按照国际内部审计师协会(IIA)的定义,内部审计是指企业内部的一种独立与客观的监督、评价和咨询活动。它通过对经营活动及内部控制的适当性、合法性和有效性进行审查、评价和提出建议,以使企业降低风险损失,改善运营效率和效果,增加企业价值,实现企业发展目标。 按照我国《企业内部控制基本规范》的定义,内部控制是指由企业的治理层、管理层和全体员工共同实施的、旨在保证实现以下基本目标的一系列控制活动:①企业战略;②经营的效率和效果;③财务报告及管理信息的真实、可靠和完整;④资产的安全完整;⑤遵循国家法律法规和有关监管要求。它由内部环境、风险评估、控制活动、信息与沟通和监督检查五个要素构成。 内部审计与内部控制具有非常密切内在联系。归纳起来,可以说内部审计是企业内部控制的重要环境因素,是企业风险评估的主要执行者,是企业内部控制的重要控制活动方式,是企业信息收集与沟通的重要参与者,是企业内部控制的重要监督检查力量。 一、内部审计是内部控制的重要环境因素 内部环境是企业内部控制赖以建立与执行之间各种内部因素的总称,它可以由企业自主选择和改变,是企业实施内部控制的基础,是内部控制的重要组成部分。内部环境主要包括治理结构、组织机构设置与权责分配、内部审计、人力资源政策和企业文化等。 作为内部控制的环境因素,企业应当保证内部审计机构和内部审计人员的独立性,以便内部审计工作具有充分的客观性。为此,企业应当做到以下几点:内部审计机构应当直接隶属于总经理领导,向总经理负责并报告工作,同时要接受董事会及其所属的审计委员会的监督、指导;内部审计机构依照法律规定和企业授权开展审计监督、评价及咨询工作,其工作范围不应受到制度规定之外的人为限制;内部审计机构对审计过程中发现的重大问题,可以直接或通过审计委员会向董事会报告;内部审计人员应当具备内审人员从业资格,拥有与工作职责相匹配备的道德操守和专业胜任能力;内部审计人员应当避免对自己提供咨询的事项实施监督和评价。 二、内部审计是企业风险评估的主要执行者 风险评估是指及时识别与科学分析影响企业内部控制目标实现的各种不确定因素,并据以采取应对策略的过程。风险评估包括目标设定、风险识别、风险分析和风险应对等环节。 为了加强风险管理,企业应当进行风险自我评估。国际内部审计师协会(IIA)于2002年对北美4500位来自各类组织的内部审计机构负责人进行过一次相关调查,结果显示,风险自我评估被列为“当前内部审计最佳实务”的第二位,在“未来将越来越重要的实务”中排列第一。 风险自我评估包括确认风险、评价风险管理过程、制定和实施用以将风险减低到可接受水平的行动方案、确定实现内部控制目标的可能性数项实施内容。 国际内部审计师协会(IIA)认为,风险自我评估可以采用以下四种不同方式进行: 一是以目标为基础的评估。首先确定实现既定控制目标的现有控制活动有哪些,再据以确定经过它们控制后的剩余风险,然后评估现有的控制措施是否得到有效实施,剩余风险能否维持在可接受的水平。即按不同的控制目标来评估剩余风险。 二是以风险为基础的评估。先列举出影响控制目标实现的各种风险事项,然后确定能够有效管理关键风险的适当控制活动,最后确定现有控制活动是否适当,能否将剩余风险控制在可接受的水平。即按不同的风险事项来评估剩余风险。 三是以控制为基础的评估。首先确定控制主要风险的现有控制活动有哪些,然后评估这些控制活动的有效性,确定能否将剩余风险控制在可接受的水平。即按不同的控制活动来评估剩余风险。 四是以过程为基础的评估。即通过识别采购、生产、销售等生产经营过程的控制强点与弱点,评估有关控制活动的有效性,确定能否将剩余风险控制在可接受的水平,也就是按不同的经营过程来评估剩余风险。 风险自我评估可以采用组织研讨会、进行问卷调查等方法进行。内部审计人员应当详细记录研讨会与会者的发言,或系统整理问卷调查的结果,以此作为风险自我评估的工作底稿,据以编制评估报告。风险自我评估报告的内容一般包括三个方面:评估的范围和过程说明;评估的结果及其描述,可以用红黄蓝绿等来表示风险级别;改进内部控制活动,降低风险水平的行动方案。 风险自我评估对于增强风险管理的针对性,提高风险管理的预见性,降低剩余风险水平,提高风险管理效率,具有很重要的作用。 三、内部审计是内部控制的重要活动方式 内部控制活动是指企业根据风险评估结果和风险应对策略的要求,设计和实施将剩余风险控制在可接受水平之内的各种控制政策和程序,即合理保证内部控制各项目标得以实现的各种控制政策和程序。作为内部控制的重要控制活动方式,内部审计机构和审计人员应当在企业最高权力机构的授权下开展内部审计工作,防范舞弊行为。 内部审计机构和人员应当经常性地开展下列审计工作: (1)遵循性审计:对经营过程中遵守相关法规、政策、流程、计划、预算、程序、合同协议等遵循性标准的情况作出评价;(2)风险审计:对企业生产经营中的风险管理状况进行审查和评价;(3)效益审计:对本单位及所属单位经济管理效率和效果情况进行审计;(4)任期经济责任审计:对本单位内设机构及所属单位领导人员的任期经济责任履行情况进行审计;(5)其他审计:包括建设项目审计、物资采购审计等专门审计以及法律、法规规定和本单位主要负责人或者权力机构要求办理的其他审计事项。