摘要 内部控制和内部审计都是企业加强内部监督、防范风险的有效手段，明确两者之间的关系，对于建立健全企业内部控制制度、保障企业的长期可持续发展具有重要意义。本文从内部控制和内部审计的内涵出发，分析了两者之间的关系，探讨了未来的发展方向。

关键词  内部控制 内部审计  关系  风险

 

本世纪以来，随着美国的安然、世通、施乐和默克制药等一大批著名国际大公司，中国的郑百文、银广厦、东方电子等上市公司因为财务会计丑闻导致股价暴跌，企业的诚信受到普遍质疑，全世界的企业借此掀起了一股强大的完善企业内部控制的风暴。

长期以来，说起内部控制，很多人等同于内部审计，认为内部审计就是内控，其实这是很片面的观念。内部审计与内部控制都是企业规模发展到一定程度，为完善管理而采取的措施，两者互为关联，但是又有所区别。

一、内部控制与内部审计的理论内涵

1、内部控制的内涵

美国国家反舞弊性财务报告委员会于1992年发布的《内部控制———整体框架》（也称COSO报告）定义了内部控制是由企业董事会、经理阶层和其他员工制定和实施的，为达到经营的效果和效率、财务报告的可靠性以及相关法律、法规的遵循性等3个目标而提供合理保证的过程。认为内部控制整体框架主要由控制环境、风险评估、控制活动、信息与沟通、监控5大要素构成，统一了人们对内部控制的认识，并为评价内部控制系统提供了一套完整的评价标准。

我国财政部在合理借鉴了以美国COSO报告为代表的国外内部控制框架理论并根据我国国情进行了较大调整和改进后，发布了《内部会计控制规范—— 基本规范(试行)》。2005年对我国对上市公司内部控制提出了新的要求，《国务院批转证监会的通知》中提出了“要通过外部审计对公司的内部控制制度以及公司的自我评估报告进行核实评价，并披露相关信息”。证交所的《上市公司内部控制指引》(从2006年7月1日起开始实施)引入了中介机构对内控制度的外部审核。中国证监会关于上市公司首次发行新股的相关管理办法中也提出了关于内控制度的要求。

由以上含义可见：内部控制是一个要靠组织的董事会成员、管理层和其他员工去实现的过程，实现这一过程是为了合理地保证经营的效果性和效率性、财务报告的可信性、对有关法律和规章制度的遵循性。内部控制要达到的目的是信息的可靠性和完整性；政策、计划、程序、法规的遵循性；资产的安全性；资源使用的经济性和有效性；为经营和计划所确定的目的和目标完成情况等。

2、内部审计的内涵

内部审计是19世纪末20世纪初，随着大中型企业管理层次的增多相应管理人员经济责任的加重、基于企业单位内部经济监督和管理之需而产生的，其主要内容是评价会计记录与财务状况。随着经济的发展，近年来内部审计在评价财务、会计工作的同时，着重向管理方面延伸，即审核和评价各种经营与控制系统，用以确定企业的政策是否得到贯彻，建立的标准是否得到遵循，资源的利用是否节约而有效，单位的目标是否实现，并对企业管理工作提出建议等。

由以上含义可见：内部审计是一种独立管理的保证与咨询活动，目的是为组织增加价值并提高组织的运作效率。内部审计的设立与企业组织需要达到的目标是一致的，它是通过以系统化、规范化的方法收集资料，认识评价风险的过程，从而产生对企业的经营活动有价值的信息，而这种信息可能会给企业带来诸多利益。内部审计要对经营活动的经济性和效果性进行客观评价，而且还要评价公司治理、风险管理、内部控制的健全性和有效性，内部控制已成为内部审计师的重要业务领域。

二、内部控制和内部审计的关系

内部控制是为了推进组织的有效运营和防范风险，而内部审计则在于协助管理层调查、评估内部控制制度，适时提供改进建议，以确保内部控制制度得以持续实施。笔者认为，在同处于一个组织机构中，内部审计与内部控制之间是相互依存的关系，互为基础，互相促进。

1、内部审计是内部控制的一个组成部分

1986 年4 月，最高审计机关国际组织（ INTOSAI）在第十二届大会上发表的《总声明》对内部控制作了权威性解释：“内部控制作为完整的财务和其他控制体系，包括组织结构、方法程序和内部审计。它是由管理当局根据总体目标而建立的，目的在于帮助企业的经营活动合法化，具有经济性、效率性和效果性，保证管理决策的贯彻，维护资产和资源的安全，保证会计记录的准确和完整，并提供及时的、可靠的财务和管理信息”，该解释将内部审计作为内部控制的一个重要组成部分。

由于内部审计与内部控制之间相互依赖、相互促进的内在联系，在企业不断健全、完善内部控制制度的过程中，强化内部审计己成为不可或缺的组成部分，其作用正变得越来越重要，主要体现在：（1）评价内部控制，参与重大控制程序的制定与修订；（2）监督内部控制的运行；（3提供管理咨询。

2、内部控制是内部审计的工作对象

内部控制涵盖范围很广，涉及企业管理活动各个方面。在审计实践中，注册会计师不能掌握企业控制全貌，只能依赖以凭证、账薄和财务报告为载体的会计系统以及可以找到管理痕迹的书面上的控制程序，无法实施对内部控制的公允评价，更谈不上合理建议及促进企业内部控制的健全和完善。相比而言，内部审计处在企业内部，置身于企业内部控制环境中，对企业内部控制最熟悉，因而也最有能力对其进行评价和建议。

（1）参与内部控制的风险评估

根据COSO内部控制整体框架，内部控制活动的开始是要进行风险评估。风险评估过程包括确立企业的目标，识别上述目标相关的风险，评估识别出风险的后果和可能性，针对风险评估的结果，考虑适当的控制活动。从上述过程可以看出，只有评估了风险点，才能设计有针对性的控制程序。大多数人认为全面的风险评估对于一个组织的成功已越来越重要。外部审计人员尽管具有丰富的衡量企业实现财务目标的盈利能力及企业流畅的经验，也有设计企业会计计量系统的经验，但他们对评估未来风险方面的经验不如内部审计人员，美国的研究结果表明了这一点。

（2）参与内部控制的设计

内部控制是一个庞大的系统，它的设计也是一个复杂的过程，通常包括总体设计与具体设计两种类型。虽然内部控制的制定经历了初稿——汇总——修改——实施的过程，但并不到此结束，因为内部控制是一个动态的过程，它是一个在实施中发现问题、解决问题，再对制度不断进行删除和更新的过程。而内部审计正处在控制环境中，对企业的各个方面都比较熟悉，又直接面对各种缺陷与舞弊，正好可以适应这种不断循环运动的特点。因此企业再设计内部控制时，内部审计人员作为主要参与人员，这样才可以起到事半功倍的效果。

（3）监督内部控制的运行

内部控制是由一系列控制政策、制度与程序组成的整体系统，在这个系统中充分体现了管理者的管理理念、管理风格和对管理目标的追求。为了确保这些政策与程序得到全面、准确地执行，必须要有监督。

（4）评价内部控制的有效性

2002年《萨班斯——奥克斯利法案》302条款要求管理层评价内部控制在签署报告前90日的有效性，而404条款则要求审计该公司财务报表的审计人员审计财务报告内部控制或者审计管理层有关内部控制有效性的结论，这两条被认为是影响最大而成本最高的。虽然在该法案中没有直接提到内部审计，或者明确将内部控制评审这个责任赋予内部审计，但内部审计人员却是很多组织完成404条款的重要资源。内部审计在评审中可能承担的角色包括：确认关键业务流程，记录其内部控制，并对这些控制开展适当的测试；其评审结果作为外部审计人员的支持资源；同公司其他负责404条款的内部或外部资源合作并协助参与评审工作。

3、内部审计与内部控制相互交融发展

一方面，随着企业间竞争的日益激烈，传统内部审计仅仅局限于以查错防弊为目标的管理要求己经不能适应企业生存的需要，审计理论和实践都日益强调依赖内部控制的功效和成果，关注企业的风险。另一方面，有效的内部控制早就融入了有关审计或会计的信息传送、传导这些自我监控与自我评估的重要内容，并把审计机制和审计风险纳入了内部控制的综合体系。

（1）内部审计对内部控制的推动

首先，内部审计对内部控制的有效性进行评价；其次，内部审计部门可以通过与各部门、各层次管理者的交流，帮助企业解决各种问题，以提高内部控制系统的管理效果；此外，内部控制系统是一个动态发展过程，内部审计作为内部控制的组成部分和企业的一种日常管理活动，与内部控制系统在调整时间上可以相互适应，因而内部审计对完善内部控制系统起着至关重要的作用。

（2）内部控制对内部审计的推动

审计作为组织内部管理和控制系统的组成部分，理应在决策层和管理层关注的领域中有所作为。在内部控制发展的不同时期，国际内部审计协会( IIA) 对内部审计不同时期的定义体现了这一演进过程。

第一，“内部牵制”阶段。该阶段以内部牵制、相互制衡为主要控制思想，控制的目的是保证财产的安全性，这一时期的内部审计仍处于财务审计阶段；第二，“内部控制”阶段。该阶段保留了内部牵制的控制思想，引进了科学管理的思想，以会计控制和管理控制为基本内容，控制的目的是保证财产的安全，会计资料的真实可靠，该阶段大大提高了内部审计的地位；第三，“内部控制结构”阶段。该阶段以内部牵制和系统管理为主要控制思想，以控制环境、会计制度、控制程序为基本结构，控制的目标是确保企业业务与管理政策的一致，保护资产，确保记录的完整性，此刻，内部审计已由财务审计转向管理审计，内部审计成为管理审计不可或缺的一部分；第四，“内部控制整体框架”阶段。该阶段将内部牵制与管理理论有机结合，以控制环境、风险评估、控制活动、信息传递和监督为基本要素，以财务报告的可靠性、营运的效率性和效果性、法律法规的遵循性为控制目标，该阶段表明内部审计由管理审计过渡到风险审计阶段。

可见，内部控制重心的变化, 引发了内部审计内容的变化，同时也造成了内部审计工作重心的转移，内部控制的发展对内部审计的工作内容产生了决定性影响，使得内部审计由财务审计发展到管理审计以至风险导向审计。

4、内部审计与内部控制最终目标的一致性

内部审计发展到风险导向内部审计阶段，内部审计与内部控制的目标具有高度一致性——实现组织增值，且他们均以减少组织不利风险带来的损失和利用有利风险带来的机会作为实现目标的手段。

从理论上讲，内部审计是内部控制的一个重要环节，是对其它内部控制环节的再控制，没有内部控制就没有内部审计，内部控制是内部审计的安身立命之本，是风险导向内部审计进入公司治理、评估改善组织风险的基础。

COSO发布的ERM（企业风险管理）是一个整合公司治理和内部控制的企业风险管理框架，风险导向内部审计关注企业风险，为企业构筑利用机会或减轻威胁的战略，从而内部审计和内部控制也成为企业风险控制价值链条中的必要环节，两者的职能形成了高度的融合。

三、结论

我国的内部审计、内部控制理论与实务研究的开展相比西方国家要落后几十年，但随着经济的发展，内部控制与风险管理现己成为我国各级监管层关注的热点。作为内部控制的一个重要组成部分，对内部控制的再控制，内部审计的理念也正从传统的财务收支审计、单独的查错防弊向以风险管理和内部控制为导向的管理审计转变，也就是从过去注重结果向注重过程转变。通过这样一个理念的转变，内部审计的重点从基层操作层面的检查纠错转向与整个内部控制系统的融合，从更高层次上俯视风险管理战略、政策、体系架构，充分识别和评估所有重要产品、活动和系统风险，这是实现内部审计现代化的最终目标，也是未来与内部控制共同发展的必由之路。

 

 

 

参考文献

[1]方向，内部控制系统评价，中国审计出版社，1995

[2]李凤鸣，内部控制设计，经济管理出版社，1997

[3]林钟高、魏立江，会计再造：美国2002萨班斯——奥克斯利法案启示录，经济管理出版社，2004

[4]徐政旦、朱荣恩，现代审计学，武汉大学出版社，2002

[5]郑红涛，企业内部控制精要—整体框架·制度设计·测试评价，中国财政经济出版社，2003