樊飞利

摘要：本文从内部控制的发展变化以及内部审计的发展趋势出发来进行研究，基于此，笔者更加深刻地认识到，内部控制与风险管理在企业管理中越来越重要，内部审计应该转变审计理念，拓展审计思路，重新审视和关注企业内部控制与风险管理，强化对内部控制及业务流程的监督和评价，促进国有企业健康可持续发展。

关键词：国有企业；内部审计工作；内部控制；风险管理

内部控制是改善公司治理、提高风险防范能力、增强市场竞争力和促进公司可持续发展的重要保障之一。目前，内部控制已经进入风险管理阶段，许多企业在建立健全内部控制制度时都运用了经营风险控制理念。因此，国有企业的内部审计工作也应该转变传统审计理念，拓展审计思路，从关注财务收支的合规性向关注业务管理的合规性、效益性转变，聚焦企业内部控制建设和运行成效，揭示问题和风险，从而促进内控机制完善和风险防控良好运行，保障国有企业健康可持续发展。

一、内部控制的发展变化

内部控制源于组织控制、职务分离的“内部牵制”，是现代化管理的产物。目前已经使得牵制范围超越了会计与财务，深入了企业所有部门和整个业务流程中，内部控制理论和实务已经空前发展；当前人们对企业内部控制的产生和发展历程的认识逐渐趋于一致，即内部控制已经经历了内部牵制阶段、内部控制阶段、内部控制结构阶段和内部控制整体框架四个阶段。现阶段内部控制已经进入风险管理阶段。

1992年9月，美国“反虚假财务报告委员会”下属的“发起组织委员会”（COSO）发布了《内部控制——综合框架》，即我们常说的COSO报告。此后经多次增补完善，于2013年5月发布了新的版本，备受业内推崇和广泛应用。COSO对内部控制提出新概念，认为它是由一个企业董事会、管理部门和其他人员实现的过程，旨在为“财务报告的可靠性、经营效果和效率、符合适当的法律法规”等目标提供合理的保证。相较于之前的版本，2013年发布的COSO报告，其变化在于，强调了内部控制是否能够有效发挥作用的关键在于执行，而“人”是执行的主体，也是执行的关键。由此，内部控制进入新的发展阶段。

由于安然、世界通讯等知名企业财务造假丑闻带来的冲击，世界上许多企业对风险管理相关问题更加关注，加强了企业风险管控。基于此，2004年COSO又发布了《企业风险管理——整体框架》。该报告基于内部控制整体框架所涉及的5个要素，将企业风险管理的构成要素增加至8个。同时将企业风险类型分为财务风险、经营决策风险、战略决策风险和违反法律法规风险。

就内部控制和风险管理之间的关系而言，前者是后者的手段，而后者则是前者的重要内容。事实上，企业内部进行的各种控制和调节活动就是风险管理的具体表现，其效果会在一定程度上决定企业风险管理的效果。两者组成要素重合、最终目标相同、参与主体相同。内部控制的一个基本作用是控制风险，最终目标也是控制风险。

从我国来看，2009年以来，我国陆续出台了《企业内部控制基本规范》《企业内部控制应用指引》《企业内部控制评价指引》和《企业内部控制审计指引》等一系列文件，而这也表明我国企业内部控制规范体系框架已基本建成，为企业建立和完善内部控制体系提供了重要的法律依据和指导方针。

2018年3月1日起，《审计署关于内部审计工作的规定》（审计署第11号令）（以下简称《规定》）正式实施。与此前2003年出台的《规定》相比，该文件中内部审计的职能范围进一步拓展，增加了“建议”职能，将监督范围拓展到内部控制、风险管理领域，明确内部审计职能范围，涉及财政财务收支、内部管理领导人经济责任审计等12项职能；将目标定位为“促进单位完善治理、实现目标”。因此，对风险的识别、评价与防范，理所应当是内部审计的职责。而且，内部审计的角色更加独立，也更加重要，其保障性作用更加突出。新版《规定》的实施，为内部审计指明了新的发展方向。

二、国有企业内部控制方面存在的主要问题

（一）公司法人治理结构制衡弱化，导致内部控制运行效率低下

从现实情况来看，许多国有企业虽然建立了法人治理结构，但远远没有起到制衡内部权力的效果。法人治理结构只是被写在纸上的公司章程。当前我国很多企业都存在董事会与经理层交叉重叠的问题，致使 “大董事会小股東会”的现象较为普遍，公司股东会成为表决工具，经营者（包括董事、高级经理等高管）随意侵害股东和债权人利益的现象时有发生。特别是由于国有企业的股东会缺失，而董事会和经理层的人员大多是政府任命或企业组织部门任命，甚至董事会与经理层之间交叉任职，存在严重的身份职责交叉重叠问题。因此，造成董事会不能有效制衡经理层，没有形成对董事会和经理层进行科学有效监督评价和激励约束的制度机制。这样，虽然身为董事会成员和经理层高管，但在他们的意识里，他们是组织派来的干部，官本位意识强而经营意识弱，缺乏建立健全内控制度的动力与积极性，是典型的“内部人控制”，造成“富了和尚穷了庙”，而且无从追责；监事会成员的选聘机制和董事会类似，独立性差，甚至是内部兼职，监事职能被扭曲，无独立性，监事会形式化，无法切实发挥监督董事会及经理层的职能作用，而这也是引起监事会监督无力或监督缺失的重要因素之一。

（二）内部控制在国有企业中未得到切实重视，推行难度大

安然、世界通讯财务造假事件发生以后，内部控制引起了理论界和实务界的重视。促进了世界各国政府加强对企业的监管，内部控制的法制建设由此得到空前重视，萨班斯法案应运而生。但现阶段在我国，内部控制尚未能引起足够的重视。虽然颁布了新的《企业内部控制基本准则》，但仅限于在国有企业和上市公司执行，强制性不够，权威性有限，威慑力不足，不能解决我国企业当前所面临的内控问题。有人将此誉为中国的萨班斯法案，确实言过其实，因为没有萨班斯法案那样“苛刻”“威严”和“昂贵”。特别是我国在内部控制方面的法制建设落后，法治无力，导致企业管理层自律性不足、推动内控建设的动力不足。

（三）企业内部控制观念落后，管理不规范、不严谨

企业内部控制环境不好，管理高层随意逾越内控要求，内控制度流于形式，财务控制弱化、会计监督不严、财务与业务部门沟通不畅，不能对业务部门实施有效财务监控，风险管控能力不足，社会审计质量不高，内部审计机制不完善等问题，屡审屡犯的现象无法根治。企业内控架构本身存在缺陷，致使很多重大决策出现失误，进而导致经营失败。尤其是国有企业的内控制度设计存在“先天缺陷”、执行不到位、问题整改表面化，防范重大经营和财务风险能力不强，存在薄弱环节甚至漏洞缺陷。所以，国有企业的内控制度无法切实发挥作用。

三、内部审计的工作思路和途径

内部控制理论和实务及内部审计的发展表明，健全完善公司内部控制体系对于防范经营管理风险、提升公司的整体发展水平具有非常重要的作用。内部审计机构作为国有企业的重要经济监督部门，应该关注企业内部控制的健全性以及运行的有效性，从而促进企业强化治理架构和防范风险。

（一）要转变传统审计观念，重点关注公司治理

制度固然重要，执行制度的“人”才是关键。要审慎评估企业一把手及其管理团队在内部控制体系建设和运行中扮演的角色和起到的作用。按照公司法、会计法和公司章程的要求，公司董事会和管理层应当注重健全完善内部控制制度并使之切实发挥作用，这是董事会和管理层的责任。而且，企业一把手是内部控制体系设计与实施的第一责任人，是内部控制的推动者和关键因素，应该作为审计重点关注和监督的对象。公司治理是企业管理的“纲”，科学有效的公司治理机制是企业管理的制度基础和基本前提。所以，内部审计要审查企业是否严格执行国家有关法律法规和公司章程，是否建立规范高效的公司治理结构和议事规则，是否明确决策、执行、监督各层级的职责权限，是否形成了科学有效的职责分工和制衡机制。没有了“公司治理”这个“纲”，“企业管理、内部控制、风险管控”这些“目”就“张不起来”。同时，企业可持续发展，应该强化战略风险管理，应该有效地将战略风险管理嵌入内部控制体系中。应该关注内部控制的效率效益及其平衡，不能因防风险而牺牲效率和效益。

（二）要转变传统财务审计方式，促进审计转型发展

要开拓审计视野，拓展审计范围，应该由财务控制范围延伸到业务管理和企业风险管控领域，即要前移审计关口，由“事后审计为主转向以事前审计和事中审计为主，事前、事中与事后审计相结合”转变。对公司经营活动与内部控制流程进行梳理、检测和评估，评价可能存在的风险对企业的影响，提早揭示企业生产经营管理中存在的问题和风险，帮助企业查找和排除内部控制中潜在风险，于事前、事中为企业提供“预防提醒、堵塞漏洞”等针对性意见和建议，加强对公司生产经营管理全过程的监督和评价，特别是强化对管理层制度执行力的监督，切实提高企业内部控制体系所发挥的作用及效果。

随着企业管理水平提高的要求，内部审计应该将更多的资源投向企业生产经营的重要领域和关键环节（如企业采购、销售、资金使用等经营风险较大的环节），做到事前预防、事中监督、事后评价。内部审计不仅要监督评价财务收支情况，更要评判企业经济活动的效率效果，揭示和评估企业经营活动中存在的风险。因此，要开展对业务管理制度、招标投标、经济合同、经济效益、经营环境的审计等，促进内部审计的全面转型发展。

（三）要强化对企业内部会计控制的监督，促进国有资产安全

安然事件的发生是因会计造假，而这也反映出企业内部会计控制的重要性。作为财务管理的基本前提，企业内部会计控制对于防范经营风险，保证企业经济健康发展具有十分重要的作用。企业内部控制的一个重要目标就是保证会计信息真实准确。这就意味着内部控制与会计有着密切的联系，因此要建立健全内部会计控制制度，规范会计行为，通过内部会计控制促进规范企业管理行为，防范经营风险。

（四）要因时因地制宜地开展企业內部审计工作，发挥内部审计的监督、评价和建议职能

内部审计要积极有为应对企业发展变化，因时因地采取切实有效方式方法，适时调整审计策略，紧紧围绕企业目标要求开展内部审计工作。内部审计人员应该了解熟悉企业内部控制状况、财务会计制度和业务管理流程。要明确审计思路，以风险为导向，以控制为主线，以促进企业健康发展为目的；要关注重点领域和关键环节，要关注重要业务单位、重大业务事项和高风险领域的内部控制情况，对企业核心业务和经营管理关键环节进行全程跟踪，揭示风险和隐患，对内部控制状况进行评价，为完善内部控制提出有针对性的建议，促进企业有效防范各种内外风险。有效发挥内部审计在完善法人治理结构、改善企业内部控制和提高企业经济效益等方面的保障性作用，进而促进企业实现其目标。

参考文献：

[1]徐浩扬.国有企业内部审计与风险控制研究[J].财会学习，2020（9）：170，172.

[2]张未.谈国有企业内部审计风险的管理与控制[J].企业文化（中旬刊） ，2019（9）：234.

[3]刘向东，李佳轩.内部审计如何促进国有企业加强内部控制[J].中国审计，2019（21）：58-59.

[4]李莹.浅谈国有企业内部审计风险的管理与控制[J].中国商论，2019（9）：179-180.

[5]韦玮.新时代下国有企业内部审计的风险控制措施的探讨[J].当代会计，2019（2）：77-78.