内部审计在内部控制中的作用研究

摘要：被称为中国“SOX法案”的内控基本规范，赋予内审部门及员“营造守法、公平、正直的内部环境”的重要职责，以法规的形式界定了内审人员的重要权力，并极大地提升了内审的地位，内部审计的理论和实务必将迎来大发展的契机。本文以基本规范的即将实施为背景，阐述了内审在内控体系中的“守夜人”角色定位，并指出了为迎接内控基本规范即将实施的挑战，内部审计将发生的“四个转变”：从事后审计向全程审计转变；从财务审计向管理审计转变；从基层审计向高层审计转变；从督查审计向风险审计转变。

关键词：内部控制　内部审计　风险管理

一、引言

2006年7月15日中国内部控制标准委员会成立，标志着我国企业内部控制正式提上日程，这是继2006年2月15日新企业会计准则颁布以来国家经济领域的又一重大决策。作为内部控制专家的内部审计，能否抓住这次职业发展契机实现跨越式发展，直接关系到内部审计职业的未来。本文的研究焦点是内部审计如何发挥在内部控制中的作用。关于内部审计在内部控制中作用，国内外不同学者持有不同观点，不同准则也有不同规定，对于知识结构相对单一的我国内部审计人员来说，很难依据企业所处的内外部环境来准确定位其在内部控制中的作用。本文在追溯国内外内部审计的发展历史的基础上，从理论基础和现实动因两方面分析内部审计如何介入内部控制；在系统梳理专家观点和准则规定的基础上，总结出内部审计在内部控制中的评价、监督和咨询作用，并进一步提炼出内部审计在内部控制中发挥作用的理论框架。笔者希望通过本研究，明确内部审计在内部控制中的应有作用，使内部审计人员认识到其在内部控制中作用的不足之处，进而依据内部审计在内部控制中发挥作用的理论框架来准确定位其在内部控制中的作用。

二、文献综述

(一)国外文献　关于内部审计在内部控制中的作用，国外学者Flint(1998)从受托责任观和评价职能入手研究指出：“凡是有审计的地方，一定存在一种受托责任关系，受托责任关系是审计存在的重要条件，审计是确保受托责任履行的控制机制，是对内部控制的再控制”。现代内部审计之父LawrenceSawyer(2005)从另一个角度指出内部审计在内部控制中的作用，他认为控制评价是内部审计人员的“执业秘诀”，“内部审计人员通过评价内部控制制度和指出需要加强的内部控制的弱点，成为有力的管理工具”；内部审计专家Robert Moeaer(2006)也指出“内部审计人员评价组织机构各专门领域的内部控制的技能是他们渗透到组织中的敲门砖”。显然，Flint、Lawrence Sawyer和RohertMoeUer的观点都反映出内部审计在内部控制中的评价职能。Barley(2003)根据内部审计最新发展，在《ResearchOpportunitiesiIIInternalAuditing》中详细列示了内部审计在内部控制中的作用，包括“测试内部控制的遵循性”、“协助管理层设计综合评价方法”、“协助管理层编制关于内部控制有效性的报告”、“识别重大控制缺陷”、“推行计算机测试技术和推动控制自我评估”。早在1999和ⅡA颁布的内部审计新定义，就明确提出内部审计在内部控制中的确认和咨询职能，2004和ⅡA新的“国际内部审计专业实务标准2120―控制”中规定：“内部审计活动应通过评价控制的效率与效果、促进其持续改善等工作，帮助组织维持有效的控制系统”，“在开展咨询服务时，内部审计人员应当了解与此工作相一致的控制事项，并且应警惕是否存在控制薄弱环节”。国外学者通过实证研究发现，内部审计在内部控制中的作用呈现出多方面特点。如Nagy和Cenker(2002)的调查表明，“内部审计职能从传统的确认职能导向到价值增值和咨询导向，各个公司存在显著差异”，所以，不同公司中内部审计在内部控制中作用的侧重点也不同。RobertMoeller(2006)也指出，在不同规模的公司中内部审计在内部控制中的作用不同：大型企业中内部审计部门比较强大，内部控制比较健全，内部审计工作的重点是评价内部控制的有效性；而在中小企业中内部审计很难承担起评价内部控制的重任，在内部控制不健全的公司中内部审计应该将工作中心放在协助管理层建立健全内部控制上。内部审计在内部控制中发挥作用还表现出明显的法规遵循导向：201)4年澳大利亚内部审计师协会、新西兰内部审计师协会和安永(澳大利亚)会计公司进行了一项题为“澳大利亚和新西兰内部审计发展趋势”的调查，其对象是澳大利亚证券交易所(ASX)的前200位的公司和新西兰证券交易所(NZSX)前100位的公司，结果显示，95％的被调查者表示“内部控制确认和对风险管理程序、系统的确认”是内部审计的主要工作(ⅡA-Australia等，2004)。很显然，这是遵循《萨班斯一奥克斯利法案》(TheSarbanes-OxleyAct，SOX)的必然结果。因为SOX法案规定：每份年度报告的文件中都应该包含一份内部控制报告，该报告应该声明建立并实施适当的内部控制是公司管理层的责任，同时公司管理层在年度报告日之前对内部控制的有效性进行过评估。内部审计作为对管理层极具价值的资源，必然成为内部控制评估的主力，内部审计的工作重心转向对内部控制的独立评价。所以，外部监管法规会影响内部审计在内部控制中作用。

(二)国内文献　我国学者在学习和借鉴国外学者观点和国际内部审计准则规定的基础上，对内部审计在内部控制中的作用进行了许多前瞻性研究。王光远教授(2005)认为内部审计准则的最核心概念有两个：内部控制与风险。内部审计与内部控制之间是相互依存的：内部审计是内部控制的要素之一，其职能是对其余内部控制要素的再控制；内部控制又是内部审计的直接对象。通过内部审计的检查、评价能不断促进内部控制的健全完善，内部审计对内部控制的关注远远超过了政府审计与独立审计。曹伟、桂友泉(2002)认为内部审计在内部控制中可以发挥下列作用：评价内部控制；参与重大控制程序的制定与修订；监督内部控制的运行；提供管理咨询等。王桦、庄江波、陈汉文(2003)提出了内部审计职业化的一种营销战略观，分别从宏观和微观层次对内部审计的环境进行分析，认为内部审计要在企业中寻找发展之机，就要在企业内部控制、风险管理中发挥作用，提供更多能体现其价值的咨询建议，树立“咨询专家”的公众形象，同时还要增进职业内部对这种形象的认识，积极推广这种职业形象，获得社会认可。张先治、孙文刚(2003)认为内部审计在内部控制中的作用有两方面：首先是内部审计要对内部控制的有效性进行评价，从而促进整个控制系统高效运营；其次，内部审计人员通过与各部门、各层次管理者的会晤，了解经营中的实际情况，帮助解决各种问题，从而提高控制系统的管理效果。卜淑珍(2006)认为内部审计在内部控制中的作用主要体现在三方面：培养全员控制意识，加强“软控制”，主要体现在内部审计作为控制专家宣传与培训内部控制；协助建立有效的信息沟通网络；推动内部控制自我评价(CAS)。但2003年中国内部审计协会

颁布的《内部审计基本准则》中；将内部审计定义为：组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。虽然定义中将内部控制作为内部审计的对象，但对于内部审计在内部控制中的作用仅提到了“审查和评价”，而未涉及到咨询作用，这是充分考虑我国内部审计实务水平的权宜之计(王光远，2005)。显然在规范研究领域，国内外学者已经认识到内部审计在内部控制中不仅有确认职能还应发挥咨询职能，但在具体职能的表述上非常凌乱，侧重点也不尽相同。在理论研究方面，虽然国外学者很早就提出过一般审计理论框架，如莫茨和夏拉夫(1961)提出以哲学为建基点的五要素组成的审计理论框架，安德森(1977)提出以审计目标为起点的七要素审计理论框架，尚德尔(1978)提出以假设为起点的五要素框架等，但尚未有学者提出内部审计在内部控制中作用的理论框架。而在我国，鲜有学者对内部审计在内部控制中的作用进行实证研究。笔者认为这是因为长期以来内部审计在内部控制中的作用仅限于单一的监督，我国也没有类似SOX的法案，所以没有研究的必要性。但随着内部控制建设提上日程，内部审计在内部控制中的作用也将丰富多彩起来，对此进行实证研究，特别是研究影响和制约内部审计在内部控制中发挥作用的因素必将是非常有意义的事情。我国也自1986年就开始了内部审计相关理论的研究，如阎金锷(1996)构造了审计本质―审计目标―审计假设―审计原则―审计准则的五要素框架，蔡春教授(1994)提出了以本质为起点的审计本质―审计假设―审计目标―审计规划―审计信息―审计控制手段和方式的六因素框架，王若山和张建军(1996)构建了以审计目标为起点的内部审计理论，刘明辉构建了以审计环境和审计报告使用者为起点的审计理论。但尚没有学者提出内部审计在内部控制中发挥作用的理论框架。笔者认为，虽然内部审计在内部控制中发挥作用的理论具备审计理论和内部审计理论的普遍属性，但也有其特殊性，所以不能以审计或内部审计理论框架来代替内部审计在内部控制中发挥作用的理论框架。

三、内部审计介入内部控制的理论基础

(一)受托责任理论　生产力的发展和财富的剩余带来了分权，分权带来了互相牵制，随之产生了受托责任，由于信息不对称，需要有人来监督承担不同职权的人的工作，内部审计作为委托人的监督机制而产生。委托人为了监督受托人认真履行内部控制受托责任，确保受托人的报告是真实的，需要独立于受托人的内部审计人员对受托人的经济活动进行监督，对其报告进行鉴证；受托人为了证实自己的报告与业绩，解除受托责任，取得自己应得的利益，需要接受内部审计。内部审计的存在符合关系中委托人与受托人的共同需求。受托责任按照层次不同可分为外部受托责任和内部受托责任见(图1)；按内容不同可分为受托财务责任和受托管理责任，这里的受托管理责任采用王光远的观点，指的是狭义的管理责任，主要包括经营和计划责任。内部审计介入内部控制的历史体现了受托责任的发展过程：萌芽状态下的内部审计，其职责是协助管理层确保内部财务控制方面的受托责任有效履行，是对内部受托财务责任的一种控制方式；近代股份公司和家族企业集团的发展，股份制度的形成更凸显了受托责任的重要性；20世纪40年代，原材料和劳动力的短缺使管理层更加关注生产安排以及对规则的遵守，内部审计从关注内部受托财务责任转向内部受托管理责任，协助管理层对企业内部控制特别是内部管理控制进行监督成为内部审计的日常工作；企业经营活动的范围不断扩大，各国政府对社会经济活动的干预有所增强，外部环境对企业影响日益加大。内部审计也逐步将外部受托责任作为其关注点，在内部控制中表现为：协助董事会及其审计委员会对内部控制的有效性和充分性进行独立评价，从而帮助高级管理层履行内部控制方面的外部受托责任；20世纪90年代起，人类社会迈入信息时代，环境的多样化和多变性使风险管理成为受托责任的核心，公司治理和内部控制积极引入风险理念，一旦风险得不到适当的管理。组织目标的实现将受到威胁。于是内部审计开始关注风险，研究如何识别风险和协助管理层建立适当的内部控制来规避或控制风险。

(二)价值链理论　1985年波特在《竞争优势》中首先提出价值链理论，认为企业的各项活动都可以描述为价值链中的基本活动和辅助活动，通过价值链分解可以得到更细微的价值活动，也可以在分解过程中合并得到新价值活动。这种分解能帮助企业考查每个价值活动的成本优势，并分析每个价值活动产生歧异优势的可能性。即价值链分析可以帮助企业确定某项价值活动是否具有价值，从而决定将该活动内置、外包还是流程再造。内部审计作为企业的业务活动，也可以用价值链理论进行分析。首先，内部审计活动是有价值的，体现为对买方即内部审计服务的利益集团的效用。其次，根据波特对价值活动的分类和基本的价值链图，内部审计属于辅助活动中的企业基础设施活动，它通过整个价值链而不是单个活动起辅助作用，是企业竞争优势的重要来源，见(图2)。最后，根据价值链分解的方法，内部审计活动还可以细分为若干价值活动，结合内部审计师责任说明书(SRIA)中关于内部审计职责的规定，可将内部审计价值链描述为(图3)。内部审计在内部控制中职能的拓展体现了价值链分析方法在内部审计职业发展中的应用。1981年SRIANO.5颁布之前，内部审计服务的买方是所有管理者，内部审计服务对于买方的效用集中在协助管理者加强企业管理控制；1981年之后。内部审计服务的买方扩展到整个组织，对于组织来说效用更多地体现在决策的科学性和效果方面，所以内部审计注重对内部控制的充分性和有效性进行独立评价；随着信息化时代的来临，组织更加看重内部审计在识别和规避风险方面的效用，内部审计对其价值进行反思后提出了以风险为导向、以增加企业价值为目标、更加注重在内部控制中的咨询职能的新思路。由此可见，买方和买方效用在内部审计介入内部控制的过程中起了重要作用。

(三)管理进化论　1776年亚当・斯密(Adam Smith)在著名的《国民财富的性质和原因的研究》(也称《国富论》)中提出了系统分工理论。分工思想经过几个世纪逐渐发展成熟，并导致了工业革命的爆发与股份公司制度的建立。在工业革命和股份公司制度的相互促进下，企业的管理活动日益复杂并产生了内部多层次受托责任。这一切都为内部审计制度的建立与完善提供了有利条件，内部审计作为一种天然的控制手段介入到对受托责任的控制中。20世纪初弗雷德里克・泰勒提出了科学管理理论，使管理学成为一门独立的学科，亨利・法约尔创立了一般管理理论，从组织管理的角度来改进管理，提高企业效率。这些理论的提出使内部审计摆脱了财务的限制。进入了更为广阔的业务领域，由财务导向审计过渡到业务导向审计阶段，协助高级管理层对内部控制进行监督成为内部审计业务之一；20世纪70年代之后，出于对企业外部环境的关注，管理大师彼得・德鲁克的目标管理理论和其他现代管理理论的提出，使注重高层管理活动成为管理理论的主流，同时，公司治理

问题逐渐凸出，内部审计将关注点转向高层的管理目标、方针及决策，所以协助董事会及其审计委员会对高级管理层设计和实施的内部控制进行独立评价成为内部审计在内部控制中的工作重点。90年代以来以迈克尔・波特为代表的战略管理理论以及以迈克尔-哈默及詹姆斯・钱皮的企业再造理论为代表的新管理理论，对内部审计的发展产生了一定影响，同时，公司治理问题的研究也逐步走向成熟，促使内部审计从积极兴利的管理审计转向价值增值的战略审计阶段，为规避风险实现增值目标，内部审计的关口前移，更加注重在内部控制中的咨询职能，充分发挥最高的客观陆和熟悉企业情况的特点协助管理层建立和健全内部控制。

四、基于内部控制的内部审计理念转变

(一)事后审计向全程审计转变　《内部控制基本规范》第六条指出，企业建立和实施内部控制应遵循“全面性”原则，在流程上应当渗透到决策、执行、监督、反馈等各个环节，避免内部控制出现空白和漏洞。由此可见，内部控制强调全过程控制，包括事前控制、事中控制、事后控制，那么作为对内部控制负有监督、控制之责的内部审计，也必将变为全过程审计，由传统的事后审计变为事前审计、事中审计与事后审计相结合。(1)事后审计的内控功能与作用。事后审计是我国传统内部审计的方式，主要侧重于事后的监督和评价，对内部控制进行查缺补漏。内审人员对内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面检查报告并作出相应处理。事后审计是对内部控制制度进行内省反思的过程，其侧重点包括战略的正确性、财产的安全性、法规的遵循性、财务报告的可靠性及经营的效率效果性，企业对在监督检查过程中发现的内部控制缺陷，应当采取适当的形式及时进行报告。当经济活动结束后，内部审计人员应对计划、决策的完成情况作全面、综合的审查、分析和评价，总结经验教训，并提出改进意见。企业应当分析内部控制缺陷产生的原因，并有针对性地提出和实施改进方案，不断健全和完善企业内部控制。对于监督检查中发现的重大缺陷或者重大风险，应当及时向董事长、审计委员会和经理汇报。(2)事中审计的内控功能与作用。事中审计侧重于审计的实时性，对内部控制制度的建立和执行过程进行实时跟踪，借助于网络技术、信息技术和软件技术，实时审计和远程审计都将成为可能。内审人员要进行跟踪审计调查，对计划的实施、方案的落实和决策的执行、经济效益和工作效果进行分析。实时审计能够及时纠正内控制定过程中对既定战略目标的偏离倾向和内控执行过程中发生的偏差，实现对生产管理系统、营销管理系统、预算管理系统、财务会计管理系统等的实时监控，不断提高内部控制的效率与效果。在实施事中审计过程中，内审人员应重点关注以下领域和环节：在财务报告和信息披露方面弄虚作假；未经授权、或者采取其他不法方式侵占、挪用企业资产；在开展业务活动中非法使用企业资产牟取不当利益；企业高级管理人员舞弊给企业内部控制和经营管理可能造成的重大影响；员工单独或者串通舞弊给企业造成损失。对在监督检查中发现的违反内部控制规定的行为，及时通报情况和反馈信息，并严格追究相关责任人的责任，维护内部控制的严肃性和权威性。(3)事前审计的内控功能与作用。事前审计是一种积极防御性审计方式，审计关口前移，体现了“要我审计”到“我要审计”的理念的转变。内审人员要对企业的计划、决策进行审计，审查决策方法的科学性，审查决策所依据的资料、数据的可靠性，审查决策有关保证措施的可行性和执行情况与结果。在企业经营决策过程中，内审机构应积极参与项目可行性研究，对各方面进行经济技术分析和论证，提出自己的意见，作为企业的决策参考。事前审计实质上是对内控体系进行风险评估和识别的过程，防患于未然，扼杀风险于萌芽状态，最大限度地保证企业战略目标的实现和财产的安全完整。事前审计强调在内控制度建立和执行之前就对风险进行评估，及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。内审人员应当根据风险分析的结果，依据风险的重要性水平，运用专业判断，按照风险发生的可能性大小及其对企业影响的严重程度进行风险排序，确定应当重点关注的重要风险。内审人员应当充分关注包括管理层凌驾、串通舞弊、人为错误或者疏漏、制度滞后等内部控制的局限给企业带来的风险，并采取适当的措施将可能发生的风险控制在合理的范围之内。内审人员应当根据风险分析情况，结合风险成因、企业接体风险承受能力和具体业务层次上的可接受风险水平，确定风险应对策略。风险应对策略一般包括风险回避、风险承担、风险降低和风险分担等。事前审计是一种积极预防性审计方式，是内部审计未来发展的方向。

(二)财务审计向管理审计转变　内部控制强调会计控制与管理控制的结合。内部会计控制的目标是会计信息的相关性与可靠性。内部会计控制这一目标既包括保证会计信息的相关性与可靠性两方面，又包括保证财务会计信息质量和管理会计信息质量两方面。因此，会计控制不仅是通常所理解的财务会计控制，实际上应包括财务会计控制和管理会计控制。财务审计主要关注的是会计控制的内容，对会计控制制度的执行情况进行确认、评价和监督。传统的内部审计即是以账项为基础的财务审计，主要关注财务事项，专业的审计人员遵照有关法律法规测试检查会计资料、会计程序及会计控制，以评价财务报表是否真实，保证财务报告的可靠性和透明度，企业资产是否完整，组织权益是否得到维护与保障，进而确认、解脱受托人的财务责任，体现了内部审计查错防弊的传统目标。随着经济的发展，组织的变革，企业经营管理的内在需求，基于会计控制的的传统财务审计将向基于管理控制的管理审计方向发展，这是内部审计发展的基本趋势。内部审计的评价、确认、监督的领域不再局限于会计控制，而是转向更为广阔的管理控制的各个环节，包括计划、组织、执行、领导、人事、沟通、激励、协调等诸多管理环节。从国际内部审计实务上讲，1947年ⅡA的“内部审计责任说明书”将会计和财务事项作为内部审计的首要对象，在之后若干次的修改中，内部审计的责权已逐步走向管理审计。内部管理控制的目标是经营活动的有效性。有效性包括经营活动的效率和效果两方面。效率是经济学的核心，也是经营活动的基本目标，效果或绩效是管理学的核心，也是经营管理的基本目标。内部管理控制将效率与效果作为目标，它是内部控制的主导和关键，也是组织内部控制的核心与目标。新兴的管理审计是以评价管理经营责任为主要的业务内容，通过对经营管理活动进行审查与评价，并采用一定的标准来衡量其经济性、效率性及效果性从而找出差距，挖掘潜力，提高效益，或证实效益优劣，评价管理绩效，提供咨询意见，增加公司价值。

(三)基层审计向高层审计转变　企业内部控制从控制主体角度可分为三个层级：一是以董事会为主体的战略控制；二是以经营者为主体的经营控制；三是以员工为主体的任务控制或作业控制。三种主体的战略控制、经营控制及作业控制是紧密相关、相互作用、相互影响的，内部控制必须要搞好三者的有机结合。(1)作业控制与作业审计。以员工为主体的内部控制，称作业控制或任务控制，其主要任

务是有效地执行特殊任务的过程。执行这些任务的规则可被描述为经营管理控制过程的一部分。对作业控制的评价、确认和监督即是作业审计的主要内容。作业审计是对内部控制的业务层面和工作环节进行监督检查，以及提交相应的检查报告、提出有针对性的改进措施等。作业审计重点关注如下环节：评价员工专业胜任能力；员工在开展业务活动中是否非法使用企业资产牟取不当利益员工是否单独或者串通舞弊给企业造成损失；评估具体业务层次上的可接受风险水平，建议管理当局应当实行风险回避、风险承担还是风险分担，合理保证将具体业务与事项的剩余风险控制在可接受水平之内；评价不相容职务是否分离及员工岗位责任制的履行情况；评估财会等关键岗位员工是否建立规范的岗位轮换制度和必要的强制休假制度；评价各岗位员工的预算执行情况。对各部门和员工当期业绩进行考核和评价，强化对各部门和员工的激励与约束。(2)经营控制与经营审计。以经营者为主体的内部控制其主要任务是经营控制，包括资源投入控制、经营过程控制、产出成果控制、利益分配控制。资源投人控制、经营运作控制、产出成果控制和利益分配控制四种控制类型由于经营循环的联系，它们之间相互联系与包容，后者通常包容前者，即经营运作控制要以资源投入控制为基础。产出结果控制要以经营运作和资源投人控制为基础，利益分配控制则要以前三种控制为基础。经营审计主要审查经营者是否努力改善和充分利用企业的物质条件和技术条件，审查利用生产力各要素的具体方式和手段的有效性，诸如是否厉行节约，是否改进了生产工艺，不断更新了设备等。经营审计就是对经营循环的全过程，包括投入、运作、产出、分配各个环节的效率和效果进行评价、确认、监督。(3)战略控制与战略审计。以董事会为主体的内部控制是基于公司治理的战略控制，包括企业目标确定、公司经理人员的责任与权利、公司监督机制建立、企业战略选择、战略规划和战略计划全过程的控制。从内部控制角度看战略控制，主要是战略制定，即决定组织目标和达到这些目标的战略的过程。战略是大的和重要的计划，它反映了高级管理者对其组织的发展定向。组织目标有财务目标和非财务目标；在战略制定过程中，组织目标通常看作已知，但有时战略制定也强调目标本身。―个组织可选择许多方法以实现其目标。不同组织的战略制定采用不同的方法。战略审计是由董事会下设的审计委员会对各层次的战略管理活动以及战略管理的全过程所进行的分析、评价与监督。战略审计是公司制定战略之前必须实施的准备工作，包括对于企业内外环境的分析、过去战略实施效果的评估；评价现行战略的适当性和战略执行的有效性；同时还要对战略的执行过程进行监督，监督有关的责任人认真履行与战略管理有关的受托责任；评估公司的管理绩效。战略审计是正式的战略考察过程，它同时对董事会和管理层施加约束。纵观内部审计发展的历程，先后经历了以任务(账项)为导向的作业审讨、以制度为导向的经营管理审计、以风险为导向的战略审计，体现了一个由基层审计向高层审计发展的趋势。由经营审计向战略审计转变，是西方内部审计发展的十大趋势之一(韩晓梅，2002)，面向21世纪的内部审计应以战略审计为重点(于玉林，2000)。

(四)督查审计向风险审计转变　没有风险就没有控制，控制只为管理风险而存在，控制与风险如影随形，不分析风险而想有效的评价控制是不可能的。COSO于2004年颁布了《企业风险管理――整体框架》，其中指出：“内部控制是企业风险管理的有机组成部分，企业风险管理包含内部控制，并形成一个(比内部控制)更为广泛的管理概念和工具”。从COSO的报告可看出，风险管理与内部控制是包含与被包含的关系。内部控制的最终目的就是为了控制风险，内部控制就是控制风险，控制风险就是风险管理，或者可以说内部控制和风险管理是控制风险的两种不同角度的表达。随着经济全球化、市场化、信息化。企业的控制链大大延长以及计算机舞弊的增加，使企业面临的风险普遍增大。在这种情况下，企业开始注重风险管理，内部审计的重点也从以制度为基础的审计(英国、澳大利亚等国的提法)或称内部控制评审(美国和加拿大的提法)转向以风险为基础的审计，或称风险导向审计。企业内部控制强调风险控制，内部控制与风险管理的联系日益紧密。而内部审计作为内部控制的重要组成部分，必然对风险管理的整个流程进行评估和监控，增强内部控制过程的有效性。COSO报告将风险评估引入了内部控制并将其列为控制的核心，在风险管理上向前迈进了一步，不仅是管理上重要的里程碑，也是审计特别是内部审计发展的重要的里程碑。以风险评估为基础的风险导向审计使审计人员开始关心组织所面临的风险，使审计人员必须根据风险评估的思路开展对内部控制的评估，使审计报告将目前的控制与策略计划和风险评估连接起来。在企业开始注重风险管理的情况下，内部审计的重点也从内部控制评审转向风险导向审计。IIA在1999年对内部审计重新定义，即内部审计是用来增加组织价值和改善组织运营的独立、客观的保证和咨询活动。它以系统的、专业的方法对风险管理、控制及治理过程的有效性进行评价和改善，帮助组织实现其目标。这一新定义将内部审计的范围延伸到风险管理和公司治理，认为内部审计是针对风险管理、控制及治理过程的有效性进行评价和改善所必需的。两者的融合正是企业提高经营管理效率的客观需要和追求自身发展的必然结果。风险导向审计的本质是以风险管理为核心，确保受托责任履行的控制机制。其目标在于提高审计的效率和效果，增加企业价值，实现企业目标。HA所述风险导向内部审计的对象包括三个：风险管理、控制以及治理程序，由此可见，风险导向内部审计的对象已经扩展为公司治理和COSO报告中的风险管理框架下的内部控制。风险导向内部审计阶段的主要方式是融风险管理、公司治理和内部控制于一体的综合审计。这种综合审计更强调关注公司治理框架中风险发现与风险管理，关注管理者及其经营管理行为可能出现的风险，关注组织在整个治理过程中的决策风险与经营风险。风险作为一种核心理念，贯穿在整个内部审计过程中。管理以及治理程序等新领域，为组织做出贡献提供新机会。风险导向阶段，内部审计职能有了很大的发展空间，从传统的监督、评价发展为确证(Assurance)及咨询(Consulting)，这两项职能都是紧密结合内部审计的增值目标发展而来的。

五、结论与建议

由于内部审计在企业经营管理中处于极其重要的地位，它既是企业内部控制机制的重要组成部分这一点在《内部控制基本规范》第五条有明确陈述，内控环境的构成要素之一就是“内部审计机构设置”；同时，内部审计又是监督与评价内部控制的主要手段，正如《内部控制基本规范》第二十六条所述“健全内部审计机构、加强内部审计监督是营造守法、公平、正直的内部环境的重要保证。内部审计担当了内部控制的“守夜人”的角色，参与内部控制的设计和风险评估；监督内部控制的运行；评价内部控制的有效性(效率和效果)。内部审计的最终目标是增加企业的价值。