内部审计如何应对变革中的内部控制

（上海柴油机股份有限公司，上海200438）

内部审计如何应对变革中的内部控制

康海英

（上海柴油机股份有限公司，上海200438）

通过对内部审计与内部控制相辅相成关系的描述，揭示内部审计的“根”在于内部控制审计，从而由内部控制的发展轨迹来阐述内部控制的演进对内部审计的影响，继而说明企业内部审计如何应对不断变革中的内部控制，做好上市公司内部控制审计。

审计内部审计内部控制

1 前言

内部控制是企业发展到一定时期，实现现代化管理的必然产物，而内部审计是企业内部控制环境的重要一环。上海柴油机股份有限公司作为一家大型的国有上市公司，为保证公司战略目标的实现，提高上市公司风险管理水平，保护投资者的合法权益等等，内部审计根据不断更新和完善的内部控制框架来检查和评估企业内部控制情况，促进公司内部控制制度的完整性和合理性，促进公司内部控制制度实施的有效性，以提高公司经营效果和效率，确保公司行为合法合规。

2 内部审计与内部控制的关系

内部审计大师布林克说，自有人类历史以来就有内部审计，因为自有人类历史以来就有内部控制。可见，内部审计与内部控制形影相随。历史地看，内部审计在确保受托人按委托人利益行事、有效解释和报告自己行为方面发挥着重要作用，是受托责任系统中的内部控制机制。同时，内部审计又是控制的确认者，监督、评价和改善内部控制是内部审计的基本职责。1986年4月，最高审计机关国际组织在第十二届大会上发表的《总声明》中，对内部控制作了权威性解释：“内部控制作为完整的财务和其他控制体系，包括组织结构、方法程序和内部审计。它是由管理当局根据总体目标而建立的，目的在于帮助企业的经营活动合法化，具有经济性、效率性和效果性，保证管理决策的贯彻，维护资产和资源的安全，保证会计记录的准确和完整，并提供及时的、可靠的财务和管理信息”。该解释将内部审计作为内部控制的一个重要组成部分。因此，内部审计既是内部控制的一个组成部分，又是内部控制的一种特殊形式。从内部控制组织上来看，内部控制是对企业财务会计活动和经营管理活动的总体控制，而内部审计是这种控制的一方面，所以内部控制包括内部审计，但是从内部审计的作用来看，内部审计是对内部控制执行情况的一种监督形式，即是对内部控制的控制。这是因为内部审计主要是检查和评价内部控制执行其既定的控制责任的效率和质量，使内部控制生效，并维护内部控制的各种政策。

《内部审计准则第5号——内部控制审计》明确了内部审计与内部控制是检查和被检查、评价和被评价的关系。展开企业内部控制的基本流程可以看出，企业内部控制制度从设计开始，经过内部控制制度的实施，到内部控制制度的测试，再到内部控制制度的评价，整个流程的四个环节不可分割，控制活动周而复始，前两个环节是企业管理层和各职能部门的责任，而后两个环节则是内部审计的主要作用空间，内部审计既是内部控制系统中的一个重要子系统，同时又是对控制系统的再监督再控制，在控制系统中具有不可替代、举足轻重的地位[1]。

3 内部控制的演变对内部审计的影响

内部控制的思想早在18世纪产业革命后期就产生了。经过长期的发展，特别是20世纪下半叶以后，随着制度基础审计的建立和深入研究，以及西方企业界对内部控制的重视和实践探索，已经发展得比较完善。1994年美国国会“反对虚假财务报告委员会（NCFR）”下属的由五个团体组成的“发起组织委员会（COSO）”重新修改他们在1992年发布的报告，发布了《内部控制——整体框架》的报告。这个报告得到了美国企业界和各专业团体的认可，成为内部控制发展史上的一个里程碑。在推行和应用COSO报告的过程中，为使本企业的内部控制更符合COSO报告并促其得到彻底的执行，美国企业的内部审计机构专门对内部控制展开审计，对企业内部控制的规范健全发挥了重要作用。

我国内部控制理论的研究起源于20世纪80年代，大致可分为内部牵制、内部控制制度、内部控制结构与内部控制整体框架等几个不同的阶段。首先从内部控制的发展趋势来看，控制的范围已由传统的会计控制逐步扩展到管理控制、经营控制、风险控制，一直到几乎不能细分的诸多业务流程控制，涉及到公司经营活动的各个方面；其次从内部审计的发展轨迹来看，内部审计的重点由传统的以查错纠弊为主的财务审计转向管理审计、效益审计和风险审计，审计职能已由传统的监督评价拓展为监督评价与咨询，由“监督导向型”向“服务导向型”转变，内部审计目标也由监督内部控制的设置转变为改进内部控制系统。由此可见，内部控制的发展时刻影响着内部审计，二者互动共进，内部控制的方向就是内部审计的方向，内部控制的内容就是内部审计的内容，内部控制的关键点就是内部审计的重点。内部控制重点的转移，客观上推动了内部审计重点的随动和转移[2]。

内部控制的不断发展给内部审计带来的影响，主要体现在以下三方面。

（1）使内部审计的角色由监督者逐步转变为控制者：自从三要素内部控制理论提出后，内部审计就开始被视为是内部控制框架中重要要素之一。此后，内部审计也一直作为内部控制的重要要素之一发挥着巨大的作用。自20世纪90年代起，内部审计就开始大量做内部控制自我评估工作，在这种改造方式下，内部审计作为主导，其他相关部门同时参加，共同完成对内部控制健全性和有效性的检查。这使得内部审计承担的不再是以往的“监督和复核”的角色，这一转变赋予内部审计更多的内涵，使内部审计逐步向“确认、控制和评价”的角色转变，要求内审人员除了及时、准确地向组织管理当局报告有关差错防弊和资产保护信息外，更重要的任务是针对管理和控制的缺陷，提出建设性意见和改进措施，协助管理人员更有效地管理和控制各项活动，合理使用资源，保证企业经营的效率和效果不断提高。这一转变也与IIA（国际内部审计师协会）将内部审计定位成增值性审计的想法不谋而合。

（2）给内部审计的工作内容带来了决定性的影响：早期的单要素内部牵制关心的只是资产及其记录的安全，两要素的内部控制将关心资产及其记录安全之外的内部管理控制纳入了控制视野，随后，控制环境得到关注。两要素和三要素的内部控制已经不仅关注资产及其记录的安全问题，而且还要关注组织的经营管理问题，这就大大拓宽了内部控制的范围。五要素和八要素内部控制的提出，又将控制重心进一步转移到组织的风险管理。内部控制重心的变化，引发了内部审计内容的变化，同时也造成了内部审计工作中心的转移，如扩展了内部审计鉴证的领域。鉴证作为审计的基本职能，通常是对已有控制或已发生的经济事项进行检查和评价，并提出合理建议，以改进组织工作绩效。但是，随着企业的快速发展，内部控制要素的不断增加强化，内部审计不能仅局限于对历史的鉴证，工作重心也应当逐渐前移，更注重未来。这就要求内部审计人员对企业内部控制进行全过程、全方位的监督和评价，考虑组织所面临可能的潜在风险，判断组织是否采取了适当的预防和控制措施，并以此进行鉴证，然后提出相应的改进建议。目前，作为大型组织的内部审计，逐步将风险管理、经营管理、经营效益和效率等内容作为自己的重要工作内容。

（3）信息技术成为内部审计高效履行其职责，实现其职能的重要支撑：随着我国经济的快速发展，内部审计范围和深度的不断延伸：从原来的财政财务审计发展到效益审计，从账项基础审计发展到制度基础审计、风险基础审计，从事后审计进化到事中、事前审计等。面对如此迅猛发展的形势，传统审计方法显示出其效率低、审计范围狭小等缺点，越来越不能及时完成审计任务，达到审计目标。尤其在审计管理方面，审计质量控制体系的建立，要求审计机关将审计管理工作前移，使其贯穿于审计工作的全过程。因此审计自身的发展也更加暴露出传统审计方法的不足，这促进了信息技术方法在审计中的应用。同时，为了能够在信息化环境下，正常、高效地履行内部审计职责，内部审计师不但要十分熟悉组织的信息化环境，特别是组织的管理信息系统，还必须要了解内部审计实务对信息技术的要求，掌握信息化环境下实施内部审计所必须的信息技术，掌握信息技术辅助审计（包括计算机辅助审计）的技术方法，如系统内部控制审计的技术方法、信息系统审计的技术方法、联网审计的技术方法等[3]。

4 当前如何开展内部控制审计

综上所述，内部审计作为一种管理活动，是控制系统不可或缺、及其重要的一部分。因此作为内部审计人员，应该清醒地认识到，无论财务审计还是管理审计，无论经济责任审计、工程项目审计，还是合同审计、采购审计，都只不过是内部控制这块沃土上不断更迭和繁殖的新苗。被人们普遍追崇的风险导向内部审计范式，实质上也只是对内部控制进行更为彻底的检查而已。因此，内部控制审计应该是内部审计职业的立足之本，内部审计职业的“根”在于内部控制审计。

既然内部审计职业的“根”在于内部控制审计，那么内部审计人员理应“把根留住”。下面将探讨一下当前形势下如何开展内部控制审计？

4.1 强化企业内部控制体系，对内控流程进行评审

（1）编写企业内部控制手册

2008年，依据企业具体情况，根据上市公司要求，上柴公司为完善公司治理结构，推进内部控制建设，有效开展内部控制审计，依据准则要求，根据《上海证券交易所上市公司内部控制指引》，编写《上柴公司内控手册》。该内控手册按照美国COSO五要素框架组成，包括了控制环境、风险评估、控制活动、信息与沟通、监督检查等要素。内控手册的内容分为三个层次，包括内控手册目录、内控手册前言、26个主流程具体控制要素。

（2）对流程进行测试并评价

通过设计、规划和运行内部控制自我评估程序，由企业整体对管理控制和治理负责。它要求从整个业务流程中发现问题，汇总并反馈问题；同时发挥管理人员的积极性，让他们学到风险管理、控制的知识，熟悉本部门的控制过程，使风险更易于发现和监控；同时审计人员要广泛接触各部门人员，采用多种技术方法，测试和评价现行制度流程，继而共同采取措施改善内部控制薄弱环节，促进经营管理目标的实现。

首先确定内控流程测试的程序和方法，包括：设计部门自评问卷、制订评分标准等；

其次选择测试的流程，将选择的流程告知相关部门并要求其对流程进行自我评估；

然后在部门自评的基础上对流程选择一定的样本量进行测试；

而后根据测试结果，对该测试流程进行评价，出具内控测试报告报审计委员会和董事会。

4.2 对内部控制关键部门开展专项审计

近年来，依据《内部审计基本准则第5号内部控制审计》的审计重点和程序开展了多项内控制度的审计。

比如，近年来上柴公司审计室对营销公司驻外机构的异地配件管理开展了内部控制审计，审计内容包括以下2个方面。

1）审计准备阶段

首先要深入了解被审部门的内部控制情况，并做出相应的记录。调查被审计单位内部控制，主要是询问被审计部门有关人员和查阅现有的内部控制文件，对收集的相关信息实施初步的分析性测试，确定重要性水平，评价评价控制风险，确定流程中的关键控制点，制订初步的审计方案。

2）审计实施阶段

控制点测试：运用审核法、询问法，根据《服务用配件管理办法》对关键控制点，如物资出入库流程、借用件的手续完备性、旧件返回的登记造册等进行测试；

业务的实质性测试：运用盘点法、观察法、询问法、审计分析法对办事处各项业务进行实质性审查，对造成物资呆滞的原因进行分析，对帐外物资的形成进行分析、对人员业务分工及实施情况进行评价等；

调整审计方案，最终确定审计范围及审计深度，明确各审计人员的具体审计目标（审计的重点应放在内部管理上，特别是办事处对“2S”经销商的管理、驻外机构对配件物流的管理、召回件的后续管理等）；

4.3 实施分析性测试和详细的审计过程

通过审计，发现公司在异地配件管理方面存在的问题：如个别办事处有“借条”（销售服务商向办事处借用配件的借条）现象、要素填制的漏缺及清理的不及时，致使许多“借条”缺乏控制力，造成物资回归的困难，最终使资产流失；个别办事处旧件（故障件）返还没有按照正规的出入库流程办理，许多整机和大配件由于没有仓库，只能存放在露天，造成许多配件不翼而飞；旧件返还后没有后续管理制度，致使产生供应商直接去旧件库领取物资，造成旧件帐实的不符等问题。这些问题一经指出，遂引起公司高层的高度重视，要求被审计部门立即整改。该内部控制审计所实现的效益虽然不是那么直观，但其背后所引发的无形效益是显而易见的，凸现出“管理＋效益”的审计理念。

5 小结

开展内控制度审计，既是企业规范健康发展的需要，也是实现内部审计工作重心转移、方法创新的新机遇。近两年来，上柴公司审计部门通过开展内部控制审计，提出了完善制度、加强管理的建议，为建立健全内部控制制度，规范经营，促进企业依法管理、科学管理和有效发展、和谐发展发挥了积极作用。同时也深刻体会到，内部控制审计之于内部审计，具有和其他审计类型同等的地位；内部控制审计之于内部控制系统，是内部控制系统的自我完善机制。因此从本质而言，内部审计仍是一种责任与控制，其目的是帮助组织控制风险，促进有效治理，实现组织目标。无论是在财务领域还是经营领域，也无论是财务审计还是管理审计，责任与控制将是内部审计永恒的主题[4]。

1郭旭.变革中的内部审计：回眸与展望——访全国政协委员王光远教授[J].中国内部审计，2007(5).

2王光远，刘秋明.公司治理下的内部控制审计英国的经验与启示[J].中国注册会计师，2003(2).

3石爱中.内部控制历史看内部控制发展[J].中国内部审计，2007(1).

4许华，姜兆培，崔良华.浅谈公司治理、内部控制和内部审计的关系[C]//全国公司治理与内部审计理论研讨暨经验交流会，安徽：中国内部审计协会，2006.

InternalAudit to Copewith Changes in the InternalControl

Kang Haiying
（ShanghaiDieselEngine Co.,Ltd.,Shanghai200438,China）

The complementary relationship between internalauditand internal control reveals that the rootof internalaudit lies in internal controlaudit.How the developmentof internal control influence internal auditisexplained through theevolution of internalcontrol,demonstrating how internalaudit responses to the changesof internalcontrolandwellconduct internalcontrolauditofa listed company.

audit,internalaudit,internalcontrol

10.3969/j.issn.1671-0614.2010.04.013

来稿日期：2010-03-16

康海英（1972-），女，审计师，主要研究方向为内部控制审计和内控测评。