企業內部控制研究

一個有效的內部控制系統，如同完善的法人治理結構一樣，是公司高效運作的基礎。長期以來，我國多數企業沒有意識到內部控制的重要性，對內部控制的概念模糊，再加上公司治理結構上的先天不足以及組織結構、人員素質等方面的原因，致使企業內部控制普遍薄弱。政府主管部門已經意識到這個問題。2000年11月，中國證監會發布了《公開發行證券公司信息披露編報規則》，要求公開發行證券的金融機構應建立健全內部控制制度。財政部近期也發布了《內部會計控制基本規范（征求意見稿）》等相關文件，對企業內部控制問題作出專門規定。這表明在繼公司法人治理結構后，我國政府管理部門已將加強企業內部控制提上了議事日程，對改善我國企業的內部控制現狀、促進現代企業制度的建立、完善上市公司信息披露和保證資本市場有效運行來說，有著非常重要的意義。內部控制已成為我國理論界和企業界所廣泛關注的熱點問題。

對內部控制的認識，很多企業還停留在職務分離和賬戶核對的層次上，尚未認識到內控機制與現代企業制度的深刻內在聯系，自然也就未能意識到內部控制在公司治理和經營管理中的地位和作用。我國企業要在建立現代企業制度的基礎上取得實質性進展，就必須在不斷規范公司治理結構的同時，建立一套健全、有效的內部控制機制。本文作者介紹了近百年來歐美企業內部控制理論和實踐發展的脈絡，詳細闡述了企業內部控制原理和結構，為企業構建內部控制系統提供了基本思路。

——編者

一、內部控制的整體框架思想

所謂內部控制，是指企業為了保證各項業務活動的有效進行，確保資產的安全完整，防止欺詐和舞弊行為，實現經營管理目標而制定和實施的一系列具有控制職能的方法、措施和程序。內部控制制度的設計與實施，是公司財務管理與控制的一項非常重要的基礎工作。企業的內部管理控制系統包括為保證企業正常經營所采取的一系列必要的管理措施。內部控制的總括性目標應定位在取得經營效果和效率、保證財務報告的可靠性及遵循適當的法規上，其職能不僅包括企業管理層用來授權與指揮進行購貨、銷售、生產等經營活動的各種方式、方法，也包括核算、審核、分析各種信息資料及報告的程序與步驟，還包括為對企業經濟活動進行綜合計劃、控制和評價而制定或設置的各項規章制度。

1992年COSO委員會（Committee of Sponsoring Organizations of the Treadway Commission）提出并于1994年修改的《內部控制──整體框架》中對內部控制作了如下的描述：內部控制是由企業董事會、經理階層和其他員工實施的，為營運的效率效果、財務報告的可靠性、相關法令的遵循性等目標的達成而提供合理保證的過程。

㈠ 內部控制的構成要素

內部控制的構成要素應該來源于管理階層經營企業的方式，并與管理的過程相結合。具體包括：

⒈控制環境(control environment）。內部控制深受企業內部和外部環境的影響，環境影響企業控制目標的制定與實施。任何企業的核心是企業中的人及其活動。人的活動在環境中進行，人的品性包括操守、價值觀和能力等，它們既是構成環境的重要要素之一，又與環境相互影響，相互作用。環境要素是推動企業發展的引擎，也是其他一切要素的核心。

⒉風險評估（risk appr-aisal）。企業必須制定目標，該目標必須和銷售、生產、采購、財務等作業相結合。為此，企業必須設立可辨認、分析和管理相關風險的機制，以了解自身所面臨的風險，并適時加以處理。

⒊控制活動（control activity）。企業必須制定控制的政策及程序，并予以執行，以幫助管理層保證“為實現其控制目標的實現，其用以辨認并用以處理風險所必須采取的行動業已有效落實”。

⒋信息和溝通（information and communication）。圍繞在控制活動周圍的是信息與溝通系統。這些系統使企業內部的員工能取得他們在執行、管理和控制企業經營過程中所需的信息，并交換這些信息。

⒌監督（monitoring）。整個內部控制的過程必須施以恰當的監督。通過監督活動在必要時對其加以修正。

COSO委員會同時提出，企業所設定的目標是一個企業所努力的方向，而內部控制組成要素適用于所有的目標類別，每一個組成要素也與每一個目標有關。對于任何企業或企業中的任何部門，內部控制都極為重要。

㈡內部控制整體框架思想的新觀點

與以往的內部控制理論及研究成果相比，COSO委員會提出了許多新的、有價值的觀點。

⒈明確對內部控制的“責任”。在內部控制發展史上，COSO報告第一次明確地闡述了內部控制的制定與實施的責任問題。該報告認為，不僅僅是管理人員、內部審計或董事會，組織中的每一個人對內部控制都負有責任。確立這種組織思想有利于將企業的所有員工團結一致，使其主動地維護并改善企業的內部控制，而不是與企業管理層相互對立，被動地執行內部控制。

⒉強調內部控制應該與企業的經營管理過程相結合。COSO報告認為，經營過程是指通過規劃、執行及監督等基本的管理過程對企業加以管理。這個過程由組織的某一個單位或部門進行，或由若干個單位、部門共同進行。內部控制不是某個事件或某種狀況，而是散布在企業作業中的一連串行動，是企業經營過程的一部分，與經營過程結合在一起，而不是凌駕于企業的基本活動之上；它使經營過程發揮其應有的功能，并監督企業經營過程的持續進行。換言之，內部控制與企業經營活動相互交織，為企業基本的經營活動而存在。

⒊強調內部控制是一個“動態過程”。內部控制是對企業的整個經營活動進行監督與控制的過程，企業內部控制不是一項制度或一個機械的規定，企業經營管理環境的變化必然要求企業內部控制越來越趨于完善；內部控制是一個發現問題、解決問題、發現新問題、解決新問題的循環往復的過程。

⒋強調“人”的重要性。企業中的每一名員工既是控制的主體又是控制的客體，既對其所負責的作業實施控制，又受到他人的控制和監督。COSO報告特別強調，內部控制受企業董事會、管理層和其他員工的影響，并通過企業內部員工所做的行為及所說的話完成。只有人才可能制定企業的目標，并設置控制的機制；反過來，內部控制影響著人的行動。

⒌強調“軟控制”的作用。所有的內部控制都是針對“人”而設立和實施的，企業內部會因此形成一種控制精神和控制觀念，直接影響到企業的控制效率和效果。相對于以前的內部控制研究成果而言，COSO報告更加強調“軟控制”的作用。軟控制主要是指那些屬于精神層面的事物，如高級管理層的管理風格、管理哲學、企業文化、內部控制意識等。

⒍強調風險意識。現代社會是一個充滿劇烈競爭的社會，每一個企業都面臨著成功的挑戰和失敗的風險，風險管理是企業面臨的重要課題之一。風險影響著每個企業生存和發展的能力，也影響其在產業中的競爭力及在市場上的聲譽和形象。COSO報告指出，所有的企業，不論其規模、結構、性質或產業是什么，其組織的不同層次都會遭遇風險，管理層必須密切注意各層次的風險，并采取必要的應對措施。

⒎糅合了管理與控制的界限。在COSO報告中，控制已不再是管理的一部分，管理與控制的職能與界限已經模糊。

⒏強調內部控制的分類及目標。COSO報告單獨對內部控制的目標進行了解析和闡釋。目標的設定是管理過程的一個重要部分，它雖然不是內部控制的組成要素，但卻是內部控制的先決條件，也是促成內部控制的要件。制定目標的過程不是控制活動，但其對內部控制的意義重大，直接影響到內部控制是否有存在的必要。COSO報告將內部控制的目標分為3類：與營運有關的目標、與財務報告有關的目標以及與法令的遵循性有關的目標等。這樣的分類高度概括了企業控制目標，有利于不同的人從不同的視角關注企業內部控制的不同方面。

⒐明確指出內部控制只能做到“合理”保證。COSO報告認為，不論設計及執行有多么完善，內部控制都只能為管理層及董事會提供達成企業目標的合理保證；而目標達成的可能性，還要受內部控制的先天條件所限制。

⒑提出了成本與效益原則。COSO報告明確指出，內部控制要建立在成本效益原則的基礎上，應當正確處理成本與效益的關系，保證以合理的控制成本達到最佳的控制效果。內部控制并不是要消除任何濫用職權的可能性，而是要創造一種為防范濫用職權而投入的成本與濫用職權的累計數額之比呈合理狀態（即經濟原則）的機制。因此，沒有不花錢的內部控制，也不存在完美無缺的內部控制。

二、內部控制與現代企業制度

按現代企業制度的要求，企業內部控制具有以下主要特征：

㈠內部控制發展的主線是保證資產安全和會計信息真實

內部控制與會計有著天然的血緣關系，會計系統應建立在內部控制程序基礎之上，以保證會計數據的可靠性；另一方面，內部控制程序利用可靠的會計數據來保證資產的安全，并監督各部分的業務。

從審計學發展的角度來看，內部控制制度被應用于審計也是出于保證會計信息真實性的目的。企業規模的擴大和企業結構的復雜化迫使注冊會計師必須尋找既能保證審計質量又能降低審計成本的方法。鑒于這種指導思想，注冊會計師認識到了抽樣審計可以與內部控制制度結合起來，從而使審計方式逐漸演進成以評審內部控制制度為切入點，從傳統的審計階段進入到現代審計階段。

㈡內部控制目標是現多元化趨勢

從內部控制目標和內容的演進進程來看，現代企業制度下的內部控制已不是傳統意義上的查弊或糾錯，而是涉及到企業的各個方面，成為公司控制權結構的具體體現，這一點與企業組織形式的演化及治理結構的發展是一致的。

在獨資企業中，剩余索取權和剩余控制權也是合一的，有限責任公司和股份有限公司從理論上講也可以做到剩余索取權和剩余控制權的合一，但這里的“一”指的是由若干名合伙人或股東構成的整體而非個人，因而仍然存在著共有產權問題。公司制企業出現后，剩余索取權和剩余控制權在一定程度上產生了分離，隨之產生了代理風險和“搭便車”問題，內部控制由此產生，但其職能僅表現為保護資產和查弊糾錯。

在現代公司制度下，以保護資產和查弊糾錯為內容的內部控制顯然不能滿足需要，以更新內部控制結構為主體的內部控制機制應運而生。這種內部控制制度，將促進企業貫徹經營方針以及提高經營效率納入其中。這是公司治理結構對內部控制提出的要求。

關于內部控制結構的目標及內容構成，美國有關專家對78家公司進行了調查，結果如表1所示。

調查結果顯示，作為公司治理結構中控制權合約安排的內部控制，無論在目標上還是在內容構成上，都遠遠超出了傳統的內部控制制度；“人本主義”作為構建內部控制機制的信條已越來越多地被企業接受，道德品行并不單純只是內部控制的環境要素，它也日益成為內部控制結構的有機組成部分。

一般地，內部控制應當實現以下基本目標：

⒈建立和完善符合現代管理要求的內部組織結構，形成科學的決策機制、執行機制和監督機制，確保企業經營管理目標的實現。

⒉建立行之有效的風險控制系統，強化風險管理，確保單位各項業務的健康運行。⒊堵塞漏洞，消除隱患，防止并及時發現各種欺詐、舞弊行為，保護單位財產的安全完整。

⒋規范企業會計行為，保證會計資料真實、完整，提高會計信息質量。包括：保證業務活動按照適當的授權進行；保證企業所有交易和事項以正確的金額、在恰當的會計期間及時記錄于適當的賬戶，使會計報表的編制符合會計準則的相關要求；保證對資產和記錄的接觸、處理均應經過適當的授權；保證賬面資產與實存資產定期核對相符。

⒌確保國家有關法律法規和企業內部規章制度的貫徹執行。

㈢企業內部控制的核心是財務控制的會計控制

最初的內部控制實際上就是會計控制，自從20世紀60年代內部控制被分為內部會計控制與內部管理控制后，內部會計控制指與會計工作、會計信息直接有關的控制。在市場經濟環境下，通過資金籌集和運作謀求效益的最大化，永遠是企業管理的主旋律。盡管內部控制的目標呈多元化趨勢，會計控制在內部控制中的核心地位始終沒有動搖過。從企業實踐來看，內部控制制度建設過程中也正是圍繞著會計控制這一核心來抓的：從保證資產安全和信息真實著手做好基礎工作，在此基礎上采用預算管理、內部審計等控制措施，以保證管理的科學性和經營目標的實現。

三、內部控制框架的構建

構建企業內部控制框架，可考慮從控制環境、會計系統和控制程序這個基本要素入手①。這些基本要素按照一定的結構有機結合起來而構成的系統就是內部控制的外在表現形式。

（一）控制環境

控制環境是指對建立、加強或削弱特定政策、程序及其效率產生影響的各種因素，它反映了企業董事會和管理層關于內部控制對公司重要性的態度。它是一種氛圍，塑造企業文化，影響企業員工的控制意識，影響企業內部各成員實施控制的自覺性，決定其他控制要素能否發揮作用，是內部控制其他要素作用的基礎。控制環境直接影響到企業內部控制的貫徹和執行，以及企業經營目標和整體戰略目標的實現。

控制環境包括以下因素：

1.董事會

現代企業法人治理結構的一個顯著特征就是經營權與所有權的分離。雖然從理論上可以將對經營者的控制機制分為以資本市場、產品市場及法律規章制度為主體的外部控制機制和以董事會為主體的內部控制機制，但外部控制機制并不能替代內部控制機制的功能。董事會是公司內部控制系統的核心，它負責為企業管理層制訂游戲規則。

董事會對公司負有重要的受托管理責任。對內部控制而言，一個積極、主動參與的董事會是相當重要的。但是，只有當董事會擁有技術、才能和智慧并能進行適當管理時，它才能適當履行其監控、引導和監督的責任。董事會應對公司內部控制的建立、完善和有效運行負責。

加強企業內部控制，首先要加強董事會的建設，發揮董事會的作用和潛能，使股東及其他利益團體的利益真正受到保護。

2.企業經理層的素質、品行和企業文化

管理者素質和品行在企業經營管理中起絕對重要的作用，直接影響到企業的行為，并進而影響到企業內部控制的效率和效果。在比較發達的市場經濟體系中，一般都已形成一個較為成熟的職業經理市場，企業管理者自我完善和自我提高的激勵和約束機制比較健全。

企業制定的任何制度都不可能超越設立這些制度的人，以及企業內部那些創造、管理與監督制度的人員的操守及價值觀。企業管理者的操守、價值觀是構成控制環境的一個基本要素。管理者的管理哲學及管理風格，包括對待經營風險的態度和控制經營風險的方法，企業為實現預算、利潤和其他財務及經營目標而對管理的重視程度，對會計報表所持的態度和所采取的行動等，都會影響內部控制的成效。企業管理層的操守、管理哲學和管理風格還會直接影響到下級員工的道德行為、思維方式和品行，從而對企業內部控制的效率、效果產生深遠的影響。因此，內部控制結構的建立，必須考慮與員工道德水準和價值觀念的承接性。

企業管理者應制定持續的針對關鍵管理人員和會計人員的、具有操作性的道德規范與行為準則方案，督促他們履行企業道德慣例，從而在企業運營中按照較高的道德標準來增強員工的責任感。

企業文化是具有本企業特征的基本信念、價值觀念、道德規范、規章制度、生活方式、人文環境以及與此相適應的思維方式、行為方式的總和。企業文化對企業經營管理產生著深遠的影響，也不可避免地影響著企業的內部控制。企業管理者應該注重對企業文化的培養和優化。企業在培養自身文化時，應避免一種只注重內部和短期的企業文化，積極塑造一種健康的文化氛圍，使其與公司的戰略目標保持一致。

3.組織結構與權責分配體系

組織結構是公司計劃、協調和控制經營活動的整體框架。企業組織結構建設的好壞直接影響到企業的經營成果和內部控制效果。良好的組織必須以執行工作計劃為使命，并具有清晰的職位“層次順序”、流暢的“意見溝通渠道”和有效的“協調合作體系”。

但是，組織結構只是給企業的經營運作與控制提供了一個合理的框架，真正進行這些工作的主要還是企業員工。因此，企業組織設立的另一項重要任務就是權責分派。權責分派所要解決的主要是授權和分配責任問題。合理的權責分派體系應該明確界定員工所享有權利的上限，企業的某些政策和關鍵員工需要具備的知識和經驗，以及企業應給予員工的資源等。

4.預算控制

預算是保證內部控制結構運行質量的監督手段，預算控制是內部控制的重要方式。一般地說，預算管理是將企業的目標及其資源配置方式以預算方式加以量化，并使之得以實現的企業內部活動或過程的總稱。

預算管理是由預算編制、預算執行與控制、預算考評等環節構成。在現實條件下，預算之所以成為內部控制的重要方式，原因就在于在復雜的層級結構組成的企業中，由于信息不對稱而引起企業目標在各層級間的分解后或者決策權在各層級間的分享后而產生偏離。

按現行公司治理結構的規定，預算方案的制定權在董事會，組織實施權在經理層。但在實踐中，大多數企業的預算是由企業經理層組織編制，報董事會批準后實施的。由于信息不對稱，董事會也不太可能對預算提出實質性意見，董事會在預算管理中職權弱化的現象十分突出，從而滋生了預算管理中的“內部人控制”現象。針對這種情況，應在董事會中設立預算管理委員會的專門機構，具體負責對預算制定和預算執行過程進行監督。只有這樣，才能使預算管理權真正掌握在董事會手中。

5.人力資源政策和實務

一個好的人力資源政策和實務，能確保執行公司政策和程序的人員具有勝任能力和正直品行，并影響到每一個人的業績和表現。公司必須雇用足夠的人員并給予其足夠的資源，使其能完成所分配的任務，這是建立合適控制環境的基礎。除必要的工作能力之外，公司雇員還應該具有一定的職業道德水準。

公司雇員的勝任能力和正直性在很大程度上取決于公司有關雇傭、訓練、待遇、業績考評及晉升等政策和程序的合理程度。行之有效的人力資源政策，對培養企業員工、提高員工素質、更好地貫徹內控制度能起到很大的促進作用。

㈡會計系統

企業會計系統既是制定決策的一個信息來源，也是內部控制機制的第二個組成要素。

針對內部控制的要求，一個有效的會計系統應能夠做到以下幾點：⑴確認并記錄所有真實的交易；⑵及時、充分、詳細地描述交易，以便在會計報表上對交易作適當的分類；⑶計量交易的價值，以便在會計報表上記錄其適當的貨幣價值；⑷確定交易發生的期間，以便為交易記錄界定適當的會計期間；⑸在會計報表中適當地表達交易和披露相關事項。

交易是因某經營實體與外界交換資產或勞務，以及公司內部轉移或使用資產與勞務而形成的；會計系統的核心是處理交易。公司的會計系統應為每筆交易提供一個完整的“審計軌跡”或“交易軌跡”。所謂交易軌跡是指通過編碼、交叉索引和連結賬戶余額與原始交易數據的書面資料所提供的一連串的跡象。

保留交易軌跡對于公司管理層和利益關聯方都很重要。比如說，公司管理層可使用交易軌跡來答復顧客或供應商有關賬戶余額的詢問；內部審計部門或注冊會計師也可使用交易軌跡來核證和追查交易。

（三）控制程序

內部控制的第三個要素是控制程序。控制程序是由為合理保證公司目標的實現而建立的政策和程序組成的。控制程序可應用于某種交易，也可以融合應用于控制環境或會計系統的特定組成部分。

以下列舉幾種常見的特定控制程序：

1.交易授權

不能簡單地將授權（delegation of authority）理解為“這件事交給你”。企業中的授權是指上級委派給下屬一定的權力，使下屬在一定的監督下，有相當的自主權和行動權；授權者對于被授權者有指揮和監督的權力，被授權者對授權者負有報告及完成任務的責任。交易授權程序的主要目的在于保證交易是管理人員在其授權范圍內才產生的。

授權有一般授權與特別授權之分。前者指授權處理一般性的交易，而后者則指授權處理非常規交易事件（比如重大資產處置等），也可用于超過一般授權限制的常規交易（比如同意在特定情形下，對某個不符合一般信用條件的客戶賒購商品）。企業管理層對某項交易的“授權”和員工對交易的批準是不同的。例如，信用部門的員工可以在管理人員授權的信用政策范圍內，批準個別客戶賒購。

2.風險評估

環境控制和風險評估，是提高企業內部控制效率的關鍵。企業內部控制制度不可能脫離其賴以生存的環境及企業內外部的各種風險因素；控制與風險的概念是緊密相聯的，正如房間的前后門，企業選擇哪道“門”進入“房間”，取決于它的經營環境以及該企業怎樣看待它的業務、怎樣界定其戰略重點等。制定風險管理目標是控制過程的一個重要環節，因此，企業要在整個組織內部制定協調一致的目標，找出企業關鍵性風險要素，設置關鍵控制點②。

企業進行風險評估一般要經過風險辨別、分析、管理和控制等過程。特別要注意的是，當企業內外部環境發生變化時，風險最容易發生，因此，企業應加強對環境改變時的事務管理。

SWOT（strength， weakness， opportunities and threats）分析是一種常用的風險分析方法。企業按照這種方法分析自身的優勢與劣勢，長處與短處；分析外界的機會和威脅，考慮自己的生存機遇。企業在日常的內部控制過程中應該時時進行SWOT分析，以將其內部控制目標不能達成的風險降至最低。

3.職責劃分

職責劃分控制程序是指對某交易涉及的各項職責進行合理劃分，使某一個人的工作能自動地相互檢查另一個人或更多人的工作。職責劃分的主要目的是為了預防和及時發現在執行所分配的職責時所產生的錯誤或舞弊行為。

從控制的觀點看，如某員工在履行其職責的正常過程中可能發生錯誤或舞弊，并且內部控制又難以發現他的舞弊，那么可以認為這些職責是不相容的。對不相容的職責必須實行職責劃分，這是內部控制一個基本原則。

職責劃分會影響3種認定的控制風險：第一，將資產保管與資產會計記錄的掌管相分離，可以降低盜竊的風險，因為盜竊者無法通過減少資產的記錄來掩蓋盜竊真相。第二，將處理現金支出交易與銀行調節賬戶相分離，可以降低不記錄支票付款的風險，因為在調節過程中可發現這種風險。第三，付款憑單的批準與支票簽發相分離，可以降低支票書寫出錯的風險。

4、信息流動與溝通

企業應按某種形式及其在某個時間內，辨別、取得適當的信息，并加以溝通，以使員工順利履行其職責。

信息系統不僅處理企業內部所產生的各種信息，同時也處理企業與外部的事項、活動，以及與環境等有關的信息。企業的信息系統不僅是企業控制環境建設的一個重要方面，同時也是企業內部一個重要的特定控制程序，是企業內部控制的一個組成部分。

一個有效的企業信息系統，應能保證企業內部每個人都清楚地知道其所承擔的特定職責。每名員工不僅必須了解內部控制制度的有關方面，這些方面如何生效以及自己在內部控制制度中所擔負的責任，一旦有非正常事項發生，除了要關注該事項外，還必須能夠分析發生原因，并采取適當的措施。

信息溝通系統不僅要有向下的溝通渠道，還應有向上的、橫向的以及對外界的溝通渠道。具體來說：首先，企業管理層要向全體員工發布有關認真履行各自控制職責的明確信息，使其了解自己在控制系統中的地位和作用。其次，企業要有一條自下而上報告重大信息的有效途徑，即建立開放、暢通的信息反饋渠道，以便發現內部控制系統的薄弱環節，并及時采取相應的補救措施。最后，建立反映行為責任履行情況的報告系統，對于企業實施內部控制尤其重要。

5.內部審計與獨立稽核

企業內部控制是一個過程，這個過程是通過納入管理過程的大量制度及活動來實現的。因此，要確保內部控制制度被切實地執行，并且保證良好的執行效果，內部控制就必須被監督。監督可通過日常的、持續的監督活動來完成，也可以通過進行個別的、單獨的評估來完成，或者將二者結合。

在內部控制的監督過程中，內部審計、獨立稽核和控制自我評估這些職能發揮著重要作用。

（1）內部審計

在公司治理結構中，內部審計機構的職責除了包括審核企業會計賬目外，還包括稽核、評價內部控制制度是否完善和企業內部各組織結構執行指定職能的效率，并向企業最高管理部門提出建議和報告。在企業各個層級的人員中，內部審計人員具有極其重要而又特殊的地位。內部審計既是企業內部控制的一個部分，也是監督內部控制其他環節的主要力量。內部審計的作用不僅在于監督企業經營業務是否符合內控程序、評價內部控制是否有效，而且內部審計人員還應該提出完善內部控制和糾正錯弊的建議，幫助企業進行“軟控制”環境的營造，成為內部控制過程設計的顧問。

目前我國企業中內部審計機構的設置情況多樣，大多數企業只設立審計部，有些上市公司同時設立審計委員會和審計部。審計部的定位方面，有的是由監事會領導，有的是由總經理領導，也有的是由財務總監（或總會計師）、分管財務工作的副總經理領導。在董事長和總經理分設的情況下，如將審計部只置于總經理的領導之下，董事會對經理層就缺乏相應的監督措施，也就無法保證我國《會計法》規定的“單位負責人對本單位的會計工作和會計資料的真實性、完整性負責”的條款落到實處。

監事會、審計委員會和審計部分別對股東會、董事會和財務總監負責，同時三者之間還存在著一種業務指導關系。對于規模不大、業務活動比較簡單的公司，也可只設審計部，但審計部應對董事會負責，并在業務上受監事會指導。之所以選擇這種制度安排，原因在于在公司治理結構的約束機制中，董事會是決策機構，這一機構肩負著保證公司管理行為的合法性和可信性職責。從我國公司治理實踐來看，審計部對董事會而不是向總經理負責的這一制度安排，能有效改變董事會職權弱化、“內部人控制”現象嚴重的局面。另外，審計部在業務上接受監事會的指導也能夠對董事會產生一定程度的制衡作用。

（2）獨立稽核

一般地講，獨立稽核是指驗證由另一個人或部門執行的工作和驗證所記錄金額估價的正確性。內部審計就是一種典型的內部稽核。但應該指出的是，獨立稽核是存在于企業管理流程的每一個環節的，并不僅僅限于內部審計。

獨立稽核與許多認定有關。如：人工計算稽核發票、工資計算表及存貨匯總表的正確性；比較現有資產和有關記錄，包括銀行存款余額調節表、零用現金盤點表及實物存貨記錄等；管理層復核匯總賬戶余額詳細情況的報告，如應收賬款的賬齡分析表。

（3）控制自我評估

在國外，企業內部控制的一個新趨勢是實行“控制自我評估（CSA， control self appraisal）”。控制自我評估是指由企業自身不定期或定期地對其內部控制系統進行評估，評估內部控制的有效性及其實施的效率效果，以期能更好地達成內部控制目標。這一做法的基本特征是：關注業務的過程和控制的成效；由管理部門和員工共同進行；用結構化的方法開展評估活動。

CSA是為提高企業內部控制的自我意識所作的努力，這種活動經常以務虛會或研討會的形式進行。CSA的目的是使人們了解哪里存在缺陷以及可能發生的后果，然后讓他們自己采取行動改變這種狀況，而不是坐等內部審計人員站出來。研究表明，實施CSA的方法對于企業加強管理、提高效率、改進流程和控制風險都有著積極的作用。