首页资料文库正文

内部审计与内部控制的区别十篇

时间：2023-12-18 17:47:41

内部审计与内部控制的区别

内部审计与内部控制的区别篇1

关键词：内部审计；基层央行；风险管理

随着人民银行各项业务的发展，各类风险隐患和案件事故的发生严重影响基层央行的形象和职责的履行，风险控制和防范成为基层央行内部管理和控制的重点。内部审计可以从单位层面（如组织治理、制度设计等）和部门层面（如国库、发行等）上对风险管理进行审查和评价，分析相关层面风险管理存在的问题及成因，并提出有针对性的政策建议。因此内部审计参与风险管理是完善内部控制、防范系统风险、确保央行业务规范运行的有效方式和发展方向。

一、基层央行风险管理的现状分析

近几年来，人民银行的业务发展逐渐呈现出“三化”的特征，分别为：资金清算集中化、业务处理系统化、金融管理信息化。目前基层央行基本设置内部审计、巡视、纪检监察三个部门进行监督检查，其中巡视是针对基层央行党委班子，纪检监察主要侧重于党风廉政建设、惩防体系建设，内审主要关注重要业务、重点领域，曾经对国库、发行、资金清算等基础业务专门开展事后监督的事后监督中心多数中心支行已撤销或合并，改由各部门或支行设立事后监督岗位自行监督，自行监督自己开展的工作。改革创新业务极大的促进了辖区经济发展，但相应的监督制约机制却未能及时建立健全。如分支行强力推进的农村信用体系建设、服务民生的金融IC卡应用工程是促进经济发展，方便群众生活的民心工程，但在操作应用的过程中产生许多潜在的风险隐患，如何防范这些风险隐患，至今未有系统的监督制约机制。

二、基层央行风险管理中存在的问题

目前，基层央行按照“分散控制与集中监督相结合”的模式进行风险管理。一方面上级行业务部门对本业务条线的风险进行纵向监督管理，另一方面本行内部审计部门对业务进行横向监督检查，通过多年实践，基层央行现行风险管理模式在促进人民银行履职等方面取得了较好的成效。同时主要存在以下问题：

（一）内部审计成果利用率较低，影响内审职能作用的发挥

作为风险管理推动主体的内部审计部门，对审计发现的问题以整改通知的形式发送被审计部门，个别被审计部门不能充分重视问题产生的原因分析及潜在的风险损失，导致一些问题屡查屡犯，造成内部审计工作难以取得良好工作效果。

（二）风险管理意识有待加强

一是目前基层央行的风险管理大部分是以部门业务制度的形式存在，风险管理缺少系统性的应对策略。二是目前基层央行部分员工对风险管理的重要性认识不足，风险观念和规范意识不强。

（三）风险管理组织、制度体系不够完善

目前人民银行系统尚未形成系统、独立的风险管理体系，也缺乏一个明确、统一的风险管理部门，主要依靠内部审计部门的审计监督进行事后的风险发现与管理，事前防范和事中监控不足。

三、内部审计在促进基层央行风险管理中应发挥的作用

内部审计所固有的相对独立性，使其更能从全局的角度去识别、分析和评估风险，及时发现风险管理体系中存在的薄弱环节，提出风险预警，实现风险的有效控制；同时作为基层央行内部管理的重要监督部门，具有经常性、综合性的监督特点，它能随时针对分支央行的业务工作开展审计监督，对面临的风险进行全面的分析、评估，及时防范和化解基层央行所面临的风险。因此，内部审计在促进分支央行风险管理中能发挥积极的作用。

（一）卓有成效地开展审计监督，充分发挥内审职能作用

根据人民银行垂直管理体制的特点，内审监督要针对关键问题和薄弱环节积极实施审计项目，做到有的放矢，才能更好地发挥内审的职能作用：一是要按照上级行统一布置的内审项目开展审计监督；二是要对行领导关注的问题做出审计安排；三是要符合内审创新转型的要求选择审计项目，实施审计监督。

（二）推进内控长效机制建设，促进内控管理的不断加强

有效的内部控制是防范风险的必要手段，建设有效的内控长效机制是组织管理层的职责，但作为组织内部一个重要环节的内审部门，在内控长效机制建设中必须发挥应有的作用：一是要积极发挥领导的“耳目”作用，及时了解和掌握全行内控管理现状，发现薄弱环节，向行领导提出内控机制建设性建议。二是要强化审计咨询。与审计对象进行充分交流与沟通，分析、评价其内部控制状况，剖析问题原因，从内审视角提出改进意见，促进其不断强化内部控制，达到内控最优化。三是要加强审计后续监督，积极督促职能部门认真履行内控管理职责，切实整改审计发现的各类问题，促进内控长效机制建设。

（三）积极开展风险识别、评估、应对工作，确保风险在可控状态

基层央行应建立“风险引导审计、审计关注风险”的风险导向审计模式。应定期对本行各业务职能领域开展风险识别、评估、分析工作，参考总行风险评估工作试行办法中的程序开展风险评估工作，评价现有的风险控制措施是否科学。对于评估风险较高的业务职能领域，加大审计监督力度，对审计中发现的问题进行深入分析，科学采取相应措施，实现对风险的有效控制。

四、内部审计参与基层央行风险管理运作设想

内部审计参与基层央行风险管理审计应明确总目标，即以央行总体工作目标为标准，以基层央行内部控制状况的审计和评价为基础，监督评价各业务部门和单位在风险识别、控制和监督等方面的充分性、合理性、有效性。我们以基层央行国库业务为例，具体运作设想如下：

（一）风险识别

风险事件，根据不同的分类原则，可进行多角度的分类，风险分类的不同，对于后面制定风险管理策略有重要作用。搜集初始信息，主要是对近三年单位或部门各种监督检查发现问题作为搜集对象，从大量的初始信息中，组织对单位或部门的风险事件进行归类分析。如国库业务共识别风险事件7项（见表1）：

（二）风险分析、风险评价

1.建立风险事件评估标准进行风险辨识、分析、评价应将定性与定量方法相结合，要进行准确的风险事件评估，必须制定相对合理和准确的评估标准，这是风险评估重要的组成部分。可以利用近三年国库业务监督检查结果为依据，采用分析性复核，经过反复讨论验证，而且为了验证标准的合理性，我们用今年监督检查结果进行进行了返回测试，返回测试结果是：参与人员都认可通过了测试。最后确定国库业务风险事件评估标准如表22.发生概率分析对照评估标准，对风险事件进行发生概率分析。首先形成可观的判定理由，在与评估标准对照，确定发生概率的等级，见表3：4.风险坐标图评估风险时，应根据对风险发生可能性的高低和对目标影响程度的评估，绘制风险坐标图。风险坐标图的作用主要是用来确定风险管理的优先顺序和策略。具体应用，首先绘制风险坐标区域图。风险坐标区域图是通过把风险策略原则的边界，转化为坐标图中的一些险段，将坐标图分成几个区域，形成风险坐标区域图。罗在不同区域内的风险事件，其管理策略也不同，我们把风险策略原则边界转化为两条直线段和一条1/4圆弧线，对风险坐标图进行分区。如图1所示，我们把坐标图视为被三条线断分为4个区：其中红色区（A区）为双高风险区，绿色区（D区）为低风险区，靠近纵坐标的浅色区（B区）为高风险区，靠近横坐标的浅色区（C区）为高危险区。风险事件落在不同的区域，原则上采取不同的风险管理策略。

（三）风险评估结果与内部审计工作

按照风险管理工作流程图，风险事件评估和确定风险管理策略。对于1、2、3、7等风险事件，处于高风险领域，应高度关注，制定具体的操作策略，内审部门应加大检查力度。对于4、5、6、8等风险事件，可适当放宽检查频率。对高风险领域的风险事件，要深入分析成因，提出有针对性的应对措施，为领导决策提供参考。

五、内部审计参与基层央行风险管理应注意的问题

（一）风险管理监督与评价应以风险管理流程、风险评估标准为依据

一是看能否有效识别并管理贯穿与央行的各类风险，不仅要识别某个部门面临的单独风险，而且还能从整体卅还能够识别每个风险之间的相互影响，并收集整合各种分离的信息，有效管理风险。二是能够有效的风险评估和风险计量，使管理层能获得更多的信息，关注高风险的业务和管理活动，进而合理分配资源，提高管理效率。三是能有效促进央行履行职责。

（二）内控机制尚需完善，内控评价水平需进一步提高

一是个别部门、个别支行在人民银行职能调整和支行机构改革后，未及时根据内部科室业务职能的变化修订岗位职责和操作规程。二是上级行在有些制度制定和完善方面相对滞后，特别是近几年来，金融业务发展较快，新情况、新问题不断涌现，老的制度不能覆盖所有的风险点，新制度又没能及时完善充实，致使内控出现盲点，造成一定的风险隐患。三是对内部控制评价监督机制不统一。有依据自身开展控制评价的，有依据本行外部监督开展监督评价的，没有形成统一的内部控制评价体系，造成各行确定审计重点的不同。

（三）操作过程中技术性含量不足

一方面现场检查过程中没有采用科学合理的抽样方法与抽样数量，容易引起检查风险。另一方面没有从全行的角度出发，对风险按照科学规定系统的加以有效识别和科学界定，建立风险评估框架；并且没有完全采用定量和定性结合的方法来分析风险，导致风险隐患的确定不准确。

（四）内审人员素质亟待提高

一方面长期以来，基层央行内审人员适应了查错纠弊的传统审计模式，对风险控制因素考虑较少，对于风险审计评价的概念淡薄，缺乏风险识别和风险评估必要的理论基础。另一方面评价人员对标准的掌握程度和判断能力的高低直接影响评价与检查的结果，内审人员的水平不能满足现场检查时有大量信息判断的需要，造成检查风险。

参考文献：

[1]人行上海总部课题组,“内部审计对央行风险管理的监督与评价”,《中国内部审计》,2008年第3期.

[2]刘庆玉、王峰艳,“企业外部质量风险评估方法”,《质量安全管理》,2006年第5期.

[3]李恒新,“风险管理中科学的风险评估方法”,《中国包装工业》,2007年第9期.

[4]兰芳,“内部审计参与企业风险管理的思考”,《审计论坛》,2007年第5期.

内部审计与内部控制的区别篇2

【关键词】企业管理；内部审计；内部控制

一、内部审计与内部控制的概念及特征

根据《中华人民共和国审计法》相关规定，内部审计是独立监督和评价本单位及所属单位财政收支、财务收支、经济活动的真实、合法和效益的行为，以促进加强经济管理和实现经济目标。内部审计具有服务的内向性、工作的相对独立性、审计工作程序的相对简单、审查范围的广泛性、审计实施的及时性等特征。内部控制的概念与特征为，内部控制是企业管理结构和全体员工共同实施的、旨在合理保证实现企业基本目标的一系列控制活动。这是企业为实现自身的战略目标的活动，是建立现代企业制度一种基本要求，是企业推动各项工作的基础，也是企业提高管理水平和防范风险的一种有效机制。内部控制具有全局性、常规性、潜在性、关联性等特征。

二、内部审计与内部控制的关系

（1）内部审计与内部控制既有联系，又有区别。内部审计与内部控制的联系主要表现在两者的工作对象与目的相同，而两者的区别则主要表现在各自的工作方法上。内部审计的目的在于协助管理层调查、评估内部控制制度、适时提供改进建议，以求内部控制制度得以持续实施，而内部控制的基本目的在于促进组织的有效运营。在工作方法上，内部审计主要是内审人员审核和评价会计记录、财务状况，以及各种经营与控制系统，用以确定企业的政策是否得到贯彻，建立的标准是否得到遵循，资源的利用是否节约而有效，单位的目标是否实现，并对企业管理工作提出建议。而内部控制则是由企业董事会、经理阶层和其他员工实施的，通过控制环境、风险评估、控制活动、信息和交流、监督等五个方面来开展工作。（2）内部审计与内部控制既相互作用，又是独立存在。在实际操作中，内部审计和内部控制密不可分，没有健全的内部控制制度作基础，就不能开展内部审计；没有健全、良好和运转正常的内部控制，不仅加重了内部审计工作量，而且会加大了内部审计的风险，从而制约了内部审计的发展。反之，没有内部审计对对内部控制客观公正的审计、有效的评审和根据审计结果提出的改进建议，内部控制也只能原地踏步。但是，内部审计不能代替内部控制，内部控制的内容涵盖了控制环境、会计制度和控制程序三个方面，比内部审计的范围要大；同样内部控制也不能代替内部审计。

三、正确处理内部审计和内部控制的关系，推动企业良性发展

（1）充分发挥审计的评估作用，正确评估内部控制的风险。内部控制活动首要活动从全局对风险进行人事、防范和控制进行评估，但由于组织内部各部门利益的出发点不一致，很难做到对全局的把握，而内部审计相对独立的特点，能客观地、从全局的角度考虑风险。因此，充分发挥内审的独立性优势，对企业风险进行全面、恰当的评估，并针对风险提出改进措施。（2）实施好内部审计，有效监督内部控制的运行。在实践中，企业根据自身实际需要，制定了内部控制的规章制度与程序，但由于缺少强有力的监督力量，使违反政策、制度与程序得不到明确的惩罚，导致制度失去权威，不能发挥应有的作用。内部审计履行监督职能，其直接目标是确保内部控制的有效运行，以使内部控制的目标能够实现。（3）正确实施内部审计，全面评价内部控制。在实际工作中，内部审计人员对内部控制主要是内部控制设计的正确性和执行的有效性。内部审计主要是在制定阶段和实施阶段对控制系统作出评价，通过对正在制订和已经实施的内部控制制度进行评价，提出合理化改进建议，达到参与组织内部控制建设的目的。（4）延伸内部审计，全过程参与内部控制。企业的经营活动是一个环环相扣的连续过程，缺少了任何一个环节，都不会全面反映的经营活动，因此，建立良好的内部控制体系，必须涵盖整个生产经营过程，包括事前内部控制、事中的内部控制和事后的内部控制。而作为内控工具的内部审计，也应该能相应地将工作范围延伸到这三个阶段上，才能对内部控制的建设中发挥应有的作用。

总之，企业的内部审计与企业内部控制，是企业内部发展的内部监督体系的一体两面的重要组成部分，二者既不能割裂，也不能单独存在，内部控制是内部审计的基础，内部审计是内部控制的前提，二者相互促进，相互影响，共同推动企业的发展。

参考文献

[1]李存根．现代企业风险管理审计[M]．中国财政经济出版社，2005

[2]张超．论内部审计与公司治理的改善[J]．现代商贸企业．2009（4）

[3]熊汉兰．浅论企业内部控制[J]．企业导报．2009（2）

内部审计与内部控制的区别篇3

在具体的内部审计实践中，可以综合运用制度控制方法、质量复核方法、区域控制方法、自查互查质量方法、内部审计公示方法等五种方法，加强审计质量的过程控制，建立内部审计项目质量控制制度体系。笔者结合多年的内部审计工作实践经验，对在审计工作中如何运用这些方法提高内部审计质量谈一些粗浅的看法。

一、运用制度控制方法提高内部审计质量

制度控制方法，是指内部审计部门通过建立健全各种质量控制制度，以监督、约束和规范内部审计行为，提高审计质量的方法。对于内部审计部门而言，一方面应通过制度控制来规范内部审计行为；另一方面还必须通过一定的制度控制来明确内部审计的责任。在内部审计业务中实施制度控制，可以严格审计质量，控制审计流程，使内部审计行为做到规范化、标准化，从而建立控制内部审计质量的长效机制。

如何建立健全审计质量控制制度？借鉴全面质量管理理论中PDCA工作循环法的原理，在实施审计过程中，我们可将审计项目质量控制过程分为四个步骤进行：第一步骤是“计划（Plan）”。针对某一具体审计项目进行分析，制定具体审计质量控制计划和措施；第二步骤是“实施（Do）”。认真执行计划并严格落实各项质量控制措施；第三步骤是“检查（Check）”。对计划实施情况进行检查和考核，找出存在的问题与差距；第四步骤是“处理（Action）”。总结审计经验，以便在今后的审计工作中推行。如果检查的结果与审计之前预定的计划不一致的话，则一定要查明原因，采取措施加以解决。只要我们认真执行以上四个步骤，周而复始，建立有效的审计质量控制循环机制和制度，就一定能够切实保障和提高审计项目质量。

在国家审计署所制订的《审计机关审计项目质量控制办法（试行）》（［2004］审计署令第6号）中，明确规定了国家审计机关实施审计项目时，对编制审计方案、收集审计证据、编写审计日记和审计工作底稿、出具审计报告、归集审计档案等全过程实行质量控制。该办法对国家审计机关如何进行质量控制作出了详尽和严密地规定。内部审计机构在制订本单位的内部审计项目质量控制制度时，可以参照国家审计署所制订的《审计机关审计项目质量控制办法（试行）》，结合本单位的具体实际情况，制订出切合实际的内部审计项目质量控制制度，为运用制度控制方法提高内部审计质量做好基础工作。

二、运用质量复核方法提高内部审计质量

质量复核方法，是指在项目审计过程中，通过一定的程序，结合实际情况建立严格的审计质量复核制度。在审计项目实施过程中，进行多层次的复核十分必要。

怎样进行审计质量复核？首先，在内部审计制度中，应明文规定要对审计质量进行复核，质量复核包括审中复核和审后复核。要对复核人级别、复核程序与要点、复核人职责等作出规定。其次，要结合项目审计的特点，扩展审计质量复核层次，建立由内部审计小组、内部审计机构、内部审计分管领导所组成的三级复核制度，分别履行详细复核、一般复核、重点复核的职责。内部审计小组侧重于审中的详细复核，应指定专人或复核小组对审计过程中已完成的业务跟踪进行质量复核。在审计完成阶段，内部审计机构、内部审计分管领导进行审后复核，在作出正式的审计结论前，对审计组已经完成的全部审计业务进行审计质量把关。

三、运用区域控制方法提高内部审计质量

区域控制方法，是指在审计过程中，内部审计人员将整个审计对象划分为重点审计区域和非重点审计区域，然后对两个区域分别实施详尽程度、繁简程度不同的审计和审计质量控制，做到全面监督和重点检查相结合，提高审计质量。

如何运用区域控制方法进行审计？第一，在审计计划阶段，关键工作是确定重点审计区域和非重点审计区域，在审计方案中应明确将重点审计区域列入工作重点；第二，在审计实施阶段，分别重点区域和非重点区域，按照不同的审计方法和策略进行审计。对重点区域实施重点审计和详细审计，尽可能做到全面监督和重点检查相结合，确保审计质量。

四、运用自查互查质量方法提高内部审计质量

自查互查质量法主要适用于内部审计小组，它是质量复核方法在内部审计小组中的具体运用。自查法，就是审计人员分别根据自己所担负的审计任务，对自己所进行的审计工作进行追溯性检查，以检验审计结果质量的方法；互查法，是指由审计组中担负不同审计任务的审计人员相互之间对审计业务过程进行追溯性检查，以检验审计结果质量的方法。

在实际审计工作中，应努力避免使自查互查审计质量的行为流于形式。特别需注意的是，在自查中审计人员对自己的工作进行复查，受习惯性思维和惯性的影响可能使自查流于形式。互查法虽有助于克服上述局限，但也可能存在审计人员碍于情面，使复查难以深入；或因审计人员不熟悉情况，影响工作效率等弊端。因而，在各单位的内部审计制度中应严格规定内部审计人员的自查责任和互查责任，对违规审计人员要进行处理。

五、运用内部审计公示方法提高内部审计质量

内部审计公示方法，就是内部审计机构对重要内部审计事项的内容、审计程序、过程、结果、举报方式等，采用适当方式向内部被审单位进行公开的制度。内部审计公示的范围包括：一是对内部被审计单位公开，主要是对审计目的、内容、处理结果、审计举报及监督电话进行公开。二是对有关内部主管部门公开，公开的目的是一方面取得有关内部主管部门的支持、配合和监督，另一方面让有关内部主管部门了解被审计单位的审计情况和内部审计机构的审计建议，从而使被审计单位更好地改进自身的工作。:

如何进行内部审计公示？首先，在审前阶段，在审计项目正式实施以前，内部审计机构要就审计项目名称、审计的目标、审计的范围、内容和重点、审计组成人员、审计地点及联系电话、审计实施期间审计工作纪律、审计人员廉政纪律及内部审计机构监督举报电话，在被审计单位进行公示。审计公示采取书面形式，根据实际需要，可以一份亦可以多份，张贴于被审计单位显要位置，欢迎被审计单位广大干部职工反映情况和问题，监督审计人员执行工作纪律、廉政纪律情况。其次，在审中和审后阶段，内部审计机构可以在单位职工大会或被审计单位的中层以上干部及职工代表中公布审计中发现的问题和审计报告。

内部审计与内部控制的区别篇4

关键词：内部控制　财务报表　审计整合

2008年7月，财政部等五部委联合的《企业内部控制基本规范》规定，执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。2010年4月，财政部等五部委再次联合的《企业内部控制审计指引》总则第五条规定，注册会计师可以单独进行内部控制审计，也可将内部控制审计与财务报表审计整合进行。这为内部控制审计和财务报表审计整合进行提供了依据。

一、风险评估程序：财务报表审计以内部控制审计为依据

（一）财务报表审计风险评估程序

风险评估程序是内部控制审计和财务报表审计的第一个共同程序。财务报表审计中的风险评估程序，注册会计师需要了解和评价的被审计单位内部控制的范围是与财务报表相关的方面；了解和评价的广度应以是否足以识别和评估财务报表的重大错报风险为衡量标准，如果达到了这一标准，注册会计师即可开始设计和实施下一步的审计程序；了解和评价的深度也基本限于内部控制的设计是否健全及其是否得到有效执行，但其中不包括对内部控制是否得到一贯执行的确定；了解和评价的目的是判断是否可以相应减少实质性测试程序的工作量，以及用来支持财务报告的审计意见类型。

（二）内部控制审计风险评估程序

内部控制审计中的风险评估程序，注册会计师的目的是为了对内部控制本身的有效性发表审计意见，其范围涉及到企业整体的内部控制，内容包括内部环境、风险评估、控制活动、信息与沟通、内部监督五个方面，并且还需确定内部控制是否得到一贯执行。

（三）两种审计在风险评估程序的整合要点

内部控制审计的风险评估程序了解和评价被审计单位内部控制的广度和深度均超过了财务报表审计，在审计实务中，可以将两者在此程序需要完成的工作整合进行，即风险评估程序中财务报表审计应充分利用内部控制审计所获得的更为广泛的信息，并从中取得进行下一步审计程序的充分依据，这样可以大大降低工作量，避免重复劳动，进而提高了审计效率，降低了审计成本。

二、控制测试程序：内部控制审计为财务报表审计提供结论

（一）控制测试程序并非财务报表审计的必需程序

财务报表审计中，注册会计师通过对被审计单位内部控制的了解和评价来决定是否对内部控制的有效性进行测试。如果被审计单位设计的内部控制本身是无效的，或者设计是合理的，但没有得到执行，注册会计师则不必实施控制测试，而是直接实施实质性测试；如果被审计单位所设计的内部控制能够防止或发现并纠正重大错报，即认为内部控制是有效的，注册会计师应当实施控制测试。这样，就进入了两种审计的第二个共同程序，即控制测试程序。

（二）两种审计控制测试程序的区别

在控制测试程序中，内部控制审计与财务报表审计有三点区别：第一，内部控制审计要对被审计单位内部控制的有效性发表审计意见，而财务报表审计仅仅对与财务报表相关的内部控制进行测试。与风险评估程序相同，内部控制审计进行控制测试的广度和深度仍大于财务报表审计所进行的内部控制测试。第二，在内部控制审计中，注册会计师需要获取能够证明内部控制有效的高度相关的证据，对控制测试可靠性的要求较高，样本量较大且选择弹性较小；财务报表审计对控制测试可靠性的要求相对较低，测试的样本量相对较小且存在一定弹性。第三，两者对内部控制缺陷的评价要求也不同。财务报表审计中，注册会计师仅需将内部控制测试识别出的缺陷区分为值得关注的内部控制缺陷和一般内部控制缺陷；而在内部控制审计中，注册会计师需要对识别出的内部控制缺陷进行严格评定，将值得关注的内部控制缺陷进一步区分为重大缺陷和重要缺陷，重大缺陷会影响到审计意见类型。

（三）两种审计在控制测试程序的整合要点

注册会计师为了对内部控制有效性发表恰当的审计意见，需要获取比财务报表审计更多、更广泛、可靠性也更高的审计证据。因此，内部控制审计的控制测试可以直接为财务报表审计提供审计证据甚至提供结论，财务报表审计对内部控制审计在控制测试环节所取得的审计证据及得出的审计结论的充分利用，将使审计效率得到进一步提高。

三、财务报表审计实质性测试与内部控制审计控制测试：相互利用、相互支持

（一）财务报表审计实质性测试程序对内部控制审计控制测试程序的影响

经过控制测试，财务报表审计进入实质性测试程序。在这一程序中，注册会计师可能会发现被审计单位的财务报表存在错报甚至重大错报，这将会影响内部控制审计中控制测试的时间、性质和范围。这是因为如果现有的内部控制不能防止或发现并纠正这些错报甚至重大错报，就意味着在错报相应的控制点上可能存在内部控制缺陷，这将为注册会计师进一步审查内部控制缺陷提供重要线索。

（二）内部控制审计控制测试程序对财务报表审计实质性测试程序的影响

在内部控制审计的控制测试程序中发现的内部控制缺陷能为注册会计师在财务报表审计中对哪些交易和认定重点实施审计指明了方向，因为如果发现内部控制存在某项重大缺陷，则财务报表在相应的账户就可能存在重大错报，就会影响财务报表审计中实质性测试的时间、性质和范围，审计人员应当根据实际发现的内部控制缺陷对实质性测试的审计程序进行调整。

（三）财务报表审计实质性测试与内部控制审计控制测试的整合要点

对于两种审计的整合来说，财务报表审计的实质性测试与内部控制审计的控制测试是相互利用、相互支持的，将两种审计在这两个程序所取得的审计证据及得出的审计结论相互利用、相互支持能提高审计效率，降低审计风险，最大限度地保证审计质量。

四、审计计划的综合制定

内部控制审计和财务报表审计整合进行的审计计划制定是以对审计程序的整合要点分析为基础的，因此在分析了两种审计的审计程序整合要点之后，具体阐述如何根据整合要点综合制定审计计划。

（一）两种审计方式审计计划制定的重点

为达到充分整合内部控制审计和财务报表审计的目的，内部控制审计和财务报表审计应尽量由同一组审计人员实施，两种审计的审计计划也应共同制定。结合以上对审计程序的分析，对被审计单位的风险评估程序和控制测试程序主要由内部控制审计完成，在内部控制审计计划中应详细制定这两项审计程序的计划，在财务报表审计计划中可以对这两项审计程序的计划简化表述，但应重点对实质性测试程序的计划详细编制。

（二）审计计划的持续修订是审计质量的重要保证

随着审计工作的推进，注册会计师要根据审计发现的新情况、新问题，适时对总体和具体的审计计划做出调整和修正。具体来讲，如果审计人员在内部控制审计计划实施过程中发现内部控制存在重要缺陷，审计人员应及时修正财务报表审计的实质性测试计划。同样，如果在财务报表实质性测试中发现财务报表存在重大错报，也应该考虑该重大错报对内部控制审计计划的影响，考虑是否增加内部控制审计的具体程序，扩大审计范围，以保证审计发现内部控制设计及运行中的重大缺陷。需要特别指出的是，对审计计划的调整和修正应贯穿于整个审计业务的始终，以保证审计计划能够对两种审计的整合进行起到重要的规划和指导作用，有效地提高审计质量，最大限度地降低审计风险。

参考文献：

①中华人民共和国财政部等．企业内部控制基本规范[M]．北京：中国财政经济出版社，2008：1—5

②中华人民共和国财政部等．企业内部控制审计指引. 财会〔2010〕11号

③谢晓燕，张龙平，李晓红．我国上市公司整合审计研究[J]．会计研究，2009（9）：88—94

④王美英，郑小荣．对内部控制审计与财务报表审计整合的思考[J]．财务与会计，2010（7）：66—67

内部审计与内部控制的区别篇5

关键词：直接报告；行为或过程审计；内部控制审计

中图分类号：F239文献标识码：A

审计鉴证业务按其业务的特性可以分成两大类：一是对审计客体的陈述或声明发表意见的审计，称之为信息审计；二是需要对审计客体的行为、过程以及系统发表意见的审计，称之为行为或过程审计。从内部控制审计业务来划分同样也可以有这两大类，即：一是针对管理层内部控制评价报告提出结论，那么内部控制审计则是“信息审计”；二是直接针对内部控制的设计与运用的有效性提出结论，那么内部控制审计则为“行为或过程审计”。根据《企业内部控制审计指引》提出的内部控制审计的定义中可以看出“指引”将内部控制审计界定为“行为或过程的审计”。

一、内部控制审计属于“直接报告”业务

“直接报告”业务中，注册会计师直接对鉴证对象进行评价或计量，或者从责任方获取对鉴证对象的评价或计量，而该认定无法为预期使用者获取，预期使用者只能通过阅读鉴证报告获取鉴证对象的信息。按照《企业内部控制规范讲解》中提及的：执行企业内部控制规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷，应当提示投资者、债权人和其他利益相关者关注。从中我们可以看出，我国的内部控制审计并非是对企业的内部控制自我评价报告进行鉴证并提出审计意见，而是针对财务报告内部控制和非财务报告内部控制中的重大缺陷进行鉴证和评价，因此我国的内部控制审计存在责任方，但并非“基于责任方认定”，预期使用者必须通过对内部控制审计报告来获取企业内部控制有效性的信息。综上所述，不难看出内部控制审计属于“直接报告”业务。

二、内部控制审计应该是“行为或过程审计”

长期以来，我们所认识的财务报表审计是属于“信息审计”，注册会计师一直所从事的审计鉴证业务主要也是以“信息审计”为主，而内部控制审计却属于“行为或过程审计”，这对于注册会计师将会是一个新的领域，但实际上从起源来说，过程和行为的审计是在信息审计出现之前就已存在的，因此内部控制审计是“行为或过程的审计”，实际上是审计在更高层次上回归。下文将具体分析一下内部控制审计的这个业务特征。

首先，就内部控制本身而言，它是一个制度的集合和安排。我国2008年制定的《企业内部控制基本规范》所称的内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告以及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。可以看出，内部控制是为了实现其目标的一个过程，所以将内部控制审计界定为“行为或过程的审计”是由内部控制本身的性质所决定的。

其次，将内部控制审计界定为“行为和过程的审计”可以降低审计成本，这是美国经过三年财务报告内部控制审计的实践后得出的。美国PCAOB NO.2（2004）中将内部控制审计界定为“信息审计”，PCAOB NO.5（2007）则将其修正为“过程或行为的审计”。将“内部控制审计”界定为“信息审计”，注册会计师不仅要对内部控制的有效性进行审计，还要对管理层对内部控制的评价报告进行审计，而界定为“行为或过程审计”，注册会计师就仅对内部控制的有效性进行审计，因此大大降低了注册会计师的审计成本和审计责任。

三、内部控制审计业务特性理解和执行上可能产生的误区

1、从注册会计师的角度而言。长期以来，注册会计师执行的审计业务以“信息审计”为主，如财务报表审计，从行为方式和思想意识上来说要转换成“行为或过程的审计”可能需要一个过程；另外，由于执行内部控制规范的上市公司必须披露内部控制有效性的自我评价报告，注册会计师在执行内部控制审计业务时，容易将对内部控制有效性的审计误操作为对内部控制自我评价报告的审计，从而又陷入了“信息审计”的误区中。因此，我国应该及时出台更为细化的《内部控制审计指南》，指导注册会计师从事内部控制审计工作。当然，《指南》必须具有可操作性，建议可以认真地汲取已有实践经验的国家（如美国、日本、加拿大等）的经验和教训。

2、从社会公众的角度而言。上市公司的一切对外披露的信息要直接对社会公众负责，因此当赋予内部控制审计与财务报表审计同等的地位时，社会公众将对内部控制审计报告将报以同等的关注，社会公众对内部控制审计业务特征的理解将直接影响到审计期望。《内部控制审计指引》中明确地指出执行企业内部控制规范体系的企业，对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。将“披露自我评价报告”与“出具审计报告”并列在一起容易引起原本就存在“信息审计”思维习惯的阅读者的误解：内部控制审计是对“内部控制自我评价报告”的审计，因此也就将内部控制审计的业务特性误解为“信息审计”，同时提高社会公众的审计期望。当注册会计师对内部控制发表无保留意见时，并不代表上市公司的自我评价报告不存在问题，对于这一点应该让社会公众有足够的认识。

内部控制审计对于我国来说还是一个新生事物，它对于我国经济环境的良性发展具有积极的作用，但在执行之初必将是一个不断认识和修正认识的过程，因此不论是理论界、实务界还是社会公众，对内部控制审计的争论还将持续下去。

（作者单位：福建广播电视大学）

主要参考文献：

[1]李爽，吴溪.内部控制鉴证服务的若干争议与探讨.中国注册会计师，2003.5.

[2]张龙平，陈习作.财务报告内部控制审计理论分析（下）.审计月刊，2009.1.

[3]刘明辉.内部控制鉴证：争论与选择.会计研究，2010.9.

[4]阚京华.美国强制性双重内部控制评价制度的解析与启示.经济管理，2007.22.

[5]毛敏.美国财务报告内部控制审计的最新发展及启示.财会通讯，2006.1.

[6]财政部会计司.企业内部控制规范讲解.经济科学出版社，2010.7.

[7]中国注册会计师鉴证业务基本准则.2006.2.

内部审计与内部控制的区别篇6

美、澳、中三国内部控制审核报告的结构与内容

1.美国。根据《美国鉴证准则400：与单位财务报告相关的内部控制的报告》第45段的规定，执业人员的报告应当包括：

(1)包括“独立的”一词的标题(一般用“独立会计师报告”)。

(2)说明管理当局关于该单位在某一特定日期与财务报告相关的内部控制有效性的认定(当管理当局的认定没有后附于执业人员的报告时，报告的第一段也应当包含管理当局的认定的说明)。

(3)说明认定是管理当局的责任。

(4)说明执业人员的责任是根据其审核，对“该单位的内部控制有效性或管理当局的认定”发表意见。

(5)说明审核是根据美国注册会计师协会制定的鉴证准则执行的，相应地，包括了解与财务报告相关的内部控制，测试和评价内部控制设计和执行的有效性，以及实施执业人员根据实际情况认为必要的其他程序。

(6)说明执业人员相信，审核为其发表意见提供了合理基础。

(7)应加一段说明，由于任何内部控制中均存在固有局限，因此，由于错误或舞弊引起的错报可能已经发生且未被发现(此外，本段也应当说明，根据内部控制评价结果推测未来存在一定的风险，因为未来情况的变化可能导致现行内部控制变得不再适当，或者降低了内部控制政策或程序的遵循程度)。

(8)执业人员的意见是：①根据控制标准，该单位在某一特定日期是否在所有重大方面保持了与会计报表相关的有效的内部控制。②根据控制标准，管理当局关于该单位在某一特定日期与会计报表相关的内部控制有效性的认定是否在所有重大方面是公允表述的。

(9)如果认定是根据管理机构制定的特定标准编制的或者是根据由认定者与特定方商定的特定标准编制的，也应当包含执业人员的报告；应说明因为旨在单一地为特定方使用，所以报告的使用具有局限性；当存在既定标准时，应说明如果认定是根据“指出既定标准”来表述的，该认定就不是专门根据该标准来表述的结果。

(10)执业人员事务所的手书或印刷签名。

(11)审核报告的日期。

2.澳大利亚。根据《澳大利亚审计准则810：关于控制程序有效性的特殊目的报告》第67段的规定，审计师关于控制程序有效性的报告应当包括：

(1)标题(如果对控制程序有效性的认定提供高程度的保证水平，则标题为“独立审计报告”)。

(2)收件人。

(3)审计范围的描述，包括：活动范围的说明或描述，说明保持对活动范围有效的内部控制结构，包括控制程序，是管理当局的责任。

(4)当业务是鉴证业务时，说明管理当局关于控制程序有效性的声明的指定来源。

(5)说明审计师已经实施了该业务，以便对控制程序有效性发表意见。

(6)指出审计师编制报告的目的及有权利利用报告的人，并指出审计师对其他任何目的或其他任何人员利用本报告不承担责任。

(7)标准的描述或标准来源的披露。

(8)说明审计是根据澳大利亚审计准则实施的。

(9)在罕见及例外情况下，当偏离基本原则或基本程序可能是必要的，正如在“其他综合职业说明SPS1.1：遵循审计准则”中的(H)段所要求的说明，对于已偏离的特殊基本原则或基本程序连同偏离的正当理由，应当提供详细的说明。

(10)进一步详细说明影响所提供保证的变化因素及其他认为适当的信息。

(11)以“固有局限”为标题，在该段落部分中陈述：①由于在任何内部控制结构中均存在固有局限，因此，错误或违规可能已经发生且未被发现是可能的，并且在已审计的控制程序之内的内部控制结构执行未经审计，因而不对其有效性发表意见；②审计不被设计用于发现控制程序中的所有薄弱环节，因此没有在整个期间内持续地实施审计，且所实施的测试是建立在样本基础之上的；③根据控制程序评价结果推测未来期间存在一定的风险，因为未来情况的变化可能导致控制程序变得不再适当，或者可能降低控制程序的遵循程度。

(12)当审计师的意见是保留的，则应有以"限制情况"为标题的一部分，清楚地说明该保留意见的原因。

(13)对在所有重大方面和根据指定的控制标准，与活动范围有关的控制程序的设计和执行是否有效发表意见。

(14)审计师的签名。

(15)审计师的地址。

(16)审计师报告的日期。

3.中国。根据中国注册会计师协会的《内部控制审核指导意见》第五章第三十条至第三十九条的规定，内部控制审核报告应当包括以下基本内容：

(1)标题。统一规范为“内部控制审核报告”。

(2)收件人。应当为审核业务的委托人，并应当载明收件人的全称，可用“XX股份有限公司”。

(3)引言段。应当说明以下内容：①被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定；②被审核单位管理当局的责任；③注册会计师的责任。

(4)范围段。应当说明以下内容：①审核依据，即《内部控制审核指导意见》；②审核程序；③实施的审核程序为注册会计师发表审核意见提供合理的基础；

(5)固有限制段。应当说明以下内容：①内部控制的固有限制；②根据内部控制评价结果推测未来内部控制有效性的风险。

(6)说明段。如果注册会计师发表的是非标准无保留意见，则应增加说明段，说明内部控制存在的重大缺陷及其对实现内部控制目标的影响。

(7)意见段。应当说明被审核单位于特定日期在所有重大方面是否保持了与会计报表相关的有效的内部控制。

(8)签章和会计师事务所地址。应当由注册会计师签名并盖章，加盖会计师事务所公章，标明会计师事务所地址。

(9)报告日期。是指注册会计师完成外勤审核工作的日期。

三国内部控制审核报告的比较

(一)内容与结构

1.标题。美国将其统一称为“独立会计师报告”，突出了注册会计师实施业务的独立性特征，将注册会计师的报告与其他专业人员的报告区别开来。但美国注册会计师就其他业务签发的报告也有称为“独立会计师报告”的。如注册会计师签发的中期财务报告审阅报告就称为“独立会计师报告”，年度财务报表审计报告也可称为“独立会计师报告”。此外，这种标题没有反映出业务对象与业务性质，不能将内部控制审核业务报告与注册会计师实施的其他业务报告相区别。澳大利亚将标题统一称为“独立审计报告”，也突出了注册会计师实施业务的独立性特征。但也存在几个问题：一是未将注册会计师内部控制审核业务报告与会计报表审计报告相区别；二是内部控制审核业务性质定性不太恰当，没有严格区分审计(audit)与审核(examination，也译为“审查”)业务。一般地，将对财务信息提供高程度保证服务的业务称为审计，而将对其他非财务信息提供高程度保证服务的业务称为审核。在澳大利亚，注册会计师还可以对内部控制实施审阅(review)业务和商定程序业务(agreed-upon procedures)。中国将标题统一称为“内部控制审核报告”，突出了注册会计师所完成业务的对象是内部控制，实施业务的性质是审核业务，言简意赅，一目了然。但没有将注册会计师所签发的审核报告与其他专业人员所签发的审核报告区别开来。

2.收件人。美国的内部控制审核报告没有要求注明收件人，而澳大利亚的内部控制报告要求注明收件人。在中国，收件人为审核业务委托人，一般直接用“XX股份有限公司”。在收件人方面，中国与澳大利亚在实质上是相同的。

3.正文整体结构。美国的标准无保留意见内部控制审核报告的正文整体结构由引言段、范围段、固有限制段、意见段四个自然段构成。在正式报告中，每一自然段均没有小标题。如果是非标准无保留意见审核报告，则在意见段之前增加说明段。在澳大利亚，标准无保留意见内部控制审核报告的正文整体结构由范围段、固有限制段、意见段构成。范围段又包括五个自然段，固有限制段包括四个自然段，只有意见段只包括一个自然段。每一自然段均有相应小标题，分别是范围、固有局限、审计意见。实际上，其范围段包括了美国的引言段与范围段的内容。如果是非标准无保留意见审核报告，则在意见段之前增加说明段，说明段的小标题为“发现的情况”或其他适当的小标题。在中国，标准无保留意见内部控制审核报告的正文整体结构由引言段、范围段、固有限制段、意见段四个自然段构成，每一自然段均没有小标题。如果是非标准无保留意见审核报告，则在意见段之前增加说明段。可见，在正文的整体结构上，中国的与美国的相同，而澳大利亚的则较为复杂。

4.引言段。美国的引言段只有一自然段，主要说明审核的范围，即被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定、被审核单位管理当局的责任、注册会计师的责任。澳大利亚没有专门的引言段，但在范围段中，包括了美国审核报告中引言段中的相应内容，只是分散在不同的自然段中而已。在中国，引言段也只有一自然段，主要说明审核的范围，即被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定、被审核单位管理当局的责任、注册会计师的责任。可见，中国与美国的审核报告中，引言段中的内容是相同的。

5.范围段。美国的范围段只有一自然段，包括的主要内容有三个方面：一是说明实施审核程序所依据的职业准则；二是说明已实施的审核程序；三是说明已实施的审核程序为执业人员发表审核意见提供了合理基础。澳大利亚的范围段共有五个自然段，包括的内容比较复杂：第一自然段主要说明已审计内部控制的范围与审计目的(或者说是注册会计师的责任)；第二自然段主要说明确定审计范围的依据和使用的评价标准；第三自然段主要说明被审计单位管理当局的责任、包含该认定的报告、已经对控制程序实施了独立审计及审计的目的；第四自然段主要说明实施审计程序所依据的审计准则、已实施的审计程序、实施审计程序的目的；第五自然段主要说明审计师编制报告的目的、有权利使用报告的人、强制审计师对其他任何目的或其他人员使用本报告不承担责任。在中国，范围段也只有一自然段，主要说明审核依据、审核程序、实施的审核程序为注册会计师发表审核意见提供了合理的基础三方面的内容。可见，在范围段中，中国的与美国的相同，而澳大利亚的则较复杂。

6.固有局限段。在美国，固有限制段只有一自然段，主要说明内部控制本身存在的局限、根据评价结果推测未来存在的风险两项内容。在澳大利亚，固有限制段分四个自然段来表述，第一自然段说明内部控制本身存在的局限与审计范围的局限；第二自然段说明审计程序设计的局限；第三自然段说明根据评价结果推测未来存在的风险；第四自然段说明审计意见形成的基础。在中国，固有限制段也只有一自然段，主要说明内部控制本身存在的局限、根据评价结果推测未来存在的风险两项内容。可见，在固有局限段中，中国的与美国的完全相同，澳大利亚的不但结构复杂，所包括的内容也较多，特别强调审计范围与审计程序方面存在的局限。

7.意见段。三国审核报告的意见段均只有一自然段。如美国注册会计师可以直接针对被审核单位是否保持了与财务报告相关的有效的内部控制发表审核意见，也可以针对管理当局关于内部控制有效性的认定发表审核意见。在澳大利亚，注册会计师可以直接针对控制程序本身的有效性发表意见，也可以针对管理当局关于控制程序有效性的认定发表意见。在中国，规定了注册会计师对被审核单位是否保持了与会计报表相关的有效的内部控制发表审核意见，没有规定注册会计师是否可以对管理当局关于内部控制有效性的认定发表审核意见。可见，美国与澳大利亚发表审核意见的对象相同，可以针对内部控制本身的有效性发表意见，也可针对管理当局关于内部控制有效性的认定发表意见。而在中国，只规定注册会计师直接对内部控制本身的有效性发表审核意见。

8.说明段。在美国，说明段主要说明三项内容：一是说明注册会计师在审核中发现了情况，并认为是内部控制设计或执行中存在的重大缺陷；二是说明存在的重大控制缺陷对实现控制目标的影响；三是解释重大控制缺陷，即不能为单位内部控制及时预防或发现财务报表中存在的重大错报提供合理保证的情况。在澳大利亚，则称为“发现的情况”，主要说明内部控制存在的重大缺陷及对实现控制目标的影响。必要时，还可以对其他适当信息进行详细说明，但没有解释什么是“内部控制的重大缺陷”。在中国，说明段除描述内部控制的重大缺陷及其对实现内部控制目标的影响外，还强调“有效的内部控制能够为企业及时防止或发现会计报表中的重大错报提供合理保证，而上述重大控制缺陷使贵公司内部控制失去这一功能。“该强调实质上是对“内部控制的重大缺陷”进行解释。可见，三国在说明段中的主要内容是一致的。

9.报告签名与报告日期。三国在报告签名与报告日期方面是相同的。

10.主要意见类型。三国在内部控制审核意见类型方面也是相同的，均分为无保留意见、保留意见、否定意见、无法发表意见。我国用的是“拒绝表示意见”。笔者认为，“拒绝”含有注册会计师不愿意之意，其感情色彩与注册会计师因受范围限制无法、不能形成意见不符，笔者倾向于使用“无法发表意见”。

11.其他。在美国和澳大利亚，在报告正文的开头，均提及被审核单位对内部控制有效性作出认定所依据的控制标准。而中国的报告中没有提及管理当局作出认定所依据的控制标准。

总之，中美两国注册会计师内部控制审核报告大同小异，差异甚微。而澳大利亚的审核报告则包括了中美报告的全部内容，但在报告中的排放位置不同，且还有其独特内容，既向使用者传达了更多信息，但也增加了报告的复性。

(二)质量要素

内部审计与内部控制的区别篇7

内部审计产生于上世纪初的经济危机中，每次经济危机和重大事件都给内部审计带来机遇和挑战，使内部审计理念和工作方式产生重大变化。20世纪60年代，内部审计关注的焦点是财务报告；70年代关注的是内部控制；80年代关注的是运营导向；90年代关注的是商业伦理；进入21世纪，随着“安然”、“世通”等财务舞弊事件以及美国“次贷危机”的爆发，引起了内部审计对风险管理的全面关注。

1999年，国际内部审计师协会（IIA）对内部审计的定义进行了革新，在新的定义中将以独立性为基础的“鉴证（或确认）”活动和以决策有用性为基础的“咨询”活动并列起来，提高了内部审计的地位，扩大了内部审计的责任和范围，将内部审计进一步提升至风险管理和公司治理的高度。

内部审计介入风险管理是一个全新的事物，对内部审计如何在风险管理中发挥作用是一个值得内部审计部门和内部审计人员进一步深入探讨的课题。

二、相关标准释义

国际标准化组织的风险管理标准（ISO31000）中将风险定义为“目标的不确定性影响”，并将“前后事件的因果联系”和“发生的可能性”作为一种广为使用的风险表达方式。该标准进一步指出，风险产生的影响是对预期目标的背离—积极的或是消极的。正因为如此，越来越多的组织对识别风险因素和将风险控制在可接受范围之内感兴趣。为了确保组织运转的效率和效果，必须找到一种应对众多风险的办法。于是IIA将风险管理定义为：“识别、评估、管理和控制潜在事件或情况的过程，目的是为实现组织的既定目标提供合理保证”。风险管理认识到风险存在这一现实，因此，风险管理最大的挑战就是将风险控制在组织风险偏好的范围内。

2004年，COSO了《企业风险管理整合框架（ERM-IF）》，其中将风险管理定义为：“企业风险管理是一个过程，它由一个主体的董事会、管理层和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。”在该框架中，将风险管理描述为8个要素：即内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息沟通以及监督。

关于内部审计在风险管理中的作用，IIA在其2120号标准中指出，内部审计活动必须评估企业风险管理的有效性，并为改善风险管理流程做出贡献。进一步地，IIA在其《国际专业实务框架（IPPF）》中了“内部审计在风险管理中作用”的立场文件，在该文件中指出，内部审计在涉及风险管理事务中的角色，是向董事会提供组织风险管理有效性的客观确认，以保证关键的商业风险得到恰当管理以及内部控制系统被有效执行。为合理设定内部审计在风险管理中作用的边界，该文件还对内部审计在风险管理中的活动进行了分类。一是核心角色活动，代表内部审计的“鉴证”职能，包括：对风险管理流程提供确认；对风险是否适当评估提供确认，评估风险管理程序，评估主要风险的报告，检查关键风险的管理等。二是与保障相关的合法角色活动，代表内部审计的“咨询”职能，包括：促进风险识别和评估，培训风险反应能力，整合风险管理活动，强化风险报告，维护和发展风险管理框架，提供可供决策的风险管理策略等。三是不可以涉足的角色活动，包括：设定风险管理偏好，执行风险管理程序，提供风险应对决策，代表管理层执行风险应对措施，以及承担风险管理责任等。

三、捷蓝（Jet-Blue）航空公司的案例分析

捷蓝（Jet-Blue）航空公司是美国一家廉价航空公司，2002年首次公开募股并于纳斯达克上市，主要营运美国内陆航线和来往加勒比海、巴哈马和百慕大的国际航线。捷蓝航空是少数几家能在911事件之后维持盈利的美国航空公司之一，并成为有史以来最受欢迎的航空股份，现今市值已经达到数十亿美元。捷蓝航空的财务状况一直十分稳健，它的成功使它超越了老牌的低价航空公司—西南航空公司，获得很多证券分析员和新闻记者的赞赏。2010年6月，美国最为知名的市场调研机构J.D.Power and Associates 公布了《2009年北美航空公司满意度调查》的调查报告，数据显示，捷蓝航空以810点（共1000点）的总满意度指数连续三年总体排名第一，并继2008年后再次获得低票价航空公司最高的客户满意度。

捷蓝航空公司于2000年成立了内部审计部门，面对航空业激烈的市场竞争和各种商业风险，捷蓝航空公司的内部审计部门积极参与公司的风险管理，并发挥了十分重要的作用。其主要作法是：

（一）辨识主要风险

内部审计部门必须首先要识别出哪些因素可能会妨碍企业达到其战略目标。

捷蓝航空公司的愿景是致力于创建一种新的航空公司类别：一家提供价值、服务和品位的航空公司。公司的战略目标是成为领先的、为顾客提供差异化产品和高质量顾客服务的廉价客运航空公司。公司未来5年将继续在低票价的情况下扩大盈利。

内部审计部门采用定性分析的方法，参考和借鉴美国航空管理委员会的风险评价标准以及国际航空业的风险分类和列表，根据风险与公司价值链管理的相关性，总结归纳曾发生的风险事件，初步确定51项风险长名单。以此为基础，通过对公司内外部环境的研究分析、内部大量访谈和专家评估，初步确定22项主要风险。概括而言，这22项主要风险中（1）战略风险包括：兼并收购风险，运能规划风险；（2）外部风险包括：监管政策风险，石油市场风险，客户偏好风险，合同风险，自然灾害风险；（3）财务风险包括：资金管理风险、成本控制风险，分公司管控风险，融资结构风险；（4）合规性风险包括：信息披露风险，航线审批风险，关联交易风险；（4）运营风险包括：一体化调度风险，价格风险，物资采购风险，人力资源风险，安全风险，航班准时风险，技术创新风险，新市场开发风险。

（二）确定风险评估的标准

在确定风险评估的标准时，主要考虑风险发生可能性标准，风险影响程度标准。内部审计部门制定的风险评估标准如表1所示。

（三）评估初始风险和管控有效性

内部审计部门综合运用穿行测试、个别访谈、问卷调查、专题研讨等方法进行风险评估。结合IIA红皮书（《国际专业实务框架（IPPF）》）的有关原则，内部审计部门确定的评估公式如下：

初始风险（或剩余风险）=风险发生可能性（概率值）×风险影响程度（评分值）

管控有效性=初始风险-剩余风险

其中，初始风险指未采取控制活动之前的风险；剩余风险指采取相应的控制活动之后的风险；管控有效性指目前风险应对策略的效果，管控有效性越高，剩余风险就越低。

评估结果如表2所示。

（四）绘制和分析风险坐标图

以初始风险为纵轴，以管控有效性为横轴，22种主要风险的风险坐标图如图1所示。

在图1中，A区域的初始风险较高，管控有效性也较高，属于持续关注的风险领域。B区域的初始风险较高，管控有效性较低，属于重点关注的风险领域。C区域的初始风险较低，管控有效性较高，属于一般关注的风险领域。D区域的初始风风险较低，管控有效性也较低，属于加强关注的风险领域。

针对图1中的不同风险领域，内部审计部门提出了包括风险规避、风险降低、风险转移、风险共享、风险承担等多种风险应对策略。例如，对于区域B的兼并收购风险，为避免公司的业务增长过快，收购其他航空公司可能会危及公司的财务稳定，内部审计部门提出并购尽职调查、可行性研究、董事会决议等风险降低的控制措施，并完善了相应的风险管控流程。

（五）进一步完善风险管控流程

在对风险适当分类的基础上，组织和督促相关负责部门进一步完善风险管控流程，每一项风险管控流程都包括：风险描述、风险控制点、控制活动和方法、自我评估方法、负责单位、参与单位等。

内部审计部门定期组织不同频次（从一年2次到三年1次不等）内部控制自我评估，对风险管理流程和管控措施进行测试和完善。

四、主要启示

2006年6月6日，国资委了《中央企业全面风险管理指引》，作为我国当前企业风险管理的重要制度性规范，在文件中强调了具备条件的企业可建立风险管理三道防线：即各有关职能部门和业务单位为第一道防线；风险管理职能部门和董事会下设的风险管理委员会为第二道防线；内部审计部门和董事会下设的审计委员会为第三道防线。这表明，内部审计在企业风险管理中应发挥积极的、建设性的作用。

捷蓝航空公司的案例具有一定的代表性，内部审计在风险管理中的作用既没有弱化也没有泛化，而是得到了适当的强化，对我国内部审计参与企业风险管理也具有一定的借鉴价值。

第一，在案例中，内部审计部门通过其鉴证职能，利用各种方式协助企业全面风险管理的实现。内部审计师提供的鉴证服务包括：一是风险管理过程，包括其设计和运行情况；二是对“主要”风险进行管理，包括控制的效果和应对措施；三是可靠、适当的风险评估及对风险和控制情况的报告。其中，内部审计为组织增加价值的两种最重要的方式是：为主要业务风险已得到适当管理提供客观鉴证；为风险管理和内部控制框架正在有效地运作提供鉴证。

第二，内部审计部门也承担了必要的咨询职能。包括：一是将内部审计分析风险和控制所用的工具与技术提供给管理层，作为将企业全面风险管理引入组织的倡导者，充分发挥其在风险管理和控制方面的专业知识及对组织的总体认知方面的优势；二是提供建议，推动专题讨论会，指导组织风险和控制，促进共同语言、框架和理解的建立；三是作为协调、监督和报告风险的中心，协助管理者确定降低风险的最佳方式。

第三，内部审计部门在风险管理中没有仅仅就风险而论风险，而是将目标、风险、控制有机地结合在一起系统地解决问题。始终围绕什么是企业的战略目标，哪些因素（风险）会影响企业实现战略目标，风险发生的可能性及潜在的影响如何，哪些是重大风险和主要风险，现有的内部控制（管控活动）是否有效、是否执行等，在此基础上，对有效执行的管控活动持续监控，对未有效执行的管控活动制定改进计划，实施风险管理方案。

内部审计与内部控制的区别篇8

【关键词】基层央行；风险评估；内部审计

随着市场经济体制的日益完善和人民银行职能的不断变化，基层人民银行以往很多被忽视的风险和问题日渐显露，如依法行政中的法律风险、声誉风险，资产的市场风险、流动性风险，内部管理中的操作风险等。基层央行可能要面临的风险是其内部审计选择审计项目以及确定审计重点领域的依据。本文从风险导向审计的角度，以人民银行海口中心支行开展风险量化评估的实践为例，介绍风险评估的理论模型、评估方法，提出基层央行开展风险导向审计的具体建议。

一、风险评估采用的理论模型

海口中心支行开展风险量化评估采用“剩余风险=固有风险-控制有效性”的剩余风险评估模型，既要考虑固有风险，又要考虑内部控制有效性。

（一）固有风险的评估

固有风险的评估采用风险矩阵法，根据“影响程度”和“可能性”之间的关联程度判定，如下图所示：

注：将风险事件的影响程度级别和发生可能性级别分别标注在风险矩阵的横轴和纵轴上，横轴和纵轴的交汇区域所对应的风险等级即为该风险事件的风险等级。绿色区域、黄色区域、橙色区域和红色区域分别对应的风险等级为1、2、3、4级。

风险影响程度的评级标准，按照风险可能引发的资金损失、声誉损失、业务连续性损失，将风险的影响

程度由低到高依次划分为1-4级。风险发生可能性的评级标准，按照风险事件实际发生的历史数据、业务的复杂程度以及变化情况，将风险发生的可能性由低到高依次划分为1-4级。

（二）控制有效性的评价

控制有效性评估，从“以往审计结果”和“内部控制变化情况”两个方面衡量。按照各类审计或检查中发现问题的严重程度、审计频率、问题整改和内部控制变化情况，对内部控制有效性进行评估。内部控制有效性越高，对应的风险级别越低。反之，风险级别越高。风险由低到高依次划分为1-4级。

（三）剩余L险的计算方法

最终剩余风险量化分值采用风险因素加权平均法计算。计算公式为：剩余风险级别=（∑各类固有风险权重x风险级别+∑各项内部控制有效性权重×风险级别）+（∑各类固有风险权重+∑各项内部控制有效性权重）。具体运用风险评估表进行计算。

二、风险评估的实施过程

海口中心支行开展风险量化评估，主要采取以各职能部门初评和专家组复核确认的方式组织实施，灵活运用会议座谈、专家讨论、现场审计测试等方法，广泛收集整理数据，并对数据反复进行修正，最终以风险评估专家组审议的方式，从审计角度确定所有业务单元的风险值。

（一）前期准备阶段

一是制定《海口中心支行机关风险量化评估方案》，明确风险评估的目标、对象、范围、方法和程序等。二是要求各处室指定一名业务骨干作为评估员，负责本处室各业务活动风险评估的具体工作。

（二）组织开展初评

组织全行27个处室对132项业务活动进行风险初评。初评评按照《海口中心支行机关风险量化评估方案》要求开展，各处室撰写风险初评报告，提出审计需求，并针对高风险业务提出应对措施和建议。

（三）成立风险评估专家组对初评评结果进行复评和审议

内审部门组织成立了风险评估专家组，在各处室风险自评的基础上，对各项业务活动的风险事项进行再识别、再评估，审议确定各项业务活动的风险等级，最后由内审部门综合考虑专家组的意见，确定各业务单元的剩余风险评估值。

（四）风险评估的结果

通过初评和专家组复核审议，得出全行27个处室132项业务单元的剩余风险等级，并进行排序（如表2所示）。其中，高风险业务活动10项；偏高风险业务活动11项；中等风险业务活动56项；低风险业务活动55项（风险分值为3.0以上的为高风险，2.5-3.0的为偏高风险，2.0-2.5的为中等风险，2.0以下的为低风险）。

（五）审计策略

风险评估结果的运用，现阶段主要体现为以风险为基础的内部审计计划及审计方案的制定。根据剩余风险大小，对业务活动按风险排序划分风险等级，不同的风险等级制定不同的审计策略，优先把高风险业务作为审计项目规划的重点。根据风险评估的结果制定以下审计策略：一是重点关注类。剩余风险值在3.0以上（含3.0）的业务活动为审计重点关注类，如发行基金押运、财务收支、发行库内业务、第三方支付业务、外汇检查与处罚、国库退库业务、人民币清分、复点、销毁等高风险领域的业务活动，应在一年内开展审计。二是有效关注类。剩余风险值在2.5（含2.5）-3.0的业务活动为审计有效关注类，如集中采购、基建、发行库区管理、纪念币（钞）出入库、发行库设施与门禁管理、金融信息安全管理等偏高风险领域的业务活动，应在2年内开展审计。三是合理关注类。剩余风险值在2.0-2.5（含2.0）的业务活动为审计合理关注类，如企业征信系统建设、会计核算业务、支付系统管理、车辆管理等中等风险领域的业务活动，应在3年内开展审计。四是一般关注类。剩余风险值在2.0以下的业务活动为审计一般关注类，如党委宣传工作、老干部管理、金融研究工作等低风险领域的业务活动，建议3年至5年审计一次或根据需要开展审计。

三、几点体会

（一）开展风险导向审计，风险评估是基础

只有确定了各项业务单元的风险等级大小和排序，才能根据风险情况确定审计策略，提出内部审计年度计划，优先安排审计资源对高风险领域开展审计。

（二）风险事件识别是关键

风险事件是各项业务活动的风险点，内审部门在制定审计方案和实施现场审计时，应将风险评估过程中识别出来的风险事件作为审计、测试的重点，做到“审计关注风险，风险引导审计”。

内部审计与内部控制的区别篇9

【关键词】内部审计外包;外部审计;区别

内部审计和外部审计都是审计监督体系的组成部分,它们相互制约、相互监督、互为补充。两者的主要目标是一致的,都是对被审单位的财政、财务收支活动和经营管理活动的正确性、合法性、合理性和有效性进行审查和监督。内部审计是外部审计的重要基础,外部审计的深度和广度在很大程度上取决于内部审计的工作质量,内部审计做的好,外部审计就有了保证。实践证明,内部审计和外部审计在实施过程中,各有所长、各有所短,两者的有效结合是完善审计监督体系、全面开展审计工作、提高审计质量和审计效率的有效途径。

内部审计外包 (Outsourcing the Internal Audit Function)又称内部审计外部化或内部审计,它是指组织将其内部审计职能部分或全部通过契约委托给组织外部的具备专业胜任能力的机构或人员执行。与传统的内部审计相比,内部审计外包的显著特征就是内部审计主体的变化,从事内部审计业务的审计主体开放了,它既可以是组织内部的审计人员,也可以是独立于该组织的外部审计机构或人员。内部审计外包有利于提高内部审计的独立性,强化内部审计监督;有利于降低企业内部审计成本,增强企业核心竞争力,提高企业经营效率;有利于转移企业内部审计风险,充分利用社会资源,提高内部审计质量。

企业外包内部审计业务后,内部审计会被外部审计(主要是社会审计,下同)替代吗?我们的回答是否定的。因为外包后的内部审计仅仅是改变了内部审计的主体,它在许多方面和外部审计仍然存在着区别,主要表现在:

一是审计的内容和目的不同。内部审计的内容主要是依据企业经营战略目标、单位内部的定额、计划指标及内部管理制度等,检查企业各项内部控制的执行情况、经济活动取得的经济效益等,提出各项改善措施,评价企业内部受托经济责任的履行情况等。内部审计的种类,包括财务审计、经济效益审计、经营业务审计和管理审计等。而外部审计则是依据《独立审计准则》,主要审查企业经济活动的真实性和合法性等方面,对被审单位会计报表的合法性和公允性发表审计意见,并未较多触及经济效益审计和管理审计等方面。因此,内部审计在深度和广度方面要比外部审计要求高。

二是审计的服务对象不同。内部审计人员在处理企业生产经营管理活动的问题中,充当企业管理当局的参谋和助手,并帮助各级管理人员有效地履行他们的职责,其主要的、直接的服务对象就是包括企业管理当局和董事会在内的组织内部的各级管理人员。通常,外部审计人员是受托对企业的财务会计报表进行年度审计,其服务对象是与企业利益相关的社会各界,包括股东、银行、债权人、政府和潜在的投资者等。当然,这不排除他们的意见被企业管理当局和董事会采用的情况,但这是次要的,不是其主要的使命和目的。

三是审计作用的范围不同。内部审计所发挥的作用一般仅局限于组织内部,只有当正确的审计结论和建议被采纳并及时采取改进行动时,才会产生具有建设性的实际效果。内部审计人员对生产经营管理所持的观点和看法一般不向外界透露,具有一定的保密性。而外部审计人员对财务会计报表所表述的审计意见和结论要公布于众,客观上起到了社会公正的作用,其作用的覆盖面比内部审计要广阔的多。

四是与内部控制的关系程度不同。外部审计人员的兴趣主要集中在内部会计控制,以及对会计信息的真实性和完整性有实质性影响的相关控制,而内部审计人员则对整个内部控制系统,包括内部会计控制都给予了极大的关注。而且,两者的出发点不同,外部审计人员之所以关心内部控制,是因为它们影响其设计的审计程序性质和进行实质性测试的范围,这与他们对财务会计报表发表独立意见相比是次要的。内部审计人员关心内部控制的目的在于检查和评价内部控制系统的适当性和有效性,并针对控制的缺陷提出强化控制的意见和措施。

五是审计的范围和时间不同。内部审计的范围涉及企业生产经营管理的各个领域,它既可以借助于正式的记录和文件,又可以依据非正式的记录和文件;内部审计通常对单位组织内部采用定期或不定期的审计,时间安排比较灵活。而外部审计通常是定期审计,每年对被审单位的会计报表审计一次,其审计范围主要局限于财务会计领域及其相关的内部控制系统,重点在于那些对财务会计报表的合法性和公允性有实质性影响的重大事项,它只能依赖正式的记录和文件。所以,内部审计在审计的对象范围上比外部审计要广泛,在审计时间上也更为灵活。

六是审计程序不同。内部审计的工作程序通常按照部门或经营地点来设计,会计记录和报表的审查只是其工作的一小部分,大部分时间和精力都集中在内部控制系统和工作质量的检查和评价上;而外部审计的程序一般针对财务会计报表所列项目来设计,绝大部分时间花费在核实和验证报表各项目的余额是否真实、准确、可靠,以及确认所采用的会计原则和政策是否公允。

从上面的分析可以看出,内部审计有外部审计许多无法比拟之处,因此它不会被外部审计所替代。同时,由于存在上述差别,所以外部审计机构在承接内部审计业务时,应对承担内部审计任务的外部审计人员定期进行适当的培训,使之同时具备内部审计人员应有的素质,具体培训方式可以采用讲座、案例讨论以及课程学习等多种方式。否则,优秀的外部审计人员也难以完全胜任内部审计工作。外部审计人员在受托从事企业内部审计服务时,不能完全按照从事外部审计服务的范围、程序和方法进行,必须认真研究内部审计工作的特点和要求,这样才能提供高质量的内部审计服务。

【参考文献】

[1]周为利. 国外内部审计外包及启示[J]. 审计与经济研究,2002(5).

内部审计与内部控制的区别篇10

关键词：区域央行；价值创造；内部审计机制

中图分类号：F830.31

文献标识码：A

文章编号：1003-9031(2007)06-0075-03

中央银行内部审计机制是由内审主体、授权人、内审客体诸要素相互作用有机结合，具有一定结构和功能的有机系统。[1]构建辖区央行价值创造型的内审机制，关键是建立起有效链接内审主体、授权人、内审客体这三者的系统内部各子系统的合理的运行机制，并能够达到“二次增值”：一是被审计部门增值，将审计成果迅速转化为生产力，并带动其他管理同步发展，提高各项业务的工作效率，实现全面提升被审计部门的管理价值，最终提升辖区央行履行执行货币政策，维护金融稳定，提供金融服务等各项职能的能力；二是审计自身增值，在实现全面提升被审计部门价值过程中，审计人员自身价值得以实现。内部审计成为一种创造价值的知识产业，其影响力也得以提升，不断吸引内审人员以更强的使命感投身内部审计事业。[2]

本文根据辖区央行存在制约内审部门有效发挥价值创造作用的内部审计机制问题，对如何构建区域央行内部审计价值创造机制进行探讨，以期让内部审计更好地服务于央行中心工作的大局，逐步从事后审计向事前和事中审计发展，发挥内部审计的价值创造作用。

一、辖区央行构建价值创造型内部审计机制的内涵

2001年，IIA(国际内部审计协会)在其制定并修改的《内部审计实务标准》及《职责说明》中认定：“内部审计是一项客观独立的保证和咨询活动，其目的是为实现价值增加并提高组织的经营效率，采取系统规范的方法对风险管理、控制以及治理程序进行评价，改进其有效程度，从而帮助组织实现其目标。”[3]可见，现代内部审计职能是保证和咨询，强调了内审工作要主动为管理层提供解决管理难题的咨询信息，内审工作责任不再仅仅是以前的监督和复核。而是增加了“增加价值”概念，这就使内审工作带来一个方向性的转变，即内部审计工作要由过去的监督向构建价值创造型内部审计机制转变。通过对IIA新定义分析，笔者认为区域央行构建的价值创造型内部审计机制应具备以下特征。

(一)明确服务内向性

目前，央行先横后直的内审管理模式，导致内审部门陷入“服务于二主”(Serving two masters)的困境，既服务于行长，又服务于上级内审部门。对此，部分内审人员纷纷谋求在组织体系上保证内部审计部门的超然独立地位。其实，内审人员的独立性不仅仅受限于管理层面，在实务中，反而更应该强调客观性。首先，IIA新定义强调独立性和客观性是并列的，表明IIA在淡化独立性的同时，提升了内部审计的客观性，倾向于使用客观性一词来表达内部审计的可信度。其次，内审工作具有服务上的内向性决定了它为谁服务，为谁负责。即内审部门做的任何一件工作，首先就要考虑审计结论是否对本行的中心工作有利。

(二)注重咨询

目前，央行内部审计职能的定位主要还体现在监督职能。这种监督可分为两个不同的层次：第一个层次是代表上级行内审部门对本级行各职能部门是否履行其应负的责任进行监督，如授权审计；第二个层次是代表本行行长对各职能部门、下级行和行属企事业单位的合规、内控和风险管理的情况进行审计监督，如同级监督、履职及离任审计等。IIA新定义明确内部审计随着内审能力的提高可以对内、对外提供咨询。事实上，国外内部审计的角色正向风险警察逐渐转变，扩大内部咨询活动，增加公司及内部审计部门的价值。另外，央行内部审计对本单位的工作流程、风险点有全面的了解，其工作具有综合性强和接触面广的特点。因此，央行内部审计有能力和必要为组织提供咨询和建议，丰富内部审计的内容，为组织创造价值。

(三)注重整体价值

在IIA颁布的《内部审计实务标准》中，独立性的要求居于首位。一般认为，独立性是内部审计工作的必要条件。但把“独立”凌驾于其他概念之上，会使内部审计部门在提供服务时相对于外部服务提供者处于竞争的劣势。比尔・贝克特(Bill Birkett)指出：价值问题将会取代独立性来支配内部审计工作。[4]因此，如果对独立性的强调损害了内部审计所提供服务的价值，应当优先考虑价值，从整体价值链来考虑问题和提出解决方案，从全局、长期着眼、促成各部门各个方面的有效合作。这就提供一个判断内部审计是否成功最重要的标准，即内审人员对改进经营和控制的分析与建议是否增加组织价值。

二、目前区域央行在构建价值创造型审计机制中存在的制约因素

(一)存在的制度性问题

1.报告制度存在缺陷，影响管理层决策的有效性。央行审计项目的报告(包括上级行安排的审计项目)均需经本级行领导审阅后，再向上级行报告。然而，向上报告的审计项目结果部分存在按领导的意见有选择地报告。这种内审报告制度，导致内部审计部门的审计权和报告权不相统一。当然，筛选的问题一般是本级行的特有问题，但如果内审人员对“筛选”掉的深层次问题没有继续分析及监督整改，则该问题的风险隐患长期存在，发生之时不仅有损内审的有效性，甚至对整个辖区的形象造成极大影响。

2.内审定位缺失，影响内审价值创造的前瞻性。2005年人民银行制定的《中国人民银行内审工作制度》拓展了内审监督的范围，增加对各职能部门、分支机构和行属企事业单位内部控制和风险管理的情况进行审计监督，强调加强履职审计，期望以此提高内审的地位。然而，内审部门目前由于受人员素质、项目管理等因素制约，仍定位于查错纠弊、堵塞漏洞，导致内审工作没有体现出应有的预防价值，不能发挥内审价值创造的前瞻性作用；加之履查履犯现象的存在，内审没能发挥分析问题及解决问题的作用。同时，内审的职责和作用被随意扩大，在众多管理决策中均需要内审部门参与，这背离了内审的根本宗旨。

(二)存在着期望差距问题

一是在舞弊审计方面，管理层要求内审人员承担更多的检查、发现和报告舞弊的责任，而由于舞弊的特殊性所决定，内审人员在常规审计中难以做到这一点。二是在保证范围方面，被审计对象要求内审人员能发现所有问题，并能够解决，而内审人员只能做到“没有重大错弊”，不能保证“没有任何错弊”。

(三)存在的规范化问题

1.审计管理随意性强。一是计划管理不强。计划制定欠考虑整体情况，一般于年初制定计划工作，没有考虑隐含高风险的业务领域，缺乏中长期规划及内审部门任务重人员少的矛盾没有得到缓解。二是现场管理欠规范。规范的现场审计要经过进点会谈、现场检查、事实确认、意见反馈等过程，而有时因时间短、任务紧，人为地缩短现场审计时间。审计工作的随意性强，造成审计质量难以保证，最终不能提供具有附加价值的建议。

2.内审整体组织乏力。对内审工作的组织方面存在管理力度不够，重查下级，轻指导下级工作。一是机关内审部门主动性不够，不能有效统筹辖区内审工作。机关内审部门往往觉得辖区县市支行大多只单设内审岗，力量薄弱，无法自主组织内审项目，因此对辖区县市支行内审工作关注不够。二是安排项目过少，往往只有上级行内审部门或领导层需要调查了解某情况时，才对辖区内审指定工作任务，但未制定对辖区开展审计任务的指导方案。三是辖区县市支行的内审工作一般是各自为战，而自主安排的审计项目虽然有时重点突出，但往往也是基于应付考核所需。

(四)存在的成果转化问题

大多数内审人员来自财务工作岗位，而内部审计工作的发展要求内部审计人员不仅娴熟会计、审计专业技术，而且要求具备战略思考能力、相当的管理知识和经验、计算机和网络技能。此外，内审人员普遍缺乏“价值”意识，一个审计项目结束后，习惯总结发现了多少问题，提出多少建议，而对建议采用率多少，节省了多少资金，整改多少问题没有重视并统计，而这恰恰是为组织增加价值的重要考核指标。

三、促进区域央行价值创造型内部审计机制建立的政策建议

(一)识别推动内部审计创造价值的内在因素

内部审计的价值推动力主要体现在两个方面：一是享有利益者的要求。内部审计的存在源于相关利益者的需求，它的价值在于保证享有利益者享受他应有的利益。因此，辖区央行内审部门应针对上级行内审部门、各级管理层等不同的“享有利益者”，确定利益相关者的需求和期望，相应转变工作重点，研究并提出对本行各职能部门各项业务的审计需求，并对审计项目质量负责。二是风险管理。即辖区央行内部审计关注的重点要从单纯的财务管理向整体风险管理转变。利用自身优势，对本行的风险进行深入细致的评估，明确主要业务的风险点，针对每一风险环节、风险点，明确其内控要点，并设计风险评估指标，制定统一规范的内控评价量化指标和评价标准。

(二)整合内审资源，创造和谐的内部审计环境

在价值鉴定的基础上，价值创造型的内部审计向利益相关者提供防范性的审计产品，向其提供解决方案，内部审计不再将自己视为“局外人”，而是成为组织增加价值、提供效率的一员，为实现组织的目标提供保障和咨询。一是明确为行长服务，提高行长的支持度，保持与行长畅通的沟通渠道，以取得工作的主动权和积极性。明确对行长负责，不仅可以很好地保障内部审计部门的独立性和权威性，而且从制度上确保了内部良好监督管理和层级间有效沟通。二是明确内审工作是为组织增加价值，站在这样的高度，要求内审人员在遵循质量的基础上，通过与各部门保持良好的人际关系，建立畅通的沟通渠道和信任关系，开展专项调研、问题研讨、案例分析等，发挥内部审计在风险管理、内部控制和组织管理等方面的潜在作用，增加附加值。三是整合内审资源，保证内审人员具备传统和非传统审计背景。内审团队应由各种资历的专业人才组成。如法律、行政管理、金融等专业人才能给内审组织带来了特殊的才能和视角。四是实施轮换制度，内审人员按制度规定定期或不定期轮换到组织的其他部门，利用他们业务风险和控制的知识增加所在部门的价值。

(三)抓好审计项目工作，为相关利益者创造价值

央行内部审计的主要工作应是以风险为导向，以创造价值为目的而开展的内部审计活动。一是运用风险导向审计，识别和监测出单位最大的风险领域，建立风险事件分类矩阵，筛选尚未有效管理的风险事件，以集中整合使用审计资源。二是运用内部控制评估，评价操作过程和内部控制的充分性。三是运用绩效审计，对辖区央行在履行职责时利用资源的经济性、效率性和有效性进行的综合考核和评价，提高各项业务的工作效益和效率。四是运用后续审计，对内部控制的缺陷及审计发现问题进行纠正，进而确保管理层及时有效的予以执行。

(四)实施辖区内审工作分类管理和指导，强调风险点控制

结合辖区内审资源实际，按内设机构、业务职能和人员规模等标准将辖区县市支行划分为三类，实行分类管理和指导。一是督促辖区县市支行按照央行内控建设指引，全行总动员，全面排查风险点，制定《风险点控制措施一览表》。二是对三类支行的《风险点控制措施一览表》进行差异性分析，明确业务差异，建立分类考核标准。三是指导辖区县市支行建立内控评估具体实施制度，按季度抽调非被检查股室人员对计划检查股室防范业务风险点的工作进行检查，强调风险点的控制，并对发现的问题进行督促整改。四是制定评估标准对支行检查效果进行评估，评估结果作为支行行长、检查组及相关经办人等的重要考核依据。

(五)建立内部审计自身的价值评估机制

建立价值评估机制，检讨内部审计的策略和程序的有效性及是否与价值推动力保持一致，并根据检讨的结果及时采取措施加以改善，完善内审价值创造的相关流程，同时寻找新的价值创造机会，从而有效发挥内审价值创造的作用。

参考文献：

[1] 周发森，符夫之.系统性内审监督模式的探讨[J].海南金融，2003，(9).

[2] 武汉钢铁(集团)公司.增值型内部审计[J].企业管理，2005，(10).