内部审计与企业以风险为导向的内部控制体系建设

孙有龙

（中国海洋石油渤海公司 天津 300452）

一、风险管理与内部控制的关系

在实际工作中风险管理与内部控制活动既有不同又有交叉相容。

1、风险管理与内部控制活动的区别

风险因素，是指能够引起或增加风险事件发生机会或影响损失严重程度的因素，企业经营面对的风险因素基本可以分为四类：宏观风险、商业风险、运作风险、道德风险。风险如此广泛，造成人们认为进行风险管理的一系列具体活动就是内部控制。

其实不然，风险管理的一系列具体活动并不都是内控要做的，特别是内控并不负责风险管理目标的具体设立，这是管理过程起始阶段的活动。虽然风险评估首先要注意目标问题，因为没有明确的目标，也谈不上目标实现的风险，但是在目标的制订方面，内部控制并不是目标的制订活动，而是对目标制订的评价工作，特别是对目标和战略计划制订当中风险的评估，风险管理目标的设定为内控中的风险评估提供了前提条件。内控所负责的是风险管理过程中间及其以后的重要活动，比如，对风险的评估和由此实施的控制活动、信息与交流活动和监督评审与缺陷的纠正等工作。

内部控制强调评估经营管理活动中突出的风险点（当然，这些风险点不是固定不变的），建议经营管理人员针对这些风险点实施必要的控制活动。这里所评估的既有内部的风险，又有外部的风险。那种以为内控只是控制某单位的内部风险的观点是有片面性的。COSO和巴塞尔委员会都认为，内控的过程涵盖了公司所面对的，并在公司内由各级人员所经营的所有的内部和外部的风险。

然而现实中的风险管理却很实在，巴塞尔委员会指出，风险管理不同于内控之处在于，典型的风险管理比较关注特定业务的战略的评审，旨在通过比较不同公司业务领域内的风险与报酬来使收益最大化。

2、风险管理与内部控制的交叉相容

现实工作中的风险管理一方面有其特有的内涵和现实的范畴，另一方面也在某些方面上与内控相交叉。特别是风险管理在“风险的识别与评估”和“控制活动与职责分离”等内控内容中，与内控相交叉，属于内控强化过程中的管理活动。

二、内部控制与内部审计的关系

内审部门对内控的再监督负有极其重要的责任。如果我们把内控的“监督评审”职能视为内控“宝塔”上的最高级的部分，那么内部审计工作就应该处于内控宝塔的尖顶部位。所谓“再监督”就是在经营管理部门和财会部门两道防线之后的第三道防线，每一个公司都应当设立这一战线。对于风险较高的公司机构来说，这第三道防线更是必不可少的，其重要性不仅仅在于内审已经变成了最后一道防线，而是由于内审部门的独立性和应有的权威性，加上其组织系统的垂直性，赋予了该部门行使对内控进行再监督和再评价的特殊重要的职能。这种重要性主要表现在内审人员在严密的计划和组织之下，能够独立地按照法人要求，有选择地对内控的各方面行使其检查职能，并能够将检查评价结果直接地反映到高级管理层乃至最高级领导人，然后有权督促内审监察建议的落实。为了强化内审部门的监督职能，许多西方的金融机构都成立了独立于经营管理活动之外的内部审计委员会。

有人认为内审部门在经营管理部门的内控制度尚不健全的情况下去进行内控检查评价是“皇帝不急，急死太监”。这种认识忽视了审计部门有促进被检查单位完善其内控制度的重要作用。其实，大多数单位都有内控制度，只是其完善程度不同和执行情况不同。虽然内控水平的提高要靠经营管理部门进行大量实实在在的工作，但是，审计人员不能等待被检查单位的内控制度完善之后再去审计，而检查评价本身就是在促进被审计单位完善其内控制度，提高内控水平。

现在，越来越多的经营管理者认识到加强内控的重要性，审计人员的任务就是要多在这方面提供咨询服务，以先进有效的内控检评方法，有计划和有重点地对各级经营管理部门（包括人事部门和行政部门）的内控制度及其执行情况进行再监督检查。这里，检查的方法要规范，力求采用先进技术手段，并将检查评价结果独立地和及时地报告有关负责人和部门。同时，审计人员应向被审计单位提出改进内控的建设性意见，督促这些单位改进内控状况。

更为重要的是，由于在组织结构上内审部门并非独立于内控的整体框架之外，内审部门也属于控制环境的一部分，其本身也需要对自身的各种内部和外部的风险进行评估，并相应采取认真的自我控制措施，在进行信息与交流的同时加强自我检查和评价。

三、内部审计在建设以风险为导向的内部控制体系中的作用

根据IIA（国际内部审计师协会）发布的《内部审计实务标准》，“内部审计是一种独立、客观的保证与咨询活动，目的是为机构增加价值并提高机构的运作效率。它采用系统化、规范化的方法来对风险管理、内部控制和治理程序进行评估和改善，从而帮助机构实现它的目标。”

1、内部审计在建立内部控制过程中的作用

（1）测试及评价控制系统设计的健全性。内部审计人员通过对照相关经营管理制度、规章和办法，以及向有关部门和人员调查了解，运用相关的审计方法，对内部控制的控制点以及流程的完善程度进行穿行测试。通过分析测试资料，对控制系统的健全程度给予评价。针对内控系统设计上的薄弱点和缺失点，提出改进措施。健全性测试主要解决内部控制系统的设计是否合理、健全，以及内部控制点是否齐全、准确等问题。

（2）测试及评价控制系统执行的遵循性。内部审计人员通过对系统控制点进行实质性测试，评价内部控制系统在实务中的执行情况。主要检查：控制点有规定而没有或尚未完全得到执行、控制点不切合实际从而无法执行的情况。遵循性测试解决内部控制的执行符合性问题，找出执行上的漏洞。根据被测项目的可信度分析，评价被测系统内部控制的程度，并找出控制上的薄弱点和失控点。

（3）测试及评价控制系统管理的科学性。内部审计人员通过对关键控制点的测试，评价内部控制系统其是否发挥了应有的制约与控制作用，或是否取得了应有的管理效果，进一步提出改进建议。科学性测试解决内部控制系统功能如何，是否发挥作用，效果如何的问题。

2、内部审计在进行风险管理中的作用

（1）促进风险管理系统的建立。如果公司尚未建立风险管理系统，内部审计人员应该向管理者提出建立风险管理系统的建议。因为内部审计人员熟悉本企业具体岗位，了解公司业务并能随时深入到一线掌握全过程的具体情况，可以通过周密详细的调查，收集大量的第一手资料，进行风险分析，发现风险隐患，根据重要性和成本效益原则制定出符合实际的审计工作计划。内部审计可通过咨询服务的方式，推进公司风险管理系统的建立。

（2）内部审计可以将检查、评估风险管理系统的充分性和有效性作为工作的重点内容。一方面，评估风险管理主要目标的完成情况。评估公司以及同行的发展情况和趋势，确定是否存在影响公司发展的风险；根据公司的经营战略，推定公司能接受的风险水平；评估风险监控报告制度是否恰当；评估管理层采取的降低风险和加强控制活动的有效性；对管理层的自我评估进行测试，检查自我评估所依据的信息是否及时可靠准确。通过评估与风险管理有关的薄弱环节，向管理层、董事会、审计委员会提出合理的建议。另一方面，评估管理层选择的风险管理方式的适当性。由于各公司的文化氛围、管理理念和经营目标不同，风险管理的方式也有很大差别。公司应根据自身活动设计风险管理系统。一般的，规模大、对外筹资的公司应使用正式的定量风险管理方式；规模小、业务简单的公司，可以设置非正式的风险管理委员会定期开展评估活动。内部审计人员评估公司风险管理方式与公司的活动性质是否相符。

（3）内部审计应积极支持并参与风险管理过程。内部审计可从评估内部控制制度入手，排查漏洞，识别风险，做出相关评价。并以风险发生的可能性为依据，深入到管理过程中寻找问题，分析其合理性。内部审计在部门风险管理中还起着协调作用。不仅各部门有内部风险，而且各管理部门还有共同承担的综合风险，内部审计人员作为独立的第三方，可协调各部门共同管理企业，防止部门追求局部利益而对全局带来风险。

3、内部审计在塑造企业文化过程中的作用

1999年，ICAEW组成的以尼格尔·特恩布尔（Nigel Turnbull）为主席的十人工作小组公布了《内部控制：综合准则董事指南》，即特恩布尔报告。作为指导企业构建内部控制的指南，该报告的意义在于，它为公司及董事会提供了具体的、颇具可行性的内部控制指引。特恩布尔报告指出了健全的内部控制所应具备的基本特征：“它根植于公司的经营之中，形成公司文化的一部分，而不仅仅是为了取悦监管者而进行的年度例行检查；针对公司面临的不断变化的风险，具有快速反应的能力；具有对管理中存在的缺陷或失败进行快速报告的能力，并且能及时地采取纠正措施。”

内部控制在履行职能时的有效性很大程度上取决于公司的道德文化水平。因此，公司应积极塑造卓越的企业文化，构筑良好的道德氛围。内部审计在这个过程中的主要作用表现在以下方面。

（1）通过审计塑造公司诚信的企业文化。内部审计部门主要通过对企业负责人任期经济责任审计，敦促经营者诚信合法经营；通过经营业绩审计，建议管理层注重公司的可持续发展；通过财务收支审计，保证公司出具全面真实的财务报告，督促财务人员遵守职业道德等等，从而形成公司知荣辱、讲诚信的企业文化。

（2）通过审计塑造公司严谨的企业文化。内部审计人员可以通过内部测评工作协助管理层建立企业的道德规范。如通过内部控制科学性、有效性的测评，发现内控制度执行方面的漏洞与不足；通过企业风险测评，发现领导者在制定企业政策方面的疏漏；通过对企业经济效益的测评，发现经营者遵纪守法、稳步经营方面的欠缺。通过审计报告提醒管理层培养员工的责任心、提高领导水平、增强合法经营的理念，从而打造企业作风严谨、求真务实的企业文化。

（3）通过审计塑造公司忠诚的企业文化。内部审计人员作为良好道德倡导者应当定期评价公司道德文化建设的效果，即通过进行专项审计活动，协助纪检部门进行信访案件取证工作和配合监察部门开展公司经营绩效方面的效能监察专项检查，评价并改善工作程序，为公司治理发挥积极作用。通过对公司企业文化宣传教育机制的专项审计，评估公司是否能使每一个员工理解企业文化建设中所提倡的企业宗旨、精神和经营、管理理念，来促进企业文化建设，起到企业文化宣传者的作用；通过评价公司形象与员工形象，公司的领导是否身先士卒、做精神文明的表率，来敦促管理者和员工忠于职守、遵守法律和道德规范，打造忠于公司、顾全大局的企业文化氛围。

[1]朱荣恩、应唯、袁敏：美国财务报告内部控制评价的发展及对我国的启示[J].会计研究，2003（8）.

[2]财政部关于印发《企业内部控制规范—基本规范》和17项具体规范（征求意见稿）的通知[Z].2007.

[3]郑石桥等：内部控制基本原理——融于管理体系中的内部控制[M].新疆科学技术出版社，2004.