内部审计在内部控制评价中的角色定位

内部审计在内部控制评价中的角色定位

一、内部审计与内部控制评价的耦合关系

(一)内部控制评价是内部审计的执行秘诀 根据《企业内部控制评价指引》(以下简称“指引”)，在内部控制评价中，内部审计关心的并非仅是内部会计控制，而应扩展为广义控制，要与特定的社会及组织文化联系起来。因此，“内部审计人员评价组织机构各专门领域的内部控制的技能是他们渗透到组织中的敲门砖”(Moeller，2006)，其中最具代表性的技术手段是内部控制自我评估。在国际内部审计师协会(IIA)2002年的调查中，内部控制自我评估被列作“当前内部审计最佳实务”中的第2位，在“未来将愈加重要的实务”中排名第1。我国内部审计协会专门制定了《内部审计具体准则第21号——内部审计的控制自我评估法》，指导内部审计人员如何运用控制自我评估法进行内部控制评价。

(二)内部审计执行内部控制评价更具权威性

按照指引，董事会承担内部控制评价的责任，企业根据自身需要，可以授权内部审计部门负责内部控制评价的具体组织实施工作，也可以委托外部审计师进行内部控制评价。考虑到独立性和审计经验，许多企业在很大程度上会聘请外部审计师为其进行内部控制评价。但从实践来看，内部审计主导的内部控制评价更全面，提出的建议更适合本企业行业特点，整体上更具权威性。

一是内部审计置身于组织内控环境中，具有敏锐的观察力，随时能够洞察控制的缺陷，及时开展日常评价和专项评价等特点，其结果是主动的、积极的、深入的，而外部审计师根据合同的约定提供定期服务，对企业缺乏系统、全面的了解，内容具有滞后性，其结果是被动的、消极的、表面的；二是内审人员是组织的雇员，又是其他成员的同事和朋友，更易取得他们的信任与合作，特别在评价包括控制氛围、职业道德、诚实品质、胜任能力等“软控制”方面，可以进行无芥蒂沟通，从中发现隐藏在不同层面的控制弱点，而外部审计师无法卸除组织成员的防范和戒备之心，涉及“软控制”的评价多半会流于形式，浮于表面；三是内部审计作为组织的内部成员，其工资、福利、个人价值实现等都与组织息息相关，为实现组织的价值增值，获得组织和其他成员的认可，他们有着强烈的责任感，会更积极地履行职责，提出适合企业实际情况的解决方案，而外部审计师独立于组织之外，出于审计风险、成本效益等考虑，往往对与会计信息内容相关的内部控制给予更多的关注，对无法深入的地方只能套用通行的内部控制框架或标准，从而

评价效率和效果不尽如人意。

(三)内部审计与内部控制评价成果可相互利用

内部审计与内部控制评价是两个独立的活动，但不是相互割裂开来的，两者在技术层面和实务工作中运用的许多方法是相同的，部分工作内容是相似的。在常规审前调查阶段，内部审计人员通常会关注企业的内部控制状况，如：环境控制、业务控制、资金管理控制、会计系统控制、内部稽核控制、信息系统控制等，通过查找内部控制的薄弱环节，确定审计重点，这些关注的内容也是内部控制评价的主要内容；在现场审计时，内部审计人员会运用询问、观察、抽样等方法对内部控制进行测试，以发现审计线索，这些审计方法在内部控制评价中也广泛运用。可以说，内部审计与内部控制评价之间的相互作用是贯穿于各自工作的始终。因此，两者的工作成果也是可以相互利用和融合的。

内部控制评价中一部分内容可以借助全年常规审计项目的结果，汇总、分析其中涉及内部控制的内容，对内部控制作出评价。尤其是大的集团公司，可以利用这种形式的内部控制评价方式对下属分(子)公司的内部控制进行检查评价。同样，专项的内部控制评价是分步骤、有计划地对企业各部门、各环节的内部控制进行全面测试，覆盖面比内部审计更广、更深，内部审计可以直接对评价中注意到的高风险和非正常项目进行复核来确定审计工作目标，从而减少审计所需收集信息的时间和审计所需执行的验证程序，提高审计效率。

二、内部审计在内部控制评价中的角色定位

随着外部环境竞争的加剧和内部管理的强化，企业内部控制体系日益复杂，评价内部控制的内容由最初的内部牵制措施扩展为内部环境、风险评估、控制活动、信息与沟通、内部监督等5大要素。如果仅依靠内部审计单一力量检查单据、实施符合性测试程序是远远不够的。内部控制评价的主体应当多元化，应形成由董事会总体负责、监事会和审计委员会负责监督、全体员工共同参与的多层次评价体系。那么，内部审计在整个评价过程中应如何定位呢?许多研究文献表明，内部审计承担的应是引导者的角色。由此引申，笔者认为，内部审计在评价活动的不同阶段，其角色定位应各有侧重。

(一)在评价准备阶段，做一名示范者和营销者

内部审计本身是内部控制系统的一部分，在组织评价其他控制时，其自身建设的好坏往往会被其他成员所关注，进而影响他们对内部审计的信任度和参与内部控制评价的积极性。在实施内控评价之前，内部审计应加强自身建设，为其他成员做出示范和榜样。一是提高自身专业胜任能力。通过参加内控培训和自身学习，了解国际、国内评价工作的发展趋势和先进方法，能够运用风险管理流程制定评估计划，借助信息技术手段识别、分析和监测风险，在实

践活动中不断探索和创新内控评价的新思路和新方法。二是完善内部审计的制度建设。合格的内部审计应当建立良好的内审制度，如内部审计章程、内部审计手册、内控评价办法等，使内审工作向规范化、科学化的方向发展。三是规范工作底稿格式。尽可能设计和使用统一的工作底稿，以确定不同成员进行评价工作的标准，也便于后续整理汇总工作的开展。这样，既可以起到以身作则的作用，也为今后的评价工作质量提供保证，得到其他部门的尊重。

内部审计在做好自身建设的同时，还应当积极营销内部控制的新理念和内控评价的先进方法，如：在公司内部局域网开辟专栏、发放内控宣传手册、召开动员培训大会等，通过传播内控评价知识，让企业所有成员了解内控体系的精髓和实施内控评价的目的、内容及程序，取得管理层和基层员工的支持，为内部控制评价的顺利开展打好基础。

(二)在实施评价阶段，做一名引导者和记录者

众所周知，内控体系是个复杂的系统工程，涉及各个层面和环节，是全员参与和全员控制的。要对控制的硬性和柔性部分进行有效衡量，每个参与作业的人应当最有发言权。目前西方发达国家广泛运用和我国积极推行的内部控制自我评价法就充分体现了这一点。内部控制自我评价法是由组织的全体成员共同参与，集体讨论，提出最佳改进措施的运营程序。内部审计凭借对控制评价概念的深厚知识和熟悉的组织营运作业流程，在此过程中担任引导者的角色。

1 内部审计人员与被评价单位管理人员组成小组，与公司高级管理层进行访谈，确定本次评价的范围和重点。之后，小组成员运用调查问卷和访谈关键岗位员工的方式了解业务流程、控制环境，在内部审计的指导下，进行必要的穿行测试和分析性复核，初步确定中、高风险区，作为下一步研讨的重点。

2 召集与评价主题有关的人员参加研讨会。在会上，内部审计一方面要营造相互信任的气氛，引导与会人员坦率、自由地交流，同时进行启发性提问，鼓励较沉默的参与者发言，避免让较多话者垄断整个局面；另一方面要在每一阶段进行小结，使与会者明白讨论到了什么样的程度，哪些问题清楚了，哪些问题尚无定论等，确保有系统地讨论，深入问题的核心。在进行访谈和研讨会时，内部审计人员应耐心聆听，记录所有访谈对话和参与者的讨论，并与书面调查问卷、测试取得的书面材料一起整理形成工作底稿，作为内控评价的证据文件，以支持评价结果。

(三)在形成评价意见阶段，做一名协调者和撰写者

全员参与内控评价可以使组织的内控整体意识得到加强，改善内部控制环境。但不同的管理人员对内部控制发表意见通常是从自身角度出发，以控制自身风险最低为标准，较少考虑内控的整体有效性和成本效益性，以致不可避免地出现与组织其他部门或人员意见相左的情况。此时需要内部审计进行协调，从组织层面考虑整体的评价意见，并及时与高级管理层沟通和汇报。

内部控制是否有效，一般是根据现有的内部控制框架来判断组织的内部控制设计和运行是否存在实质性漏洞。也就是说，内部控制的5大要素都应该满足框架要求才能得出控制有效的结论，但采用这种简单 的一一对应方法势必会造成评价结论的偏差。实质上，内部控制的组成要素之间本身就具有相互补充和渗透的关系，存在着某种程度的平衡，如果把每一个控制环节都做得很完美，提供绝对保证的内部控制系统而并非最优的控制系统，往往会形成过度控制，导致不必要的额外成本支出。相反，恰恰是多个效果有限的控制在一起，就可以达到满意的效果。因此，内部审计在形成评价意见时，应进行综合分析，协调各方意见，促成双方达成共识，站在组织的高度上，评价内部控制系统设计的完整性和运行的有效性，既要指出控制中的“空白点”和“风险点”，又要指出在控制目标实现提供合理保证的前提下是否存在冗余节点。

内部审计根据评价过程中的工作底稿和评价小组对内控缺陷进行的主客观评分和评级，填写《内部控制缺陷清单》，显示评价结果和依据，据此撰写评价意见，并将建议事项发展为改善措施计划，最终形成自我评价结果。内部审计可以结合内部控制评价的特点，在以报告形式为主的前提下，适当补充其他表现形式，如使用流程图形式，以便更直观地揭示内控缺陷点；也可用图文并茂的形式编写《内部控制案例集》，在系统内展示评价成果，提高风险控制意识。

(四)在整改落实阶段，做一名督促者和再评价者

内部控制评价不是阶段性工作，是连续的循环往复的过程，需要经历评价、整改、再评价，以实现自我完善。内部审计人员作为组织中独立的监督机构，在评价意见落实阶段，无疑是整改的督促者，同时对内部控制是否持续有效也需做好再评价工作。

在实行整改监督时，监督的方式应当多样化。一是根据内部控制评价结果建立分层次的整改监督计划，对控制风险较高的控制缺陷，在整改期结束时立即进行实地调查，并在今后的一段时期内每月进行测试，以验证其有效性；对控制风险中等的控制缺陷。可采用与日常审计合并追踪的方式进行后续监督；对控制风险较低的控制缺陷，可采取报送方式取得整改报告和相关证明材料进行检查。二是建立评价结果和整改工作反馈制度。由内部审计部门牵头，与被评价部门或单位一起召开内部控制通气会，将内部控制评价结果告知被评价者；对内部控制严密、经营效益显著的单位，进行内部控制经验推广和典型宣传，使行之有效的内部控制手段实现系统内共享；对发现的重大和重要缺陷进行通报，让大家引以为戒；听取被评价者对整改工作的意见，掌握整改进度，提出适宜操作的整改建议。三是将内部控制评价结果和整改情况作为内部绩效考评的重要依据，增强领导班子对内部控制体系建设的重视程度，进一步完善整改监督配套手段，促进传导整改责任意识与压力。

内部审计不能存在一劳永逸的观念。随着人员、流程、系统和外部环境的变化，已制定的控制应对措施所起的作用会逐渐弱化。因此，内部审计要结合具体实际情况对内控评价效果进行再分析和再评价，提醒企业对已经识别的风险点要及时更新，对可能隐匿的新风险点要重新梳理，通过持续检测和反省内部控制设计与运行，不断消除内部控制缺陷，以增强企业抗风险能力。

主要参考文献： [2]陈汉文、张宜霞，企业内部控制的有效性及其评价方法[J]，审计研究，2008(3)

[3]张谏忠、吴轶伦，内部控制自我评价在宝钢的运用[J]，会计研究，2005(2)

[4]郑焕敏，建行转型期内部控制审计评价研究[J]，中国内部审计，2010(6)