杨丽丽 广东明德普华会计师事务所（普通合伙）

引言

随着全球商业环境的日益复杂和竞争的加剧，企业面临着更多的风险和挑战。为了保障企业的稳健运营和可持续发展，内部控制的重要性得到了广泛认可。内部控制是指企业为实现其目标而制定的一系列政策、程序和措施，以确保风险得到适当管理、业务活动得到有效监督和资源得到合理利用。

一、内部审计在企业内控中的重要性

内部审计帮助企业进行风险识别和评估。通过对企业内部控制环境的审查和评估，内部审计能够帮助企业识别潜在的风险和问题，并提供相应的建议和措施。它可以帮助企业管理层了解和评估风险的概率和影响程度，以制定适当的风险管理策略和措施。内部审计在内部控制评价和改进方面发挥着重要作用。通过对企业内部控制体系的审计和评估，内部审计能够发现潜在的缺陷和不足之处，并提供改进建议和建议的实施跟踪。它可以帮助企业识别和解决内部控制方面的问题，提高内部控制的有效性和合规性。内部审计还可以进行业务流程审计，评估和审查业务流程的效率和有效性。它可以帮助企业发现和预防潜在的操作风险和漏洞，改进业务流程，提高业务效率和质量。内部审计还在资源管理和效率评估方面发挥着重要作用。它可以评估企业资源的合理利用程度，提供优化资源配置的建议和措施，以提高资源利用效率和降低成本。另外，内部审计对于企业的合规和法规遵循也至关重要。它可以确保企业遵守适用的法律法规和合规标准，减少合规风险，并提供合规性改进的建议和控制措施。

二、内部审计的定义和职责

（一）内部审计的定义和目标

内部审计的主要目标是评估和监督内部控制。内部控制是组织在实现其目标的过程中，通过一系列政策、程序和控制措施来确保资源的有效使用、风险的适当管理和合规性的遵守。内部审计通过审查和评估内部控制的设计和操作，以确定其有效性和合规性，并提出改进建议和控制强化的措施。内部审计还旨在评估和监督组织的风险管理活动。风险管理是指组织识别、评估和管理潜在风险的过程。内部审计通过审查组织的风险管理政策、程序和实施情况，评估其风险识别和评估的有效性，以及风险应对措施的适当性和有效性。内部审计还关注组织的合规性。合规性是指组织遵守适用的法律法规、行业准则和内部政策的要求。内部审计通过审查组织的合规性政策、程序和实施情况，评估其合规性风险，确保组织在各项业务活动中符合法律法规和规范要求。内部审计还可以为组织提供战略和运营方面的建议。通过对组织的运营情况和业务流程的审查和评估，内部审计可以发现潜在的问题和改进的机会，并提供相应的建议和措施，以提高组织的效率和效益。

（二）内部审计的职责和职能

内部审计负责评估组织的内部控制体系，包括控制环境、风险评估、控制活动、信息与沟通以及监督机制等。通过审查和评估内部控制的设计和运作，内部审计能够发现潜在的风险和问题，并提出改进建议和措施，以加强内部控制，确保组织的资产安全、数据完整性和业务的可靠性。内部审计负责评估组织的风险管理体系，包括风险识别、风险评估、风险应对和风险监测等。通过审查组织的风险管理政策、程序和实施情况，内部审计能够确定组织的风险状况，发现潜在的风险和漏洞，并提供相应的建议和控制措施，以帮助组织管理和应对风险。内部审计负责评估组织的合规性，即组织遵守适用的法律法规、行业准则和内部政策的要求。通过审查组织的合规性政策、程序和实施情况，内部审计能够识别合规性风险，确保组织在业务活动中符合法律法规和规范要求，减少合规风险。内部审计负责向管理层提供独立的、客观的建议和改进建议。通过审计工作的结果，内部审计可以发现组织的问题和改进的机会，并提供相应的建议和措施，以帮助组织提高内部控制效能、管理风险、提升运营效率和合规性。内部审计负责进行调查和审计项目，根据组织的需求和风险情况，选择适当的项目进行审计。这包括财务审计、操作审计、合规审计等不同类型的审计项目。通过对关键领域和流程的审计，内部审计能够发现潜在的问题和风险，并提供相关的建议和改进措施。

三、内部审计在企业内控中的作用

（一）风险识别和评估

风险识别是指确定和识别对组织目标产生负面影响的事件或情况。内部审计通过分析组织的业务活动、内部控制系统、外部环境和行业趋势等，识别存在的风险。这包括战略风险、运营风险、财务风险、合规风险等不同类型的风险。风险评估是对已识别的风险进行定量或定性评估，以确定其对组织目标的影响程度。内部审计使用不同的评估方法和工具，如风险矩阵、风险评分模型、统计分析等，来评估风险的严重性和概率。通过风险评估，内部审计能够确定哪些风险对组织最为关键，并制定相应的应对策略和措施。通过风险优先级排序，内部审计可以帮助组织合理分配资源和制定相应的风险管理计划。基于风险识别和评估的结果，内部审计负责提供相应的建议和控制措施。这些建议和措施旨在帮助组织降低风险的发生概率或降低风险的影响程度。例如，内部审计可以建议加强内部控制措施、改善流程和程序、提供培训和意识教育、加强监督和追踪等。通过这些建议和措施，内部审计能够帮助组织更好地管理和应对风险。

（二）内部控制评价和改进

内部审计通过审查和评估组织的内部控制制度，包括控制环境、风险评估、控制活动、信息与沟通以及监督机制等，来确定其有效性和适当性。评估内部控制的目的是发现潜在的风险和问题，并提供改进建议和措施，以加强组织的内部控制。内部审计进行内部控制测试，通过检查组织的控制活动和操作过程，验证内部控制的存在和有效性。内部控制测试可以采用抽样测试、文件审查、现场观察等方法，以确保内部控制的适当执行和有效运作。内部审计负责调查发现的异常情况，包括内部控制失效、违规行为、欺诈行为等。通过调查异常情况，内部审计可以揭示潜在的风险和问题，并提供相应的改进建议和控制措施。基于内部控制评估的结果和发现的问题，内部审计提供改进建议，以帮助组织改善内部控制。这些建议可以包括改进控制流程、加强控制活动、改善信息系统、加强培训和意识教育等方面。通过提供改进建议，内部审计能够帮助组织建立更强大、有效和适应性强的内部控制体系。内部审计负责监督和追踪改进措施的实施情况。通过定期的跟踪审计，内部审计可以确保改进措施得到有效执行，并及时识别和解决出现的问题。

（三）业务流程审计

业务流程审计首先需要识别和理解组织的关键业务流程，包括采购、销售、财务、人力资源等流程。通过与相关部门和关键岗位的沟通和调查，内部审计能够了解业务流程的目标、关键环节、涉及的部门和职责等。然后，对这些业务流程进行详细分析，确定其关键控制点和潜在风险。在业务流程审计中，内部审计会评估业务流程的控制措施和有效性。这包括审查和测试组织已有的内部控制措施，确保其符合最佳实践和法律法规的要求。内部审计还会识别潜在的控制缺陷和风险，以提供改进建议和控制措施。业务流程审计不仅关注流程的合规性和控制，还关注流程的效率和优化。内部审计会评估流程的时间、成本和资源利用情况，并提供改进建议，以优化流程的效率和质量。这包括简化流程、自动化流程、改进信息系统支持等方面的建议。在业务流程审计中，内部审计也会关注流程的合规性，确保组织遵守适用的法律法规和内部政策。内部审计会审查业务流程中的合规性控制点，如合同管理、数据保护、劳动法规遵守等，以确保组织的合规性和风险可控。

（四）资源管理和效率评估

内部审计首先需要识别和分析组织的各类资源，包括人力资源、财务资源、物资资源等。通过了解组织的资源配置情况，内部审计能够确定资源的优势和短缺，以及存在的风险和问题。内部审计会评估组织资源的利用效率和合理性。这包括对人力资源的分析，如员工配备是否合理、培训和发展是否充分等；对财务资源的分析，如预算编制和执行是否有效、成本控制是否严格等；对物资资源的分析，如库存管理是否科学、采购成本是否合理等。通过评估资源的利用情况，内部审计可以提供改进建议，以优化资源的配置和利用效率。内部审计还会评估组织的各类流程和操作的效率。通过对流程的分析和测量，内部审计可以发现流程中的瓶颈和低效环节，并提供改进建议，以提高流程的效率和质量。这可以包括简化流程、优化流程的各个环节、引入自动化技术等。内部审计负责评估组织的绩效和目标达成情况。通过与组织制定的目标进行对比和分析，内部审计可以确定绩效的差距和潜在的问题，并提供相应的改进建议和措施。这包括制定绩效指标和监控体系、建立目标管理机制等。内部审计最后一步是跟踪资源管理和效率改进的实施情况。内部审计会监督和评估改进措施的执行情况，并对其效果进行验证。通过持续的改进追踪，内部审计能够确保改进措施的有效性和持续性。

（五）合规和法规遵循

内部审计负责评估组织是否遵守适用的法律法规。这包括国家法律、行业法规、劳动法规等。内部审计会审查组织的业务活动和操作过程，确保其符合法律法规的要求。例如，合同管理、税务合规、数据保护、劳动法规遵守等方面都是内部审计关注的重点。内部审计还会评估组织是否遵守内部制定的政策和规程。这些政策和规程可以包括财务管理政策、采购政策、人力资源管理规程等。内部审计会审查组织的业务操作和流程，确保其符合内部政策和规程的要求。内部审计会评估组织的风险管理和合规控制措施的有效性。这包括风险识别和评估、制定合规控制措施、监督和检查合规情况等。内部审计会审查组织的风险管理体系和合规控制措施，确保其能够有效应对潜在的风险和遵守合规要求。内部审计会定期进行合规检查，确保组织的各项业务活动和操作符合合规要求。内部审计会采用抽样检查、文件审查、现场检查等方法，以核实合规性，并提供改进建议和控制措施。内部审计会推动合规培训和意识教育的开展。通过培训和教育活动，内部审计可以提高员工对合规要求的理解和遵守意识，加强组织的合规文化和风险意识。

（六）舞弊和不当行为检测

内部审计会审查组织的内部控制制度和信息系统，以检测潜在的舞弊风险和不当行为。通过审计信息系统的访问控制、数据完整性和审计日志等，内部审计可以发现潜在的安全漏洞和数据篡改的迹象。内部审计会审查组织的内部控制措施，特别是与舞弊和不当行为相关的控制点。例如，审计采购和支付流程，以发现供应商欺诈和虚假发票等违规行为；审计财务报告流程，以识别财务造假和信息披露不当等问题。内部审计可以利用数据分析工具和技术，对组织的财务和业务数据进行审计和监测。通过对异常模式、异常比例和异常趋势的分析，内部审计可以发现异常的交易和行为，以揭示潜在的舞弊和不当行为。内部审计可以负责管理和监督内部举报机制，鼓励员工主动举报舞弊和不当行为。内部审计会处理和调查举报，并采取必要的措施，以保护举报人的权益和确保调查的公正性。内部审计可以推动舞弊和不当行为的合规培训和教育活动。通过提高员工对舞弊行为的认识和风险意识，内部审计可以增强组织的防范能力，并提醒员工如何识别和报告可疑行为。

结语

在内部控制的体系中，内部审计作为一项重要的机制，起到了评估和监督的角色。内部审计是指独立地、客观地评估和监督企业内部控制、风险管理和合规性的活动。通过对企业内部控制体系的审查和评估，内部审计能够发现潜在的风险和问题，并提供建议和改进措施，以帮助企业实现更好的风险管理、提高业务效率和合规性。然而，随着企业规模的扩大和商业环境的变化，内部控制面临着越来越多的挑战。新兴的技术和业务模式的出现，以及日益复杂的法律法规要求，都给内部控制带来了新的考验。因此，对内部审计的研究和探索变得尤为重要。