论企业内部控制和内部审计之间的关系

■周磊庭

（中交疏浚（集团）股份有限公司）

引 言

内部审计制度和内部控制制度是评价企业的财务运营状况和经营状况的两个重要的制度。但是，从实际情况来看，很多企业将内部审计和内部控制混为一谈。反而忽视了针对两种制度的精准设计，导致企业无法实现高效的风险控制。实际上，内部审计和内部控制在定义要素等方面具有非常大的差异。因此，针对企业内部控制和内部审计逻辑关系的研究就显得尤为重要。

1 内部审计的定义、内容和流程

1.1 内部审计的定义

很多学者对内部审计的定义进行了研究，但是由于研究视角的不同，目前还没有形成统一的认识。但是关于那个审计内涵的研究是基本一致的。有学者认为内部审计是针对于外部审计而言的一种概念。外部审计包括社会审计和政府审计。而内部审计是一种独立于外部审计的，客观的评价和咨询活动，其目的是在于增加企业的市场竞争力，提高企业的运营水平，它用科学、整体的办法对企业的风险识别、评估和管理的过程和结果进行了有效评价，期望能够实现其战略目标[1]。也有学者认为内部审计是内部审计师根据企业发展所处的内外部环境，开展的客观评价活动，其根本目的是确认和评价以下几个方面：企业的财务运营信息和业务运营信息是否公允；企业是否已经识别出了所存在的风险，并且制定了针对性的风险应对策略；企业制定的规章制度是否得到了有效的遵守；企业的各种资源是否得到了有效的配置；企业是否实现了短期的经营目标；企业是否明确了各个岗位的责任[2]。

1.2 内部审计的内容

一般而言，常见的内部审计工作内容有确认服务和咨询服务。确认服务是内部审计的工作基础，是开展咨询服务的前提条件之一。确认是一种对企业的风险管理、内部控制和组织管理方面进行独立评价的方式，要对企业的证据进行检查。确认服务往往涉及第三方，而第三方有可能是多个委托人，其实施的标准一般是由第三方的利益需要来决定的。通俗而言，确认服务涉及的第三方往往有董事会、战略投资者和企业高管。对于内部审计机构而言，咨询服务包括客户所要求的劝告、建议、设计、培训、纠正等为委托人服务的活动。而这些活动的目的是实现企业的价值增值和管理水平的提高。由于咨询服务只涉及内部审计的人员和管理层，所以其并不涉及第三方的利益。咨询服务中的评价服务是内部审计人员采取科学的办法对客户提供的信息进行评价，并给出科学的建议，比如内部审计人员会评价内部控制制度的有效性程度。

1.3 内部审计项目的主要流程

首先，内部审计人员会根据风险导向的目标选取审计对象。其次，内部审计人员会进入内部审计的实施环节。在这个环节，内部审计人员主要采取科学的手段对比企业在财务收支活动、经营管理活动存在的差距，并找到造成差距的原因。企业的实际信息需要内部审计人员通过实地调查，走访等活动来获取，而标准信息则是企业预期达到的目标值。在内部审计的最后环节，内审人员形成和出具内部审计结果。在这个环节，内部审计人员可以就较难解决的问题和外部审计机构咨询沟通，最后提升结果的客观性和准确性。

2 内部控制的概念和内容

2.1 内部控制的概念

大量的研究集中在了内部控制的概念上。有学者认为内部控制制度是现代企业的一种制度。这种制度能够为企业营造更加良好的内部控制环境，帮助企业建立高效的风险预警体系[3]，而且能在企业内部提高信息传递的效率，最后能实现对企业风险活动的监控。也有学者认为内部控制制度是为了保证企业运营发展的规范性和合法性，杜绝企业发生财务舞弊和各种违法活动的风险[4]，进而促进企业组织目标的实现。另外还有学者认为内部控制是企业进行风险管理的重要制度，企业加强内部控制制度设计能够打造智能化的信息系统，并且能够通过信息系统实现对风险的有效识别和控制，帮助企业提高风险应对策略的精准性和准确性[5]。而且良好的内部控制制度会提升内部审计机构的中立性和专业性。

2.2 内部控制的内容

基于coso的内部控制框架，文章认为企业的内部控制制度主要包含五个方面的因素。

首先，内部控制环境。内部控制环境主要指的是企业内部关于内控制度的环境氛围。常见的内部控制环境因素包含企业的治理机构、组织结构、员工素质和经营制度等等。其中，企业管理层和治理层关于内部控制制度的态度、认识和措施是控制环境的重要因素。其次，风险评估。在营造良好内部控制环境的基础上，企业还应该对所处环境中的风险因素进行有效的分析和识别，并且要根据风险的类型制定针对的策略。因此，企业需要加强风险识别的意识，制定风险识别的制度，建立良好的风险预警模型，只有这样才能够构建自身的风险防范体系[6]。

再次，内部控制活动。企业内部控制活动是内部控制制度的主要内容，常见的因素包括不相容岗位分离控制、授权审批控制、会计系统控制、预算控制和绩效考评制度等。从次，信息沟通。企业的信息与沟通包括企业横向和纵向之间的信息传递机制，也包括企业的信息系统。企业的纵向信息传递机制指的是不同的部门之间开展信息交流的制度，企业的纵向信息传递机制指的是企业同一部门上下级之间的信息交流机制。同时企业为了提高公司运营的效率，也会建立高效的信息系统，一般包括业务方面的信息系统和财务方面的信息系统。最后，企业内部监督。企业的内部监督能够防范和化解企业可能存在的风险，并对员工的行为进行规范和控制，同时也能够对内部控制制度的运行情况进行良好监控。一般而言，企业设置的内部审计部门是开展内部监督的重要主体之一。

3 内部审计和内部控制之间的关系

3.1 内部审计能够提升内部控制制度的有效性

内部控制制度是一种现代化的企业制度。对于制度建设来讲，很多企业并不能设计科学的内部控制制度，而且也不能保证内部控制制度的有效执行。因此，内部控制制度在运行的过程中需要后续的制度进行支撑。而内部审计制度可以作为一种有效的后续制度。因为内部审计一方面能够完善内部控制制度中的内部监督制度，提升各个部门和员工履行内部控制制度的积极性。而另外一方面，内部审计能够对内部控制制度的有效性进行审计，及时发现和纠正企业存在的不规范行为和财务错报，能够对相关人员的责任进行有效考核。

3.2 内部审计能够提升风险评估水平

企业对风险的识别和评估，以及风险控制活动是内部控制制度的重要内容。而完善的内部审计工作能够大幅度提升风险评估水平。能够提高风险识别的精准性，提高风险应对的水平。举例来说，企业在进行项目投资时，会对投资活动面临的内外部环境进行分析，并根据风险中的不确定因素，识别风险类型。而内部审计能够对项目投资的任何环境进行审计，能对项目的环境进行在分析，对内部控制制度识别的风险进行再次检验，从而精准地评估项目存在的安全风险、财务风险和经营风险等。

3.3 内部审计能够提高内部控制活动的效率

不可否认，企业的内部控制活动能够为企业的运营发展提供良好的制度保障。有效的内部控制制度将明晰和确定了岗位职责责任，杜绝了岗位职责权限相互交叉重叠的情况。但是，从实际情况看，内部控制制度并不一定是被有效设计和得到高效执行的。因此，有必要加强内部审计的职能，落实内部控制的审计评价机制。如果内部审计发现企业的内部控制制度和企业的发展目标相背离，那么企业的内部控制制度就无法发挥其在风险防范和识别方面的重要作用。而内部审计能够对内部控制制度的有效性进行审计，并制定针对性的改进策略。另一方面，内部审计能对各部门和各人员的内部审计情况进行考核，并根据考核的结果，实现“奖优罚劣”，最终起到良好的激励作用。

4 做好企业内部审计和内部控制的策略

4.1 处理好内部控制和内部审计的关系

首先，企业应该加强内部审计和内部控制制度的融合。企业应该认真分析企业发展中面临的内外部环境，制定针对性强的内部控制和内部审计制度。企业要用内审制度提升内控制度的效率，同时，也要利用内部控制制度来加强内部审计工作的力度。其次，在促进内审和内控融合的过程中，企业还应该建立全面预算制度，增强预算编制的科学性、强化预算执行的力度、严格预算的考核机制，只有这样，才能够强化预算的事前、事中和事后控制。同时，企业还应该加强资金管理制度。实践证明，很多违规行为都与企业的资金活动有关。所以，企业应该严格资金的审批制度，强化资金预算制度，明确资金使用和管理方面的责任。只有这样，才能够为内部审计和内部控制的融合提供积极因素。

4.2 完善内部控制管理体系

企业应该不断完善内部控制管理体系。首先，企业应该在企业内部营造良好的内部控制环境，应该提高企业管理层和治理层对内部控制制度的态度、认识和措施。根据企业的发展目标和内外部环境，调整企业的组织机构，提高企业整体员工的凝聚力。其次，企业还应该建立有效的风险识别和预警体系。企业应该建立科学的风险预警模型，建立科学的风险评价指标体系，引入定量和定型化的评价方法。企业能够通过风险预警模型得出企业面临的风险类型，并能制定针对性的风险预案。最后，企业应该建立完善的信息沟通机制。企业要强化企业的横向和纵向的信息沟通机制，让信息能够在上下级和平级之间高效流通。企业还应该建立智能化的信息系统。信息系统能够大大降低员工的工作量，而且，能够提升数据处理的准确性。

4.3 提高内部审计的独立性和专业性

提高内部审计部门的独立性和专业性是促进内部审计和内部控制制度相融合的重要策略。从目前的实际情况看，很多企业的内部审计人员缺乏专业的素质，而且，其独立性还远远不够。因此，首先，企业应该提高内部审计部门的独立性，并且，加强审计部门和财务部门以及业务部门的沟通，明确各个部门的岗位职责，充分发挥审计部门的审计职能，杜绝内部审计“人情化”的操作。其次，内部审计部门还应该提高审计人员的专业性。企业应该严格把控招聘的质量关，招录那些具备审计专业背景和知识的人员，同时，还要建立针对内部审计人员的后续培训制度，提高工作人员的内部审计技能和信息技术水平。最后，企业的内部审计部门应该加强和外部审计的沟通，就审计工作的重点和难点开展交流，提升内部审计部门的审计水平。

5 结 语

内部审计制度和内部控制制度是现代企业的两个重要制度。企业应该高度重视这两种制度。但是，从实际情况看，很多企业的领导者混淆了内部审计和内部控制的概念。这很容易导致企业无法制定精准化的内控和内审的制度。在这种背景下，文章阐述了内部审计和内部控制的概念和内容。并总结了内部控制制度和内部审计制度的关系，最后，从三个角度做好内部控制和内部审计工作的策略，期望文章的研究能为企业处理好内部审计和内部控制之间的关系提供一定的参考和借鉴。