內部審計與內部控制關系研究

中山大學審計處 錢華

內部審計與內部控制關系研究

中山大學審計處 錢華

一、引言

2007年以來美國次貸危機、全球性金融風暴乃至經濟危機的蔓延，讓人們深刻地認識到內部控制的重要性。而2008年發生的金融業最大的職務舞弊案例——法國興業銀行舞弊案，其主要原因是興業銀行內部監控機制“嚴重缺失”。而縱觀我國，近年來，我國上市公司內部控制的問題也是層出不窮，遠的有銀廣夏、瓊民源、紅光實業、ST猴王、大慶聯誼、東方鍋爐、黎明股份、鄭百文、東方電子，近的有億安科技、春都、“德隆航母”、三鹿集團、中航油等，還有眾多的“高管失蹤”事件。這些問題的出現，除了我國資本市場的不規范因素外，更深層次的原因就是上市公司內部控制制度存在嚴重缺陷。內部控制已成為時下內部審計師、企業管理層、各國政府，以及相關監管部門矚目的焦點。

自從1875年德國Friedrich Krupp公司設立了較為完整的內部審計制度以來，大型股份公司普遍建立了內部審計系統，監督、評價、防護和反饋成為其四個重要職能。安然、世通事件在全球范圍內引起了人們對內部審計的重視。2002年8月，美國紐約證券交易所要求所有上市公司必須建立內部審計機構。在中國，內部審計受到重視。早在1985年，國家審計署就要求大中型國有單位設立內部審計機構；2002年，中國證券監管機構建議上市公司建立內部審計制度。2003年5月實施的《審計署關于內部審計工作的規定》明確指出國家機關、金融機構、企事業組織、社會團體以及其他單位，應當按照國家有關規定建立健全內部審計制度。內部審計是公司治理機制的重要組成部分，具有樞紐地位。本文從內部審計和內部控制的關系出發，界定內部審計在內部控制中的重要作用，并為內部審計發揮對內部控制的作用提出一些建議。

二、內部審計與內部控制的關系

（一）內部審計與內部控制的涵義從內部審計的定義可以看出其在內部控制方面的作用。2003年國際內審協會修訂的《內部審計實務標準》提出，內部審計應幫助組織評價重要的風險因素、幫助改進風險管理與控制體系；評價控制的效率與效果、促進控制的不斷改善，以此來幫助組織保持有效的控制；評價并改進機構的治理程序，為組織的治理作貢獻。1992年美國反財務欺詐委員會下屬內部控制專門研究委員會COSO對內部控制的界定在目前世界范圍內認可度很高，它認為內部控制包括五個要素：控制環境、風險評估、控制活動、信息與溝通、監督，其中監督是內部審計的正常工作和固有職責。英國的Cadbury報告、加拿大的COCO報告、日本的《企業內部控制大綱》、南非的King報告、法國的Vienot報告和我國的《獨立審計具體準則第9號》、《內部審計具體準則第5號》等都從不同角度對內部控制進行了詮釋。從內部審計與內部控制的含義來看，內部審計與內部控制是相互滲透的，內部審計性質的演變一直與人們對內部控制概念認識的發展交織在一起。

（二）內部審計是內部控制的重要要素之一自從1986年最高審計機關國際組織發布的第12屆大會聲明明確內部控制制度包括組織結構、方法程序和內部審計，內部審計就開始被視為是內部控制框架中的重要要素之一。國外的研究，如Carcello，Hermanson和Raghunandan（2005）認為美國證監會（SEC）近年來的指引和強制性動作都反映出這樣一種傾向：內部審計是公司治理和公司內部控制程序的有機組成部分。國內近期關于這方面的議論也很多，如汪國銀、林鐘高（2005）認為，公司治理是企業運作的基礎，提供了企業內部各項管理活動的環境，內部審計作為企業內部控制活動的一部分受到公司治理的制約；陳艷利、劉英明（2004）認為內部審計作為實現內部控制的關鍵因素，是公司治理結構的有機組成部分。

（三）內部審計是對內部控制的控制內部審計是內部控制的特殊方式，其在內部控制框架中具有獨特身份，即內部審計既是內部控制的組成部分，又具有不同于其他內部控制要素的相對獨立的身份，肩負對其他內部控制要素進行再控制的職責。建立內部審計機構對關鍵控制和程序進行監督是良好公司實務的組成部分（Cadbury報告，1992）。內部審計對內部控制的控制主要體現在內部審計利用自身的獨立性和對本企業情況的了解，以及在長期審計工作中積累的經驗，通過監督業務活動和管理活動是否符合內部控制結構的要求，評價內部控制的健全性、遵循性和有效性，針對內部控制中的薄弱環節及時提出相應改進建議，促使組織以合理的成本促進有效控制，達到改善組織內部管理狀況的目的。內部審計人員以其專業知識能夠保證內部控制測試的順利進行，美國IMA的調查報告中就指出，內部審計部門對于測試內部控制起關鍵作用。自上世紀90年代起，內部審計就開始大量做內部控制自我評估工作。在這種工作方式下，內部審計作為主導，其它相關部門同時參加，共同完成對內部控制健全性和有效性的檢查。這種工作方式最能說明內部審計的之內加之外的獨特身份。后薩班斯時代內部審計的控制功能日益凸現，因為內部審計不僅可以作為控制直接作用于被控制對象，也可以通過對控制的再控制間接作用于被控制對象。

（四）內部控制對內部審計的促進從內部控股要素的發展歷史來看，早期的單要素內部牽制關心的只是資產及其記錄的安全，兩要素的內部控制將關心資產及其記錄安全之外的內部管理控制納入了控制視野，隨后，控制環境又得到關注。兩要素和三要素的內部控制已經不僅關注資產及其記錄的安全問題，而且還要關注組織的經營管理問題，這就大大拓寬了內部控制的范圍。五要素和八要素內部控制的提出，又將控制重心進一步轉移到組織的風險管理。內部控制重心的變化，引發了內部審計內容的變化，同時也造成了內部審計工作重心的轉移。美國內部審計學者布林克在回顧IIA的歷史時指出，內部審計最該關注的就是“內部控制”，內部審計的理論構建應以內部控制概念為中心。內部審計需要內部控制，內部控制比任何其他因素更能決定內部審計的形式。一個良好的內部控制，有助于內部審計工作的開展，有助于提高審計效率，降低審計風險，提高審計質量，更有助于擴大審計領域，加速現代審計方法的變革。沒有健全的內部控制制度作基礎，內部審計就無法開展；沒有良好的內部控制，會計、財務信息失真，管理人員責任不明確，管理出現混亂等，不僅會加重內部審計工作量，而且會加大內部審計的風險，從而制約內部審計的發展。有調查表明，大型組織的內部審計，大多已經將風險管理、經營管理、經營效益和效率等內容作為自己的重要工作內容。隨之內部審計大類型也日益豐富，出現了風險管理導向審計、管理導向審計、經營導向審計和業務導向審計，甚至出現了業績導向審計。

三、內部審計在內部控制中的作用

（一）評價職能：特殊優勢隨著風險管理和治理結構的完善，內部控制被提高到公司戰略的高度，與企業的經營管理完全融合在一起，內部控制的充分性和有效性直接關系到財務與運營信息的可靠性與完整性、運營的效率與效果。由于內部控制具有內在和外在的局限性，如內部控制的設計考慮到成本效益原則、內部控制的設計可能不涉及臨時性或未預計到的業務等導致內部控制不能發揮效應等，都會影響到內部控制的效果，所以需要第三方對內部控制的充分性和有效性進行獨立評價。內部審計機構在組織、人員、工作和經費等方面獨立于被審計單位，不直接參與企業的經營管理，因此在評價企業內部控制時具有較強的客觀性、公正性和權威性；內部審計機構一般受企業審計委員會或CEO直接領導，內部控制評審中發現的問題和提出的建議更容易受到高層領導的關注，從而得到有效執行；雖然內部審計具有同體監督的特點，其獨立性是相對的，但正是其具有的這種相對的獨立性，使其既有別于內部控制體系中的其他部門，又不同于社會審計，在對內部控制評價中具有特殊地位和優勢。

（二）監督職能：常規工作從內部控制的構成來看，企業內部控制是由一系列控制政策、制度與程序組成的系統。根據系統論的觀點，系統的有效運轉和持續改進離不開監督，所以COSO框架和ERM框架都將監督作為內部控制組成要素之一，并且置于框架的最頂端。企業內部審計是監督內部控制是否執行以及執行是否有效的重要過程。從要素來看，內部審計是內部控制不可缺少的重要組成部分，是實施內部控制環境的基礎環節。從職能來看，內部審計處于相對獨立的地位，在企業中不直接參與相關的經濟活動，又貫穿于企業的各項管理活動中，了解和熟悉企業的內部結構及各項業務的運營過程，在內部控制的構成要素中實行內部監督最為合適。有效的內部控制將合理保證企業的經營管理活動。內部審計對內部控制履行監督職能的直接目標是確保內部控制的有效運行，以使內部控制的目標能夠實現。

（三）咨詢職能：努力方向隨著內部審計范圍向風險管理和公司治理領域的拓展，內部控制評價的重要地位并沒有被削弱，而是得到了加強。而且，內部審計戰略地位的變化要求內部審計不應再以一個檢查者的立場對被審計者的風險和控制進行評價，而是要以一個咨詢顧問的身份，促進并組織審計客戶對自身業務的風險和控制進行自我評價，使風險的防范和控制成為所有管理層共同承擔的責任。

四、內部審計與內部控制關系的啟示

（一）獨立性與客觀性的保證IIA2001年頒布的內部審計實務標準框架，提出了內部審計的新定義，在定義中用“獨立、客觀”取代了此前60年所有定義中都沒有改變的“獨立”。在屬性標準中對獨立性和客觀性進行了區分：前者指內部審計機構的獨立性，后者指內部審計人員的客觀性。獨立性是和內部審計服務發生的環境有關的，反映的是審計小組和個人所處的環境，其價值在于它創造了使內部審計人員保持最大客觀性的環境，它是保證審計人員客觀、公正、或免除偏見地從事審計活動的先決條件，是審計工作的基礎。客觀性是與評估、判斷及決策質量有關的，保持一種不偏不倚的精神狀態，反映的是內部審計小組和個人的特征，客觀性可以幫助內部審計人員及小組更容易處理與被審計單位之間的關系。在公司組織結構中，內部審計部門屬于公司行政系統的一部分，在日常活動中要服從于公司管理當局的指揮。雖然這有助于結合公司經營管理的需要對內部控制進行審計，但同時也形成了評價者（內部審計）與被評價者（管理當局及其所實施的內部控制與財務呈報）角色混同的矛盾現象，不利于內部審計功能的有效發揮。調查數據顯示，我國國有企業內部審計機構歸屬副總經理和總經理領導的比例最高，體現了“高管層”主導的基本特征，尚未達到IIA在《內部審計專業實務標準》要求的歸屬“董事會與高管層”雙重管理的標準。因此，公司在建立內部控制體系時，應當根據相關法律要求建立并發揮好審計委員會的職能；內部審計部門應當隸屬于審計委員會和企業最高管理當局，實行雙向負責制，在特殊情況下可以越過管理當局直接向審計委員會報告，這樣就可以提高內部審計的地位和獨立性，維護必要的內部審計權威，從而充分發揮內部審計在內部控制中的重要作用。而為了保持客觀性，國際內部審計師協會也對內部審計人員提出了幾點要求：（1）不應該參加任何有可能損害或者假定會損害它們無偏見的評估的活動或關系；（2）不應該接受任何可能損害或假定會損害他們職業判斷的東西；（3）應該披露所有知道的重要事實，只要如果不披露將會歪曲對所審查的活動的報告。

（二）內部審計人員勝任能力的保證內部審計對內部控制作用的發揮還有賴于內部審計人員專業勝任能力的保證。根據賀穎奇等（2006）的調查資料，我國內部審計人員對財務會計、財務審計、會計法與會計準則、審計法、稅法、審計準則等領域的知識比較熟悉；對公司治理、戰略管理、管理會計與管理審計、組織行為/管理溝通、風險管理、信息系統及其審計等領域的知識不熟悉。其他學者的研究發現我國內部審計的現狀是審計人員的知識結構不合理、知識老化、復合型人才少；內部審計人力資源管理上，審計人力資源利用不盡合理，人員管理機制簡單化。根據調查問卷資料顯示，占75%的單位的內部審計人員均以本科及以下學歷組成；內部審計部門只有會計知識人員組成的占25%（陳丹萍，2007）。可見單一的知識結構影響了內部審計的工作范圍和深度，同時制約了內部審計作用的進一步發揮。因此，應該科學合理地配備內部審計人員，尤其要努力使內部審計人員的專業構成合理，同時強化職業道德意識，加強職業培訓。使內部審計在企業內部控制中發揮更大的作用。

（三）積極開展內部控制自我評估傳統的內部審計理念下，內部審計主要功能是幫助企業高管層確認經營活動中是否存在問題。因此，財務審計、經營審計和內部控制審計是查錯糾弊的典型代表。IIA在1999年第七次修改內部審計定義時，第一次提出了組織內部審計的目標是幫助組織增加價值并提高組織的運作效率。與傳統內部審計相比較，增加價值要求審計內容向決策層面延伸，審計方式從事后走向事中和事前，審計職能定位從確認走向咨詢。因此，內部審計為現代內部控制提供保證與咨詢服務可以開展控制自我評估（Control Self-Assessment，簡稱CSA）。內部控制自我評估是在內部審計機構的推動下公司不定期或定期的對自己及所屬子公司的內部控制系統進行評價，評價內部控制的有效性及其實施的效率效果，以期能更好地實現內部控制的目標。自20世紀90年代中期起，CSA已成為許多企業內部審計實務的一部分。IIA2002年對北美4500位來自各種組織的內部審計負責人進行了內部審計增值實務方面的調查，其結果顯示CSA被列作“當前內部審計最佳實務”的第二位，而在“未來將越來越重要的實務”中排名第一（Roth J.，2003）。內部審計機構對下級部門和其他人員進行評價，主要了解下級部門和其他人員的知識結構、組織紀律性、對企業是否有歸屬感、對內部控制制度能否積極接受并加以執行。評價時應抓住主要問題，即給內部控制的設計和執行的有效性帶來風險的關鍵人員的敗德行為，一般根據其背景資料、日常出勤情況、有無違紀記錄等作出評價。英國特恩布爾報告（Turnbull Report，1999）認為，在對內部控制進行自我評估時，應特別考慮以下幾個問題：（1）自上次評估以來，重要風險的性質和程度所發生的變化，以及公司對這些商業風險和外部環境變化所做出反應的能力。（2）管理層對內部控制系統和風險持續監督的范圍和質量，以及內部審計功能和其他保證方式的工作狀況如何。（3）就監督的結果與董事會交流的程度和頻率，以便在公司內建立起累計評估體系，對內部控制狀況及風險管理有效程度加以評估。（4）期間內任一時間所確認的重大控制失敗或弱點，及其所導致或可能導致的不可遇見的結果及或有事項的程度，以及對公司財務狀況和業績產生的重大影響。（5）公司公開報告程序的有效性。一旦知道內部控制中所存在的重大失敗或弱點，董事會應決定這種失敗或弱點是如何產生的，并對內部控制系統的有效性進行重新評估。

［1］劉華：《審計案例研究》，上海財經大學出版社2009年版。

［2］王光遠：《現代內部審計十大理念》，《審計研究》2007年第2期。

［3］何玉：《職務舞弊與內部控制、內部審計——兼評法國興業銀行職務舞弊案例》，《審計研究》2009年第2期。

［4］程新生、張宜：《中國制造業上市公司內部審計模式實證研究》，《審計研究》2005年第1期。

［5］石愛中：《從內部控制歷史看內部控制發展——內部控制信息化改造》，《審計研究》2006年第6期。

［6］陳艷利、劉英明：《基于公司治理的內部審計問題研究》，《審計研究》2004年第5期。

［7］時現、毛勇、易仁萍：《國內外企業內部審計發展狀況之比較——基于調查問卷分析》，《審計研究》2008年第6期。

［8］賀穎奇、陳俊佳：《當代國際內部審計的變化與中國內部審計的發展機會》，《審計研究》2006年第4期。

［9］陳丹萍：《我國內部審計管理現狀與對策》，《審計研究》2007年第6期。

［10］董美霞：《增強企業內部控制評價效果的思考——基于＜企業內部控制評價指引（征求意見稿）＞》，《審計與經濟研究》2010年第1期。

［11］汪國銀、林鐘高：《公司治理框架下的內部審計研究》，《財會通訊（學術版）》2005年第2期。

［12］Roth J.2003，How do Internal Auditors Add value，The Internal Auditor，（2）.

（編輯 熊年春）