健全内部控制制度强化内部控制审计

焦韬

内部控制制度是企业为了保证实现经营管理目标，在分工负责的前提下，组织内部经营活动而建立的各职能部门之间对业务活动进行组织、制约、考核和调节的程序和方法，用以明确企业内部各职能部门的职责和权限，形成一种相互联系、协调、制约的控制系统的总称。内部控制审计是在一个单位内部对各种经营活动与控制系统所进行的独立评价，它由独立于被审计部门的内部控制审计机构来完成。一个现代企业完善、健全的内部控制系统中，必须有完善严密的内部控制审计制度、独立有效的内部控制审计机构和高素质、高责任心的内部控制审计人员，它既是内部控制系统中重要的一个分支系统，又是实现内部控制目标的重要手段。内部控制审计制度的完善是健全内部控制制度的重要内容，同时，内部控制审计还能为改进内部控制制度提供建设性的意见。建立健全内部控制制度，离不开强化内部控制审计，并且还要与风险管理相融合。

一、当前企业内部控制制度与内部控制审计的现状

随着我国市场经济的发展，内部控制理论与实践经历了一个漫长的时期，对内部控制审计的研究正处于探索的阶段。目前，我国很多企业尤其是中小型企业，并未意识到内部控制审计的重要性，甚至对内部控制的概念存在诸多误解。很多企业内控审计薄弱甚至没有内控审计，导致企业一方面经济业务繁多，而内部控制审计机制缺乏或有效性低下;另一方面，内控审计思想散见于各部门、各组织的相关文件中，呈现出比较混乱的局面。

（一）企业内部控制制度的现状

1.内部控制认识偏差。多数企业管理者认为内部控制就是成本、资产、会计制度的控制。因而只重视产销环节的控制，忽视内部控制内在影响因素整体的协调;重视对实物的控制，忽视对行为者的控制;重视制度的形式，忽视制度的实质，造成有些制度流于形式。企业员工对企业内部控制目标及制度的了解，是被动接受管理，认为领导人或相关负责人的签字就是内部控制。

2.管理机制的不够完善。许多企业在形式上建立了董事会、监事会，实行了总经理负责制，但在实际工作中，董事会在表现上还存在许多误区，真正的法人治理结构并未建立。董事会的监控作用严重弱化，通常只有一个虚职，实施公司经营决策的董事会与从事日常事务的总经理班子在企业的实际管理中职责重复，“一套人马，两块牌子”，形成董事会弱，经理班子强，监事会虚设，造成了管理层次的混乱，权利分配的混乱，形成恶性循环。

3.不够重视对员工素质的管理。多数企业对如何建立一个能平衡市场和企业的需要，合理的权责分配体系方面尚不成熟，更多的是凭借经验来管理企业，适应市场经济环境变化的能力还不够强。没有对员工的道德行为、知识和技能与企业文化进行有机的整合，从而难以形成一种很强的凝聚力。

4.企业风险的有效控制不够到位。影响企业经营的风险因素较多，如经营策略所形成的风险;行使经营手段所形成风险;以及财务风险;信息风险;环境与法律风险;灾害风险等。而针对如此多的风险，企业却缺乏相应的控制，缺乏专门的风险管理机构、人员和适当的控制活动，造成企业的隐形失控因素。

（二）企业内部控制审计的现状

1.企业内部控制审计建立模式不够合理。20世纪90年代以后，企业为了加强自身管理的需要，内部控制审计机构在隶属层次上形成两种模式：一种模式是受董事会或监事会领导;另一种模式是受总经理领导。这两种模式在一定程度上增强了内部控制审计机构的独立性和权威性。前者使内控审计以相对独立的身份受董事会或监事会之托对经营者的业绩进行监督，但会造成经营者对内控审计的误解，从而不同程度引发审计风险;后者作为总经理的参谋和助手，为企业实现经营目标服务，但是在审计过程中，不可避免地受本单位利益的限制，涉及企业经营活动有关的风险，特别是当面对领导参与或法人违纪时，内部控制审计往往无能为力，从而引发审计风险。

2.企业内部控制审计方法滞后。目前我国内部控制审计的主要方法是制度基础审计，这种审计方法的弊端日渐突出，已不能适应当今复杂的经营环境。由于过分依赖企业内部控制制度测试——这本身就蕴藏着很大风险，而且因为制度本身是固定的，但每个企业面临的环境和情况却不尽相同，所以，仅仅依靠制度基础审计，无法因地制宜地发现企业经营的症结以及舞弊现象，可能会使审计结论与实际情况不符，导致审计风险。

另外，目前我国相当一部分企业的内控审计是事后审计，这样没有对企业内部控制进行全方位、全过程的跟踪监审。不进行事前和事中控制，就不会及时发现企业经营过程中各个环节存在的问题，从而无法把经营风险降到最低。另一方面，部分企业领导人片面地认为内控审计就是检查内部经济问题，会影响企业职工的团结和稳定，分散管理人员的精力;还有的认为内部审计限制了自己的经营自主权，削弱了自己的权威，使得内部审计机构形同虚设，内审人员无职无权。另外，审计部门与其他部门平行的地位，致使许多内审流于形式，缺乏自身应有的地位和威信，根本无法保证内控审计的独立性和权威性。

3.企业内部控制审计人员专业知识不够全面。随着市场经济的建立和发展，企业的经营呈现多元化趋势。为了更好地服务企业和规范企业的经济行为，内部控制审计人员必然参与到企业的各类经济行为中。这就要求审计人员的知识多元化，不仅要懂得财务和审计知识，而且还要精通企业的各项相关业务。内控审计人员的素质成为开展高层次审计监督的关键所在。由于我国一直存在着一种“审计即是审账”的思想，大多数的内控审计人员都是财务出身，知识面比较单一，缺乏经营、管理、生产等相关方面的知识和经验，因此在审计内容方面，一般内部审计人员将大部分精力投入到检查财务数据是否合理合法上，认为这就是内控审计，他们的审计对象主要集中在账证、账表、账账是否相符，忽略了企业管理和经营领域的控制，片面理解了内控制度审计的内涵，使得内控审计仅从凭证和账面找问题，难以从实际工作的深层次上发现问题。

4.内部控制审计体系中相关机构的管理制度及法律法规不够健全。我国内部控制审计起步较晚，有关审计的法律体系还不够完善。另外一方面，企业的内部管理制度不健全，会计数据失真现象严重，甚至有些单位搞真假两套账，这样内控审计人员就面临不能查清事实真相的风险。管理的法规不健全，也会增加差错和舞弊的几率，审计人员难以发现企业经营中内部控制制度的缺陷和漏洞，形成审计风险。

二、建立健全内部控制制度，需要强化内部控制审计

目前，一般企业中的内部控制审计，从内容上讲主要是围绕信息的可靠性与完整性，政策、计划、程序、法律和规定的遵循，保护资本的安全，资源的节约和有效使用，经营目标的完成等方面来展开的。但内部控制审计从机构的设置、审计内容的深度和广度、审计方式和规范管理等方面，还未发挥出应有的支持内部管理的作用，更无法适应现代企业建立健全内部控制制度的要求。首先，内部控制审计机构应重新合理定位。目前大部分企业的内部控制审计机构与其他职能部门平行，无法保证内部控制审计的独立性和权威性。在实际工作中，内部控制审计机构一般也不对同处一级的其他部门进行审计，只审计下属（或控股）企业。公司应在监事会下设内部控制审计机构，同时也对董事会负责，地位高于其他职能部门，这种双重负责的组织形式有利于内部控制审计作用的充分发挥。其次，内部控制审计的职能要从查错防弊型向管理服务型转变。一般企业的内部控制审计人员将大部分精力投入到财务数据的真实性、合法性的查证及生产经营的监督上，其主要职能是查错防弊而不是对企业管理作出分析、评价和建议，工作都集中在财务领域而未深入到管理和经营领域。随着企业内部控制制度的建立健全、外部约束机制的不断加强、会计电算化的普及，账务表面的错弊越来越少，内部控制审计应从传统的防错向服务转变，从内部检查和监督向分析和评价转变。再次，内部控制审计应从事后审计向事前审计和事中审计转变。目前，一般企业的内部控制审计都是事后审计，主要起监督作用。随着内部控制制度的建立，内部控制审计将对企业内部控制进行全过程、全方位的监督和评价，它的作用将更多的体现在事前预防和事中控制。内部控制审计应能及时发现各个环节存在的问题，把企业的风险降到最低程度。最后，企业还应配备高素质的内部控制审计人才。随着内部控制审计由财务领域向经营、管理领域的拓展，内部控制审计人员的构成也应是多元化的，要选择有丰富经验的、精通各相关业务的人员加入，同时加强现有人员的培训，使内部控制审计在企业内部控制中发挥更大的作用。

1.强化企业内审，能有效防止企业内控失效。

为遏制内控失效，必须强化内部控制审计。企业内控失效常表现在以下几个方面：（1）会计信息失真;（2）费用支出失控，潜在亏损增加;（3）违法违纪现象时常发生。针对内控失效的现状，在重新建立健全内部控制制度时，就应加强相关方面的内部控制审计工作。首先建立“防、堵、查”为主线的递进式的监控措施;其次加强内部考核的力度，使内部控制审计工作制度化;再次建立内部控制审计的独立性和权威性，对违法违规现象起到震慑作用。

2.要顺利实现内部控制目标，也必须加强内部控制审计工作。

（1）建立、完善符合现代管理要求的内部组织机构，形成科学的决策机制、执行机制和监督机制，确保企业经营目标的实现，是内部控制所要达到的基本目标之一，在企业内部建有独立的内部控制审计机构、完善的内部控制审计制度是达到上述内部控制目标的重要途径。

（2）堵塞漏洞、消除隐患，保护企业财产完整，也是内部控制所要达到的基本目标，同时也是内部控制审计机构的基本职责。及时发现管理中存在的漏洞，是内部控制审计人员日常工作的重点之一。

（3）保证会计信息真实完整，确保法律法规和内部规章的贯彻执行，是内部控制的又一基本目标。内部控制审计在保证内部控制达到这一目标上更是大有可为，查证审计是内审的传统内容之一。

（4）外部审计是内部控制审计的补充和再监督，不能替代内部控制审计。两者只有有机结合，才能对内部控制进行更有效的监督。总之，内部控制审计的内容十分广泛，要建立健全内控制度并有效运行，首先就必须强化企业的内审工作，使之规范化和制度化。

三、建立健全内部控制制度，强化内部控制审计，必须与风险管理相融合

风险管理与内部控制的融合日趋紧密。风险管理的目标在于控制和减少损失，提高企业的经济利益或社会效果。因此，建立健全内部控制制度，强化内部控制审计，需要与风险管理相结合。这种结合有其客观必然性，是环境因素和其本身因素的影响。

1.企业内部控制审计对发展的渴求。

内部控制审计为了不断地发展，为了在企业中担当更重要的角色和发挥更重要的作用，总是不断寻找新的对企业又十分重要的领域，企业经理人员对风险的空前重视，为内部控制审计发展提供了一个绝好的机会。也正因为如此，国际内部控制审计师协会才不遗余力地倡导进军这一领域，并把风险管理作为内部控制审计的重要领域直接写入了内部控制审计的定义。

2.企业内部控制审计能够在风险管理中发挥独特的作用。

（1）能够客观地、从全局的角度管理风险。风险在企业内部具有感染性、传递性、不对称性等特征，即一个部门造成的风险或疏于风险管理所带来的后果往往不是由其直接承担（至少不是单独承担），因此，有些部门可能会出现过渡道德风险，如采购部门为节约采购成本，忽视对材料规格、质量方面的检查，或者有意购买残次品。因此，对风险的认识和防范、控制需要从全局考虑，各业务部门很难做到这一点，而内部控制审计部门由于其独立性使得它完全可以胜任。

（2）控制、指导企业的风险策略。内部控制审计具有独立性，内部控制审计人员因而能够充当企业长期风险策略与各种决策的协调人，调控、指导企业的风险管理策略。

（3）内部控制审计部门的建议更易引起重视。有些企业尽管也有风险管理部门，但它隶属于管理系统，不具有独立性，其作用受到限制。内部控制审计机构可以直接向董事会、监事会报告，这会加强管理当局对内部控制审计意见的重视程度。

国有企业肩负着三大责任：经济责任、社会责任、政治责任。国有企业内部审计在贯彻执行党和政府的方针政策及维护财经纪律方面，在保护企业的合法权益、改善企业的经营管理、提高经济效益及应对市场竞争等方面，都起到重要的作用。所以说，内部审计是现代企业管理的重要组成部分，内部控制与内部审计更紧密的结合在一起，将最大限度的为企业提高经营管理水平，提高经济效益服务。

（作者单位：江西南昌轨道交通集团有限公司）