内部控制审计与内部控制评价的联系和区别

组织内部控制的有效运行离不开对其的持续监督，内部控制审计与内部控制评价都是对内部控制进行监督的方式，然而两者在实施主体、工作目标、监督内容和方式方法等方面仍然各有不同。

内部控制审计，根据我国内部审计具体准则第2201号明确规定，是指“内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动”。

内部控制评价又被称为内部控制自我评价，由五部委联合颁布的《企业内部控制评价指引》将内部控制评价界定为：“组织董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程”。

内部控制审计与内部控制评价既存在联系又存在区别。

内部控制审计与内部控制评价的联系

内部控制审计与内部控制评价的联系主要体现在两者的工作目标均是审查和评价组织内部控制的设计和运行的有效性。与此同时，两者都是围绕着控制环境、风险评估、控制活动、信息与沟通、监督等内部控制要素来确定具体审查和评价的内容的，且两者的工作程序也基本一致。如果组织的董事会或者类似权力机构授权内部审计机构和人员负责内部控制评价的具体组织和实施工作，此时两者的工作主体也是一致的。

内部控制审计与内部控制评价的区别

①责任主体不同

内部控制审计是由组织的内部审计机构和人员实施的一项内部审计活动，是根据组织对内部审计的总体计划实施的，其责任主体无疑是内部审计机构；内部控制评价则是在组织内部实施的一项管理活动，其责任主体是组织的董事会，是组织董事会或者类似权力机构实施的内部控制自我评价，不属于审计行为。当然，在很多情况下，董事会或其下属的审计委员会可能将内部控制自我评价的工作委托给组织的内部审计机构，但是即便在这样的情况下，内部控制评价工作的最终责任主体依然是组织的董事会，而不是组织的内部审计机构，即组织的董事会对内部控制评价报告的真实性承担最终的责任。

②实施的强制性不同

外部监管机构对组织内部审计机构实施内部控制审计并无强制性要求，内部控制审计往往是根据组织内部治理层和管理层的要求，结合内部审计机构的工作重点和任务安排实施的。但是，对于公众利益实体，例如上市公司而言，实施内部控制评价则是一项外部监管机构的强制性要求。无论是美国的《萨班斯–奥克斯利法案》，还是我国的《企业内部控制基本规范》、《企业内部控制配套指引》都对上市公司管理层应当对内部控制有效性进行自我评估提出了明确的要求。

③遵循的规则不同

组织实施内部控制评价应当遵循《企业内部控制基本规范》、《企业内部控制评价指引》。2008年，财政部等五部委联合发布的《企业内部控制基本规范》要求组织应当结合内部监督的实际情况，定期对内部控制的有效性进行自我评价，并出具内部控制自我评价报告。2010年，五部委又联合发布了《企业内部控制评价指引》，对内部控制评价应遵循的原则、评价内容、评价程序、缺陷认定等进行了详细规定，为组织开展内部控制自我评价提供了一个可以共同遵循的标准，也为参与国际竞争的中国企业在内部控制建设方面提供了自律性规范。

内部审计机构和人员实施内部控制审计应当遵循《中国内部审计准则》，五部委《企业内部控制基本规范》及配套指引的出台，对内部控制审计工作提出了明确要求。2013年，中国内部审计协会对内部审计准则进行了修订，在对内部控制审计相关准则的修订中借鉴了《企业内部控制基本规范》、《企业内部控制评价指引》的相关规定。同时，考虑到目前大多数组织内部对内部控制评价主体较为模糊的实际情况，以及内部控制审计和内部控制评价在实务中无论从实施主体还是报告方式等方面都存在一定差别的事实，为突出内部审计机构在内部控制评价中的特殊性和职能作用，此次修订进一步明确了内部控制审计的定义、定位和主体，突出了内部审计机构在内部控制审计中发挥的作用和优势，进一步丰富了内部控制审计的相关内容。

• 首先，在内部控制审计的内容方面，此次修订将内部控制审计按照审计范围分为全面内部控制审计和专项内部控制审计，并从组织层面和业务层面对内部控制审计的内容作了较为细致的规定。其中组织层面内部控制审计的内容主要按照内部控制五要素进行规范，同时借鉴、吸收了《企业内部控制评价指引》中有关内部控制评价内容的规定，力求与《企业内部控制基本规范》及配套指引相衔接。

  
  

• 其次，在内部控制审计的程序和方法方面，强调了内部审计人员在实施现场审查前，可以要求被审计单位提交最近一次的内部控制自我评估报告。内部审计人员应当结合内部控制自我评估报告，确定审计内容及重点，实施内部控制审计。再次，在内部控制缺陷的认定方面，专章规定了内部控制缺陷的认定，对缺陷认定的方法、缺陷的种类和缺陷的报告等内容进行了规定。

  
  

• 最后，在内部控制审计报告方面，专章规定了内部控制审计报告，要求全面内部控制审计报告一般应当报送组织董事会或者最高管理层，包含有重大缺陷认定的专项内部控制审计报告应当报送董事会或者最高管理层；经董事会或者最高管理层批准，内部控制审计报告可以作为《企业内部控制评价指引》中要求的内部控制评价报告对外披露。

④工作成果的体现不同

由内部审计机构和人员实施的内部控制审计的工作成果体现在内部控制审计报告之中，该报告属于组织内部文件，通常是由内部审计机构提交给组织的适当治理层或管理层。组织所进行的内部控制评价的工作成果则体现在内部控制评价报告之中，该报告需报经董事会或类似权力机构批准后，对外披露或者报送相关监管部门。《企业内部控制评价指引》就规定企业应当以每年的12月31日作为年度内部控制评价报告的基准日，内部控制评价报告应当在基准日后4个月内报出。

节选自首席审计官原创书籍《内部审计理论与方法——基于2013内部审计准则的解释》

转自公众号：首席审计官