内部控制审计与内部控制评价之间的关系与区别

　　内部控制审计与内部控制评价、财务报表审计中的内部控制评审等工作既有密切联系，又有本质区别。下面跟着一起来探讨内部控制审计与内部控制评价之间的关系与区别。

　　内部控制审计与内部控制评价之间的关系

　　1.评价对象相同。内部控制评价与内部控制审计都是对企业内部控制的有效性进行评价，只不过两者对于内部控制的范围各自有所侧重。这两种评价必然存在内在的关联性，所以往往也依赖同样的证据，遵循类似的测试方法并使用同一基准日。

　　2.内部控制评价滋生了内部控制审计工作。对于执行内部控制基本规范的上市公司或其他中小企业，按照《内部控制基本规范》及配套指引的要求，企业内部控制必须委托会计师事务所开展内部控制审计，内部控制评价报告与内部控制审计报告同时对外披露或报送。由此，内部控制自我评价报告催生了内部控制审计的产生。

　　3.内控审计的实施过程中可以适当利用企业内控自评工作。内部控制审计执行审计工作时，注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部控制评价相关的工作以及可利用的程度，相应减少可能本应由注册会计师执行的工作。

　　综上所述，内部控制审计和内部控制评价既有本质的区别又有相应的联系。需要强调的是，注册会计师虽然可以利用企业内部控制评价所形成的结论，但需对其本身发表的审计意见独立承担责任，该责任不因企业内部控制评价人员和其他相关人员的工作而减轻。

　　内部控制审计与内部控制评价之间的区别

　　1.范围不同。内部控制审计以财务报告内部控制为主。内部控制审计的范围，直接决定着审计的质量、成本和责任，决定着审计的可行性。为了遏制内部控制的各种可能的缺陷滋生，为财务报表使用者提供尽可能多的相关信息，促进被审计单位全面加强内部控制建设，内部控制审计应当以整个内部控制为审计范围。但是，以整个内部控制作为内部控制审计的范围，既不明确，也不好把握，容易产生审计风险，审计的可行性会有问题。所以，目前内部控制审计只能突出重点，重点解决内部控制弱化可能产生输出虚假财务信息的问题，内部控制审计范围应当限于与财务报告有关的内部控制(杨瑞平，2010)。

　　按照《企业内部控制评价指引》，内部控制评价围绕控制环境、风险评估、控制活动、信息与沟通、内部监督等控制要素确定内部控制评价的具体内容，建立内部控制评价的核心指标体系，对内部控制设计与运行情况进行全面评价。

　　2.性质不同。内部控制审计是企业外部对企业的内部控制审计，是会计师事务所对企业内部控制的有效性进行的审计，是一种独立的鉴证业务。内部控制评价是企业内部管理层对企业的内部控制评价，通常情况，授权内部审计机构对企业内部控制进行评价，是一种相对独立的服务业务。

　　3.目的不同。内部控制审计目标是对被审计单位内部控制自我评估报告的真实性和合法性发表审计意见，为内部控制自评报告的真实性和合法性提供合理保证。内部控制评价是管理层通过内部控制自我评估报告对企业内部控制进行的一种自我评价，一方面，在评价的过程中可以发现企业内部控制缺陷，及时改善企业内部控制情况，进而提高企业经济效益;另一方面，投资者、社会公众等企业利益相关者根据内部控制评价报告可以了解企业内部控制水平，评估企业抗风险能力和持续经营能力，从而为投资决策和正确行使相关权利提供资料依据。

　　4.责任主体不同。《企业内部控制审计指引》规定建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任。按照该指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见，是注册会计师的责任。企业内部控制责任是由企业承担的，而内部控制审计责任是由注册会计师承担的。两种责任的分离决定了企业和注册会计师在分别实施内控自评和内控审计时必须按照不同的规则独立完成，两者之间不能够相互替代和免除。

　　5.评价依据不同。内部审计评价依据《企业内部控制评价指引》进行评价，而内部控制审计依据《企业内部控制审计指引》进行审计。

　　内部控制审计的具体目标

　　内部控制审计的目标是检查并评价内部控制的合法性、充分性、有效性及适宜性。内部控制的合法性、充分性、有效性及适宜性，具体表现为其能够保障资产、资金的安全，即保障资产、资金的存在、完整、为我所有、金额正确、处于增值状态。所以，我们可以将内部控制审计的具体目标概括为：检查并评价内部控制能否确保资产、资金的安全，即检查并评价内部控制能否保障资产、资金的存在、完整、为我所有、金额正确、处于增值状态。

　　内部控制审计目标与财务报表审计目标。内部控制审计的前四个目标实际就是财务报表审计的具体目标。企业管理层向外提供一张资产负债表，表上反映有多少资产，其明示或暗示了这样几个声明：资产负债表上反映的资产是存在的、是完整的、是属于自身的、金额是正确的。相应地，外部财务报表审计的具体目标也就是鉴证企业管理层的这些声明是否属实。

　　那么内部控制审计与财务报表审计在具体审计目标上有什么不同呢?归纳为两点：

　　1、财务报表审计直接评价的是财务报表，或者说直接评价资产、资金本身的安全状态，其目标对象是资产、资产本身，而内部控制审计直接评价的是内部控制能否保障资产、资金的安全，其目标对象是内部控制，而资产、资金只是作为中间的观察对象而存在。

　　2、财务报表审计主要评价财务报表所反映的存量资产、资金的“静的安全”，一般不评价资产、资金的“动的安全”，即不评价资产、资金在流转中的增值性;而由于内部控制既要保障资产、资金静的安全，又要保障其动的安全，所以内部控制审计既检查资产、资金的“静的安全”，又检查资产、资金的“动的安全”。

　　内部控制审计的程序

　　1、了解企业的内部控制情况，并做出相应的记录。这是内部控制制度审计的第一步，其主要目的是通过一定手段，了解被审计单位已经建立的内部控制制度及执行的情况，并做出记录、描述。

　　2、初步评价内部控制的健全性。确认内部控制风险，确定内部控制是否可依赖。在对控制环境、控制程序和会计系统进行调查了解，对被审计单位内部控制有了一个初步的认识的基础上，应对内部控制风险和内部控制的可依赖程度做出初步评价。

　　3、实施符合性测试程序，证实有关内部控制的设计和执行的效果。通过对内部控制进行初步评价，可基本掌握被审计单位内部控制的强弱环节，为进行符合性测试确定一个前提。

　　4、评价内部控制的强弱，评价控制风险，确定在内部控制薄弱的领域扩展审计程序，制定实质性审计方案。

　　内部控制评价的程序

　　内部控制评价程序一般包括：制定评价控制方案、组成评价工作组、实施评价工作与测试、认定控制缺陷、汇总评价结果及编报评价报告等环节。

　　1.制定评价控制方案

　　企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作。这实际上就为内部控制评价工作的开展设置了专门的职能机构。

　　2.组成评价工作组

　　在设置内部控制评价机构的基础上，还要求企业成立专门的评价工作组，接受内部控制评价机构的领导，具体承担内部控制检查评价的任务。评价工作组成员应具备独立性、业务胜任能力和职业道德素养及吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。

　　对于拥有内部审计部门的企业来说，内审部门很大可能也同样地担当内部控制评价组的工作。如果企业决定利用外聘会计师事务所为其提供内部控制评价服务，根据《基本规范》的要求，该事务所不应同时为企业提供内部控制的审计服务。

　　3.实施评价工作与测试

　　评价工作组需通过了解企业公司层面基本情况、各业务层面的主要流程、识别有关主要风险后，才能开展实施及测试设计和运行有效性的内部控制工作。

　　4.认定内部控制缺陷

　　(1)内部控制缺陷的分类

　　①按照内部控制缺陷的本质分类：内部控制缺陷分为设计缺陷和运行缺陷。

　　1)设计缺陷是指企业缺少为实现控制目标所必需的控制，或者现有控制设计不适当，即使正常运行也难以实现控制目标。

　　2)运行缺陷是指设计合理及有效的内部控制，但没有按设计意图运行，或者执行人员缺乏必要授权或专业胜任能力，无法有效实施控制。

　　②按照内部控制缺陷的严重程度分类：内部控制缺陷分为重大缺陷、重要缺陷和一般缺陷。

　　1)重大缺陷(也称实质性漏洞)，是指一个或多个控制缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。

　　2)重要缺陷，是指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，但仍有可能导致企业偏离控制目标。具体就是内部控制中存在的、其严重程度不如重大缺陷、但足以引起内部控制评价组关注的一个或多个控制缺陷的组合。

　　3)一般缺陷，是指除重大缺陷、重要缺陷之外的其他缺陷。

　　下列迹象可能表明企业的内部控制存在重大缺陷：内部控制评价机构发现董事、监事和高级管理人员舞弊;发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报;企业审计委员会和内部审计机构对内部控制的监督无效。

　　(2)内部控制缺陷的认定程序与整改

　　对于重大缺陷和重要缺陷的整改方案，应向董事会(审计委员会)、监事会或经理层报告并审定。如果出现不适合向经理层报告的情形，例如存在与管理层舞弊相关的内部控制缺陷，内部控制评价组应当直接向董事会(审计委员会)、监事会报告。重要缺陷并不影响企业内部控制的整体有效性，但是应当引起董事会和管理层的重视。对于一般缺陷，可以向企业管理层报告，并视情况考虑是否需要向董事会(审计委员会)、监事会报告。

　　5.汇总评价结果

　　6.编报内部控制评价报告

　　《企业内部控制评价指引》要求，内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门，即企业董事会或类似权力机构应当对内部控制评价报告的真实性负责。

　　企业应当以12月31日作为年度内部控制评价报告的基准日，并于基准日后4个月内报出内部控制评价报告。对于基准日至内部控制评价报告发出日之间发生的影响内部控制有效性的因素，企业应当根据其性质和影响程度对评价结论进行相应调整。《企业内部控制应用指引》和《企业内部控制评价指引》只要求企业对控制缺陷尤其是重大缺陷作出说明，不涉及企业内部其他保密信息。

　　《企业内部控制评价指引》专门对内部控制评价报告进行了规范，要求企业在评价报告中至少披露以下内容：

　　(1)董事会对内部控制报告真实性的声明，实质就是董事会全体成员对内部控制有效性负责;

　　(2)内部控制评价工作的总体情况，即概要说明;

　　(3)内部控制评价的依据，一般指《企业内部控制基本规范》、《企业内部控制评价指引》及企业在此基础上制定的评价办法;

　　(4)内部控制评价的范围，描述内部控制评价所涵盖的被评价单位，以及纳入评价范围的业务事项;

　　(5)内部控制评价的程序和方法;

　　(6)内部控制缺陷及其认定情况，主要描述适用本企业的内部控制缺陷具体认定标准，并声明与以前年度保持一致，同时，根据内部控制缺陷认定标准，确定评价期末存在的重大缺陷、重要缺陷和一般缺陷;

　　(7)内部控制缺陷的整改情况及重大缺陷拟采取的整改措施;

　　(8)内部控制有效性的结论，对不存在重大缺陷的情形，出具评价期末内部控制有效结论，对存在重大缺陷的情形，不得作出内部控制有效的结论，并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度。

　　内部控制评价的原则

　　企业实施内部控制评价至少应当遵循下列原则：

　　(一)全面性原则。评价工作应当包括内部控制的设计与运行，涵盖企业及其所属单位的各种业务和事项。

　　(二)重要性原则。评价工作应当在全面评价的基础上，关注重要业务单位，重大业务事项和高风险领域。

　　(三)客观性原则。评价工作应当准确地揭示经营管理的风险状况，如实反映内部控制设计与运行的有效性。

---