上市公司内部审计论文

前言：想要写出一篇令人眼前一亮的文章吗？我们特意为您整理了5篇上市公司内部审计论文范文，相信会为您的写作带来帮助，发现更多的写作思路和灵感。

上市公司内部审计论文范文第1篇

关键词：内部审计 增值 职能

1、 引言

现代内部审计产生于二十世纪四十年代，并随管理理论的发展而不断发展。进入21世纪，安然、世通等一系列舞弊案件的发生，内部审计成为理论界和实务界关注的新焦点。随着我国加入WTO竞争越来越激烈，我国上市公司也开始更大范围参与国际经济合作与竞争，内部审计逐渐成为我国上市公司关注的重点。国际内部审计师协会（IIA）要求内部审计以增加组织的价值和提高组织运作效率为最终目标。同时指出，一个健全的公司治理是建立在董事会、执行管理层、内部审计和外部审计的协同之上的。可见内部审计已慢慢发挥巨大作用，并且上市公司内部审计需要增值。

2、上市公司内部审计概述

（1）内部审计的含义

1999年6月，国际内部审计师协会（IIA）理事会对内部审计作出全新定义：“内部审计是一种旨在增值和改善组织运营状况的独立的、客观的保证和咨询活动。” 2004年IIA重新修订的《国际内部审计专业实务标准》中规定内部审计是“一种独立、客观的确认和咨询活动，旨在增加价值和改善组织的运营。它通过应用系统规范的方法，评价并改善风险管理、控制和治理过程的效果，帮助组织实现其目标”。“增加价值”第一次被列入内部审计的定义，新定义强调一种通过开展审计活动为组织创造价值的内部审计。

（2）内部审计增值的含义

IIA的新定义将内部审计职能提升到组织整体的层次，增加价值成为内部审计的目标。内部审计增值，要求内审人员必须站在维护组织整体利益的立场上，通过识别、防范、降低组织风险并提供评价、监督、确认、咨询等服务增加组织价值。内部审计的目标和组织整体目标是一致的，它成为组织成功的关键因素。当内部审计的成本低于组织损失的减少时，组织价值自动增加，即内部审计创造的直接价值。

（3）上市公司内部审计的职能

内部审计的职能和本质两者之间的关系非常密切，而且这两者是随着经济的发展以及社会的需求变化进而变化。具体而言，我国上市公司内部审计主要有以下四大职能：

a.监督职能

随着公司规模的扩大，管理当局面对复杂的经营系统，不可能直接参与和控制各个生产经营环节及有关的经济活动，这就需要通过内部审计来规范公司的经营行为，实现内部审计首要的监督职能。

b.评价职能

对于现代上市公司来说，内部审计的评价职能体现在评价和评估公司的内部控制系统、测试评价内部控制系统的健全性和有效性、建立内部控制自我评估机制等各方面，来评估公司管理活动的有效性，提高管理人员工作积极性。

c.确认职能

内部审计的职能是指，独立评估组织的治理以及风险管理和控制过程，客观检查期证据，确定审计事项。例如检查绩效、财务、系统安全、合规性和调查等业务。

d.咨询职能

为防止决策失误和资产流失，保证经营目标实现，维护企业和股东的合法权益，对内部实施审计时，要提供具有针对性的咨询服务，制定出正确合理的建议和规定，从而改进公司的经营管理效率，有效提高企业的经济效益。

3、我国上市公司内部审计的增值作用

3.1从内部审计定位的角度

上市公司内部审计机构依据法律法规、企业规章制度等，按一定的程序和技术方法，对公司的财务收支和经营管理活动等进行审查，评价和监督公司经营者的经济责任的履行情况，对控制、风险管理、公司治理环节实施确认和咨询，以确保会计资料的真实性、可靠性，最大限度的增加公司利益，提高组合经营管理水平，为组织增加价值。

3.2从内部审计业务的角度

上市公司内部审计机构，充分发挥熟悉本单位经营管理情况的优势，有针对性地安排审计工作，将工作贯穿于组织经营管理运作的各层面，通过降低成本、降低风险、提供增值服务，为企业创造价值。

3.3从内部审计方法的角度

上市公司内部审计开展审计业务最具特色的方法是从评价企业内部控制制度的健全性和执行的有效性入手，来评估企业存在的风险，达到健全制度、控制风险、提高企业经济效益的目的。因此，内部审计机构对内部控制实施监督，健全组织控制结构，为组织增加价值服务。

4、发挥我国上市公司内部审计增值作用的对策

4.1充分发挥内部审计职能

从内部审计职能看，在监督、评价、确认和咨询四个职能中，监督和评价是内部审计的基本职能，发挥着重要的作用。它们的充分发挥，将使内部审计以辅助决策者的姿态成为企业最高层和决策者最忠实的助手。上市公司的内部审计机构一经设立，其职能就应是服务导向型，并为管理层提供确认和咨询服务，实现内部审计新定义中的确认和咨询的功能，为组织增加价值并改善运营模式。内部审计部门应分别从四个职能出发，实施增值措施。

4.2科学设置内部审计机构

设立内部审计机构能使企业的监督机制得到完善和补充。通过加强对企业管理人员和经营活动的监督，提高企业的经济效益和运营效率，增加价值。独立性是审计委员会制度有效性最关键的特质。内部审计机构的层次较高，能够更好地保证内部审计的独立性和权威性，有利于充分发挥内部审计职能，增加组织价值。

4.3充实审计委员会章程的内容并保证实施

审计委员会的行动指南是其章程，正确的章程可以提高审计委员会的工作效率及成果。审计委员会章程的内容应适应公司内外部环境的改变。可以让少数股东代表构成检查工作组，不定期的进行审查，从而保证和督促审计委员会按照规定展开工作和活动。

结论

现如今，我国上市公司的规模和产权关系日趋复杂，急需建立有效的内部审计机构以加强企业内部管理，增加组织价值。内部审计在加强评价与监督，提供确认和咨询服务，完善内控，规避风险，增加价值等方面显示出独特的优势。因此需发挥内部审计的职能并科学设置内部审计机构，为组织增值价值，从而实现我国上市公司内部审计的增值。（作者单位：西南财经大学会计学院）

参考文献：

［1］ 郭慧.内部审计与公司绩效的关系研究［J］.财会月刊,2010,(33).

上市公司内部审计论文范文第2篇

关键词：上市公司；内部控制；问题；对策

中图分类号：F270 文献标志码：A 文章编号：1000-8772（2013）09-0151-02

目前我国很多上市企业还未营造出良好的公司控制环境，同时缺乏科学的风险管理机制、信息沟通机制以及有效的监督机制，这些问题都是目前我国上市公司内部控制制度架构设置不合理的表现。

一、当前我国上市公司内部控制存在的问题

1 对于内控认识片面单一、重视程度不够，内控无法有效执行下去。上市公司在内部控制的认识上存在几个误区：实行内部控制会增强公司成员之间的不信任感，不利于集体的团结；内部控制并不能给企业带来直观的经济利益。相反，开展内部控制会额外增加企业的经营成本；狭隘地将内部控制理解为防止职工舞弊、欺诈所采取的内部牵制制度或会计稽核制度，有的管理者甚至认为内部控制和企业没有直接关系；认为内部控制会造成工作效率低下，使人放不开手脚。这些错误的认识使得制定的内部控制制度残缺不全或严重脱离企业实际情况，即使公司制度出了相应内部控制制度，也只是停留在表面工作上，使得内部制度在落实方面存在很多问题，不能有效执行。

2 内部控制制度不完善。证监会在《年度报告内容与格式》中虽然规定上市公司监事会应就公司内部控制是否完善发表独立意见，但是该披露的要求仅仅限于“是否建立完善的内部控制制度”，而并未要求披露公司建立的内部控制的详细信息以及监事会的评价。再者，内部控制的完整性、合理性及有效性缺乏一个公认的评价标准。

3 风险意识淡漠。随着市场经济不断发展，上市公司现阶段面临更大的环境变化和生存风险，诸如市场风险、信贷风险、营运风险、声誉风险、技术风险等以及随着交易类型和工具的变化所面临的兼并收购、破产重组、电子商务等。企业应该建立可以辨认、分析和管理风险的机制，并确认高风险领域，以加强管理。但我国上市公司缺乏的就是这种机制，股东大会、董事会、监事会、经理层互相监督、制约的机制没有建立，董事会中没有风险评估委员会或形同虚设，造成在没有可行性论证的情况下随意决策。

4 内部审计机构监督不力。我国很多上市公司内部审计机构并未真正发挥其作用。这主要表现于，第一，我国内部审计的功能仍然是查错防弊。只注重事后监督，不注重事前、事中的控制；只重视对财务报表的审计，而忽略对公司的管理现状进行分析、评价，并提出建议。第二，我国的内部审计机构往往实质上由管理层领导且与其他部门平行，因此独立性较差、权威性较差。第三，内部审计人员大多是由财会部门转来或由财会部门人员兼任，缺乏审计知识，特别是随着企业规模的扩大，业务的复杂化，内部审计人员很难满足需要。

二、上市公司加强内部控制建设的对策

1 完善内部控制环境。改善公司的内部控制环境，对于股东会、董事会、监事会以及管理层的职责分工要明确，对上市公司的组织结构和人力资源政策要理正，同时还要重视企业文化发挥的作用。笔者认为，主要从以下三方面完善上市公司的内部控制环境：首先，聘请独立董事。在聘请独立董事时，必须考虑其教育背景、经验资历及时间保证方面是否能适合独立董事履行职责的需要，在经验资历方面特别强调的是财务专家要有企业、商业、财务管理咨询阅历。中国的上市公司在聘请独立董事必须克服以下几点的弊端：一是忽视独立董事“财务专家、管理咨询专家”的经验资历。二是太重视独立董事的名人效应，忽视了时间保证，一位担任五家上市公司的独立董事很难按照董事的标准要求和有足够的时间和精力顾及每一个公司的事务，更谈不上对经理的监督。名人能否有充裕的时间为受聘上市公司服务值得怀疑。三是缺乏有效的奖惩机制。只有建立有效的奖惩机制，上市公司的独立董事才能真正发挥其作用。其次，完善职业经理人市场。创新市场机制，完善职业经理人市场，以市场定价和市场竞争为基础，选择和激励职业经理人，是中同职业经理人激励机制建设中应保持的基本方向。对于职业经理人机制的建立，还要从以下三方面加大力度：一是建立职业经理人才的选拔和聘任制度；二是建立职业经理人才的流动机制；三是建立职业经理人才的测评制度。只有完善了中国的职业经理人机制，中国的内部控制建设也能得以加快健全。再次，创建优秀的企业文化。对于企业文化，主要是把以人为本的观念反映到企业内部控制当中，就是以人的发展为出发点，同绕人的价值理念来展开企业内部控制活动的各项内容，协调企业内部控制中的环境关系，创造良好的环境氛围，充分调动人的积极性和创造性，使公司内每个员工都积极地参与企业管理，最终实现企业的经营目标，员工与公司共同发展。

2 建立风险评估程序。在企业确定了目标之后，就应该针对其指定的目标进行风险评估。主要包括风险的因素识别，评估风险的重要程度，评估风险发生的可能性，尽可能对企业所面临的风险有充分的认识。对外部风险因素进行预期和识别，包括技术的进步、客户的需求、现有以及潜在的竞争对手、法律法规的变化、社会经济形势的变化等；对内部风险进行预期和识别，包括信息的损坏，雇员的违规、管理层的失职等；建立风险评估机制和程序，对每项风险因素进行考虑，考虑其在风险中的重要程度，并对其相关性加以研究，综合考虑来确定具体风险的重要程度和发生的可能性；建立风险监控程序，对容易变化的风险因素进行实施监督，及时了解风险的变化，调险评估结果。

3 提高风险管理水平。现代社会是一个充满激烈竞争的社会，每一个上市公司不论其规模，结构、性质或产业如何，都会面临成功的挑战和失败的风险。面对市场经济条件下的各种风险，首先，上市公司的所有员工都必须树立风险意识。只有意识到了风险，才会主动加强内部控制，采取措施控制风险。其次，上市公司在经营过程中应加强风险管理。随着经济的发展，经济环境的变化，企业的资产风险、信息系统风险、兼并重组等风险逐步增大，因此，上市公司应建立健全风险预测、风险评估、风险控制和风险约束机制，并且在技术上制定风险回避、风险转移和风险分散等管理策略，以有效防范和控制风险。

4 完善内部控制监督体系。（1）完善内部审计机构设置。我国上市公司在设置内部审计机构时，可采用与国际惯例接轨的“双层领导模式”。具体做法是：在董事会下设由独立董事组成的审计委员会，在经营管理系统设置审计机构。内部审计机构对于其开展的审计业务，要向审计委员会负责并报告工作，并接受监事会的指导；对于其行政方面的内容，要向总经理负责并报告工作。这种双向负责、双轨报告的模式相对独立性较高，在业务处理上也有较强的权威性，能很好地完成内部审计对内部控制的监督。（2）对内部控制实施强制审计。对于上市公司来说，我国应对其内部控制实施强制审计。在上市前三年将内部控制审计作为一种过关性审计，要求拟上市公司必须接受；待上市后在年度审计中还必须继续接受内部控制审计。

三、结语

完善上市公司内部控制，是现代企业做大做强的必经之路。只有对内部控制的要素不断完善，才能构建一个健康的资本市场。但内部控制仍有许多要素是公司无法控制的，比如外部环境。因此，若要真正解决我国上市公司内部控制失效问题，还要完善我国的法律、资本市场及公司组织形式，提高人们的道德水平等很多因素，内部控制理论也应该继续完善自身的缺陷，希望在将来的工作和学习中做进一步的研究。

上市公司内部审计论文范文第3篇

论文摘要：内部控制信息的披露对于各方利益相关者都具有十分重要的意义。对于广大的投资者而言，他们往往通过查阅上市公司的财务报表来了解其经营状况，而经营业绩优良与否、财务报告可靠与否都在很大程度上受到 企业 内部控制的影响。对于上市公司而言，完善的内部控制信息披露不仅可以提高企业的经营效率，改善企业的经营管理，而且可以向市场传递一个信号：公司的管理层对内部控制十分看重，并且可以保证其内部控制的有效性。

当前，我国 经济 正处于一个高速 发展 的阶段，资本市场瞬息变化，因此，加强对内部控制信息的披露就显得尤为重要。按照coso报告，内部控制就是由企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成提供合理保证的过程。

一、我国内部控制信息披露的规范

中国 注册 会计 师协会在1996年颁布的《独立审计准则第9号——内部控制与审计风险》第一次提出内部控制的概念，指明内部控制是指被审计单位为了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序，内部控制包括控制环境、会计系统和控制程序。但是该内部控制定义范围狭小，仅仅站在内部会计控制和注册会计师对财务报表审计的角度出发。此后内部控制的定义一直处于不断的发展和修正过程中。

我国最早涉及内部控制信息披露的规范主要散见于证监会的各项公开发行证券的公司信息披露内容与格式准则，具体要求体现在招股说明书、增发申请材料及年度报告中。主要有：（1）中国证监会2000年底颁布的《公开发行证券的公司信息披露编报规则》第7号、第8号， 规定商业银行和证券公司在其年报中出具对内部控制的有效性、完整性和合理性的自评报告，并委托所聘请的会计师事务所对其内部控制制度，尤其是风险管理系统的完整性、合理性及有效性进行评价， 提出改进建议，并出具评价报告。（2）中国证监会2001年3月颁布的《公开发行证券的公司信息披露内容与格式准则第1号——招股说明书》，规定发行人应披露公司管理层对内部控制制度完整性、合理性及有效性的自我评估意见。注册会计师指出以上“三性”存在重大缺陷的，应披露并说明改进措施。2001年4月颁布的《公开发行证券的公司信息披露内容与格式准则第11号——上市公司发行新股招股说明书》，要求发行人应披露管理层对内部控制制度的完整性、合理性及有效性的自我评估意见，同时应披露注册会计师关于发行人内部控制评价报告的结论性意见。（3）证监会2001年制定、2004年修订的《公开发行证券的公司信息披露内容与格式准则第2号——年度报告》，规定年度报告中，监事会应对“公司决策程序是否合法，是否建立完善的内部控制制度，公司董事、经理执行公司职务时有无违反 法律 、法规、公司章程或损害公司利益的行为”发表独立意见。（4）证监会2006年5月《首次公开发行股票并上市管理办法》，规定“发行人的内部控制在所有重大方面是有效的，并由注册会计师出具无保留结论的内部控制鉴证报告”。这是我国首次对上市公司内部控制提出具体的要求。

2006年，为加强上市公司内部控制，促进上市公司规范运作和健康发展，保护投资者合法权益，上交所、深交所分别于2006年6月、9月颁布，分别于当年7月、次年7月实施的《上市公司内部控制指引》，两个证交所都明确规定在其交易所上市的公司都应提供内部控制报告自评报告。该指引是我国第一次出台的指导上市公司建立健全内控制度的文件。

二、我国内控信息披露规范的缺陷与不足

（一）内部控制概念界定混乱

无论是处于同一层次的上海证券交易所（以下简称上交所）和深圳证券交易所（以下简称深交所），还是处于不同层次的证监会和证交所，关于内部控制都有不同的定义。上交所从公司长远战略的角度出发，规定内部控制为了保证公司战略目标的实现，而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。深交所对内部控制的定义则参照了coso委员会对内部控制的规定，认为内部控制需满足以下几个目标：（1）遵守国家法律、法规、规章及其他相关规定；（2）提高公司经营的效益及效率；（3）保障公司资产的安全；（4）确保公司信息披露的真实、准确、完整和公平。证监会对内部控制的定义则一直没有完整的标准，在其颁布的《公开发行证券的公司信息披露内容和格式准则》中也没有详细规定。关于内部控制概念的不同，很大程度上是因为还没有一套完整、系统的法规对其予以正式化、标准化，而且现行的各个法规相互之间也缺少衔接。

（二）缺乏对内部控制监督主体的统一规定

证监会并没有明确指明监督主体，而只是指出由监事会对本公司是否建立完善的内部控制发表独立意见。深交所规定，由公司内部审计部门负责监督内部控制制度的执行情况，并将检查监督情况形成内部审计报告报送董事会和列席监事。而上交所则将内部控制的监督权赋予专门职能部门，并规定该专门职能部门在年度和半年度结束后向董事会提交内部控制检查监督报告。那么根据这一规定，该专门职能部门可以是审计部门，也可以由各个公司根据本公司的特点和组织结构设置。经过比较，我们可以发现，监督主体不同，那么每个监督主体所参照的标准、所执行的程序及最后所形成的结论都不同，这势必会影响到投资者对上市公司内控报告的比较分析。

（三）对cpa审计的规定各不相同

证监会只对特殊行业以及具有特殊目的的上市公司的内部控制是否需cpa审计提出了硬性规定，主要表现在：要求商业银行、保险公司、证券公司应委托会计师事务所对其内部控制制度及风险管理系统的完整性、合理性和有效性进行评价，提出改进建议，并提出内部控制评价报告。发行新股的上市公司需要在其再融资的申报材料中披露注册会计师关于发行人内部控制评价报告的结论性意见。深交所则要求其所有主板上市公司（不含中小企业板上市公司）的cpa在对公司进行年度审计时，应参照有关主管部门的规定，就公司财务报告内部控制情况出具评价意见。而上交所没有要求cpa对公司财务报告内部控制情况做出评价意见，仅仅要求会计师事务所参照有关主管部门的规定，出具对内部控制自我评估报告的核实评价意见。并且，在这两所证券交易所的规定中都没有明确指明cpa在审计过程中应参照的标准，而仅仅以一句“参照有关主管部门”简单带过。注册会计师的执业标准的不完备使内部控制审核意见从内容到格式各不相同，内部控制信息披露质量缺乏有效保证，使得信息使用者感到无所适从。

（四）对内控信息披露的自评主体界定模糊

证监会对于一般上市公司要求监事会在其监事会报告中披露对公司是否建立了完善的内部控制制度发表独立意见。对于具有融资目的的公司，证监会要求的责任主体是发行人，要求发行人对公司内部控制制度的完整性、有效性和合理性发表评估意见。而在对商业银行、证券公司和保险公司的规定中，没有明确指明责任主体，只是要求上市公司对本公司的内部控制制度做出说明。深交所和上交所的内部控制指引中，都明确规定了内控信息自评的主体是董事会。

（五）对内部控制的评价缺乏统一标准

现行的规范制度中，证监会和证交所都没有提出对内部控制完整性、有效性和合理性的具体评价标准，只有由审计准则委员会的独立审计准则第9号《 企业 内部控制与审计风险》和新修订的《 会计 法》提到了内部控制相关内容，但立足点和出发点分别是从报表审计的角度和企业会计控制角度进行规范。由于缺乏对内部控制的完整性、合理性及有效性进行判别的可操作性的标准，使得cpa审计陷入难题中，而且其出具的审计意见报告也缺乏可比性。

三、改进我国现行内部控制信息披露规范的建议

（一）宏观上，理顺我国现行内控信息法规的层次关系，建立一个自上而下、由抽象到具体的内部控制信息披露的规范体系

该规范体系的第一层次应是由国家立法机关在《公司法》、《证券法》和《会计法》中以 法律 的形式规范内部控制的定义，并明确各企业应建立健全的内部控制体系。第二层次是由财政部联合证监会、保监会、银监会和审计署制定一套以规范企业信息披露为主要目标的企业内部控制标准体系。该标准体系的建立将为各个行业的内部控制评价提供一个具体的、可操作的标准，并且也为cpa审计上市公司的内部控制自我评价报告提供了可 参考 的标准。财政部于2006年7月联合证监会、国资委、审计署、银监会、保监会等部门成立了企业内部控制标准委员会，我们相信该委员会将在其推出的《企业内部控制基本规范》中做到这一点。第三层次是证监会规定各上市公司应对“狭义内部控制报告”即财务信息内部控制报告进行强制性披露，而对“狭义内部控制报告”之外的经营和遵循法律内部控制报告采用自愿性披露。对于强制性披露的财务信息内部控制报告应明确披露内容和披露格式。第四层次是证券交易所对本所上市交易的公司提供具体的规则指引。2006年，上交所和深交所分别推出了适应本所特色的《内部控制指引》，但是两所的指引存在一些不协调、不融洽的地方，因此本文建议可以在上述3个层次制定的规范内稍做改动，达到各个法规实务操作的衔接。

（二）微观上，针对我国现行内控信息披露规范的不足加以改进，使之满足各个层次信息使用者的需求

1.明确内部控制概念

根据内部控制的范围，可将内部控制划分为“广义的内部控制”和“狭义的内部控制”。狭义的内部控制与公司财务报告质量和会计信息质量相关，而广义的内部控制则包括对财务信息质量、经营效率、遵循法规和其他风险管理的控制。由于内部控制的外延已经扩大到了公司整体的控制，投资者不仅仅满足于得到有关企业财务报告可靠的信息，还希望了解企业整体控制环境和实际运作情况。但考虑到成本效益原则以及cpa内部控制审计标准的不完善，在此，我们可以要求上市公司必须披露财务信息内部控制报告即狭义内部控制自评报告，与此同时，鼓励上市公司自愿披露广义内部控制自评报告。待时机成熟之时，可以要求上市公司强制披露广义内部控制自评报告。

2.明确内部控制监督主体

实务中上市公司内部控制监督一般是由内部审计部门执行，但是内部审计部门往往是从财务报告是否可靠的角度出发，无法涵盖我们广义内部控制概念。因此建议可以采用上交所的做法，在公司内部成立专门的内控监督职能部门，该职能部门人员的认定可以由董事会予以指定，并且范围应该扩大，不仅仅局限于内部审计部门。

3.明确对cpa审计的要求

为了保证内部控制信息披露的真实性，应当要求注册会计师对由董事会所出具的内控信息自评报告加以验证并出具审核或鉴证报告，该鉴证或审核报告应与内控信息自评报告一同对外公布。而且在内部控制审核中，cpa的执业标准并不完备，这使内部控制审核意见从内容到格式各不相同。因此，应由审计准则委员会联合各个行业制定一套切实可行的执业标准。

4.明确内部控制的责任主体

监管部门应当修订内部控制信息披露规范，增加明确主体责任的相关条款或对主体责任的描述具体化。现行《公司法》中规定，董事会可以决定公司内部管理机构的设置、制定公司的基本管理制度，所以我们建议公司内部控制的建设应当由董事会负责，并由董事会对外披露内部控制自评报告。

5.明确内部控制信息披露的内容和格式

监管部门应当对披露内部控制信息的内容与格式做出统一规定，以减少上市公司在内部控制信息披露上存在的选择性和随意性。同时，投资者可以对上市公司的内部控制信息进行比较分析，也有利于降低投资者获取信息的成本。证监会可以明确规定财务信息内部控制报告的固定格式，其基本内容至少应该包括：（1）表明管理层对财务信息内部控制的责任；（2）评估内部控制的标准；（3）内部控制系统中任何重要薄弱环节及其处理情况。

参考 文献 ：

［1］ 李明辉、何海、马夕奎．我国上市公司内部控制信息披露状况的分析．审计研究［j］.2003，（01）.

［2］ 陈合．如何完善上市公司内部控制信息披露［j］．财会月刊，2005，（19）.

上市公司内部审计论文范文第4篇

关键词：公司治理；内部控制有效性；风险管理；风险导向内部审计

中图分类号：F222文献标识码：A文章编号：1003-4161(2008)03-0138-03

21世纪是充满挑战和机会的新世纪，多样化和多变性的环境使企业的经营管理经历着实质性的变革。笔者认为，内部控制的理论渊源是审计与管理，它是各决策层为了确保各类契约关系顺畅履行，维护和扩大各类契约当事人利益而设置的规则、程序、手续和办法，其根本目的是将企业运行持续地置于“得到控制”(being control)状态，确保企业有一个好的战略目标，好的经营团队，并按照既定目标持续高效地发展和增值，为企业各类契约当事人发现并创造价值。研究英国内部控制的发展历程，可以从一个视角探索内部控制理论与实务发展的历史脉络，进而在比较具体的历史分析中概括出现代内部控制的基本特征及发展趋势，这对于改进我国内部控制工作具有十分重要的现实意义。

1.公司治理下的英国内部控制发展回顾

英国内部控制的发展离不开公司治理的推动，上世纪90年代是英国公司治理问题研究的高峰期，在的研究报告中1992年的卡德伯利报告(Cadbury Report)、1998年的哈姆佩尔报告(Hampel Report)以及作为公司治理委员会综合准则（Combined Code of the Committee on Corporate Governance）指南的特恩布尔报告(Turnbull Report，1999)堪称是英国公司治理和内部控制研究历史上的三大里程碑。

1992年的卡德伯利报告全称为公司治理的财务面(The Financial Aspects Of Corporate Governance)。它从财务角度研究公司治理，将内部控制置于公司治理的框架之下，认为财务风险是由于舞弊或无能而引致的可能发生的财务损失，这种风险不可避免，但内部控制系统能在防止舞弊和无能方面发挥作用。它以内部控制、财务报告质量以及公司治理之间的相互关系为前提，明确要求公司改善内部控制机制，建议董事们应就公司内部控制的有效性发表声明，外部审计师和审计委员会应对公司的内部控制声明进行复核等等。

卡德伯利报告在许多方面开创了英国公司治理历史的先河，它将内部控制作为公司治理的组成部分,明确要求建立审计委员会、实行独立董事制度，它所确认的公司治理原则一直沿用至今。

1998年的哈姆佩尔报告全面赞同卡德伯利报告将内部控制视为有效管理的重要方面的观点，鼓励董事对内部控制的各个方面进行复核以保护资产安全，加强财务管理、评估企业风险、遵守法律法规、促使舞弊风险最小。报告第52条建议从卡德伯利准则中去掉“有效性”一词，变成“董事应对内部控制系统进行报告”。应秘密向董事会成员提供内部控制报告，以建立更为有效的沟通渠道并推动最佳实务的发展。第53条建议董事应保持并复核与相关控制目标有关的所有控制，而不仅仅是财务控制。第54条建议未设立独立内部审计机构的公司，应时常考虑设立独立内部审计机构的必要性和可行性。

哈姆佩尔报告所提出的准则，将公司治理向前推进了一步，但内容缺乏新意，委员会主要由既得利益者组成，责任不够明确。

1998年的综合准则在“最佳实务准则(Best Practice Code)”中对内部控制提出了综合性和原则性的规定：“董事会应建立健全内部控制，以保护股东投资和公司资产”，“董事应至少每年对组织的内部控制进行一次复核，并向股东报告他们的复核情况。复核应涵盖所有的控制，包括：财务控制、业务控制、遵循性控制及风险管理”，“未设立内部审计制度的公司应经常考虑，是否有必要建立这种制度”。

1999年的特恩布尔报告就如何构建“健全的内部控制”提供了详细的指南。它认为董事会对公司的内部控制负责，应制定正确的内部控制政策，并寻求日常的保证，使内部控制系统有效发挥作用，还应进一步确认内部控制在风险管理方面是有效的。董事会应在谨慎、仔细地了解信息的基础上形成对内部控制是否有效的正确判断。董事会应限定对内部控制复核的范围、收到报告的频率以及年度评估的程序等等。

2.内部控制发展趋势

从1992年的卡德伯利报告到1999年的特恩布尔指南，英国理论界和实务界对内部控制的研究逐步趋于系统和完善，在此过程中，我们发现报告内部控制有效性的要求日趋减弱。

卡德伯利报告建议董事报告内部控制有效性，并要求审计师对其进行复核。那么审计师应向谁进行报告、是否应将其复核报告公开。在向社会公众提供公开报告方面，有效性要求意味着内部控制将为避免错误或舞弊提供“绝对保证”，而事实上没有一个内部控制系统能够完全避免人为错误或者蓄谋践踏，如果由于非故意原因导致错误陈述或遗漏，董事或审计师将因为其确认的有效性而承担法律责任。鲍尔(M•Power)的研究发现，当内部控制及其有效性的概念仍处于模糊状态时，董事会及审计师均不愿做出这样的声明。

哈姆佩尔报告鼓励而非要求董事就内部控制的有效性作出判断，删除了卡德伯利准则中所用的“有效性”一词。哈姆佩尔报告建议在董事会报告中明确董事在内部控制方面的责任，说明内部控制仅能为避免重大的错误或遗漏提供“合理保证”，即审计师不必向社会公众公布其对董事会报告的审查结果。这样做会在董事会与审计师之间建立更为有效的沟通管道，使得最佳实务在报告的范围和性质方面不断进步。

特恩布尔报告规定，董事会应对公司内部控制的有效性进行复核，总结进行复核所使用的程序，并在年度报告或记录中披露用于解决内部控制重大问题的方法和过程，董事会至少还应披露用于确认、评估和管理重要风险的持续性监督程序。特恩布尔报告还鼓励董事会在年报中提供额外的信息，以帮助信息使用者理解公司的风险管理程序和内部控制。由此可见，英国对有关公司内部控制的报告和披露方面的要求并未放松，但对内部控制有效性进行报告的规定却日趋减弱。

还有，美国COSO报告中也明确指出，内部控制只是一种“合理保证”，不是“绝对保证”。加拿大CICA报告中也有类似说明，可见，内部控制有效性披露要求减弱已成为内部控制发展的一个趋势。

与此同时，我们观察到内部控制与风险管理的融合越来越紧密。

卡德伯利报告对内部控制的要求主要限于财务控制。

哈姆佩尔报告开始在内部控制环境下简单提及风险管理，它认为很难将财务控制与其他控制区分开来，鼓励董事对有效经营、遵守法律法规等方面进行复核，这些已大大拓宽了内部控制的范围。

特恩布尔报告认为内部控制与风险管理是近乎等同的概念，公司经营的目标、内部控制组织和环境处于不断变化之中，其面临的风险也在不断变化，一个健全的内部控制制度依赖于对公司所面临风险性质和程度的全面、综合评价，内部控制的目的是管理和控制风险而非减少风险。不难看出，特恩布尔报告推进了内部控制定义的发展，使其从传统的内部财务控制的狭窄范围内摆脱出来，强调通过战略参与为公司创造价值，这些又标志着风险导向内部控制时代的来临。

3.对我国的启示

目前我国上市公司的内部控制实行的是强制性披露制度。2000年11月，证监会了《公开发行证券公司信息披露编报规则》，要求公开发行证券的商业银行、保险公司、证券公司建立健全内部控制制度，并在招股说明书正文中说明内部控制制度的完整性、合理性和有效性，同时，要求注册会计师对被审计者的内部控制制度及风险管理的"三性"进行评价和报告。在中国证监会2001年4月颁布的《公开发行证券的公司信息披露内容与格式准则第11号――上市公司发行新股招股说明书》中，规定“发行人应披露管理层对内部控制制度的完整性、合理性及有效性的自我评估意见，同时应披露注册会计师关于发行人内部控制评价报告的结论性意见”。而《公开发行证券的公司信息披露内容与格式准则第 1号――招股说明书》对申请首次发行股票公司也有类似的要求，2002年2月9日，中国注册会计师协会《内部控制审核指导意见》，规范注册会计师就被审核单位管理当局在特定日期对内部控制有效性的认定进行审核，并发表审核意见。

笔者认为对上市公司内部控制信息按统一内容与格式实行强制性披露，它有利于投资者了解上市公司的相关信息和投资决策。但对内部控制“有效性”进行强制性披露的要求值得商榷。如果公司或注册会计师在报告中认为上市公司的内部控制是“有效性”的，这就意味着他们做出了某种绝对的承诺和保证。实际上，内部控制所能提供的仅是“合理保证”，而非“绝对保证”，这种绝对的保证很容易将自身置于潜在的诉讼风险之中。

我国目前虽存在着重行政刑事责任轻民事责任问题，未大规模启动民事赔偿机制，但《证券法》第63条、第161条、第202条，通过对各类虚假陈述行为人规定民事赔偿责任的形式，赋予被侵权的投资人享有民事赔偿诉讼的权利。由于内部控制的涵盖范围很大，涉及财务会计、经营管理、合法合规等诸多方面，公司发起人、负有责任的董事、监事以及注册会计师均有可能因对内部控制“有效性”做出的承诺而面临诉讼，并导致巨额的赔偿。那么要求上市公司或注册会计师对内部控制的有效性进行报告的做法，就值得进一步探讨，这也是英国及美国、加拿大等国内部控制发展给我们的一个启示。

另外， 随着风险导向内部控制时代的来临，内部审计的工作重点由控制转向风险，它关注有效的风险管理机制和健全的公司治理结构，风险导向内部审计已成为现代内部审计的发展方向。

内部审计的本质是确保受托责任履行的管理控制机制。在风险导向阶段，受托责任关系以及管理控制发生了变化，与风险结合起来，使风险导向内部审计成为确保受托责任有效履行的能动的管理控制机制。

我国企业由于经营管理水平迥异，内部审计发展参差不齐，有些企业以财务审计为内部审计重点，有些则主要开展业务审计及管理审计。风险导向内部审计是一种综合的审计类型，它以企业目标及风险为出发点判断审计重点的理念显然比较符合不同企业的需求，我国各种类型企业都应该借鉴这种理念开展适合自身的内部审计活动。

风险导向内部审计已经将职能从监督和评价转变为确证和咨询。确证是根据客户的标准、要求对特定领域进行评价并提供其需要的信息，能够用于改善决策，提高其科学性。咨询则是直接作为专家顾问参与经营活动，改善客户的状况。这两个职能的变化首先体现了现代企业管理上的一个最基本的理念――满足顾客需求。我国企业内部审计人员首先要树立服务的理念，为管理层提供相关、及时的信息，并积极参与经营管理活动，以风险为出发点，帮助企业在承担适度风险的同时抓住发展的机会，成为企业关键业务的“推进器”。其次应该积极营销内部审计服务，通过宣传和培训让客户了解内部审计的增值作用，从而更加信赖和依赖内部审计服务，扩展内部审计职能。

在风险力量的作用下，公司治理的核心转向了科学决策，内部控制则扩展到了风险管理框架。风险导向内部审计除了对公司治理和现代内部控制发挥各自作用之外，还能够互相提供对方的信息反馈，促进公司治理与内部控制的协同与整合，从而实现外部受托责任与内部受托责任的统一。我国风险导向内部审计要发挥整合作用，需要大力健全提高内部审计地位的制度――审计委员会制度以及独立董事制度。

风险导向内部审计要熟悉企业战略、目标和计划，了解企业经营管理的各项职能，只有这样才能为不同层次以及不同职能部门的管理者提供他们所需要的服务。因此，内部审计人员必须具备广博的知识和多元化的技能。除此之外，处理人际关系的能力和技巧对于内部审计人员来说也是必需的，只有与被审计单位以及企业管理层和内部各个职能部门保持良好关系，才能使内部审计职能得以发挥，内部审计报告得到重视，内部审计增值目标得以实现。我国企业的内部审计人员大多来自财务会计岗位，因此在经营管理等业务方面能力有所欠缺，知识结构也不很合理，应该逐步在内部审计机构中增加非会计专业背景人员，以组成有各方面综合能力的内部审计项目组展开多种类型内部审计。另外，要注重内部审计人员的培训，可行的做法是让内部审计人员在企业内部各个不同的职能部门轮岗实习，熟悉各项具体业务流程。另外，国外内部审计机构通常会成为企业的培训基地，既能够使企业成员全面了解整个企业范围的控制和风险的有关知识，又能够保持与企业其他部门的良好人际关系，这也是值得我国企业借鉴的做法。

参考文献：

［1］刘明秋.“我国上市公司内部控制信息披露问题及改进”，证券市场导报（2002年第六期）.

［2］ Flint D. Philosophy and Principles of Auditing［M］. Macmillan Education Ltd., 1988.

［3］IRM, AIRMIC, ALARM. A Risk Management Standard［S］. 2002, 省略.

［4］安德鲁•钱伯斯等著.陈华等译.“内部审计”中国财政经济出版社，1995.

［5］陈秉正.公司整体化风险管理［M］.清华大学出版社，2003.

［6］陈汉文，夏文贤，黎代福.受托责任、信息披露与规则安排［J］.财会通讯，2003,(12).

［7］佳俊.企业战略、管理控制与业绩评价的权变分析［J］.厦门大学博士论文.

［8］陈昆玉，陈昆琼.利益相关者公司治理模式评价［M］.北京邮电大学学报(社科版)，2002,(4).

上市公司内部审计论文范文第5篇

【关键词】 内部控制评价； 内部审计； 内部控制体系

一、引言

公司内部控制体系是确定所有权与经营权之间受托经济责任履行情况的重要载体。现代经营环境中，任何公司不论其具体经营业务是什么，构建完善的内部控制系统都是衡量经营者受托责任履行情况的重要方面。内部控制系统是连接公司治理层、管理层与运营层的重要通道，如图1。公司治理层、管理层与运营层在内部控制系统中分别具有监督、建立与完善、运行内部控制系统的职责。

由于内部控制系统对保护所有权（投资者）投资积极性乃至资本市场运行的重要意义，上证所和深交所分别于2006年6月及9月公布了《上市公司内部控制指引》，明确了公司内部控制在公司治理中的地位，同时提出有条件的上市公司披露内部控制自我评价报告的要求。2008年12月财政部、审计署、证监会等五部委又联合《企业内部控制基本规范》，要求从2009年7月1日起，所有上市公司披露年报的同时要披露公司内部控制自我评价报告，该报告与年报一样需经事务所审计。虽然由于企业的实际状况，证监会将上市公司披露该报告的时间推迟，但五部委的这一规范，普遍被认为是中国版的萨班斯―奥克斯利法案。2010年4月财政部等五部委陆续颁发了实施内部控制的3个配套指引①，旨在明确指导我国内部控制具体建设。《指引》的推出与2008年《企业内部控制基本规范》的，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。这是我国首次以部门规章形式规范了上市公司的内部控制体系及其建设，它们既是企业建设内部控制的行为依据，又为企业提供了技术指引，作为行政规范与COSO报告的集成，必将深刻影响到中国内部审计的未来发展。

内部控制评价作为内部控制体系建设的重要环节，其有效开展将会大力推动上市公司内部控制体系建设。根据《2009年内部审计热点问题调查报告》，84%的受访者认为金融危机使得企业领导提高了对风险管理与内部控制的重视程度；60%的受访者认为内部审计是公司风险管理与内部控制的重要环节。不仅如此，我们认为拓展内部审计功能基础上，由内部审计引导（驱动）下的内部控制评价将成为提升公司传统内部控制自我评价促动企业内部控制建设的一种管理发展模式。

二、内部控制评价的历史演变

内部控制评价的发展与审计模式的变迁密切相关。审计模式经历了从账项基础审计到制度导向审计及至风险导向审计模式的发展阶段。从账项审计后期，审计人员就开始注意到内部控制对信息质量的影响。

（一）内部控制评价的初级发展阶段：基于注册会计师视角

进入审计模式发展的第二阶段――制度导向审计模式阶段，内部控制的测评已经提升为审计业务活动非常重要的环节之一。在财务报表审计中，以下两种情况强制要求对内部控制进行测试：在评估认定层次重大错报风险时，预期控制的运行是有效的（即在确定实质性程序的性质、时间安排和范围时，注册会计师拟信赖控制运行的有效性）；或者仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。可见，注册会计师对内部控制的了解和测试不足以对内部控制发表意见，难以满足信息使用者的需求。囿于社会发展进程的阶段性特征，不同历史阶段形成了对内部控制的不同认识②，无论测评内容如何变化，内部控制评审作为确定实质性程序中审计范围与重点、评估业务风险、提高审计效率的重要作用已得到普遍认可。

2002年为了规范注册会计师执行内部控制审核业务，保证执业质量，中注协颁发了《内部控制审核指导意见》；2006年《中国注册会计师其他鉴证业务准则第3101号――历史财务信息审计或审阅以外的鉴证业务》等规范进一步将对内部控制的审核从审计业务中独立出来，规定公司应当单独对内部控制进行单独鉴证。

从注册会计师角度看，审计执业活动中对被审计单位内部控制的关注度在不断加深。内部控制从审计的有机组成部分到单独接受审核以至独立的内部控制鉴证报告，实质上是一个不断接受外部全面与深度评价的发展过程。

（二）内部控制评价的初级发展阶段：基于公司内部的自我评价

从公司内部看，对内部控制的自我评价于1987年由加拿大海湾公司首次提出。当时主要用于解决资源计量问题和评价公司软环境。20世纪90年代在早期倡导者的提议下，主要进行谈判和协议方面的控制。1995年之后得到更多公司的接受，公司普遍将控制自我评估（CSA）视为价值增值工具。2000年CSA被创造性地应用于审计业务进行审计再造，由此推动内部审计职能重点转向评价咨询（杨淑娥，2006）。

内部控制自我评价是一种在西方发达国家广泛使用的内部审计技术和工具（陈峰青，2006），它是由管理层或业务人员直接参与的考察和评价内部控制效果的过程（孙蔓莉，2007；陈峰青，2006）。也有学者认为内部控制自我评价是对传统的内部审计形式的一种补充和发展，是广义的内部审计理论中的一种技术方法（韩晓梅，2008）。我国《内部审计具体准则第21号――内部审计的控制自我评估法》（2006）中也将内部控制自我评价界定为内部审计人员为了提高审计效率、促进内部控制审计目的的实现而协助公司内部控制审查和评价的一种工作方法。

由此可见，20世纪90年代以来公司内部控制自我评价作为内部审计的一项技术手段或工作方法一直运用至今。只是2010年内部控制配套指引第一次明确提出被审计单位要单独披露内部控制评价报告，并接受事务所审计。并将公司内部控制评价活动规范化、透明化。

所以，从发展的角度看，公司内外部力量通过不同的评价形式都对其内部控制的建设起到了推动作用，奠定了公司内部控制评价活动充分披露并能接受审计的基础。

三、内部控制评价主体分析

根据配套指引的规定，内部控制评价的对象是确定的，即公司内部控制系统设计与运行的有效性。具体内容涵盖内部控制系统五要素。内部控制评价的主体规定为公司董事会或类似权力机构，但目前已有研究观点各异――有的是管理层或业务人员主导评价，也有的是内部审计人员主导评价，还可能是双主体或多主体共同主导评价。这些研究结论与指引的规定明显不一，如何合理地界定评价主体将在很大程度上影响评价活动实效，因此需要从理论上分析确定内部控制评价的实施主体。

安达信公司研究人员的研究报告曾指出CSA执行中存在五大缺陷，其中引导人员失当、缺乏管理人员支持、限定其实施范围等是自我评价失控的主要影响因素。所以选择合适的引导人员成为实施CSA成功的关键因素。

（一）内部控制评价执行主体的不同观点

对于谁来引导内部控制自我评价，目前有三种不同看法，有些参与者认为CSA只能由经营管理当局或其领导的工作小组来有效执行（林朝华、唐予华，2003）。还有一些参与者认为，CSA应该包含内部审计，视内部审计为CSA的恰当驱动者（林朝华、唐予华，2003）；第三种观点认为，内部审计应当持续监控并参与CSA，使内外部审计和CSA在内控评价方面形成合力（刘素珍，2008；陈吉东，2007）；或使企业员工、内部审计人员和管理人员共同承担对内部控制评价的责任（陈新宁，2008）。还有将内部控制评价主体系统化，提出应由公司内部审计、管理者与员工、公司内部监事会、审计委员会、社会中介组织与政府监管部门共同完成CSA（陈力生，2008）。

笔者认为界定合理的执行主体首先应该考虑主体的功能定位，即执行主体本身能做什么、不能做什么，符合其内在规律的业务设定将促进执行业务的有效开展，否则只能适得其反。通过对上述观点的单一主体、双主体或多主体的讨论发现：

1.CSA只能由经营管理当局或其领导的工作小组来有效执行的观点，违背了管理监控原则中强调的外部监督有效性原则。赋予管理者与员工业务操作职权的同时，暗含着要求其进行自我监督履行职责，但效果如何，显然需要另外主体确认。

2.内部审计应当持续监控并参与CSA，意味着内部审计在控制自我评价中充当局外人角色，完全履行再确认监督职责。这样的定位：第一，易于把内部审计与自我评价部门人员对立起来，产生抵触情趣，收不到推进完善内部控制的设定作用；第二，内部审计是否有能力与精力、是否考虑审计成本问题？

3.另外有人提出CSA不应该排除内部审计，而应当将内部审计视为CSA的恰当驱动者的观点是否合理呢？根据评价指引的规定，内部控制评价是由董事会或类似权力机构执行……笔者的分析是董事会作为公司的治理决策机构，公司法规定其职权包括：如履行评价职能，只能附其责于审计委员会，由审计委员会组建内部控制评价工作组或直接授权于内部审计部门执行内部控制评价。从实施主体角度分析，笔者认为内部控制评价大体分为三个层次：第一层次由内部审计部门与人员引导（驱动）、不同部门管理人员与员工参与对本部门的控制要素进行全方位评价基础上，内部审计进行再确认与咨询，提交内部控制自我评价报告；第二层次由公司监事会或审计委员会对公司内部控制自我评价进行定期或不定期的监督；第三层次由会计师事务所及注册会计师鉴证或审计内部审计部门出具的公司内部控制评价报告，向社会公众披露评价报告意见。

四、现代内部审计功能拓展分析

前文已经指出内部控制自我评价是企业内部控制体系建设的重要环节，而由内部审计人员引导（驱动）的内部控制自我评价既是现代内部审计功能发挥作用的内在体现，又满足了公司提供内部控制自我评价报告的制度要求，可以看出现代内部审计已经实现了与内部控制自我评价的机制性耦合。

（一）现代内部审计功能拓展：再确认与咨询

内部审计功能是指内部审计在特定条件下功用、效能和作用的总称。内部审计发展初期，其职能主要是经济监督。随着审计范围的扩展，内部审计开始关注企业的整体业务活动，经济评价职能逐渐成为其主要职能。现代管理科学的发展、内部控制理论的发展、特别是21世纪风险管理理论的发展与成熟，促使内部审计关注的层面提高到企业整体的角度，检验和审查企业的各项治理、管理活动是否有效，防范企业风险，提高企业效益，增加企业价值成为新世纪内部审计发展方向。这时的内部审计能为治理层、高层经营管理者、甚至具体业务的执行者提供其内部控制与经营风险控制的再确认信息及建议，现代内部审计功能拓展，体现出一种内向增值型的服务意识。

1999年6月国际内部审计师协会理事会通过了内部审计新定义，指出内部审计是一种独立、客观的确认和咨询活动，旨在为增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改进风险管理、控制和治理过程的效果，帮助组织实现其目标。《中国内部审计2006――2010年工作规划》也指出“推进内部审计工作的全面转型与发展，内部审计要转向以内部控制和风险评估为导向”。经过调研与分析，笔者认为现代内部审计的服务职能主要是再确认与咨询。

1.现代内部审计的再确认职能

现代内部审计的再确认职能是由传统的评价职能发展而来的，它关注的是对企业的风险管理、内部控制及公司治理有效性等方面的再确认。对企业的风险管理、内部控制及公司治理有效性等方面的确认是各项治理、管理职能发挥作用的内在步骤，蕴含在治理与管理运行实践活动中，是治理与管理主体的业务职责。内部审计作为一种监督控制工具，其职能是引导管理控制与实施主体对其内部控制及蕴含风险的再确认。

内部审计首先再确认企业整体目标或某个项目所要达到的目标是否合适，然后具体分析在目标实现过程中产生影响的风险因素，并再确认防范和化解风险的控制措施，最后来测试这些控制措施是否有效，对高风险领域给予特别关注，并将再确认信息提供给治理层和管理者，以便他们进行必要的战略调整，从而帮助企业提高经营效率和实现目标。而风险再确认过程就是对风险所在领域内部控制有效性的再确认。国际内部审计师协会（IIA）在其的《内部审计实务框架标准》“工作标准2130――治理”中论述了内部审计在治理方面的工作性质，指出内部审计活动应该确认组织的治理效果，为组织的治理作出贡献。

现代内部审计再确认职能的界定，为内部审计引导控制自我评价奠定了基础。

2.现代内部审计的咨询服务职能

现代内部审计的另一个突出特征就是服务内向性，这种服务内向性是与其咨询职能密切相关的。内部审计提供的咨询服务是由再确认职能拓展而来。内部审计人员在再确认工作过程中能获取许多有价值的资料和信息，经过加工提炼和综合分析，便可以向审计对象或信息需求者提供咨询服务，增加现代内部审计的现实价值。在引导内部控制自我评估活动中，内部审计应当对内部控制体系和过程进行全面的再确认和咨询，借助对内部控制进行有效测试、遵循性确认、协助管理层完善内控体系设计、推动组织开展控制自我评价（魏欣，2008），为组织增加较大价值。

（二）现代内部审计的拓展职能与内部控制评价关系

内部审计从其评价职能的确立拓展到再确认与咨询职能，一直与内部控制建设紧密相关。内部控制评价作为控制系统建设的重要环节，在推动公司内部控制建立、运行及控制风险发挥效能方面作用巨大。内部审计作为内部控制要素之一，本身就是内部控制系统的重要环节。而其发挥监督职能时借助控制评价这种工作方法，实现了与控制自我评估的完全融合。所以内部审计开展内部控制评价具有客观合理性。

现代内部审计具有再确认与咨询职能。再确认意味着内部审计通过对内部控制各环节的检查评价再确认不同控制环节的有效性。针对控制再确认的薄弱环节，提出完善建议。内部控制评价是员工与管理者对自身业务环节的内部控制进行检查，确认控制环节的有效性。根据有效监督管理理论，内在自身监督至少需要与外部监督协同运作才可能发挥积极有效的监督作用。由于内部审计相对于业务运行环节的独立性，其引导控制评价比员工自我评价更加恰当与有效。

内部控制评价在我国一些大型企业已经得到广泛实施。其中宝钢国际、伊利、台湾等公司的运用实践说明了内部审计主导内部控制评价具有现实意义。宝钢国际在实施CSA之后提出“内部控制评估在国内大型企业，特别是跨行业的集团公司有着广阔的发展空间。内部控制自我评估作为一种管理工具，在内部审计人员的引导下，在公司有关管理人员的参与下，能有效地对公司的内部控制进行整改和完善，促进公司管理水平质的飞跃。”（张谏忠、吴轶伦，2005）从我国企业实践来看，有的公司内部审计参与控制评价，有的公司内部审计引导控制自我评价，但不论哪种方式，内部审计都已经与内部控制评价有机结合在一起，共同发挥着加强公司内部控制建设的积极作用。

五、结论与建议

内部控制评价是公司内部控制系统建设的重要保证环节。它的有效开展将促进上市公司内部控制体系的建设与完善，从而对公司治理带来积极影响。同时内部审计在IIA的质量保证检查手册中被定位为一种公司治理的内部保证程序，“通过它，组织可获得关于动态变化环境中的风险暴露已得到恰当管理的再确认的过程”。这意味着，内部审计不是仅仅通过再确认提供保证；不能提供保证的地方，内审人员致力于咨询改进（韩晓梅，2004）。当内部审计作为执行者实施内部控制评价时，内部审计人员对公司内部控制系统的再确认与咨询功能就得到最佳发展。因此内部审计就是通过执行内部控制评价，再确认公司内部控制机制（包括风险管理机制）的恰当性并提出咨询建议的那部分公司治理程序。由于现代内部审计的重要作用，笔者提出：

（一）修订内部审计准则，完善内部控制建设规范体系

我国《内部审计具体准则第21号――内部审计的控制自我评估法》（2006）中将内部控制自我评价界定为“内部审计人员为了提高审计效率、促进内部控制审计目的的实现而协助公司内部控制审查和评价的一种工作方法”。这样的概念界定显然与内部审计驱动内部控制自我评价模式不适应。笔者主张在建立与完善内部控制体系过程中，修订内部审计准则，将内部审计协助公司内部控制审查与评价修改为“由内部审计引导内部控制自我评价“，明确控制自我评价的实施主体是内部审计部门，排除实施过程中盲目确定主体引发的控制自我评价风险。

同时对内部审计开展内部控制自我评价中的功能定位、协作形式与工作方法作出准则性规范，指导公司这项法定业务的规范开展。最终形成由《内部控制基本规范》、《内部控制应用指引》、《内部控制评价指引》、《内部控制审计指引》、《内部审计准则》以及公司内部控制评价办法等规章制度组成的内部控制建设标准体系，推动公司内部控制法规体系与实施体系的建设。

（二）拓展内部审计职能，合理定位内部审计

根据国际内部审计师协会理事会通过的“内部审计是一种独立、客观的确认和咨询活动，旨在为增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改进风险管理、控制和治理过程的效果，帮助组织实现其目标”，定义揭示了现代内部审计具有再确认与咨询职能，这两项职能的清晰界定将直接引发内部审计在公司组织机构中的地位变化。

内部审计履行对公司治理、管理活动中内部控制与风险管理的再确认与咨询职能，意味着它已经超越管理层的局限，部门设置上至少要在董事会或监事会领导下开展内部审计业务。在此基础上，根据管理监控原则，引导或驱动不同部门管理人员与员工进行内部控制评价，推动内部控制评价取得实效，促进财政部《企业内部控制基本规范》中提交内部控制自我评价报告条款及其他相关法规的有效执行。

【参考文献】

［1］ 王桂莲.基于现代系统思考的企业内部控制创新研究［J］.会计之友，2009（3）.

［2］ 张龙平，李璐.探析内部控制审计的执行主体资格和范围［J］.中国审计，2009（1）.

［3］ 李岩.内部控制评价面临的问题与对策［J］.中国审计，2009（1）.

［4］ 孙蔓莉，杨明.控制自我评估［J］.企业管理，2007（5）.

［5］ 陈峰青.内部控制自我评估――CSA的应用及思考［J］.商业会计，2006（8）.

［6］ 杨淑娥，戴耀华，樊明武.CSA：一个内部控制发展的前沿［J］.当代财经，2006（3）.

［7］ 张谏忠，吴轶伦.内部控制自我评估在宝钢的运用［J］.会计研究，2005（2）.

［8］ 杨有红.试论公司治理与内部控制的对接［J］.会计研究，2004（10）.

［9］ 韩晓梅.公司治理、内部审计与控制自我评估［J］.现代管理科学，2004（5）.

［10］ 刘益平.内部控制与现代审计的关系［J］.审计与经济研究，2004（3）.

［11］ 朱荣恩.内部控制框架的新发展［J］.审计研究，2003（6）.

［12］ 林朝华，唐予华.CSA：内部控制系统评价的新观念与新方法［J］.上海会计，2003（1）.

［13］ 曹伟，桂友泉.内部审计与内部控制［J］.审计研究，2002（1）.

［14］ 刘明辉，张宜霞.企业内部控制探讨［J］.中国注册会计师，2001（4）.

［15］ 朱荣恩.建立和完善内部控制的思考［J］.会计研究，2001（1）.

［16］ Foh，Noreen.Control Self-Assessment:A New Approach to Auditing Ivey Business Journal,Sep/Oct ，2000（65）.

［17］ Larry Hubbard.“Control Self Assessment: A Practical Guide”，The Institute of Internal Auditors，2000.

［18］ The Institute of Internal Auditors.a Perspective on Control Self-Assessment，1998.

赵丽芳教授简介