精品资料（2021-2022年收藏）内部审计、内部控制自我评价与内部控制体系建设——基于现代内部审计功能拓展的视角

1、内部审计、内部控制自我评价与内部控制体系建设基于现代内部审计功能拓展的视角              内蒙古财经学院  赵丽芳 王岩 闵德明内容摘要：内部审计与内部控制自我评价作为公司内部控制系统监督要素发挥作用的两种实施方式，是推动内部控制体系建设与完善、提升公司治理水平的重要机制。现代内部审计的再确认与咨询功能奠定了内部审计引导控制自我评价的基础。内部审计通过驱动管理人员与员工借助多种评价形式与方法开展控制自我评价，控制自我评价作为内部审计推进内控建设的有效参与

2、实施方式，二者耦合地促进内部控制系统过程建设。内部审计引导地位的确立赋予其定期提出控制自我评价报告、接受会计师事务所审核的职责，进而完成公司对投资者内部控制信息披露的法规性要求。关键词：内部控制体系  内部控制自我评价  内部审计  公司内部控制体系是确定所有权与经营权之间受托经济责任履行情况的重要载体。现代经营环境中，任何公司不论其具体经营业务是什么，构建完善的内部控制系统都是衡量经营者受托责任履行情况的重要方面。内部控制系统是连接公司治理层、管理层与运营层的重要通道，如图1。公司治理层、管理层与运营层在内部控制系统中分别具有监督、建立与完善、运行内部控制系统的

3、职责。                    由于内部控制系统对保护所有权（投资者）投资积极性乃至资本市场运行的重要意义，上证所和深交所分别于2006 年 6 月及 9 月公布了上市公司内部控制指引, 明确了公司内部控制在公司治理中的地位，同时提出有条件的上市公司披露内部控制自我评价报告的要求。2008年12月财政部、审计署、证监会等五部委又联合发布企业内部控制基本规范，要求从2009年7月1日起

4、，所有上市公司披露年报的同时要披露公司内部控制自我评价报告，该报告与年报一样需经事务所审计。虽然由于我国企业的实际状况证监会等将上市公司披露该报告的时间推迟到2010年7月1日，但五部委的这一规范，普遍被认为是中国版的萨班斯奥克斯利法案，首次以部门规章形式规范了我国上市公司的内部控制体系及其建设，既是企业建设内部控制的行为依据，又为企业提供了技术指引，作为行政规范与COSO报告的集成，必将深刻影响到中国内部审计的未来发展。内部控制自我评价作为内部控制体系建设的重要环节，其有效开展将推动上市公司内部控制体系建设。根据2009年内部审计热点问题调查报告，84%的受访者认为金融危机使得企业领导提高了

5、对风险管理与内部控制的重视程度；60%的受访者认为内部审计是公司风险管理与内部控制的重要环节。不仅如此，我们认为内部审计引导（驱动）下的控制自我评价将成为提升传统控制自我评价、拓展内部审计功能共同促动企业内部控制建设的一种业务发展模式。一、内部控制自我评价内容界定内部控制自我评价（Control Self Assessment，简称CSA）作为对公司内部控制系统评价的一种观念与技术方法，1987年由加拿大海湾公司首次提出后得到不断地使用与推广。90年代获得进一步发展，CSA以既可以评价内部控制的硬件系统，又可以评价公司软控制环境为特点，传统观点认为它是一个由管理层或工作团队执行的检验和评价内部

6、控制有效性的过程，目的是为企业目标的实现提供合理保证（孙蔓莉，2007）。还有观点认为它是一种内部审计技术和工具（陈峰青，2006；中国内部审计准则，2006）。目前这一评价控制技术方法正受到世界上越来越多公司的信赖与推行（林朝华 唐予华，2003）。（一）内部控制自我评价（CSA）的历史演进内部控制自我评价1987年提出后，主要用于解决资源计量问题和评价公司软环境。20世纪90年代在早期倡导者的提议下，主要进行谈判和协议方面的控制。1995年得到更多公司的接受，普遍将CSA视为价值增值工具。2000年CSA被创造性地应用于审计业务进行审计再造，由此推动内部审计职能重点转向咨询（杨淑娥，200

7、6 ）。内部控制自我评价是一种在西方发达国家广泛使用的内部审计技术和工具（陈峰青，2006），它是由管理层或业务人员直接参与的考察和评价内部控制效果的过程（孙蔓莉，2007；陈峰青，2006）。也有学者认为控制自我评价是对传统的内部审计形式的一种补充和发展，是广义的内部审计理论中的一种技术方法（韩晓梅，2008）。我国内部审计具体准则第21号内部审计的控制自我评估法（2006）中也将内部控制自我评价界定为内部审计人员为了提高审计效率、促进内部控制审计目的的实现而协助公司内部控制审查和评价的一种工作方法。以上分析可以看出两个问题：第一，内部控制自我评价的对象是确定的，即公司的内部控制系统。但内部

8、控制系统涵盖内容广阔，如何针对不同性质的控制要素确定评估重点与方法需要进一步分析；第二，内部控制自我评价的主体存在分歧，已有研究观点各异可能是管理层或业务人员主导评价，也可能是内部审计人员主导评价，还可能是双主体或多主体共同主导评价。如何合理地界定评价主体将在很大程度上影响评价活动实效，所以需要从理论上分析以合理确定控制自我评价的实施主体。（二）内部控制自我评价的内容目前世界范围对内部控制要素的划分主要以1992年美国的COSO报告内部控制整体框架为依据，我国深交所、上交所与财政部等五部委的规定基本与此一致。1内部控制要素界定与分类COSO报告（1992）提出内部控制应由控制环境、风险评估、控

9、制活动、信息和沟通、监督等五个要素组成。1994年美国又颁布ERM框架，对COSO五要素进行了深化和拓展，将其演变为八要素，即内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监督等。我国上交所与深交所上市公司内部控制指引（2006），将内部控制要素规定为目标设定、内部环境、风险确认、风险评估、风险管理策略选择、控制活动、信息与沟通、监督等要素。财政部等五部委2008年联合发布的内部控制基本规范规定，中国内部控制要素分为内部环境、 风险评估、控制活动、信息与沟通、监督五大要素。由此可以看出国内外对内部控制要素的认定是趋于一致的。从要素的性质划分，控制环境与风险评估基本属于

10、内部控制系统中的软要素，控制活动、信息与沟通则属于硬要素，监控兼具软硬两种性质。其中软要素主要是指那些属于精神层面的事物，如公司治理、高级管理阶层的管理风格、管理哲学、职业道德、诚实品质、胜任能力、风险评估、企业文化和内部控制意识等。风险评价（目标设定、事项识别、风险评估、风险应对）也属于软性的控制要素，从审视公司战略目标设定的合理性到识别业务活动对目标实现的有利与不利因素，再到评估不利因素发生的可能性和不利后果，整个过程就是一套判断系统，柔性较大。判断结果很大程度上依赖判断主体的判断力，因此称为软控制要素。控制活动、信息与沟通要素，如资产与记录的接触、使用和传递，授权授信、岗位分离、数据处理

11、与信息传递等在企业中更多的体现为一种客观存在，无论评审判断人员是谁，依据客观的流程设计基本可以得出相似结论，所以属于硬性控制要素。软硬五要素（或八要素）及其涵盖内容如表1。 表1       内部控制组成及软硬控制要素分布表软或硬控制内部控制要素包含在内部控制要素中的因素较软内部环境管理层的诚信和道德价值管理层对员工工作胜任能力（技能、知识）的要求董事会的参与和审计委员会（独立性、经验）的特性管理层的理念和处事风格（风险偏好、保守）组织结构（活动框架、授权、报告）权力和责任的分配方式人力资源政策和实务反舞弊机制软风险评价（目

12、标设定事项识别风险评估风险应对）经营环境的改变所形成的竞争压力新募员工可能对内部控制的不理解新的或重组的业务流程系统对现存内控制度造成影响的过快增长影响业务流程的新技术新产品线或作业影响业务流程的企业重组具有相应风险的国外新业务影响财务报表的新会计公告（例如：会计准则解释第1号、第2号、第3号；财会函【2008】60号；专家工作组意见）较硬控制活动将结果与预期进行对比的业绩评价计算机环境下的信息流程控制限制资产存取、记录、数据文件、计算机程序和定期将账面价值与实物资产进行对比的实物控制不相容职务的分离较硬信息与沟通正确记录、加工、总结和报告资产、负债和权益的信息系统公开沟通方式以解释内控制度的

13、作用与责任，并确保得到报告软硬兼有监督定期的管理和监控活动由内部审计师实施业绩评价来自外部的信息（客户、执法机构、审计师）摘自： 杨淑娥、戴耀华、樊明武，CSA：一个内部控制发展的前沿，当代财经，2006年3期。2内部控制自我评价内容从内部控制系统的设计与运行来看，内部控制自我评价可以分为内部控制制度设计评价与制度执行评价。评价标准以企业内部控制基本规范、上市公司内部控制指引、企业内部控制评价指引与公司内部控制制度为依据，如图2。              

14、;           从评价的主要范围来看，应首先关注公司治理层、投资部门、人力资源部门与财务部门、销售部门与采购部门的内部控制系统建立与运行情况。从评价内容来看，主要包括对公司内部控制环境的全面了解、确认公司整体战略目标是否恰当、职能部门目标或作业目标是否明确适当、实现目标过程中部门的主要风险识别机制是否建立有效、部门内部控制重大缺陷或存在严重风险的业务环节是否确认并有应对措施、公司非正式的控制及其有效性如何、公司部门的业务流程及其运作效率怎样、是否对发现问题进行跟踪改进以及持续的监督业务开

15、展地怎样等（孙蔓莉，2007）。下面以评价公司治理层营造的公司内部环境中的诚信与道德价值观为例，说明内部审计引导内部控制自我评价的程序与内容。 表2内部环境诚信与道德价值观的评价内容 内部环境评估内容诚信与道德价值观咨询建议总体要求管理层制定高层人员操守与员工守则通过行动体现公司的诚信文化与道德价值观向员工传递信息：违背公司道德文化严惩 管理层激励约束机制需改善，管理层合约指标短期与长期结合。   关注点行为守则和道德标准：高层管理者操守是否全面并实施；员工道德守则是否被员工了解并遵守；定期或不定期的操守培训措施是什么；违背操守处理是否及时惩戒

16、并通报；高层管理基调及其示范效果是否在较高道德标准下开展业务；管理层对干预或凌驾既定控制的态度；管理层业绩目标是否存在短期化，薪酬和晋升源于什么；管理层报酬合约的主要条款；评估结论该公司有明确的高层管理者守则与员工道德守则；管理层基本能遵守内部控制要求激励约束机制需要改善内部审计在引导内部环境自我评价过程中，通过发放调查问卷、实际查阅资料等方法首先确认本公司存在高层管理人员与员工操守守则、人力资源部门有企业文化培训手册与计划、员工每年接受培训的档案记录、惩戒统计表、管理者报酬合约等文件资料。然后通过访谈了解实际情况，最后召开专题讨论会，就调查与发现问题进行讨论，提出提升公司诚信与道德价值观的建

17、议，出具本公司控制环境诚信与道德价值观评价报告。对内部控制系统的其他四项要素评价基本思路一致，在确定了一个评价范围或对象后，主要围绕该业务将实现的内部控制的三个基本目标从业务控制环境、业务流程及其风险评估、业务信息与沟通和是否存在监督四方面进行全面确认监督，对部门的每一项作业确认是否制定适当的必要政策和程序，是否辨认出每项重大作业所有的相关目标和风险，是否列示一般经营活动的目标、风险及作业控制活动的注意要点，对现有的已确认的控制活动执行重点考察，对例外事件或需要进一步追查的信息是否及时采取适当行动，监督人员是否复查控制功能的发挥状况等，最后提出内部控制自我评价报告，披露某项业务内部控制实现财务

18、报告目标、合法合规性目标及资产安全目标的保证程度，对自我评价中出现的问题提出改进建议。就目前阶段来看，我国企业进行内部控制建设与评价的首要任务集中于提升企业风险管理与防范能力。有条件的公司还可以就内部控制对战略目标与经营效率的影响进行全面评价，为投资者了解与判断公司整体内部控制状况提供更加相关的信息。二、内部控制自我评价技术选择内部控制自我评价作为一种独立的评价控制技术，在实现评价目标方面可以采取多种形式与方法。（一）内部控制自我评价开展形式传统的内部控制自我评价方式主要有三种，得到了实施企业的广泛运用。1专题研讨会法专题研讨会法是指内部审计人员召集企业相关人员，就内部控制的特定方面或过程进行

19、讨论及评价的方法。专题研讨会一般由内部审计人员召集有关管理人员和员工参加，根据企业的需要与业务风险大小确定研讨主题，围绕企业某一对象的内部控制目标、风险识别、运行效率和控制流程进行，最终形成关于内部控制存在问题和解决方案的一致意见。2调查问卷法调查问卷法是指内部审计人员就内部控制的特定方面或过程以书面问卷的形式向企业相关管理人员收集意见的一种方法。伊利公司内部审计业务的开展就广泛采用了调查问卷法。伊利集团审计部每年根据企业管理重点与现状，设计一套覆盖企业经营管理9大循环体系的内部控制与风险管理调查问卷，问卷包含生产和质量、环境、健康与安全、火险、安全问题、欺诈、财务、计算机、市场、管理和道德标

20、准等10个方面内容。调查问卷通过对人力资源风险、合规风险、资金风险等各项风险信息的收集、分析、辨识，结合内部控制（全面风险管理）的目标，对各项要素进行综合分析，发出预警信息，建议相关单位采取应对风险应对行动，加强业务控制，帮助各级管理层防控风险。3管理分析法管理分析法是指内部审计人员就内部控制的特定方面或过程向相关管理人员收集信息，并将之与其他来源的信息一起进行综合分析的方法。管理分析法的针对性强，但收集的信息可能不够全面。以上三种形式可以单独使用，也可以将其结合使用。大多数CSA执行者在研讨会上同时使用一种以上的形式组合。例如：在专题研讨会上，内审人员最好采用无记名调查问卷的方式，取得与会人

21、员对所讨论内控环节的真实意见。对于否定意见较为集中的问题，后续可以通过管理分析法，结合专题研讨会的评议结论予以解决。（二）内部控制自我评价具体程序与方法内部审计人员在进行内部控制自我评价时，需要在一定规范程序下进行。具体的程序如下：1内部控制自我评价程序首先，制定CSA 计划。CSA 的总体实施方案由内审部门或审计委员会负责。年初由内审部门或审计委员会根据公司行业特点、战略目标和风险管理策略，就公司本年业务重点、主要业务环节与内部控制重点确定 CSA 初选对象名单，将计划内容与相关管理人员进行事先沟通，确定评估时间和方法。其次，开展实施前准备工作。内审部门编制自我评价时间和自我评价小组人员计划

22、，根据业务类别和经验，选定CSA项目小组成员并进行培训。在具体实施评估之前，CSA 小组成员需通过对高层管理者访谈，发放调查问卷以及与业务经理、关键员工座谈等方式了解部门业务运行模式、职能设置、业务流程及关键环节等情况，采用一定的技术手段，按照风险程度依次排序，确定专题讨论会的重点。在评估前发出邀请函，并把所有预先准备的资料发送至与会人员。 第三，召开专题讨论会。 在内部审计人员的指导下，按照相关法规、文件有关内部控制框架的基本要求，引导各业务单元自发地对现有控制模式进行评价，提出切实可行的改善建议,并明确责任人和改善时间。最后，及时总结并形成部门内部控制自我评价报告，并就重点结论进行必要的复

23、核性测试，结合反馈意见，拟定正式报告。通过CSA，公司可以提高某业务对象在设计和保持控制与风险系统中的风险暴露情况并决定正确的行动，从而为内部控制审计增加价值（林朝华、唐予华，2003）。内审人员通过执行以上程序把讨论结果详细记录下来，根据不同控制环节风险发生的可能性与影响程度对风险进行加权平均，排成高风险区、中风险区和低风险区。相关部门可以根据此信息进行风险与内部控制管理。加拿大安大略省布兰登市的审计人员David Young 总结了这方面的经验：管理人员及员工学习并掌握了CSA 对风险的排序，他们提高了责任心，在他们的部门中分配资源以减少最危险的风险（林朝华、唐予华，2003）。 

24、;               三、内部控制自我评价主体分析安达信公司研究人员发布的研究报告指出CSA执行中存在五大缺陷，其中引导人员失当、缺乏管理人员支持、限定其实施范围等是自我评价失控的主要影响因素。所以选择合适的引导人员成为实施CSA成功的关键因素。（一）内部控制自我评价执行主体的不同观点对于谁来引导内部控制自我评价，目前有三种不同看法，有些参与者认为CSA只能由经营管理当局或其领导的工作小组来有效执行（林朝华、唐予华，2003）。还有一些参与者认为

25、，CSA应该包含内部审计，视内部审计为CSA的恰当驱动者（林朝华、唐予华，2003）；第三种观点认为，内部审计应当持续监控并参与CSA，使内外部审计和CSA在内控评价方面形成合力（刘素珍，2008；陈吉东，2007 ）；或使企业员工、内部审计人员和管理人员共同承担对内部控制评价的责任（陈新宁，2008）。还有将内部控制评价主体系统化，提出应由公司内部审计、管理者与员工、公司内部监事会、审计委员会、社会中介组织与政府监管部门共同完成CSA（陈力生，2008）。我们认为界定合理的执行主体首先应该考虑主体的功能定位，即执行主体本身能做什么、不能做什么，符合其内在规律的业务设定将促进执行业务的有效开展

26、，否则只能适得其反。上述观点的单一主体、双主体或多主体的讨论我们发现：1CSA只能由经营管理当局或其领导的工作小组来有效执行的观点，违背了管理监控原则中强调的外部监督有效性原则。赋予管理者与员工业务操作职权的同时暗含着要求其进行自我监督履行职责，但效果如何显然需要另外主体确认。2内部审计应当持续监控并参与CSA，意味着内部审计在控制自我评价中充当局外人角色，完全履行再确认监督职责。这样的定位易于把内部审计与自我评价部门人员对立起来，产生抵触情趣，收不到推进完善内部控制的设定作用。另外有人提出CSA不应该排除内部审计，而应当将内部审计视为CSA的恰当驱动者的观点是否合理呢？（二）公司内部控制自我

27、评价流程我们认为CSA是一个由公司内部与外部注册会计师协作完成的一项控制评价活动。根据国际内部审计师协会的总结，CSA的基本特征之一是要由内部审计和部门管理者与员工共同实施，公司内部监事会、审计委员会实施对控制自我评价的监督。CPA履行对公司内审部门提交的控制自我评价报告的鉴证。之后，公司才完成一个完整的控制自我评价流程，如图3。但在这一评价流程中，谁担当驱动主体并没有明确说明。                  &

28、#160;          结合评价流程从实施主体角度分析，我们认为内部控制自我评价大体分为三个层次：第一层次由内部审计部门与人员引导（驱动）、不同部门管理人员与员工参与对本部门的控制要素进行全方位评价基础上，内部审计进行再确认与咨询，提交内部控制自我评价报告；第二层次由公司监事会或审计委员会对公司内部控制自我评价进行定期或不定期的监督；第三层次由会计师事务所及注册会计师鉴证内部审计部门出具的公司内部控制自我评价报告，向社会公众披露评价报告意见。这个三层次实施主体的控制自我评价流程起点或驱动者是内部审计

29、部门。那么现代内部审计是否具有这样的功能与作用主导一项法规的实施，进而完成投资者对内部控制信息的基本需求就成为本文设计的公司内部控制自我评价流程实施取得成效的关键。四、内部审计与内部控制自我评价的耦合性分析前文已经指出内部控制自我评价是企业内部控制体系建设的重要环节，而由内部审计人员引导（驱动）的内部控制自我评价既是现代内部审计功能发挥作用的内在体现，又满足了公司提供内部控制自我评价报告的制度要求，可以看出现代内部审计已经实现了与内部控制自我评价的机制性耦合。（一）现代内部审计功能定位分析内部审计功能是指内部审计在特定条件下功用、效能和作用的总称。内部审计发展初期，其职能主要是经济监督。随着审

30、计范围的扩展，内部审计开始关注企业的整体业务活动，经济评价职能逐渐成为其主要职能。现代管理科学的发展、内部控制理论的发展、特别是21世纪风险管理理论的发展与成熟，促使内部审计关注的层面提高到企业整体的角度，检验和审查企业的各项治理、管理活动是否有效，防范企业风险，提高企业效益，增加企业价值成为新世纪内部审计发展方向。这时的内部审计能为治理层、高层经营管理者、甚至具体业务的执行者提供其内部控制与经营风险控制的再确认信息及建议，现代内部审计功能拓展，体现出一种内向增值型的服务意识。1999年6月国际内部审计师协会理事会通过了内部审计新定义，指出内部审计是一种独立、客观的确认和咨询活动，旨在为增加价

31、值和改善组织的运营。它通过应用系统的、规范的方法，评价并改进风险管理、控制和治理过程的效果，帮助组织实现其目标。中国内部审计20062010年工作规划也指出“推进内部审计工作的全面转型与发展，内部审计要转向以内部控制和风险评估为导向”。经过调研与分析，我们认为现代内部审计的服务职能主要是再确认与咨询。1现代内部审计的再确认职能是由传统的评价职能发展而来的，它关注的是对企业的风险管理、内部控制及公司治理有效性等方面的再确认。对企业的风险管理、内部控制及公司治理有效性等方面的确认是各项治理、管理职能发挥作用的内在步骤，蕴含在治理与管理运行实践活动中，是治理与管理主体的业务职责。内部审计作为一种监督

32、控制工具，其职能是引导管理控制与实施主体对其内部控制及蕴含风险的再确认。内部审计首先再确认企业整体目标或某个项目所要达到的目标是否合适，然后具体分析在目标实现过程中产生影响的风险因素，并再确认防范和化解风险的控制措施，最后来测试这些控制措施是否有效，对高风险领域给予特别关注，并将再确认信息提供给治理层和管理者，以便他们进行必要的战略调整，从而帮助企业提高经营效率和实现目标。而风险再确认过程就是对风险所在领域内部控制有效性的再确认。国际内部审计师协会(IIA)在其发布的内部审计实务框架标准“工作标准2130治理”中论述了内部审计在治理方面的工作性质，指出内部审计活动应该确认组织的治理效果，为组织

33、的治理作出贡献。现代内部审计再确认职能的界定，为内部审计引导控制自我评价奠定了基础。2现代内部审计的咨询服务职能现代内部审计的另一个突出特征就是服务内向性，这种服务内向性是与其咨询职能密切相关的。内部审计提供的咨询服务是由再确认职能拓展而来。内部审计人员在再确认工作过程中能获取许多有价值的资料和信息，经过加工提炼和综合分析，便可以向审计对象或信息需求者提供咨询服务，增加现代内部审计的现实价值。在引导内部控制自我评估活动中，内部审计应当对内部控制体系和过程进行全面的再确认和咨询，借助对内部控制进行有效测试、遵循性确认、协助管理层完善内控体系设计、推动组织开展控制自我评价（魏欣，2008），为组织

34、增加较大价值。（二）现代内部审计发展历程与内部控制评价内部审计从早期开展的内部控制审计到参与内部控制自我评价直到21世纪引导（驱动）内部控制自我评价，并负责出具内部控制自我评价报告的发展历程显示，内部审计介入并成为内部控制系统建设的关键环节具有客观性。内部审计从其评价职能的确立拓展到再确认与咨询职能，一直与内部控制建设紧密相关。内部控制自我评价作为控制系统建设的重要环节，在推动公司内部控制建立、运行及控制风险发挥效能方面作用巨大。内部审计作为内部控制要素之一，本身就是内部控制系统的重要环节。而其发挥监督职能时借助控制自我评价这种工作方法，实现了与控制自我评估的完全融合。所以内部审计开展内部控制

35、自我评价具有客观合理性。（三）现代内部审计的再确认、咨询职能与内部控制自我评价 现代内部审计具有再确认与咨询职能。再确认意味着内部审计通过对内部控制各环节的检查评价再确认不同控制环节的有效性。针对控制再确认的薄弱环节，提出完善建议。内部控制自我评价是员工与管理者对自身业务环节的内部控制进行检查，确认控制环节的有效性。根据有效监督管理理论，内在自身监督至少需要与外部监督协同运作才可能发挥积极有效的监督作用。由于内部审计相对于业务运行环节的独立性，其引导控制自我评价比员工自我评价更加恰当与有效。内部控制自我评价在我国一些大型企业已经得到广泛实施。其中宝钢国际、伊利、台湾等公司的运用实践说

36、明了内部审计主导内部控制自我评价具有现实意义。宝钢国际在实施 CSA 之后提出“内部控制自我评估在国内大型企业，特别是跨行业的集团公司有着广阔的发展空间。内部控制自我评估作为一种管理工具，在内部审计人员的引导下，在公司有关的管理人员的参与下，能有效地对公司的内部控制进行整改和完善，促进公司管理水平的质的飞跃。”（张谏忠、吴轶伦，2005）从我国企业实践来看，有的公司内部审计参与控制自我评价，有的公司内部审计引导控制自我评价，但不论哪种方式，内部审计都已经与内部控制自我评价结合在一起，共同发挥加强公司内部控制建设的积极作用。五、结论与建议内部控制自我评价是公司内部控制系统建设的重要保证环节。它的

37、有效开展将促进上市公司内部控制体系的建设与完善，从而对公司治理带来积极影响。   同时内部审计在IIA的质量保证检查手册中被定位为一种公司治理的内部保证程序，“通过它组织可获得关于动态变化环境中的风险暴露已得到恰当管理的再确认的过程”。这意味着，内部审计不是仅仅通过再确认提供保证；不能提供保证的地方，内审人员致力于咨询改进（韩晓梅，2004）。当内部审计作为引导者推动内部控制自我评价进程时，内部审计人员对公司内部控制系统的再确认与咨询功能就得到最佳发展。因此内部审计就是通过引导控制自我评价再确认公司内部控制机制（包括风险管理机制）恰当性并提出咨询建议的那部分公司治理程序。由于现代内部审计的重要作用，我们提出：（一）修订内部审计准则，完善内部控制建设规范体系我国内部审计具体准则第21号内部审计的控制自我评估法（2006）中将内部控制自我评价界定为“内部审计人员为了提高审计效率、促进内部控制审计目的的实现而协助公司内部控制审查和评价的一种工作方法“。这样的概念界定显然与内部审计驱动内部控制自我评价模式不适应。我们主张在建立与完善内部控制体系过程中，修订内部审计准则，将内部审计协