内部稽核与内部控制管理体系关系的探讨

随着企业价值链深度、广度扩充后经营的复杂性以及经济全球化进程的加快，企业面临的各种风险不断增大，建立内部控制管理体系、加强风险和危机管理机制、巩固企业可持续发展基石，已经成为企业普遍关注的焦点。内部稽核(Internal Auditor；或在中国大陆通称内部审计)既是企业内部控制管理体系的一部分，又是内部控制管理体系持续有效性运行以及企业实现内部控制目标的确认者，参与企业内部控制体系建设、绩效评估，确保企业内部控制制度(包括各项管理规章)持续有效运行；此既是国家赋予企业内部稽核部门的法定职责，也是企业内部稽核发展的机会与严峻的挑战。因此,本文拟对内部控制与内部稽核的关系进行剖析，并提出了加强内部审计，促进内部控制的措施。

一、内部控制和内部稽核的内容
1.内部控制(Internal Control)。

企业的内部控制是指企业管理阶层为了：⑴保证运营管理活动的有效进行；⑵保障资产的安全、完整；⑶防止、发现和纠正错误与舞弊；⑷保证会计资料的真实、合法、完整等目的而制定和实施的政策、措施和程序(坊间对于内部控制理论实务研究、发表可供参考文献不少，本文不予赘述)。遵循美国COSO报告《内部控制整体架构》内控五分法的内容，内部控制是由五大要素组成，即控制环境、风险评估、控制活动、信息与沟通和监控。其中监控(范围虽然包括管理阶层的督导责任，但通常重点就是内部稽核监督)位于组成要素顶端的重要位置，是内控系统的特殊构成要素，它独立于各项生产经营管理控制活动之外，是对其他各项内部管理控制过程与结果的一种再控制。

一个有效的内部控制管理系统应该满足以下条件:⑴能够保证业务活动按照恰当的授权进行；⑵能够使所有交易和事项在合法合规与适切金额的过程进行；⑶所有交易和事项真实、完整在适当的会计期间及时进行记录；⑷保证财务信息的真实、完整与可靠，并依规定适时公布企业财务与非财务信息；⑸有利于贯彻既定的管理方针，提高经营管理效率；⑹有利于通过检查有关数据的正确性和可靠性、确保内部控制、管理规章的有效实施。通过实践得出的结论是:得控则强、失控则弱、无控则乱。内部控制管理系统是企业管理过程的重要次级系统，更是现代企业持续发展的重要基石。

2.内部稽核(Internal Auditor)。

企业内部稽核宗旨在于“检查及评估内部控制制度的妥当性与有效性及营运活动的绩效性”；是由参与企业管理的各部门、各单位内部设置的专门机构或人员实施的内部审计活动。也就是在单位内部建立的一种独立的评价监督部门，其目的是协调单位人员有效履行责任，监督各项管理措施的执行并对其作出评价，以促进企业管理效率的提高。它主要是对内部控制的有效性、财务信息的真实性和完整性以及经营活动的效率和效果所开展的一种评价活动,并实施内部监督,为企业内部管理服务。它既是企业内控体系的一个重要组成部分,又是企业内部的经济监督机构。现代企业内部稽核工作主要涵盖以下内容:

财务收支控制活动稽核

1. (包括销售收款、采购付款、融资、有价证券与人事薪工付款、税务等过程管理的稽核)。主要是评价和监督企业是否做到资产完整、财务信息真实及经济活动收支的合规性、合理性及合法性，对会计记录和报表分析提供资料真实性和公允性证明。
2. 经济责任控制活动稽核(包括预算制定与执行、生产管理、专案审查与追踪等过程的稽核)。主要是评价企业内部机构、人员在一定时期内从事的经济活动，以确定其经营业绩、明确经济责任，这里包括领导干部任期经济责任稽核和年度经济责任稽核。
3. 经济效益控制活动稽核(包括投资、安装建设过程的稽核。稽核重点是在保证社会效益的前提下以实现经济效益的程序和途径为内容，对企业的经营效果、投资效果、资金使用效果作出判断和评价，其中基建工程预决算审计应为重中之重。
4. 内部控制制度、控制活动有效性评估。主要是对企业组织架构、内部控制管理系统与其他制度规章的完整性、适用性及有效性进行评价。
5. 开展明晰产权的稽核(包括证照、公章、资产保管过程的稽核)。主要是检查企业资产产权归属与各项资产、公章保管控制的适切性，避免造成资产流失或其他有损企业利益的行为。
6. 其他专案稽核(包括领导交办、风险评估、异常改善的专案稽核)。结合企业自身行业特点，经过风险评估对企业经营、管理等方面的稽核活动，上级领导交办或各管理阶层请求办理的专案稽核活动。

二、内部控制与内部稽核的关系

1. 1.内部稽核是内部控制的重要组成部分，两者相互渗透、相互促进。　
   内部稽核在内部控制中虽属于监控要素范围，是单位自我独立评价的一种活动，活动过程深受控制环境质量优劣与否所制约，而稽核活动质量优劣与否又是影响控制环境的关键性指标，两者唇齿相依；内部稽核本身就是一种控制，它按照内部控制目标要求，通过内部控制制度为其制定的稽核程序和方法及要完成的任务、达到的目标，协助单位最高管理者监督内部控制政策和程序的有效性，藉评估、修订过程及异常事项的持续改善来建立优质的控制环境，是故，内部稽核能为改进内部控制提供建设性意见，对企业建立优质的控制环境起到指导性的作用。内部稽核也在风险管理中发挥不可替代的独特作用，没有内部稽核的评价、监督与回馈，就难以形成良好的企业内部控制制度；通过分析问题产生的原因和影响，协助单位上层管理者完善内部控制，促进内部控制的健全，维护内部控制的建设。反言之，内部控制则是促进内部稽核发展的母体，一个健全的内部控制管理体系，有助于内部稽核工作的开展，有助于提高稽核工作效率、降低稽核风险、提高稽核质量，更有助于扩大稽核领域，加速科技时代稽核方法的演进与变革。
2. 2.内部稽核是对内部控制的控制。
   内部稽核独立于企业会计控制之外，代表管理阶层对整个企业内部控制制度的健全性、有效性及其遵循情况等进行客观评价，具有其他任何部门和控制所无法代替的重要作用。目前，内部稽核范围已从传统的财务收支稽核扩展到经营管理的各方面。内部稽核促进内部控制，通过分析问题产生的原因和影响，协助单位上层管理者完善内部控制，促进内部控制的健全，维护内部控制的建设。
3. 3.二者相辅相成，缺一不可。
   内部稽核根据内部控制准则、管理规章进行各项稽核活动，内部控制素质比任何其他因素更能决定稽核的形式。没有健全的内部控制制度作基础，内部稽核活动就无法开展；没有良好的内部控制，会计、财务信息会出现失真，管理人员责任会不明确，企业经营管理会出现混乱现象等，不影响内部稽核工作绩效，同时更加大内部稽核的风险，从而制约了内部稽核的发展。同理，内部控制需要内部稽核，没有内部稽核对内部控制设计的健全程度和运行的有效程度的评审和进一步完善强化内部控制的建议，内部控制也只能原地踏步，造成与现实不符、效果不佳、甚至形同虚设，或因内部控制的局限性，给不法之徒以可乘之机，造成控制活动异常或导致失控。
4. 4.内部稽核的角色由监督者逐步转变为控制者。
   中国审计署审计长李金华先生曾讲过，要把内部稽核定位为四个字「管理＋效益」，将内部稽核作为一个控制系统而不仅是一个检查系统。内部稽核师(CIA)的主要作用是「确认和建议」，而不再是以往的「监督和复核」。内部稽核通过咨询、评估与诊断活动，为管理阶层提供独立、超然、客观的专业服务，为企业风险管理出谋划策，降低企业风险，从而在实质上促进财务报告内容的确定性和质量的提高。

三、内部稽核在内部控制中的作用
1.参与内部控制的风险评估
　　根据COSO内部控制整体框架，内部控制活动的开始是要进行风险评估。风险评估过程包括确立企业的目标，识别目标相关的风险，评估识别出风险的后果和可能性，针对风险评估的结果，考虑适当的控制活动。从上述过程可以看出，只有评估了风险点，才能设计有针对性的控制程序。大多数人认为全面的风险评估对于一个组织的成功已越来越重要。外部审计人员尽管具有丰富的衡量企业实现财务目标的盈利能力及企业流畅的经验，也有设计企业会计计量系统的经验，但他们对评估未来风险方面的经验不如内部审计人员，美国的研究结果表明了这一点。2001年,IIA将内部稽核定义为一种独立、客观的保证和咨询活动，其目的在于为组织增加价值和提高组织的运作效率，通过系统化和规范化的方法，评价和改进风险管理、控制和治理过程的效果，帮助组织实现目标。

2.内部稽核促成建立良好的控制环境
　　通过对内部控制制度的评审，提供纠正错弊、完善内部控制的建议，来促成良好控制环境的建立，进而有效的促进组织的控制目标的实现。主要体现在以下几个方面：

• 内部控制的健全、有效是一个动态的过程，因为组织的经营环境在变化，自身在不断的发展，内部控制制度应适应这种变化并相应进行调整。在这种不断的调整过程中，内部稽核的职责是发现管理中是否存在的错弊，因而着重于从内部控制制度的缺陷入手进行审计，这更容易发现其存在的缺陷，进而提出改善的建议。
• 企业的内部稽核是内部控制管理体系的一个组成要素，诸如内部稽核参与合同的评审、工程预算的审核、年度预算编制与重大投资前的审核等，就是其例证。一旦公司内部稽核成为内部控制制度的一个组成要素，内部稽核本身作用发挥的程度，内部稽核在内部控制制度运行各方面、各环节的参与度，就决定或至少影响了内部控制制度的完善和有效性程度。
• 在企业执行分权分层管理的情况下，伴随分权，企业的部分财产相对独立地受托于企业内的分公司或部门使用。此时这些财产所有权属于企业，而分公司或部门拥有这部分资产的经营权。为了了解这些分公司或部门履行经济责任或受托责任的情况，独立的内部审计会担当此职，行使监督职能，对其职责履行情况进行鉴证和评价使内部控制的组织保证得到了进一步的加强。

3.内部稽核有效防止了内部控制失效
　　建立和完善现代组织中的监控机制，加强内部稽核的监督力度。能有效防止内部控制失效。

• (在企业内部建立以内部稽核为主线的监控机制，对组织运行的各个环节实现不同程度与方式的监控措施，将内部稽核监督行为扩展到组织运营的具体业务中。建立以“防”为主的监控防线，结合内部稽核、离任审计、落实举报、专项审计等“查”的方式。在不同层次实施内部监控措施，不仅可以及时发现问题，而且对防范和消解企业经营中的风险，将起到重要的作用。
• 为了保证内部控制制度能有效地发挥作用，并使之不断地得到完善，企业就必须对内部控制制度的执行情况进行检查和考核，该工作由内部稽核牵头并结合其他相关部门来定期执行对内部控制度执行情况的检查和测评工作。对于能严格按照内部控制制度执行的，给予精神鼓励或物质奖励，对于违规违章的，应给予相应的处罚，并应与今后职务升迁挂钩。进而有效增强内部控制执行的有效性。