审计百问| 内控与审计难道不是一回事吗?审计能担任组织的内控工作吗?
记得5月份的一个周末,在重庆理工大学公益讲座课堂上,一位来自咨询公司的高管问我:“付老师,内控与审计有什么区别?审计部门能担任组织的内控工作吗?”
今天把课堂上我的回复整理如下,仅供大家参考,欢迎各位批评指正。
内控与审计不是一回事。审计不能直接担任组织的内控工作,只能评价内控提出内控意见或建议。原因如下:
第一、内部审计是内部控制环境中的一个重要因素,内部审计的范围在某种程度上小于内部控制。
自2009年7月1日起施行的《企业内部控制基本规范》中指出:内部控制是在一定的环境下,单位为了提高经营效率、充分有效地获得和使用各种资源,达到既定管理目标,而在单位内部实施的各种制约和调节的组织、计划、程序和方法。
内部审计是内控环境中的一个要素,内部控制包括五个要素:内控环境人事政策、企业文化、组织结构、职责分配和授权、内部审计)、风险评估、控制活动、信息与沟通、监督。
第二、内部审计作为内控环境的一个要素,承担内部控制的评价责任,不能直接从事企业内控工作。
国际内部审计(2001、PPF)内部审计是一种独立、客观的确认和咨询活动,其目的是增加组织价值和改善组织的经营。它通过系统、规范的方法评价和改善组织的风险管理、控制和治理程序的有效性,帮助组织实现其目标。
内部审计是企业治理的四大基石之一。
从该定义可看出内部审计的职责是评价和改善内部控制的有效性,帮助组织实现其目标。
由此可见,内部审计不能直接从事企业的内控工作,而是通过评价内控的有效性,发现问题,提出改善的建议。内控是企业风险管理的措施之一,如审计直接从事企业内控,就影响了审计的独立性,国际注册内部审计协会明确界定了内部审计在企业风险管理中的角色中(下图)可以看出内部审计不应当发挥的作用之一就是“以管理层的名义实施风险应对”,这里的风险应对包括但不限于内控控制。如企业制度的制定都不应该由内部审计担当此任。
第三、或许大家会追问,内审有能力做内控吗?内审担负企业内控工作会有什么影响?企业内控该由谁来做?我的答复如下:
内审有能力做企业内控,理解内控做内控是当今时代一个企业管理者的基本素养之一,更不用说审计工作人员了。
内审一旦直接做企业内控就影响了审计独立性,自己做的内控自己如何去评价呢等等弊端。
从企业风险管理的三道线来说,内控工作应属于企业风险管理的第二道线,内审属于第三道线,因此内审只能对第一、第二道线提出审计建议,决不能越俎代庖。内控应该有专门的组织或团队担当此任,华为公司,内控工作镶嵌在财经体系内即归属孟晚舟管理,华为的理由是财务管理遍布公司的角角落落,又是企业管理的核心,将内控镶嵌于财经体系内,最容易开展工作,也最能抓住关键的控制领域,起到事半功倍的效果,事实证明也正是如此,华为财经体系变革为华为的腾飞有浓墨重彩之意。难怪任正非先生早在2016年就这样说:”华为成功的核心点是财经体系和人力资源体系。“
综上:
1.内审与内控不是一回事;
2.内审不能直接承担组织的内控工作,只能对内控的健全性、适当性进行评价,提出审计建议。
当然内部审计往往是理论很骨感,现实很丰满,你懂的。以上不一定对,仅供参考。