内部审计、内部控制审计与企业内部控制评价辨析
企业内部控制规范体系发布以来,内部控制成为会计界乃至企业高管人员热议的话题,内部控制、内部监督、内部审计、内部控制审计、内部控制评价等词汇经常见诸各类媒体。然而,热议归热议,人们对企业内部控制的相关问题的认识并不清晰。笔者多次碰到企业界的老总们提出同一个问题:内部监督、内部审计、内部控制审计、内部控制评价分别是怎么回事,或者说,企业开展内部控制,到底需要做些什么?企业家们的纠结反映出当前推动企业内部控制规范实施,特别是开展内部控制评价工作时面临的困惑,实际上就是要解决两个问题:一是如何理解内部监督、内部审计、内部控制审计和内部控制评价的内涵,二是如何协调组织内部控制(含内部监督)、内部审计、内部控制审计和内部控制评价等工作,笔者拟结合制度规范的规定,谈谈个人看法。
一、内部控制评价与内部控制审计
内部控制评价是对企业内部控制工作所做出的评价。《企业内部控制评价指引》将内部控制评价定义为“企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程”,并且规定“企业董事会应当对内部控制评价报告的真实性负责”。显然,该指引所称企业内部控制评价是特指企业董事会或者类似权力机构做出的自我评价,笔者称之为狭义的内部控制评价。实际上,就字面意思而言,“企业内部控制评价”并未限定谁对企业内部控制进行评价,除了《企业内部控制评价指引》规定的自我评价,企业主管部门和利益相关者、其他独立主体也可以对该企业内部控制做出评价,这些评价构成“广义的”内部控制评价。
从广义的角度看待内部控制评价,自然而然离不开“内部控制审计”。《企业内部控制审计指引》第二条规定,“本指引所称内部控制审计,是指会计师事务所接受委托,对特定基准日内部控制设计与运用的有效性进行审计”。这个规定说明,会计师事务所作为独立主体,接受委托对企业内部控制有效性进行的“审计”,即“按照本指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见”,就是审计指引定义的内部控制审计。不可否认,对内部控制的有效性发表审计意见,本质上就是对内部控制做出的评价,属于“广义的”内部控制评价的范畴。
由于企业对自身内部控制有效性的评价与会计师事务所对企业内部控制有效性的评价从实施主体、目的、评价程序与方式方法都有不同,所以这两个“评价”工作由内部控制规范体系中《企业内部控制评价指引》、《企业内部控制审计指引》两个文件做出规范。内部控制评价作为自我评价,由企业自己完成,董事会对内控有效性所做评价负责;内部控制审计作为特定的外部评价形式,由会计师事务所完成,注册会计师对内控有效性发表的意见承担责任。笔者认为,在内部控制规范体系实施时间较短的情况下,如果从字面意思理解,把企业对自身内部控制的自我评价与会计师事务所对企业内部控制的审计混为一谈,很容易将内部控制评价和内部控制审计混淆。
二、内部控制评价与内部监督
开展内部控制评价需要“对内部控制的有效性进行全面评价”,而《企业内部控制基本规范》要求,企业建立与实施有效的内部控制,应当包括内部环境、风险评估、控制活动、信息与沟通和内部监督五大要素。其中,内部监督“是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进”。所以,进行内部控制评价,必然要熟悉“内部监督”。比较内部控制评价与内部监督的概念,发现两者的核心内容都是“评价内部控制的有效性”,如何理解二者之间的关系、有没有重复劳动?
笔者认为,企业家们的困惑一部分来自“企业内部控制评价”、“内部监督”两个概念客观存在的模糊性。第一,两者都是自我评价,两个定义没有强调彼此差异;第二,在企业实施内部控制过程中,内部监督是贯穿始终的一个要素,基本规范第六章还详细列出了日常监督、专项监督等内容,可以说是企业内部控制工作的一部分。但所谓内部控制评价又不存在日常评价与专项评价之说,而且,内部控制评价的内容还包括对“内部监督”的评价,如果套用内部监督的概念,内部控制评价是对“评价内部控制的有效性”的评价,这个表达确实不好理解。第三,在基本规范中,内部控制自我评价报告的内容出现在第五章“内部监督”部分,又让人感觉内部控制评价是内部监督的一个部分;但是内部控制评价指引要求“开展内部监督评价”、“对内部监督机制的有效性进行认定和评价”,明确表达了对包括内部监督在内的五个要素进行评价的思想,似乎不宜将内部控制评价视为内部监督的一部分。
虽然内部控制规范体系对内部监督和内部控制评价的规定,无论是条文安排方面还是概念的逻辑关系方面,都有可进一步探讨之处,但是规范体系对企业做的事情表述得很清楚:企业实施内部控制过程中,必须设置内部监督机构、健全内部监督机制、对内部控制情况进行有效监督;同时,还要根据基本规范和评价指引的要求,对包括内部监督在内的五要素进行自我评价。
三、内部监督与内部审计
内部审计是企业家们实施内部控制无法回避的有一个概念。中国内部审计协会发布的《中国内部审计准则第1101号―内部审计基本准则》将内部审计定义为“一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标”。给人的感觉是,内部审计的一部分内容是“审查和评价内部控制的有效性”,与内部控制基本规范对“内部监督”的定义“企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性”基本一致。内部审计定义中还涉及“审查和评价组织的业务活动”和“风险管理”,而内部监督同样也包括业务活动控制、风险评估和管理等。在专业机构给出的定义里,内部监督、内部审计就像一对双胞胎,难怪企业家们会惊呼“分不清内部审计和内部监督的区别”。
另外,内部控制基本规范规定,企业应“制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求”。显然,内部控制基本规范认为企业内部监督的主体主要就是内部审计机构(或经授权的其他监督机构)。也就是说,在实务工作中,内部监督主要也是由内部审计机构完成。考虑到内部监督和内部审计两个定义的高度近似、实务工作的密不可分,因此有的人干脆把两者合二为一、不分彼此,统称“内部审计监督”。 但是,两者合二为一并不能解决问题。《内部审计基本准则》第二章第六条规定,“内部审计机构和内部审计人员应当保持独立性和客观性,不得负责被审计单位的业务活动、内部控制和风险管理的决策与执行。”这一规定明确表明,内部审计机构和人员不得负责该单位内部控制的决策与执行,是独立于内部控制系统之外的一项审查评价活动。因此,内部审计当然也独立于内部监督之外,完全不是一回事更加不能相互替代。企业家们的困惑由此产生:内部控制规范体系要求企业建立与实施内部控制,而《审计基本准则》第二章第四条也要求“组织应当设置与其目标、性质、规模、治理结构等相适应的内部审计机构,并配备具有相应资格的内部审计人员”,而且,后者规定两个系统必须相对独立,未必企业必须、且确有必要同时搞两套功能近似的内部管理系统?
笔者认为,内部审计、内部控制(包括内部监督)都属于企业内部管理的范畴,整体上属于企业内部事务,由企业自主决定如何开展相关工作。对于一些涉及公众利益的单位,国家可能通过法规(规章和规范性文件)对单位的内部事务进行干预。内部控制和内部审计等所具有的外部性特征为国家干预提供了理论依据。从我国现实情况看,《中国内部审计准则》由民间机构中国内部审计协会发布,不具有法律约束力;企业内部控制规范由国家五部委联合发布,对相关企业具有强制力。因此,某一企业是否应该设置专门机构、如何开展内部审计和内部控制工作,应视行业管理部门和企业主管机关的要求而定;如果没有这方面的要求,企业可以根据内部管理的需要,自主决定开展或者不开展内部审计和内部控制工作。
四、分属内部审计和外部审计的“内部控制审计”
企业家们的困惑还来自扑朔迷离的两个“内部控制审计”。一是如前所述,企业内部控制规范体系的《企业内部控制审计指引》提出了“内部控制审计”的概念,指的是会计师事务所依照有关法规制度和审计指引的要求,对企业内部控制进行的审计;另一个是《中国内部审计准则第2201号内部审计具体准则―内部控制审计》第二条提出的,“本准则所称内部控制审计,是指内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动。”虽然两个都叫内部控制审计,但是两者的差别还是比较明显:前者是企业内部控制规范体系的要求,本质上是内部控制的外部审计评价;后者是企业内部审计工作的一部分,本质上是企业自身对内部控制进行的内部审计评价。为便于表达,笔者将前者称为企业内部控制的外部审计,将后者称为企业内部控制的内部审计。
企业家们由此产生的又一个问题:内部控制评价、内部控制内部审计同为企业对自身内部控制进行的自我评价,应如何看待两者关系并组织实施?笔者认为,从制度规范的角度来看,内部控制评价和内部控制内部审计之间的关系,实际上就是内部控制与内部审计的关系。企业根据具体情况协调组织安排内部控制工作和内部审计工作,然后根据内部控制规范和内部审计准则的要求分别做出评价即可。不过,由于两者都是企业对内部控制进行的自我评价,评价主体、对象、采用的方法、评价的用途大同小异,在技术上可以相互借鉴。
五、内部控制、内部审计的组织实施
内部审计、内部监督、内部控制审计与内部控制评价等几项工作的组织实施,归根结底是内部控制和内部审计的实施。如何看待并处理好内部控制、内部审计的组织工作,既是企业面临的现实问题,也是无法回避的理论问题。
文献对于内部控制与内部审计的关系有不同看法:第一种观点是,认为两者是相互交织、相辅相成共同构成的一个系统,而且不存在谁主谁次、谁包含谁的问题。如,田彦霞在《对内部控制与内部审计关系的探讨》中提出,内部审计是内部控制的重要组成部分,内部审计又是对内部控制的控制,二者相辅相成,缺一不可。张先治、孙文刚在《论内部审计与管理控制的协调》中提出,内部审计与管理控制通过相互的推动作用已经耦合在一起。第二种观点是,内部审计是内部控制的一部分。如,胡以亮在《构建以内部审计为核心的内部控制框架体系》中,用北京市燃气集团构建的以内部审计为核心的内部控制框架为例,论证了应该将内部审计作为内部控制的核心观点。陈文铭在《企业的内部控制与内部审计相关问题探讨》中,将整个内部控制体系划分为三个相对独立的控制层次,第一个层次是经济业务发生部门严格按照企业内部设计的程序,相互牵制开展业务活动;第二个层次是财务部门在事后建立起第二道监控防线;第三个层次是内部审计部门要建立起以查为主的监督防线,也是监督要素中的最高层次。第三种观点是,内部控制是内部审计的一部分对象和内容。唐兆珍、何旭平在《内部审计和内部控制关系探微》中提出,内部控制是内部审计的主要产品和对象,主要依据是,国际内部审计师协会、中国内部审计协会都是将对内部控制的审计作为内部审计的一部分工作内容。第四种观点是,内部控制和内部审计是具有内在联系的两个独立体系。如,王华在《试论内部审计与内部控制体系的关系》中提出,两者之间既相互联系、又相互区别,既相互作用、又各自独立存在。
笔者认为,上述四种观点都有其合理性,实际工作中也都存在这四种做法。但是,应该注意到,内部控制、内部审计都是一个动态的、发展的、开放的概念;内部控制和内部审计的发展历史表明,两者无论是理论和实践中,还是内容和形式上,都经历了由简到繁、由单一到完善的发展过程。按照目前主流的表述,两者都将促进企业(组织)目标的实现作为自己的目标(或者目标之一),对于组织而言,这就是终极目标和最高追求;两者采用的方法并不存在绝对的边界和特殊范畴,而是都处于不断借鉴、吸纳、丰富和完善过程中。因此,从目前的情况看,企业在内部控制和内部审计的过程中,工作组织非常接近,两者发挥的作用也基本同质,如果已经实施了内部审计,也许稍加改造就能符合内部控制规范的要求;反之,如果有效实施了内部控制规范,很可能只要略微调整,也就达到内部审计工作的效果。
在实际工作中,企业可以在已经开展的内部监督、审计或者其他控制活动的基础上,根据有关方面或者自身需要做出适当完善,就能较好地实施内部控制或者内部审计。如果企业认为有必要同时组建内部审计和内部控制两套系统,也能够承受相关成本,那么也可以设置两个相互独立的机构,分别开展内部审计和内部控制。换一个粗浅的说法,如果实施有效,内部控制和内部审计无需改头换面就能做到对方能做的事。
当然,目前出现内部控制、内部审计概念和功能同质化现象并不说明两者本质上是同一个事物。内部控制和内部审计作为两个概念、两种管理活动实践,应该分别具有独特的内涵外延。比如,内部控制的侧重点可能在于纠偏,而内部审计更加侧重于查明有关活动和事项与所既定标准相符情况。研究内部控制与内部审计内涵与外延的差异,丰富和完善内部控制和内部审计的有关理论,改进内部控制和内部审计实际工作,有待理论界实务界的共同努力。
来源:中国论文网
