审计既是内部控制框架的重要组成部分，又具有不同于其他内部控制要素的相对独立的身份，它要代表并帮助企业的管理层考核评价组织的其他控制要素。同时，内部审计和内部控制的最终目的是高度一致的。即都是管理风险、提升治理、实现组织目标。

　　二、如何通过内部审计强化内部控制

　　（一）内部审计可以监督内部控制的运行，评价其完整性、合理性、有效性。即企业内部控制系统是否合理健全，关键控制点是否齐全，是否都有认真地得到遵守执行，是否有效地发挥了控制作用等等。而且，检查考核内控制度的运行执行情况应该成为内部审计的日常性工作。一旦发现有问题，内审就要及时指出，及时堵塞漏洞，消除隐患，保证内部控制目标的有效实现。

　　（二）内部审计可以为内部控制提供管理咨询。一方面是针对内控的建立，内部审计可以参与重大控制程序的制定；另一方面，在内部控制的实施过程中，通过监督和评价，针对管理和内部控制的缺陷，提出建设性意见和改进措施，完善和发展企业的内部控制，以便协助管理层更有效地管理和控制各项活动，从而有助于提高经济效益。

　　那么，在一个单位内部，如何开展内部控制的专题审计呢？

　　首先，要明确内部审计对内部控制的评价是基于内部管理的要求。

　　第二、评价范围是全方位的，包括单位所有的内部控制。即内部审计要以整个单位内部控制系统为评价对象，检查和评价内部控制制度的设计和执行情况。

　　第三、审计的内容是内控的完整性、合理性、有效性。通过对内控的完整性、合理性、有效性进行评价，能够不断促进内控的完善，帮助企业内部各部门有效地履行各自管理职能，强化企业管理。

　　第四、方法。与外部审计类似，即运用检察、询问、观察以及重新执行等程序。检查即是指通过检查交易和事项的凭证来反证内部控制的有效性；询问和观察是指就企业内部控制设计和执行等方面的情况向相关人员调查、了解，并进行实地观察，从中发现内部控制实际运行情况；重新执行是指选择相应的交易和事项，重新通过要审查的内部控制系统，验证内部控制在运行上是否有效。

　　第五、程序。外部审计对被审计单位的内部控制制度的研究与评价分为三个步骤：(1)了解被审计单位内部控制制度，并进行记录;对控制风险作出初步评价，以便决定是否采取控制测试；(2)对内部控制的有效性进行测试；(3)对内部控制再评价，并根据评价结果确定实质性测试。内部审计对单位的内部控制的评价程序和方法也类似于外部评价。首先，在准备阶段由内部审计人员制定评价实施方案，明确本次评价的目的、范围、准则、时间安排和相应的资源配置，准备必要的工作文件，包括评价问卷、抽样计划、单位内部控制体系文件和相关记录等；其次，由内部审计人员按照既定的评价方案实施评价，对被评价项目进行测试，对有关数据进行确认和分析，并予以记录；最后由审计人员根据评价实施情况，对单位的内部控制制度进行综合评价后，撰写并提交评价报告，包括对存在问题的分析和改进的合理建议，还要与管理层沟通，核对数据，确认事实，以帮助其提升管理的效率效果。

　　最后，关于内部审计人员的配备。现代内部审计要求内部审计人员必须具备广博的知识和多元化的技能，不仅要掌握财会审计等专业的知识，还需要掌握管理等方面的知识，要能够熟悉企业战略、目标和计划，了解企业经营管理的各项职能，因为只有这样才能为不同层次以及不同职能部门的管理者提供他们所需要的服务。除此之外，处理人际关系的能力和技巧也是必需的，只有与被审计单位以及企业管理层和内部各个职能部门保持良好关系，才能使内部审计职能得以发挥，内部审计报告得到重视，内部审计增值目标得以实现。所以，企业一定要重视对内审人员的培训，使其知识结构更加合理，以便能够更好地发挥内部审计的职能，帮助企业提高其管理的效率效果。

　　三、风险导向内部审计

　　2004年COSO委员会的《企业风险管理总体框架》（ERM）中定义“企业风险管理是一个过程，它由董事会、管理当局和其他人员执行，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在风险容量之内，并为主体目标的实现提供合理保证。”这是对内部控制的延伸，同时风险管理的出现彻底改变了内部审计的模式，使得内部审计由传统的被动式及反应式的控制导向转向新的主动式及预期式的风险导向。并且，新的风险导向审计模式也带来了一系列新的审计理念：现代内部审计不仅关注风险管理，同时也是风险管理的重要组成部分；现代内部审计在组织中扮演的角色不再仅是独立的评估者，更是风险管理与公司治理的整合者；其建议不再仅是强化控制、提高控制的效率效果，而应该是规避、转移和控制风险，通过风险管理的有效化来提高整体管理效率和效果。所以，在风险导向内部审计中，风险管理已经成为组织中的关键流程，确认风险及测试管理风险的办法成为内部审计工作重点。

　　四、结语

　　随着社会经济的发展，内部审计的边界在不断扩展，层级在不断提升。现代内部审计，确认和咨询是其两大服务领域，以“为组织增加加值，促进组织目标的实现”为宗旨，是融合风险管理审计、内部控制审计和公司治理审计于一体的全面内审，在继续维持其传统领域的同时，还要整合内控、风险管理和公司治理，并且要加强全面沟通，为组织创造更大的价值。所以，对于内部审计和内部控制的关系以及内部审计如何在内控方面风险管理方面更好地发挥作用，仍有很多内容挖掘，本文做的还不够，还需要我们继续不断地探讨。