内部控制与内部审计

第一章 内部控制的基本理论

第一节内部控制的定义

  我国对于内部控制的定义几经变迁，经历了由无到有、范围逐步扩大、科学严谨性逐步提升的发展过程。最早的内部控制定义仅仅局限于会计控制，而现在的内部控制则是完整的内部控制概念。内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。对于这一定义，可从以下几个方面进行理解：

一、内部控制是一种全员控制

  内部控制是一种全员控制，即内部控制强调全员参与，人人有责。企业的各级管理层和全体员工都应当树立现代管理理念，强化风险意识，以主人翁的姿态积极参与内部控制的建立与实施，并主动承担相应的责任，而不是被动地遵守内部控制的相关规定。

值得注意的是，内部控制的“全员控制”与董事会、监事会和经理层在内部控制的建设和实施过程中的领导作用并不矛盾，领导者与普通员工仅仅是分工不同、承担的权责大小不同，但都是内部控制的参与主体。具体而言，董事会负责内部控制的建立健全和有效实施；监事会对董事会建立和实施内部控制进行监督；经理层负责组织领导企业内部控制的日常运行，在内部控制中承担重要责任。企业所有员工都应在实现内部控制中承担相应职责并发挥积极作用。企业应当在董事会下设立审计委员会，负责审查企业内部控制、监督内部控制的有效实施和内部控制自我评价情况。这就形成了上至董事会，下至全体员工全员参与的内部控制，克服了长期以来我国企业内部控制建设滞后、相关各方执行时权责不清，管理层和员工缺乏参与内部控制的责任与动力等问题。

二、内部控制是一种全面控制

  内部控制是一种全面控制，是指内部控制的覆盖范围要足够广泛，涵盖企业所有的业

务和事项，包含每个层级和环节，而且还要体现多重控制目标的要求。内部控制本质上是对风险的管理与控制，所谓风险是指偏高控制目标的可能性。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。企业设计的内部控制活动和流程要充分防范和控制任何影响以上目标实现的风险（而不能仅仅局限于财务报告风险），并要为以上目标的实现提供合理保证。也就是说，内部控制不仅仅是一种防弊纠错的机制，而且还是一种经营管理方法、战略实施工具，是一种为实现多重目标而实施的全面控制。

  应当特别说明的是，内部控制只能为控制目标的实现提供“合理保证”，而不是“绝对保证”，这是因为企业目标的实现除了受到企业自身因素的限制以外，还会受到外部环境的影响，而内部控制无法作用于外部环境；而且，内部控制本身也存在一定的局限性，使得其不可能为企业控制目标的实现提供“绝对保证”。

三、内部控制是一种全程控制

  内部控制是一种全程控制，是指内部控制是一个完整的全过程控制体系。从时间顺序

上看，内容控制包括事前控制、事中控制和事后控制；从内容上看，内部控制包括制度设计、制度执行与监督评价。它们环环相扣，逐步递进，彼此配合，共同构成了一个完整的内部控制体系。

  内部控制的全程控制通常以流程为主要手段，包含流程的设计、执行和监督评价，但又不仅仅局限于流程。流程本身就包含着过程控制的思想，流程的设计是前提和基础，流程的实施是核心，对流程的监督是关键。流程设计的合理性往往会直接影响整个内部控制工作的效率和效果。因此，企业要有效地实现全程控制，就必须优化与整合企业内部控制流程。企业进行的流程再造，也是基于全面控制和以提高运行效率的目的。如果说全面控制是从横向角度为企业实现控制目标搭起了一道无形的网，那么全程控制则是从纵向角度为企业防范和管理风险架起了一堵牢固的墙。

本书从介绍内部控制的定义、原则和要素开始，涵盖了内部控制环境和业务活动控制，详细介绍了内部审计人员职业道德的要求、内部审计管理风险与防范，内容翔实，案例丰富，结构严谨，实用性强，有利于在提高学习者理论知识水平的基础上培养其实务操作能力。