正确把握企业内部审计和内部控制的关系

伴随着内部控制在全国大小型企业的逐步推行，内部控制成为了业界关注的焦点。内部控制作为企业有效运行的一种机制保证，和内部审计有着千丝万缕的关系。内部审计和内部控制在实现自身目标方面各具特色；在实现企业整体目标方面也发挥着优势互补的作用。同时由于我国和西方国家尤其是美国在制度、经济发展水平及市场成熟度等方面存在明显差异，因此在企业内部审计和内部控制的设计上存在差异。当前结合中国企业具体情况，正确认识内部审计和内部控制的关系，设计一套适合中国企业发展的内部控制制度至关重要。

一、内部审计和内部控制的产生与发展

1、内部审计的产生与发展

内部审计是与国家审计、民间审计相并列的一种审计形式。19世纪末20世纪初，伴随着资本主义的发展，企业经营规模逐步扩大，组织结构日益复杂，单单依靠民间审计已经不能满足企业进行监管控制的需求，企业管理者逐步将视线转入企业内部，内部审计由此产生。因此，内部审计可以说是伴随企业规模发展和企业所有权、经营权的分离而产生的，是企业实现内部经济监督和管理的产物。

随着社会经济的发展，内部审计经历了不同的发展阶段。内部审计产生的初衷主要是评价会计记录和财务状况。然而随着企业经营规模的扩大、管理结构的复杂化及经营环境的多元化，内部审计的主要内容也得到了发展和壮大。内部审计已不再局限于单纯的评价企业财务状况，它已经开始与企业的治理层相结合，参与企业的管理活动。正如2001年IIA（国际内部审计师协会）对内部审计的界定：一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法评价并改善风险管理、控制和治理过程的效果，帮助组织实现目标。

2、内部控制的产生与发展

20世纪40年代的内部牵制理论可以说是内部控制理论的萌芽。内部牵制是以查错防弊为目的，以职务分离和账目核对为手段，以钱财和账目等会计事项为主要控制对象的初级控制措施。1949年内部控制理论正式产生，美国注册会计师协会所属的审计程序委员会首次正式提出内部控制的定义：“内部控制包括组织机构的设计和企业内部采取的所有互相协调的方法和措施。这些方法和措施都用于保护企业的财产，检查会计信息的准确性，提高经营效率，推动企业坚持执行既定的管理方针。”

1992年美国COSO管理委员会了《内部控制―整合框架》，制定了内部控制制度的统一框架，把内部控制定义为“由一个企业的董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：财务报告的可靠性；经营的效率和效果；符合适用的法律和法规”。2004年9月，美国COSO委员会了《企业风险管理整合框架》，使得内部控制的内容得到进一步丰富。

二、目前中西方对内部审计和内部控制的界定

1、目前美国对内部审计和内部控制的界定

不论是内部审计还是内部控制机制，可以说它们的发展史就是西方国家资本主义经济发展的产物，尤其是近代美国经济的发展直接导致了内部审计和内部控制理论的更新。

目前美国对内部审计和内部控制的界定主要有以下几种。2001年IIA（国际内部审计师协会）的内部审计定义为：“一种旨在增加组织价值和改善组织运营的独立、客观的确认和咨询活动。它通过系统化和规范化的方法来评价和改善风险管理、内部控制和治理程序的效果，以帮助实现组织目标。”1992年美国COSO委员会在《内部控制整合框架》中，把内部控制定义为“由一个企业的董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：财务报告的可靠性；经营的效率和效果；符合适用的法律和法规。”2004年9月，美国COSO委员会了《企业风险管理整合框架》，对内部控制的内容进行了丰富。《企业风险管理整合框架》中对风险管理的定义为：“风险管理是一个过程，受企业董事会、管理层和其他员工的影响，包括内部控制及其在战略和整个公司的应用，旨在为实现经营的效率和效果、财务报告的可靠性及法规的遵循提供合理保证。”

从美国对内部审计和内部控制的界定上可以看出，当前在美国内部审计和内部控制都已经得到全新的发展。内部审计既是内部控制框架的重要组成部分，又具有不同于其他内部控制要素的相对独立的身份，它要代表并帮助企业的管理层考核评价组织的其他控制要素。二者的关系具体表现如下。

第一，目标一致性。根据IIA对内部审计的定义可以看出，内部审计的目标是为增加价值和改善组织的运营。而内部控制的目标旨在为实现经营的效率和效果、财务报告的可靠性及法规的遵循提供合理保证。不论是内部审计还是内部控制都是为了实现企业的目标而实施的一系列管理活动，其最终目标都是为了实现企业的价值增值，二者都是直接以企业的战略目标作为出发点。

第二，与企业风险管理的关系。内部审计人员在内部审计的全过程自始至终都要关注风险（不仅仅局限于企业的审计风险，还包括企业的经营风险、市场风险等等），依据风险选择项目，识别风险，测试管理者降低风险的方法，并以风险为中心出具审计报告，协助企业进行风险管理。而从2004年美国COSO委员会的《企业风险管理整合框架》已经可以看出，内部控制是企业风险管理的重要组成部分，不论是内部审计还是内部控制都与企业的风险管理紧密联系，并且要求对风险的关注贯穿于内部审计和内部控制过程的始终。

第三，二者与公司治理的关系。2002年7月，IIA在提交给美国国会的《改善公司治理的建议》别指出，健全的治理结构建立在董事会、执行管理层、外部审计和内部审计四个“基本主体”的协同之上。可以看出，内部审计已经成为改善公司治理的重要基础。从内部控制的定义就可以得知，内部控制是由企业的董事会、管理层和其他人员共同实现的，其本身就是一个公司治理的问题。因此，内部控制与内部审计的有效运行，是公司治理创新的“助推器”。

第四，不论是内部审计还是内部控制都涉及到公司的整个业务和管理流程。

总之，可以看出，当前在美国不论是内部审计还是内部控制都是从企业的战略高度出发，参与企业风险管理、提升公司治理、实现组织目标的一系列活动。

2、当前历史条件下中国对内部审计和内部控制的认识

我国的内部审计是在改革开放之后才开始建立和发展的。相对于西方发达资本主义国家，我国的资本市场还不完善，管理机制运行效率不高，企业经营观念仍比较落后，企业对内部审计的认识还没有上升到公司治理的高度。正如我国《内部审计基本准则》第二条对内部审计作出的定义，所谓内部审计，是指“组织内部的一种独立客观的监督和评价活动，它通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现”。在我国，内部审计更多的还是以查错防弊为主要职能，没有和企业的经营管理同步，并且以事后审计为主。

我国的资本市场发展程度在很大程度上落后于西方资本主义国家，企业的内部控制机制基本上都是借鉴西方国家产生的。可以说我国对内部控制的认识和西方国家对内部控制的界定没有太大区别。例如上海证券交易所对内部控制进行定义时明确了内部控制是董事会、管理层及全体员工共同参与的一项活动，同时也明确了内部控制与企业战略目标之间的关系，指出“内部控制是指上市公司为了保证公司战略目标的实现，而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排”。可见，我国对内部控制的贯彻运行已经与企业的战略紧密结合在一起了。

根据我国当前对内部审计和内部控制的界定可以看出：第一，我国内部审计是内部控制的一个组成部分，是对内部控制运行的执行情况进行监督。内部控制是对企业财务会计活动和经营管理活动的总体控制，而内部审计是这种控制的一方面，所以内部控制包括内部审计；同时内部审计是对内部控制执行情况的一种监督形式，即是对内部控制的控制。

第二，内部审计关注的仍是企业的财务风险，并没有和企业的经营管理实践同步，关注的是企业的局部风险，并没有关注企业的整体风险。而内部控制则直接参与到企业的风险管理当中来，关注企业的整体风险，并且对风险的关注贯穿其运行的始终。

第三，内部审计的目标并没有直接与企业的战略目标相挂钩。内部控制则是上市公司为了保证公司战略目标的实现，由企业董事会、管理层和全体员工共同参与的活动。内部控制与企业的战略目标直接相关，而内部审计则是在保证内部控制和其他活动目标实现的同时最终实现企业的战略目标。

第四，在我国目前内部审计主要存在三种模式：即监事会领导下的内部审计模式、董事会领导下的内部审计模式及总经理领导下的内部审计模式。不论是哪种模式，其都受制于公司的某个治理层，缺乏其应有的独立性。同时内部审计的一个重要职能是对内部控制的执行情况进行审查，可以说内部审计在一定程度上是通过对内部控制的监督来实现公司治理的目的。在我国，内部审计应直接参与到公司治理当中来。

第五，在我国，内部审计多以事后审计为主，没有扩展到事前和事中审计，没有贯彻到公司的整个业务和管理流程当中，而内部控制则是与企业的整个业务和管理流程息息相关的。

三、结语

轰动一时的安然事件使我们认识到，作为外部审计的主要组织，注册会计师行业由于自身利益需求，其和企业内部管理层共同参与财务舞弊、损害投资者利益的行为已成为现实。这就要求企业在关注外部审计的同时，加强内部审计，提升内部审计地位，使内部审计与企业的公司治理直接相关。由于我国内部审计机构的特殊性即其受制于某个治理层，因此在我国首先需要加强内部审计独立性。同时风险管理理念的发展使得风险导向审计成为企业审计的发展趋势。

以公司战略目标为出发点的内部控制，其运行过程贯穿于企业的整个业务和管理流程，并且对风险的关注也贯穿于其执行的始终。内部控制的实现需要企业的董事会、管理层和全体员工共同参与，其本身就是公司治理的一种手段。

可见，不管是内部审计还是内部控制，它们的有效运行都将推动企业的风险管理和公司治理，二者的互动推进必然将成为企业应对风险、改善治理的“助推器”。

【参考文献】

[1] 丁浩：内部控制理论的产生与发展演进[J].时代金融，2010（4）.

[2] 王宏红：基于内部控制视角下的内部审计完善[J].金融财会，2010（6）.

[3] 胡为民：内部控制与企业风险管理――实务操作指南（第二版）[M].电子工业出版社，2009.

[4] 杨艳、杜知宇：企业内部审计与风险控制[J].中国经贸导刊，2009（23）.