一、为什么内控审计发现多为合规性问题

在内部控制审计中，我们通常的思路是关注控制点是否设计合理、执行有效。在某种程度上，这个视角限制了内控审计价值增值功能的发挥，主要体现为：在审计目标上，以消除偏差为主，偏离标准的行为成为审计对象；在审计方式上，以事后审计为主要形式，比较注重控制流程和标准，通过对照各种刚性十足的标准和流程，监督行为，查错防弊。

上述审计模式可以称作是“基于控制流”的审计模式，这种模式比较关注内部控制的流程和标准，但不太关注与内部控制体系各控制点和业务相适应的信息点。这种模式下的审计结果输出往往呈现出合规性问题居多，事后监督为主。

COSO框架中，信息与沟通是内部控制系统的重要组成部分。现有的“基于控制流”的内控之所以只能做出事后控制，往往是由于信息出现了时滞。比如，当一些国有资产流失甚至被侵吞的案件曝光时，我们首先认定因为在这些地方，权力尤其是领导力失去了监督和制约，缺乏有效的内部控制制度，而不会认为这些问题是由于缺乏一个强有力的信息系统去及时得以发现并制止。

由此可见，基于信息流的内部控制才能够实现及时预警，进行行为引导，而不是仅仅满足于“合规”的目标。因此，基于控制流的内控审计模式也应转向基于信息流的内控审计模式。

二、从控制流转向信息流：一点尝试性的思考

若想实现内控审计模式从控制流到信息流的转变，审计人员首先要转变一个理念，从关注“不能做什么”转向关注“应去做什么”。在这个理念的指引下，审计人员应努力去寻找每一个内控流程中那个告诉我们“去做什么”的“信息点”。

譬如，对于一些投资业务流程，通常是依据监管法规或公司规章制度的要求，设置一个阈值作为控制指标，当投资额度超出阈值时，需经过相应的审批才可以继续操作。在这个控制流程中，阈值是信息点吗？如果从信息流的角度看，阈值只能算作一个控制点，它告诉我们“不能做什么”，而后续的审批动作才是信息点，它告诉我们“应去做什么”。那么，在这个控制流程中，真正的价值增值点就在这个审批动作。审计人员应注意关注这种创造价值的信息点。

进一步解释如何分辨控制点和信息点。仍以上述投资业务流程为例，为何说审批动作是一个价值增值点呢？因为这个点无法通过系统进行直接控制，它不像阈值，是一个确定的数值，超过了系统可以直接制止。审批动作是需要人为操作的，其中存在着模糊地带和可以被利用的漏洞。比如，倘若整个流程对有权审批人的规定存在缺陷，仅仅是规定：“投资超限需要部门总监审批“，那么，一般投资人员投资超限经过部门总监审批没有问题，而部门总监同时作为投资人员投资超限时谁来审批呢？实践中出现了部门总监要求另一个有其他审批权限可以在系统中审批签字的投资人员来审批他的这笔投资。系统是没办法分辨审批人是否合理的，只要有人签批系统就自动通过了。那么这种情况存不存在问题呢？审计人员如果仅仅按照控制点的思路去看这个流程，形式上似乎都没什么问题，有系统超限控制，有签批，流程执行的挺好，但真的就没有潜在风险吗？

这就是说，审批动作这个操作的点，它告诉执行人“需要做什么“，在”需要做“的过程中，一定会有人为判断和操作，那么这个点就是审计人员需要关注的”信息点“。

三、总结

从基于控制流的内控审计转向基于信息流的内控审计，是内审价值增值的一个实现路径。审计人员对财务舞弊和企业风险的洞察力往往来自对每一个业务流程关键信息点的捕捉，这个信息点恰恰是企业风险管控中告诉人们“应该去做什么”的点，只有把握住这些信息点，才能对潜在风险有所关注，才能在问题来临之前做出预警，为企业风险管控和战略目标的实现创造价值。

 每一个控制流程中尚未明确或者已经明确却潜在着风险的信息点都是内审人员可以有所作为的机会。审计建议可以围绕着这些信息点的建设、完善展开。如果能够将这些信息点尽可能实现量化，通过系统实现监测和预警，也可以为企业风险预警模型的建设带来一些可供参考的启示。

内控管理师（ICM）”着力解决企事业单位内部控制体系建设专业知识不足，内控管理专业人才匮乏的共性问题。