内部审计与内部控制体系建设之我见

赵欣

内部审计不仅是内部控制体系的重要组成部分，而且是建立健全内部控制体系的有效措施。本文就内部审计与内部控制体系建设的有关问题谈了一些看法和认识，对指导工作具有一定的借鉴意义。

我国发布实施的《企业内部控制基本规范》第五条：“ 企业建立与实施有效的内部控制，应当包括下列要素：（一）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等…”。可见，内部审计是内部控制体系建设的有机组成部分，有效发挥内部审计的监督职能，对于推进企业管理具有重要意义。

一、关于内部审计

2003年6月，中国内部审计协会发布《内部审计准则》，做出定义：“内部审计是指组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。在2011年1月国际内部审计师协会（IIA）发布的新版《国际内部审计专业实务框架》中，内部审计全新定义为：内部审计是一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改善风险管理、控制及治理过程的效果，帮助组织实现其目标。内部审计和国家审计（政府审计）、社会审计（事务所审计、独立审计）并列为三大类审计，组成了我国的审计监督体系。

2018年1月12日新修改颁布的《关于内部审计工作的规定》表述为：“内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法和效益的行为，以促进加强经济管理和实现经济目标。”

根据上述界定，内部审计可以概括表现在以下几个方面：

（一）审计目标由监督财政、财务收支活动，以确定其是否遵循真实、合法、效益性原则转向监督、评价本单位的各项经济活动，以促进加强经济管理和服务于实现经济目标——价值最大化。

（二）内部审计职能由单一的经济监督职能向以经济监督和经济评价为基本职能的多职能转变。

（三）从内部审计的内容看，正逐步从传统的财务审计发展为以财务审计为基础，包括财务事项和非财务事项的综合管理审计。

（四）内部审计的本质已不再定位于独立的经济监督活动，而是以服务为导向的经济控制机制。本质是职能的延伸。

二、关于内部控制

根据《企业内部控制基本规范》第三条：“ 内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程”。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略”。可见，内部控制是指一个单位为了实现其经营目标而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。在建立健全内部控制体系时，要统筹考虑内部环境、风险评估、控制活动、信息与沟通、内部监督等多项要素。基于各类因素的综合考虑而建立的内部控制体系才会是科学、合理、有效的。

三、正确认识和把握内部控制与内部审计的关系，有效发挥内部审计的再监督作用

内部审计既然是内部控制的有机组成部分，那么内部审计就与内部控制有着密不可分的关系。

（一）内部控制是企业经营管理部门的一项主要职责和任务

1.内部控制是经营管理部门的首要职责。内部控制是公司保证其各项目标实现的动态过程。内部控制程序涉及工作目标的确立，风险的识别和分析，针对风险研究控制措施，并对所采取的控制活动进行监督评审等等。这些控制业务显然首先是各级经营管理部门的基本职责。在实际工作中，内部控制工作往往被领导委派给内部审计部门去计划和安排，原因是多方面的。首先，没有理解内部控制工作的内涵，而简单地把内部控制任务交办给本单位的内部审计部门；其次，具体业务部门有重业务经营、轻管理控制的传统倾向，在履行内部控制职责时往往会有履职不到位、成效不明显现象；第三，尽管各经济实体中都存在内部控制制度和控制机制，但是其控制系统有不同程度的缺陷。因此，经营管理部门首先要重视内部控制，只有把内部控制视为本身的基本职责，才能把这项工作当作硬任务去安排。在建章立制时，应组成专门的领导班子（如内部控制委员会）去领导和组织这项系统工程。而内部审计部门应当独立于这项领导工作之外，不能既当“运动员”，又当“裁判员”，这样才能真正起到对内部控制工作的再监督作用。

2.内部控制是经营管理部门的常规工作。第一，内部控制的大部分工作都是由经营管理部门去完成。合乎标准的内部控制需要企业营造良好的“控制环境”，使员工树立正确的价值观，遵守正常的职業道德，而企业的管理层又能够以恰当的管理风格和正确的激励机制，引导员工创造一种良好的企业文化，特别是控制文化。同时，设计适应业务发展需要的组织架构，配备优秀的经营管理人员，制定合理的规章制度，确立正确的目标和战略决策系统等，也都是加强内部控制的必要环境条件。

第二，“风险评估”也主要是各经营管理部门的重要职责。传统的经营管理方式忽视对风险的识别和分析，而满足于执行指令。风险的防范有大量工作要做，包括对内部和外部的风险进行判别和预测，分析风险发生的可能性和概率；并在此基础上研究化解风险的种种控制措施。第三，当风险被披露或发现时，经营管理者还需要组织相关机构和人员，及时制定控制措施，采取控制活动，以便防范和化解风险，切实保证经营管理目标的实现。第四，在信息科技突飞猛进地发展的时代，在“互联网”时代，加强信息与交流，也是经营管理部门履行内部控制的另一项重要职责。如果把这些活动“推给”内部审计部门，一个直接的结果就是淡化了经营管理部门的风险控制意识，会使审计人员无法独立地履行审计职责，有“不务正业”之嫌，审计的独立性无从谈起，审计的职能作用也得不到有效发挥。

3.对内部控制的内部监督是经营管理部门的主要工作。《企业内部控制基本规范》将内部控制体系分成五大组成部分，内部监督是本规范确定的第五部分。根据该《规范》：“内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进”。监督检查和评价其实就是对上述内部控制活动前四部分包括“控制环境”“风险评估”“控制活动”和“信息与交流”等内容进行严格的检查监督和客观公正的评价活动。这既可以单独评审，又可以整体评审。如果把对内部控制情况进行监督评审作为一道防线的话，那么这道检查监督的防线就应由经营管理部门的各级负责人监守，包括设置和执行岗位内部和岗位之间的相互牵制，进行前后台和部门之间的平衡制约等等，并应不断在日常工作中监督评审内部控制的整体效果。在这道防线中，各经营管理部门要对内部控制的情况和问题及时进行分析和研究，把大量主要的风险问题在这道防线中予以切实解决。如果把这道防线的工作交由内部审计部门来做的话，一方面会大大削弱各单位防范风险的意识和能力，另一方面会因为大大加重内部审计部门的工作负担而降低内部审计工作的质量，提高内部审计方面的监督成本。

（二）内部审计部门对内部控制负有再监督责任

有人认为内部审计监督职能仅是单单的财务监督，有的单位把内部审计机构与财会部门合署办公。这种做法对于实施内部控制再监督职能是行不通的。所谓“再监督”，就是在前述防线之后的又一道防线。其重要性就在于内部审计已经变成了最后一道防线，这种重要性主要表现在内部审计人员在严密的计划和组织之下，能够独立地按照企业决策层要求，有选择地对内部控制的各方面行使其检查职能，并能够将检查评价结果直接地反映到管理决策层，然后有权督促内部审计建议的落实，边审边改，不断推进企业发展。

四、结束语

内部审计既是企业内部控制体系的一部分，又是内部控制体系有效性的确认者。参与企业内部控制体系建设，确保企业内部控制持续有效运行，内部审计责无旁贷。（作者单位为山东省青岛市莱西市人民医院）