内部控制下的内部审计价值提升

　　1以风险为“导向”

　　内部审计的属性、职能、方法、范围的变化源于对内部审计目标在公司价值管理活动中的目标定位。内部审计活动以增加企业价值为目标，应当以风险为导向、以控制为机制。2009年，中国内部审计协会与德勤联合发布的《内部审计保驾护航____金融危机背景下内部审计热点问题调查》研究报告中明确指出，“金融危机提高了公司管理层对内部审计的重视程度，为提升内部审计地位和作用，推进内部审计全面转型提供了良好契机”。

　　风险导向的内部审计，要求风险管理过程与内部审计程序之间保持协调、一致，并产生工作协同。它要求：（1）在编制审计计划时，应当对影响企业目标实现的风险进行识别评估，并制定审计计划。（2）在编制审计方案时，以评估风险优先次序为基础安排、分配审计资源。（3）在审计过程中，应通过实施控制测试评价内部控制和风险管理机制、查找疏漏和薄弱环节，并实施实质性测试。同时选择能反映风险重要性与影响程度的检测、验证技术与方法，借助完整性控制、重要性控制和真实性控制等手段，确保审计证据的充分性、可靠性以及审计工作底稿的质量，降低审计风险。（4）在编制审计报告时，应当作出风险评估的结论，明确“风险在哪里”和“究竟怎么做”，即从健全内部控制、完善风险管理机制等方面提出意见和建议，并进行持续改善。（5）在持续改善过程时，除检查监督审计意见和建议的落实和效果外，还应当结合当前环境，进一步分析风险导向审计结论的科学性，提升风险导向审计的成效。

　　2以内部控制体系评价、监督、持续改善为“抓手”

　　企业内部控制与企业管理是融合一体的，或者说，内部控制的运行过程即为企业的经营管理过程。内部控制建设贯穿于企业经营管理的始终。内部控制体系既需要企业集合各方力量进行建设并认真落实，更需要内部审计对其运行、执行情况进行评价，并通过持续改善以完善内部控制体系，从而完成“对内部控制的再控制”。

　　2.1对内部控制体系的评价

　　内部控制体系建设总体上是流程导向的，它需要根据内部控制规范及相关指引等，对企业制度体系进行全方位梳理，以业务流程为线索将企业各个部门联系在一起，而这些流程线索又会相互交织串联，最终形成一张网络，使企业各项业务与各个部门和各个岗位之间的分配都明晰化。由此可知，内控体系在企业内部管理中“牵一发而动全身”，内控体系无效甚至偏离企业管理基本准则和战略目标，则会对企业的整体发展产生难以估计的影响，可见内控体系的建设、完善和评价工作在现阶段显得尤为重要。

　　内部审计担纲着对内部控制体系的评价重任。内部审计对内部控制的评价主要通过以下几条途径：（1）在开展财务收支审计时对与会计控制系统相关的内部控制进行评价；（2）开展“常态化、动态化”的内部控制审计，对内部控制系统有效性进行持续的评价。如，内部审计按照企业的业务循环，就某一循环过程牵涉到的岗位设置、业务流程、文件流转、工作效率等各方面进行全面考评，以确定其健全性与有效性。（3）对“非正常事件”的处理。企业发生“非正常事件”往往是暴露内部控制薄弱环节的最佳时机，内部审计师应该有敏锐的洞察力发现并及时对相关的内部控制进行评价，并提出完善内部控制的建议。

　　2.2对内部控制运行的过程监督

　　内部控制是由一系列控制政策、制度与程序组成的整体系统，该系统体现管理者的管理理念、管理风格和对管理目标的追求。为了确保这些政策与程序得到全面、准确地执行，内部审计必须对其运行进行过程监督。我国的《内部会计控制规范____基本规范》明确指出：“单位应当重视内部会计控制的监督检查工作，由专门机构或者专门人员具体负责内部会计控制执行情况的监督检查，确保内部会计控制的贯彻实施。”在公司实践中，这一专门机构大多是指内部审计。由于企业的经营管理是个动态发展的过程，内部控制也是一个动态发展的系统，因此内部审计对内部控制的监督也应当是动态、不间断的，内部控制运行中的过程监督是内部审计的常态任务。

　　2.3对内部控制体系的持续改善

　　内部审计在内部控制评价、过程监督中，不应成为企业管理的“旁观者”，而应针对内部控制建设与执行中各类“问题”，以“参与者”、“价值构建者”的角色，不断协助各级管理者优化内部控制政策、程序。

　　3提升内部审计价值

　　3.1评价和改善组织的风险管理

　　风险是一种潜在的可能损失。风险管理就是通过风险预警、识别、评估、分析、报告和规避等，控制和降低风险，防止风险显化为损失。有效的风险管理可以减少和防止组织的损失，增加组织的价值。

　　内部审计具有相对的独立性。与组织的其他部门相比，它更能从组织的全局角度，更清醒地识别和评估风险，提出防范风险的有效建议；与外部审计相比，它更能从组织的利益和实际出发，更积极主动地识别和评估风险，提出防范风险的有效建议。内部审计还具有综合性。它要对组织所有经济业务进行审查、评价，因而它能对组织面临的风险进行全面的分析、评估。内部审计更具有经常性和及时性的特点。它能随时针对组织的实际需要和发生的问题开展审计工作，及时发现和处理问题。因此，内部审计在风险管理方面具有独特的优势。

　　同时，内部审计还应当充分发挥自身的优势，大力开展审计调查，对组织中存在的带倾向性、普遍性的问题，进行经常性的调查、分析和评估、预测，弄清问题产生的原因或未来的发展方向，向组织的高层管理者提出解决或防范问题再次发生的建议。

　　3.2评价和改善组织的内部控制

　　内部控制是组织内部约束机制的主要内容，它对于维护组织的生存、提高组织的活力，防范组织的内部风险，增加组织的价值，具有重要意义。

　　为了及时发现内部控制中出现的残缺和失效问题，内部审计人员必须时刻关注控制环境发生的变化，经常检查各项控制程序的有效性，探索优化本组织内部控制的途径。对于控制环境，要重点关注高层管理人员经营理念、组织结构、授权方式、人事政策、国家政策法规、国家经济管理监督机关监督检查方式等方面的变化及其对内部控制的影响；对于风险评估，要重点评价风险评估的程度是否合理，方法是否科学，报告是否及时；对于控制活动，要重点检查新业务出现后，不相容职务是否合理分离，一般授权与特殊授权的划分是否合理，各种控制措施是否保证资产的安全完整，预算程序和方法是否合理，定额是否齐全、合理；对于信息和沟通，要重点检查凭证传递路线是否合理，信息沟通是否畅通等。对于发现的残缺和失效问题，内审人员应查清其产生的原因，分析其可能造成的影响，向组织的高层管理人员提出完善的具体建议，或随时接受他们的咨询。

　　3.3评价、持续改善组织管理过程的有效性

　　组织价值的增加离不开有效的经营管理。为了帮助组织改善经营管理，内部审计应当大力开展业务经营审计，如基建工程的预算、决算和招标、投标审计，物资采购审计等，促进组织努力开发和充分利用各种生产力要素，以增加组织的价值；大力开展管理审计，如财务预算和计划审计，战略决策和管理审计，基建工程跟踪审计等。在审计的基础上，促进组织健全并严格执行各项管理制度，保证管理指令和预算、计划的有效贯彻执行，确保组织的战略与行动计划之间高度协调一致，保障组织管理的有效性，增加组织的价值。