试论内部审计与内部控制、风险管理的关系(一)

试论内部审计与内部控制、风险管理的关系(一)摘要]随着经济的发展，内部审计的对象从内部控制系统扩大到风险管理过程，同时内部审计也是企业风险管理过程中监督环节的重要内容。内部审计已不再是一个孤立的概念，而是与内部控制、风险管理密切相关，本文试对三者的关系进行了分析和论述。关键词]内部审计内部控制风险管理国际内部审计师协会(IIA)在1999年出版的《内部审计实务标准》一书中对内部审计重新进行了表述，它认为，内部审计是一种独立、客观的保证与咨询活动，它的目的是为机构增加价值并提高机构的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评价，提高它们的效率，从而帮助实现机构目标。这个描述第一次将内部审计从企业(机构)的普通经营管理活动的阵营中解放出来，第一次将内部审计的视角直接的对准了企业(机构)的内部控制、风险管理及治理程序。这无疑是内部审计理论的重大发展，也为内部审计工作开辟了更广阔的空间，与此同时，重新理解内部审计，特别是正确认识内部审计与内部控制、风险管理的关系也彰显出了重要的意义。一、风险管理与内部控制的关系在分析内部审计与内部控制、风险管理的关系之前，让我们沿着美国COSO委员会所发表的框架理论来回顾一下内部控制、风险管理的历史及两者的关系，这将有助于理解内部审计在其中的职责。美国COSO委员会于1992年发表并于1994年修订的《内部控制——整体框架》报告将内部控制定义为由董事会、管理层和员工共同设计并实施的，旨在为实现组织目标提供合理保证的过程；并设定了三类目标——经营的效果和效率、财务报告的可靠性、法律法规的遵循性；阐述了五项构成要素——控制环境、风险评估、控制活动、信息与沟通、监督。这个报告很快被世界上许多企业所采用，但同时人们也发现该报告存在着对风险强调不足等问题。COSO委员会针对这些问题，在原报告的基础上，结合《萨班斯——奥克斯利法案》的要求，扩展研究得出《企业风险管理——整体框架》报告（ERM报告），于2004年9月正式颁布。ERM报告是对内部控制框架的新发展，与内部控制框架相比，风险管理框架在内容和范围上都得到了扩大和提高，讨论的范围扩大到包含内部控制系统的风险管理过程，侧重于用风险的理念来看待企业的管理和目标的实现。ERM报告指出，内部控制是企业风险管理不可分割的一部分，ERM报告包含内部控制，是一个更广泛的管理理念和管理工具。但也强调，由于“内部控制整体框架经受了时间的检验，并成为现行许多法律法规和制度的基础”，因此它依然是有效的、可以执行的。二、内部审计与内部控制的关系“现代内部审计之父”劳伦斯B.索耶在其名著《现代内部审计实务》中指出，(内部)控制对内审人员来说，既是一种机会，也是一种责任。内审人员不可能成为企业生产经营管理各方面的专家，但是，胜任的内审人员有一个“芝麻开门的秘诀”，运用这个秘诀，他们能打开通常只有技术专家才能打开的大门，运用这一秘诀，他们能帮助解决这些大门背后的许多问题。这一秘诀就是(内部)控制。可见，内部控制是内部审计关注的重点，也是实现审计目标的桥梁。事实上，内部审计与内部控制之间的关系是相互依存的，内部审计是内部控制系统的重要组成部分，是对其余内部控制要素的再控制；而内部控制又是内部审计的直接对象，通过内部审计的检查、评价而不断的促进内部控制的健全完善。内部审计对内部控制的关注远远超过了外部审计，可以说“内部审计就是通过对内部控制的审查和评价进而把握整个管理活动的，在我国当前的内部审计实务中尤为如此。”内部审计与内部控制之间的关系也是相互作用的，两者都是企业经营管理的重要组成部分，都具有为企业目标的实现而服务的最终的、相同的目标。从系统论的角度分析，内部审计的有效实施将对内部控制的效率、效果产生积极影响，反之，将使内部控制的运行失去有效监督，产生消极影响；同时，内部审计作为内部控制系统的一部分也会受到整个系统的影响，一个健全、有效的内部控制系统无疑将为内部审计提供一个良好的审计环境，从而促进内部审计质量的提高。