首先我们需要明确这里的内部控制审计是企业内部审计职能实施的审计工作，并不是委托事务所由外部审计师实施的内控审计。

我们先找一下工作依据：

2008年，财政部联合五部委下发了《企业内部控制基本规范》，其中谈到内部控制审计与评价的内容有两条可以参考：

第十条 接受企业委托从事内部控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。

为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务。

企业可以委托外部事务所对企业内部控制进行审计，但是给企业提供内控咨询的事务所不能提供审计服务。

这是为了防止利益冲突的问题，但很多事务所为了这条新成立了一个咨询主体，就名正言顺的合规了！！！

所以，中国的灵活性对有效控制而言是个巨大的挑战，需要在控制要求上不能留灰色空间，比如要求提供内控咨询和审计的机构彼此无任何关联关系，这起码在制度要求上把灰色区间消灭了，至于私下还有没有办法，就不得而知了。

第十三条 企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。

这一条讲企业自己实施的内控评价，整个文件中未提及内部审计职能进行的内部控制审计工作内容。

2010年4月，经过几轮意见征求工作，财政部下发了《企业内部控制基本规范》的18项应用指引，还有2项《内部控制评价指引》及《内部控制审计指引》，《内部控制评价指引》是给企业自己评价使用的，其中对内控评价的定义为：

第二条 本指引所称内部控制评价，是指企业董事会或类似权利机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。

而《内部控制审计指引》中，对内控审计的定义为：

第二条 本指引所称内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。

所以，翻遍整个财政部内部体系文件，并没有对企业自己实施内部控制审计的相关描述。

那企业内部审计职能执行的内部控制审计这项工作到底有没有审计依据？

于是，我翻查了中国内部审计协会发布的内部审计准则体系，其中有专门针对内部审计职能实施内部控制审计工作的具体准则——《第2201号内部审计具体准则—内部控制审计》，其中：

第二条  本准则所称内部控制审计，是指内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动。

这正是我们要找的内容。

我们看看这个文件是否明确了内控审计和内控评价的关系。

财政部发布的《内部控制评价指引》一共27条，这个《第2201号内部审计具体准则—内部控制审计》一共28条，仔细看了一下，这两个文件的内容几乎一样，最大的区别就是把“评价”两个字删掉了，改成了“审计”，其中文件最后谈到：

第二十六条  经董事会或者最高管理层批准，内部控制审计报告可以作为《企业内部控制评价指引》中要求的内部控制评价报告对外披露。

看来，从工作依据来看，企业自己实施的内部控制评价与内部控制审计没有本质区别，也可以说是一样的内容。

从实际内容来讲，不管是做内控审计还是内控评价，其内容都是看内控的设计和执行的情况，查找内控缺陷和整改，只是换了一个名字而已。

就算是外部审计进行内部控制审计，其实内容也就是这些内容，财政部发布的针对外部审计的《内部控制审计指引》中提到：

第九条 ...注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻。

意思是企业内部的工作成果你可以用，因为工作其实都是一样的，但你用了就得负责任。

其实一项工作可以简单归结为有干的、有看的，干的就是实际执行的人，看的可以从各个角度，评价、检查、监督、巡查、审计......。

但再怎么换名称和花样，事就是那么个事，情况就是那么个情况。

想起了在网上看到的一幅有意思的图片，分享给大家。