浸透与融合：内部控制与内部审计的关系研究

黄 佳 周冬娟

黄石市财政局 湖北·黄石

一、内部控制与内部审计的产生与发展

1.内部控制的产生与发展

内部控制的成长道路非常长，但却充满其鲜明的特征，一般从五个时期来看，内部控制的牵制、制度、结构、整合框架以及风向管理。在1992年，COSO就其中的框架进行了完善，提出了一些新的要素。后来又经过一些改进与完善，内部控制的框架越发充实了。财政部于2015年公开实行《内部会计控制规范——基本规范（试行）》，其中有关内部控制办法有：预算、风险、会计系统、内部报告等。

2.内部审计的产生与发展

内部审计的出现及成长耗费了大量的时间，而且内部审计一共出现过三次重大的改变，即古代、近代、现代这三个时期，成就鲜明的是现代内部审计。在处于奴隶社会时期，在产物资料剩余之后，私有制就诞生了。基于信任问题，财产所有人会委托专业的“审计师”对经济活动进行监督审计，以此消除疑虑。1890—1910年，资本主义的成长迈向了一个崭新的时期，这时出现了垄断，经济水平直线增长，以同样的速度进入高度复杂的阶段，组织结构复杂，人员规模庞大，客观上需要一个专门的组织出具评估报告反馈各部门的工作是否高效，是否合法合规。内部审计作为企业一个独立的控制部门与其他业务部门并列而生。进入21世纪，经济全球化与多元化，跨国组织，集团企业相继成立，使得受托责任细化与多元化，现代审计阶段逐步形成以风险为导向的内部审计。

二、内部控制工作存在的问题分析

1.内部控制方法

有效的内部控制方法应重点关注以下事项：风险程度的变化与采取措施；内部审计委员会监督的时间、领域、特点；委员会所了解问题的交流办法；在自我评价中，较为严重的控制不足和未成功所造成的后果，以及判定危机的水平；控制信息交流的方法和效率。形成一套规范完整的工作程序，使内部控制较好被大家操作并接受。内部控制同公司绩效管理息息相关，并把员工关于内部控制的进行状况记录在绩效考评之中，使奖惩制度有据可依。

2.内部控制中存在的问题

第一，未建立现代企业管理制度。内部控制的实质就是进行牵制与分权，不允许一个人完成多个工作环节。而根据学者的统计调查，“一把手”说了算，控制严重，其他结构与成员的工资薪水由总经理决定，对内部控制的分权具有极大的削弱性。

第二，缺乏对不相容岗位分离的管理。员工之间、部门之间、员工与管理层联合串通舞弊，主动造假。出纳一人兼任银行对账员的现象长期存在。

第三，缺少风险控制意识。根据每一种风险控制点，设置良好的风险管理机制，借助风险的预警、识别、评估、分析等办法，就运营风险实施系统的监管、预防、处理。缺乏企业风险管理制度意识，或激进冒险或墨守成规，发生风险时，缺乏完整有效的应对措施。

三、内部审计工作存在的问题分析

1.内部审计的定义目标

内部审计是指通过内部审计机构及从业者，依照相关规范、企业战略目标及其他目标计划、企业整体预算等，就公司某个阶段的工作实施评定、检查、监督，令公司每一类工作根据预期目标及设置的程序有效运行。但就如今情况来看，其涵盖的重要性与影响力未能在实际工作中表达出来，且最关键的问题是，大部分的公司未设置独立的审计机构，也不存在具有专业背景的审计从业人员。内部审计权威力度不高，一般都是在公司经理层之下。内部审计控制的范围局限于查错纠弊，且大部分针对下级部门或单位，对中层乃至高层的内部审计监督少之甚少。

内部审计的目标是风险导向，对内部审计实时更新，进行优化。即从过去“ 监督者”或“ 内部警察”的角色转化为全面关注企业风险、评价和完善内部控制，实施“ 评价、咨询、建议”的角色。随着社会的发展，内部审计也在积极地创新转变，更新之后的内部审计主要是引入战略与控制防御作为其关键部分，并通过对内部控制优化实现对行业特有风险的管控。

2.内部审计工作存在的问题分析

内部审计人员没有过高的专业素质，而管理人员并未重视内部审计起到的作用。根据相关研究人员布林克的研究表明，内部审计首要注意力应放在内部控制上。在内部审计理论设置中，需要以内控含义作为关键点，二者联系密切，内部控制有益于内部审计安全性的提高，使其质量更有保障，而对于审计范围的拓展也更有帮助的，并能促进当代公司组织形式的建立。

内部审计人员将大部分的时间与精力放在财务收支及业务活动的细枝末节上，尤其是一笔一笔翻看往年账簿与会计记录，未能从采用风险导向审计，从全局整体出发，考虑企业重要性水平及相关领域的重大错报风险。

内部审计固有的缺陷，原因主要在于经济事项不断出现新的变化，内部审计人员也会存在自身能力的限制，对有些企业的不当行为默认甚至帮助其操作；内部审计人员的业务水平参差不齐，在涉及具体得罪人的原则事件上，有时会选择睁一只眼闭一只眼。

四、内部控制与内部审计的融合关系

1.内部控制与内部审计的联系

内部控制的工作目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果、促进企业实现发展战略等所谓的“五目标”。内部审计的工作目标是，内部审计师对管理运营和内部流程实施系统、客观的评价活动，实现财务运营可靠，政策执行落实，资源有效利用，实现组织目标。两者的工作目标都是通过开展一些活动，为管理者和决策者提供帮助，最终实现组织高质量发展。不仅工作目标具是一致性，甚至两者监督的对象，监督的范围与内容也是一致的，都是通过对企业内部经济活动进行监督。监督的程度与实际发生的经济业务一致，经济业务发生在哪里，监督就要跟进在哪里。

内部控制与内部审计的定位都是服务内部工作，为了规范企业内部的管理活动流程。内部审计不同于社会审计与国家审计，最重要的一点就是内部审计和内部控制一样，属于组织系统内的重要组成部分，属于自评、自控、自律，而不是外部力量的压力。通过上述分析，我们可以看到内部控制与内部审计在组织中的目标一致，监督对象一致，定位一致，这就为我们所说的融合发展提供了可能性。融合发展是基于二者的内涵属性相近，为节约审计资源，减少对被审计单位正常业务的干扰，可以在年度内部审计工作计划中，整合内部控制的相关成果，将两者进行有机结合，做到资源互享信息共通、结论互认，以及问题整改清单相互核查。

2.内部控制与内部审计的区别

内部控制是行动和过程，内部审计是评估和纠偏，是对内部控制工作进行监督的重要手段。这就是两者最大的区别。这种区别主要是外在表现，是形式上的。就目前的实际情况，内部控制属于财政部会计司主导的一项工作，笔者通过查阅许多高校及企业官网，归类为以下三种：第一种，内部控制工作由财务处负责，例如：湖北理工学院；第二种，内部控制工作由审计部（处）负责，例如：中国神华能源股份公司审计部；第三种，内部控制工作由纪委负责，例如：上海国家会计学院。总之，内部控制工作主要依据财政部颁发的《企业内部控制基本规范》《行政事业单位内部控制基本规范》。内部审计则是一个非常明确的独立的部门，企事业单位一般在组织架构设计中设立一个独立的审计处，在业务上一般对应地方各级审计机关。由于证监会的相关规定，上市公司每年必须上交企业内控评价报告与审计报告，所以，内部控制与内部审计往往都是审计部的工作职责。例如上文中提到的神华能源股份公司，审计部就负责内部控制工作与内部审计工作。

当然，上述内部控制与内部审计的区别仅仅是外在形式上的，不是本质上的。同质监督，能合则合。这就是内部控制与内部审计融合发展的前提。

3.内部审计在内部控制中的融合作用

内部审计在内部控制中的三大作用为评价、监督与咨询。主要体现在以下几个方面。

第一，增强内部控制能力。当内部审计实施参与的时候，使得企业内部控制能够更好地展现其重要性与影响。完善内部控制与内部审计，不仅仅为帮助企业正常运转，提升价值创造。还有一个更重要的作用那就是，形成一套行之有效的控制体系，让治理层不能贪污腐败，不能无所作为。

第二，完善内部控制环境。设置内部审计制度有助于完善控制环境，使得组织目标更快更好地落实。内部审计应不断完善，包括更好地培训审计工作人员，增加其专业性；还要科学安排审计资源，不得浪费、增加效率，令审计工作顺利进行。

第三，使得企业能够提升其自身的价值。内部审计可以借助科学专业的手段，就公司风险管理实施优化，使内部控制与企业治理取得良好的成果，促使企业运转效率得到提升。内部控制的完善从根本上讲：在全社会倡导勤与廉的文化，提高文化认同感；制度上完善内部控制环境要素；加强内部审计的监督作用。

五、完善内部控制与内部审计融合发展的建议

1.应在组织结构中设计双向负责制

内部审计机构的人员安排和所需费用等，都与需进行审计的组织无关，所以对公司内部控制实施评定时一定要秉持公正的心理，不可偏袒。但我国绝大部分的内部审计机构受总经理与副经理领导，这就使得经理层既当裁判员又当运动员。通过企业运行管理提出的要求，来进行内部控制审计工作是非常有帮助的，可也容易出现内部审计同接受审计的相关方角色模糊的状况，这不能够很好地展现内部审计的作用。当建设内控体系时，应按照有关的法律规范进行设立，且还要将审计委员会的具体作用发挥出来；而且应该由审计委员会与公司高层来管理审计机构，采用双向负责制度，并在某种特别的条件之下，能不经管理高层而上报给委员会，从而加强内部审计关注度，并使其更具有独立性，其权威也能得到保障，以便更好地体现出内部审计的影响。

2.应提升专业人员的综合素养

两者都需要专业性强的工作人员，并且水平较高的审计人员能起到至关重要的影响力与作用。可以从研究者的分析中得知，如今国内大部分的内部审计工作者关于财务、税法等方面的知识储备较为充足；比较缺乏企业治理与战略、内部控制系统等方面的知识。所以，审计人员未能储存足够的知识量，不仅会对内部审计的工作领域造成影响，而且不利于内部审计作用的良好发挥。故而，需要更加准确地来安排审计工作，增加对其专业知识的培训力度，提升其综合素养，有利于日常业务工作与年度风险管理评估的融合发展。

3.内部审计与内部控制融合应定期化、制度化、规范化

内部审计的重点应放在对内部控制的测试上，首先了解内部控制执行是否到位，判断内部控制能力的强弱，重点做好事前预防。当前，内部审计的地位发生了改变，主流观点认为内部审计应该通过咨询顾问的角色来引导被审计方自行实施检查，并令全体管理人员意识到预防风险是其应该担负的义务。关于价值的提升，需要审计内容拓展到决策方面，并且审计方式应该由事后过渡到事中与事前。内部审计部门在评价下级部门与人员的时候，应该以他们所掌握的知识程度，他们所表现出来对公司的隶属感，关于内部控制的了解程度以及是否会反感内部控制，能否良好地实施内部控制等作为检查的关键，而且还不能忽视对人员道德方面的审查，以及人员是否遵守规定等行为，这些方面都会对内部控制的实施造成一定的影响。

六、结语

有效的内部控制制度应定期与内部审计相结合，既能保证内部控制执行的有效性，又可以促使内部控制根据新增的业务活动补充并制定新的内控流程，真正实现企业的高质量发展。