上市公司内控评价与内部审计融合发展思考

王玉茹

（山东长恒信会计师事务所有限公司，山东 济宁 272000）

一、绪论

（一）研究背景

新时期，上市公司不仅面临来自国内市场的竞争，还面临国际市场的多元化竞争，市场的复杂性和多变性正在改变着上市公司的生产经营环境，由此为提升上市公司管理水平，推动内控设计和运行，应重视搭建具备自我约束、自我监督的内控体系，内部审计是推动公司内部控制有效落实的重要辅助，要促使评价职能和监督职能的有效发挥，为强化上市公司治理水平助力，推动二者的融合发展势在必行。与此同时，国家相关部门为推动公司健全内控评价和监督体系，相继推出了政策文件，在2010年由财政部牵头发布了《公司内部控制评价指引》，明确提出内控评价为内控有效性服务，而内审也以内部控制的适当性和有效性为目标，由此为推动内控评价和内审指明了方向，提供了政策依据。

（二）研究意义

内控评价和内部审计的融合发展对于公司的稳定、持续经营发展至关重要，直接影响治理体系是否科学、风险防范是否及时，为提升公司治理效率，降低经营风险，需要重视推动二者的融合发展。自2008年大规模金融危机爆发以来，越来越多的经营者逐渐认识到在公司内部管理过程中，仅将视角局限于财务报告是否真实、公允，已经无法满足管理目标要求，而要增强公司的治理能力、管理水平，激发公司增值效应，必须更多地关注公司的经营规范性、资产完整性、会计信息真实性等内容，在此形势下，传统的单一模式财务报告审计已经无法满足经营管理者的需求，推动内控评价和内部审计的融合发展对于上市公司的长远发展意义深远。

二、上市公司内控评价和内控审计的联系

（一）目标一致性

目标一致性体现在二者都是一种自我监督检查活动，都是为经营目标实现服务，通过评价、监督等活动，及时识别经营管理中的短板和漏洞，并提出针对性解决方案，及时督促整改落实，可以促使企业经营合法合规，达到提升管理水平的效果。从二者定义角度来看，《企业内部控制基本规范》明确阐述了内控所要达到的目标，即：1.确保经营管理规范；2.保障资产安全完整：3.保证会计信息真实有效；4.提升企业经营效率；5.促使发展战略目标达成。而在《现代内部审计实务》中也对审计目标做出了说明，即：1.保证财务信息和经营信息准确、客观；2.确保风险可控；3.确保规章制度和经营政策贯彻执行；4.达到运营标准；5.资源最大化利用；6.达成经营目标。由二者的定义来看，内控评价和内部审计在目标上趋于一致。

（二）工作特点一致性

不管是内部控制有效性评价，还是内部审计，二者在职能上都具有监督和管理属性[1]。就内部控制来看，内控评价是内部控制的“五要素”之一，主要体现在内部监督要素方面，其中明确阐述了要对内控体系的设计和运行进行检查和监督，及时发现内控短板和薄弱环节，以及时整改；同时，内部控制五要素中所体现的内控评价，更加侧重于对企业负面影响和未来风险的管控，如企业形象、声誉是否受损，是否损失浪费，相较而言，内部控制中的监督职能不仅仅注重发现问题，更加注重问题整改和错误纠偏，以降低损失和风险；而就内部审计来看，监督是内部审计的基本职能，内审主要以经济活动为基础，通过一系列监督和评价活动，审核各项工作是否按照计划执行，是否和下达指标一致，是否和既定原则相符，从而实现改善风险管理。

（三）内容和范围一致性

就内部审计和内部控制评价的职能范围和内容来看，二者都将重点放在经济活动上，侧重业务目标实现[2]。评价的范围和审计监督的范围一致，经营活动的边界既是评价监督的边界，业务发展的方向既是监督的方向；从深度来看，不管是内审，还是内控评价，都涵盖决策环节、执行环节、执行结果、执行行为等多个阶段，都具有全方位、全员性、全过程的特点。

三、上市公司内控评价和内部审计融合发展的有效对策

（一）统筹互补内评和内审

内评和内审既有区别，又有联系，内评更具全面性特点，在评价过程中注重全覆盖，而内审更强调针对性，在审计过程中侧重性更强，是“初勘”和“详勘”的区别。上市公司要促使内评和内审协调发展，既要兼顾内评的全面性原则，又要考量内审重要性原则，实现二者的有效兼顾与结合，在界定评价范围方面，上市公司要涵盖全部所属公司，包括总部和分子公司，确保无死角、无遗漏，对于各企业财务报告中净利润指标、主营收入指标、净资产指标、资产总额指标等数据超过合并财务报告相应项目一定比例的企业，要将其列入重点评价对象范畴，并且做到每年度审查一次，对于非重点评价企业可以考虑三年轮流检查。在界定上市公司评价内容方面，要求将公司及其下属公司的所有业务事项均纳入内部评价对象中，包含决策、执行、监督全过程，同时，对于影响控制目标达成的内控五要素要做到全面内评。上市公司在开展内控评价过程中，对于问题频发业务、重点业务要开展专项审计，要延伸审计范围、拓展审计期间、丰富审计内容，直至将重点事项和存在的问题查清为止。通过实施专项审计，可以为上市公司及时整改，防范风险争取时间，避免损失扩大化[3]。如此，既扩大了监督范围，又确保了监督深度。

（二）实现内评和内审信息的互通共享

上市公司要实现内评和内审的深度融合发展，应重视二者信息的互通共享。

1.在内审中运用内评信息

上市公司通过内部控制有效性评价反映了不同部门、不同业务环节（业务流程）尚未有效控制的风险点，通过将这些信息共享，可以为内审人员制定针对性强的审计计划，可以为审计方案的编制提供参考依据，明确风险点环节，从而可以做到基于风险导向来开展内审工作，可以大大减少审计工作开展之前的工作量，提升审计效率和效果。

2.在内评中运用内审信息

内部审计具有较强的指向性，上市公司通过在内控评价中充分利用审计信息和相关成果，可以使得评价工作的开展更具有效性和侧重性，通过对公司的项目开展内部审计，在发现问题后及时进行整改，虽然可以消除风险，但是这种消除是短期性，对于产生风险的深层次原因则需要在内控评价中长期关注和分析，以免再次诱发风险。以项目审计为例，审计工作的开展较难一次性解决管理中的缺陷，对于制衡体系不健全、复核机制不完善、审批流程不规范、责任制度落实不到位等问题，很难一次性改进，因此需要借助内部控制评价动态关注和分析风险诱因，以实现从源头管控风险。

3.重视开展常规性审计

上市公司可以不定期组织开展经济责任审计和专项审计等活动，在内审过程中不仅仅仅关注审计结果，还要评价内审业务或者事项的内控有效性进行评价，内审完成后编制审计报告时，还要做好内评底稿的编制，以公司年度内控提供依据。如此，可以有效降低工作中的交叉或者重复，减少内评工作量。

（三）实现内评和内审标准共享、规范共享

在我国，内审经过多年的发展，已经具备相对完善的操作标准和规范，如《内审准则》《内审指南》等，鉴于此，上市公司在进行内部控制评价过程中，可以充分利用内审标准的成果，如内部审计质量规范、内部审计取证方法等成熟经验，为内评工作开展提供指导，提升内部控制评价工作开展效率和有效性。如上市公司在进行内部控制评价过程中，可以以审计质量标准为依据，以审计证据为支撑，基于合理的评价规范，对内部控制评价事项进行评价定性，以提升内评质量。此外，就内控发展情况来看，其经过长期的发展和完善，也逐渐形成了《内部控制基本规范》《内部控制评价指引》等标准，在上市公司开展内部审计过程中，也可以以内评标准或规范为指导，为审计方案的制定提供依据。内评和内审工作在本质上具有统一性，因此公司在开展内审和内评工作中可以相互共享标准、规范，取长补短，以实现二者的融合发展[4]。

（四）统一内评缺陷和内审问题改进标准

对于上市公司而言，内审和内评的应用目的不是为了发现问题或短板，而是为了改进、解决问题，提升管理质量。公司在内部控制评价过程中，可以按照“以风险辨识为导向，以问题寻找为要求，以问题分析为抓手，以问题整改为核心”的内评思路，对原有的内控评价流程进行梳理和优化，形成风险识别、风险查找、风险分析、风险认定、改进建议、督促落实的新内评流程。结合内控评价流程来看，风险查找主要目的是为了发现风险源（风险苗头），结合评价标准估测风险偏差，然风险查找往往只能识别表面风险，对于潜在风险则无法识别，需要通过深度的风险分析才能发现，如风险行为分析、风险产生的后果分析、风险成因分析等，通过多角度的风险分析，可以帮助上市公司识别和认定主要风险或者短板，进而为科学整改提供支持。为保障整改质量，上市公司应重视内审和内控二者整改标准的统一，对于预测将要发生的风险要做好防范，对于已经发生的风险要做好补救，以尽可能降低风险对公司的影响和损失。

四、结束语

综上所述，内评和内审是强化公司监督，优化治理体系的重要手段，对于上市公司的健康、良性发展至关重要。新时期，多元化和国际化的市场环境对于上市公司提出了更高的要求，一方面公司要助推业务转型，提升服务质量；另一方面要重视强化内部治理体系，以管理倒逼效益。内控评价和内部审计是公司管理的有效工具，要适应当下的管理环境，应重视推动二者的融合发展，为企业管理水平提升提供保障。