內部控制與內部審計的區別

前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇內部控制與內部審計的區別范文，相信會為您的寫作帶來幫助，發現更多的寫作思路和靈感。

內部控制與內部審計的區別范文第1篇

一、企業內部控制審計的內容

在《企業內部控制審計指引》中就有提出，企業的內部控制審計是由會計師事務所按照相關規章制度的要求，實施企業內部控制的一種審計。與此同時，在《中國內部控制準則第2201號內部審計具體準則――內部控制審計》中也給出了企業內部控制審計的定義，也就是企業內部審計的機構在內部控制運行和設計上的有效評價與審查。當然，兩個企業內部控制的審計是有差異的，前一個本質上屬于企業內部控制中的一種外部評價審計，后者本質上屬于企業自身在內部控制上的一種內部評價審計，即企業內部控制外部審計與企業內部控制內部審計。此外，企業家總是不能理清內部控制的內部審計與內部控制的評價兩者間的關系與實施方法，事實上企業內部控制的內部審計與企業內部的控制關系，也就是內部審計跟內部控制的關系。雖然是兩個部分，但是由于都是企業的在內部控制時的評價方式，所以兩者在方法、對象、主體等基本上相差不多，許多方面可以互相學習借鑒。

二、企業內部控制審計與內部控制評價分析

企業內部控制審計是企業高管實施企業的內部控制時的一個重要過程，與企業的管理緊密相連。其中企業內部控制審計包含著風險管理與評估等；而企業的內部控制評價也同樣涵蓋著風險管理，所以企業的內部控制審計與內部控制評價存在許多的相似性。此外，企業內部控制相關規范普遍認為企業內部審計機構就是企業的內部控制評價主體，即在進行實務工作時，企業的內部控制評價要由企業內部的審計機構來完成。由于企業內部控制審計跟企業內部控制評價在定義上的相似度較高，且兩者進行實物工作時也有著緊密聯系。即便二者真的合二為一也同樣有許多的問題無法解決，相關準則規定，企業內部控制審計人員和機構對本單位的內部控制沒有執行與決策的權利，企業內部控制評價是獨立在企業的內部控制體系外的一種評價審查活動。企業內部控制審計也就自然而然的在內部控制評價系統之中獨立出來，兩者不是同一個概念，更不可能互相代替。企業內部控制評價與審計都是企業管理的一部分，對于如何展開工作，都由企業自己做決定。

三、企業內部審計與內部控制組織實施

對于企業的內部審計跟內部控制的實施來說，也就是企業內部控制審計、內部審計、內部控制的評價與內部監督等多項工作共同實施的結果，且當今企業面臨的一個問題就是企業內部審計與內部控制的處理。同時對于企業內部審計跟內部控制的看法也存在差異，其中一種觀點認為，企業內部控制與內部審計是相輔相成，二者缺一不可的一個共存體系，誰不束縛誰，誰也不是誰的概括。第二種看法則認為，內部審計屬于內部控制，內部審計不可能離開內部控制獨立存在。而第三種認為，內部審計其中的部分對象與內容就是內部控制，即內部審計涵蓋了內部控制。最后一種觀點認為，企業內部控制跟內部審計有著緊密聯系，但是卻又各自獨立，兩者之間相互作用的同時還存在區別。以上四種觀點并沒有對錯，在企業實際工作的時候，四種觀點都有可能出現。但是企業必須注意內部審計跟內部控制兩者都是開放的、發展的、動態的，內部審計與內部控制在企業長久的發展證明，兩者不管是在實踐中還是理論中，形式上還是內容上，都是從單一發展到完善，簡單發展到復雜的一個歷程。也就是企業內部審計與內部控制都將會幫助企業實現發展的目標，這也是企業目前首要的問題。

在工作實踐中，許多企業都可以在開展了內部審計、控制或是其他有關控制的活動前提下，按照自身需要或是其他方面的需求對企業內部控制與內部審計進行完善，進而更好的對企業進行內部審計或是內部控制。在企業可以承受組建的成本下，企業同時組建內部控制跟內部審計這樣的兩套系統是有必要的，還可以建立兩個互相獨立且可以分別對企業實施內部控制和內部審計的機構。換句話說，如果這樣的辦法有效，內部審計跟內部控制兩者不需要互換身份就可以做到自身以前做不到的事。

內部控制與內部審計的區別范文第2篇

[關鍵詞]風險導向內部審計；風險管理；風險導向外部審計

風險導向內部審計是以對整個組織的風險進行評估與改善為最終目的的一種審計理念。IIA（內部審計委員會）于2001年在其的《內部審計實務標準》中對內部審計的定義，就是風險導向內部審計的體現。根據該定義，推行風險導向內部審計就是要求內部審計以內部控制作為生存與的基礎，以公司治理作為參與風險管理的前提條件，以對組織風險的評估與改善作為基本目標[1].

一、風險導向內部審計產生的現實背景

風險導向內部審計是環境的產物，它的產生有其現實背景，其中，企業面臨的高風險經營環境引起企業對內部審計的需求的變化是風險導向內部審計產生的內部背景，而審計外部化趨勢侵蝕內部審計生存的職業空間是風險導向內部審計產生的外部背景。

（一）現代企業面臨的高風險經營環境引起企業對內部審計的需求的變化

由于技術的快速創新以及由此導致的制度創新，現代企業所面臨的商業環境和市場競爭不確定性越來越大，一方面變化周期縮短，商業環境和市場競爭的變化速度超過了以往任何；另一方面商業環境和市場競爭變化越來越徹底，企業明天的生存與發展環境可能與今天的幾乎沒有任何必然的聯系，現代企業處于高風險的經營環境之中。

在這樣的環境中，企業生存與發展的關鍵，更多地取決于對未來環境變化的適應和把握。企業必須在戰略目標、重大投資決策、日常經營活動和績效評估等各個方面高度關注風險因素[2].因此，企業要求職能部門在進行各自活動的時候高度重視風險，并將其納入到企業的整體風險管理范圍當中，組織各個管理或治理層次、各個職能部門為實現企業的基本目標而進行全面的風險管理。風險管理成為高風險環境下企業活動的中心任務。國際上很多著名的企業甚至成立了專業的風險管理部門進行整合的風險管理，許多小型的公司則指定專門的人員負責實施全面的風險管理。這些專業的風險管理，使用一整套包括風險識別、風險評估、風險控制以及風險融資、危機和索賠管理在內的、相對完整的風險管理程序和，把以前分別由安全健康部門通過保險市場進行管理的實質性風險和由財務部門通過資本市場進行管理的財務性風險整合起來，由專門的風險管理部門通過更為高級的風險管理市場加以管理[3].

內部審計作為企業內置的一個職能部門，必然應當成為企業風險管理的有效組成部分，從組織目標的角度來評估與改善風險，為專業的風險管理部門或專職的風險管理人員提供咨詢與保證服務，從而推行風險導向內部審計。

（二）企業內部審計外部化趨勢侵蝕內部審計生存的職業空間

內部審計外部化，是指企業將內部審計的部分或全部職能交由外部的師事務所等中介機構來完成，企業同時給這些機構支付相應的費用的現象。企業在激烈的市場競爭中，可以根據自身的比較優勢，積極發揮核心競爭力，專注于自己擅長的項目，把自己不擅長的項目外包出去。以下因素促進了內部審計外部化的日益發展：首先，內部審計作為一個企業的內部職能活動，在時間上具有重復性的特點，基本符合外包項目的初步條件；其次，外部審計出于控制審計風險的需要，在報表審計的過程中十分重視對企業內部的審查與評價，在長期報表審計實踐中對企業內部控制評價逐漸形成了專業上的相對優勢，這使得外部審計參與內部審計外部化成為可能；再者，近年來外部審計的審計業務面臨日益嚴重的訴訟危機、同業低價競爭危機，由審計業務收費帶來的收入持續降低，非審計服務的收費甚至成為各大會計師事務所收入的主要來源，外部審計被迫將業務轉向內部審計外包和管理咨詢等非審計服務；最后，管理者或出于成本效益原則的考慮，或為了報表審計的意見類型，或為了誘使外部審計降低審計收費，越來越傾向于內部審計外包。內部審計外部化在客觀上使得內部審計和外部審計在管理者面前展開激烈的業務競爭，動搖內部審計在組織中的地位，威脅內部審計的職業生存。在這種危機面前，內部審計為整個組織提供風險方面的咨詢與保證服務，積極推行風險導向審計，將提高其在組織中的不可替代性，減弱外部化帶來的不利影響，從而保持與擴展其職業生存空間。

二、風險導向內部審計的基本特點

（一）內部控制是風險導向內部審計的基礎

對于內部審計，內部控制極端重要。首先，從上講，內部審計是內部控制的一個重要環節，是對其它內部控制環節的再控制，沒有內部控制就沒有內部審計；其次，自從走上獨立的職業化道路以后，內部審計把內部控制作為其基本業務這一事實始終未變。《內部審計實務標準框架》雖然將內部審計的業務范圍拓展到風險管理和治理程序，但是依然將控制的評估和改善作為其三大之一；再次，內部控制還是內部審計其它兩個業務活動的基礎。內部審計工作要得到董事會和審計委員會的認可與采信，最重要的是因為內部審計師作為內部控制方面的專家，而不是風險管理方面的專家。內部審計要對公司的風險管理加以評估與改善，也首先得從內部控制領域中的風險做起。可見，內部控制是內部審計的安身立命之本，是風險導向內部審計進入公司治理、評估改善組織風險的基礎。

（二）對風險的評估與改善是風險導向內部審計的首要目標

不論內部審計對內部控制進行評估與改善，還是對公司治理程序進行評估與改善，都應該是以風險評估與改善作為首要目標。如果說公司治理是企業董事會對風險管理的戰略反應、內部控制是企業對風險的戰術反應，那么內部審計就是對組織全部風險的一般反應，其一切活動都要以風險作為出發點和落腳點。首先，內部審計充分利用在內部控制領域的專家地位，聯系組織的目標評估與分析內部控制中的風險，直接報告給管理者，在需要時通過審計委員會報告給董事會；其次，內部審計幫助董事會在進行戰略決策、重大人事的任免和重大的投資和財務計劃的制訂方面識別和評估風險，以確保組織重大決策的正確實施；最后，內部審計要利用自己對組織內部的全面了解和對風險的直觀認識，為專業的風險管理部門提供咨詢與保證活動，參與企業的整合風險管理。總之，風險導向內部審計不是在簡單的內部控制領域消極地查錯防弊，而必須以組織的整體風險評估作為自己的首要工作目的。

三、企業風險管理框架與風險導向內部審計的聯系

在IIA通過修改內部審計定義倡導風險導向內部審計以后，COSO（反欺詐性財務報告委員會）在2004年正式提出《企業風險管理框架》（簡稱ERM），重新修改了內部控制的定義。新定義將原來的內部控制進行了多方面的修改與補充，更突出了對企業風險的高度關注，這與IIA以整個組織風險的評估與改善為中心任務的風險導向審計理念不謀而合。因而，探討風險導向內部審計與企業風險管理框架之間的聯系，就成為探討風險導向內部審計無法回避的理論之一。

（一）風險導向內部審計的對象就是風險管理框架

盡管1992年COSO的整體架構在提高人們對內部控制的認識程度、加強內部控制在公司治理中的作用方面發揮了重要的作用，但是沒有將確定目標、戰略規劃、風險管理和糾錯行動包括在內。自從其以來，遭受了持續的批評甚至否定。內部控制整體架構被普遍認為是用來減少外部審計職業風險，而非服務于管理者的、以企業財務控制為中心的財務報告質量控制框架，CoCo控制指南、MBNQA評價標準、IIA內部控制指南紛紛出臺并在企業風險日益威脅企業生存的環境中得到越來越廣泛的。COSO整體架構面臨嚴峻的挑戰，企業風險管理框架就是COSO應對這種挑戰的產物[4].

ERM是一個包含四個目標、八個要素和四個層次的整合框架，四個目標、八個要素和四個層次相互交叉，和原來的ICIF相比，完全體現了管理者以企業風險管理為己任的理念。首先，ERM在目標方面增加了戰略目標，將對企業的風險關注重點引向了重大的、根本性的戰略；其次，在ICIF五要素的基礎上增加了目標設定、事件識別和風險評估三個要素，與原來的風險評估要素一起構成了一個完整的風險管理的基本過程；最后，ERM強調將企業風險管理覆蓋所有層次，包括業務單元、子公司、分支機構和公司的整體層次，而業務單元、子公司、分支機構和公司的整體層次正是公司治理和內部控制涉及的全部領域。可見，ERM是一個整合公司治理和內部控制的企業風險管理框架，它關注包括公司治理領域和內部控制環節的風險在內的一切風險，而公司治理領域和包括內部控制環節的風險在內的所有風險正是風險導向內部審計的對象。所以，企業風險管理框架就可以被視為風險導向內部審計的對象。

（二）企業風險管理框架為實踐風險導向內部審計提供了現實指導

風險導向內部審計為企業在高風險環境中的內部審計提供了一種新的理念，但是這種新的理念并沒有為內部審計人員實踐風險導向內部審計提供一個可以據以操作的具體思路。內部審計想要實踐風險導向內部審計，就必須根據一般的風險管理模式開發與維護內部審計的風險管理審計程序。這就產生了以下問題：第一，開發與維護內部審計的風險管理審計程序需消耗額外的內部審計資源；其次，內部審計開發出來的風險管理審計程序可能和企業內部既有的風險管理程序發生沖突，在缺少權威性的專業指導時得不到重視。ERM的出臺為風險導向內部審計提供了權威的工作依據。根據ERM，風險導向內部審計的工作就可以有條不紊地分解為：針對組織特定目標（戰略目標、報告目標、經營目標與合法性目標）、特定的管理層次（組織整體層面、分部、經營單元、子公司）實施各自的風險審計程序（內部環境、目標制定、事項識別、風險評估、風險反應、控制活動、信息和溝通），內部審計無須在目標制定環節之外另外尋求其它的目標分類標準，無須為確定審計范圍進行太多的思考，更無須為風險導向審計程序本身的設計投入更多的資源。

四、風險導向內部審計與風險導向外部審計的差異

在IIA倡導風險導向內部審計以前，外部審計就在實施風險導向外部審計。風險導向外部審計是指外部審計為了適應審計業務量巨大的增長，降低審計成本，高效利用審計資源的同時有效降低審計風險而開發的一種審計風險模式，它是對制度基礎審計的高度深化與全面，正日益受到審計界的推崇和實務界的青睞。因此，探討風險導向內部審計與風險導向外部審計兩者的差異就成為風險導向內部審計的又一個基本的問題。

雖然風險導向內部審計與風險導向外部審計都高度重視對審計客體的風險評估，但是“風險導向”的內涵、目標和范圍在內部審計和外部審計中是完全不一樣的。

（一）兩者的內涵不同。風險導向內部審計是以內部審計的主體組織的內部控制為基礎、同時考慮公司治理在內的、以組織整體風險作為審計重點的一種審計。這里的風險突出的是審計對象的含義；而風險導向外部審計是指審計主體在進行審計程序時，首先評估企業的風險，然后依據風險評估的結果來確定審計的重點，從而決定審計資源的分配，進而確定余額測試和交易測試的。這里的風險導向實質是一種審計策略。

（二）兩者的目標不同。風險導向內部審計的目標在于通過對風險評估來提出風險管理的對策，有效降低所在組織的風險，從而增加企業的價值，充分發揮內部審計的作用。而風險導向外部審計的目標則在于審計主體的利益最大化。這個目標通過以下方式實現：第一，提高審計效率。企業進行財務造假或進行虛假陳述，往往是在企業無法完成既定目標的領域、也就是企業的高風險領域發生的。而在低風險領域，企業沒有相應的動機。因此外部審計可以首先識別出企業的高風險領域，進而集中審計資源進行重點、詳細的審計，從而提高審計的效率。第二，降低審計風險。在不存在責任的情況下，審計風險并不會給審計主體帶來利益上的傷害，但是現代資本市場中投資者和其它第三方經常以侵權或違約來對外部審計提起訴訟，使其承擔巨額的損害賠償責任，從而現實地到審計主體的利益。而風險導向審計的宗旨就是使審計風險處于嚴密的控制之下，有效地減少外部審計的法律責任，因而風險導向外部審計的目標就是通過提高審計效率、降低審計風險來服務于審計主體，以維護審計主體自身的利益。

（三）風險范圍不同。作為審計的內容，風險導向內部審計中的風險是針對組織所有目標、所有管理層次的各種性質的全部風險，它可以理解為ERM中的關注全部風險，其中包括戰略風險、報告風險、遵循風險和經營風險。而作為審計的策略，風險導向外部審計中的風險只是與企業報告的編制流程相關的、影響企業報表公允性的內部控制失效風險，它基本上等同于1992年ICIF關注的風險和ERM關注的部分風險———報告風險中的財務報告風險。

五、結論與現實啟示

風險導向內部審計是內部審計在高風險產生的、為了應對職業危機而推出的一種全新的審計理念。IIA通過修改內部審計定義加速了它的發展并使其成為現代內部審計發展的一種必然趨勢。我們還注意到，風險導向內部審計與傳統的控制導向內部審計相比有其獨特的業務范圍、服務對象和審計內容；同時，IIA風險導向內部審計與COSO的企業風險管理框架之間存在著內在的聯系，但卻與風險導向外部審計存在著本質的區別。在國際范圍內推行風險導向內部審計，就是要在傳統內部審計的基礎上積極拓展業務范圍，提升服務的層次，變革審計內容，有效借鑒企業風險管理框架提供的思路，并嚴格將其與風險導向外部審計區別開來。

與國際內部審計的實踐相比，我國的內部審計實踐尚處于較初級的階段，這表現在我國現行的內部審計準則沒有要求內部審計涉足公司治理領域，從而對組織的風險管理活動進行評估與改善，而只要求對內部控制進行評價和監督。但是，我國在內部審計發展過程中，風險導向內部審計產生與發展的現實背景同樣存在。因此，我國也應該逐步推行風險導向內部審計。在我國推行風險導向內部審計，可以考慮從控制領域開始，以識別和評估組織風險作為內部控制評價與監督的目標，而把內部控制評價和監督作為風險管理的手段。只有這樣，我國內部審計才能為組織提供更多的增值服務，從而提高在組織中的地位，未雨綢繆，消除潛在的職業危機。

[]

[1]王光遠。管理審計理論[M].北京：人民大學出版社，1996.

[2]中國內部審計協會。中國內部審計規定與中國內部審計準則[S].北京：中國石化出版社，2004.

內部控制與內部審計的區別范文第3篇

關鍵詞：風險導向審計；全面風險管理；內部審計準則

中圖分類號：F239.2 文獻標識碼：A 文章編號：1001—6260（2012）04—0149—07

中國內部審計協會一直致力于建立一套以內部控制和風險管理為導向的內部審計準則體系。但是，由于內部控制與風險管理之間的關系還沒有理順，這直接導致風險導向審計中的風險定位問題存在較大爭議。正因為如此，中國內部審計準則中與內部控制和風險管理相關的各審計準則之間的關系也有待進一步明確，譬如：第5號準則《內部控制審計》與第16號準則《風險管理審計》之間是何關系；第12號《遵循性審計》、第21號《內部審計的控制自我評估法》、第25號《經濟性審計》、第26號《效果性審計》和第27號《效率性審計》等準則之間及其與第5號、第16號準則之間是何關系。在實務中，內部審計人員也產生了一些困惑：內部控制審計和風險管理審計究竟有何不同？風險導向審計與全面風險管理之間是何關系？因此，有必要在中國內部審計協會修訂內部審計準則之際，對這些問題進行探討①。

一、內部控制與風險管理之間的關系

在2003年6月實施的第5號準則《內部控制審計》中，中國內部審計協會提出，內部控制涵蓋風險管理，風險管理是內部控制的五要素之一，并專門制訂了《風險管理審計》準則。EOSO（2004）認為風險管理涵蓋內部控制，其表述是：“內部控制是企業風險管理不可分割的一部分。”謝志華（2007）認為風險管理與內部控制雖表述不同，但涵義相同。

那么，二者之間究竟是何關系？問題的關鍵在于認清內部控制的本質。COSO（1992）指出：“內部控制是一個由企業董事會、管理層和其他員工實施的，為經營的效率效果、財務報告的可靠性、相關法律法規的遵循性等目標的實現提供合理保證的過程。”這種將內部控制理解為“一個過程”的做法被2008年5月中國財政部、證監會、審計署、銀監會、保監會等五部委（下稱“五部委”）的《企業內部控制基本規范》（下稱《基本規范》）所采用。但是，“一個過程”的提法只是說明了一個事實，即內部控制是與企業的經營管理活動交織在一起而發揮作用的過程，它并沒有給內部控制定性。COSO（1992）對“一個過程”有如下解釋：“組織中各單位或各職能部門內部或跨單位或職能部門所實施的經營過程，都是通過計劃、執行和監控等基本的管理過程來加以管理的。內部控制是這些過程的一部分，并與它們整合在一起。內部控制能讓這些管理過程發揮作用，并對其實施和持續的關聯性進行監控。內部控制是一個管理工具，而不是管理的替代品。”從中可以看出，COSO是結合管理過程來論述內部控制過程的，它認為內部控制是管理過程的一部分，是其中履行監控職能的管理工具。

那么，如何理解作為管理工具的內部控制呢？我們需要從管理的職能談起。法約爾（1982）認為，管理有計劃、組織、指揮、協調和控制等五大職能，他指出：“在一個企業里，控制就是要證實一下是否各項工作都與已定計劃相吻合，是否與下達的指示及已定原則相吻合。控制的目的在于指出工作中的缺點和錯誤，以便加以糾正并避免重犯。”美國著名管理學家Robbins（1994）在法約爾五職能說的基礎上提出了管理四職能說，即：計劃、組織、領導、控制等職能。他認為，控制職能是指監控計劃執行、比較分析偏差、糾正錯誤，確保計劃順利實施。可以看出，COSO對內部控制的解釋與管理學中對“控制”的解釋并無不同，都指出要保證計劃的實施，都提及要對偏差進行監控。這樣看來，COSO所講的內部控制就是管理學中的“控制”。

法約爾（1982）在論述“控制”職能時，就使用了“內部控制”的提法，他說：“這里，我只討論管理問題，所以就不談兩個企業之間的控制問題了……我著重談一下企業內部控制，這種控制的目的是專門為了有助于各部門的工作的順利進行，而總的來講也有助于企業運營的順利進行”（法約爾，1982）。可見，法約爾認為在一個企業內部討論管理中的控制問題，可以用“內部控制”的提法。

以上分析足以證明內部控制就是控制。應該說，我們之所以稱“控制”為“內部控制”是相對于外部監管而言的，強調的是企業自身應該重視對其經營管理活動的有效監控。以COSO為代表所開展的內部控制研究豐富和發展了“控制”理論，使我們更深入地了解“控制”在管理過程中發揮作用的方式和內在機理。但內部控制并不是一個獨立于“控制”之外的，或與“控制”并列的一個新事物，它就是“控制”。因此，內部控制的本質就是管理職能中的控制職能。

既然內部控制只是一項管理職能，那么只要是管理活動，它就應該涵蓋內部控制，因此，COSO（2004）認為風險管理涵蓋內部控制是有道理的。自然，內部控制就不可能涵蓋風險管理。在中國的《內部控制審計》準則中，將風險管理作為內部控制的一個要素值得商榷。COSO（1992）和中國《基本規范》認為內部控制由五要素構成，即控制環境（內部環境）、風險評估、控制活動、信息與溝通和監控。其中，都用到“風險評估”的提法。而COSO（2004）認為，內部控制由八要素構成，將風險評估要素細化為“目標設定”、“事項識別”、“風險評估”和“風險應對”等四個要素。但是，無論是五要素觀還是八要素觀，都沒有使用“風險管理”的提法。COSO（2004）的標題就是《企業風險管理——整合框架》，其認為，在內部控制的要素中用“風險管理”的提法容易產生歧義，不如用“風險評估”好。

內部控制職能論也可以解釋謝志華（2007）關于內部控制與風險管理涵義相同的觀點。企業是一個風險組織，不冒風險的企業是不存在的。企業為達成自身目標，要采取有效措施防范和化解其所面臨的各類風險。因此，可以認為，企業管理就是風險管理，或是“全面風險管理”。企業在“全面風險管理”之中，要綜合運用計劃、組織、領導和控制職能。如果側重于強調控制職能在“全面風險管理”中的重要性，則可以將企業管理稱之為“內部控制”。這樣看來，內部控制和風險管理是同義語。用內部控制，是從管理職能上來講的，側重于強調控制職能的發揮；講風險管理則是從控制的對象上來講的，側重于強調風險控制的重要性。通俗來講，內部控制，控制的是風險，風險管理，管理的也是風險，二者涵義相同。

二、風險導向審計中的“風險”定位

在風險導向審計方法引入中國后，理論界圍繞風險導向審計中的風險定位問題進行了討論：陳毓圭（2004）認為是經營控制風險（含企業的經營戰略及其業務流程）；謝榮等（2004）認為是企業戰略風險及相關經營環節風險（統稱經營風險）；王澤霞（2004）認為是管理舞弊風險；許莉（2005）認為是指被審計單位的“重大錯報風險”；趙德武等（2006）認為是治理系統風險（含公司治理和內部控制）。評述這些觀點的立場有三個：一是將企業管理等同于風險管理；二是將內部控制等同于風險管理；三是要區分風險評估的對象和結果。風險導向審計中“風險”定位之爭的焦點是審計人員在評估審計風險時，所評估的對象究竟應該是什么。至于評估審計風險后，得出評估對象“重大錯報風險”的情況如何則是評估的結果，不能將“對象”與“結果”混淆。基于上述立場，可以將理論界對風險的不同定位統一于“企業全面風險”之中。具體分析如下：

1.經營風險就是企業全面風險

陳毓圭（2004）和謝榮等（2004）所述的經營控制風險和經營風險，實質上就是企業全面風險。他們將風險評估的對象定位為“企業的經營戰略及其業務流程”和“企業戰略風險及相關經營環節”。從中可以看出，都涵蓋了企業戰略層面和經營層面的風險，這就是“企業全面風險”。但是，用“經營風險”的提法容易產生歧義，以為僅指企業經營層面的風險，而不包括戰略層面的風險，不如用“企業全面風險”好。并且，用“企業全面風險”還可以與“企業全面風險管理”直接對接。這在國資委《中央企業全面風險管理指引》、國際標準化組織《ISO 31000風險管理——原則與指南》、中國標準化委員會國家標準《GB/T 24353—200險管理——原則與實施指南》的背景下，顯得更為必要。企業要實施“全面風險管理”，相應地，審計人員風險評估的對象就應該是“企業全面風險”，從而使得審計部門和審計人員在“企業全面風險管理”中發揮應有的作用。

2.管理舞弊風險是企業全面風險的一部分

王澤霞（2004）將風險評估的對象定位為管理舞弊風險。這一觀點主要針對管理層財務報表舞弊提出，試圖通過重點評估管理舞弊風險來降低審計風險，這一做法只能算是權宜之計。試想，如果迫于法律和監管的壓力，管理層不敢進行財務報表舞弊了，那么，管理舞弊導向審計也就沒有存在的理由了。從內部審計的角度看，審計的目標不僅僅是“防弊”的問題，而是“防弊、興利、增值”三大目標。顯然，王澤霞（2004）對風險評估的對象界定過窄。按照五部委（2008）《基本規范》中的規定，企業全面風險應該包括：戰略風險、合規風險、資產安全風險、財務報告風險、經營風險等。按大類就是兩類，即戰略層面的風險和經營層面的風險。管理舞弊風險只是合規風險中的一個方面。將風險評估的對象定位為管理舞弊風險只能算是一種審計策略，只是注冊會計師在管理層舞弊比較嚴重的情況下，在審計實務中運用的一種審計方法，不宜將其作為風險導向審計中的“風險”定位。

3.重大錯報風險的提法混淆了風險評估的對象和結果

許莉（2005）認為，風險導向審計中的風險，無論是所謂傳統的還是現代的，都是指被審計單位可能帶來審計風險的風險，在現代風險導向審計中就是指被審計單位的“重大錯報風險”。這一提法混淆了風險評估的對象和結果。是否存在重大錯報風險是審計人員通過風險評估后進行職業判斷的結果。將一個職業判斷的結果作為風險導向審計“風險”的定位顯然不妥。現代風險導向審計與傳統風險導向審計的區分并不在于審計風險模型用“審計風險=重大錯報風險×檢查風險”取代了“審計風險=固有風險×控制風險×檢查風險”，而是強調了“自上而下”和“風險導向”的原則，強調既要有“森林”也要有“樹木”。不能就報表而審計報表，要站在企業全面風險管理的視角來看報表。作為風險評估的結果，“重大錯報風險”的提法可以運用于注冊會計師財務報表審計中。但是站在內部審計的視角，就不僅僅是錯報的風險問題，而是企業全面風險的問題。在第17號準則《重要性與審計風險》第十七條中就有規定：“審計風險包括兩方面內容：一是重大差異或缺陷風險。是指被審計單位經營活動及內部控制中存在重大差異或缺陷的可能性；——是檢查風險。是指審計人員未能通過審計測試發現重大差異或缺陷的可能性。”這里的“重大差異和缺陷風險”可以對應于注冊會計師審計風險中的“重大錯報風險”，它也是內部審計人員風險評估后的結果。雖然內、外部審計在風險評估的結果上用詞不同，但是風險評估的對象都是“企業全面風險”。基于此，建議將第17號準則中的“重大差異或缺陷風險。是指被審計單位經營活動及內部控制中存在重大差異或缺陷的可能性”表述改為“重大差異或缺陷風險。是指被審計單位全面風險管理中存在重大差異或缺陷的可能性”。

4.治理系統風險就是企業全面風險

趙德武等（2006）認為是治理系統風險（含公司治理和內部控制），并指出公司治理是針對企業高層管理人員，而內部控制針對的是企業中低層人員。根據內部控制職能論，公司治理也需要運用控制職能，不可能只是對企業中低層人員的管理才需要內部控制，只要是管理就需要控制。撇開此點不論，趙德武等（2006）的治理系統風險也涵蓋了企業全面風險，企業全員參與并受控。一般而言，公司治理主要涉及公司高層管理，那么，可以認為企業管理涵蓋公司治理。但事實上，企業管理與公司治理的邊界并不清晰，在早期企業中，或者在現代小企業中，一般就叫企業管理，而很少稱之為公司治理。只是自1932年伯利和米恩斯發表《現代公司與私有財產》提出“所有權和控制權分離”的命題以來，理論界才逐漸有了公司治理之說，公司治理才逐漸從企業管理中分離出來。但是公司治理從本質上講仍是企業管理，管理的職能仍然適用于公司治理之中。如果把公司治理泛化，使其包括中低層人員參與的日常管理，則公司治理可以等同于企業管理。趙德武等（2006）采取的正是這一做法，而企業管理就是風險管理。因此，治理系統風險就是企業全面風險。

基于以上認識，風險導向審計中的風險應該定位為“企業全面風險”。相應地，就內部審計而言，風險導向審計是指內部審計部門和人員為有效履行其在風險管理中的職責，基于對企業全面風險的評估，針對重大差異或缺陷風險，制訂和實施的一整套審計方法。

三、風險導向審計與全面風險管理的關系

1999年6月，國際內部審計師協會理事會批準了關于內部審計的新定義：“內部審計是一種獨立、客觀的保證與咨詢活動，旨在增加價值和改善組織的運營。它通過應用系統的、規范的方法，來評價和改善風險管理、控制及治理過程的效果，幫助組織實現其目標。”與此同時，《國際內部審計專業實務框架》（IPPF），并于2001年正式實施。新的框架在內容上全面體現了風險導向審計的思想，內部審計進入風險導向審計階段。2004年9月，COSO《企業風險管理——整合框架》，將其1992年、1994年修訂的內部控制框架發展為企業風險管理框架，強調了全面風險管理的重要性。國際內部審計師協會立即做出反應，于當月29日，以立場公告（Position Statement）的形式《內部審計在全面風險管理中的作用》報告，明確指出：內部審計在企業風險管理中的核心作用在于，客觀地保證董事會在企業風險管理活動的作用得以有效發揮，為保證關鍵經營風險被恰當地為管理提供幫助，并保證內部控制系統有效運行。具體包括：為企業風險管理過程提供保證；為正確識別風險提供保證；評估風險管理過程；評估關鍵風險報告和評價關鍵風險的管理。

中國內部審計協會從2005年底以來，力推內部審計從“以真實性、合規性為導向的財務審計為主”向“以財務審計與內部控制和風險管理為導向的管理審計并重”的方向全面轉型。內部審計應在企業風險管理中發揮作用，為企業提供增值服務，這已日益成為中國內部審計理論界和實務界的共識。

那么，內部審計該如何有效發揮其在企業全面風險管理中的作用呢？如前所述，風險導向審計中的風險應該被定位為“企業全面風險”，這就為內部審計發揮其應有作用找到了切人點，也為風險導向審計與全面風險管理之間的聯系建立了內在基礎。風險導向審計與全面風險管理存在的聯系和區別表現為：

1.二者之間的聯系

企業全面風險管理的對象是企業全面風險，而風險導向審計中所評估的風險就是企業全面風險。企業推行全面風險管理是基礎，而風險導向審計是保障。風險導向審計通過對企業全面風險的評估，提出進一步改進措施，為全面風險管理的有效實施出謀劃策。同時，內部審計部門也可以通過對企業全面風險的評估合理分配審計資源，將審計的重點放在風險較大的領域，從而更好地提供增值服務。

2.二者之間的區別

（1）實施主體不同。全面風險管理是在企業董事會的戰略決策和領導下，為實現企業戰略和經營目標，由企業管理層組織實施、全員參與的經營管理工作。風險導向審計是在企業董事會的領導下，由內部審計部門組織實施的對企業全面風險管理工作的有效性進行監控的工作。

（2）內涵不同。全面風險管理是一個管理過程，而風險導向審計是一套審計方法。

（3）風險導向審計既以全面風險管理為基礎，又具有相對獨立性。風險導向審計中的風險評估對象是企業的全面風險。企業管理越規范，開展全面風險管理的水平越高，相應地，內部審計部門開展風險導向審計的基礎也越好，對風險的評估會更為準確，審計工作更為有效。但是這并不意味著企業不開展全面風險管理，內部審計部門就無法開展風險導向審計工作。企業管理就是風險管理。因此，無論企業是否推行命名為“全面風險管理”的管理舉措，事實上都是在進行風險管理，只不過推行“全面風險管理”會使得企業管理工作更加規范，更能全面識別和防范企業面臨的各類風險。風險導向審計作為一種審計方法，不依賴企業是否推行全面風險管理制度而獨立存在，這一方法的優點主要有：一是有利于合理配置審計資源；二是能為企業提供增值服務。當然，歸根結底是第二點，因為只有通過風險評估找到“重大差異或缺陷風險”，才能合理配置審計資源，才能指出企業風險管理中存在的問題，并提出改進建議，從而為企業提供增值服務。內部審計提供增值服務的對象是企業的管理層，提供增值服務的水平如何體現的是內部審計人員的專業勝任能力。如果企業風險管理水平較差，內部審計人員將會很容易指出企業管理中存在的問題，從而實現自身價值；反之，則對內部審計人員提出了挑戰，很有可能難以提出有建設性的意見。這就說明，風險導向審計方法運用的關鍵在于內部審計人員對企業全面風險管理的認識，而不在于企業推行全面風險管理的實際情況如何。每一個內部審計人員都應該形成一個對所在企業規范的全面風險管理的總體把握，這是開展風險評估的基準線。在此線之下的，就存在差異和缺陷，需要改進。當然，這條線如何定，體現了內部審計人員的專業勝任能力，因此，風險導向審計方法的實施給內部審計人員帶來了挑戰，其必須具有全面評估企業風險管理狀況的水平。這樣看來，風險導向審計方法中，內部審計人員對企業風險進行評估時，企業風險管理的標準自存在于內部審計人員心中，并隨著企業規模的擴大和業務范圍的拓展而改變；其標準只能比企業現行的全面風險管理水平更高，至少不能低，這樣才能提供增值服務。因此，風險導向審計具有相對獨立性。

（4）二者對風險的評估結果不完全相同。如表1所示，二者對風險的評估結果有四種組合。二者都評價為高，說明這是一個高風險的領域，管理部門和審計部門均認為需要投入更多的資源進行管理和審計。二者都評價為低，說明這是一個低風險的領域，管理部門和審計部門均認為不需要投入更多的資源進行管理和審計。在呈現高低組合的情況下，若風險導向審計評價為高，全面風險管理評價為低，有兩種可能：一種是管理人員水平低，應該識別的重大風險沒有識別出來；另一種是審計人員水平低，本無風險卻認為有重大風險。若風險導向審計評價為低，全面風險管理評價為高，則一種解釋與前同；另一種解釋是，確實是高風險的領域，但通過管理部門的風險管理，風險降低了，審計人員認為風險管理有效，將其評價為低風險的領域。

風險導向審計與全面風險管理之間錯綜復雜的關系，使得人們產生了理解上的歧義，有必要對此加以分析。上述研究結論為進一步提出風險管理相關內部審計準則的修訂建議打下了堅實的基礎。

四、風險管理相關內部審計準則的修訂建議

由于現行內部審計準則是以內部控制和風險管理為導向的，所以整個準則體系，從《內部審計基本準則》到《內部審計具體準則》和《內部審計實務公告》，都與風險管理相關。但是，限于篇幅，本文僅探討其中與風險管理直接相關的幾個具體準則，包括：第5號《內部控制審計》、第12號《遵循性審計》、第16號《風險管理審計》、第21號《內部審計的控制自我評估法》、第25號《經濟性審計》、第26號《效果性審計》和第27號《效率性審計》等準則。

這些準則可以分為兩個層次：一是總體層，包括第5號《內部控制審計》、第16號《風險管理審計》和第21號《內部審計的控制自我評估法》；二是具體層，包括第12號《遵循性審計》、第25號《經濟性審計》、第26號《效果性審計》和第27號《效率性審計》。

1.總體層次風險管理內部審計準則修訂的建議

首先，第5號《內部控制審計》和第16號《風險管理審計》這兩個準則可以合二為一，因為內部控制與風險管理涵義相同，所以不需要分別制訂兩個準則，可以用一個準則來涵蓋這兩個準則所包括的內容。也可以考慮為新修訂的《內部控制審計》準則制訂一個《風險評估》實務公告，將現行《風險管理審計》準則中的內容涵蓋在內。

其次，第21號《內部審計的控制自我評估法》與新修訂的《內部控制審計》準則之間的關系要理順。《薩班斯法案》頒布以后，美國上市公司管理層內部控制自我評估和會計師事務所的內部控制審計成為法定要求。依《薩班斯法案》成立的美國上市公司會計監管委員會（PCAOB）先后制訂了第2號和第5號審計準則來規范會計師事務所對內部控制的審計。2007年6月的取代第2號審計準則的第5號審計準則命名為《與財務報表審計相結合的財務報告內部控制審計》。同年，美國證交會（SEC）《管理層財務報告內部控制指引》，對上市公司管理層內部控制自我評估進行規范。中國財政部等五部委為加強內部控制監管，也于2010年4月了《企業內部控制配套指引》（含《企業內部控制應用指引》、《企業內部控制評價指引》和《企業內部控制審計指引》）。

PCAOB第5號審計準則和中國五部委《企業內部控制審計指引》，都是內部控制審計準則，是站在注冊會計師審計的立場做出的規范。而SEC《管理層財務報告內部控制指引》則是對管理層內部控制自我評估的規范。與之對應的是中國五部委的《企業內部控制評價指引》，這一指引的正是為了規范審計部門開展內部控制自我評估工作。那么，在中國監管當局已經內部控制相關規范的背景下，第5號準則《內部控制審計》該如何修訂？第21號準則《內部審計的控制自我評估法》該如何定位？

在中國五部委《企業內部控制配套指引》后，按要求必須執行的公司，其審計部門每年都要對內部控制進行自我評估，其董事會要據此出具內部控制自我評估報告。內部審計部門進行自我評估的標準就是《企業內部控制評價指引》。因此，中國內部審計協會對第5號準則《內部控制審計》修訂時，有必要吸收和借鑒《企業內部控制評價指引》的規定，以便于內部審計人員同時遵循這兩個規范的要求。而第21號準則《內部審計的控制自我評估法》則是規范企業內部管理人員進行內部控制自我評估的準則。評估的主體是企業內部管理人員，內部審計部門主要扮演組織者和咨詢專家的角色，所以在標題中不宜突出內部審計的作用。建議將題目改為《內部控制的自我評估》，以示與《內部控制審計》準則相區別。同時，在行文中，要避免出現內部控制審計的說法。若有，相關條文也應該直接與《內部控制審計》準則銜接，不宜再行做出規定。

2.具體層次風險管理內部審計準則修訂的建議

具體層次風險管理內部審計準則修訂主要是要理順它們與新修訂的《內部控制審計》準則之間的層次關系。從層次關系來看，它們與新修訂的《內部控制審計》準則之間是主從關系，《內部控制審計》準則居于主導地位，具體層次風險管理審計準則居于從屬地位，其相關規定不能逾越《內部控制審計》準則。同時要明確，第12號《遵循性審計》準則是為了防范企業全面風險管理中的合規風險；第25號《經濟性審計》、第26號《效果性審計》和第27號《效率性審計》準則是為了防范企業全面風險管理中的經營風險。也就是說，“3E”審計并非游離于《內部控制審計》準則之外，它是《內部控制審計》準則的延伸，是對《內部控制審計》準則中為防范經營的效率與效果風險和合規風險而開展的相關審計工作的具體規范。審計人員在年度內部控制自我評估時，應該運用具體層次風險管理審計準則的要求，全面評估企業風險管理中存在的問題。而在日常審計工作中，則可以就某一部門、某一業務、某一流程、某一項目分別運用《遵循性審計》、《經濟性審計》、《效果性審計》和《效率性審計》等準則進行專項審計。

這樣看來，新修訂的總體層次的風險管理內部審計準則有兩個，即《內部控制審計》和《內部控制的自我評估》；具體層次的準則有四個，分別是《經濟性審計》、《效率性審計》、《效果性審計》和《遵循性審計》。同時，建議從總體層次到具體層次連續編號，或借鑒中國注冊會計師審計準則的編號方式進行分類分層編號。此外，還可以制訂幾個相關的實務公告，如《風險評估》、《內部控制的自我評估》等。

參考文獻：

伯利，米恩斯.2005.現代公司與私有財產[M].甘華鳴，羅銳韌，蔡如海，等，譯.北京：商務印書館.

財政部，證監會，審計署，銀監會，保監會.2008.企業內部控制基本規范[S].

陳毓圭.2004.對風險導向審計方法的由來及其發展的認識[J].會計研究（2）：58—63.

法約爾.1982.工業管理與一般管理[M].周安華，林宗錦，展學仲，等，譯.北京：中國社會科學出版社.

劉玉廷.2010.全面提升企業經營管理水平的重要舉措：《企業內部控制配套指引》解讀[J].會計研究（5）：3—16.

王澤霞.2005.論風險導向審計發展創新：管理舞弊導向審計[J].會計研究（12）：49—54.

謝榮，吳建友.2004.現代風險導向審計理論研究與實務發展[J].會計研究（4）：47—51.

謝志華.2007.內部控制、公司治理、風險管理：關系與整合[J].會計研究（10）：37—45.

內部控制與內部審計的區別范文第4篇

關健詞：內部審計 風險管理 協調作用

一、內部審計與風險管理的關系

（一）風險管理是內部審計的基本內容

作為內部控制的一部分，內部審計可以加強內部控制的作用。財務審計、經營審計和管理審計共同構成了內部審計，相互之間既有一定的區別，又存在一定的聯系。財務審計是根據企業的財務情況，做好財務的核查和審查工作，及時發現財務資料中不詳細不準確的地方，提高財務報告的可靠性，從而完善內部控制體系。通過自我審查，可以對企業的經營狀況有基本的了解，為企業制定規劃和目標提供基礎；經營審計是通過評價分析企業經營中存在的問題，利用科學有效的辦法，達到完成企業計劃的目的；管理審計是通過企業的自我審查，發現管理過程中存在的漏洞并加以解決，從而提高企業的管理質量和管理水平。風險管理是內部審計的基本內容，關系到企業整體的管理能力，還決定了企業的抗風險能力，企業只有加強風險管理和內部審計的建設，才能提高企業的市場競爭力。

（二）風險管理是內部審計人員的基本職責

在企業的生產、經營、管理等各個環節中，都涉及到風險管理。環節的繁多給風險管理工作的實施帶來一定的難度，風險管理影響著企業的內部控制管理效果。因此，內部審計人員應順應時代潮流，改變固有的觀點，從思想高度上提高對風險管理認識。只有增加了風險管理的重視程度，風險管理的審查評價工作才能得到保證，風險管理才能在企業的實際生產中發揮應有的價值，從而體現內部控制管理的作用。內部審計人員在明確職責的基礎上，做好科學有效的風險管理工作，針對管理中的漏洞和不足加以解決，從而健全和完善風險管理體系，更好地為企業規避風險。

（三）公司治理中的風險管理需要內部審計制度來規范

公司的組織結構包括領導決策層、管理層、監督層等，在這其中，監督層影響著決策的有效實施，是公司良好健康發展的重要保證，而作為監督層的重要部門之一，內部審計的重要性不言而喻。企業實際生產中，由于各種原因，監督工作不能有效實施，影響了企業的管理。所以，企業要完善內部審計制度，用嚴格的制度規范來約束各個組織層，通過內部控制的有效實施，保證風險管理工作的正常開展。

二、風險管理中內部審計的作用

（一）內部審計在風險管理中的識別和檢查作用

內部審計能夠正確識別風險，是企業風險管理的第一步。通過內部審計，企業能對自身的經營狀況有一個深入細致的了解，再加上與外部審計的有機結合，提高數據的準確性、合理性，企業高層根據這些數據，就可以進行資源的合理配置，提高資源的使用效率。除此以外，企業還需做好自我審查和監督工作，完善內部審計制度，更好地識別風險，保證企業風險管理的有效性。在正確識別風險的前提下，通過內部審計，企業的風險管理水平將有質的改變，能應對投資所帶來的風險，減少公司的損失。

（二）內部審計在風險管理中的協調作用

作為企業領導層和業務管理部門之間的聯系紐帶，內部審計機構的性質是不可或缺的，在企業的風險管理中需要發揮一定的協調作用。企業的有關管理部門由于各種原因，對自身的監督工作不到位，使得員工的效率和質量得不到保證，影響了企業產品的質量，給企業的銷售業績和口碑造成麻煩。因此，內部審計機構應明確自己的重要性，站在企業大局的角度上，合理、公正、公開的評價各個管理部門的工作情況，通過協調解決部門之間的沖突與矛盾，以企業的整體利益為中心，合理的控制企業經營風險，只有這樣，企業的風險管理能力才能提高，企業的經濟利益才有保障，企業的未來發展才能更上一層樓。

（三）內部審計在風險管理中的監督、評價作用

在當前的市場競爭環境下，企業經營過程的不確定因素越來越多，經營風險也更大，企業的風險管理受到嚴峻的挑戰。原有的審計制度在現有環境不能發揮作用，企業應轉變思路和觀點，通過內部審計，發揮監督、管理、服務的作用，提高企業的風險管理能力。受到經營危機的沖擊，同行之間的競爭，很多企業都處于在夾縫中生存的險境，企業如果想擺脫困境，就應該結合自身的實際情況，發揮自己的優勢，優化產品質量、經營結構，提高產品的競爭力，同時利用內部審計，完善和加強風險管理中監督和評價作用，對經營風險進行合理有效的預測，提高企業的風險管理能力，實現企業的宏偉目標。除此以外，通過內部審計可以及時發現風險管理中的不足，針對具體地問題，對癥下藥，完善和健全風險管理制度，提高企業的抗風險能力。

三、結束語

隨著市場經濟的快速發展，企業的機遇變得越來越多，與此同時，各種不確定因素也給企業帶來了不小的經營風險，風險管理正企業良好健康發展的試金石。內部審計在風險管理中具有識別、檢查、協調、監督和評價作用，通過完善和健全內部控制體系，企業的風險管理水平和能力將得到提高，從而最小化地減少風險可能帶來的損失，提高企業的抗風險能力。所以，企業應注重內部審計工作，在降低風險的基礎上提高資源使用率，從而提高企業的競爭力。

參考文獻：

[1]趙叢林.加強內部審計事后整改監督淺議[J].經營管理者，2011

[2]王立財.大中企業如何加強內部控制審計工作[J].經營管理者，2013

內部控制與內部審計的區別范文第5篇

論文關鍵詞：內部控制評價；內部審計；COSO框架

1 內部控制評價理論

1.1 內部控制概述

（1）內部控制溯源。

①“內部牽制”階段。

一般認為，20世紀40年代以前的時期屬于“內部牽制”階段，是內部控制的萌芽時期。內部牽制是指將一項業務交由多人去執行，同時規定業務的交叉檢查或交叉控制，客觀上造成了業務執行者之間相互牽制的關系，從而減少了錯誤及舞弊行為的發生。

②“內部控制制度”階段。

20世紀40年代末至80年代，在內部牽制制度的基礎上逐漸產生了內部控制制度的概念。內部控制制度階段主要以內部會計控制為核心，重點在于建立健全規章制度。

③“內部控制結構”階段。

20世紀80年代末至90年代初，“內部控制結構”階段跳出了“制度二分法”的限制，不再區別會計控制和管理控制，并強調了企業經營活動中控制環境的重要性，被認為是內部控制理論研究上的突破性成果。

④“內部控制整合框架”階段。

20世紀90年代開始，隨著財務舞弊案件的頻頻發生，監管部門出臺了一系列指導性法規文件，內部控制理論研究步入成熟時期。

1992年，美國“反對虛假財務報告委員會”下屬的發起機構委員會頒布了《內部控制——整合框架》（即COSO報告），并于1994年進行增補，COSO報告堪稱內部控制理論發展上的又一里程碑。

（2）內部控制的發展：《薩班斯法案》。

2002年，美國國會通過了《薩班斯法案》。縱觀整個法案，最主要的是對企業內部控制提出新的更嚴格的要求，對企業內部控制及財務成果的披露提出更高更明確的要求，對企業內部控制體系的失效提出了嚴厲的處罰。

（3）內部控制的發展：企業風險管理框架。

2004年9月，美國正式頒布了《企業風險管理整合框架》，在內部控制整合框架的基礎上，該框架將企業風險管理的要素增加到八個：內部環境、目標設定、事項識別、風險評估、風險應對、控制活動、信息與溝通以及監控。

1.2 內部控制評價的基本概念及發展歷程

內部控制建立之后，企業應該定期對內部控制的有效性進行自我評價。內部控制有效性是指企業建立與實施內部控制能夠為控制目標的實現提供合理的保證。因此，為促進企業全面評價內部控制的設計與運行情況，規范內部控制評價程序和評價報告，財政部等五部委專門制定了《企業內部控制評價指南》。指南第二條規定：“內部控制評價是指企業董事會或類似權力機構對內部控制的有效性進行全面評價、形成評價結論、出具評價報告的過程。”

（1）內部控制評價的產生與發展。

內部控制評價真正受到關注并得以發展，是與審計需求的不斷提高息息相關的。

①內部控制評價引入審計領域。內部控制評價最初受到關注，是因為外部審計師在審計實踐中發現可以將內部牽制系統的評價與審計范圍、重點等的確定聯系起來，利用這種評價可以減少工作量、提高審計效率。

②制度基礎審計下的內部控制評價。

19世紀40年代以后，隨著內部控制制度在企業內部逐漸形成，制度基礎審計也逐步發展起來。在制度基礎審計下，內部控制評價作為審計程序的一部分，其目標主要是為審計服務，確定審計范圍，提高審計質量和審計效率。

③風險導向審計下的內部控制評價。

20世紀中后期，隨著管理舞弊的盛行，審計人員面臨的審計風險越來越大，與此同時，不確定性的增加、競爭的激烈等因素導致了被審計單位面臨的經驗風險越來越大，制度基礎審計的弊端逐漸暴露，制度基礎審計已不再適合于新的環境。

2 內部控制評價概述

2.1 內部控制評價的內容

COSO框架將內部控制劃分為五個相互關聯的要素：控制環境、風險評估、控制活動、信息與溝通以及監控。

（1）控制環境。

控制環境是企業的基調和氛圍，是其他內部控制組成部分的基礎，決定著企業員工的內部控制責任意識，包括管理層的管理理念和經營風格、組織結構、人力資源政策及實踐、董事會和審計委員會的參與情況，以及權力和責任的分配等。

（2）風險評估。

風險評估是指對企業內外部相關風險進行識別、分析的過程。企業的生產經營活動處于動態變化的環境中，風險評估可以幫助企業管理者和內部審計人員在必要時采取行動來管理風險。

（3）控制活動。

控制活動是指一系列的政策和程序，存在于整個機構的所有職能部門，為管理層指令的貫徹執行及風險的有效管理提供合理的保證，具體包括批準、授權、查證、核對、經營業績評價、資產保全及分工活動等。

（4）信息與溝通。

信息與溝通立足于企業中信息的獲取和流通。溝通信息應該在企業的各個層面得以傳遞，以幫助企業管理層掌握公司運營情況，同時有助于企業員工更好的了解自己在內部控制體系中的責任，降低由于信息不對稱帶來的企業經營成本的提高。

（5）監控。

監控是指對內部控制體系進行評估，以保持其有效性。具體可以通過持續監督、獨立評估或兩者的結合來實現。

2.2 審計需求下內部控制評價的目標

內部控制評價目標隨著審計的發展而變化。早起的審計是以查錯防弊為目的，審計人員從公司的賬目、憑證出發，進行全面詳細的賬賬核對、賬證核對，在那時內部控制評價對于審計的作用尚未受到重視。

而在當今風險導向審計的需求下，內部控制評價目標是通過對控制風險的評價來確定相關的審計程序，從而控制審計風險。審計師的主要目標為向公眾揭示被審計單位諸如經營風險、現金流風險等潛在風險，揭示企業未來所面臨的不確定性，從而提高利益相關方的決策有效性，避免報表被誤讀。

2.3 內部控制評價在資本市場中的作用

（1）內部控制評價有助于發現并克服內部控制缺陷。

內部控制本身是不完善的，這不僅僅有制度本身的原因，也因為制度在執行的過程中存在漏洞。這就要求我們進行內部控制評價，找出內部控制的缺陷并有針對性地進行克服。

（2）內部控制評價有助于尋找并改善內部控制薄弱環節。

（3）內部控制評價有助于促進企業健康發展。

內部控制評價既是維持企業生存與發展的內在要求，也是促進企業成功的動力機制。內部控制評價提高了企業內部控制的執行力，有助于形成良好的企業文化、保證組織的核心競爭優勢，從而推動企業的健康穩步發展。

（4）內部控制評價的主要途徑。

內部審計是企業內部的獨立監督、評價活動，是企業內部控制評價的主要途徑。內部審計的評價職能體現在兩方面：一是可以對企業及各部門組織的經營活動進行分析判斷，從而幫助企業改進經營管理水平，增強競爭力；二是可以對企業內部控制的有效性進行評價，從而不斷完善企業的內控系統。

3 內部審計在內部控制評價實踐中存在的問題

3.1 對內部控制認識不足，內控意識薄弱

隨著全球金融危機的蔓延以及監管機構監管力度的加大，不少企業制定了內控制度，并組織企業內部控制的梳理工作，但大部分企業只是在形式上滿足監管機構的要求，并未將內部控制融入到日常經營活動中。事實上，多數管理者認為實施內部控制增加了運營成本，使得內控制度流于形式，管理層對內部控制的錯誤認識往往使得內控制度殘缺不全或是得不到真正意義上的應用。在這種條件下要求注冊會計師出具內部控制評價報告，存在很大困難，也達不到要求注冊會計師出具內部控制評價報告的最初目的。

3.2 內部審計職能弱化，獨立性較差

簡言之，內部審計是對其他內部控制的再控制，通過協助管理者監督控制政策和程序的有效性，以建立良好的控制環境。筆者曾經對企業內部審計實效性進行了問卷調查，其中43.3%的人員選擇了“一般”或“很差”，可見，我國企業內部審計獨立性較差，未發揮實質意義。究其原因，主要有幾下幾點：①由于資金及人事約束，我國內部審計機構一般依附于公司管理層，故而不能客觀、真實、有效地開展工作；②由于企業管理層的不重視，內部審計人員專業技能及綜合素質與內部審計的要求相差甚遠，難以正確識別風險，這將造成企業內控的弱化。

3.3 內部審計的評價標準傾向于定性標準，對內部控制的現狀反映不夠充分

我國以COSO框架為核心的內部控制體系已經建立，但并沒有對內部控制制度有效性評價提供實質性的指導，從而導致不同公司對內部控制有效性的評價缺乏統一的標準。大部分公司的內控評價規范也只是停留在定性標準，很難客觀、準確地反映企業內控體系的整體現狀，從而使得內部控制的實施效果大打折扣。

4 建立健全內部控制評價之我見

4.1 加強內控意識

大部分企業開展內部控制的最初動機都只是滿足監管機構的要求，由于其對內部控制的了解和認識不到位，導致內部控制收不到實效，從而造成成本的增加，卻得不到應有的收益，這在一定程度上更進一步使得管理者無法正確認識內部控制的作用。事實上，健全的內控體系將內控理念融入日常生產經營的方方面面，有助于各部門的高效運行及部門間的密切配合，可以更好地實現企業目標；其次，企業管理層可能僅僅考慮到實施內部控制的成本費用，而忽視了內部控制可能帶來的潛在收益。因此，企業應該由外部推動轉為內部主動，使管理者加深對內部控制內涵的理解，將內部控制無縫嵌入到企業業務活動之中。

4.2 提高內部審計的獨立性

充分發揮內部審計的監督及服務職能，保證內部審計的獨立性，把審計工作的主要職能從傳統的查錯防弊轉到對企業管理進行分析、評價并提出合理建議上來，另外，內部審計還應該幫助企業“軟控制”環境的建設。