内部控制

一、施工企业内部控制管理现状近年来，随着市场经济的发展和企业改革的不断深入，大部分施工企业在一定程度和范围内建立了内部控制制度，为了加强对管理提升的组织领导，推进内部控制管理的深入开展，一些企业成立了专项小组，加强对日常工作的督导和协调工作，并制定了管理目标，使企业基础管理工作明显加强，管理创新机制得到明显改善，但当前施工企业的内部控制现状并不理想，体现在企业管理运作的方方面面，主要表现为：有内控无制度，自发的控制；有制度无控制，制度不具备操作性；有控制有制度，未形成体系，存在缺陷。二、施工企业内部控制管理中存在的问题1、内部控制意识淡薄。目前，施工企业的许多一线人员甚至是管理人员认为内部控制管理是公司领导和部分部门的责任，员工对自己在内部控制管理中所起到的作用模糊不清，一些政策和相关程序的实施没有得到有效的贯彻落实；风险意识没有提高到应有的高度，企业的高层没有经营风险的概念，缺少风险防范机制；甚至某些施工项目的经济部门利用内部控制不严的漏洞贪污受贿、挪用项目建设资金，违规违纪现象时有发生。2、内部控制制度不健全。有些施工企业对内控制度不够重视，虽然对工程项目的关键过程进行了控制，但缺少完整细化的运作流程，不便于业务人员的学习和执行。部分制度规范滞后、设计不完善，没有对所有的部门和员工进行覆盖。3、内控制度不能有效执行。有的施工企业有规章制度，但流于形式，或为应付上级检查而制定；有的制度本身制定不合理，过于理想化，或随着新情况的出现，原有制度已不能适应却没有及时修改，从而使制度不具备可操作性；有的施工企业对内部控制执行情况既没有检查监督，也没有奖惩措施，缺乏保证内控制度执行的机制，内控制度成为摆设。4、内部监督独立性不强。内部监督过于集中在财务领域的内部审计职能，监控上缺乏独立性。在对内部控制实施监督中，虽然有些施工企业设置了审计部门，但是在实际操作中，内部审计部门基本上与其他职能部门平行，且内部审计受制于人，致使监督职能无法履行。5、信息沟通不畅。大部分施工企业没有一个开放和畅通的信息反馈渠道，企业对反映问题的员工没有相应的保护和激励措施，造成管理层无法真实、全面地了解企业运行的情况。6、风险体系未建立、评估机制不健全。一些施工企业未建立风险内控体系，没有明确承担相应风险的主体，面临风险时各部门互相推诿责任，错失化解或减小风险的最佳时机。受知识能力的限制，相关人员对潜在的风险缺乏整体性认识和系统性分类，对风险评估方式、方法、程序的缺乏了解，没有对企业的风险承受度进行评估分析，无法应对各类风险的冲击。三、加强施工企业内部控制管理的措施1、强化风险意识，培育内部控制理念。内部控制的实质是风险管理，市场竞争日益激烈，企业经营者不仅要有竞争观念，也要有风险意识，不仅企业经营者有风险意识，全体员工也要有。通过召开风险内控专题会，强调风险内控工作的重要性和必要性，充分调动企业建立健全内部控制的主动性，从上到下营造内部控制学习的积极氛围，培育良好的内部控制环境，确保风险内控工作开展的有效性。2、健全企业内部控制制度。施工企业应该根据自身实际情况，制定满足管理需要的内控制度，明确规定各种业务的职责分工和程序，从市场开发、人力资源、安全质量、物资设备采购、全面预算、信息化运用、法律合规、反腐倡廉等方面进行制度完善；所属项目部在贯彻落实上级规章制度的同时，结合项目实际对相关制度进行细化，协同推进内控制度；根据企业运行情况，弥补内部控制制度缺陷，进一步修改、完善各项管理制度，保证内部控制制度体系的完整性。3、建立健全风险内控管理体系，提高风险防控能力。在风险理念的作用下，内部控制已扩展为企业风险管理框架，企业必须了解它所面临的风险，并加以控制，建立健全可辨识、分析和管理风险的管理体系，完善风险预警系统和控制预案机制，建立健全以前期防范、中期控制为主，后期救济为辅的法律风险防范机制，及时应对和化解来自各方面的风险和危机，为企业改革发展提供坚强的安全环境保障。4、加强企业内部控制评价系统的应用，全面总结，落实整改。企业管理者应对风险造成的损失和应对中的教训进行总结，开展自我评价，进行缺陷认定，对诊断发现的短板和瓶颈问题，集中精力全面整改，为下一步的内部控制管理工作奠定基础，以风险为契机，不断完善企业管理的薄弱环节。5、强化内部监督职能。内部审计应当保持相对的独立性和权威性，强化内部审计的职能优势，以风险评估为基础，根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度，针对资产管理、全面预算、劳务管理等内容进行审查评价，促进企业改善内部控制管理。6、加强信息管理和沟通。建立信息管理系统和内部共享的沟通平台，推行资金集中管理使用、经营市场统筹开发、物资设备集中采购、劳务队伍合规择优选用、闲置资产集中利用等措施，保证部门之间可以有效地传递信息，使管理层及相关部门能够实时掌握企业的运行情况，便于及时发现问题，调整策略，解决问题。有了畅通的信息系统，也要明确相关的责任，营造良好的工作氛围， 提高内部控制执行的质量。7、建立健全防腐败体系，提升反腐倡廉能力。扎实推进廉政文化建设，使广大干部廉洁从政、拒腐防变的思想基础更巩固，进一步形成以廉为荣、以贪为耻的风尚，为企业改革发展营造环境。8、建立绩效考核机制，发挥利益导向作用。对各单位开展绩效考核和评价，并将考核结果作为职工薪酬、职务晋升、评先评优的依据，有利于增强施工企业管理层对工程项目的管控力，约束、激励广大员工，改善工作作风，充分发挥各单位的主观能动性，营造全员重视、全员参与内部控制的氛围，为内部控制管理提供源源不断的动力。四、小结。内部控制是企业防范风险，实现既定目标的免疫系统，加强内部控制管理任重道远，必须将近期利益与长远利益结合起来，改变“重效益、轻质量”的经营观念，在工程项目的日常管理中强化内部控制实施，注重内控制度的监督，继续贯彻落实风险内控各项工作，不断提升企业风险管理意识，提高内部控制水平。

所谓内部控制，是指一个单位为了实现其经营目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。控制要素：企业建立与实施有效的内部控制，应当包括下列要素：（一）内部环境。内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。（二）风险评估。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。（三）控制活动。控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。（四）信息与沟通。信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。（五）内部监督。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。内容对内部控制相关理论的全面介绍内部控制环境内部控制的实质——风险管理内部控制活动内部审计简介职业舞弊内控的建立和执行萨奥法案及公司治理

区别：所处的层级不同，作用不同，战略管理层级最高，作用最大。联系：三者是逐层统御关系，由宏观到微观再到执行，对于企业缺一不可。

1.各自实质的理解：x0dx0a1.1 战略管理为达到内部控制中实现企业发展战略目标的一种管理控制手段或是实现战略目标的控制方法；x0dx0a1.2 风险管理为实现企业整体内部控制目标，进而对影响目标实现的风险进行风险识别、风险分析、风险应对的一种风险评估机制；属于内部控制体系中的风险评估要素；x0dx0a1.3 内部控制实质为一种由全体员工为合理保证实现企业目标的一系列控制活动。详见《企业内部控制规范》。x0dx0a x0dx0a2.各自关系x0dx0a2.1战略管理，战略管理的目标实为实现战略目标，战略目标作为内部控制的五大控制目标之一，涉及企业长远利益的实现问题，因此战略管理其实是内部控制体系中为实现战略目标而执行的一系列控制活动；x0dx0a2.2风险管理，风险管理的目标实为评估影响目标实现的风险并提出风险管理策略；内部控制体系中的一大要素即是“风险评估”，其实为达到内部控制目标的风险评估机制，如目标设定、风险识别、风险分析、风险应对。x0dx0a2.2.1 目标设定x0dx0a2.2.2 风险识别 x0dx0a2.2.3 风险分析 （风险发生的概率、风险发生后的影响程度）实为对风险属性的确定x0dx0a2.2.4 风险应对 （如风险规避、风险降低、风险转移，风险承受）x0dx0a x0dx0a3.总结x0dx0a以前我国《内部控制基本规范》的提到的内部控制的定义及实质内容来看，战略管理、风险管理实为实现内部控制目标的一种有效控制活动和管理工具，从属于公司内部控制体系。如果你所指为CPa教材中的《公司战略与风险管理》一书，我想可能是作者从有利于读者理解的角度，从不同唯度来阐释现代企业管理的方法和理念。x0dx0a x0dx0a另外，财会〔2012〕3号 《关于印发企业内部控制规范体系实施中相关问题解释第1号的通知》对内部控制与风险管理的关系也进行了解释：x0dx0a x0dx0a4.如何协调好内部控制与风险管理的关系？x0dx0a 　　答：《企业内部控制基本规范》及其配套指引，充分吸收了全面风险管理的理念和方法，强调了内部控制与风险管理的统一。内部控制的目标就是防范和控制风险，促进企业实现发展战略，风险管理的目标也是促进企业实现发展战略，二者都要求将风险控制在可承受范围之内。因此，内部控制与风险管理二者不是对立的，而是协调统一的整体。x0dx0a 　　在实际工作中，一些企业的内部控制和风险管理工作由不同机构负责。对此，企业可以对有关机构和业务进行整合，从工作内容、目标、要求以及具体工作执行的方法、程序等方面，将内部控制建设和风险管理工作有机结合起来，避免职能交叉、资源浪费、重复劳动，降低企业管理成本，提高工作效率和效果。x0dx0ax0dx0a供参考。

区别：所处的层级不同，作用不同，战略管理层级最高，作用最大。联系：三者是逐层统御关系，由宏观到微观再到执行，对于企业缺一不可。

1.范围不同。风险管理的范围比较大，它包含了企业全面风险管理的范围，风险管理包括所有企业所面临的风险如内部的、外部的都括在内，而企业全面风险管理仅指企业内部经营所面临的风险。2.组成要素不同。风险管理增加了目标设定、事件识别和风险应对等三个因素，它是一个风险的组合。而企业全面风险管理则不是。3.两者的活动不一致。风险管理指风险管理目标和战略的设定、风险评估方法内部控制等一系列的过程，而企业全面风险管理只是对目标的制定过程进行评价。4.两者对风险对策不一致，全面风险框架引入风险偏好和风险容忍度。

内部控制与风险管理的既有区别又有联系。从理论发展以及社会实践角度看，内部控制与风险管理逐渐走向融合。两者的构成要件以及目标要求极为相似，都是注重于发展战略、市场运行、财务管理、法律规范以及经营管理等方面的内容。实际上，风险管理与内部控制的内容是相互交叉、相互融合的，二者相辅相成、密不可分。

COSO（全美反舞弊性财务报告委员会发起人委员会）认为内部控制是为下述三大目标的实现提供合理的保证，即：uf06c 1、经营的有效性和效率uf06c 2、财务报告的可靠性uf06c 3、遵守法律法规为了实现内部控制的上述目标，企业必须建立有效的内部控制体系。但什么是有效的内部控制体系？如何建立、评价和改进企业的内部控制？这已日益成为困扰大多数企业的一个问题。2002年7月30日《萨班斯——奥克斯利法案》（“萨奥法案”）的颁布，标志着世界上最发达资本市场的监管者已经将内部控制体系的建立、维护、评价和报告看作是经营者的重要责任。2008年5月22日，中国财政部等五部委联合发布了《企业内部控制基本规范》，将自2011年1月1日起首先在境内外同时上市的公司施行，2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行，鼓励非上市的大中型企业执行，这标志着中国版的“萨奥法案”已正式启动。随着社会法制化的推进及企业竞争的加剧，企业只有建立、健全并执行行之有效的内部控制体系，才能够获得持续稳定的发展，做到基业长青。

对内部控制相关理论的全面介绍内部控制整合框架包括哪些内容？企业发展的基石，内部控制的核心观念内部控制的局限性-成本效益原则及其它 内部控制的基础如何建立良好的控制环境 风险管理，使企业获得竞争优势的法宝危机管理的金科玉律 内部审计的含义内部审计在组织架构中的位置内部审计与内部控制的关系 什么样的人才会舞弊职业舞弊对企业造成的危害是什么？如何看待职业舞弊与内部控制？ 内控体系建立和执行的五个阶段确定和分解目标、识别风险如何建立控制政策：二维表、流程图、文字描述如何有效执行内控如何监督内控的执行状况：执行过程中的监督和独立的评估 萨奥法案的含义及其内容框架审计人员的独立性应如何理解

为了企业的生存

　　高顿财务培训开设《内部控制与企业风险管理》课程，一线实战老师讲解，向风险管理要效率。课程安排和大纲您可以向在线客服进行索取。　　高顿财务培训是中国财务培训行业的引领者，系统财务培训提供商。

　　随着高新技术时代的到来，人们对内部控制的理解和认识不断深化，内部控制理论在实践中得到进一步的应用、发展和完善。国外的内部控制理论发展较为成熟，已经进入了风险管理阶段。我国的内部控制理论也在不断完善，从开始关注内部控制到意识到风险管理的重要性，基于风险管理的内部控制也正在成为一种新的趋势，并越来越重要。 　　在世界经济一体化深入发展中，一些企业在激烈竞争中忽视自身的风险管理与内部控制，追求高额利润，最终造成对社会的危害和企业的破产倒闭，曾经令人信服的三鹿集团便是如此。因此企业必须树立风险管理观念，在风险管理的基础上加强内部控制，提高企业经济效益，达到企业的经营目标。本文拟从风险管理的视角探讨内部控制的相关问题，以期对完善内部控制及其研究提供启示。 　　一、风险管理与内部控制的关系浅析 　　1.风险管理与内部控制理论 　　企业的风险管理是由企业的全体员工共同参与的，应用于企业战略制定和内部控制的、用于识别可能对企业造成潜在影响的事项，将风险降到最低，为企业经营目标的实现提供合理保证的一个过程。 　　企业的内部控制是企业董事会、管理层对企业内外部风险管理过程中可能出现的操风险进行管理，维护企业资产完整、保证会计信息质量、提高经营活动效率，以及确保有关法律法规和 规章制度 的执行而制定和实施的一系列控制方法、程序和措施。 　　2.内部控制与风险管理的关系 　　(1)内部控制与风险管理的目标一致。企业内部控制的最初目的是防范其运行中潜在的各种风险，即对风险进行控制就是风险管理。企业在生产经营环节实施有效的监控措施，为实现经营活动的效率和效果创造有力的条件，以更好实现预期目标。因此实现风险管理的目标，离不开有效的内部控制；同时要达到内部控制目标，也离不开对风险的有效管理，即二者的目标是一致的。 　　(2)内部控制与风险管理有不同的侧重点。企业内部控制侧重于制度层面，通过规章制度来规避风险；风险管理侧重于交易层面，通过市场化的自由竞争或交易来规避风险。内部控制并没有完全渗透到企业管理，而风险管理贯穿于企业管理过程的各个方面。 　　(3)内部控制与风险管理相互补充、促进。风险管理是识别和评价企业的各种内外部风险，通过内部控制来消除、转移、分散和减轻风险，从而达到企业经营目标。内部控制是风险管理的关键环节，风险管理又依赖于对内部控制的管理和评价，二者相互补充。同时企业应从内部控制做起，提高员工特别是中、高层管理者的风险意识；企业的风险管理越完善，内部控制的目标才能更好的实现，二者在相互促进中不断完善和发展，最后有利于企业自身的发展。 　　二、基于风险管理视角的内部控制分析：来自三鹿集团经营失败的案例 　　三鹿集团是国内最大的奶粉生产企业，其主导产品三鹿配方奶粉被国家技术监督局列为全国首批重点保护的13个品牌之一。2008年由于三鹿婴幼儿配方奶粉掺杂致毒化学物质三聚氰胺，企业形象一落千丈，并把三鹿集团推向破产的边缘。2009年2月12日，法院正式宣布三鹿集团破产。究竟因为什么三鹿集团失信于民，让其从巅峰状态走到了死亡的边缘，以下将从三鹿集团的内部控制与风险管理方面分析其失败的原因。 　　1.从企业的控制环境来看，三鹿集团的企业组织结构不严密，股权分散，其最大股东是三鹿乳业公司，第二大股东是新西兰恒天然集团，还有一些零散小股东。由此使企业面临控制环境的风险，企业经营中出现集权现象，出现内部人员的权利无法相互监督和制约，增加了企业面临的风险。 　　2.就企业的风险评估来说，国际上公认的高风险领域是食品行业，乳制品行业就是其中的一员。为保证食品的源头安全，必须进行风险评估来证实奶源的质量安全。三鹿集团为了保证充足的原奶供应，实现自己的目标，在采购环节弱化了质量控制，从而导致了毒奶粉事件的出现，让企业走上了灭亡的道路。 　　3.信息与沟通和企业的内部监督方面，三鹿集团在这两方面也有内部漏洞。三鹿集团管理层不能有效地管理各个部门和分公司，信息资源缺乏，隐瞒问题没得到沟通、披露和解决。三鹿集团的组织机构不完善，无法对大股东的权利进行有效的监督和制约。同时缺乏对奶站员工的有效监督措施，无法保证原奶质量，这两方面的漏洞也加大了企业的风险，最终加快了企业各种问题的爆发。 　　4.企业的风险管理意识方面，企业的管理层受高利益的诱惑，盲目进行企业产业链扩张，缺乏风险管理意识。三鹿集团为追求高额利润，仅重视产业链中销售以下的环节，而忽视了风险管理和奶源的质量，导致了毒奶粉事件的发生，使企业的经营管理走向失败。 　　三、基于风险管理视角完善内部控制的建议 　　1.建立合理的内部控制组织结构 　　企业内部控制组织结构的设计要满足企业风险管理的要求，通过实行岗位分工，明确各自的职责权限，建立规范的企业法人治理结构，形成有效的监督约束机制。三鹿集团的大股东缺乏别人的监督和制约，应该完善企业内部控制组织结构，建立风险管理委员会，及时预防企业风险的发生，可能会阻止企业走上灭亡的道路。 　　2.加强风险评估，强化风险控制活动 　　对企业存在的风险，应及时进行正确的风险评估和分析，并采取相应的措施，预防风险的发生和管理企业的风险。三鹿集团的风险预警和突发事件的应急处理不好，即控制活动的不合理，才造成了三鹿的毒奶粉事件，对社会造成巨大的伤害。 　　3.完善信息与沟通渠道，加强内部监督和评价 　　实行风险控制时，要保证企业的内部信息畅通。流畅的信息可以帮助企业及时发现薄弱环节，并做出风险反映，提高内部控制的效率和效果。企业应该加强对风险管理的监督，保证企业风险管理效力的持久性。此外企业应根据内部控制标准开展自我评估，加强企业的内部审计风险管理环节，保证风险管理正常运行。 　　4.提高风险意识，建立风险预警机制 　　提高全体员工特别是企业管理者的风险意识，加强对风险控制和管理的重视程度，鼓励员工参与到企业风险管理的各个环节，帮助企业将风险控制在一定程度内。 　　企业应该根据自身的实际情况树立正确的风险观，建立健全风险预警系统，加强风险识别防范能力，保证企业的正常运行，实现企业的经营目标和最高战略。

风险管理的基本目标是：企业和组织在面临风险和意外事故的情形下能够维持生存，风险管理方案应使企业和组织能够在面临损失的情况时得到持续发展。内部控制的基本目标是确保单位经营活动的效率性和效果性、资产的安全性、经营信息和财务报告的可靠性。

COSO1992的全称是《内部控制-整体框架》( Internal Control-Integrated Framework )，主要内容是三目标五要素，三目标是经营增效、财报质量和法律合规，五要素是控制环境、风险评估、控制活动、信息和交流、监控。 在实践过程中，COSO1992被认为存在一些方面的局限性，包括对董事会作用认识的不够充分、内部控制管理报告内容局限于财报和固定时点、内部控制系统不涉及战略规划/风险评估/风险管理、内部控制的有效性评价方法基本是主管判断等。作为COSO1992的起草者，COSO委员会即美国全国虚假财务报告委员会The Committee of Soponsoring Organization of The National Commission of Fraudulent Financial Reporting（下属Treadway委员会）对1992版本进行了重大更新，并于2004年9月提出了新版本的框架-《 企业风险管理-整体框架 》( Enterprise Risk Management-Integrated Framework )。 值得一提的是，2006年，我国国资委发布《 中央企业全面风险管理指引 》，指引借鉴了COSO1992、COSO2004、萨班斯法案及其他各国风险管理标准，提出企业风险管理包括三部分： 风险管理流程 、 风险管理体系 和 风险管理解决方案 。流程包括初始信息收集、风险评估、风险管理策略、解决方案的设计和实施、监督和改进。管理体系包括组织体系和信息系统。管理文化包括目标、内涵和培育方法。 对比国资委《中央企业全面风险管理指引》和COSO1992、COSO2004，可以看出风险管理概念在20世纪末、21世纪初国内国际的一系列风险事件爆发后，逐渐深入人心，被广为接受。COSO2004作为引领潮流的风险管理框架，具体是什么内容呢？ 首先回顾1992版本与2004版本在主要结构与内容上的区别：在框架内容上，从三目标五要素更新为四目标八要素；在实施对象上，从业务单位-具体活动的简单结构扩张到董事会-部门-业务单位-附属机构的多维度结构。 图中COSO2004为英文，其四目标的中文含义是： 战略、经营、报告 与 合规 。做适当的延申理解，其含义应当是支持战略决策、提升经营绩效、保证报告质量、符合法律法规。八要素的中文含义是： 内部环境、目标设置、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督检查 。侧面的实施对象为董事会-部门-业务单位-附属机构。 与COSO2004内部控制框架一样，目标与要素的关系是相互交叉关联的，每一个要素的实施都与目标的达成有关。对比2004与1992版本中要素的区别，风险评估、控制活动、监控、信息与沟通依然保留，控制环境被内部环境取代，增加了 目标设置 、 事项识别 、 风险应对 三个要素。而目标在两个版本中的区别则非常明显，2004版增加了 战略 。 联系目标与要素的变化，要素目标设置的含义被解释为管理者制定企业的战略目标、选择战略方案、确定相关的子目标并在企业内层层分解和落实。可以认为直接与战略目标的实现相关。 事项识别要素可以认为是对原风险评估要素的延申细化，事项识别要素的含义是管理者考虑会影响事项发生的各种企业内外因素，尝试识别某一事项是否会发生、何时发生、结果如何。风险评估使企业了解潜在事项如何影响企业目标的实现，管理者应从风险发生的可能性与造成的影响程度评估风险。事项识别-风险评估-风险应对密不可分。 风险应对要素的出现应当被视为2004版本框架相对于1992版本的重要改变，是对1992内部控制框架被动风险管理局限性的修正。提出了风险容忍度与成本效益原则下风险反应方案的设计与执行。这是主动的、预测性的风险管理措施。 从1992框架的“控制环境”到2004版本的“内部环境”，将风险管理框架的要求拓展到控制系统之外，涵盖了组织、战略、文化的部分，我认为是此处变化的主要含义，欢迎探讨。 除了这些重大变化，2004版本框架对重要概念的定义也是我们所关心的。 在这一版本中，“风险”被定义为“一个事项将会发生并给目标实现带来负面影响的可能性”。而与之相对的，“机会”被定义为“一个事项将会发生并给目标实现带来正面影响的可能性”。价值的保值与增值被认为是“机会”所特有的。“事项”被认为是“源于内部或外部的影响目标实现的事故或事件”。 “企业风险管理”被定义为“一个过程，由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证”。具体的目标内容不属于企业风险管理的范畴，但制定该目标的过程则是企业风险管理关心的一部分。 首先，企业风险管理被认为是一个过程；其次，风险容量在这个过程中至关重要，在既定战略之下将指导资源配置。风险容量被认为是主体内部环境的一部分。 那么，如何评价COSO2004框架下企业风险管理的有效性呢？ 1、这八个要素都必须正常存在和运行。在小型机构之中，各个构成要素的方法可能不太正式或健全，但在每一个主体中这些基本的概念都应当存在。 2、通常一个主体作为整体评价风险管理有效性，例如董事会必须存在。但也存在单独评价一个业务单元的情况，此时，只有存在类似的机构提供此要素的功能，该单元的风险管理才能被认为有效。 实际上如何检验和确保有效性的问题，并未在框架中得到一个明显的解决方案。如何评价风险管理的有效性是我非常困惑的地方。 最后还有一个明显的疑问：“内部控制与风险管理的关系是怎样的？” COSO2004给出了观点“内部控制是企业风险管理不可分割的一部分，这份企业风险管理框架涵盖了内部控制，从而构建一个更强有力的概念和管理工具”： 1、全面风险管理（企业风险管理的另一个名字）涵盖了内部控制，内部控制是风险管理的子系统。 2、内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理。对于企业面临的大部分运营风险、或者说企业的所有业务流程之中的风险，内部控制系统是必要的、有效的风险管理方法。同时，维持充分的内控系统也是国内外许多法律法规的基本要求。因此，满足内部控制系统的要求也是企业风险管理体系建设起来之后应该达到的状态。 3、两者在活动上不一致，全面风险管理包含的风险管理目标和战略的设定、风险评估方法的选择、管理人员的聘用、有关的预算和行政管理以及报告程序等活动都不在内部控制的范围内。而对风险进行评估、控制活动、信息与交流活动及监察纠正是都包含的。内部控制没有将企业战略考虑在框架之中。这也是上文中强调的COSO1992与COSO2004在目标上的区别。 4、两者对风险的对策不一致，全面风险管理提出风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念与方法，有利于企业的发展战略与风险偏好相适配，联系风险、增长与汇报，参与经济资本的分配，支持业务决策。内部控制缺乏这些手段。可以说这是COSO1992与COSO2004在目标-要素上的区别。

作者：刘宁宁链接：http://www.zhihu.com/question/26532559/answer/40181214来源：知乎著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。第一，合规管理有广义，狭义之分。狭义的合规，是指对外部法规的遵循。狭义的合规，主要是依据银监会《商业银行合规风险管理指引》，“规”主要是指银行外部的法律法规。第三条 本指引所称法律、规则和准则，是指适用于银行业经营活动的法律、行政法规、部门规章及其他规范性文件、经营规则、自律性组织的行业准则、行为守则和职业操守。本指引所称合规，是指使商业银行的经营活动与法律、规则和准则相一致。本指引所称合规风险，是指商业银行因没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失和声誉损失的风险。广义的合规，“规”还包括银行内部的规章制度。第二，内部控制要同时考虑外部法规、内部制度。从这个意义上，内部控制与广义的合规类似。根据《商业银行内部控制指引》（2014）第四条 商业银行内部控制的目标：　　（一）保证国家有关法律法规及规章的贯彻执行。　　（二）保证商业银行发展战略和经营目标的实现。　　（三）保证商业银行风险管理的有效性。　　（四）保证商业银行业务记录、会计信息、财务信息和其他管理信息的真实、准确、完整和及时。第三，控制风险是合规管理、内部控制的都共同目标。 但是，内控的目标不光是控制风险，企业内部经营效率效果评价、流程优化乃至企业文化都属于内控范畴。 第四，控制风险的手段之一，是定下行为规则，在规则内行事，制度就是一种规则。但是，是否符合了制度就能控制风险？显然不是。这也是银行内控管理、合规管理的尴尬之处。

一、健全企业风险管理机制的必要性企业自注册成立的第一天起,就面临着各种各样的风险。比如:国家宏观经济政策调控风险、经营环境风险、组织性失误风险和领导层决策失误风险等。忽视这些风险,现代企业就难以应对突如其来的各种风险因素的冲击,不堪承受难以估量的财务损失和经营困境。亚洲金融风暴是一个非常发人深省的例子。期间,不少发展迅速但长期忽视风险管理的企业的潜在问题集中浮现出来。由于这些企业的决策层事前低估了经营非核心业务的风险、业务扩张所需资金的风险、借贷带来高负债的风险以及国际投机资本市场等多种风险,因而引发巨大的灾难,最终导致许多企业被迫宣告破产或被并购。由于当今现代企业面对着许多隐藏在不同层次的各种风险,使利润的增长变得不稳定,而同时现代企业又要面对投资者不断提高的各种要求,因而迫切需要采取各种方法控制风险,避免损失。所谓风险管理,就是指现代企业为实现所定目标,对可能发生的各种风险进行一系列防范、控制的管理活动,是一种涉及多层次、多方面的现代企业管理职能。风险管理同时也是一个过程,是由现代企业的董事会、管理层以及利益相关人员共同实施的,应用于制定现代企业战略及各个层面的活动,旨在识别和防范可能影响现代企业的各种潜在危机,并按照现代企业的风险理念健全完善风险管理机制,为现代企业目标的实现提供合理的保证。一般认为它有八个组成要素:企业经营环境、企业目标设定、危机预警识别、风险评估水平、风险因应对策、危机控制活动、信息与沟通、监控能力。现代企业风险管理的手段不应是在企业内部另外增加一个成本高昂的官僚管理机构,它应该能够帮助企业建立并强化应对困难的组织能力,这也是现代企业能够在当今不断变化的全球经济中生存所必须拥有的一种关键能力,就是现代企业必须构建一种切实有效的内部控制框架体系。二、内部控制与内部审计的有机联系现代企业内部控制体系属于现代企业的内部管理系统之一,包括为保障现代企业正常经营所采取的一系列必要的管理措施。内部控制贯穿于现代企业经营的各个方面,只要存在现代企业的经营管理,只要现代企业的经营管理存在着风险,便需要有相应的内部控制。一个运转良好的内部控制体系能够保证企业经营方针和计划的贯彻与执行;维护现代企业资产的安全与完整;保证所有的交易和事项的真实性、合法性;确保会计报表的编制符合财经法规、财务准则和制度的相关要求;同时能防止、披露和纠正错误与舞弊现象的发生。内部控制是现代企业风险管理的重要内容。内部审计既是内部控制的一个组成部分,又是内部控制的一种特殊形式。1986年第十二届国际审计会议上发表的《总声明》中,就把内部审计与组织结构、方法程序一起列为内部控制的重要组成部分。可见,内部审计职能作为内部控制的一个要素,是管理当局用来监督相关控制程序的手段,即是对内部控制的再控制,进而提高现代企业风险管理水平。美国COSO委员会报告及《萨班尼斯———奥克斯利法》法案为内部审计人员参与和进行风险管理提供了可以借鉴的工作指南和参考依据并得到广泛的认可,这在很大程度上表明:以现代企业风险管理为导向,开展对内部控制审计,将成为内部审计工作发展的主要方向。三、现代企业风险管理导向下的内部控制审计工作内部审计是现代企业内部一种独立客观的监督和评价活动,是现代企业风险管理的重要组成部分。它通过审查与评价现代企业本身及所属单位财务收支,经济活动的真实性、合法性及有效性,促进现代企业加强业务管理,实现经济目标。目前,我国大部分大中型现代企业都设置了内部审计部门,但存在着一些突出的问题。比如:内部审计部门不能向股东大会、董事会或监事会独立提交审计报告;内部审计工作范围局限于核实财会方面的交易,较少触及现代企业业务流程方面的风险管理和监测,从而未能就现代企业风险管理担起监督作用;内审部门的隶属关系、角色、职责不明确,缺乏独立性;内部审计人员的水平和内审方法有待提高,缺乏一套系统化和科学化的内审程序等等。在现代企业风险管理进程中,内部控制审计工作是以影响和控制现代企业经营目标实现的各种内部控制制度为依据确定审计项目,以现代企业进行的所有降低和防范风险的活动为测试重点,评价内部控制体系减低和防范风险的充分性和有效性,并提出恰当的完善和健全内部控制体系建议的一种方法。国外许多现代企业成功的内部审计实践证明,以提高企业风险管理水平为目的而实施的以内部控制为导向的内部审计,为内部审计人员参与风险管理提供了基础,促进了内部审计与现代企业风险管理要素的结合,并已经为现代企业管理当局所接受。1•开展内部控制的自我检测。内部控制自我检测是一种新兴的审计技术,最早是由加拿大公司开始运用的内部控制系统,几年来他们总结了一套系统的技术和方法,大大推动了该公司内部控制的发展和完善。目前这种方法在欧美一些发达国家开展的较多。内部控制自我检测的方法就是内部审计人员与被审计单位管理人员组成一个小组,管理人员在内部审计人员的帮助下,对本部门内部控制的恰当性和有效性进行评估,然后根据评估提出审计报告,由管理者实施。对现代企业而言,内部控制自我检测提供了一个风险管理的工具,保证了内部审计人员和管理人员共同对风险进行控制。可以综合地控制现代企业的各方面,包括相关的社会效益,使现代企业对内部控制有一个更全面的了解。不仅要考虑发现的问题如何改进,促进各部门更有效地履行责任,还要使控制措施便于理解,使企业董事会更了解管理的情况以及风险。同时,也降低了审计成本,使内部审计达到更好的效果。2•对现代企业内部控制进行穿行测试审计。此项审计指利用模拟业务将被审计单位的有关数据和业务嵌入被审计单位的内部控制体系当中,进行业务的模拟运行,来获得测试结果,将测试结果与被审计单位的会计信息对比来获得审计证据。此种方法可以对内部控制体系本身的质量和功能进行审计,体系的好坏直接影响企业的抗风险能力,因此体系自身的审计亦是复杂的市场经济环境下必不可少的内容。在设计时可采用平行虚拟业务测试、非正常业务测试、平行运行测试等方法。3•评价内部控制对现代企业风险的监控能力。内部审计评价内部控制体系对现代企业风险管理的监控能力,是指内部审计部门评估企业内部控制体系的内容和运行以及一段时期的监控质量的一个过程。现代企业的内部控制体系可以通过两种方式对风险管理进行监控———全面监控和个别监控。持续监控和个别监控都是用来保证提高现代企业的风险管理水平的。监控还包括对现代企业风险管理的记录。对现代企业风险管理进行记录的程度根据现代企业的规模、经营的复杂性和其他因素的影响而有所不同。适当的记录通常会使风险管理的监控更为有效果和有效率。当现代企业管理者打算向外部利害方提供关于现代企业风险管理效率的报告时,他们应考虑现代企业内部控制体系的记录模式并保持有关的记录所具有的威慑力。4•评估现代企业内部控制体系对风险的反应能力。对风险的反应可以分为规避风险、减少风险、抵御风险和遭受风险四类。规避风险是指采取措施退出会给现代企业带来风险的活动。减少风险是指减少风险发生的可能性、减少风险的影响或两者同时减少。抵御风险是指通过转嫁风险或与他人共担风险,降低风险发生的可能性或降低风险对现代企业的影响。遭受风险则是在风险来临时未能采取任何行动而被动承受可能发生的风险及其影响。内部审计人员可以在对上述四种风险来临或可能来临时,企业的反应和应对能力上,评估和评价现代企业业已建立的内部控制体系防范和应对现代企业风险的效力,即从现代企业总体的角度或组合风险的角度重新考量内部控制体系的功效。

风险管理审计是指企业内部审计部门采用一种系统化、规范化的方法来进行以测试风险管理信息系统、各业务循环以及相关部门的风险识别、分析、评价、管理及处理等为基础的一系列审核活动，对机构的风险管理、控制及监督过程进行评价进而提高过程效率，帮助机构实现目标。风险导向审计是指注册会计师以审计风险模型为基础进行的审计，是审计专用术语。内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制的设计和运行的有效性进行审计。

风险管理包括风险管理。 风险管理是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。风险管理当中包括了对风险的量度、评估和应变策略。理想的风险管理，是一连串排好优先次序的过程，使当中的可以引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。，风险的识别、风险的预测和风险的处理是企业风险管理的主要步骤。风险的识别　　风险的识别是风险管理的首要环节。只有在全面了解各种风险的基础上，才能够预测危险可能造成的危害，从而选择处理风险的有效手段。　　风险识别方法很多，常见的方法有：　　2.1.1◆生产流程分析法　　生产流程分析法是对企业整个生产经营过程进行全面分析，对其中各个环节逐项分析可能遭遇的风险，找出各种潜在的风险因素。生产流程分析法可分为风险列举法和流程图法。　　1.风险列举法指风险管理部门根据该企业的生产流程，列举出各个生产环节的所有风险。　　2.流程图法指企业风险管理部门将整个企业生产过程一切环节系统化、顺序化，制成流程图，从而便于发现企业面临的风险。　　2.1.2◆财务表格分析法　　财务表格分析法是通过对企业的资产负债表、损益表、营业报告书及其他有关资料进行分析，从而识别和发现企业现有的财产、责任等面临的风险。　　2.1.3保险调查法　　采用保险调查法进行风险识别可以利用两种形式：　　通过保险险种一览表，企业可以根据保险公司或者专门保险刊物的保险险种一览表，选择适合该企业需要的险种。这种方法仅仅对可保风险进行识别，对不可保风险则无能为力。　　委托保险人或者保险咨询服务机构对该企业的风险管理进行调查设计，找出各种财产和责任存在的风险。风险的预测　　风险预测实际上就是估算、衡量风险，由风险管理人运用科学的方法，对其掌握的统计资料、风险信息及风险的性质进行系统分析和研究，进而确定各项风险的频度和强度，为选择适当的风险处理方法提供依据。风险的预测一般包括以下两个方面：　　2.2.1预测风险的概率：通过资料积累和观察，发现造成损失的规律性。一个简单的例子：一个时期一万栋房屋中有十栋发生火灾，则风险发生的概率是1/1000。由此对概率高的风险进行重点防范。　　2.2.2预测风险的强度：假设风险发生，导致企业的直接损失和间接损失。对于容易造成直接损失并且损失规模和程度大的风险应重点防范。风险的处理（风险控制）　　风险的处理常见的方法有：　　2.3.1避免风险：消极躲避风险。比如避免火灾可将房屋出售，避免航空事故可改用陆路运输等。因为存在以下问题，所以一般不采用。　　可能会带来另外的风险。比如航空运输改用陆路运输，虽然避免了航空事故，但是却面临着陆路运输工具事故的风险。　　会影响企业经营目标的实现。比如为避免生产事故而停止生产，则企业的收益目标无法实现。　　2.3.2预防风险：采取措施消除或者减少风险发生的因素。例如为了防止水灾导致仓库进水，采取增加防洪门、加高防洪堤等，可大大减少因水灾导致的损失。　　2.3.3自保风险：企业自己承担风险。途径有：　　小额损失纳入生产经营成本，损失发生时用企业的收益补偿。　　针对发生的频率和强度都大的风险建立意外损失基金，损失发生时用它补偿。带来的问题是挤占了企业的资金，降低了资金使用的效率。　　对于较大的企业，建立专业的自保公司。　　2.3.4转移风险：在危险发生前，通过采取出售、转让、保险等方法，将风险转移出去。内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度。内部控制的目的在于改善经营管理、提高经济效益。它是因加强经济管理的需要而产生的，是随着经济的发展而发展完善的。最早的控制主要着眼于保护财产的安全完整，会计信息资料的正确可靠，侧重于从钱物分管、严格手续、加强复核方面进行控制。随着商品经济的发展和生产规模的扩大，经济活动日趋复杂化，才逐步发展成近代的内部控制系统。内部控制的种类　　内部控制制度的重点是严格会计管理，设计合理有效的组织机构和职务分工，实施岗位责任分明的标准化业务处理程序。按其作用范围大体可以分为以下两个方面：1、内部会计控制　　内部会计控制其范围直接涉及会计事项各方面的业务，主要是指财会部门为了防止侵吞财物和其他违法行为的发生，以及保护企业财产的安全所制定的各种会计处理程序和控制措施。例如，由无权经管现金和签发支票的第三者每月编制银行存款调节表，就是一种内部会计控制，通过这种控制，可提高现金交易的会计业务、会计记录和会计报表的可靠性。2、内部管理控制　　内部管理控制范围涉及企业生产、技术、经营、管理的各部门、各层次、各环节。其目的是为了提高企业管理水平，确保企业经营目标和有关方针、政策的贯彻执行。例如，企业单位的内部人事管理、技术管理等，就属于内部管理控制。

一、制订投资计划。初入市的投资者对于自身交易的方向、预期赢利水平、可接受的最大损失、投资策略、选择进行交易的合约月份、资金总量及投入比例等都要有具体的计划，这是伦敦银交易风险管理控制中非常重要的一点。二、建立风险控制制度和流程。投资者要建立系统的风险控制制度和完善的伦敦银交易管理流程，对于操作风险有着重要的意义。三、选择合适的价格。不管是做多还是做空，投资者尽量在长期平均可比价格附近入场，不要去追。伦敦银交易的每轮调整幅度都很大，而伦敦银交易更要甚于黄金，因此选择入场价格和时机相当重要。四、选择合适的渠道。为了降低伦敦银交易风险，投资者尽量少参与杠杆交易，如果你追到了最高峰而遇到回调，杠杆会让你损失很大。五、执行投资纪律。伦敦银交易遵守纪律重于一切。投资纪律是风险防范的压轴根基，也是全部投资行为的必备前提。初入市场的投资者制订了投资计划后，若没有严格执行投资纪律，等于纸上谈兵，结果往往会付出惨重的代价。在伦敦银交易中，投资纪律需要明确的要素包括：交易理由、资金投入量，止损与加仓，行情突变时的处理等。

1.要创造良好的 控制环境，注重建立具有风险意识的 企业文化。2.要有强烈的 风险意识和 内控责任。风险管理的起点是 风险识别，是进行有效风险管理的基础和关键。3.要充分利用内控规范并使其得到不断地优化。

构建风险管理下的内部控制体系的要点3.1营造良好的内部控制环境内部控制环境是内部控制实施的根本环境，是推动企业发展的动力，也是其他风险管理因素实施的基础，其对企业内部控制的构建与实施具有重大的影响，可以说企业的控制环境直接决定了其内部控制与风险管理的效率和效果。（1）深化对内部控制的理解，树立风险管理理念。深化对内部控制的理解，首先应突破对传统的内部控制的理解，应认识内部控制不仅局限于会计层面，内部控制包含更高层次的战略目标，在电力设计企业向多元化经营、总承包和海外项目转型发展的过程中，就要从战略高度进行风险管理和内部控制。再者，无论是企业的管理层，还是企业的员工都应具有风险管理意识，并把风险管理意识贯穿于企业的生产经营过程中，包括业务管理、职能管理、质量与安全管理等各方面。风险管理理念的培养可以通过企业领导层的表率作用、相关的培训及相关的规章制度来实现。（2）建立公司治理结构并充分发挥各机构职责。企业各层级各部门之间应分工明确，并相互监督、相互牵制。公司可以通过公司章程的规定及完善相关的激励约束机制来保障公司机构职责的实现。非常重要的一点是，电力设计企业的最高管理机构，要对内部控制的建立和实施负责。企业应下设内控控制与风险管理的建设、监督管理机构，各机构分别负责各方面的工作，并相互监督、相互制约。5.1完善法人治理结构，为全面风险管理的内控体系建设创造一个良好的内部控制环境。建立一个健全的内部控制体系，实际上就是完善法人治理结构的体现，大多数电力设计企业设立了内部审计机构，但多数内部审计机构隶属于财务总监或总经理领导，因此将电力设计企业的内部审计机构升级为公司董事会审计委员的组成部分或工作部门，这样将进一步明确内部审计机构在电力设计企业内部控制方面的主体地位。（3）培养员工的职业道德和胜任能力。企业员工是企业生产经营活动的执行者，员工良好的职业道德可以保证企业经营活动的顺利进行，可以避免舞弊事件的发生。员工的知识和技能必须与所在岗位所需能力相匹配，这是经营活动和内部控制活动得以有效运行的基本保障。为此，企业应以诚信等职业道德作为员工的行为准则，建立奖惩机制，加强员工的再教育，对关键岗位实行定期轮岗制。3.2设定企业战略目标企业应根据企业的使命或愿景来设定企业的战略目标，战略目标是企业的最高目标，其他目标为战略目标服务。企业根据战略目标再层层分解，并由各部门来落实。战略目标的制定应考虑企业的风险容量，企业实现战略目标所面临的风险应在企业风险容量之内。3.3完善风险管理体系企业应建立风险导向型内部控制体系，只有把风险管理落实到企业的各个环节，才能控制风险。完善企业风险管理体系，应关注一下几点：第一，建立风险预警机制。企业应通过目标分析、过程分析等方法来识别影响企业目标实现的内部及外部的潜在事项，分清潜在事项是机会还是风险，明确风险预警标准。风险预警机制的建立对企业及时抓住发展机会，及时评估、处理风险具有重大意义。第二，建立风险评估体系。企业应对已识别的风险进行进一步的分析与评估，分析潜在风险是固有风险还是剩余风险，分析风险发生的可能性及其影响，并关注重大风险。评估现有的内部控制对风险的适用性，是否需要追加程序等。在评估风险时应注意运用风险组合观。第三，建立风险反应机制。风险应对是控制风险的关键步骤，在风险评估后，企业应针对风险发生的可能性、影响的不同程度，采取不同的应对措施，其中应特别关注重大风险。风险应对措施包括回避、降低、承担和分担风险。同时，在风险应对中要考虑成本与效率的问题。3.4建立良好的控制活动企业应建立良好的控制活动以确保管理层应对风险的各种措施得以有效执行，控制活动贯穿于企业各个部门，各个层面及其活动。控制活动应该包括：对员工绩效的分析与考核，部门的自我复核，对信息处理的控制（包括一般控制和应用控制），实物资产的控制，责任划分与不相容职位相分离控制。3.5充分的信息与沟通在经营过程中，企业应建立信息的传递和沟通以确保员工了解内部控制，明确自己的职责。同时通过对外部市场信息、政策信息、顾客信息、竞争对手信息的了解和掌握，通过与各方的沟通，有利于企业及时处理风险、抓住机会，实现更好的发展。企业可以通过员工手册及建立信息收集与处理系统来实现。3.6建立内部控制监督与评价机制对内部控制的监督与评价是确保内部控制制度得到有效执行的重要手段，同时有利于企业管理层及时了解内部控制存在的问题，可以为内部控制的改进提供建议，有利于内部控制体系的不断完善，进而帮助企业控制各种风险。内部控制监督与评价机制的建立主要包括内部和外部两个方面：第一，企业应建立独立、权威的内部审计机构。内部审计机构的设置应与其他职能部门分离开来。内部审计机构应具有执行审计决定和审计结论的权利，可以建立具有较强独立性与权威性的董事会领导型或监事会领导型的内部审计机构。内部审计不应只局限于财务报表审计，应对企业资格内部控制系统进行全面的监督和评价，包括对企业财务信息、经营活动、控制活动进行审计及评价。同时应提高内部审计人员的职业道德和业务素质，及形成不同职务之间相互检查、监督的机制。第二，提高外部监督与评价。由于内部审计主要对企业领导负责，所以内部审计具有固有局限性，可能会导致一些控制缺陷在权力干预下被掩盖，不利于企业内部控制的改善。所以通常需要独立的第三方参与企业的监督与评价，以实现监督的职能。首先，应完善内部控制信息披露制度，使企业接受政府、社会的广泛监督。再者，可以借助第三方审计力量，最常见的就是定期聘请注册会计师对企业内部控制设计及执行情况进行审计及评价，并出具评审报告。这也有利于监督企业内部控制的构建与实施，也有利于及时发现企业内部控制中存在的问题。(2)风险评估中石化根据企业的发展目标，由各部门收集全面的信息来确定企业的风险容量，并根据企业可能面临的内部风险和外部风险建立以内部控制为基础的风险评估和控制体系，对企业目标的实现有重大影响的关键环节进行全面的风险评估。针对各部门面临的风险和责任制定内部控制流程。中石化根据内部审计结果及在管理过程中发现的问题，不断对《内控手册》进行修订，各分（子）公司也不断修订实施细则。动态的风险评估与应对为企业实现目标提供保障。(3)控制活动中石化的控制措施有：不相容职务分离控制、授权审批控制（以授权指引为核心)、会计系统控制（建立了统一的财务管理信息系统)、资金支付控制、财产保护控制、信息技术控制（采用先进的ERP管理信息系统控制）、计划控制、预算控制（全面预算控制）、合同管理控制、运营分析控制和科学的绩效考核控制等。并将手工控制与自动控制相结合，将预防性控制与事中发现控制结合，建立了重大风险预警机制和突发事件应急处理机制。通过业务控制矩阵明确每个控制点的业务目标、风险、责任单位、不相容岗位、记录文档等，为内部控制责任的落实提供指导。对风险的描述就体现了全面风险管理的内部控制的要求。中石化的《内控手册》保障了内部控制活动的进行，《内控手册》包含了采购、资产、信息管理、内部审计等18大类，59个业务流程，包含了企业经营管理活动的各个方面。(4)信息与沟通中石化采用先进的ERP管理信息系统，会计核算系统、资金集中管理系统、全面预算管理系统和各项业务管理等各成体系的信息系统，并实行财务信息系统集中管理。该系统让各业务部门人员的业务操作都统一在ERP系统上进行，企业录入业务数据后，生产、销售各环节即按相应的业务流程生成相关信息，并传送到公司总部数据库进行监控和分析。中石化制定了相关的管理办法和业务流程，从一般控制、应用控制等方面对信息系统进行规范和控制。企业不断完善信息搜集机制，完善信息沟通平台，《内控手册》也有相应的规定来保障企业部门之间、部门与各分或子公司之间及管理层与外界之间的沟通顺畅。中石油按照相关法规的规定定期对外披露信息，对外信息披露由董事会和总裁办公室审核。(5)内部监督中石化设立了审计委员会负责对财务报告和内部控制的审查，由审计部定期独立审查分公司和子公司。企业建立了两极内部控制日常监督机制，两极评价指的是总部综合检查和分公司、子公司自查测试。总部综合检查主要是内控领导小组负责的年度综合检查和审计部对不少于25家分（子）公司进行独立检查，及对总部进行检查。分公司、子公司自查测试工作主要是企业通过部门流程测试和有审计参与的综合检查评价进行自查测试，及总部部门自查和抽查评价。除日常监督外，中石化还建立了针对内部控制一些重大方面的监督检查。此外，中石化制定了《中石化监督制度汇编》，完善了企业的反舞弊制度。通过制定内控控制执行情况指标对内部控制进行考核。每年定期对内部控制的设计及执行情况进行评价，出具内部控制自我评价报告，并向外披露，接受外界的广泛监督，并聘请外部注册会计师对财务报告内部控制进行审计。4.4中石化内部控制的评价中石化制定《内控检查评价与考核办法》及指引来指导企业内部控制的评价。并根据《内控手册》，检查内部控制设计是否健全；据《内控手册》所适用的内容及范围，检查内部控制执行的符合性和有效性。中石化主要以内部控制缺陷认定和量化评分的方式对内部控制进行自我评价。从内部控制要素、业务流程综合检查、单位自查情况等方面对内部控制进行评价，并制定了规范的内部控制自我评价流程图来规范评价，保障评价的公正性。4.5中石化内部控制实施以来取得的效果中石化自2005年实施内部控制以来，不仅提高了企业的管理水平，企业的盈利能力也随之增强，具体来说：中石化制度化管理体制不断完善，逐步形成了以内部控制为保障，具有中国石化特色的制度化管理体系。不仅提高了企业的抗风险能力，保障企业目标的实现，也为国内其他企业内部控制的建立树立了榜样。中石化管理水平不断提高。中石油实行统一的物资釆购管理，规范企业物资采购，为企业节约了材料成本。建立了产品原料等消耗标准，使企业生产经营管理日益精细化。通过建立IT风险控制系统，使企业风险能力日益增强。内部控制及其审计，提高了审计效率和效果，使企业管理水平不断提高。内部控制的实施加快了企业规章制度的建立，明确了各企业机构、部门及各岗位的职责和权力，对业务操作流程的规范也提高了企业管理效率和管理水平。中石化内部控制的实施满足了外部监管的要求。中石化作为在境内外三地上市的公司，其内部控制的实施与披露满足了各上市地的要求，内部控制自实施以来也得到了不断的完善和改进。内部控制的实施使中石化内部环境不断优化，内部控制的实施保障了公司的体制改革，使公司治理结构不断完善，使企业文化得到了统一和贯彻实施，《员工守则》的制定规范了员工的行为，也使风险管理和诚信经营的理念深入人心。

每个企业有不同的发展目标，在实现目标的过程中有很多不确定性因素，这种不确定性就是风险。首先，要辨识影响企业目标达成的种种风险;其次，对种种风险进行评估，并根据企业的风险承受度，采取应对措施，应对措施包括有风险承受(就是不采取措施控制此风险)、风险分担(将风险分担给其他第三方)、风险转移(将风险转移给第三方)、风险规避(就是不从事这业务了)、风险控制(采取控制措施去降低风险，降低到企业可承受的范围内)、风险对冲，等等。再次，企业决定要对此风险进行管理，就采取内部控制的方式进行，也就是内部控制是实现风险控制的落地手段。最后，还要对种种风险进行监控。好了，针对题目回答。风险管理，就是包括了风险辨识、评估、应对、监控等等一系列的动作。风险控制，就是风险应对策略的其中一种，就是为了降低风险到企业风险承受范围内。内部控制，就是实现风险控制的落地手段，当然不仅仅包括流程和制度的规范，也包括了职责分离、业务授权、分权等方式。

【内部控制和企业全面风险管理区别：】1、侧重点不同：内部控制更多的是强调企业内部的管控，管控实现的途径是比较多的；而企业全面风险管理则不然，强调的更多的企业全面的风险管控，不单单是内部风险、也包括外部风险；2、实现方法不同：内部控制更多的采用管理手段进行；而风险管理则更多的要求预防性的措施方案，都具有一定的预先性，但是明显的不同；【内部控制和企业全面风险管理联系：】企业全面风险管理需要通过内部控制来实现，内部控制是全面风险管理的一种实现方式。

风险管理管理的是不确定性，风险控制是风险管理的一种手段或过程，风险管理的目标可以是0风险，即对不确定性的0容忍，也可以通过控制手段实现（但有点难）。不过，一般而言风险和收益是正相关的，有风险才有收益，所以一般不会，也很难消除风险，所以往往提到风险控制，管控到可容忍的程度即可。内部控制，一般是通过制定规章制度来规范行为或防范风险，通常不涉及到具体的方法与操作，相对而言是具有一定高度且宏观的。如果要把三个概念放在一起比较的话，个人认为内部控制>风险管理>风险控制。

企业内部控制与风险管理分析 　　企业内部控制在定义和内涵上，属于全面风险管理系统的子系统，涵盖在全面风险管理的范畴内，隶属于其中的一个重要部分。 　　 【摘要】 随着近些年经济全球化的进一步加剧，使得世界各国有着更为紧密的经济联系。我国企业也由此面临着很大的机遇与挑战。本文通过对我国企业风险管理与内部控制内涵进行梳理，系统性阐述了企业风险管理和内部控制之间的关系，同时指出企业风险管理和内部控制中的问题，最后提出相应的发展策略及建议，以为我国企业持续有效平稳发展提出一些参考建议。 　　 【关键词】 风险管理 内部控制 问题 对策 　　一、企业风险管理和内部控制的内涵 　　(一)风险管理 　　在企业经营发展过程中，那么会存在或多或少的风险，通过有效方式对企业风险进行正确辨识以及科学预防，降低或者预防风险危害企业，此行为就是企业风险管理。对风险危机进行预测、分析、权衡以及处理均属于风险管理。 　　(二)内部控制 　　所谓企业内部控制，其实就是以有效监管企业为目的，以企业管理制度为前提，对企业风险进行防范，最终实现企业经济效益的一种监控手段。从根本上说，企业内部控制主要包括经营活动控制与内部环境控制。合理科学评估企业内部风险，加强企业内部人员与产业信息的交流与沟通，采用激励的方式实现企业内部系统化管理，此为企业内部控制主要工作内容。 　　二、企业风险管理和内部控制之间的作用关系 　　从某种程度上而言，企业内部控制基本上都是在企业管理职能与管理体制中表现出来，企业风险管理依照其内部控制情况，将企业具体发展目标制定出来，企业内部控制系统则主要评价与分析风险管理系统目标。企业经营风险是企业内部控制所关心的主要问题，企业内部控制体系只有不断健全与完善，菜可以及时处理好企业运行过程中的风险问题。在企业内部控制中，风险评估是其重要环节，可依照评估结果对企业内部控制措施予以制定。实施企业内部控制必须以企业风险管理为前提与基础，企业内部控制以企业风险评估为灵魂与核心。 　　三、企业风险管理和内部控制中所存在的问题 　　(一)企业风险管理和内部控制相脱节 　　当代经济市场中，传统的企业内部管理已无法与不断变化的企业风险状况相适应。一些企业单位对传统内部控制模式进行沿用，造成内部控制和风险管理出现脱节的情况，在很大程度上对企业内部控制效果造成削弱，因为企业风险管理和内部控制相脱节，导致很多企业内部控制系统受限，也无法有效实施风险管理。 　　(二)企业薄弱的风险管理意识与落后的管理模式 　　现阶段，我国一些企业并未树立良好的风险管理意识或者风险管理模式比较落后，很多企业内部控制不能全面了解企业风险，以及企业领导低下的决策水平等等，这些都是导致企业管理水平降低的主要因素，不能对企业风险进行准确识别，而且落后的风险管理不能使企业有效实施内部控制，对企业发展与进步造成严重影响。 　　(三)不能对企业风险管理与内部控制之间的关系进行准确把握，对企业健康发展造成影响 　　在我国，一些企业领导没有对企业内部控制与风险管理之间的关系进行准确把握，或者因为不能做好两者权衡工作，往往存在顾此失彼的状况，对企业健康发展造成严重阻碍，而且错误的企业内部控制同样会影响企业风险管理制度的"不断完善。 　　四、企业内部控制与风险管理对策分析 　　(一)不断提高企业领导的风险管理意识和内部控制意识 　　在实施企业风险管理与内部控制中，企业领导是其重要参与者，所以不断提高企业领导的风险管理意识和内部控制意识对企业内部风险管理与内部控制体系的建立非常有利。为使企业达到良好的经济效益，需要进一步加大对企业领导进行内部控制与风险管理教育，不断培养具有经营管理实力的现代化企业管理人才，以此推动企业风险管理与内部控制体系的健全与完善。 　　(二)进一步优化企业内部控制系统 　　就所有发展中企业而言，企业内部控制体系的健全与完善，企业风险管理机制的构建是企业在激烈市场竞争中求得成功的必然选择。所以在企业风险管理领域中，必须努力将企业风险预警工作做到位，同时做好企业员工管理工作，积极培养企业员工在工作过程中的风险意识。企业员工与管理者团结合作，共担企业风险。此外，根据企业管理体系的完善性，在企业内部构建与企业发展相符合的相关内控制度，确保企业内部控制系统的全与完善，以此为企业内部控制目标的实现提供理论保障。 　　(三)注重企业内部控制中风险因素的作用 　　具体运营管理中，企业内部控制与风险管理会根据企业发展变化而不断作出调整，并非亘古不变的。制定企业战略决策时，起决定作用的是风险管理，所以企业内部控制必须进行适当调整，以为风险管理服务。 　　五、结语 　　随着近些年经济全球化的进一步加剧，使得世界各国有着更为紧密的经济联系。我国企业也由此面临着很大的机遇与挑战。对我国企业风险管理与内部控制内涵进行梳理，系统性阐述了企业风险管理和内部控制之间的关系，同时指出企业风险管理和内部控制中的问题，为企业有效实施风险管理和内部控制提供了理论基础。为促进我国企业文化发展与进步，我们必须积极、有效做好企业经营过程中的风险管理和内部控制工作。现阶段我国具有不够完善的企业体系建设，需要不断培养优秀管理人才与发挥创造力，以此构建现代化企业风险管理与内部控制体系，不断适应中国现代企业发展需求。 ;

内部控制主要指的是财务风险。而风险管理范围广的多。按照风险的来源不同，可以分为外部风险和内部风险。（1）企业外部风险包括：顾客风险、竞争对手风险、政治环境风险、法律环境风险、经济环境风险等；（2）企业内部风险包括：产品风险、营销风险、财务风险、人事风险、组织与管理风险等。内部控制，是指一个单位为了实现其经营目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。应用于会计领域最广泛的制度。风险管理是指如何在项目或者企业一个肯定有风险的环境里把风险减至最低的管理过程。风险管理[1] 当中包括了对风险的量度、评估和应变策略。

风险管理是个大概念，而内部控制相对风险管理来说就更加具体和有针对性了。怎么理解呢？我举一个例子首先了解一下固有风险和剩余风险的概念。前者是当你设定好一个目标后还未开展任何风控活动就面临的所有潜在风险。剩余风险就是当你设定好目标后，认识了潜在风险，那么通过一些列的控制活动来降低、规避、转嫁这些潜在风险后还有未能被控制的潜在风险。其中这个一些列的控制活动中对自身（企业内部）进行控制的称为内部控制。因为外部风险是不可控的，只能预测。在ISO31000的框架中，Internal Control 就是 Risk Management中的第四个关键点。我想你这么理解可以方便一些。

区别：所处的层级不同，作用不同，战略管理层级最高，作用最大。联系：三者是逐层统御关系，由宏观到微观再到执行，对于企业缺一不可。

内部控制和风险管理有区别，主要表现在：1、内部控制和风险管理的目标不同　　①内部控制的目标在于提高企业的经营效率。　　②风险管理的目标就是要以最小的成本获取最大的安全保障。2、内部控制和风险管理的作用不同　　①内部控制作用在于保证会计信息的真实性和准确性、促进企业的有效经营等。　　②风险管理的作用在于维持企业生产经营的稳定、提高企业的经济效益。内部控制：　　内部控制，是指由企业董事会、管理层和全体员工共同实施的、旨在合理保证实现企业基本目标的一系列控制活动。风险管理：　　风险管理又名危机管理，是指生产过程中，风险管理部门对可能遇到的各种风险因素进行识别、分析、评估，以最低成本实现最大的安全保障的过程。

　　一、企业内部控制理论的演变与发展（了解） 　　（一）内部“牵制”阶段20世纪40年代之前 　　起步阶段——行为人层面的控制（点） 　　目的：查错防弊（上下牵制、左右制约） 　　手段：职务分离、账目核对 　　控制对象：钱、账、物等会计事项 　　【意大利】复式记账法13世纪起源 　　【基本设想】两个或两个以上的人或部门无意识地犯同样错误要比单独一个人或部门犯错误的机会小。 　　两个或两个以上的人或部门有意识地合伙舞弊的可能性大大低于单独一个人或部门舞弊的可能性。 　　（二）内部控制制度阶段（20世纪50年代至70年代） 　　进化阶段（概念的形成、解释、修改） 　　——组织层面的控制（面） 　　内部控制开始区分为内部会计控制和内部管理控制两方面，主要通过形成和推行一整套内部控制制度（方法和程序）来实施控制。 　　美国注册会计师协会审计程序委员会： 　　1958年，《第29号审计程序公告》（SAP29） 　　——区分两方面控制 　　1963年，《第33号审计程序公告》（SAP33） 　　——注册会计师主要针对内部会计控制进行检查 　　1972年，《第54号审计程序公告》（SAP54） 　　——对内部会计控制进行了重新定义 　　（三）内部控制结构阶段（20世纪80年代至90年代初开始） 　　提高阶段——企业层面的控制 　　1988年4月，美国注册会计师协会发布《审计准则公告第55号（SASNo.55）》，重点表现在： 　　一、正式将内部控制环境纳入内部控制范畴； 　　二、不再区分内部会计控制和内部管理控制。 　　（四）内部控制整合框架阶段 　　演进阶段——基于企业风险控制 　　1992年9月，COSO发布《内部控制：整合框架》（IC） 　　【三项目标】：取得经营的效率和有效性；确保财务报告的可靠性；遵循适用的法律法规。 　　【五大要素】：控制环境、风险评估、控制活动、信息与沟通、监督。 　　COSO内部控制系统 　　一、强调风险评估在内部控制中的重要作用 　　二、强调信息与沟通是强化内部控制的重要途径 　　三、强调对内部控制系统本身的监控是内部控制发挥作用的关键环节 　　（五）全面风险管理阶段 　　提升阶段——基于企业全面风险管理 　　2004年，COSO发布《企业风险管理——整合框架》（ERM）。 　　风险管理整合框架认为，全面风险管理是一个过程。这个过程受董事会、管理层和其他人员的影响。这个过程从企业战略制定一直贯穿到企业的各项活动中，用于识别那些可能影响企业的潜在事件并管理风险，使之在企业的风险偏好之内，从而合理确保企业取得既定的目标。 　　《企业风险管理——整合框架》（ERM）。 　　【目标】战略目标、经营目标、报告目标和合规目标。 　　【风险管理要素】内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督。 　　【企业的层级】包括主体层次、各分部、各业务单元及下属各子公司。 　　COSO内部控制系统 　　企业风险管理框架 　　与COSO内部控制整合框架相比，ERM整合框架具有下列6个方面的主要特点： 　　（1）内部控制涵盖在企业风险管理活动之中，是其不可分割的组成部分。 　　（2）拓展了所需实现目标的`内容。 　　首先，增加了战略目标。 　　其次，将财务报告扩展为企业编制的所有报告。 　　最后，引入风险偏好和风险容忍度的概念。 　　（3）引入风险组合观，从企业角度和业务单元两个角度以“组合”的方式考虑复合风险。 　　（4）更加强调风险评估在风险管理中的基础地位。 　　（5）扩展了控制环境的内涵，强调风险管理概念和董事会的独立性。 　　（6）扩展了信息与沟通要素，企业不仅要关注历史信息，还要关注现在和未来可能影响目标实现的各种事项的影响。 　　二、内部控制与风险管理的关系（了解） 　　（一）内部控制包含风险管理 　　（二）风险管理包含内部控制 　　（三）内部控制与风险管理是一对既互相联系又互相差别的概念

区别：（1）两者的范畴不一致。内部控制仅是管理的一项职能，主要是通过事后和过程的控制来实现其自身的目标；而全面风险管理则贯穿于管理过程的各个方面，控制的手段不仅体现在事中和事后的控制，更重要的是在事前制订目标时就充分考虑了风险的存在。而且，在两者所要达到的目标上，全面风险管理多于内部控制。（2）两者的活动不一致。全面风险管理的一系列具体活动并不都是内部控制要做的。两者最明显的差异在于内部控制不负责企业经营目标的具体设立，而只是对目标的制定过程进行评价，特别是对目标和战略计划制定当中的风险进行评估。（3）两者对风险的定义不一致。在COSO委员会的全面风险管理框架中，把风险明确定义为“对企业的目标产生负面影响的事件发生的可能性”（将产生正面影响的事件视为机会），将风险与机会区分开来；而在，COSO委员会的内部控制框架中，没有区分风险和机会。（4）两者对风险的对策不一致。全面风险管理框架引入了风险偏好、风险容忍度、风险对策、压力测试、情景分析等概念和方法，因此，该框架在风险度量的基础上，有利于企业的发展战略与风险偏好相一致，增长、风险与回报相联系，进行经济资本分配及利用风险信息支持业务前台决策流程。这些内容都是内部控制框架中没有的，也是其所不能做到的。联系：1）全面风险管理涵盖了内部控制。COSO2003年7月公布了全面风险管理框架的征求意见稿中明确地指出全面风险管理体系框架包括内控作为一个子系统。从时间先后和内容上来看，全面风险管理是对内部控制的拓展和延伸。（2）内部控制是全面风险管理的必要环节。内部控制的动力来自企业对风险的认识和管理，对于企业所面临的大部分运营风险，或者说对于在企业的所有业务流程之中的风险，内控系统是必要的、高效的和有效的风险管理方法。从国际国内发展趋势来看，随着内部控制或风险管理的不断完善和变得更加全面，它们之间必然相互交叉、融合，直至统一。内部控制国外较为经典的是 ASB 对内部控制的定义。1972 年，美国审计准则委员会(ASB)所做的《审计准则公告》，该公告循着《证券交易法》的路线进行研究和讨论，对内部控制提出了如下定义:"内部控制是在一定的环境下，单位为了提高经营效率、充分有效地获得和使用各种资源，达到既定管理目标，而在单位内部实施的各种制约和调节的组织、计划、程序和方法。

内部控制与企业风险管理之间的联系是十分紧密的。内部控制的实质是风险控制，风险管理是内部控制的主要内容，企业风险管理包容内部控制。但两者之间的关系并不是简单的相互关系，两者之间存在着相互依存的、不可分离的内在联系。内部控制与风险管理都是全员参与的过程，最终责任人都是管理者，且两者的实施主体、过程也是一致的。内部控制与风险管理的组成要素中，其中控制环境、风险评估、控制活动、信息与沟通以及监督这五个要素是重合的。内部控制与风险管理的区别核心区别就是风险管理是事前、基于未来的一种管理，具有不确定性，而内部控制是对当下和过去的检查，相对是明确的，比如检查公司制度设计是否完善，实际工作是否按制度设计去执行的，这些都是对过去事项的控制和检查。对风险管理和内控的要求是不一样的，内控是强制性的要求，如监管机构对上市公司的内部控制是有要求的，这是公司上市满足监管的标准。风险管理相当于公司的“道德品质”，没有强制性要求，但要比法律要求的标准更高，好比有的人道德水平高、有的道德水平低。

内部控制与审计之间存在紧密的关系。内部控制是组织机构建立的一套制度和流程，旨在确保资产保护、业务运作的有效性和合规性。审计是独立的评估过程，旨在确定内部控制的有效性和合规性。内部控制提供了审计的基础和前提。一个良好的内部控制体系可以降低潜在风险和错误的发生，提高数据的准确性和可靠性，为审计提供可靠的依据。审计人员依赖内部控制的存在和有效运作，来评估组织的风险管理和合规性水平。审计对内部控制起到监督和验证的作用。通过审计程序，审计人员评估内部控制的设计和执行情况，检查其是否符合相关法规和标准。审计还揭示潜在的风险和漏洞，并提供改进建议，帮助组织加强内部控制体系，减少风险。

1、内部控制审计就是确认，评价企业内部控制有效性的过程，分析缺陷形成原因，提出改进内部控制建议； 2、内部控制环境，即评价以公司治理结构，机构设置和权责分配，内部审计，人力资源政策，企业文化在内的内部控制环境对企业经营管理活动的影响； 3、风险评估，即分析企业风险控制目的设置的合理性，评价开展风险评估范畴的全面性，风险评估结果的有效性和风险应对策略的科学性； 4、控制活动，即评价企业根据风险评估结果设置的内部控制措施的科学性和控制效果的有效性，内部控制信息和沟通，即评价企业内部控制相关信息在收集，处理和传递程序的科学性，分析信息技术在内部控制信息和沟通中所发挥作用的情况，判断企业在反舞弊工作重点领域相关工作机制的有效性； 5、内部监督制度，即分析企业内部审计机构和其他内部机构在内部监督中的职责权限情况，判断企业实施内部监督的程序，方法，目的等要求的科学性，有效性。

内部控制与内部审计之间存在着一种相互依赖、相互促进的内在联系。内部控制本质上是组织为了达到一定目标所采取的＝系列行动和过程，主要目的包括：信息的可靠性和完整性：政策、计划、程序、法规的遵循性；资产的安全性：资源使用的经济性和有效性；为经营和计划所确定的目的和目标完成情况。而内部审计的主要目的是评价组织控制，它既对内部控制的健全和有效进行评价，以确保揭露组织潜在的风险和运行的经济达到组织的目标。其本身又是内部控制的重要组成部分。一个经济实体所提供的会计信息和其他经济信息的真实、完整与否，与该实体是否存在具有规范的内部控制制度有效执行，有着相当程度的因果关系。内部控制的存在与否，对内部审计方式的选择有着至关重要的意义。由于内部控制是为了推进经济实体的有效运营，而内部审计则在于协助管理层调查、评估内部控制制度，适时提供改进建议，以求内部控制制度得以持续实施。在通常情况下，内部控制系统由经济实体经营管理部门指定并在实施执行中评价和改进，通过内部审计部门评价内部控制系统的健全性和有效性。由于内部审计是在有限的时间与合理的成本条件下进行的。同时，审计主体对审计结论负有相应的责任。因此，审计工作必须讲究效率与结果，保证内部控制的合理性和运行的有效性。 适当的组织目标和合理的评价标准是管理和内部审计工作走向规范的标志。没有合理的评价标准，就等于没有实质意义的管理，缺少有效的内部控制，内部审计工作展开也就无法真正发挥其作用，以风险评估为基础的风险导向审计属于开放式的模型。审计人员当开始一项审计项目时，必须首先评估组织面临的经营、管理、财务，风险，考虑组织目标是否适当和是否有相应的控制，这不仅体现在具体项目及与部门的相互沟通方面，而且还反映在宏观上审计目标的不断演变。由此可见，内部审计人员根据风险评估的思路开展对内部控制的评价，以组织目标为起点和核心，能够更加有效地发挥建设性作用，完成由监督控制到风险基础，为组织做好服务。 现代企业内部审计工作主要涵盖以下内容： 1、财务收支审计。主要是评价和监督企业是否做到资产完整、财务信息真实及经济活动收支的合规性、合理性及合法性，对会计记录和报表分析提供资料真实性和公允性证明； 2、经济责任审计。是评价企业内部机构、人员在一定时期内从事的经济活动，以确定其经营业绩、明确经济责任，这里包括领导干部任期经济责任审计和年度经济责任审计。 3、经济效益审计。审计重点是在保证社会效益的前提下 以实现经济效益的程序和途径为内容，对企业的经营效果、投资效果、资金使用效果做出判断和评价，其中基建工程预决算审计应为重中之重。 4、内部控制制度评审。主要是对企业内部控制系统的完整性、适用性及有效性进行评价。 5、开展明晰产权的审计。审计明晰其产权归属，避免造成国有资产、集体资产流失或其他有损企业利益的行为。 6、其他审计。结合企业自身行业特点，开展对经营、管理等方面的审计工作，以增强医院后备能量。 内部控制是企业有效组织经营，进行管理及各项经济业务有序开展的必要保证。内部审计通过对内部控制进行测试，可以评价企业内部控制制度的健全性、遵循性和有效性，能针对内部控制中的薄弱环节及时提出相应改进建议，促使企业以合理的成本促进有效控制，达到改善企业内部经营状况的目的。内部审计在当前企业转机建制过程中，应抓住时机，认真总结经验，研究和探讨审计工作的新方法、新思路，拓宽视野，尽快消除旧的思维方式和工作模式，跳出常规的财务收支审计局限，向经济效益审计、经济责任审计、管理审计领域进一步延伸。

随着我国企业市场化程度越来越高，市场竞争也更加激烈。在长期的管理咨询经历中，经历了各个行业和不同规模的公司咨询，我们认为：虽然各个公司的财务管理基于不同行业商业模式的不同而有差异之外，在财务控制及内部控制方面都存在类似的问题，我们总结如下： - 财务管理基础薄弱，财务内部控制弱化；现在财务核算或管理软件已经获得了极大的普及，各个层次或功能的财务管理或核算软件能够帮助财务人员很好的提高效率和确保核算数据的正确性和及时性。但目前公司的基础财务管理水平却与管理层对财务数据的要求有一定的差距。比如：财务资料的内部控制标准、职位分离原则的实施、审计、权限管理、决策数据支持、战略管理和业绩管理等方面都存在问题。财务发挥的作用并没有我们期望的效果。这也是很多公司在管理过程中，认为财务并没有很好的监管及控制业务的进行，而是流于形式和只是为了完成必要的程序； - 财务管理功能缺乏，明显缺乏良好有效的财务管理工具及内部控制工具。在实践管理过程中许多工具和技术并没有获得公司管理人员的执行或是运用，比如预算管理、关键业绩指标、内部控制标准、财务预警机制等。在公司实际管理过程中，财务人员耗费了大量的精力和时间在财务数据收集、整理、核算、编制财务报告方面，并没有在财务数据分类、成本削减、业绩管理、预算控制、战略管理等过程中发挥积极的作用，而是退缩于只是提供数据和信息的支持者的角色。 - 公司整体缺乏内部控制机制和标准，也没有意识到内部控制给公司带来的利益。在很多跨国公司中纷纷建立了规范和齐全的内部控制标准，并将内部控制标准融入到流程设计和流程改进中，大量的进行员工培训和教育，将内部控制标准深入到所有员工的日常工作和行为中，以降低公司的商业风险和规避在商业中出现舞弊和欺诈等非正常商业行为的发生，以维护良好的公司社会形象和维护股东利益； - 由于中国公司的外部环境并没有要求公司强化内部控制标准，这种不成熟的市场化运营方式导致公司并不关心内部控制标准对公司能够带来的经济及社会利益，公司认为所谓的走“擦边球”似的路线能够帮助公司获得期望的利益，而没有考虑到由于内部控制失效对公司的造成的损害可能致命的，我们从“安然”事件中可以看到内部控制失效后对公司所带来后果。 内部控制定义： 内部控制一般指： - 对公司内部运做流程的审视和检测；内部控制具体执行时需要相关的内部控制审计人员对公司各个运行程序进行全面的审视和检测，包括运用必要的审计手段，比如分析性测试、内部控制水平评估、调查、现场查看等，需要完备的审计工作底稿和管理报告，并对公司管理层报告审计过程中发现的问题和提出自己的管理意见； - 流程管理的修正器和轨道；内部控制的实施需要公司具有比较完善的运营流程和流程操作手册，在实际审计及检测过程中依据公司运营流程和操作手册能够很好的判断实际与期望及事前规定的差异，能够发现流程运营过程中的冗余和不增值部分，并规范它。 - 是公司内部管理不可缺少的环节；内部控制实际上是公司内部管理工作中基础和奠基，公司所有的运营流程和管理流程都需要纳入内部控制标准的范围以内。 内部控制的利益： - 有助于我们达到主要创意和最佳公司目标，在我们进行内部控制标准设计的过程中，我们需要关注公司股东及战略目标，除了基础的控制措施以外，对于战略管理等方面内部控制标准能够帮助我们很好的实现战略目标。 - 有助于保护我们的财产和信息、技术，在内部控制中许多原则能够帮助公司维护资产和信息、技术的安全，比如良好的复核验证程序、定期的报告和记录程序、权限管理等方式都能够帮助我们很好的维护资产、信息、技术完整。 - 有助于确保我们提供可靠和及时的经营报告和财务报告，由于内部控制标准在维护财务信息和财务数据的安全和完整方面具有非常良好的技术和手段，也是将内部控制标准作为内部控制最重要的控制部分，因此有理由相信内部控制标准对于公司财务信息的维护和完善是非常有效的。 - 有助于我们遵循有关的法律、法规、惯例，避免损害公司声誉和地位，在内部控制标准中，我们专门对公司对于外部环境，特别是法律法规，惯例等的维护放置到非常重要的地位。由于内部控制标准失效和执行不好而造成公司在违反法律和商业惯例方面而该给公司造成的损害，包括短期经济利益和长期社会利益方面已经有非常多的沉痛案例。 内部控制评价的具体标准还可以分为两个层次：第一层次是内部控制要素评价标准；第二层次是内部控制作业层级评价标准。借鉴美国COSO报告的研究成果，内部控制组成要素包括控制环境、风险评估、控制活动、信息与沟通、监督五个。每一个要素又可以再分为更多的项目，例如控制环境要素涵盖的项目就有操守及价值观、执行能力、董事会、管理哲学及经营型态、组织结构、权责分派体系、人力资源政策及实行等。至于作业层级评价标准主要是控制活动要素的细化，控制活动是确保管理阶层的指令得以实现的政策和程序，旨在帮助公司保证其已针对“使公司目标不能实现的风险”采取了必要的行动。控制活动是针对控制点而制定的，公司一般根据其生产经营活动的特点来设计控制活动内部控制标准设计流程：

1、 内部审计的主要作用是评价内部控制的有效性，内部审计人员应对企业管理风格、企业文化、会计核算、控制程序等各方面非常熟悉，清楚各项业务活动的关键控制点；加之其相对独立并在企业内部有较高的地位，使其评价内部控制的有效性成为可能； 2、 内部审计的日常工作是监督内部控制的运行，为了确保企业相应管理制度措施与程序得到全面准确地执行，必须要有监督。内部审计在企业中并不直接参与相关的经济活动，处于相对独立的地位，但又时时处在各项管理活动中，对企业内部的各项业务比较熟悉、对发生的事件比较了解，是实行内部监督的最好选择； 3、 内部审计工作者可以提供管理咨询服务，由于内部审计人员在内部控制中所起的重要作用，为企业相关部门或员工提供管理咨询便成为内部审计人员的一项自然“服务”。

审计人员为什么要了解企业的内部控制 走到一个新公司，注册会计师根本不可能熬几个通宵就对企业内情全部了解，因此理论来说，出具的审计报告也就只能提供合理保证。所以审计人员必须依赖企业内部控制的状况来判断企业会计状况。就好比：纪委的去查，先去看民情一样的。内部控制好，公司各项制度完整而且执行的好，审计人员就有理由认为，既然内部治理健全，那么我没理由相信：会计信息是假的。 为什么要了解被审计单位的内部控制 因为需要风险测试，风险的大小影响审计抽查的方法和数量，也有助于圈定重点审计范围 注册会计师为什么需要了解企业的内部控制 注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。 注册会计师需要了解企业的内部控制的原因，是因为可以据了解的情况，进行初步的判断内部控制是否有效。 并将了解到情况用于评价内部控制。 最终根据评价的结果，判断是否依赖内部控制，是否测试内部控制的有效性。 为何审计人员需要了解企业业务往来 不管是 *** 审计、外部审计、还是内部审计，就其实质来说，审计是一种经济监督活动，经济监督是审计的基本职能。既然要监督经济事项，那么肯定要理解企业的业务往来才行。 企业为什么要开展内部控制审计 1.内部审计的主要作用是评价内部控制的有效性 内部审计人员应对企业管理风格、企业文化、会计核算、控制程序等各方面非常熟悉，清楚各项业务活动的关键控制点；加之其相对独立并在企业内部有较高的地位，使其评价内部控制的有效性成为可能。 2.内部审计的日常工作是监督内部控制的运行 为了确保企业相应管理制度措施与程序得到全面准确地执行，必须要有监督。内部审计在企业中并不直接参与相关的经济活动，处于相对独立的地位，但又时时处在各项管理活动中，对企业内部的各项业务比较熟悉、对发生的事件比较了解，是实行内部监督的最好选择。财政部发布的《内部会计控制规范——基本规范（试行）》规定：“单位应当重视内部会计控制的监督检查工作，由专门机构或者专门人员具体负责内部会计控制执行情况的监督检查，确保内部会计控制的贯彻实施。”尽管没有明确提出由谁宋实施监督检查，但从理论或实践来看，由内部审计部门和内部审计人员担任此责是较合适的。 3.内部审计工作者可以提供管理咨询服务 由于内部审计人员在内部控制中所起的重要作用，为企业相关部门或员工提供管理咨询便成为内部审计人员的一项自然“服务”。尤其对于那些拥有众多二级、三级子公司的大型房地产企业（母公司或总公司）难于有效实现对下级公司的管理与控制时，更需要这种“服务”。内部审计的一个重要职能是为以下两者提供有关内部控制的咨询服务：一是母公司或总公司的职能部门 （比如房屋销售部门希望对贷款的回收进行有效管理，可从内部审计人员处得到中肯的意见）；二是下级公司的管理当局（比如分公司的经理就如何在分公司内建立良好的内部控制咨询上一级内审机构）。 内部控制存在固有限制，为什么了解内部控制还是审计人员必不可少的步骤？ 内部控制是近年企业主管和财政部门在企业、事业乃至国家机关加强管理的重点内容，是与国际接轨的具体体现，它既为审计人员提供新的路径，同时提供新的审计手段，因此是现代审计不可忽视和灵活运用的步骤或方法、程序之一。 为什么注册会计师不信赖被审计单位的内部控制，仍要了解内部控制？ 注册会计师需要了解被审计单位及其环境（包括了解被审计单位与审计相关的控制）以识别和评估重大错报风险。 有没有人可以告诉我作为审计人员如何设计企业的内部控制制度？ 企业内部控制制度的设计要点 企业内部控制制度设计的优劣将直接影响内部控制制度执行的有效性，因此，在进行企业内部控制制度的设计过程当中，应该避免走入设计误区，并抓住设计要点进行制度设计，以确保企业内部控制制度的科学合理。 一．控制目标设计 企业内部控制制度首先需要有明确的控制目标。控制目标是管理经济活动的基本要求、实施内部控制的最终目的，同时也是评价内部控制的最高标准。简单来说，设置企业内部控制目标解决了企业为什么要进行控制的问题，为内部控制指明了努力的方向。在企业内部控制制度的设计中，企业内部控制目标的定位应该与企业的发展战略相结合，应该把握控制目标的动态性、层次性和全面性的特征进行设计。众所周知，处于不同发展阶段的企业，由于发展战略各异，其内部控制的侧重点有所不同，因此，企业内部控制目标具有动态性，进行内部控制目标设计应该随企业的发展而变化，实行跟踪控制；还应该针对企业的不同治理结构层次、内容对企业内部控制目标进行分解，满足内部控制目标的层次性要求，做到目标明确、分而治之。同时，还要在制度上体现对内部控制多个目标间的协调，使整体控制效果达到最佳状态。 二．控制流程设计 控制流程是依次贯穿于某项业务活动始终的基本控制步骤及相应环节，控制流程往往是与业务流程相吻合的。在企业内部控制制度设计中，控制流程的设计应该是与企业控制目标相适应的。控制流程的设计思路和方法很多，如按会计科目设计、按经济业务类型设计、按经营单位或管理部门设计，等等。但是，无论使用哪种(或多种)设计思路，都需要根据企业的实际情况，结合企业所制定的内部控制目标进行权衡比对，从而选择最适合的设计思路和方法。为了确保制度设计的科学合理，在进行流程设计之前应该对企业现有经济业务进行分类、整合和提炼，避免重复设计流程(如控制手段、控制过程相同的不同经济事项被重复进行设计)。另外，在进行控制流程设计时不可避免会出现交叉或重复的内容，此时需要对这些内容进行适当调整，否则将影响其客观性。 三．控制点设计 控制流程是由控制点组成的，控制点又分为关键控制点和一般控制点两种类型，对不同的控制点需要采用不同的控制方法进行管理。关键控制点与一般控制点在一定的条件下是可以相互转化的。企业制定内部控制措施的关键在于抓住关键控制点，企业管理者只有将注意力集中于业务处理过程当中发挥作用大、影响范围广、对保证整个业务活动的控制目标至关重要的关键控制点上，才能确保内部控制的效率和效果。因此，控制点的设计非常重要，其中关键控制点的选择更是重中之重。内部控制关键控制点应该以选择关键的成本项目、业务活动、业务环节、重要要素及重要资源为选择依据，即将影响成本项目费用的主要因素，对企业竞争力、盈利能力有重大影响的活动、要素和资源及容易发生且可能造成重大损失的环节设定为内部控制关键控制点。值得注意的是，不同的经济业务活动其关键控制点是不同的，某环节在某项业务中属于内部控制关键控制点并不意味着它永远都是，也许在其他的业务活动中，该环节仅是一般控制点。因此，在进行内部控制制度设计中，必须根据管理或内部控制目标的具体要求、业务活动的类型及特点等来选择和确定企业内部控制的关键控制点。 四．控制权限设计 内部控制权限的设计是企业建立内部控制制度的精髓之一，控制权限是否设置合理，直接决定了内部控制制度的客观性和有效性。内部控制要求企业必须建立合理的授权机制，对内部控制的控制权限进行合理配置。笔者认为，对内部控制权限进行设计要遵循重要性原则、责任明确原则，既要满足控制目标的需要，又要兼顾工作效率。明确内部控制的控制权限应从授权阶段就开始进行控制。管理层在进行授权时，应该统筹考虑授权的范围、层次与责任，将所有的经营活动都纳入授权范围，把经济活动的重要性列为权限划分的重要依据，防止出现权力重叠或责任真空的现象，做到权责明晰，为各中间管理层和全体员工以所授权限开展工作提供依据。管理者通过合理授权以保证经营决策得以有效运行、管理制度有效贯彻，实现权力制衡。在设计中实现相互牵制也非常重要，若同一项经济业务由一个人(或一个部门)包办，则难以实现管理控制的目标，必须要有相互牵制、相互制约和相互监督，进行控制权限设计同样需要考虑这方面的问题。 五．控制监督设计 内部控制监督是经营管理部门对内部控制的管理监督及内审监察部门对内部控制的再监督活动的总称，是随着时间的推移而评估制度执行质量的过程。在我国，很多企业并非没有建立内部控制制度，困扰企业的主要问题是所建立的内部控制制度的执行效果不佳，某些参与制定内部控制制度的负责人内部控制意识薄弱，致使内部控制制度形同虚设或出现“对上不对下”的尴尬局面。造成这种不良现象出现的主要原因就是企业忽视了对内部控制监督的设计，监督机制不完善。因此，要确保企业所建立的内部控制制度被切实执行并获得良好的执行效果，就必须对内部控制过程施以恰当的监督，内部控制监督设计的重要性可见一斑。在进行内部控制设计时，应该关注监督评审程序的合理性、对内部控制缺陷的报告和对政策程序的调整。要将内部控制监督工作列为企业日常工作之一，将内部审计列为重点监督手段，使内部审计充分发挥监督企业经营业务、提供完善内部控制制度和纠错的建议的作用。同时，畅通监督信息反馈渠道可以使管理层或其他人员在发现企业内部控制缺陷时，能及时向上反馈或提供建设性建议，使企业内部控制的缺陷得以及时、果断处理。 六．控制制度体例设计 企业内部控制制度体例是内部控制制度的基础和骨架，除非遇到特殊情况或特殊需要，一般来说，内部控制制度的体例是不需要作重大调整的。倘若内部控制制度的体例设计不合理，企业对体例作出重大调整时，将会耗费大量的人力、物力。另外，频繁地调整内部控制制度的体例也不利于制度的执行，同时也削弱了制度的权威性。因此，内部控制制度体例的设计至关重要，在设计时，不但要考虑一般的设计问题，还要考虑到所设计的制度体例能够适应今后修改完善的要求，预留一定的修订、完善空间。例如，对内部控制制度条目的排序可以用1.1、1.2、2.1等排序，能够较好地解决对业务流程、控制步骤和控制点进行增补、修改或删除的需要。而在文字编排方面，诸如基本原则、要求、一般规定等应该在制度大纲中描述，而不宜放在具体的业务流程当中。总的来说，就是内部控制制度的体例设计要确保制度整体结构在一定时期内保持稳定，同时可以适应修订和完善的需求。 作为审计人员,除了掌握企业的会计资料,还需要了解什么 一.作为一名审计应具备以下知识： 1、具备一定的内部审计的知识 。2、具备一定的财务知识。 3、内部控制及风险管理。 4、公司治理。 5、信息技术。 6、单位的经营业务。熟悉本企业的经营业务对内部审计来说至关重要，若不懂本单位经营业务，就不能深入企业内部，去发现单位须改善的问题。以上知识通过多看相关方面书籍就可以掌握， 二。在实际工作中，除了掌握企业的会计资料，审计人员需要的业务能力有： 1、分析问题的能力； 2、发现问题的能力； 3、解决问题的能力； 4、表达能力； 5、人际交往技巧 知识掌握相对比较容易，而对于能力的提高不是只靠看书学习就能见效的6.，平时注意“三练”，培养和提高专业胜任能力， 其实想干好审计工作，主要是知识面广，最好有一定的会计基础或者会计工作经验！ 新员工为什么要了解企业的文化 通俗而言就是洗脑,让你对企业的价值观加以认可,这有利于稳定员工,提高其积极性

企业内部控制审计主要包括：　　第一，内部控制环境，即评价以公司治理结构、机构设置和权责分配、内部审计、人力资源政策、企业文化在内的内部控制环境对企业经营管理活动的影响。　　第二，风险评估，即分析企业风险控制目的设置的合理性，评价开展风险评估范畴的全面性、风险评估结果的有效性和风险应对策略的科学性。　　第三，控制活动，即评价企业根据风险评估结果设置的内部控制措施的科学性和控制效果的有效性。　　第四，内部控制信息和沟通，即评价企业内部控制相关信息在收集、处理和传递程序的科学性，分析信息技术在内部控制信息和沟通中所发挥作用的情况，判断企业在反舞弊工作重点领域相关工作机制的有效性。　　第五，内部监督制度，即分析企业内部审计机构和其他内部机构在内部监督中的职责权限情况，判断企业实施内部监督的程序、方法和目的要求的科学性，评价内部控制监督制度的有效性。

内部控制与内部审计之间存在着一种相互依赖、相互促进的内在联系。内部控制本质上是组织为了达到一定目标所采取的＝系列行动和过程，主要目的包括：信息的可靠性和完整性：政策、计划、程序、法规的遵循性；资产的安全性：资源使用的经济性和有效性；为经营和计划所确定的目的和目标完成情况。而内部审计的主要目的是评价组织控制，它既对内部控制的健全和有效进行评价，以确保揭露组织潜在的风险和运行的经济达到组织的目标。其本身又是内部控制的重要组成部分。一个经济实体所提供的会计信息和其他经济信息的真实、完整与否，与该实体是否存在具有规范的内部控制制度有效执行，有着相当程度的因果关系。内部控制的存在与否，对内部审计方式的选择有着至关重要的意义。由于内部控制是为了推进经济实体的有效运营，而内部审计则在于协助管理层调查、评估内部控制制度，适时提供改进建议，以求内部控制制度得以持续实施。在通常情况下，内部控制系统由经济实体经营管理部门指定并在实施执行中评价和改进，通过内部审计部门评价内部控制系统的健全性和有效性。由于内部审计是在有限的时间与合理的成本条件下进行的。同时，审计主体对审计结论负有相应的责任。因此，审计工作必须讲究效率与结果，保证内部控制的合理性和运行的有效性。适当的组织目标和合理的评价标准是管理和内部审计工作走向规范的标志。没有合理的评价标准，就等于没有实质意义的管理，缺少有效的内部控制，内部审计工作展开也就无法真正发挥其作用，以风险评估为基础的风险导向审计属于开放式的模型。审计人员当开始一项审计项目时，必须首先评估组织面临的经营、管理、财务，风险，考虑组织目标是否适当和是否有相应的控制，这不仅体现在具体项目及与部门的相互沟通方面，而且还反映在宏观上审计目标的不断演变。由此可见，内部审计人员根据风险评估的思路开展对内部控制的评价，以组织目标为起点和核心，能够更加有效地发挥建设性作用，完成由监督控制到风险基础，为组织做好服务。现代企业内部审计工作主要涵盖以下内容：1、财务收支审计。主要是评价和监督企业是否做到资产完整、财务信息真实及经济活动收支的合规性、合理性及合法性，对会计记录和报表分析提供资料真实性和公允性证明；2、经济责任审计。是评价企业内部机构、人员在一定时期内从事的经济活动，以确定其经营业绩、明确经济责任，这里包括领导干部任期经济责任审计和年度经济责任审计。3、经济效益审计。审计重点是在保证社会效益的前提下以实现经济效益的程序和途径为内容，对企业的经营效果、投资效果、资金使用效果做出判断和评价，其中基建工程预决算审计应为重中之重。4、内部控制制度评审。主要是对企业内部控制系统的完整性、适用性及有效性进行评价。5、开展明晰产权的审计。审计明晰其产权归属，避免造成国有资产、集体资产流失或其他有损企业利益的行为。6、其他审计。结合企业自身行业特点，开展对经营、管理等方面的审计工作，以增强医院后备能量。内部控制是企业有效组织经营，进行管理及各项经济业务有序开展的必要保证。内部审计通过对内部控制进行测试，可以评价企业内部控制制度的健全性、遵循性和有效性，能针对内部控制中的薄弱环节及时提出相应改进建议，促使企业以合理的成本促进有效控制，达到改善企业内部经营状况的目的。内部审计在当前企业转机建制过程中，应抓住时机，认真总结经验，研究和探讨审计工作的新方法、新思路，拓宽视野，尽快消除旧的思维方式和工作模式，跳出常规的财务收支审计局限，向经济效益审计、经济责任审计、管理审计领域进一步延伸。

　　【摘 要】 重要性一直是财务报表审计理论和实务中关注的关键内容。内部控制审计这项新业务的实施，引发了理论界和实务界对重要性理念的再次关注。文章围绕内部控制审计指引中有关重要性的法规，借鉴美国PCAOB对重要性理念在内部控制审计中的解释，就在我国内部控制审计中正确理解和运用重要性理念提出有关建议。 　　【关键词】 整合审计； 内部控制审计； 重要性 　　一、问题的提出 　　2008年5月，财政部、证监会、审计署、银监会及保监会（五部委）联合发布了《企业内部控制基本规范》，受到各界关注，它也被称为“中国的萨奥法案”，该规范在2009年7月1日起生效。2010年4月，五部委又发布了内部控制应用指引、评价指引及审计指引，它们分阶段施行：自2011年1月1日起在境内外同时上市的公司施行；自2012年1月1日起在上海证券交易所、深圳证券交易所主板上市公司施行；并择机在中小板和创业板上市公司施行；鼓励非上市大中型企业提前执行。为了规范注册会计师执行财务报告内部控制审计业务，提高执业质量，中国注册会计师协会制定了《企业内部控制审计指引实施意见》，自2012年1月1日起施行。这些法规的实施，表明我国企业内部控制审计工作开始启程。重要性是审计学的一个基本概念，注册会计师在计划和执行财务报表审计工作时需要运用重要性概念。内部控制审计的实施促使注册会计师重新审视和思考在财务报表审计中已经很熟悉的重要性理念。如何正确理解内部控制审计中的重要性成为注册会计师关注的话题。 　　二、内部控制审计规范中重要性理念的发展 　　我国《内部控制审计指引》明确指出，注册会计师应当对企业是否在所有重大方面保持了有效的内部控制发表审计意见。在计划审计工作时，注册会计师应当评价重要性、风险等与确定内部控制重大缺陷相关的因素对审计工作的影响。无论是测试企业层面控制，还是测试业务层面控制，注册会计师都应当把握重要性原则。可见，重要性理念在内部控制审计中被赋予了新的内容，不再是财务报表审计中的重大错报，而是内部控制的重大缺陷。内部控制缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷。重大缺陷是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。表明内部控制可能存在重大缺陷的迹象包括：注册会计师发现董事、监事和高级管理人员舞弊；企业更正已经公布的财务报表；注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报；企业审计委员会和内部审计机构对内部控制的监督无效。注册会计师应当以书面形式与董事会和经理层沟通重大缺陷。此外，注册会计师认为非财务报告内部控制缺陷为重大缺陷的，应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。 　　美国萨奥法案（SOX）要求上市公司建立关键控制程序这一要求引起对重要性概念新的关注。SOX要求上市公司的管理者及时发现和防止重要的控制薄弱环节。当管理者发现一项关键控制没有满足最低的质量标准，它必须把这个结果作为关键控制例外事项。注册会计师需要能够确认关键控制例外事项并且应用重要性来确定它们的财务影响。2010年8月，美国公众公司会计监督委员会（PCAOB）通过了八项新的审计准则，于2010年12月15日及其后财政期间的审计开始生效。PCAOB代理主席丹尼尔·高泽说：“这些新准则的出台意味着在促进精密的审计风险评估与将审计人员未能发现重大误报的风险降至最低方面迈出了重要一步。识别风险，并通过正确的审计计划和开展审计活动来应对风险，对于提升投资者对经过审计的财务报表的信心是至关重要的。”其中《审计准则第11号——计划及实施审计时对重要性的考虑》阐述了审计人员在计划及实施审计时对重要性进行考虑的责任，并再次强调了PCAOB在2007年颁布的审计准则第5号“与财务报表审计相结合的财务报告内部控制审计”所指出的内容，即审计师在计划财务报告内部控制审计时对于重要性的考虑，与在计划年度财务报表审计时对于重要性的考虑是一样的。 　　三、内部控制审计实务中重要性理念的应用 　　可以看出，中美两国的审计规范对于重要性的规定予以了充分关注。相比美国内部控制审计的发展，我国内部控制审计业务刚刚起步，而重要性又是审计师根据职业判断，考虑用以指导项目组工作方向的重要因素，因此，借鉴国外经验，深化对重要性的认识，进而在实务中正确地应用重要性理念至关重要。笔者认为应关注以下内容： 　　（一）整合审计框架下确定的重要性水平相同 　　内部控制审计和财务报告审计存在着多方面联系：最终目的都是为提高财务信息质量；都采取风险导向审计模式，即先实施风险评估程序，识别和评估重大缺陷（或错报）存在的风险，然后有针对性地采取应对措施，实施相应的审计程序；都要了解和测试内部控制；都要识别重点账户、重要交易类别等重点审计领域。在财务报告审计中，注册会计师评价重点账户和重要交易类别是否存在重大错报，而在内部控制审计中，注册会计师需要评价这些账户和交易是否被内部控制所覆盖。但由于审计对象、判断标准相同，因此，在整合审计框架下，二者在审计中确定的重要性水平相同。 　　（二）从控制的设计和运行效果两方面正确识别关键控制偏差 　　关键控制偏差（缺陷）通常是内部控制设计缺失或运作上失败的结果。注册会计师在识别关键控制偏差（缺陷）时，要注意两个方面的考虑：一是内部控制设计上的缺失。当管理者没有建立足够数量的内部控制以实现控制目标时，会导致设计失败。同时还应强调关键控制失败的任何时间，管理者必须用有效的弥补性控制，来阻止潜在的财务报表错误成为重大错报。因此，在公司的整个内部控制计划中，要设计适当的弥补性控制。二是内部控制运行上的失败。当设计的适当控制没有得到有效运行时，就会形成运作失败，进一步讲，虽然设计合理，但在运行上没有达到内部控制的质量标准。 　　（三）以潜在的错报为基础正确决定关键控制偏差的财务影响

因为需要风险测试，风险的大小影响审计抽查的方法和数量，也有助于圈定重点审计范围

1、了解企业的内部控制情况，并做出相应的记录。这是内部控制制度审计的第一步，其主要目的是通过一定手段，了解被审计单位已经建立的内部控制制度及执行的情况，并做出记录、描述。2、初步评价内部控制的健全性。确认内部控制风险，确定内部控制是否可依赖。在对控制环境、控制程序和会计系统进行调查了解，对被审计单位内部控制有了一个初步的认识的基础上，应对内部控制风险和内部控制的可依赖程度做出初步评价。3、实施符合性测试程序，证实有关内部控制的设计和执行的效果。通过对内部控制进行初步评价，可基本掌握被审计单位内部控制的强弱环节，为进行符合性测试确定一个前提。4、评价内部控制的强弱，评价控制风险，确定在内部控制薄弱的领域扩展审计程序，制定实质性审计方案。

　　步骤/方法 　　审计准备阶段 　　1.计划审计业务。审计师应对内部控制审计进行适当的计划和协助，以保证在需要时，进行适当的监督。 　　2.评估管理层评估的流程。审计师必须获得对管理层关于公司内部控制有效性评估的过程的了解。主要包括：审计师决定应当对哪些控制实施测试，包括对财务报表中的所有重要会计科目和披露事项的相关认定的控制;评估控制失败导致错报的可能性、错报的程度以及在其他控制有效实施的情形下，实现同样的控制目标的程度;评估控制设计的有效性;根据评估其实施有效性的程序是否充足，来评估控制实施的有效性;决定内部控制缺陷的程度和导致重要缺陷和实质性漏洞发生的可能性;对审计发现是否合理以及是否支持管理层的评估进行评价。 　　3.评估管理层的文档记录。主要包括对与财务报表重要会计科目和披露事项相关的所有认定进行控制的设计;关于重要交易是如何被初始、授权、记录、处理和报告的信息;关于交易流向的足够信息，包括识别可能发生错误或舞弊而导致重大错报的关键点;已设计的防止或发现舞弊的控制，包括谁实施控制以及相关的职责划分;对期末财务报告过程的控制;对资产保护的控制以及管理层进行测试和评估结果。 　　4.获得对内部控制的了解。主要通过询问合适的管理层、监督人员和员工;检查公司文件;观察专用控制的应用;通过信息系统追踪与财务报告相关的交易来了解公司内部控制的各个方面。 　　5.识别重要会计科目。审计师应首先在财务报表、会计科目或披露事项因素层次确定重要的会计科目和披露事项。决定财务报表内重要的会计科目和披露事项也是决定特殊控制测试的出发点。 　　6.识别重要的流程和主要的交易类别。审计师应当对每一类主要的影响重要会计科目或几组会计科目的交易的重要流程进行识别。主要的交易类型指的是对财务报表产生重要影响的交易类型。 　　7.理解期末财务报告流程。作为了解和评估期末财务报告流程的一部分，审计师应当评估：公司使用编制年度和季度财务报表的输入和输出方法;期末财务报告过程中使用信息技术的程度;管理层的参与;涉及经营场所的数量;调整分录的类型(例如，标准、非标准、消除和合并);以及包括管理层、董事会和审计委员会在内的适当的机构对流程进行监管的性质和程度。 　　审计实施阶段 　　1.实施穿行测试。审计师应当对于第一交易类型实施至少一个穿行测试。审计师实施的穿行测试应当涉及对单独交易的初始、控制权、记录、处理和报告的整个过程，以及对每个被审计的重要流程所进行的控制，包括旨在发现风险和舞弊的控制。穿行测试可以为审计师提供如下证据：确保审计师对于针对内部控制的五大方面所设计的控制进行识别和了解，包括与防止或发现舞弊相关的控制;确保审计师对于整个流程有所了解，并且根据每个相关的财务报表认定，判断是否在流程中容易发生错报的关键点都被识别出来;评估控制设计的有效性;和确认控制是否被实施。 　　2.识别控制以进行测试。审计师应当对与财务报表的所有重要会计科目和披露事项的所有相关认定所进行的控制的有效性获得足够的证据。在识别重要会计科目、相关认定和重要流程之后，审计师应当对如下进行评估以识别出可以进行测试的控制：发生错误或舞弊的节点;管理层实施控制的性质;为实现控制标准目标而进行的控制的重要性和为实现某一特定目标，是否需要一个以上的控制，或者为实现某一特定目标，补入一个以上的控制是必要的;以及控制不能有效实施的风险。 　　3.测试和评估设计、运行效果。当预期所实施的控制将防止或发现会导致财务报表重大错报的错误或舞弊时，内部控制的设计是有效的。审计师应当通过如下标准判断公司是否实施了达到控制目标的控制：识别公司每一领域的控制目标;识别满足每一目标的控制;判断如果有效地实施了控制，是否可以防止或发现会导致对财务报表重大错报的错误或舞弊。审计师应当通过判断控制是否按计划实施和实施控制的人员是否获得了必要的授权和具备有效实施控制的来评估控制实施的有效性。对实施有效性进行控制测试的方式包括询问适当的人员、检查相关记录、观察公司的运营和重新实施控制措施等方式的结合。 　　4.形成关于内部控制是否有效的"意见。在对内部控制发表意见时，审计师应当对获得的所有证据进行评估并发表意见，只有在没有发现实质性漏洞和审计师的工作没有受到限制的情况下，审计师才可以发表无保留意见。如果存在实质性漏洞，审计师应当对财务报告的内部控制发表否定意见，如果工作范围受到限制，审计师应当发表保留意见或无法表示意见，视受限制的范围所定。 　　5.评估内部控制的缺陷。审计师必须评估已发现的控制缺陷，并且决定这些缺陷单独或累加之后，是否是重要缺陷或实质性漏洞。对内部控制中缺陷的严重性进行评估时应当考虑以下几个方面：某缺陷或缺陷汇总会导致某会计科目余额或披露事项产生错报的可能性;某缺陷或多个缺陷造成的潜在错报的严重程度。 　　审计报告形成阶段 　　1.审计师对管理层报告的评估。关于管理层对其内控有效性评估的报告，审计师应当评估下列事件：管理层对适当的内部控制制度的建立和维护是否已经声明了它的责任;由管理层用来执行评估的框架是否是适当的;到公司最近财年结束时，管理层内部控制有效性的评估，是否不包含重大的错报;管理层是否已经用一种可接受的形式表达了它的评估。 　　2.报告的修订。如果存在以下任何一种情况，审计师就应当修订标准报告：管理层的评估是不充分的，或管理层报告是不适当的;在公司的内部控制中有某个重要缺陷;在业务约定书的范围方面的限制;为了自己的报告，审计师决定参阅其他审计师的部分报告作为基础;自报告日期以来，发生了某个重大的期后事项;在内部控制的管理层报告中包含了其他信息。 　　3.审计师评估管理层对内部控制披露事项的确认。当内部控制中某一变化的理由是对某个实质性漏洞的纠正时，管理层就有责任来确定和审计师就应当评估：变化的理由和变化周围的环境是否重要的信息来充分的确定披露该变化有误导。

　　企业内部控制审计是会计师事务所接受委托，对特定基准日企业内部控制设计与运行的有效性进行审计，并发表审计意见，审计内容包括企业治理结构、机构设置、企业文化、人力资源政策等内部控制环境因素，以及企业识别风险的评估程序、应对风险的具体措施和信息传递有效性、保证内部控制规范建设和有效运行的机制等，全面评价企业设计和运行的内部控制是否能够合理保证财务报告及相关信息合法、真实、完整，以及用于保护资产安全的内部控制是否可靠。x0dx0a　　企业内部控制审计意见包括无保留意见、否定意见和无法表示意见三种类型。如果注册会计师审计后认为企业内部控制在所有重大方面是有效的，则出具无保留意见的内部控制审计报告；如果注册会计师认为企业内部控制存在重大缺陷，则出具否定意见内部控制审计报告；如果注册会计师审计范围受到限制，则应当解除业务约定或出具无法表示意见的内部控制审计报告。x0dx0a　　内部审计的方法x0dx0a　　一、假设问题存在审计求证法x0dx0a　　审计人员带着疑问和问题去实施审计是目前较为普遍采用的一种审计方法，也是最见成效的。x0dx0a　　二、审前征集审计线索法x0dx0a　　审计线索的提供者一般情况下都是知情者，因为舞弊的最终结果是在使得一部分人受益的同时侵害了另一部分人的利益或是国家利益或是社会公众利益，这些都会促使知情者在安全的情况通过第三者（如审计组）予以遏止的愿望，而信息的不对称性决定了审计人员对审计客体的经济活动行为的了解是不充分的，国家审计所面对的审计客体的经济活动行为也是多样化的，在审计人员处于信息掌握的劣势地位去揭示审计客体舞弊问题往往如大海捞针。x0dx0a　　三、审计经验判断法x0dx0a　　审计经验来源于审计实践是审计人员长期从事审计实践积累的结果，因审计人员的知识结构和持续学习专业技能能力以及接触的审计客体和审计工作时间的差异性，使得每一个审计人员所获取的审计经验存在着巨大的差异性，因此说审计经验具有独有的特性。x0dx0a　　四、追踪资金流向审计法x0dx0a　　按照资金的流程实施审计是审计人员最常用的审计方法之一，此方法适应于专项资金或单一资金的追踪检查，通过资金流转的各个环节检查是否存在资金流转过程中的“跑、冒、滴、漏”行为，直到资金最终的合法、有效、效率和效果使用x0dx0a　　五、走访调查审计法x0dx0a　　当一个单位的管理层有预谋的从事舞弊活动事件时，单位制定的内部控制制度是不起作用的，审计人员所接触到的记录经济活动行为的载体似乎是合规合法的，此时审计人员已经很难就会计资料所记录的事项作出符合审计目标的专业判断，可审计直觉与审计经验使审计人员觉察到问题远非如此简单，审计人员为了进一步证明自己的直觉判断，选择走访调查的审计方法很可能会得到令审计人员十分惊喜的审计线索或审计证据。x0dx0a　　六、分析性复核审计法x0dx0a　　几乎每一个审计项目都要使用的一种方法，分析性复核顾名思义就是在面对审计客体所提供的各种资料记录的载体上，利用审计人员的专业技术知识与经验。x0dx0a　　在审计人员收集到的相关联的审计记录的基础上，利用合理的推断、验证、计算以及法律法规的量度，进一步核实其提供的会计记录的真实性、完整性、合法性和一致性，通过审计人员理性的分析与复核作出具有证明力的审计结论，从而揭示出问题存在的真正根源。x0dx0a　　七、环境因素影响审计法x0dx0a　　环境因素影响审计法是指审计人员在实施审计作业时要要考虑经济与社会发展的大环境下以及审计客体自身环境的影响，可能导致舞弊事件发生的可能性进行审计判断的一种审计方法。x0dx0a　　也就是说审计人员要通过对审计客体的外部环境和内部环境因素的作用力，作出符合审计目标和能够收集审计证据的基本线索依据，有针对性地组织和进行审计作业。x0dx0a　　八、抽样审计与详细审计结合审计法x0dx0a　　抽样审计是确定审计样本的一种审计方法，是基于审计成本与审计时间的制约而考虑的。x0dx0a　　从技术手段上看，抽样审计潜伏着巨大的审计风险或是因样本的确定可能导致舞弊不能被揭示的内在存在性；x0dx0a　　从实现审计的目标来看，抽样审计是在一定成本与时间的基础上能够相对效率的实现审计目标。x0dx0a　　在审计实践中，审计人员确定审计样本是基于内控制度与重要性水平评估的基础上进行，当对某一样本产生怀疑时，审计人员可能会扩大样本的数量或对某一样本的业务流程进行详细审计。x0dx0a　　九、实物观察与计量审计法x0dx0a　　此方法也是审计实践中较为常用的一种审计方法，即通过实物的现场观察与实际计量的手段来核实资产账面记录的真实性、存在性和准确性，通常使用的审计工具是各种类型的度量衡，如卷尺、电子称等计量工具。x0dx0a　　内部审计步骤：x0dx0a　　1公司根据内审时机，提出内审建议，管理都代表批准后实施。x0dx0a　　2建立审核小组x0dx0a　　根据内审活动目的、范围、部门、过程及内审日程安排，审核组长提出审核组名单，经管理者代表批准后建立审核小组。x0dx0a　　3编制审核计划

内部控制审计是内部审计的一部分；

对企业内部控制进行审计：一、确定审计重点，编制内部控制审计计划1、审计部门根据本企业的工作目标和重点，提出内部控制审计的重点内容和重点审计单位，编制年度、半年内部控制审计计划，并根据实际工作出现的新情况和新问题及时对计划进行调整、修改和补充。2、根据上级部门和有关领导直接布置的专项工作制定专项内部控制审计计划。二、组建内部控制审计工作组根据内部控制审计工作的性质、业务量、难度及时间进度，并结合有关领导及部门对内部控制审计任务的特殊要求和规避原则，组织有经验的审计人员和聘请有关专家，组建内部控制审计工作组，任命工作组组长，并对工作组成员提出任务性质、工作量、完成时间、注意事项等要求，同时进行审计前有关法律法规、主要业务培训，为现场审计打好基础。三、编制内部控制审计方案1、内部控制审计工作组组长负责编制内部控制审计方案。2、内部控制审计方案主要内容包括内部控制审计的目的、审计的时间、审计的范围、审计的方式、审计的内容、人员的分工等。审计的内容包括：（1）合规性审计。即企业内部控制是否符合国家的法律、法规和政策；是否符合证券监管机构有关上市公司的法律、法规和要求。（2）全面性与系统性审计。内部控制涉及企业经营活动的各个方面，其内部监督和控制贯穿于投资、生产、经营、财务、监督检查等方方面面经营管理活动的全过程和全体员工。企业的每一个员工既是内部控制的主体，又是内部控制的客体；既要对其负责的作业实施控制，又要受到其他人员或制度的监督与制约。内部控制使企业内部各部门、各岗位形成较为系统的既互相制约又具有纵横交错关系的统一整体，确保各部门和各岗位均能按特定的目标相互协调地发挥作用，最终实现企业内部控制的总体目标。（3）内部牵制及不相容审计。内部牵制是指在部门与部门、员工与员工以及各岗位之间所建立的互相验证、互相制约的关系，属于企业内部控制制度一个重要组成部分。其主要特征是将有关责任进行分配，使单独的一个人或一个部门对任何一项或多项经济业务活动没有完全的处理权，必须经过不相容的其他部门或人员的验证、核对和制约。（4）权责和奖惩审计。即审计企业是否根据各部门和岗位的职能与性质，明确各部门及人员应承担的责任范围，赋予相应的权限；制定操作规程和处理程序、手续是否可行；是否确定追究、查处责任的措施与奖惩办法，权限和责任是否合适，奖惩是否得当；是否使权有所属，责有所归，利有所享，有无发生越权或互相推诿的现象。（5）成本效益审计。在内部控制活动中是否贯彻成本效益原则，即是否以最小的控制或管理成本获取最大的经济效益。是否实行有选择的控制；是否努力降低控制成本，机构和人员是否尽量精简等。（6）可操作性审计。内部控制是否符合企业实际，业务流程控制点的设置和授权项目权限的确定，是否考虑实际管理工作中可行性，能否保证其可操作性。3、内部控制审计方案要保证能够使审计工作达到预期效果。四、下达审计通知内部控制审计工作组于实施现场审计前2-3日向被审计单位下达内部控制审计通知书，通知书中明确被审计单位需要准备的资料、参加审计人员，同时要求被审计单位要有一名审计工作协调员，负责审计联络工作及有关事项。五、进行现场审计1、内部控制审计工作组进驻现场后，要召开审计进点会，向被审计单位说明审计的任务，提出具体要求，并听取有关情况汇报。2、内部控制审计工作组现场调查内部控制（1）审计工作组审阅各种文件，询问被审计单位的员工，了解员工对相关业务流程内部控制制度的熟悉和掌握情况。（2）审计工作组按照内部控制中规定的各业务流程步骤和控制程序，将需要调查的内容事先编制成标准式的问卷调查表，直接询问或发给被审计单位和部门，有关当事人如实填写并签字后交回检查组。（3）整理问卷调查表，对照内部控制确定现场审计的重点。3、审计工作组现场对内部控制进行符合性测试（1）审计人员按照内部控制审计方案中确定的审计方法和步骤、范围和数量及分工，采用查阅、询问、核对、盘点、分析性复核、审阅证据、穿行测试和实地观察等方法，根据现场确定的审计重点，对照内部控制规定的业务流程步骤、控制点和监督检查方法，抽取一定的经济业务对被审计单位或部门的内部控制进行测试，检查内部控制是否执行以及执行的程度。（2）审计人员将测试情况（包括存在的问题和被检查单位或部门已有的改正措施）记录于工作底稿，被审计单位和部门负责人或当事人在工作底稿上签字确认。（3）内部控制审计组组长指定专人复核工作底稿，提出复核意见，必要时重新进行测试。（4）进行现场总结、与被审计单位交换意见。审计组组长负责召集小组成员对审计情况进行讨论和总结，以测试记录为依据，按照内部控制评价方法，从不相容职务是否在实质上做到相互分离、是否在授权批准范围内履行职责以及是否一贯有效的执行等方面，对所检查的控制点和流程进行评价，分析被审计单位内部控制制度存在的缺陷和漏洞，评价该单位内部控制的成效，初步形成审计意见和建议，并将评价结论记录于工作底稿，审计组组长对审计评价结果负责。审计组将检查、评价结论告知被审计单位或部门负责人，并与其充分讨论沟通，交换意见，被审计单位负责人对审计、评价结论提出书面反馈意见并签字确认，对存在的问题限期整改。六、撰写审计报告内部控制审计工作组对审计工作底稿、工作记录、相关证据进行汇总整理，完善审计意见，撰写审计报告，审计报告应包括被审计单位的基本情况、审计发现的问题、改进建议和审计评价结论、奖惩意见等。内部审计工作组组长审定审计报告并签字。七、后续审计内部控制审计工作组根据审计报告跟踪落实问题的整改情况，并对改进后的内部控制进行评价。审计作为企业的重要监督部门，积极开展企业管理方面的审计工作，有利于完善企业内部控制，提高企业的竞争力，增强企业抗风险的能力，从而为企业的长久发展提供保障。

内部控制审计是通过对被审计单位的内控制度的审查、分析测试、评价，确定其可信程度，从而对内部控制是否有效作出鉴定的一种现代审计方法。内部控制审计是内部控制的再控制，它是企业改善经营管理、提高经济效益的自我需要。财政部、审计署、证监会、银监会、保监会《企业内部控制基本规范》是内部控制审计的重要依据。依据沪深两市上市公司内部控制指引，沪深两市鼓励上市公司董事会开展内部控制自我评估，在披露年报时披露内部控制自我评估报告，并且同时披露负责年报审计的会计师事务所的审核评价意见。一般地，企业内部审计部门负责内部控制审计，也可以委托不负责年审的会计师事务所开展内部控制审计。

企业内部控制审计，指审计机构和人员通过检查企业内部控制制度的创建健全情况和内部控制措施的执行情况，对企业内部控制体系是否完整、有效提出评价意见，并就进一步完善内部控制体系提出审计建议，以预警和预防企业经营管理风险的相关过程。主要包括以下内容：第一，内部控制环境，即评价以公司治理结构、机构设置和权责分配、内部审计、人力资源政策、企业文化在内的内部控制环境对企业经营管理活动的影响。第二，风险评估，即分析企业风险控制目的设置的合理性，评价开展风险评估范畴的全面性、风险评估结果的有效性和风险应对策略的科学性。第三，控制活动，即评价企业根据风险评估结果设置的内部控制措施的科学性和控制效果的有效性。第四，内部控制信息和沟通，即评价企业内部控制相关信息在收集、处理和传递程序的科学性，分析信息技术在内部控制信息和沟通中所发挥作用的情况，判断企业在反舞弊工作重点领域相关工作机制的有效性。第五，内部监督制度，即分析企业内部审计机构和其他内部机构在内部监督中的职责权限情况，判断企业实施内部监督的程序、方法和目的要求的科学性，评价内部控制监督制度的有效性。

这个你问问领导啊，他们都懂得，每个单位都不一样的……

　　（一）对内部控制进行了解和测试的目的不同 　　在财务报表审计和内部控制审计中，注册会计师都需要了解与审计相关的内部控制，并都可能涉及测试相关内部控制运行的有效性，但两者目的不同。注册会计师在财务报表审计中了解和测试内部控制，是为了识别、评估和应对重大错报风险，据此确定实质性程序的性质、时间安排和范围，并获取与财务报表是否在所有重大方面按照适用的财务报告编制基础编制相关的审计证据，以支持对财务报表发表的审计意见；注册会计师在内部控制审计中了解和测试内部控制，是为了对内部控制的有效性发表审计意见。 　　（二）测试内部控制运行有效性的范围要求不同 　　在财务报表审计中，针对评估的认定层次重大错报风险，注册会计师可能选择采用实质性方案或综合性方案。如果采用实质性方案，注册会计师可以不测试内部控制的运行有效性；如果采用综合性方案，注册会计师综合运用控制测试和实质性程序，因而需要测试内部控制的运行有效性。根据《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的相关规定，当存在下列情形之一时，注册会计师应当设计和实施控制测试，针对相关控制运行的有效性，获取充分、适当的审计证据： 　　（1）在评估认定层次重大错报风险时，预期控制的运行是有效的（即在确定实质性程序的性质、时间安排和范围时，注册会计师拟信赖控制运行的有效性）； 　　（2）仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。 　　也就是说，如果以上两种情况均不存在，注册会计师可能对部分认定，甚至全部认定都不测试内部控制的运行有效性。 　　在内部控制审计中，注册会计师应当针对所有重要账户和列报的每一个相关认定获取控制设计和运行有效性的审计证据，以便对内部控制整体的有效性发表审计意见。 　　（三）内部控制测试的期间要求不同 　　首先，在财务报表审计中，针对评估的认定层次重大错报风险，如果注册会计师选择综合性方案，需要获取内部控制在整个拟信赖期间运行有效的审计证据，而在内部控制审计中，注册会计师对于基准日的内部控制运行有效性发表意见，则仅需要对内部控制在基准日前足够长的时间（可能短于整个审计期间）内的运行有效性获取审计证据。 　　其次，尽管连续审计时注册会计师在财务报表审计和内部控制审计中都可以考虑以前审计中所了解和测试的情况，但在执行内部控制审计时，注册会计师不得采用《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第十四条中提及的“每三年至少对控制测试一次”的方法，而应当在每一年度审计中测试内部控制（对自动化应用控制在满足特定条件情况下所采用的与基准相比较策略除外）。 　　（四）对控制缺陷的评价和沟通要求不同 　　在内部控制审计中，注册会计师应当评价识别出的内部控制缺陷是否构成一般缺陷、重要缺陷或重大缺陷。在财务报表审计中，注册会计师需要确定识别出的内部控制缺陷单独或连同其他缺陷是否构成值得关注的内部控制缺陷。 　　相应地，两者的沟通要求存在不同。在财务报表审计中： 　　1．注册会计师应当以书面形式及时向治理层通报值得关注的内部控制缺陷，致送书面沟通文件的时间可能根据注册会计师对治理层履行监督责任需要的考虑确定（对于上市实体，治理层可能需要在批准财务报表前收到注册会计师的沟通文件；对于其他实体，注册会计师可能会在较晚日期致送书面沟通文件，但需要满足完成最终审计档案的归档要求）。 　　2．注册会计师还应当及时向相应层级的管理层通报： 　　（1）已向或拟向治理层通报的值得关注的内部控制缺陷，除非在具体情况下不适合直接向管理层通报。此项应采用书面方式通报。 　　（2）在审计过程中识别出的、其他方未向管理层通报而注册会计师根据职业判断认为足够重要从而值得管理层关注的内部控制其他缺陷。此项对沟通形式没有强制要求，可以采用书面或口头形式。 　　在内部控制审计中： 　　对于重大缺陷和重要缺陷，注册会计师应当以书面形式与管理层和治理层沟通，书面沟通应在注册会计师出具内部控制审计报告前进行；如果注册会计师认为审计委员会和内部审计机构对内部控制的监督无效，应当就此以书面形式直接与董事会沟通。此外，注册会计师应当以书面形式与管理层沟通其在审计过程中识别的所有其他内部控制缺陷（包括注意到的非财务报告内部控制缺陷），并在沟通完成后告知治理层。 　　（五）审计报告的形式和内容以及所包括的意见类型不同 　　内部控制审计报告的形式和内容不同于财务报表审计报告。注册会计师应当分别按照中国注册会计师审计准则和《企业内部控制审计指引》及《企业内部控制审计指引实施意见》的相关规定，出具财务报表审计报告和内部控制审计报告。此外，内部控制审计报告不存在保留意见的意见类型，如果内部控制存在一项或多项重大缺陷，除非审计范围受到限制，注册会计师应当对内部控制发表否定意见；如果审计范围受到限制，注册会计师应当解除业务约定或出具无法表示意见的内部控制审计报告。

内部控制与内部审计之间存在着一种相互依赖、相互促进的内在联系。内部控制本质上是组织为了达到一定目标所采取的＝系列行动和过程，主要目的包括：信息的可靠性和完整性：政策、计划、程序、法规的遵循性；资产的安全性：资源使用的经济性和有效性；为经营和计划所确定的目的和目标完成情况。而内部审计的主要目的是评价组织控制，它既对内部控制的健全和有效进行评价，以确保揭露组织潜在的风险和运行的经济达到组织的目标。其本身又是内部控制的重要组成部分。一个经济实体所提供的会计信息和其他经济信息的真实、完整与否，与该实体是否存在具有规范的内部控制制度有效执行，有着相当程度的因果关系。内部控制的存在与否，对内部审计方式的选择有着至关重要的意义。由于内部控制是为了推进经济实体的有效运营，而内部审计则在于协助管理层调查、评估内部控制制度，适时提供改进建议，以求内部控制制度得以持续实施。在通常情况下，内部控制系统由经济实体经营管理部门指定并在实施执行中评价和改进，通过内部审计部门评价内部控制系统的健全性和有效性。由于内部审计是在有限的时间与合理的成本条件下进行的。同时，审计主体对审计结论负有相应的责任。因此，审计工作必须讲究效率与结果，保证内部控制的合理性和运行的有效性。 适当的组织目标和合理的评价标准是管理和内部审计工作走向规范的标志。没有合理的评价标准，就等于没有实质意义的管理，缺少有效的内部控制，内部审计工作展开也就无法真正发挥其作用，以风险评估为基础的风险导向审计属于开放式的模型。审计人员当开始一项审计项目时，必须首先评估组织面临的经营、管理、财务，风险，考虑组织目标是否适当和是否有相应的控制，这不仅体现在具体项目及与部门的相互沟通方面，而且还反映在宏观上审计目标的不断演变。由此可见，内部审计人员根据风险评估的思路开展对内部控制的评价，以组织目标为起点和核心，能够更加有效地发挥建设性作用，完成由监督控制到风险基础，为组织做好服务。 现代企业内部审计工作主要涵盖以下内容： 1、财务收支审计。主要是评价和监督企业是否做到资产完整、财务信息真实及经济活动收支的合规性、合理性及合法性，对会计记录和报表分析提供资料真实性和公允性证明； 2、经济责任审计。是评价企业内部机构、人员在一定时期内从事的经济活动，以确定其经营业绩、明确经济责任，这里包括领导干部任期经济责任审计和年度经济责任审计。 3、经济效益审计。审计重点是在保证社会效益的前提下 以实现经济效益的程序和途径为内容，对企业的经营效果、投资效果、资金使用效果做出判断和评价，其中基建工程预决算审计应为重中之重。 4、内部控制制度评审。主要是对企业内部控制系统的完整性、适用性及有效性进行评价。 5、开展明晰产权的审计。审计明晰其产权归属，避免造成国有资产、集体资产流失或其他有损企业利益的行为。 6、其他审计。结合企业自身行业特点，开展对经营、管理等方面的审计工作，以增强医院后备能量。 内部控制是企业有效组织经营，进行管理及各项经济业务有序开展的必要保证。内部审计通过对内部控制进行测试，可以评价企业内部控制制度的健全性、遵循性和有效性，能针对内部控制中的薄弱环节及时提出相应改进建议，促使企业以合理的成本促进有效控制，达到改善企业内部经营状况的目的。内部审计在当前企业转机建制过程中，应抓住时机，认真总结经验，研究和探讨审计工作的新方法、新思路，拓宽视野，尽快消除旧的思维方式和工作模式，跳出常规的财务收支审计局限，向经济效益审计、经济责任审计、管理审计领域进一步延伸。 参考资料： http://doc.esnai.com/showdoc.asp?docid=1796&page=2&uchecked=

内部控制审计的目标是检查并评价内部控制的合法性、充分性、有效性及适宜性。内部控制的合法性、充分性、有效性及适宜性，具体表现为其能够保障资产、资金的安全，即保障资产、资金的存在、完整、为我所有、金额正确、处于增值状态。所以，我们可以将内部控制审计的具体目标概括为：检查并评价内部控制能否确保资产、资金的安全，即检查并评价内部控制能否保障资产、资金的存在、完整、为我所有、金额正确、处于增值状态。内部控制审计目标与财务报表审计目标。内部控制审计的前四个目标实际就是财务报表审计的具体目标。企业管理层向外提供一张资产负债表，表上反映有多少资产，其明示或暗示了这样几个声明：资产负债表上反映的资产是存在的、是完整的、是属于自身的、金额是正确的。相应地，外部财务报表审计的具体目标也就是鉴证企业管理层的这些声明是否属实。那么内部控制审计与财务报表审计在具体审计目标上有什么不同呢？归纳为两点：1、财务报表审计直接评价的是财务报表，或者说直接评价资产、资金本身的安全状态，其目标对象是资产、资产本身，而内部控制审计直接评价的是内部控制能否保障资产、资金的安全，其目标对象是内部控制，而资产、资金只是作为中间的观察对象而存在。2、财务报表审计主要评价财务报表所反映的存量资产、资金的“静的安全”，一般不评价资产、资金的“动的安全”，即不评价资产、资金在流转中的增值性；而由于内部控制既要保障资产、资金静的安全，又要保障其动的安全，所以内部控制审计既检查资产、资金的“静的安全”，又检查资产、资金的“动的安全”。

注册会计师考试频道。 企业内部控制审计，指审计机构和人员通过检查企业内部控制制度的创建健全情况和内部控制措施的执行情况，对企业内部控制体系是否完整、有效提出评价意见，并就进一步完善内部控制体系提出审计建议，以预警和预防企业经营管理风险的相关过程。主要包括以下内容： 第一，内部控制环境，即评价以公司治理结构、机构设置和权责分配、内部审计、人力资源政策、企业文化在内的内部控制环境对企业经营管理活动的影响。 第二，风险评估，即分析企业风险控制目的设置的合理性，评价开展风险评估范畴的全面性、风险评估结果的有效性和风险应对策略的科学性。 第三，控制活动，即评价企业根据风险评估结果设置的内部控制措施的科学性和控制效果的有效性。 第四，内部控制信息和沟通，即评价企业内部控制相关信息在收集、处理和传递程序的科学性，分析信息技术在内部控制信息和沟通中所发挥作用的情况，判断企业在反舞弊工作重点领域相关工作机制的有效性。 第五，内部监督制度，即分析企业内部审计机构和其他内部机构在内部监督中的职责权限情况，判断企业实施内部监督的程序、方法和目的要求的科学性，评价内部控制监督制度的有效性。

1、了解企业的内部控制情况，并做出相应的记录。这是内部控制制度审计的第一步，其主要目的是通过一定手段，了解被审计单位已经建立的内部控制制度及执行的情况，并做出记录、描述。2、初步评价内部控制的健全性。确认内部控制风险，确定内部控制是否可依赖。在对控制环境、控制程序和会计系统进行调查了解，对被审计单位内部控制有了一个初步的认识的基础上，应对内部控制风险和内部控制的可依赖程度做出初步评价。3、实施符合性测试程序，证实有关内部控制的设计和执行的效果。通过对内部控制进行初步评价，可基本掌握被审计单位内部控制的强弱环节，为进行符合性测试确定一个前提。4、评价内部控制的强弱，评价控制风险，确定在内部控制薄弱的领域扩展审计程序，制定实质性审计方案。

内部控制审计是通过对被审计单位的内控制度的审查、分析测试、评价，确定其可信程度，从而对内部控制是否有效作出鉴定的一种现代审计方法。内部控制审计是内部控制的再控制，它是企业改善经营管理、提高经济效益的自我需要。财政部、审计署、证监会、银监会、保监会《企业内部控制基本规范》是内部控制审计的重要依据。依据沪深两市上市公司内部控制指引，沪深两市鼓励上市公司董事会开展内部控制自我评估，在披露年报时披露内部控制自我评估报告，并且同时披露负责年报审计的会计师事务所的审核评价意见。一般地，企业内部审计部门负责内部控制审计，也可以委托不负责年审的会计师事务所开展内部控制审计。

　　　　(一)提高领导层对内控的重视度，完善内部控制环境。　　良好的控制环境的建立，是制度真正落实的有效保障。影响控制环境的因素是多方面的，包括董事会、企业管理者的素质、企业文化、组织结构等。加强和完善企业内部控制，一是要建立现代企业制度，以企业财务管理为核心，以产权清晰、权责明确、政企分开、管理科学为特点，使企业成为面向国内外市场法人实体和市场竞争主体的一种企业机制。二是要建设企业内部控制环境，包括经营管理的理念，风险管理理念，管理控制方法，组织机构，外部环境影响等。因而为了企业的发展，一定要提升企业领导层和管理者的思想意识，转变其管理观念，使之增强对财务管理重要性的认识，加强对内部会计控制的管理力度，从而提高企业的核心竞争力。　　(二)明确审计方向，确定审计目标，掌握审计重点。　　对于一个企业而言，企业实施内部控制审计的最终目标在于通过这样一个审计活动，完善审计内控制度，维护企业资金的稳定性和安全性，提高企业的运营效率和经营管理水平。因此在审计内容上内部审计人员要通过查阅法、调查表格法等审计方法，了解企业管理信息和流程(传递沟通方式、制度汇编、职责分工、岗位规范和标准)等相关资料，进一步向相关部门和人员了解企业的相关业务及财务资料，对企业主要业务的关键控制点进行测试分析，掌握这类控制点存在的漏洞和不足之处，并采取有效措施加以改进。在审计方法和手段上要全面运用计算机技术、网络信息技术，重视风险分析，保证内控审计工作的顺利开展。最后，企业还要建立起内部控制审计队伍训练培养基地，定期组织相关人员进行培训，不断强化审计人员职业道德意识和审计专业技能，为企业培养一支高素质、高质量的审计团队。　　(三)充分发挥内部控制执行与监督职能。　　内控制度要发挥良好的作用并且得到有效执行，企业必须具备足够的人员及资源，使其能完成所分配的任务，并且应选拔职业道德修养和专业胜任能力的员工，创造良好的环境氛围激发员工的积极性、主动性和创造性，建立绩效评价体系，健全考核奖惩机制，对员工实施科学、有效的监督。　　充分发挥内部审计的作用，使企业内部审计部门应当更多地参与到企业的事前预防和事中的内部控制中，通过对企业会计内部控制的监督和评审，及时发现内部控制制度中的漏洞和隐患，并针对企业会计工作中出现的新情况、新问题等加以技术修正或改进，提出一些有建设性的意见和措施，提高企业的综合实力。

内部控制与审计的关系如下：内部控制是指经济单位和各个组织在经济活动中建立的一种相互制约的业务组织形式和职责分工制度。内部控制的目的在于改善经营管理、提高经济效益。内部审计是对组织中各类业务和控制进行独立评价，以确定是否遵循公认的方针和程序，是否符合规定和标准，是否有效和经济的使用了资源，是否在实现组织目标。内部审计是非鉴证服务，内部控制审计属于鉴证业务。内部审计是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标。内部控制审计是通过对被审计单位的内控制度的审查、分析测试、评价，确定其可信程度，从而对内部控制是否有效作出鉴定的一种现代审计方法。按照审计对象存在的形态划分1、以实物为对象。对存货、固定资产或货币资金的时点状态或期间状况进行审计。如：存货清查审计、固定资产构建及处置审计、资金收支审计。2、以账务为对象。对因提供、销售商品或劳务产生的债权债务的产生依据，期间过程和时点状态进行审计。如：账期审计，回款期审计，坏账审批审计。3、以规则为对象。对制度、计划、任务、标准、流程等的执行过程及结果进行审计。如：目标完成审计，采购审批流程审计，供应商入围政策执行审计，折扣权限与审批审计，预算执行情况审计。4、以责任人为对象。对经济责任人进行的期间责任、期末状态进行审计。负责人经济责任审计，责任人目标成本审计。

如何发挥内部审计在内部控制中的更大作用：1.进一步提高内部审计的地位人力资源的配备等都需要进一步的发展，以适应企业发展的需要。企业内部控制的目标是确保单位经营活动的效率性和效果性、资产的安全性、经济信息和财务报告的可靠性。因此，加强企业内部审计制度是健全内部控制的重要内容，内部审计对改进内部控制相当重要。企业应该结合本单位的规模、生产经营特点等因素，建立相应的内审机构，设立并完善内部审计监督体系，指定专门机构或人员从事审计工作，赋予内部审计机构和审计人员充分的权利，对内部控制体系实行监督，对内部控制执行情况检查，对各级管理层的财务活动和管理活动进行评价，从而保证企业内部控制制度更加完善和严密，充分发挥其在企业内部控制制度设计及有效运行方面的积极作用。2.掌握恰当的审计测试方法内部审计对内部会计控制制度常用的测试方法包括：健全性测试、符合性测试、真实性测试。健全性测试主要是指对内部会计控制制度的调查与描述。目的是比较与评价内部控制程序是否恰当、措施是否有效、方法是否科学、过程是否规范。符合性测试是指内部审计人员在对内部会计控制制度进行健全性测试后，根据企业所制定的内部控制制度对经营管理的流程、财务会计活动进行检查，以确定这些控制环节是否确实存在，控制措施是否贯彻执行，是否始终一致，有无失控之处；目的在于检查现行内控制制度执行效果，并确定该制度的可信赖程度。真实性测试又称实质性测试，包括检查、取证、判断、评价环节，目的是取得足够的审计证据，对照审计标准进行分析，找出重大缺陷与低效率问题的原因及其对企业经营管理的影响程度。3.做好内部会计控制制度的分析评价工作对内部会计控制制度的分析与评价应从两个方面着手。一是从内部会计控制的具体构成要素与存在的薄弱环节着手，可以分为：（1）对控制环境、风险评估、控制活动、信息与沟通、内部监控等构成要素的评价；（2）对可能发生差错、舞弊等违规行为的薄弱控制环节的评价。二是从内部会计控制制度执行情况着手，主要包括：合理性评价、健全性评价和有效性评价。4.培养使用高素质的内部审计人员企业内部审计人员要博采众长，广泛吸取中外内部审计先进的技术和方法，不仅要有扎实的财务基础知识和技能、管理及法律方面的相关知识，也需要具有良好的文字表述能力和人际沟通能力。企业管理层要改变那种认为内审岗位只要懂些财务知识就行的观念，为内审机构配置高素质的所需人员。5.尽快实行内审的计算机辅助审计必须尽快实现审计软件的选购及应用培训工作，并在审计实施中运用。利用审计软件将各子公司财务数据导入审计系统进行分析，不仅可较完整、全面地了解子公司的情况，同时也可减少翻查各类凭证时影响到各子公司的正常工作，满足企业决策层实时监控的需要。

　　内部控制审计是对内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制重大缺陷进行披露;财务报表审计是对财务报表是否在所有重大方面按照适用的财务报告编制基础编制发表审计意见。　　虽然内部控制审计和财务报表审计存在多方面的共同点，但财务报表审计是对财务报表进行审计，重在审计“结果”，而内部控制审计是对保证财务报表质量的内部控制的有效性进行审计，重在审计“过程”。发表审计意见的对象不同，使得两者存在区别，例如：　　(一)对内部控制进行了解和测试的目的不同在财务报表审计和内部控制审计中，注册会计师都需要了解与审计相关的内部控制，并都可能涉及测试相关内部控制运行的有效性，但两者目的不同。　　(二)测试内部控制运行有效性的范围要求不同在财务报表审计中，针对评估的认定层次重大错报风险，注册会计师可能选择采用实质性方案或综合性方案。　　(三)内部控制测试的期间要求不同首先，在财务报表审计中，针对评估的认定层次重大错报风险，如果注册会计师选择综合性方案，需要获取内部控制在整个拟信赖期间运行有效的审计证据，而在内部控制审计中，注册会计师对于基准日的内部控制运行有效性发表意见，则仅需要对内部控制在基准日前足够长的时间(可能短于整个审计期间)内的运行有效性获取审计证据。　　(四)对控制缺陷的评价和沟通要求不同在内部控制审计中，注册会计师应当评价识别出的内部控制缺陷是否构成一般缺陷、重要缺陷或重大缺陷。在财务报表审计中，注册会计师需要确定识别出的内部控制缺陷单独或连同其他缺陷是否构成值得关注的内部控制缺陷。　　(五)审计报告的形式和内容以及所包括的意见类型不同。内部控制审计报告的形式和内容不同于财务报表审计报告。注册会计师应当分别按照中国注册会计师审计准则和《企业内部控制审计指引》及《企业内部控制审计指引实施意见》的相关规定，出具财务报表审计报告和内部控制审计报告。此外，内部控制审计报告不存在保留意见的意见类型，如果内部控制存在一项或多项重大缺陷，除非审计范围受到限制，注册会计师应当对内部控制发表否定意见;如果审计范围受到限制，注册会计师应当解除业务约定或出具无法表示意见的内部控制审计报告。

内部控制审计的具体流程是：计划审计工作、实施审计工作、评价控制缺陷、完成审计工作4个内容。内部控制审计的程序：　　(一)计划审计工作　　注册会计师需恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。　　计划审计工作时，注册会计师应当评价有关事项对内部控制及其审计工作的影响：与企业相关的风险;相关法律法规和行业概况;企业组织结构、经营特点和资本结构等相关重要事项;企业内部控制最近发生变化的程度;与企业沟通过的内部控制缺陷;重要性、风险等与确定内部控制重大缺陷相关的因素;对内部控制有效性的初步判断;8.可获取的、与内部控制有效性相关的证据的类型和范围。　　注册会计师应当充分认识风险评估在计划审计工作中的作用，以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注应越多。　　在进行风险评估以及确定必要的程序时，注册会计师应当考虑企业组织结构、经营单位或流程的复杂程度可能产生的重要影响和作用。企业组织结构、经营单位或流程的复杂程度可能影响企业实现控制目标的方式。企业的规模和复杂程度也可能影响错报风险以及应对该风险所需实施的控制。注册会计师应当根据企业情况调整工作范围，以获取充分、适当的证据，支持发表的意见。　　注册会计师应当在计划审计阶段对企业董事会的内部控制评价工作进行评估，判断是否在内部控制审计工作中利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能应由注册会计师执行的工作。注册会计师利用企业内部审计人员、内部控制评价人员和其他相关人员的工作，应当对其专业胜任能力和客观性进行充分评价。一般而言，与某项控制相关的风险越高，可利用程度就越低，注册会计师应当更多地对该项控制亲自进行测试。需要强调的是，注册会计师对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其它相关人员的工作而减轻。　　(二)实施审计工作　　注册会计师按照自上而下的方法实施审计工作，自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。测试企业层面控制。注册会计师测试企业层面的控制，在把握重要性原则的基础上，一般关注：与内部环境相关的控制;针对董事会、经理层凌驾于控制之上的风险而设计的控制;企业的风险评估过程;对内部信息传递和财务报告流程的控制;对控制有效性的内部监督和自我评价。测试业务层面控制。注册会计师测试业务层面的控制，在把握重要性原则的基础上，结合企业实际、内部控制相关法律法规要求和企业层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试。注册会计师需关注信息系统对内部控制及风险评估的影响。测试与舞弊风险相关的控制。注册会计师在测试企业层面控制和业务层面控制时，应评价内部控制是否足以应对舞弊风险。舞弊风险因素是指注册会计师在了解被审计单位及其内部环境时识别的、可能表明存在舞弊动机、压力或机会的事项或情况，以及被审计单位对可能存在的舞弊行为的合理化解释。与舞弊风险相关的控制通常包括：针对重大的非常规交易的控制;针对关联方交易的控制;与管理层的重大会计政策和会计估计相关的控制;针对期末财务报告中编制的分录和作出的调整的控制;能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制等。注册会计师应当根据舞弊风险评估结果，对上述控制实施有针对性的测试。测试内部控制设计与运行的有效性。如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行，能够实现控制目标，表明该项控制的设计是有效的;如果某项控制正在按照设计运行，执行人员拥有必要授权和专业胜任能力，能够实现控制目标，表明该项控制的运行是有效的。获取内部控制有效设计与运行的证据。注册会计师在测试内部控制设计与运行的有效性时，可综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法，获取充分、适当的证据以支持审计结论。与内部控制相关的风险越高，注册会计师需要获取的证据越多。为确保证据的充分性和适当性，注册会计师通常需对测试时间安排进行权衡，既要尽量在接近企业内部控制自我评价基准日实施测试，又要保证实施的测试能够涵盖足够长的期间。注册会计师对于内部控制运行偏离设计的情况(即控制偏差)，应确定该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。在连续审计中，注册会计师有必要考虑以前年度执行内部控制审计时了解的情况，以合理确定测试的性质、时间安排和范围。　　(三)评价控制缺陷　　注册会计师在对内部控制设计与运行的有效性进行测试的基础上，需评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷并影响其审计结论。在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时，注册会计师还应评价补偿性控制(替代性控制)的影响。　　1.财务报告内部控制缺陷。表明企业财务报告内部控制可能存在重大缺陷的迹象，主要包括：　　(1)注册会计师发现董事、监事和高级管理人员舞弊;　　(2)企业更正已经公布的财务报表;　　(3)注册会计师发现当期财务报表存在重大错报，而在内部控制运行过程中未能发现该错报;　　(4)企业审计委员会和内部审计机构对内部控制的监督无效。　　2.非财务报告内部控制缺陷。注册会计师对在审计过程中注意到的非财务报告内部控制缺陷，区别具体情况予以处理：　　注册会计师认为非财务报告内部控制缺陷为一般缺陷的，应当与企业进行沟通，提醒企业加以改进，但无需在内部控制审计报告中说明。　　注册会计师认为非财务报告内部控制缺陷为重要缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进，但无需在内部控制审计报告中说明。　　注册会计师认为非财务报告内部控制缺陷为重大缺陷的，应当以书面形式与企业董事会和经理层沟通，提醒企业加以改进;同时应当在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露，提示内部控制审计报告使用者注意相关风险。　　(四)完成审计工作　　1.取得书面声明。注册会计师完成审计工作后，需取得经企业签署的书面声明。书面声明通常包括下列内容：　　(1)企业董事会认可其对建立健全和有效实施内部控制负责;　　(2)企业已对内部控制的有效性作出自我评价，并说明评价时采用的标准以及得出的结论;　　(3)企业没有利用注册会计师执行的审计程序及其结果作为自我评价的基础;　　(4)企业已向注册会计师说明识别出的所有内部控制缺陷，并单独说明其中的重大缺陷和重要缺陷;　　(5)企业对于注册会计师在以前年度审计中识别的重大缺陷和重要缺陷，是否已经采取措施予以解决;　　(6)企业在内部控制自我评价基准日后，内部控制是否发生重大变化，或者产生对内部控制具有重要影响的其他因素。　　企业如果拒绝提供或以其他不当理由回避书面声明，注册会计师应将其视为审计范围受到限制，解除业务约定或出具无法表示意见的内部控制审计报告。　　2.沟通控制缺陷。注册会计师应与企业沟通审计过程中识别的所有控制缺陷，重大缺陷和重要缺陷须以书面形式与董事会和经理层沟通。注册会计师认为企业审计委员会和内部审计机构对内部控制监督无效的，应以书面形式直接与董事会和经理层沟通。书面沟通需在注册会计师出具内部控制审计报告之前进行。　　3.形成审计意见。注册会计师对获取的证据进行评价，形成对内部控制有效性的意见，出具审计报告。

内部控制审计的具体流程为：1、了解企业的内部控制情况，并做出相应的记录。这是内部控制制度审计的第一步，其主要目的是通过一定手段，了解被审计单位已经建立的内部控制制度及执行的情况，并做出记录、描述。2、初步评价内部控制的健全性。确认内部控制风险，确定内部控制是否可依赖。在对控制环境、控制程序和会计系统进行调查了解，对被审计单位内部控制有了一个初步的认识的基础上，应对内部控制风险和内部控制的可依赖程度做出初步评价。3、实施符合性测试程序，证实有关内部控制的设计和执行的效果。通过对内部控制进行初步评价，可基本掌握被审计单位内部控制的强弱环节，为进行符合性测试确定一个前提。4、评价内部控制的强弱，评价控制风险，确定在内部控制薄弱的领域扩展审计程序，制定实质性审计方案。扩展资料：内部控制风险识别、评估与防范：1、内部控制潜在风险识别情况；2、内部控制潜在风险程度评估情况；3、内外环境变化时，内部控制潜在风险再识别与再评估及时性情况；4、内部控制潜在风险防范措施。内部控制措施与控制活动情况1、为保证内部控制目标实现而制定的政策、制度、规定、业务流程等；2、授权与分权情况；3、经济活动运行的报告、统计情况；4、复核情况；5、业务检查与监督情况；6、非相容岗位的分离设置情况7、关键过程或环节的控制情况。内部信息识别与管理：1、内部控制信息体系的建立与保持情况；2、内部控制信息的识别、处理、沟通与反馈；3、内部控制制度的管理；4、内部控制记录的管理，特别是关键内部控制记录的管理。参考资料来源：百度百科-内部控制审计

内部控制审计的内部控制五要素：1.内部控制环境，即评价以公司治理结构、机构设置和权责分配、内部审计、人力资源政策、企业文化在内的内部控制环境对企业经营管理活动的影响。2.风险评估，即分析企业风险控制目的设置的合理性，评价开展风险评估范畴的全面性、风险评估结果的有效性和风险应对策略的科学性。3.控制活动，即评价企业根据风险评估结果设置的内部控制措施的科学性和控制效果的有效性。4.内部控制信息和沟通，即评价企业内部控制相关信息在收集、处理和传递程序的科学性，分析信息技术在内部控制信息和沟通中所发挥作用的情况，判断企业在反舞弊工作重点领域相关工作机制的有效性。5.内部监督制度，即分析企业内部审计机构和其他内部机构在内部监督中的职责权限情况，判断企业实施内部监督的程序、方法、目的等要求的科学性，有效性。扩展资料内部控制审计的目标是检查并评价内部控制的合法性、充分性、有效性及适宜性。内部控制的合法性、充分性、有效性及适宜性，具体表现为其能够保障资产、资金的安全，即保障资产、资金的存在、完整、为我所有、金额正确、处于增值状态。所以，我们可以将内部控制审计的具体目标概括为：检查并评价内部控制能否确保资产、资金的安全，即检查并评价内部控制能否保障资产、资金的存在、完整、为我所有、金额正确、处于增值状态。内部控制审计业务是一项专门鉴证业务，注册会计师执行这一业务时，应当事先与委托人就内部控制审核范围达成一致意见。凡是业务约定书确定的内部控制审核范围，注册会计师都要进行审核。内部控制审计的范围限于特定日期与财务报表相关的内部控制。通常，注册会计师对某特定日期的内部控制进行审核。特定日期可以是会计年度结束日，也可以是某中期结束日。注册会计师对某特定日期的内部控制审核时，应在接近于此日期之前的一段时间内对内部控制进行了解和测试，并对该日期的内部控制有效性发表审核意见。被审计单位管理层应当就内部控制的有效性提供书面认定，其作用类似于财务报表，它用于明确被审核单位管理层建立健全内部控制并保持其有效性的责任。参考资料来源：百度百科_内部控制审计

内部控制的五要素:内部环境、风险评估、控制活动、信息与沟通以及内部监督。内部控制要素是构成内部控制模式的各个方面。在会计学特别是审计学中，一般将内部控制分为控制环境、会计制度和控制程序三项结构要素，或者将会计制度并入控制程序中，分为控制环境和控制程序。控制环境是内部控制有效性的前提和保障，基本相当于所谓“公司治理结构”的主要内容，控制程序是内部控制的主体，内部控制的作用都是通过各项控制程序来实现的。注册会计师考试章节知识点归纳，祝你轻松取证。移动端题库：http://m.hqwx.com/tiku/zckjs/?utm_campaign=baiduhehuorenPC端题库：http://hqwx.com/tiku/zckjs/?utm_campaign=baiduhehuoren

不是的，内部控制审计是包含内控流程的！不一个概念！

企业内部控制审计指的是什么 较大型企业由股东大会或监事会授权成立的企业内部审计部门，对财务部门的账目进行内部审计，对股东大会和监事会负责。这是企业内部审计，相关审计报告不可作为对外的法律依据（但这里要锭具体的情况）。 内部控制审计与内部审计的区别 内部控制审计与内部审计两者的审计对象不一样，前者只对内部控制制度的制定和执行进行审计贰而后者不仅包括前者，还包括资产、负债、损益审计。 内部审计和内部控制审计是一个概念吗？求详解。 不是一回事 内部审计是企业内设的审计机构或审计人员，根据工作安排，对本企业内有关部门、单位或人员开展审计工作，工作内容包括财务审计、经济责任审计等等多种。内部控制审计专指对企业的内部控制系统进行的专项审计，以确定罚业的内部控制系统的设计、运行是否合理、有效。审计人员可以是内部审计人员，但通常是外部审计即中介机构审计。 内部控制检查和内部控制审计有什么区别 方式上：内部控制检查可以任意的方式，简单、复杂的都可以。内部控制审计必须按照一些列标准的流程来进行，一般参考国际内部审计标准，IIA的那套。 输出结果上：内部控制检查可以任何形式的检查报告，可以说几个问题的或者任意形式的报告。内部控制审计，除了报告外，还必须有工作底稿、抽样标准、样本记录等一些列输出结果。 主体上：内部控制检查，一般都是管理层或者监管丹构来做的。内部控制审计，一般有内部审计部门、或者特定的外部审计来完成 企业内部控制审计主要包括哪些内容？ 企业内部控制审计，指审计机构和人员通过检查企业内部控制制度的创建健全情况和内部控制措施的执行情况，对企业内部控制体系是否完整、有效提出评价意见，并就进一步完善内部控制体系提出审计建议，以预警和预防企业经营管理风险的相关过程。主要包括以下内容：第一，内部控制环境，即评价以公司治理结构、机构设置和权责分配、内部审计、人力资源政策、企业文化在内的内部控制环境对企业经营管理活动的影响。第二，风险评估，即分析企业风险控制目的设置的合理性，评价开展风险评估范畴的全面性、风险评估结果的有效性和风险应对策略的科学性。第三，控制活动，即评价企业根据风险评估结果设置的内部控制措施的科学性和控制效果的有效性。第四，内部控制信息和沟通，即评价企业内部控制相关信息在收集、处理和传递程序的科学性，分析信息技术在内部控制信息和沟通中所发挥作用的情况，判断企业在反舞弊工作重点领域相关工作机制的有效性。第五，内部监督制度，即分析企业内部审计机构和其他内部机构在内部监督中的职责权限情况，判断企业实施内部监督的程序、方法和目的要求的科学性，评价内部控制监督制度的有效性。 内部控制审计五要素是什么 按美国的COSO委员会提出的《内部控制-整合框架》分为以下五要素： 1、控制环境 2、风险评估 3、控制活动 4、信息与沟通 5、监察 中国的《内控规范》借鉴了美国的COSO委员会提出的《内部控制-整合框架》，并结合中国国情，要求企业所建立与实施的内部控制，应当包括下列五个要素： 1、内部环境 2、风险评估 3、控制活动 4、信息与沟通 5、内部监督 内部控制审计的具体流程是怎么样的 1、制定内控审计计划，内审计划包括：审计范围、人员、时间、审计的流程是那些、需要哪个部门配合。 2、形成审计小组，分配审计任务，制定每个流程的内部控制审计方案。 紶、下发审计通知。 4、审计开始。 5、提出审计发现，小组讨论。 6、形成审计报告。报送批准。 7、分发经过批准的审计报告。 8、有问题的跟踪问题整改情况，并进行验证。 9、回访。 内部控制审计与内部控制评价的区别联系。 内部控制审计属于注册会计师外部评价，内部控制评价属于企业董事会自我评价，两者有着本质的区别。 首先，两者的责任主体不同。建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任；在实施审计工作的基础上对内部控制的有效性发表审计意见是注册会计师的责任。 其次，两者的评价目标不同。内部控制评价是企业董事会对各类内部控制目标实施的全面评价；内部控制审计是注册会计师侧重对财务报告内部控制目标实施的审计评价。 最后，两者的评价结论不同。企业董事会对内部控制整体有效性发表意见，并在内部控制评价报告中出具内部控制有效性结论；注册会计师仅对财务报告内部控制的有效性发表意见，对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。 虽然内部控制审计与内部控制评价具有上述区别，但两者往往依赖同样的证据、遵循类似的测试方法、使用同一基准日，因此也必然存在一些内在的联系。在内部控制审计过程中，注册会计师可以根据实际情况对企业内部控制评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用程度，从而相应减少本应由注册会计师执行的工作。 内部控制审计报告是什么意思 对公司内部控制制度、环境、控制等方面进行审计所得出的报告 内部控制审计的内部控制五要素 第一，内部控制环境，即评价以公司治理结构、机构设置和权责分配、内部审计、人力资源政策、企业文化在内的内部控制环境对企业经营管理活动的影响。第二，风险评估，即分析企业风险控制目的设置的合理性，评价开展风险评估范畴的全面性、风险评估结果的有效性和风险应对策略的科学性。第三，控制活动，即评价企业根据风险评估结果设置的内部控制措施的科学性和控制效果的有效性。第四，内部控制信息和沟通，即评价企业内部控制相关信息在收集、处理和传递程序的科学性，分析信息技术在内部控制信息和沟通中所发挥作用的情况，判断企业在反舞弊工作重点领域相关工作机制的有效性。第五，内部监督制度，即分析企业内部审计机构和其他内部机构在内部监督中的职责权限情况，判断企业实施内部监督的程序、方法、目的等要求的科学性，有效性。

内部控制审计就是确认、评价企业内部控制有效性的过程，包括确认和评价企业控制设计和控制运行缺陷和缺陷等级，分析缺陷形成原因，提出改进内部控制建议。内部控制审计是通过对被审计单位的内控制度的审查、分析测试、评价，确定其可信程度，从而对内部控制是否有效作出鉴定的一种现代审计方法。内部控制审计是内部控制的再控制，它是企业改善经营管理、提高经济效益的自我需要。财政部、审计署、证监会、银监会、保监会《企业内部控制基本规范》是内部控制审计的重要依据。依据沪深两市上市公司内部控制指引，沪深两市鼓励上市公司董事会开展内部控制自我评估，在披露年报时披露内部控制自我评估报告，并且同时披露负责年报审计的会计师事务所的审核评价意见。一般地，企业内部审计部门负责内部控制审计，也可以委托不负责年审的会计师事务所开展内部控制审计。o(∩_∩)o 希望能对你有所帮助！o(∩_∩)o★★★★★请及时给予好评或采纳，万分感谢！`(∩_∩)′

内部控制审计是通过对被审计单位的内控制度的审查、分析测试、评价，确定其可信程度，从而对内部控制是否有效作出鉴定的一种现代审计方法。内部控制审计是内部控制的再控制，它是企业改善经营管理、提高经济效益的自我需要。财政部、审计署、证监会、银监会、保监会《企业内部控制基本规范》是内部控制审计的重要依据。依据沪深两市上市公司内部控制指引，沪深两市鼓励上市公司董事会开展内部控制自我评估，在披露年报时披露内部控制自我评估报告，并且同时披露负责年报审计的会计师事务所的审核评价意见。一般地，企业内部审计部门负责内部控制审计，也可以委托不负责年审的会计师事务所开展内部控制审计。

五要素为:1、控制环境2、风险评估3、控制活动4、信息与沟通5、监察内部控制审计就是确认、评价企业内部控制有效性的过程，包括确认和评价企业控制设计和控制运行缺陷和缺陷等级，分析缺陷形成原因，提出改进内部控制建议。内部控制审计是通过对被审计单位的内控制度的审查、分析测试、评价，确定其可信程度，从而对内部控制是否有效作出鉴定的一种现代审计方法。内部控制审计是内部控制的再控制，它是企业改善经营管理、提高经济效益的自我需要。财政部、审计署、证监会、银监会、保监会《企业内部控制基本规范》是内部控制审计的重要依据。依据沪深两市上市公司内部控制指引。沪深两市鼓励上市公司董事会开展内部控制自我评估，在披露年报时披露内部控制自我评估报告，并且同时披露负责年报审计的会计师事务所的审核评价意见

内部控制审计是通过对被审计单位的内控制度的审查、分析测试、评价，确定其可信程度，从而对内部控制是否有效作出鉴定的一种现代审计方法。内部控制审计确认、评价企业内部控制有效性，包括确认和评价企业控制设计和控制运行缺陷和缺陷等级、分析缺陷形成原因以及提出改进内部控制建议。接受企业委托从事内部控制审计的会计师事务所，应当根据《企业内部控制基本规范》及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。

所谓审计风险是指会计报表存在重大错误或漏报，而注册会计师审计后发表不恰当审计意见的可能性。审计风险是由固有风险、控制风险和检查风险三个要素构成：1、固有风险：指在不考虑被审计单位相关的内部控制政策或程序的情况下，其会计报表上某项认定产生重大错报的可能性。它是独立于会计报表审计之外存在的，是注册会计师无法改变其实际水平的一种风险。2、控制风险：是指被审计单位内部控制未能及时防止或发现其会计报表上某项错报或漏报的可能性。同固有风险一样，审计人员只能评估其水平而不能影响或降低它的大小。3、检查风险：指注册会计师通过预定的审计程序未能发现被审计单位会计报表上存在的某项重大错报或漏报的可能性。检查风险是审计风险要素中唯一可以通过注册会计师进行控制和管理的风险要素。

因为注册会计师审计是非常繁杂的事情。所以先测试内控，如果内部控制设计合理、运行有效，能够有效的降低财务报表重大错报风险。从而在较低重大错报风险的领域可以投入较少的审计资源，将审计资源大量投入到高重大错报风险领域。这样既能够增加审计效率有能够有效降低审计风险。符合下列条件的人员，可以报名参加注册会计师全国统一考试：（一）拥护《中华人民共和国宪法》，享有选举权和被选举权；（二）具有完全行为能力；（三）具有高等专科以上学校毕业学历、或者具有会计或者相关专业中级以上技术职称。第五条 有下列情形之一的人员，不能报名参加注册会计师全国统一考试，已经办理报名手续的报名无效：（一）因受过刑事处罚，自刑罚完毕之日起至申请报名之日止不满5年者；（二）因吊销注册会计师证书，自处罚决定之日起至申请报名之日止不满5年者；（三）以前年度参加注册会计师考试因作弊而受到停考处分期限未满者，或终身不得参加注册会计师行业组织的各类考试者。

不是一回事，有区别：1、目标不同。内部控制是建立相互制约的管理关系，目的是改善经营管理；内部审计是对各种业务进行评价，是否合规。2、手段不同。内部控制手段主要有环境控制、风险评估、活动控制、信息与沟通、监控等；内部审计主要手段是查证、函证、抽样、座谈、调查等。3、关注点不同。内部控制的关注点是管理流程、制度和岗位约束、制度的有效性、关键岗位等；内部审计的关注点是各项指标完成情况，异常财务现象，财务规范性等。4、对象不同。内部控制的对象是整个企业的各个环节；内部审计是相关环节和财务相关信息。

内部控制审计是对内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制重大缺陷进行披露；财务报表审计是对财务报表是否在所有重大方面按照适用的财务报告编制基础编制发表审计意见。虽然内部控制审计和财务报表审计存在多方面的共同点，但财务报表审计是对财务报表进行审计，重在审计“结果”，而内部控制审计是对保证财务报表质量的内部控制的有效性进行审计，重在审计“过程”。 （一）对内部控制进行了解和测试的目的不同 （二）测试内部控制运行有效性的范围要求不同 （三）内部控制测试的期间要求不同 （四）对控制缺陷的评价和沟通要求不同

内部控制审计与财务报表审计的区别表现在：目的不同、范围要求不同、测试要求不同。1、目的不同注册会计师在财务报表审计中了解和测试内部控制，是为了识别、评估和应对重大错报风险，据此确定实质性程序的性质、时间安排和范围，并获取与财务报表是否在所有重大方面按照适用的财务报告编制基础编制相关的审计证据。注册会计师在内部控制审计中了解和测试内部控制，是为了对内部控制的有效性发表审计意见。2、范围要求不同在财务报表审计中，针对评估的认定层次重大错报风险，注册会计师选择采用实质性方案或综合性方案。在内部控制审计中，注册会计师应当针对所有重要账户和列报的每一个相关认定获取控制设计和运行有效性的审计证据，以便对内部控制整体的有效性发表审计意见。3、测试要求不同在财务报表审计中，针对评估的认定层次重大错报风险，如果注册会计师选择综合性方案，需要获取内部控制在整个拟信赖期间运行有效的审计证据。在内部控制审计中，注册会计师对于基准日的内部控制运行有效性发表意见，则仅需要对内部控制在基准日前足够长的时间内的运行有效性获取审计证据。

　　内部控制审计是内部控制的再控制，是企业改善经营管理、提高经济效益的自我需要。　　内部控制审计是通过对被审计单位的内控制度的审查、分析测试、评价，确定其可信程度，从而对内部控制是否有效作出鉴定的一种现代审计方法。　　财政部、审计署、证监会、银监会、保监会《企业内部控制基本规范》是内部控制审计的重要依据。依据沪深两市上市公司内部控制指引，沪深两市鼓励上市公司董事会开展内部控制自我评估，在披露年报时披露内部控制自我评估报告，并且同时披露负责年报审计的会计师事务所的审核评价意见。　　一般地，由直属于董事会或者监事会的审计委员会、独立董事负责内部控制审计，也可以委托不负责年审的会计师事务所开展内部控制审计。

内部控制审计属于注册会计师外部评价，内部控制评价属于企业董事会自我评价，两者有着本质的区别。首先，两者的责任主体不同。建立健全和有效实施内部控制，评价内部控制的有效性是企业董事会的责任；在实施审计工作的基础上对内部控制的有效性发表审计意见是注册会计师的责任。其次，两者的评价目标不同。内部控制评价是企业董事会对各类内部控制目标实施的全面评价；内部控制审计是注册会计师侧重对财务报告内部控制目标实施的审计评价。最后，两者的评价结论不同。企业董事会对内部控制整体有效性发表意见，并在内部控制评价报告中出具内部控制有效性结论；注册会计师仅对财务报告内部控制的有效性发表意见，对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。虽然内部控制审计与内部控制评价具有上述区别，但两者往往依赖同样的证据、遵循类似的测试方法、使用同一基准日，因此也必然存在一些内在的联系。在内部控制审计过程中，注册会计师可以根据实际情况对企业内部控制评价工作进行评估，判断是否利用企业内部审计人员、内部控制评价人员和其他相关人员的工作以及可利用程度，从而相应减少本应由注册会计师执行的工作。

内部控制的存在与否，对内部审计方式的选择有着至关重要的意义。

　　有效实施内部控制与内部审计的途径：　　(一)提高领导层对内控的重视度，完善内部控制环境。　　良好的控制环境的建立，是制度真正落实的有效保障。影响控制环境的因素是多方面的，包括董事会、企业管理者的素质、企业文化、组织结构等。加强和完善企业内部控制，一是要建立现代企业制度，以企业财务管理为核心，以产权清晰、权责明确、政企分开、管理科学为特点，使企业成为面向国内外市场法人实体和市场竞争主体的一种企业机制。二是要建设企业内部控制环境，包括经营管理的理念，风险管理理念，管理控制方法，组织机构，外部环境影响等。因而为了企业的发展，一定要提升企业领导层和管理者的思想意识，转变其管理观念，使之增强对财务管理重要性的认识，加强对内部会计控制的管理力度，从而提高企业的核心竞争力。　　(二)明确审计方向，确定审计目标，掌握审计重点。　　对于一个企业而言，企业实施内部控制审计的最终目标在于通过这样一个审计活动，完善审计内控制度，维护企业资金的稳定性和安全性，提高企业的运营效率和经营管理水平。因此在审计内容上内部审计人员要通过查阅法、调查表格法等审计方法，了解企业管理信息和流程(传递沟通方式、制度汇编、职责分工、岗位规范和标准)等相关资料，进一步向相关部门和人员了解企业的相关业务及财务资料，对企业主要业务的关键控制点进行测试分析，掌握这类控制点存在的漏洞和不足之处，并采取有效措施加以改进。在审计方法和手段上要全面运用计算机技术、网络信息技术，重视风险分析，保证内控审计工作的顺利开展。最后，企业还要建立起内部控制审计队伍训练培养基地，定期组织相关人员进行培训，不断强化审计人员职业道德意识和审计专业技能，为企业培养一支高素质、高质量的审计团队。　　(三)充分发挥内部控制执行与监督职能。　　内控制度要发挥良好的作用并且得到有效执行，企业必须具备足够的人员及资源，使其能完成所分配的任务，并且应选拔职业道德修养和专业胜任能力的员工，创造良好的环境氛围激发员工的积极性、主动性和创造性，建立绩效评价体系，健全考核奖惩机制，对员工实施科学、有效的监督。　　充分发挥内部审计的作用，使企业内部审计部门应当更多地参与到企业的事前预防和事中的内部控制中，通过对企业会计内部控制的监督和评审，及时发现内部控制制度中的漏洞和隐患，并针对企业会计工作中出现的新情况、新问题等加以技术修正或改进，提出一些有建设性的意见和措施，提高企业的综合实力。

1.内部审计的主要作用是评价内部控制的有效性　　内部审计人员应对企业管理风格、企业文化、会计核算、控制程序等各方面非常熟悉，清楚各项业务活动的关键控制点；加之其相对独立并在企业内部有较高的地位，使其评价内部控制的有效性成为可能。　　2.内部审计的日常工作是监督内部控制的运行　　为了确保企业相应管理制度措施与程序得到全面准确地执行，必须要有监督。内部审计在企业中并不直接参与相关的经济活动，处于相对独立的地位，但又时时处在各项管理活动中，对企业内部的各项业务比较熟悉、对发生的事件比较了解，是实行内部监督的最好选择。财政部发布的《内部会计控制规范——基本规范（试行）》规定：“单位应当重视内部会计控制的监督检查工作，由专门机构或者专门人员具体负责内部会计控制执行情况的监督检查，确保内部会计控制的贯彻实施。”尽管没有明确提出由谁宋实施监督检查，但从理论或实践来看，由内部审计部门和内部审计人员担任此责是较合适的。　　3.内部审计工作者可以提供管理咨询服务　　由于内部审计人员在内部控制中所起的重要作用，为企业相关部门或员工提供管理咨询便成为内部审计人员的一项自然“服务”。尤其对于那些拥有众多二级、三级子公司的大型房地产企业（母公司或总公司）难于有效实现对下级公司的管理与控制时，更需要这种“服务”。内部审计的一个重要职能是为以下两者提供有关内部控制的咨询服务：一是母公司或总公司的职能部门 （比如房屋销售部门希望对贷款的回收进行有效管理，可从内部审计人员处得到中肯的意见）；二是下级公司的管理当局（比如分公司的经理就如何在分公司内建立良好的内部控制咨询上一级内审机构）。