【摘要】内部审计作为企业内控控制系统监督要素发挥作用的实践方式，是推动企业内部控制体系建设和完善，提升治理水平的重要机制。内部审计的鉴证和咨询功能奠定了内部审计主导与执行内部控制评价的客观基础。内部审计通过驱动管理人员与员工开展内部控制评价与自我评价，进而实现推进单位内控建设的管理目标。内部审计主导内部控制评价地位和确立赋予其定期提出内部控制评价报告。

　　一、引言

　　2006年6月和9月，上交所和深交所分别公布了《上市公司内部控制指引》，明确了公司内部控制在公司治理中的地位，同时提出有条件的上市公司披露内部控制自我评价报告的要求。2008年12月财政部、审计署、证监会等五部委联合发布《企业内部控制基本规范》，要求从2009年7月1日起，所有上市公司披露年报的同时要披露公司内部控制自我评价报告，该报告与年报一样需经事务所审计。五部委的这一规范，普遍被认为是中国版的萨班斯-奥克斯利法案。

　　2010年4月财政部等五部委陆续颁布了实施内部控制的3个配套指引，旨在明确指导我国内部控制具体建设。《指引》和《企业内部控制基本规范》发布是我国首次以部门规章形式规范了上市公司内部控制体系及其建设，它既是企业建设内部控制的行为依据，又为企业提供了技术指引，作为行政规范与COSO报告的集成，必将深刻影响到中国内部审计的未来发展。

　　二、内部控制评价的历史演变

　　内部控制评价的发展与审计模式的变迁密切相关。审计模式经历了从账项基础审计到制度导向审计及风险导向审计模式的发展阶段。从账项审计后期，审计人员就开始关注到内部控制对信息质量的影响。内部控制从审计的有机组成部分到单独接受审核以至发布独立的内部控制鉴证报告，实质上是一个不断接受外部全面与深度评价的发展过程。

　　(一)基于审计的视角：内部控制评价的初级发展阶段

　　进入审计模式发展的第二阶段——制度导向审计模式阶段，内部控制的测试已经提升为审计业务活动非常重要的环节之一。在财务报表审计中，以下两种情况强制要求对内部控制进行测试：在评估认定层次重大错报风险时，预期控制的运行的有效的(即仔确定实质性程序的性质、时间安排和范围时，审计拟信赖控制运动的有效性);或者仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。可见，审计对内部控制的了解和测试不足以对内部控制发表意见，难以满足信息使用者的需求。随着社会发展进程的阶段性特征的转变，不同历史阶段形成对内部控制的不同认识。无论测试内容如何变化，内部控制评审作为确定实质性程序中审计范围与重点、评估业务风险、提高审计效率的重要作用已得到普遍认可。

　　2002年为了规范审计执行内部控制审核业务，保证执业质量，中注协颁发了《内部控制审核指导意见》;2006年《中国注册会计师其他鉴证业务准则第3101号——历史财务信息审计或审阅以外的鉴证业务》等规范进一步将对内部控制的审核从审计业务中独立出来，规定公司应当单独对内部控制进行单独鉴证。

　　从审计角度来看，审计活动中对被审计单位内部控制的关注度在不断加深。内部控制从审计的有机组成部分到单独接受审核以至发布独立的内部控制鉴证报告，实质上是一个不断接受外部全面与深度评价的发展过程。

　　(二)基于公司内部的自我评价：内部控制评价的初级发展阶段：

　　从公司内部看，最初的内部控制自我评价是在1987年加拿大海湾公司首次提出。当时主要解决资源计量问题和评价公司软环境。20世纪90年代在早期倡导者的提议下，主要进行谈判和协议方面的控制。1995年之后得到更多公司的接受，公司普遍将控制自我评价(CSA)视为价值增值工具。2000年CSA被创造性地应用于审计业务进行审计再造，由此推动了内部审计职能重点转向评价咨询。

　　内部控制自我评价是一种在西方发达国家广泛使用的内部审计技术和工具，它是由管理层或业务人员直接参与的考察和评价内部控制效果的过程，也是对传统内部审计形式的一种补充和发展，是广义的内部审计理论中一种技术方法。我国《内部审计具体准则第21号——内部审计的控制自我评估法》中也将内部控制自我评价界定为内部审计人员为了提高审计效率、促进内部控制审计目的的实现而协助公司内控控制审查和评价的一种方法。

　　由此可见，20世纪90年代以来公司内部控制自我评价作为内部审计的一项技术手段或工作方法一直运用至今。只是在2010年内部控制配套指引第一次明确提出被审计单位要单独披露内部控制评价报告，并将公司内部控制评价活动规范化、透明化。

　　所以，从发展的角度看，公司内外部力量通过不同的评价形式都对其内部控制的建设起到了推动作用，奠定了公司内部控制评价活动充分披露并能接受审计的基础。

　　三、现代内部审计功能拓展分析

　　内部控制自我评价是企业内部控制体系建设的重要环节，而由内部审计人员引导驱动的内部控制自我评价既是现代内部审计功能发挥作用的内在体现，又满足了公司提供内部控制自我评价报告的制度要求，可以看到现代内部审计已经实现了与内部控制自我评价的机制性结合。

　　内部审计功能是指内部审计在特定条件下功用、效能和作用的总称。内部审计发展初期，其职能主要是经济监督。随着审计范围的扩展，内部审计开始关注公司的整体业务活动，经济评价职能逐步成为其主要职能。现代管理科学的发展、内部控制理论的发展、特别是21世纪风险管理理论的发展与成熟，促使内部审计关注的层面提高到公司效益，增加企业价值成为新世纪内部审计发展方向。这时的内部审计能为治理层、高级经营管理者、甚至具体业务的执行者提供其内部控制与经营风险控制的再确认信息和建议，现代内部审计功能拓展，体现出一种内向增值型的服务意识。

　　1999年国际内部审计协会理事会通过了内部审计新定义，指出内部审计是一种独立、客观的确认和咨询活动，旨在为增加价值和改善组织运营。它通过应用系统的、规范的方法，评价并改进风险管理、控制和治理过程的效果，帮助组织实现其目标。内部审计正式转向内部控制和风险评估为导向，衍生出了再确认和咨询的职能。

　　(一)现代内部审计功能拓展：再确认

　　现代内部审计的再确认职能是由传统的评价职能发展而来的，它关注的是企业的风险管理，内部控制及公司治理有效性等方面的再确认。对企业的风险管理、内部控制及公司治理有效性等方面的确认是各项治理、管理职能发挥作用的内在步骤，蕴含在治理与管理运行实践活动中，是治理与管理主体的业务职能。内部审计作为一种监督控制工具，在职能是引导管理控制与实施主体对其内部控制及蕴含风险的再确认。

　　内部审计首先再确认企业整体目标或某个项目所要达到的目标是否合适，然后具体分析在目标实现过程中产生影响的风险因素，并再确认防范和化解风险的控制措施，最后来测试这些控制措施是否有效，对高风险领域给予特别关注，并将再确认信息提供给治理层和管理者，以便他们进行必要的战略调整，从而帮助企业提高经营效率和实现目标，而风险再确认过程就是对风险所在领域内部控制有效性的再确认。国际内部审计师协会(IIA)在其发布的《内部审计实务框架标准》“工作标准2130——治理”中论述了内部审计在治理方面的工作性质，指出内部审计活动应该确认组织的治理效果，为组织的治理做出贡献。现代内部审计再确认职能的界定，为内部审计引导控制自我评价奠定了基础。

　　(二)现代内部审计功能拓展：咨询服务

　　现代内部审计的另一个突出特征就是服务内向性，这种服务内向性是与其咨询职能密切相关的。内部审计提供的咨询服务是由再确认职能拓展而来的。内部审计人员在再确认工作过程中能获取许多有价值的资料和信息，经过加工提炼和综合分析，便可以向审计对象提供咨询服务，增加现代内部审计的现实价值。在引导内部控制自我评价活动中，内部审计应当对内部控制体系和过程进行全面的再确认和咨询，借助对内部控制进行有效测试，遵循性确认。协助管理层完善内控体系设计、推动组织开展控制自我评价，为组织增加价值。

　　四、内部控制评价主体分析

　　对于由谁来引导内部控制自我评价，这直接影响内部控制的执行效率和效果，一直是内部审计的研究热点。目前有三种不同看法，一是内部控制自我评价(CSA)只能由经营管理当局或其领导人员来有效执行，二是把内部控制自我评价(CSA)包含在内部审计中，视内部审计为内部控制的驱动者，三是内部审计应当持续监控并参与到内部控制自我评价(CSA)，使内外部审计和内部控制自我评价在内控评价方面形成合力。

　　笔者认为界定合理的执行主体首先应该考虑主体的功能定位，即执行主体本身能做什么、不能做什么、符合其内在规律的业务设定将促进执行业务的有效开展，上述观点的单一主体、双主体、多个主体的讨论发现：

　　1.内部控制评价只能由经营管理当局或其领导人员来有效执行的观点，违背了管理监控原则中强调的外部监督有效性原则。赋予管理者与员工业务操作职权的同时，暗含了要求其进行自我监督履行职责，但效果如何，应由另外主体确认。

　　2.内部审计应当持续监控并参与内部控制自我评价，意味着内部审计在控制自我评价中充当局外人的角色，完全履行再确认监督职能。这样的定位：第一，易于把内部审计和自我评价部门人员对立起来，产生抵触情绪，收不到推进完善内部控制的设定作用;第二，内部审计是否有能力与时间，是否考虑审计的成本问题。

　　3.把内部控制自我评价作为内部审计的部分，将内部审计视为内部控制自我评价的恰当驱动者。主要从三个层次来进行内部控制评价：第一层次内部审计部门与人员驱动、不同部门管理人员与员工参与对本部门的控制要素进行全方位评价基础上，内部审计进行再确认和咨询，提交内部控制自我评价报告;第二层次由公司监事会或审计委员会对公司内部控制自我评价进行定期或不定期监督;第三层次由外部审计与内部审计协同出具公司的内部控制评价报告。从这三个层次不但能让内部控制自我评价层层深入，而且在内部审计的监督下推进内部控制的自我完善。

　　五、内部审计与内部控制的关系

　　内部审计从其评价职能的确立拓展到再确认与咨询职能，一直与内部控制建设紧密相关。内部控制评价作为控制系统建设的重要环节，在推动内部控制建设、运行及控制风险发挥效能方面作用巨大。内部审计作为内部控制要素之一，本身就是内部控制系统的重要环节。而其发挥监督职能是借助控制评价这种工作方法，实现了控制自我评价的完全融合。所以内部审计开展内部控制评价具有客观合理性。

　　现代内部审计具有再确认与咨询职能。再确认意味着内部审计通过对内部控制各环节的检查评价再确认不同控制环节的有效性。针对控制再确认的薄弱环节，提出完善建议。内部控制评价是员工与管理层对自身业务环节的内部控制进行检查，确认控制环节的有效性。根据有效监督管理理论，内在自身监督至少需要与外部监督协同运作才可能发挥积极有效的监督作用。由于内部审计相对于业务运行环节的独立性，其引导控制评价比员工自我评价更加恰当与有效。

　　内部控制评价在我国一些大型企业已经得到广泛实施，其中宝钢国际、伊利、等公司的运用实践说明了内部审计主导内部控制评价具有现实意义。同样，由于不注重内部审计主导的内部控制评价的案例也屡见不鲜。例如，新加坡中航油由于内部控制缺失造成在原油期货的投资上高达3.8亿的巨大亏损以致于最终以破产收尾。

　　作为医院，虽然不用像企业那样单独披露内部控制鉴定报告，但其对内部控制与内部审计的合理运用还是有很多值得借鉴之处。

　　六、总结

　　内部控制自我评价作为一种管理工具，在内部审计人员的引导下，在公司有关管理人员参与下，能有效地对公司的内部控制进行整改和完善，促进公司管理水平质的飞跃。内部审计已经与内部控制评价有机结合在一起，共同发挥着加强公司内部控制建设的积极作用。