公司治理内部控制和内部审计三者关系内容摘要公司治理、内部控制和内部审计三者的关系正日益引起学术界及企业界的注重和重视。

本文从阐述内部控制和内部审计是公司治理的内在需求出发，指出内部控制和内部审计的互动共进，对提升公司治理效率、持续完善公司治理结构所具有的重要作用。

关键词公司治理内部控制内部审计随着现代企业制度中公司治理的框架中，内控制度已成为公司治理逐步有效完善的利器，内部审计在公司治理中也被持续地赋予了新的任务。

研究公司治理、内部审计和内部控制三者之间的内在联系，明确内部控制和内部审计在公司治理中的地位和作用，推动内部控制和内部审计的互动共进，对于进一步完善公司治理结构，促动企业的健康发展，实现公司价值最大化就显得非常重要。

一、内部控制和内部审计是公司治理的内在需求1、公司治理是现代企业制度的永恒命题。

公司治理是相当严密和复杂的系统工程，要求企业生产要素、产权要素以及企业相关利益者的权、责、利得到合理匹配与分工，要求权利制衡、激励和监督机制的严格和周密的控制运行，通过完整系统的制度安排和控制程序，使企业的人流、物流、资金流、信息流都能按照既定的流量、流速、流向在执行中起动、运行、停止。

所有权与控制权的分离是现代企业制度最显著的特征之一，伴随着股份制公司的诞生和发展，从股东到公司员工的层层授权和代理，就成为公司内外部各利益相关者最为核心的关系。

为了防范可能发生的委托人与代理人的利益目标错位甚至背离，规避可能存有的代理人为自身利益而损害委托人利益，即所谓“道德风险”的发生，在公司治理的理论和实践中，各种对代理人的经营管理、经营绩效实行有效监督和控制的制度安排和控制机制被设计和制定出来，并逐步形成了“关系框架+制度安排+控制机制”三者合一的公司治理架构。

2、内部控制是公司治理的核心内容。

公司治理既是一个静态的组织架构和控制机制，也是一个动态的螺旋式持续趋向完善的过程。

在公司治理初始，治理目标定位在防范“道德风险”，治理手段主要依靠资本市场的作用和社会中介的会计控制。

随着世界经济一体进程的加快和跨国公司的发展，人们把注重的目光，从道德风险转移到管理风险、经营风险、被兼并风险上，因为这些风险对企业生存和发展具有生死攸关的意义，公司治理的目标也从股东和公司利益最大化，转变提升为公司价值的最大化，这些都迫切需要在企业内部建立起自我约束、自我控制、自我监督的内部机制，与外部约束、控制和监督形成合力，共同承担起建立科学严密的公司治理机制、完成公司治理任务的重任。

改革开放以来，国有企业以现代企业制度为载体的产权制度改革和创新已经取得世人瞩目的成果，中石化、中石油、中国移动、中国银行等特大型国有企业纷纷实行了股份制改造，开始登陆国内和国际资本市场。

当前，外部监管不得力、内部治理不到位，不但是国有企业在现代企业制度建立的过程中的基本国情，也是国际资本市场发展中面临的最大挑战，一些会计舞弊、粉饰报表等欺骗投资者行为，不但损害了投资者的利益，也严重动摇了投资者的信心和资本市场的公信力基础。

从中石化集团公司2006年审计工作会议披露的情况来看，当前中石化经营管理中出现的问题主要表现在：一是部分单位执行国家法律法规和集团公司各项规章制度不严格，私设“小金库”账外账、乱拆借、乱担保、违规经营等问题时有发生，问题性质相当严重；二是有的单位违反总部物资采购管理规定，增大采购成本，收受回扣，滋生腐败；三是有的单位擅自组织职工集资入股，组建与母体企业有密切关系的多种经营实体，并向这些单位大量让利，造成母体企业效益流失；四是有的单位违规动用企业资金和补充养老保险资金实行股票炒作和委托理财，形成较大的资金风险；五是部分单位多级法人和多级管理现象严重，体制机制不完善，经营管理散乱，造成决策失误、经济责任不落实、国有资产流失。

这些问题产生的原因虽然是多方面的，但内部控制不严、内部审计不力、内部监管不到位是不容忽视的重要因素。

3、内部审计是内部控制的重要手段。

事实证明，股份制公司挂牌上市了，并不等于现代企业制度就已经建立了，如果没有公司治理，或者公司治理不到位，就不是真正意义上的现代企业制度。

李金华审计长在总结我国内部审计工作的优势和不足的时候，针对当前内部审计存有的“重监督轻服务、重结果轻过程、重财务轻业务、重合规轻效益、重单项轻系统、重当期轻长远、重查处轻建议、重独立轻互动”等问题，多次强调“内部审计机构很重要的一点，就是为你所在的单位、部门在增强管理、提升效益、建立良好的秩序方面发挥作用，这就是内部审计的主要目标”，提出了要“把内部审计作为一个控制系统，而不是一个检查系统”、“内部审计要以效益审计和管理审计为主”、“内部审计要以事前、事中审计为主”、“内部审计要以体现中国特色为主”等全新的内部审计理念。

为内部控制、内部审计在公司治理中的地位和作用指明了方向。

与外部审计相比，内部审计在健全公司治理机制特别是强化内部管理和控制方面具有得天独厚的优势。

与时俱进的内部审计，应该围绕公司治理机制的健全完善，以风险控制为导向，以监督检查内部控制活动有效性为主线，以促动提升风险控制水平为目标，坚持跟着风险走，哪里有风险，内部审计就跟到哪里，在公司治理中发挥出更大的作用。

二、内部控制和内部审计的互动共进，有效提升公司治理效率《内部审计准则第5号---内部控制审计》明确了内部审计与内部控制是检查和被检查、评价和被评价的关系。

展开企业内部控制的基本流程能够看出，企业内部控制制度从设计开始，经过内部控制制度的实施，到内部控制制度的测试，再到内部控制制度的评价，整个流程的四个环节不可分割，控制活动周而复始，前两个环节是企业管理层和各职能部门的责任，而后两个环节则是内部审计的主要作用空间，内部审计既是内部控制系统中的一个重要子系统，同时又是对控制系统的再监督再控制，在控制系统中具有不可替代、举足轻重的地位，从而在公司治理的组织架构和程序运行中，形成了内部控制、内部审计的互动共进关系。

1、内部控制是内部审计的“风向标”。

我们先从内部控制的发展趋势来看，控制的范围已由传统的会计控制逐步扩展到管理控制、经营控制、风险控制，直到几乎不能细分的诸多业务流程控制，林林总总涉及到公司经营活动的各个方面。

再从内部审计的发展轨迹来看，内部审计的重点由传统的以查错纠弊为主的财务审计转向管理审计、效益审计和风险审计，审计职能已由传统的监督评价拓展为监督评价与咨询，由“监督导向型”向“服务导向型”转变，内部审计目标也由监督内部控制的设置转变为改进内部控制系统。

两者之间存有着明显的互动共进关系，内部控制的方向就是内部审计的方向，内部控制的内容就是内部审计的内容，内部控制的关键部位就是内部审计的重点。

内部控制重点的转移，客观推动了内部审计重点的随动和转移。

控制比较健全有效，审计范围就能够适当缩小，抽取的样本就能够适当缩小，审计风险就得到控制，反之，审计就需要适当扩大范围，扩大审计样本，以规避审计风险。

内部控制为审计定位，起到“定位器”作用。

2、内部审计是内部控制的“测试仪”。

所谓内部控制制度审计是指审计人员从研究和分析内部控制制度入手，通过符合性测试，对被审计资料所反映的相关经济活动的真实性、准确性、有效性以及可靠水准做出评价，再以此为基础，决定被审计项目所要实行实质性测试的范围和内容，并修订审计方向和目标，在审计计划执行过程中形成审计意见。

近年来，内部审计最重要的理念创新，就是强调内部审计是控制系统，最明确的发展方向，就是“内部审计要以事前、事中审计为主”。

内部审计方式要从以结果为审计对象转化为以过程和结果为审计对象，既注意对结果的审计，更注重对过程的审计；要从以对某一时间点的静态情况审计转化为对全过程的动态情况审计，既注意静态下的内控水平的审计，更注重过程有效性的审计。

内部控制力度的大小，控制效果的优劣，检验的标准和手段主要通过内部审计测试来完成，内部审计始终充当着发现内部控制制度缺点的重要角色，充当着内部控制制度的测试者、监督者和信息反馈者。

3、内部控制与内部审计的互动共进，是公司治理创新的“助推器”。

公司治理在发展中持续创新，内部控制与内部审计的互动共进，成为公司治理持续有效完善的“推动器”，两者的互动共进不但在公司治理中发挥出重要的作用，而且为公司治理注入新了的活力。

（1）有助于及早发现公司治理的潜在风险。

内部审计通过对内部控制有效性的评价，不但揭露和制约各种不道德和不规范的行为，防止给公司造成各种不良后果，同时也能及早发现有待于治理的重点风险区域，防患于未然，丰富公司治理的内涵。

（2）有助于促动控制系统的改进完善。

通过两者互动共进能够发现控制系统中存有的薄弱环节，揭示公司治理存有的潜在风险，提出可行的改进意见和方案，使控制系统更为有效的运行。

（3）有助于信息传递的全面真实。

内部审计以独立身份，以审计报告的形式向相关部门提供真实信息，从而促动决策层的科学决策，提升公司治理的功能和价值，也部分解决了委托人和代理人之间“信息不对称”的问题。

（4）有助于监事会职能的落实和延伸。

在公司经理结构中，监事会因为受到多方的因素制约，只能局限于对公司高管层的监督，对授权代理的中低层基本处于盲区，致使公司治理架构中监事会的职能控制无法落实。

内部控制与内部审计的互动，使不同层次的授权和代理状况得以全面反映，有助于形成至上而下、自下而上的全方位监控，从而落实和延伸了监事会的职能。

三、展开内控制度评审，构筑内部控制与内部审计的互动平台1、内部控制制度评审的内容及步骤。

内部控制制度评价的内容包括控制环境、风险管理、控制活动、信息与沟通、监督等五个要素。

控制环境评价主要包括公司对面临的持续变化的市场环境，是否具有快速反应的水平，各项经营活动的复杂水准，各项制度是否健全和有效，业绩考核和激励机制是否有效运行，组织结构是否合理；风险管理评价主要评价重点是企业现实和潜在的风险、对发生的风险是否有水平处理；控制活动评价主要是评价活动的适当性和有效性，提醒管理层注意控制各环节的强弱，对管理中存有的缺陷或失败实行快速报告，并且能即时地采取纠正措施；信息与沟通的评价，主要评价组织获取及处理信息的水平。

重点是信息获取、处理、传送、安全等有效性；监督的评价重点评价监督机制是否执行并有效。

2、内部控制制度审评的具体步骤。

（1）确定内控制度评审的审计程序和方法；（2）通过对审计单位经济信息的可信赖度的判断，决定审计抽样样本量多少；（3）实行内部制度的实际测试，了解被审计单位的内部控制的实际执行情况；（4）获得被审计单位内部控制建立和运行的信息，向单位领导提供内部控制的审计结果，为领导决策服务；（5）向被审计单位提出“管理建议书”或“内部控制缺陷报告”。

（6）收集审计结果的反馈意见。