内部控制与内部审计的区别

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇内部控制与内部审计的区别范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

内部控制与内部审计的区别范文第1篇

一、企业内部控制审计的内容

在《企业内部控制审计指引》中就有提出，企业的内部控制审计是由会计师事务所按照相关规章制度的要求，实施企业内部控制的一种审计。与此同时，在《中国内部控制准则第2201号内部审计具体准则――内部控制审计》中也给出了企业内部控制审计的定义，也就是企业内部审计的机构在内部控制运行和设计上的有效评价与审查。当然，两个企业内部控制的审计是有差异的，前一个本质上属于企业内部控制中的一种外部评价审计，后者本质上属于企业自身在内部控制上的一种内部评价审计，即企业内部控制外部审计与企业内部控制内部审计。此外，企业家总是不能理清内部控制的内部审计与内部控制的评价两者间的关系与实施方法，事实上企业内部控制的内部审计与企业内部的控制关系，也就是内部审计跟内部控制的关系。虽然是两个部分，但是由于都是企业的在内部控制时的评价方式，所以两者在方法、对象、主体等基本上相差不多，许多方面可以互相学习借鉴。

二、企业内部控制审计与内部控制评价分析

企业内部控制审计是企业高管实施企业的内部控制时的一个重要过程，与企业的管理紧密相连。其中企业内部控制审计包含着风险管理与评估等；而企业的内部控制评价也同样涵盖着风险管理，所以企业的内部控制审计与内部控制评价存在许多的相似性。此外，企业内部控制相关规范普遍认为企业内部审计机构就是企业的内部控制评价主体，即在进行实务工作时，企业的内部控制评价要由企业内部的审计机构来完成。由于企业内部控制审计跟企业内部控制评价在定义上的相似度较高，且两者进行实物工作时也有着紧密联系。即便二者真的合二为一也同样有许多的问题无法解决，相关准则规定，企业内部控制审计人员和机构对本单位的内部控制没有执行与决策的权利，企业内部控制评价是独立在企业的内部控制体系外的一种评价审查活动。企业内部控制审计也就自然而然的在内部控制评价系统之中独立出来，两者不是同一个概念，更不可能互相代替。企业内部控制评价与审计都是企业管理的一部分，对于如何展开工作，都由企业自己做决定。

三、企业内部审计与内部控制组织实施

对于企业的内部审计跟内部控制的实施来说，也就是企业内部控制审计、内部审计、内部控制的评价与内部监督等多项工作共同实施的结果，且当今企业面临的一个问题就是企业内部审计与内部控制的处理。同时对于企业内部审计跟内部控制的看法也存在差异，其中一种观点认为，企业内部控制与内部审计是相辅相成，二者缺一不可的一个共存体系，谁不束缚谁，谁也不是谁的概括。第二种看法则认为，内部审计属于内部控制，内部审计不可能离开内部控制独立存在。而第三种认为，内部审计其中的部分对象与内容就是内部控制，即内部审计涵盖了内部控制。最后一种观点认为，企业内部控制跟内部审计有着紧密联系，但是却又各自独立，两者之间相互作用的同时还存在区别。以上四种观点并没有对错，在企业实际工作的时候，四种观点都有可能出现。但是企业必须注意内部审计跟内部控制两者都是开放的、发展的、动态的，内部审计与内部控制在企业长久的发展证明，两者不管是在实践中还是理论中，形式上还是内容上，都是从单一发展到完善，简单发展到复杂的一个历程。也就是企业内部审计与内部控制都将会帮助企业实现发展的目标，这也是企业目前首要的问题。

在工作实践中，许多企业都可以在开展了内部审计、控制或是其他有关控制的活动前提下，按照自身需要或是其他方面的需求对企业内部控制与内部审计进行完善，进而更好的对企业进行内部审计或是内部控制。在企业可以承受组建的成本下，企业同时组建内部控制跟内部审计这样的两套系统是有必要的，还可以建立两个互相独立且可以分别对企业实施内部控制和内部审计的机构。换句话说，如果这样的办法有效，内部审计跟内部控制两者不需要互换身份就可以做到自身以前做不到的事。

内部控制与内部审计的区别范文第2篇

[关键词]风险导向内部审计；风险管理；风险导向外部审计

风险导向内部审计是以对整个组织的风险进行评估与改善为最终目的的一种审计理念。IIA（内部审计委员会）于2001年在其的《内部审计实务标准》中对内部审计的定义，就是风险导向内部审计的体现。根据该定义，推行风险导向内部审计就是要求内部审计以内部控制作为生存与的基础，以公司治理作为参与风险管理的前提条件，以对组织风险的评估与改善作为基本目标[1].

一、风险导向内部审计产生的现实背景

风险导向内部审计是环境的产物，它的产生有其现实背景，其中，企业面临的高风险经营环境引起企业对内部审计的需求的变化是风险导向内部审计产生的内部背景，而审计外部化趋势侵蚀内部审计生存的职业空间是风险导向内部审计产生的外部背景。

（一）现代企业面临的高风险经营环境引起企业对内部审计的需求的变化

由于技术的快速创新以及由此导致的制度创新，现代企业所面临的商业环境和市场竞争不确定性越来越大，一方面变化周期缩短，商业环境和市场竞争的变化速度超过了以往任何；另一方面商业环境和市场竞争变化越来越彻底，企业明天的生存与发展环境可能与今天的几乎没有任何必然的联系，现代企业处于高风险的经营环境之中。

在这样的环境中，企业生存与发展的关键，更多地取决于对未来环境变化的适应和把握。企业必须在战略目标、重大投资决策、日常经营活动和绩效评估等各个方面高度关注风险因素[2].因此，企业要求职能部门在进行各自活动的时候高度重视风险，并将其纳入到企业的整体风险管理范围当中，组织各个管理或治理层次、各个职能部门为实现企业的基本目标而进行全面的风险管理。风险管理成为高风险环境下企业活动的中心任务。国际上很多著名的企业甚至成立了专业的风险管理部门进行整合的风险管理，许多小型的公司则指定专门的人员负责实施全面的风险管理。这些专业的风险管理，使用一整套包括风险识别、风险评估、风险控制以及风险融资、危机和索赔管理在内的、相对完整的风险管理程序和，把以前分别由安全健康部门通过保险市场进行管理的实质性风险和由财务部门通过资本市场进行管理的财务性风险整合起来，由专门的风险管理部门通过更为高级的风险管理市场加以管理[3].

内部审计作为企业内置的一个职能部门，必然应当成为企业风险管理的有效组成部分，从组织目标的角度来评估与改善风险，为专业的风险管理部门或专职的风险管理人员提供咨询与保证服务，从而推行风险导向内部审计。

（二）企业内部审计外部化趋势侵蚀内部审计生存的职业空间

内部审计外部化，是指企业将内部审计的部分或全部职能交由外部的师事务所等中介机构来完成，企业同时给这些机构支付相应的费用的现象。企业在激烈的市场竞争中，可以根据自身的比较优势，积极发挥核心竞争力，专注于自己擅长的项目，把自己不擅长的项目外包出去。以下因素促进了内部审计外部化的日益发展：首先，内部审计作为一个企业的内部职能活动，在时间上具有重复性的特点，基本符合外包项目的初步条件；其次，外部审计出于控制审计风险的需要，在报表审计的过程中十分重视对企业内部的审查与评价，在长期报表审计实践中对企业内部控制评价逐渐形成了专业上的相对优势，这使得外部审计参与内部审计外部化成为可能；再者，近年来外部审计的审计业务面临日益严重的诉讼危机、同业低价竞争危机，由审计业务收费带来的收入持续降低，非审计服务的收费甚至成为各大会计师事务所收入的主要来源，外部审计被迫将业务转向内部审计外包和管理咨询等非审计服务；最后，管理者或出于成本效益原则的考虑，或为了报表审计的意见类型，或为了诱使外部审计降低审计收费，越来越倾向于内部审计外包。内部审计外部化在客观上使得内部审计和外部审计在管理者面前展开激烈的业务竞争，动摇内部审计在组织中的地位，威胁内部审计的职业生存。在这种危机面前，内部审计为整个组织提供风险方面的咨询与保证服务，积极推行风险导向审计，将提高其在组织中的不可替代性，减弱外部化带来的不利影响，从而保持与扩展其职业生存空间。

二、风险导向内部审计的基本特点

（一）内部控制是风险导向内部审计的基础

对于内部审计，内部控制极端重要。首先，从上讲，内部审计是内部控制的一个重要环节，是对其它内部控制环节的再控制，没有内部控制就没有内部审计；其次，自从走上独立的职业化道路以后，内部审计把内部控制作为其基本业务这一事实始终未变。《内部审计实务标准框架》虽然将内部审计的业务范围拓展到风险管理和治理程序，但是依然将控制的评估和改善作为其三大之一；再次，内部控制还是内部审计其它两个业务活动的基础。内部审计工作要得到董事会和审计委员会的认可与采信，最重要的是因为内部审计师作为内部控制方面的专家，而不是风险管理方面的专家。内部审计要对公司的风险管理加以评估与改善，也首先得从内部控制领域中的风险做起。可见，内部控制是内部审计的安身立命之本，是风险导向内部审计进入公司治理、评估改善组织风险的基础。

（二）对风险的评估与改善是风险导向内部审计的首要目标

不论内部审计对内部控制进行评估与改善，还是对公司治理程序进行评估与改善，都应该是以风险评估与改善作为首要目标。如果说公司治理是企业董事会对风险管理的战略反应、内部控制是企业对风险的战术反应，那么内部审计就是对组织全部风险的一般反应，其一切活动都要以风险作为出发点和落脚点。首先，内部审计充分利用在内部控制领域的专家地位，联系组织的目标评估与分析内部控制中的风险，直接报告给管理者，在需要时通过审计委员会报告给董事会；其次，内部审计帮助董事会在进行战略决策、重大人事的任免和重大的投资和财务计划的制订方面识别和评估风险，以确保组织重大决策的正确实施；最后，内部审计要利用自己对组织内部的全面了解和对风险的直观认识，为专业的风险管理部门提供咨询与保证活动，参与企业的整合风险管理。总之，风险导向内部审计不是在简单的内部控制领域消极地查错防弊，而必须以组织的整体风险评估作为自己的首要工作目的。

三、企业风险管理框架与风险导向内部审计的联系

在IIA通过修改内部审计定义倡导风险导向内部审计以后，COSO（反欺诈性财务报告委员会）在2004年正式提出《企业风险管理框架》（简称ERM），重新修改了内部控制的定义。新定义将原来的内部控制进行了多方面的修改与补充，更突出了对企业风险的高度关注，这与IIA以整个组织风险的评估与改善为中心任务的风险导向审计理念不谋而合。因而，探讨风险导向内部审计与企业风险管理框架之间的联系，就成为探讨风险导向内部审计无法回避的理论之一。

（一）风险导向内部审计的对象就是风险管理框架

尽管1992年COSO的整体架构在提高人们对内部控制的认识程度、加强内部控制在公司治理中的作用方面发挥了重要的作用，但是没有将确定目标、战略规划、风险管理和纠错行动包括在内。自从其以来，遭受了持续的批评甚至否定。内部控制整体架构被普遍认为是用来减少外部审计职业风险，而非服务于管理者的、以企业财务控制为中心的财务报告质量控制框架，CoCo控制指南、MBNQA评价标准、IIA内部控制指南纷纷出台并在企业风险日益威胁企业生存的环境中得到越来越广泛的。COSO整体架构面临严峻的挑战，企业风险管理框架就是COSO应对这种挑战的产物[4].

ERM是一个包含四个目标、八个要素和四个层次的整合框架，四个目标、八个要素和四个层次相互交叉，和原来的ICIF相比，完全体现了管理者以企业风险管理为己任的理念。首先，ERM在目标方面增加了战略目标，将对企业的风险关注重点引向了重大的、根本性的战略；其次，在ICIF五要素的基础上增加了目标设定、事件识别和风险评估三个要素，与原来的风险评估要素一起构成了一个完整的风险管理的基本过程；最后，ERM强调将企业风险管理覆盖所有层次，包括业务单元、子公司、分支机构和公司的整体层次，而业务单元、子公司、分支机构和公司的整体层次正是公司治理和内部控制涉及的全部领域。可见，ERM是一个整合公司治理和内部控制的企业风险管理框架，它关注包括公司治理领域和内部控制环节的风险在内的一切风险，而公司治理领域和包括内部控制环节的风险在内的所有风险正是风险导向内部审计的对象。所以，企业风险管理框架就可以被视为风险导向内部审计的对象。

（二）企业风险管理框架为实践风险导向内部审计提供了现实指导

风险导向内部审计为企业在高风险环境中的内部审计提供了一种新的理念，但是这种新的理念并没有为内部审计人员实践风险导向内部审计提供一个可以据以操作的具体思路。内部审计想要实践风险导向内部审计，就必须根据一般的风险管理模式开发与维护内部审计的风险管理审计程序。这就产生了以下问题：第一，开发与维护内部审计的风险管理审计程序需消耗额外的内部审计资源；其次，内部审计开发出来的风险管理审计程序可能和企业内部既有的风险管理程序发生冲突，在缺少权威性的专业指导时得不到重视。ERM的出台为风险导向内部审计提供了权威的工作依据。根据ERM，风险导向内部审计的工作就可以有条不紊地分解为：针对组织特定目标（战略目标、报告目标、经营目标与合法性目标）、特定的管理层次（组织整体层面、分部、经营单元、子公司）实施各自的风险审计程序（内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通），内部审计无须在目标制定环节之外另外寻求其它的目标分类标准，无须为确定审计范围进行太多的思考，更无须为风险导向审计程序本身的设计投入更多的资源。

四、风险导向内部审计与风险导向外部审计的差异

在IIA倡导风险导向内部审计以前，外部审计就在实施风险导向外部审计。风险导向外部审计是指外部审计为了适应审计业务量巨大的增长，降低审计成本，高效利用审计资源的同时有效降低审计风险而开发的一种审计风险模式，它是对制度基础审计的高度深化与全面，正日益受到审计界的推崇和实务界的青睐。因此，探讨风险导向内部审计与风险导向外部审计两者的差异就成为风险导向内部审计的又一个基本的问题。

虽然风险导向内部审计与风险导向外部审计都高度重视对审计客体的风险评估，但是“风险导向”的内涵、目标和范围在内部审计和外部审计中是完全不一样的。

（一）两者的内涵不同。风险导向内部审计是以内部审计的主体组织的内部控制为基础、同时考虑公司治理在内的、以组织整体风险作为审计重点的一种审计。这里的风险突出的是审计对象的含义；而风险导向外部审计是指审计主体在进行审计程序时，首先评估企业的风险，然后依据风险评估的结果来确定审计的重点，从而决定审计资源的分配，进而确定余额测试和交易测试的。这里的风险导向实质是一种审计策略。

（二）两者的目标不同。风险导向内部审计的目标在于通过对风险评估来提出风险管理的对策，有效降低所在组织的风险，从而增加企业的价值，充分发挥内部审计的作用。而风险导向外部审计的目标则在于审计主体的利益最大化。这个目标通过以下方式实现：第一，提高审计效率。企业进行财务造假或进行虚假陈述，往往是在企业无法完成既定目标的领域、也就是企业的高风险领域发生的。而在低风险领域，企业没有相应的动机。因此外部审计可以首先识别出企业的高风险领域，进而集中审计资源进行重点、详细的审计，从而提高审计的效率。第二，降低审计风险。在不存在责任的情况下，审计风险并不会给审计主体带来利益上的伤害，但是现代资本市场中投资者和其它第三方经常以侵权或违约来对外部审计提起诉讼，使其承担巨额的损害赔偿责任，从而现实地到审计主体的利益。而风险导向审计的宗旨就是使审计风险处于严密的控制之下，有效地减少外部审计的法律责任，因而风险导向外部审计的目标就是通过提高审计效率、降低审计风险来服务于审计主体，以维护审计主体自身的利益。

（三）风险范围不同。作为审计的内容，风险导向内部审计中的风险是针对组织所有目标、所有管理层次的各种性质的全部风险，它可以理解为ERM中的关注全部风险，其中包括战略风险、报告风险、遵循风险和经营风险。而作为审计的策略，风险导向外部审计中的风险只是与企业报告的编制流程相关的、影响企业报表公允性的内部控制失效风险，它基本上等同于1992年ICIF关注的风险和ERM关注的部分风险———报告风险中的财务报告风险。

五、结论与现实启示

风险导向内部审计是内部审计在高风险产生的、为了应对职业危机而推出的一种全新的审计理念。IIA通过修改内部审计定义加速了它的发展并使其成为现代内部审计发展的一种必然趋势。我们还注意到，风险导向内部审计与传统的控制导向内部审计相比有其独特的业务范围、服务对象和审计内容；同时，IIA风险导向内部审计与COSO的企业风险管理框架之间存在着内在的联系，但却与风险导向外部审计存在着本质的区别。在国际范围内推行风险导向内部审计，就是要在传统内部审计的基础上积极拓展业务范围，提升服务的层次，变革审计内容，有效借鉴企业风险管理框架提供的思路，并严格将其与风险导向外部审计区别开来。

与国际内部审计的实践相比，我国的内部审计实践尚处于较初级的阶段，这表现在我国现行的内部审计准则没有要求内部审计涉足公司治理领域，从而对组织的风险管理活动进行评估与改善，而只要求对内部控制进行评价和监督。但是，我国在内部审计发展过程中，风险导向内部审计产生与发展的现实背景同样存在。因此，我国也应该逐步推行风险导向内部审计。在我国推行风险导向内部审计，可以考虑从控制领域开始，以识别和评估组织风险作为内部控制评价与监督的目标，而把内部控制评价和监督作为风险管理的手段。只有这样，我国内部审计才能为组织提供更多的增值服务，从而提高在组织中的地位，未雨绸缪，消除潜在的职业危机。

[]

[1]王光远。管理审计理论[M].北京：人民大学出版社，1996.

[2]中国内部审计协会。中国内部审计规定与中国内部审计准则[S].北京：中国石化出版社，2004.

内部控制与内部审计的区别范文第3篇

关键词：风险导向审计；全面风险管理；内部审计准则

中图分类号：F239.2 文献标识码：A 文章编号：1001—6260（2012）04—0149—07

中国内部审计协会一直致力于建立一套以内部控制和风险管理为导向的内部审计准则体系。但是，由于内部控制与风险管理之间的关系还没有理顺，这直接导致风险导向审计中的风险定位问题存在较大争议。正因为如此，中国内部审计准则中与内部控制和风险管理相关的各审计准则之间的关系也有待进一步明确，譬如：第5号准则《内部控制审计》与第16号准则《风险管理审计》之间是何关系；第12号《遵循性审计》、第21号《内部审计的控制自我评估法》、第25号《经济性审计》、第26号《效果性审计》和第27号《效率性审计》等准则之间及其与第5号、第16号准则之间是何关系。在实务中，内部审计人员也产生了一些困惑：内部控制审计和风险管理审计究竟有何不同？风险导向审计与全面风险管理之间是何关系？因此，有必要在中国内部审计协会修订内部审计准则之际，对这些问题进行探讨①。

一、内部控制与风险管理之间的关系

在2003年6月实施的第5号准则《内部控制审计》中，中国内部审计协会提出，内部控制涵盖风险管理，风险管理是内部控制的五要素之一，并专门制订了《风险管理审计》准则。EOSO（2004）认为风险管理涵盖内部控制，其表述是：“内部控制是企业风险管理不可分割的一部分。”谢志华（2007）认为风险管理与内部控制虽表述不同，但涵义相同。

那么，二者之间究竟是何关系？问题的关键在于认清内部控制的本质。COSO（1992）指出：“内部控制是一个由企业董事会、管理层和其他员工实施的，为经营的效率效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现提供合理保证的过程。”这种将内部控制理解为“一个过程”的做法被2008年5月中国财政部、证监会、审计署、银监会、保监会等五部委（下称“五部委”）的《企业内部控制基本规范》（下称《基本规范》）所采用。但是，“一个过程”的提法只是说明了一个事实，即内部控制是与企业的经营管理活动交织在一起而发挥作用的过程，它并没有给内部控制定性。COSO（1992）对“一个过程”有如下解释：“组织中各单位或各职能部门内部或跨单位或职能部门所实施的经营过程，都是通过计划、执行和监控等基本的管理过程来加以管理的。内部控制是这些过程的一部分，并与它们整合在一起。内部控制能让这些管理过程发挥作用，并对其实施和持续的关联性进行监控。内部控制是一个管理工具，而不是管理的替代品。”从中可以看出，COSO是结合管理过程来论述内部控制过程的，它认为内部控制是管理过程的一部分，是其中履行监控职能的管理工具。

那么，如何理解作为管理工具的内部控制呢？我们需要从管理的职能谈起。法约尔（1982）认为，管理有计划、组织、指挥、协调和控制等五大职能，他指出：“在一个企业里，控制就是要证实一下是否各项工作都与已定计划相吻合，是否与下达的指示及已定原则相吻合。控制的目的在于指出工作中的缺点和错误，以便加以纠正并避免重犯。”美国著名管理学家Robbins（1994）在法约尔五职能说的基础上提出了管理四职能说，即：计划、组织、领导、控制等职能。他认为，控制职能是指监控计划执行、比较分析偏差、纠正错误，确保计划顺利实施。可以看出，COSO对内部控制的解释与管理学中对“控制”的解释并无不同，都指出要保证计划的实施，都提及要对偏差进行监控。这样看来，COSO所讲的内部控制就是管理学中的“控制”。

法约尔（1982）在论述“控制”职能时，就使用了“内部控制”的提法，他说：“这里，我只讨论管理问题，所以就不谈两个企业之间的控制问题了……我着重谈一下企业内部控制，这种控制的目的是专门为了有助于各部门的工作的顺利进行，而总的来讲也有助于企业运营的顺利进行”（法约尔，1982）。可见，法约尔认为在一个企业内部讨论管理中的控制问题，可以用“内部控制”的提法。

以上分析足以证明内部控制就是控制。应该说，我们之所以称“控制”为“内部控制”是相对于外部监管而言的，强调的是企业自身应该重视对其经营管理活动的有效监控。以COSO为代表所开展的内部控制研究丰富和发展了“控制”理论，使我们更深入地了解“控制”在管理过程中发挥作用的方式和内在机理。但内部控制并不是一个独立于“控制”之外的，或与“控制”并列的一个新事物，它就是“控制”。因此，内部控制的本质就是管理职能中的控制职能。

既然内部控制只是一项管理职能，那么只要是管理活动，它就应该涵盖内部控制，因此，COSO（2004）认为风险管理涵盖内部控制是有道理的。自然，内部控制就不可能涵盖风险管理。在中国的《内部控制审计》准则中，将风险管理作为内部控制的一个要素值得商榷。COSO（1992）和中国《基本规范》认为内部控制由五要素构成，即控制环境（内部环境）、风险评估、控制活动、信息与沟通和监控。其中，都用到“风险评估”的提法。而COSO（2004）认为，内部控制由八要素构成，将风险评估要素细化为“目标设定”、“事项识别”、“风险评估”和“风险应对”等四个要素。但是，无论是五要素观还是八要素观，都没有使用“风险管理”的提法。COSO（2004）的标题就是《企业风险管理——整合框架》，其认为，在内部控制的要素中用“风险管理”的提法容易产生歧义，不如用“风险评估”好。

内部控制职能论也可以解释谢志华（2007）关于内部控制与风险管理涵义相同的观点。企业是一个风险组织，不冒风险的企业是不存在的。企业为达成自身目标，要采取有效措施防范和化解其所面临的各类风险。因此，可以认为，企业管理就是风险管理，或是“全面风险管理”。企业在“全面风险管理”之中，要综合运用计划、组织、领导和控制职能。如果侧重于强调控制职能在“全面风险管理”中的重要性，则可以将企业管理称之为“内部控制”。这样看来，内部控制和风险管理是同义语。用内部控制，是从管理职能上来讲的，侧重于强调控制职能的发挥；讲风险管理则是从控制的对象上来讲的，侧重于强调风险控制的重要性。通俗来讲，内部控制，控制的是风险，风险管理，管理的也是风险，二者涵义相同。

二、风险导向审计中的“风险”定位

在风险导向审计方法引入中国后，理论界围绕风险导向审计中的风险定位问题进行了讨论：陈毓圭（2004）认为是经营控制风险（含企业的经营战略及其业务流程）；谢荣等（2004）认为是企业战略风险及相关经营环节风险（统称经营风险）；王泽霞（2004）认为是管理舞弊风险；许莉（2005）认为是指被审计单位的“重大错报风险”；赵德武等（2006）认为是治理系统风险（含公司治理和内部控制）。评述这些观点的立场有三个：一是将企业管理等同于风险管理；二是将内部控制等同于风险管理；三是要区分风险评估的对象和结果。风险导向审计中“风险”定位之争的焦点是审计人员在评估审计风险时，所评估的对象究竟应该是什么。至于评估审计风险后，得出评估对象“重大错报风险”的情况如何则是评估的结果，不能将“对象”与“结果”混淆。基于上述立场，可以将理论界对风险的不同定位统一于“企业全面风险”之中。具体分析如下：

1.经营风险就是企业全面风险

陈毓圭（2004）和谢荣等（2004）所述的经营控制风险和经营风险，实质上就是企业全面风险。他们将风险评估的对象定位为“企业的经营战略及其业务流程”和“企业战略风险及相关经营环节”。从中可以看出，都涵盖了企业战略层面和经营层面的风险，这就是“企业全面风险”。但是，用“经营风险”的提法容易产生歧义，以为仅指企业经营层面的风险，而不包括战略层面的风险，不如用“企业全面风险”好。并且，用“企业全面风险”还可以与“企业全面风险管理”直接对接。这在国资委《中央企业全面风险管理指引》、国际标准化组织《ISO 31000风险管理——原则与指南》、中国标准化委员会国家标准《GB/T 24353—200险管理——原则与实施指南》的背景下，显得更为必要。企业要实施“全面风险管理”，相应地，审计人员风险评估的对象就应该是“企业全面风险”，从而使得审计部门和审计人员在“企业全面风险管理”中发挥应有的作用。

2.管理舞弊风险是企业全面风险的一部分

王泽霞（2004）将风险评估的对象定位为管理舞弊风险。这一观点主要针对管理层财务报表舞弊提出，试图通过重点评估管理舞弊风险来降低审计风险，这一做法只能算是权宜之计。试想，如果迫于法律和监管的压力，管理层不敢进行财务报表舞弊了，那么，管理舞弊导向审计也就没有存在的理由了。从内部审计的角度看，审计的目标不仅仅是“防弊”的问题，而是“防弊、兴利、增值”三大目标。显然，王泽霞（2004）对风险评估的对象界定过窄。按照五部委（2008）《基本规范》中的规定，企业全面风险应该包括：战略风险、合规风险、资产安全风险、财务报告风险、经营风险等。按大类就是两类，即战略层面的风险和经营层面的风险。管理舞弊风险只是合规风险中的一个方面。将风险评估的对象定位为管理舞弊风险只能算是一种审计策略，只是注册会计师在管理层舞弊比较严重的情况下，在审计实务中运用的一种审计方法，不宜将其作为风险导向审计中的“风险”定位。

3.重大错报风险的提法混淆了风险评估的对象和结果

许莉（2005）认为，风险导向审计中的风险，无论是所谓传统的还是现代的，都是指被审计单位可能带来审计风险的风险，在现代风险导向审计中就是指被审计单位的“重大错报风险”。这一提法混淆了风险评估的对象和结果。是否存在重大错报风险是审计人员通过风险评估后进行职业判断的结果。将一个职业判断的结果作为风险导向审计“风险”的定位显然不妥。现代风险导向审计与传统风险导向审计的区分并不在于审计风险模型用“审计风险=重大错报风险×检查风险”取代了“审计风险=固有风险×控制风险×检查风险”，而是强调了“自上而下”和“风险导向”的原则，强调既要有“森林”也要有“树木”。不能就报表而审计报表，要站在企业全面风险管理的视角来看报表。作为风险评估的结果，“重大错报风险”的提法可以运用于注册会计师财务报表审计中。但是站在内部审计的视角，就不仅仅是错报的风险问题，而是企业全面风险的问题。在第17号准则《重要性与审计风险》第十七条中就有规定：“审计风险包括两方面内容：一是重大差异或缺陷风险。是指被审计单位经营活动及内部控制中存在重大差异或缺陷的可能性；——是检查风险。是指审计人员未能通过审计测试发现重大差异或缺陷的可能性。”这里的“重大差异和缺陷风险”可以对应于注册会计师审计风险中的“重大错报风险”，它也是内部审计人员风险评估后的结果。虽然内、外部审计在风险评估的结果上用词不同，但是风险评估的对象都是“企业全面风险”。基于此，建议将第17号准则中的“重大差异或缺陷风险。是指被审计单位经营活动及内部控制中存在重大差异或缺陷的可能性”表述改为“重大差异或缺陷风险。是指被审计单位全面风险管理中存在重大差异或缺陷的可能性”。

4.治理系统风险就是企业全面风险

赵德武等（2006）认为是治理系统风险（含公司治理和内部控制），并指出公司治理是针对企业高层管理人员，而内部控制针对的是企业中低层人员。根据内部控制职能论，公司治理也需要运用控制职能，不可能只是对企业中低层人员的管理才需要内部控制，只要是管理就需要控制。撇开此点不论，赵德武等（2006）的治理系统风险也涵盖了企业全面风险，企业全员参与并受控。一般而言，公司治理主要涉及公司高层管理，那么，可以认为企业管理涵盖公司治理。但事实上，企业管理与公司治理的边界并不清晰，在早期企业中，或者在现代小企业中，一般就叫企业管理，而很少称之为公司治理。只是自1932年伯利和米恩斯发表《现代公司与私有财产》提出“所有权和控制权分离”的命题以来，理论界才逐渐有了公司治理之说，公司治理才逐渐从企业管理中分离出来。但是公司治理从本质上讲仍是企业管理，管理的职能仍然适用于公司治理之中。如果把公司治理泛化，使其包括中低层人员参与的日常管理，则公司治理可以等同于企业管理。赵德武等（2006）采取的正是这一做法，而企业管理就是风险管理。因此，治理系统风险就是企业全面风险。

基于以上认识，风险导向审计中的风险应该定位为“企业全面风险”。相应地，就内部审计而言，风险导向审计是指内部审计部门和人员为有效履行其在风险管理中的职责，基于对企业全面风险的评估，针对重大差异或缺陷风险，制订和实施的一整套审计方法。

三、风险导向审计与全面风险管理的关系

1999年6月，国际内部审计师协会理事会批准了关于内部审计的新定义：“内部审计是一种独立、客观的保证与咨询活动，旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法，来评价和改善风险管理、控制及治理过程的效果，帮助组织实现其目标。”与此同时，《国际内部审计专业实务框架》（IPPF），并于2001年正式实施。新的框架在内容上全面体现了风险导向审计的思想，内部审计进入风险导向审计阶段。2004年9月，COSO《企业风险管理——整合框架》，将其1992年、1994年修订的内部控制框架发展为企业风险管理框架，强调了全面风险管理的重要性。国际内部审计师协会立即做出反应，于当月29日，以立场公告（Position Statement）的形式《内部审计在全面风险管理中的作用》报告，明确指出：内部审计在企业风险管理中的核心作用在于，客观地保证董事会在企业风险管理活动的作用得以有效发挥，为保证关键经营风险被恰当地为管理提供帮助，并保证内部控制系统有效运行。具体包括：为企业风险管理过程提供保证；为正确识别风险提供保证；评估风险管理过程；评估关键风险报告和评价关键风险的管理。

中国内部审计协会从2005年底以来，力推内部审计从“以真实性、合规性为导向的财务审计为主”向“以财务审计与内部控制和风险管理为导向的管理审计并重”的方向全面转型。内部审计应在企业风险管理中发挥作用，为企业提供增值服务，这已日益成为中国内部审计理论界和实务界的共识。

那么，内部审计该如何有效发挥其在企业全面风险管理中的作用呢？如前所述，风险导向审计中的风险应该被定位为“企业全面风险”，这就为内部审计发挥其应有作用找到了切人点，也为风险导向审计与全面风险管理之间的联系建立了内在基础。风险导向审计与全面风险管理存在的联系和区别表现为：

1.二者之间的联系

企业全面风险管理的对象是企业全面风险，而风险导向审计中所评估的风险就是企业全面风险。企业推行全面风险管理是基础，而风险导向审计是保障。风险导向审计通过对企业全面风险的评估，提出进一步改进措施，为全面风险管理的有效实施出谋划策。同时，内部审计部门也可以通过对企业全面风险的评估合理分配审计资源，将审计的重点放在风险较大的领域，从而更好地提供增值服务。

2.二者之间的区别

（1）实施主体不同。全面风险管理是在企业董事会的战略决策和领导下，为实现企业战略和经营目标，由企业管理层组织实施、全员参与的经营管理工作。风险导向审计是在企业董事会的领导下，由内部审计部门组织实施的对企业全面风险管理工作的有效性进行监控的工作。

（2）内涵不同。全面风险管理是一个管理过程，而风险导向审计是一套审计方法。

（3）风险导向审计既以全面风险管理为基础，又具有相对独立性。风险导向审计中的风险评估对象是企业的全面风险。企业管理越规范，开展全面风险管理的水平越高，相应地，内部审计部门开展风险导向审计的基础也越好，对风险的评估会更为准确，审计工作更为有效。但是这并不意味着企业不开展全面风险管理，内部审计部门就无法开展风险导向审计工作。企业管理就是风险管理。因此，无论企业是否推行命名为“全面风险管理”的管理举措，事实上都是在进行风险管理，只不过推行“全面风险管理”会使得企业管理工作更加规范，更能全面识别和防范企业面临的各类风险。风险导向审计作为一种审计方法，不依赖企业是否推行全面风险管理制度而独立存在，这一方法的优点主要有：一是有利于合理配置审计资源；二是能为企业提供增值服务。当然，归根结底是第二点，因为只有通过风险评估找到“重大差异或缺陷风险”，才能合理配置审计资源，才能指出企业风险管理中存在的问题，并提出改进建议，从而为企业提供增值服务。内部审计提供增值服务的对象是企业的管理层，提供增值服务的水平如何体现的是内部审计人员的专业胜任能力。如果企业风险管理水平较差，内部审计人员将会很容易指出企业管理中存在的问题，从而实现自身价值；反之，则对内部审计人员提出了挑战，很有可能难以提出有建设性的意见。这就说明，风险导向审计方法运用的关键在于内部审计人员对企业全面风险管理的认识，而不在于企业推行全面风险管理的实际情况如何。每一个内部审计人员都应该形成一个对所在企业规范的全面风险管理的总体把握，这是开展风险评估的基准线。在此线之下的，就存在差异和缺陷，需要改进。当然，这条线如何定，体现了内部审计人员的专业胜任能力，因此，风险导向审计方法的实施给内部审计人员带来了挑战，其必须具有全面评估企业风险管理状况的水平。这样看来，风险导向审计方法中，内部审计人员对企业风险进行评估时，企业风险管理的标准自存在于内部审计人员心中，并随着企业规模的扩大和业务范围的拓展而改变；其标准只能比企业现行的全面风险管理水平更高，至少不能低，这样才能提供增值服务。因此，风险导向审计具有相对独立性。

（4）二者对风险的评估结果不完全相同。如表1所示，二者对风险的评估结果有四种组合。二者都评价为高，说明这是一个高风险的领域，管理部门和审计部门均认为需要投入更多的资源进行管理和审计。二者都评价为低，说明这是一个低风险的领域，管理部门和审计部门均认为不需要投入更多的资源进行管理和审计。在呈现高低组合的情况下，若风险导向审计评价为高，全面风险管理评价为低，有两种可能：一种是管理人员水平低，应该识别的重大风险没有识别出来；另一种是审计人员水平低，本无风险却认为有重大风险。若风险导向审计评价为低，全面风险管理评价为高，则一种解释与前同；另一种解释是，确实是高风险的领域，但通过管理部门的风险管理，风险降低了，审计人员认为风险管理有效，将其评价为低风险的领域。

风险导向审计与全面风险管理之间错综复杂的关系，使得人们产生了理解上的歧义，有必要对此加以分析。上述研究结论为进一步提出风险管理相关内部审计准则的修订建议打下了坚实的基础。

四、风险管理相关内部审计准则的修订建议

由于现行内部审计准则是以内部控制和风险管理为导向的，所以整个准则体系，从《内部审计基本准则》到《内部审计具体准则》和《内部审计实务公告》，都与风险管理相关。但是，限于篇幅，本文仅探讨其中与风险管理直接相关的几个具体准则，包括：第5号《内部控制审计》、第12号《遵循性审计》、第16号《风险管理审计》、第21号《内部审计的控制自我评估法》、第25号《经济性审计》、第26号《效果性审计》和第27号《效率性审计》等准则。

这些准则可以分为两个层次：一是总体层，包括第5号《内部控制审计》、第16号《风险管理审计》和第21号《内部审计的控制自我评估法》；二是具体层，包括第12号《遵循性审计》、第25号《经济性审计》、第26号《效果性审计》和第27号《效率性审计》。

1.总体层次风险管理内部审计准则修订的建议

首先，第5号《内部控制审计》和第16号《风险管理审计》这两个准则可以合二为一，因为内部控制与风险管理涵义相同，所以不需要分别制订两个准则，可以用一个准则来涵盖这两个准则所包括的内容。也可以考虑为新修订的《内部控制审计》准则制订一个《风险评估》实务公告，将现行《风险管理审计》准则中的内容涵盖在内。

其次，第21号《内部审计的控制自我评估法》与新修订的《内部控制审计》准则之间的关系要理顺。《萨班斯法案》颁布以后，美国上市公司管理层内部控制自我评估和会计师事务所的内部控制审计成为法定要求。依《萨班斯法案》成立的美国上市公司会计监管委员会（PCAOB）先后制订了第2号和第5号审计准则来规范会计师事务所对内部控制的审计。2007年6月的取代第2号审计准则的第5号审计准则命名为《与财务报表审计相结合的财务报告内部控制审计》。同年，美国证交会（SEC）《管理层财务报告内部控制指引》，对上市公司管理层内部控制自我评估进行规范。中国财政部等五部委为加强内部控制监管，也于2010年4月了《企业内部控制配套指引》（含《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》）。

PCAOB第5号审计准则和中国五部委《企业内部控制审计指引》，都是内部控制审计准则，是站在注册会计师审计的立场做出的规范。而SEC《管理层财务报告内部控制指引》则是对管理层内部控制自我评估的规范。与之对应的是中国五部委的《企业内部控制评价指引》，这一指引的正是为了规范审计部门开展内部控制自我评估工作。那么，在中国监管当局已经内部控制相关规范的背景下，第5号准则《内部控制审计》该如何修订？第21号准则《内部审计的控制自我评估法》该如何定位？

在中国五部委《企业内部控制配套指引》后，按要求必须执行的公司，其审计部门每年都要对内部控制进行自我评估，其董事会要据此出具内部控制自我评估报告。内部审计部门进行自我评估的标准就是《企业内部控制评价指引》。因此，中国内部审计协会对第5号准则《内部控制审计》修订时，有必要吸收和借鉴《企业内部控制评价指引》的规定，以便于内部审计人员同时遵循这两个规范的要求。而第21号准则《内部审计的控制自我评估法》则是规范企业内部管理人员进行内部控制自我评估的准则。评估的主体是企业内部管理人员，内部审计部门主要扮演组织者和咨询专家的角色，所以在标题中不宜突出内部审计的作用。建议将题目改为《内部控制的自我评估》，以示与《内部控制审计》准则相区别。同时，在行文中，要避免出现内部控制审计的说法。若有，相关条文也应该直接与《内部控制审计》准则衔接，不宜再行做出规定。

2.具体层次风险管理内部审计准则修订的建议

具体层次风险管理内部审计准则修订主要是要理顺它们与新修订的《内部控制审计》准则之间的层次关系。从层次关系来看，它们与新修订的《内部控制审计》准则之间是主从关系，《内部控制审计》准则居于主导地位，具体层次风险管理审计准则居于从属地位，其相关规定不能逾越《内部控制审计》准则。同时要明确，第12号《遵循性审计》准则是为了防范企业全面风险管理中的合规风险；第25号《经济性审计》、第26号《效果性审计》和第27号《效率性审计》准则是为了防范企业全面风险管理中的经营风险。也就是说，“3E”审计并非游离于《内部控制审计》准则之外，它是《内部控制审计》准则的延伸，是对《内部控制审计》准则中为防范经营的效率与效果风险和合规风险而开展的相关审计工作的具体规范。审计人员在年度内部控制自我评估时，应该运用具体层次风险管理审计准则的要求，全面评估企业风险管理中存在的问题。而在日常审计工作中，则可以就某一部门、某一业务、某一流程、某一项目分别运用《遵循性审计》、《经济性审计》、《效果性审计》和《效率性审计》等准则进行专项审计。

这样看来，新修订的总体层次的风险管理内部审计准则有两个，即《内部控制审计》和《内部控制的自我评估》；具体层次的准则有四个，分别是《经济性审计》、《效率性审计》、《效果性审计》和《遵循性审计》。同时，建议从总体层次到具体层次连续编号，或借鉴中国注册会计师审计准则的编号方式进行分类分层编号。此外，还可以制订几个相关的实务公告，如《风险评估》、《内部控制的自我评估》等。

参考文献：

伯利，米恩斯.2005.现代公司与私有财产[M].甘华鸣，罗锐韧，蔡如海，等，译.北京：商务印书馆.

财政部，证监会，审计署，银监会，保监会.2008.企业内部控制基本规范[S].

陈毓圭.2004.对风险导向审计方法的由来及其发展的认识[J].会计研究（2）：58—63.

法约尔.1982.工业管理与一般管理[M].周安华，林宗锦，展学仲，等，译.北京：中国社会科学出版社.

刘玉廷.2010.全面提升企业经营管理水平的重要举措：《企业内部控制配套指引》解读[J].会计研究（5）：3—16.

王泽霞.2005.论风险导向审计发展创新：管理舞弊导向审计[J].会计研究（12）：49—54.

谢荣，吴建友.2004.现代风险导向审计理论研究与实务发展[J].会计研究（4）：47—51.

谢志华.2007.内部控制、公司治理、风险管理：关系与整合[J].会计研究（10）：37—45.

内部控制与内部审计的区别范文第4篇

关健词：内部审计 风险管理 协调作用

一、内部审计与风险管理的关系

（一）风险管理是内部审计的基本内容

作为内部控制的一部分，内部审计可以加强内部控制的作用。财务审计、经营审计和管理审计共同构成了内部审计，相互之间既有一定的区别，又存在一定的联系。财务审计是根据企业的财务情况，做好财务的核查和审查工作，及时发现财务资料中不详细不准确的地方，提高财务报告的可靠性，从而完善内部控制体系。通过自我审查，可以对企业的经营状况有基本的了解，为企业制定规划和目标提供基础；经营审计是通过评价分析企业经营中存在的问题，利用科学有效的办法，达到完成企业计划的目的；管理审计是通过企业的自我审查，发现管理过程中存在的漏洞并加以解决，从而提高企业的管理质量和管理水平。风险管理是内部审计的基本内容，关系到企业整体的管理能力，还决定了企业的抗风险能力，企业只有加强风险管理和内部审计的建设，才能提高企业的市场竞争力。

（二）风险管理是内部审计人员的基本职责

在企业的生产、经营、管理等各个环节中，都涉及到风险管理。环节的繁多给风险管理工作的实施带来一定的难度，风险管理影响着企业的内部控制管理效果。因此，内部审计人员应顺应时代潮流，改变固有的观点，从思想高度上提高对风险管理认识。只有增加了风险管理的重视程度，风险管理的审查评价工作才能得到保证，风险管理才能在企业的实际生产中发挥应有的价值，从而体现内部控制管理的作用。内部审计人员在明确职责的基础上，做好科学有效的风险管理工作，针对管理中的漏洞和不足加以解决，从而健全和完善风险管理体系，更好地为企业规避风险。

（三）公司治理中的风险管理需要内部审计制度来规范

公司的组织结构包括领导决策层、管理层、监督层等，在这其中，监督层影响着决策的有效实施，是公司良好健康发展的重要保证，而作为监督层的重要部门之一，内部审计的重要性不言而喻。企业实际生产中，由于各种原因，监督工作不能有效实施，影响了企业的管理。所以，企业要完善内部审计制度，用严格的制度规范来约束各个组织层，通过内部控制的有效实施，保证风险管理工作的正常开展。

二、风险管理中内部审计的作用

（一）内部审计在风险管理中的识别和检查作用

内部审计能够正确识别风险，是企业风险管理的第一步。通过内部审计，企业能对自身的经营状况有一个深入细致的了解，再加上与外部审计的有机结合，提高数据的准确性、合理性，企业高层根据这些数据，就可以进行资源的合理配置，提高资源的使用效率。除此以外，企业还需做好自我审查和监督工作，完善内部审计制度，更好地识别风险，保证企业风险管理的有效性。在正确识别风险的前提下，通过内部审计，企业的风险管理水平将有质的改变，能应对投资所带来的风险，减少公司的损失。

（二）内部审计在风险管理中的协调作用

作为企业领导层和业务管理部门之间的联系纽带，内部审计机构的性质是不可或缺的，在企业的风险管理中需要发挥一定的协调作用。企业的有关管理部门由于各种原因，对自身的监督工作不到位，使得员工的效率和质量得不到保证，影响了企业产品的质量，给企业的销售业绩和口碑造成麻烦。因此，内部审计机构应明确自己的重要性，站在企业大局的角度上，合理、公正、公开的评价各个管理部门的工作情况，通过协调解决部门之间的冲突与矛盾，以企业的整体利益为中心，合理的控制企业经营风险，只有这样，企业的风险管理能力才能提高，企业的经济利益才有保障，企业的未来发展才能更上一层楼。

（三）内部审计在风险管理中的监督、评价作用

在当前的市场竞争环境下，企业经营过程的不确定因素越来越多，经营风险也更大，企业的风险管理受到严峻的挑战。原有的审计制度在现有环境不能发挥作用，企业应转变思路和观点，通过内部审计，发挥监督、管理、服务的作用，提高企业的风险管理能力。受到经营危机的冲击，同行之间的竞争，很多企业都处于在夹缝中生存的险境，企业如果想摆脱困境，就应该结合自身的实际情况，发挥自己的优势，优化产品质量、经营结构，提高产品的竞争力，同时利用内部审计，完善和加强风险管理中监督和评价作用，对经营风险进行合理有效的预测，提高企业的风险管理能力，实现企业的宏伟目标。除此以外，通过内部审计可以及时发现风险管理中的不足，针对具体地问题，对症下药，完善和健全风险管理制度，提高企业的抗风险能力。

三、结束语

随着市场经济的快速发展，企业的机遇变得越来越多，与此同时，各种不确定因素也给企业带来了不小的经营风险，风险管理正企业良好健康发展的试金石。内部审计在风险管理中具有识别、检查、协调、监督和评价作用，通过完善和健全内部控制体系，企业的风险管理水平和能力将得到提高，从而最小化地减少风险可能带来的损失，提高企业的抗风险能力。所以，企业应注重内部审计工作，在降低风险的基础上提高资源使用率，从而提高企业的竞争力。

参考文献：

[1]赵丛林.加强内部审计事后整改监督浅议[J].经营管理者，2011

[2]王立财.大中企业如何加强内部控制审计工作[J].经营管理者，2013

内部控制与内部审计的区别范文第5篇

论文关键词：内部控制评价；内部审计；COSO框架

1 内部控制评价理论

1.1 内部控制概述

（1）内部控制溯源。

①“内部牵制”阶段。

一般认为，20世纪40年代以前的时期属于“内部牵制”阶段，是内部控制的萌芽时期。内部牵制是指将一项业务交由多人去执行，同时规定业务的交叉检查或交叉控制，客观上造成了业务执行者之间相互牵制的关系，从而减少了错误及舞弊行为的发生。

②“内部控制制度”阶段。

20世纪40年代末至80年代，在内部牵制制度的基础上逐渐产生了内部控制制度的概念。内部控制制度阶段主要以内部会计控制为核心，重点在于建立健全规章制度。

③“内部控制结构”阶段。

20世纪80年代末至90年代初，“内部控制结构”阶段跳出了“制度二分法”的限制，不再区别会计控制和管理控制，并强调了企业经营活动中控制环境的重要性，被认为是内部控制理论研究上的突破性成果。

④“内部控制整合框架”阶段。

20世纪90年代开始，随着财务舞弊案件的频频发生，监管部门出台了一系列指导性法规文件，内部控制理论研究步入成熟时期。

1992年，美国“反对虚假财务报告委员会”下属的发起机构委员会颁布了《内部控制——整合框架》（即COSO报告），并于1994年进行增补，COSO报告堪称内部控制理论发展上的又一里程碑。

（2）内部控制的发展：《萨班斯法案》。

2002年，美国国会通过了《萨班斯法案》。纵观整个法案，最主要的是对企业内部控制提出新的更严格的要求，对企业内部控制及财务成果的披露提出更高更明确的要求，对企业内部控制体系的失效提出了严厉的处罚。

（3）内部控制的发展：企业风险管理框架。

2004年9月，美国正式颁布了《企业风险管理整合框架》，在内部控制整合框架的基础上，该框架将企业风险管理的要素增加到八个：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通以及监控。

1.2 内部控制评价的基本概念及发展历程

内部控制建立之后，企业应该定期对内部控制的有效性进行自我评价。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。因此，为促进企业全面评价内部控制的设计与运行情况，规范内部控制评价程序和评价报告，财政部等五部委专门制定了《企业内部控制评价指南》。指南第二条规定：“内部控制评价是指企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。”

（1）内部控制评价的产生与发展。

内部控制评价真正受到关注并得以发展，是与审计需求的不断提高息息相关的。

①内部控制评价引入审计领域。内部控制评价最初受到关注，是因为外部审计师在审计实践中发现可以将内部牵制系统的评价与审计范围、重点等的确定联系起来，利用这种评价可以减少工作量、提高审计效率。

②制度基础审计下的内部控制评价。

19世纪40年代以后，随着内部控制制度在企业内部逐渐形成，制度基础审计也逐步发展起来。在制度基础审计下，内部控制评价作为审计程序的一部分，其目标主要是为审计服务，确定审计范围，提高审计质量和审计效率。

③风险导向审计下的内部控制评价。

20世纪中后期，随着管理舞弊的盛行，审计人员面临的审计风险越来越大，与此同时，不确定性的增加、竞争的激烈等因素导致了被审计单位面临的经验风险越来越大，制度基础审计的弊端逐渐暴露，制度基础审计已不再适合于新的环境。

2 内部控制评价概述

2.1 内部控制评价的内容

COSO框架将内部控制划分为五个相互关联的要素：控制环境、风险评估、控制活动、信息与沟通以及监控。

（1）控制环境。

控制环境是企业的基调和氛围，是其他内部控制组成部分的基础，决定着企业员工的内部控制责任意识，包括管理层的管理理念和经营风格、组织结构、人力资源政策及实践、董事会和审计委员会的参与情况，以及权力和责任的分配等。

（2）风险评估。

风险评估是指对企业内外部相关风险进行识别、分析的过程。企业的生产经营活动处于动态变化的环境中，风险评估可以帮助企业管理者和内部审计人员在必要时采取行动来管理风险。

（3）控制活动。

控制活动是指一系列的政策和程序，存在于整个机构的所有职能部门，为管理层指令的贯彻执行及风险的有效管理提供合理的保证，具体包括批准、授权、查证、核对、经营业绩评价、资产保全及分工活动等。

（4）信息与沟通。

信息与沟通立足于企业中信息的获取和流通。沟通信息应该在企业的各个层面得以传递，以帮助企业管理层掌握公司运营情况，同时有助于企业员工更好的了解自己在内部控制体系中的责任，降低由于信息不对称带来的企业经营成本的提高。

（5）监控。

监控是指对内部控制体系进行评估，以保持其有效性。具体可以通过持续监督、独立评估或两者的结合来实现。

2.2 审计需求下内部控制评价的目标

内部控制评价目标随着审计的发展而变化。早起的审计是以查错防弊为目的，审计人员从公司的账目、凭证出发，进行全面详细的账账核对、账证核对，在那时内部控制评价对于审计的作用尚未受到重视。

而在当今风险导向审计的需求下，内部控制评价目标是通过对控制风险的评价来确定相关的审计程序，从而控制审计风险。审计师的主要目标为向公众揭示被审计单位诸如经营风险、现金流风险等潜在风险，揭示企业未来所面临的不确定性，从而提高利益相关方的决策有效性，避免报表被误读。

2.3 内部控制评价在资本市场中的作用

（1）内部控制评价有助于发现并克服内部控制缺陷。

内部控制本身是不完善的，这不仅仅有制度本身的原因，也因为制度在执行的过程中存在漏洞。这就要求我们进行内部控制评价，找出内部控制的缺陷并有针对性地进行克服。

（2）内部控制评价有助于寻找并改善内部控制薄弱环节。

（3）内部控制评价有助于促进企业健康发展。

内部控制评价既是维持企业生存与发展的内在要求，也是促进企业成功的动力机制。内部控制评价提高了企业内部控制的执行力，有助于形成良好的企业文化、保证组织的核心竞争优势，从而推动企业的健康稳步发展。

（4）内部控制评价的主要途径。

内部审计是企业内部的独立监督、评价活动，是企业内部控制评价的主要途径。内部审计的评价职能体现在两方面：一是可以对企业及各部门组织的经营活动进行分析判断，从而帮助企业改进经营管理水平，增强竞争力；二是可以对企业内部控制的有效性进行评价，从而不断完善企业的内控系统。

3 内部审计在内部控制评价实践中存在的问题

3.1 对内部控制认识不足，内控意识薄弱

随着全球金融危机的蔓延以及监管机构监管力度的加大，不少企业制定了内控制度，并组织企业内部控制的梳理工作，但大部分企业只是在形式上满足监管机构的要求，并未将内部控制融入到日常经营活动中。事实上，多数管理者认为实施内部控制增加了运营成本，使得内控制度流于形式，管理层对内部控制的错误认识往往使得内控制度残缺不全或是得不到真正意义上的应用。在这种条件下要求注册会计师出具内部控制评价报告，存在很大困难，也达不到要求注册会计师出具内部控制评价报告的最初目的。

3.2 内部审计职能弱化，独立性较差

简言之，内部审计是对其他内部控制的再控制，通过协助管理者监督控制政策和程序的有效性，以建立良好的控制环境。笔者曾经对企业内部审计实效性进行了问卷调查，其中43.3%的人员选择了“一般”或“很差”，可见，我国企业内部审计独立性较差，未发挥实质意义。究其原因，主要有几下几点：①由于资金及人事约束，我国内部审计机构一般依附于公司管理层，故而不能客观、真实、有效地开展工作；②由于企业管理层的不重视，内部审计人员专业技能及综合素质与内部审计的要求相差甚远，难以正确识别风险，这将造成企业内控的弱化。

3.3 内部审计的评价标准倾向于定性标准，对内部控制的现状反映不够充分

我国以COSO框架为核心的内部控制体系已经建立，但并没有对内部控制制度有效性评价提供实质性的指导，从而导致不同公司对内部控制有效性的评价缺乏统一的标准。大部分公司的内控评价规范也只是停留在定性标准，很难客观、准确地反映企业内控体系的整体现状，从而使得内部控制的实施效果大打折扣。

4 建立健全内部控制评价之我见

4.1 加强内控意识

大部分企业开展内部控制的最初动机都只是满足监管机构的要求，由于其对内部控制的了解和认识不到位，导致内部控制收不到实效，从而造成成本的增加，却得不到应有的收益，这在一定程度上更进一步使得管理者无法正确认识内部控制的作用。事实上，健全的内控体系将内控理念融入日常生产经营的方方面面，有助于各部门的高效运行及部门间的密切配合，可以更好地实现企业目标；其次，企业管理层可能仅仅考虑到实施内部控制的成本费用，而忽视了内部控制可能带来的潜在收益。因此，企业应该由外部推动转为内部主动，使管理者加深对内部控制内涵的理解，将内部控制无缝嵌入到企业业务活动之中。

4.2 提高内部审计的独立性

充分发挥内部审计的监督及服务职能，保证内部审计的独立性，把审计工作的主要职能从传统的查错防弊转到对企业管理进行分析、评价并提出合理建议上来，另外，内部审计还应该帮助企业“软控制”环境的建设。