浅议内部审计在内部控制中的作用

一、内部审计在内部控制的作用分析

IIA《内部审计职业职务准则》中将内部审计活动定义为一种“确认”和“咨询”活动，前者是指对组织的风险管理、内部控制和治理程序提供独立的评价，后者是指提供建议及相关的客户服务活动，其目的是增加组织价值和改善组织营运，包括顾问服务、建议和培训[1]。这使得内部审计的手段与方法越来越丰富，在企业中起到的作用也越来越大。

1、评价业务促进内部控制体系的不断完善。内部审计通过各种审计手段对影响企业目标实现的各种风险进行评估，从而评价内部控制的适当性和有效性。内部审计对内部控制的评价职能，一种表现为通过专项审计项目对内部控制进行评价，一种形式为内部控制自我评价。

内部控制审计是对企业内部控制设计和运行的有效性进行评价的过程。通过内部审计，可以得出内部控制是否有效的结论，并适时反映给管理层，促进内部控制的进一步改进。而内部控制自我评价是在对内部控制评价过程中，由内部审计部门牵头，开创的一种新的检查和评价内控有效性的方法。自我评价是在企业内部审计人员的领导下，由管理层和员工共同完成对流程中的风险和控制进行评价。内部控制自我评价弥补了内部审计在传统模式当中对控制环境、控制意识、控制责任等软控制评价的困难。

2、持续性监督业务实现对内部控制的实时监督。持续性监督被誉为是在流程中的监督。在业务流程设计中增加内部审计的监督职能，给业务流程增添最后一道防线，将会防患于未然，大大降低业务流程违法违规的风险。内部审计通过对内部控制设计的评价，可以帮助企业建立持续性监督。此外，在线审计也是内部审计发挥持续性监督职能的一个重要手段。在线审计是一种持续的、实时的、预警化的审计手段，在线审计的发展能够嵌入各业务系统中，对系统中的异常数据进行实时提取，帮助内审人员及时发现疑点，从而马上进行分析，这使得事中监督成为可能。

3、咨询业务推动内部控制建设在企业的不断发展。在内部控制自我评价中，内部审计已由原先的“查找问题”到“大家一起想办法”，这样的做法使得内部审计对内部控制的咨询职能越发凸显。咨询职能除了体现在自我评价中，参与内部控制流程的设计、进行内部控制的培训等也常成为内部审计的工作之一。在实践中，内部审计人员可以承担风险分析、经营效果和效率评价、标杆管理、企业流程再造支持、协助制定业绩指标等咨询业务[2]。 

4、内部审计在防舞弊中的意义。COSO报告将防舞弊放在信息与沟通要素之中。注册舞弊审核师协会(Association of Certified Fraud Examiners，ACFE)2010年度的报告中表明，一个典型的美国组织机构每年因职务欺诈行为导致的损失占其年收入的5%[3]。实践中内部审计对舞弊的防范直接体现在两个方面，一是通过内部审计行为震慑舞弊者，二是可以通过内部审计专业技能发现舞弊线索。除了在防舞弊中的直接作用外，内部审计还能够引导内部控制进行自我评价，从而使内部控制不断从业务部门自身出发，自发地进行修正。

  通过内部审计的监督、评价、咨询职能以及在防止舞弊职中发挥的作用，内部控制的健全性和有效性得到了保障，让内部控制从一个静态的组织结构变成了不断完善的动态流程，使企业内部控制处于可控在控状态，降低了企业的风险，有助于企业实现各项目标。

二、内部控制对内部审计的需求分析

劳伦斯·索耶认为，内部审计为了满足管理层的需求而不断发展，最有效的审计师是将管理层和组织的目标作为他们自己的计划和活动中心，做到审计目标与管理目标一致。[4]不论在COSO报告，还是在风险体系框架中，都将内部审计作为内部控制五要素中监督角色的重要扮演者，并且认为内部审计应当参与到公司治理当中。《萨班斯-奥克斯利法案》就要求董事会下属的审计委员会直接管理内部审计。

在企业发展的不同阶段，不同的内部控制状况对内部审计的需求重点有所不同（见表1）。内部审计在内部控制起作用的目标从查错纠弊、保障合规合法性到为企业价值增值，内部审计的职能也是从“确认”到“咨询”的发展。实践中，内部审计在内部控制中发挥作用的具体方式是相似的。每个企业可以根据企业内部控制现状选择内部审计的重点监督方向和内容，从而促进内部控制的持续有效。下文将进一步阐述内部审计在内部控制中发挥作用的具体方式。

表1  内部控制对内部审计的需求

资料来源：根据相关文献整理

三、 内部审计参与内部控制的具体方式方法

1、积极开展内部控制审计。内部控制审计主要围绕内部控制的五要素，全面分析企业的关键风险点，对内部控制设计和运行的有效性进行审计并得出结论。内部控制审计可运用的方法有调查问卷法、比较分析法、穿行测试法，一般分为四个步骤：了解被审单位经济业务——了解内部控制设计——评价内部控制设计——确定内部控制是否得到执行。通过上述步骤，审计人员对内部控制有效性进行全面的评价。

内部控制审计体现了内部审计对内部控制的事后监督，有助于内部审计人员发现本公司的风险控制点，对风险控制点的控制情况进行评价，将存在的问题汇报给管理层，督促管理层进行整改，并且可以对整改情况进行后续审计，使得内部控制处于可控的状态，并得以不断改进和完善。

2、认真参与事中控制。事中控制让内部审计从检查系统向控制系统转变。事中控制的方式主要体现在持续性监督方面，在流程中嵌入内部审计的监督环节，主要可以有以下几个方面：第一，进行招投标业务的监督。招投标业务的监督分为四个主要控制点“编制招标文件——开标——评标——定标”。在编制标书环节，内部审计主要关注招标文件是否符合国家规定，标底价格是否合理，对不符合《招投标法》的条款及时向业务部门提出进行修订。开标的审计监督主要围绕投标人的资质，标书的密封完好性和有效性，开标程序的规范性等方面。在评标方面，要监督评标人员的组成方式是否合规，评标方法是否科学，评标程序是否严密。定标审计主要是审查定标程序是否合规，在定标之后有无及时发放中标通知书以及签订合同等方面。第二，参与合同订立过程的监督。内部审计人员参与合同签订过程的审计，实现合同审计的日常化。主要审查：合同项目的可行性审查和效益性，合同签约方的选择是否符合公平、公正和效益原则，合同价格是否存在明显偏差现象，合同条款是否合规合法，是否存在“先执行后签订”的情况。第三，开展在线审计。在线审计是一种全新的审计方法，它让实时监督和全过程审计变得可能，审计人员可以借助在线审计软件，通过设置好的审计模型，对业务数据进行实时抓取，及时发现数据异常情况，或是通过系统对异常数据进行预警，及时发现存在的问题，提高审计效率和效果。第四，尝试开展内部控制自我评价。内部控制自我评价在产生之初是内部审计进行内部控制评审时的新型审计方式。随着内部控制自我评价的发展，内部控制自我评价已经成为管理层改进内部控制的管理工具。

3、审慎进行事前预防。事前预防主要体现在内部审计“咨询”的职能上，内部审计在经济业务发生之前提出建议，由业务部门决定采纳与否，从而实现为企业价值增值的目标。

第一，对现有的内部控制提出意见和建议，具体方式可以是参与制度建设评审。内部审计利用专业优势，分析公司每项活动中存在的风险点，根据风险点查找公司是否有对应的控制措施。在公司的职能部门体系中，各部门很多制度都是从自己专业出发制定，忽视了横向联系。内部审计部门恰恰注重部门之间的横向联系。在实际工作中，内部审计人员最有条件发现体系上的控制薄弱，例如控制制度之间出现重复、矛盾、缺失，造成了执行的困难。内部审计部门可以从公司整体风险控制点出发，提出制度制定体系和流程再造的建议，为管理层提供参考。第二，对管理者和员工进行内部控制的培训。内部审计对内部控制的意义了解最为透彻。内部审计的地位越高，就越有条件影响管理层对实施内部控制的态度。同时，内部审计人员对企业面临的风险点以及控制措施最为熟悉，内部审计人员可以对企业其他员工进行培训，阐述内部控制的原则、控制活动中的注意事项、每位员工的控制职责，让员工在了解内部控制的同时，增加对内部审计人员的认同感。

内部审计通过事后监督、事中控制、事前预防形式，在内部控制中形成了“三位一体”的全方位作用（如图1）。

图1 内部审计在内部控制中发挥作用的具体方式

其中，内部控制审计是基础。内部审计人员通过内部控制审计，全面分析公司的风险点，对内部控制设计和运行的有效性进行评价，提出意见和建议，并将结果汇报给总经理。总经理听取意见后，召集管理层，进行内部控制自我评价。内部审计人员通过内部控制审计掌握公司整体内部控制情况，为确定事中控制、事前预防的重点提供借鉴，提高监督和咨询的效果。此外，从事后监督到事前预防，也是内部审计“确认”职能到“咨询”职能的连续统一演变。内部控制审计是内部审计“确认”职能的履行，事中控制业务视情况既可能是“确认”职能也可能是“咨询”职能的履行，而事前预防业务则体现了内部审计“咨询”职能的履行。 

------------------

参考文献：

[1]IIA. International Standards for the Professional Practice of Internal Auditing . http://www.theiia.org

[2]党红.反职务欺诈与自我保健.2011.

[3] Sawyer ,邰先宇等译.索耶内部审计—现代内部审计实务(第五版)上册.北京：中国财政经济出版社，2005.

[4]Sawyer ,邰先宇等译.索耶内部审计—现代内部审计实务(第五版)上册.北京：中国财政经济出版社，2005.