談談如何在現有企業模式下開展內部控制審計

孫淑英

摘要：由于全球經濟一體化格局的形成，組織結構的變異、經營理念的轉換，對未來的公司治理提出了高難度的要求，因此內部審計也要隨之改變，內部審計邊界的需要進一步拓展，內部審計方式、內部審計許多理念也應隨之變化。作為國有企業公司，經過幾年的重組改制，已實現物資采購、營銷管理集中核算。在現有企業模式下，如何開展內部控制審計是我們面臨著的新挑戰。下面就這一問題談談自己的觀點，與大家一同分享。

關鍵詞：內部控制；內部審計；內部控制審計

知識經濟時代的到來，全球經濟一體化格局的形成，無一不在深深地影響公司治理和內部審計，組織結構的變異、經營理念的轉換，對未來的公司治理提出了高難度的要求，因此，內部審計也要隨之改變，內部審計邊界的需要進一步拓展，內部審計方式、內部審計許多理念也應隨之變化。

一、內部控制和內部控制審計概念

（一）什么是內部控制？

內部控制是一個要靠組織的董事會成員、管理層和其他員工去實現的過程。實現這一過程是為了合理地保證：經營的效果和效率性；財務報告的可信性；對有關法律和規章制度的遵循性。

（二）什么是內部審計？

國際內部審計師協會（IIA）在2001年頒發的《內部審計實務標準》中對內部審計定義如下：內部審計是一種獨立、客觀的保證和咨詢活動，其目的是增加組織的價值和改善組織的經營。它通過系統、規范的方法評價和改善組織的風險管理、控制和治理程序的有效性，幫助組織實現其目標。

（三）內部控制和內部控制審計的關系

COSO報告指出，內部控制主要是管理層的職責，但組織中的每一位成員都應共同來承擔這一責任。內部審計的主要職責是監督組織的控制結構，并提醒管理層注意內部控制的各環節的強弱。

內部控制審計是建立在對受審制度和活動進行直接審核的基礎上的。對制度或者活動直接審核的目的在于核實正在執行的制度和活動。通過直接審核，使審計人員能全面了解這些制度和活動，識別具體的內部控制。

二、如何開展內部控制審計

根據公司現狀，結合COSO框架的五大控制要素，內部控制審計應以控制活動為中心進行審計，對控制環境、信息與溝通、監督將其基本思想融入在審計過程中。內部控制審計的工作程序和方法，概括起來通常可以分為以下步驟：

（一）調查內部控制，評價其健全性和合理性

1、內部控制評審的前提是對內部控制進行調查，以了解被審計單位內部控制的組成要素，觀察它們的執行情況，并以有效的方式記錄所取得的信息。內部控制調查的主要內容是COSO框架的五大控制要素。

為了實現調查內部控制的目的，可采用下列方法來確定內部控制的設計和執行情況：

（1）更新和利用審計人員以前對內部控制調查的信息。如果審計人員對被審計單位實施的是再次審計，那么在審計開始之前，就已經掌握了以前年度獲得的有關被審計單位內部控制的大量信息。由于內部控制程序和措施通常不會頻繁地發生變動，因此在更新之后可再次運用于本次審計。

（2）詢問被審計單位的工作人員。通過與被審計單位有關人員交談，獲得更新以前年度審計信息或初次審計所需信息。

（3）審閱被審計單位的政策和制度手冊。被審計單位為了設計、執行和維護其內部控制，必須有大量的文件記錄，其中包括政策文件和制度文件。審計人員應當審閱這些信息，并與公司員工進行討論，以保證它們都能得到恰當的解釋。

（4）審查憑證和記錄。內部控制的運用會產生大量的憑證和記錄，其中有些已經一定程度地反映在政策和制度文件中。審查真實、完整的憑證和記錄，審計人員可以更清楚地了解文件內容，并能更好地理解它們。

2、健全性評價是要分析內部控制中是否建立了強有力的關鍵控制點，是否存在薄弱環節；合理性是分析內部控制的布局是否合理，有無多余或不必要的控制，是否區別了一般控制點和關鍵控制點，是否劃分了控制職能，人員分工和牽制是否恰當，整個內部控制的設置是否符合成本效益原則等。健全性和合理性是對內部控制的兩不同方面的要求，健全性是要求內部控制盡量完整，必要的內部控制都應建立，而合理性要求所建立的內部控制應符合被審計單位的情況。

（二）內部控制測試

根據企業的業務流程圖和相關控制制度進行風險識別，找出關鍵風險控制點進行測試。

控制點測試的方法通常有以下四種：

1、詢問法：在控制點測試和評價中，為了了解被審計單位各項業務操作是否符合控制要求，而向有關人員詢問業務執行情況的方法。

2、觀察法：在控制點測試和評價中，審計人員身臨被審計單位的工作現場，實地觀察有關人員的實際工作情況，以確定既定控制措施是否得到嚴格執行的方法。

3、證據檢查法：審計人員在控制點測試和評價中，抽取一定數量的賬表、憑證等書面證據和其他有關證據，檢查其是否存在控制措施線索，以判斷內部控制是否得到有效貫徹執行的方法。一定數量的書面證據，即可證明被審計單位制定的內部控制措施是否在實際工作中得到了執行。

4、重復執行法：審計人員在控制點測試和評價中，就某項業務按照被審計單位規定的程序全部或部分重做一次，以驗證既定的控制措施是否被貫徹執行的方法。發現問題，要多進行幾次再執行測試。

以上四種控制點測試方法各有不同的測試重點，為了提高測試效果，審計人員應有選擇地使用。

（三）內部控制的最終評價

內部控制測試完成后，對發現問題進行匯總，具體分析這些問題產生的原因和可能帶來的后果，并進一步分析可采取的改進措施，然后將其反映給被審計單位和管理部門。

（四）編寫審計報告，并與被審計單位交換審計報告意見。

三、開展內部控制審計應注意的問題

1、必須以通過調查內部控制和執行內部控制測試取得的證據，作為評價的依據。

2、在進行控制測試時應注意：缺少內部控制的重要業務領域；內部控制沒有發揮作用的領域；內部控制設計不合理、控制目標不能實現的領域。

3、內部控制審計強調的是過程審計，審查關鍵風險控制點是否得到有效控制，從而檢查相應風險制度建立健全情況及制度執行情況，而不是審查建立了多少制度。

4、現存內部控制制度也可能存在不完善的地方，在審計的過程中注重制度可操作性，判斷和報告制度執行情況，矯正制度執行的偏差等方面。

5、注意內部控制各要素對某項特定財務報表認定的相互影響，從而確定哪些是例外事項、哪些是一般缺陷、哪些是重要缺陷和實質性漏洞。