浅议企业内部控制评估

于航

1西安建筑科技大学MBA 2工行内部审计局西安分局

浅议企业内部控制评估

于航

1西安建筑科技大学MBA 2工行内部审计局西安分局

本文从企业内部控制评估的重要性和必要性，内部控制评估的主要任务、内容、程序和方法等方面进行了表述，重点谈了目前内部控制评估中存在的问题并针对性地提出了解决的方法，目的是为了与审计同仁一起探讨内部控制评估工作，不断提高审计质量，进一步拓展审计空间。

企业；内部控制；评估

2002年，美国颁布了《萨班斯——奥克斯利法案》，该法案对美国乃至全球的会计、公司治理等都产生了重大的影响，极大地改变了企业的经营和法律环境。该法案404条款提出的内部控制评审要求，目的在于通过加强内部控制来改进公司的经营状况，并最终强化公司的受托责任。法案的404条款使内部审计的角色和职能发生了重要变化。2008年6月28日，财政部等五部委联合发布了《企业内部控制基本规范》，对中国企业内部控制体系建设提出了明确的要求，基本规范的发布是企业内部控制框架构建与内部控制监管领域的一个重要里程碑。对企业内部控制的审计评估，是现代审计区别于传统审计的重要标志，是公司治理审计的核心内容。内部审计人员定期对企业内部控制进行监督、检查和评估，及时发现控制过程中存在的漏洞和隐患，帮助管理当局改进内部控制，更有效的达到预期的内部控制水平，协助企业实现经营目标。

一、内部控制评估的主要任务

内部控制评估通过对企业建立的内部控制制度的审查和评价，反映内部控制制度的合理性、健全性和有效性，合理地保证企业遵守国家法律法规和内部规章制度，信息的真实、可靠，资产的安全、完整，经济有效地使用资源，提高经营的效率和效果。内部审计部门在开展企业内部控制评估中审查和评价以下几个主要方面：

（一）内部控制制度的合法性。是否符合国家的有关法律、法规，符合上级单位制定的内部控制制度的规定。

（二）内部控制制度的符合性。内部控制制度与企业的总体目标是否一致，是否符合企业管理要求和业务特点，防止不切实际的照搬照抄，影响内部控制制度的实施效果。

（三）内部控制制度的健全性。现有制度是否涵盖业务所有环节和风险点，在各个需要控制的环节是否采取了控制措施，是否有充分、必要的控制程序，衔接是否紧密。

（四）内部控制制度的科学性。内审人员在对内部控制和具体业务深入分析的基础上根据职业判断，判断控制程序是否科学、合理，有无多余的控制措施。

（五）内部控制制度的有效性。内部控制制度要紧跟企业经营环境和业务变化进行补充完善，同时对制度的执行情况进行充分地检查测试，保证内部控制制度落到实处、发挥实效。

二、内部控制评估的主要内容

内部控制评估的对象是企业的内部控制制度，对这些制度的检查、测试也就构成了内部控制审计评估的基本内容。

（一）内控治理情况审计。检查企业内部治理结构，董事会、监事会、经理层之间的制衡，企业的内部控制是否各司其职、协调运转，并符合国家的法律、法规和内部规章制度等。

（二）内部牵制和不相容职权审计。有无设计合理有效的机构和职务分工控制，有无对经济业务处理上实行授权批准，授权后业务经营的质量。对授权、执行、记录、保管、核对等不相容职务是否设置分离控制等。

（三）财务会计系统控制审计。它是企业内部控制的核心内容，主要检查有无会计记录控制、会计岗位责任制、作业程序规范性、资料保管归档、会计监督、职能履行情况等。

（四）经营各业务循环系统的控制制度。它是经济组织内部为实现经营目标而进行日常生产经营和管理所必须经过的环节和业务操作的控制制度。通过检查生产经营过程的控制是否严密，反映企业经营活动的风险管理状况。

（五）资产保护控制审计。对实物的采购、使用、保管及销售转让等各环节有无定期盘点、完整记录、账实核对，财产保险和货币资金的收支控制等。

（六）人员方面审计。重点是对管理层人员的行为控制，尤其是主要负责人，其经营决策导致的损失比一般员工要高很多，实践证实，失去制约的权利很轻易导致腐败。同时要了解员工素质，有无建立关键岗位交流、培训、定期考核制度等。

（七）成本效益审计。发生费用小控制效率高的内部控制框架才是有效的控制系统，要注重审查机构设置、职责划分和授权控制的成本效益。

（八）风险控制审计。企业经营时刻要面临内外部的各种风险，分为固有风险和控制风险，审计评估主要审查评价企业风险管理架构、风险识别、风险评估、风险控制与监督情况。

（九）内部监控审计。对企业内部控制整体框架及运行的跟踪、监督，检查评价监督、控制是否合理，并有效发挥作用。

三、内部控制评估的程序和方法

内部控制审计具有审计范围广、技术要求高、业务知识涉及面广等特点。必须要建立规范的审计程序，明确审计内容，以保证审计工作达到预期的效果。

（一）了解企业的内部控制情况，并做出相应的记录。调查了解企业内部控制环境和组织架构，查阅企业内部控制规章制度和政策规定等文件资料，对相关人员进行访谈了解或问卷调查，观察被审计单位的业务活动和内部控制的运行情况，检查内部控制生成的文件和记录，查阅前期审计报告或审计工作底稿。其主要目的是了解企业已经建立的内部控制制度及执行情况，并做出记录、描述。审计人员应考虑被审计单位经营规模及业务复杂程度、数据处理系统类型及复杂程度、审计重要性、相关内部控制类型、相关内部控制记录方式、固有风险的评估结果等因素，对企业内部控制制度的建立和执行情况进行检查。

（二）初步评价内部控制的健全性。主要包括功能性评价和健全性评价，确认内部控制风险，确定内部控制是否可依赖。在对控制环境、控制程序和业务系统进行调查了解，对被审计单位内部控制有了一个初步的认识的基础上，应对内部控制风险和内部控制的可依赖程度做出初步评价。初步评价实际上就是评价企业内部控制在防止或发现和纠正错弊中的有效性的过程。

（三）对内部控制系统进行穿行测试，查明各项控制措施是否贯穿于生产经营过程中，证实有关内部控制的设计和执行的效果。穿行测试是为了确定内部控制制度的设计和执行是否有效而实施的审计程序。其基本对象包括控制设计测试和控制执行测试，内部控制穿行测试常用的方法主要有四种：询问法、观察法、证据检查法、重复执行法。测试中注意选择正确测试样本，保证抽取的样本具有代表性，才能达到预期的测试目的。

（四）确认内部控制薄弱环节，确定控制测试的范围和重点，开展控制测试。根据穿行测试情况，对企业现行内部控制进行评价，确定可信赖程度。由于穿行测试只能查证内部控制系统的功能性和可能性，因此，对具体业务抽查要靠控制测试来完成，穿行测试中内部控制的弱点就是控制测试的重点，控制测试的范围应涵盖初步评价和穿行测试中发现内部控制的缺陷内容。

（五）对内部控制系统进行总体评价，针对控制缺陷，向管理治理当局提出改进建议。审计人员在对审计中发现的内部控制问题进行汇总、整理，分析问题产生的原因和可能带来的后果，提出有效的改进措施，以审计报告的方式，反映给企业有关治理部门。

三、内控评估工作目前存在的主要问题

（一）评估前期准备工作还不够细致充分。内部控制评估目前对内审部门来说仍属于一项新的审计业务，因此评估前期应预留充分的时间和人力，对企业内部控制流程进行梳理，完成风险矩阵和各项控制流程描述，并初步分析评价内部控制状况，分析查找开展穿行测试和控制测试的重点。但目前内审部门往往由于评估工作进度安排较紧，未充分开展审计评估的前期准备，仓促上阵，造成评估工作先天不足，评估质量不佳。

（二）内部控制测试环节审计人员由于选定的测试范围不全、重点不准、方法不当、抽查的业务缺乏代表性等原因，导致测试失效。测试范围不全会遗漏对某些重点内部控制的审计，会使审计失之偏颇；测试重点不准直接影响内部控制测试效率和效果；测试审计方法没有因事制宜，根据不同业务采取不同的方法，将导致测试失效；抽查的业务缺乏代表性，会因评价不全面而带来测试失效风险。

（三）审计人员要防范出现评价不当风险，包括健全性评价不当风险和有效性评价不当风险。究其原因，除了由内部控制了解、测试两个环节存在的风险引起外，还会因内部控制系统本身不完善和风险控制水平估计过高等因素造成。内部控制系统本身不完善，使某些业务活动被置于审计范围之外而疏忽，导致内部控制健全性评价不当风险。风险控制水平估计过高会导致信赖过度风险，从而造成内部控制有效性评价不当。

（四）部分企业内部控制制度执行力度不到位。管理者内部控制意识淡薄，不能很好的执行内部控制制度，人制大于法制，上行下效，导致内部控制制度威慑力降低，在具体的操作执行中不注意操作档案记录的保存，甚至出现无据可查的情况，使内部控制制度流于形式，对评估工作的顺利有效开展形成障碍。

（五）内部审计人员职业判断能力有待进一步提高。现代企业的运营方式和运作环境都发生了极大的改变，业务系统和管理系统的内部控制之间相互交织，内部控制审计，尤其在缺陷分析、风险提示和深层挖掘等方面对内部审计人员在职业判断能力上要求较高，内部审计人员整体素质还不能完全满足内部控制审计的要求。

针对目前的一些问题，浅谈一下自己的几点看法：

（一）在评估时要充分作好评估前的准备和计划，为非现场工作安排足够的时间和人员，利用非现场方式完成评估前流程描述确认，风险分析等工作，做好进入现场的衔接，为现场评估工作的开展奠定坚实的基础，提高评估工作的效率和效果。

（二）审计人员对评估样本要进行科学地分析和充分地抽样测试，做到测试范围全，测试重点准，测试方法得当，抽查业务的代表性要强，防范测试失效风险。

（三）要防范评价不当风险，除了要做好内部控制了解、测试两个环节工作外；审计人员还应从宏观出发，统筹考虑，从各方面调查了解熟悉被审单位业务活动及其需设计的相应的内控系统，并充分利用审计技术对风险水平作出合理估计。

（四）内部控制建设的根本目的是促进企业的健康发展，而不能从应付外部审计或检查出发来建设内部控制。企业管理层对内部控制系统拥有所有权，对内部控制系统承担最终责任，管理层应不断的加强内部控制体系的建设，并加强执行力度，保证内部控制的可鉴证性，确保企业经济业务的稳健运行，同时也有利于内部控制评估的有效开展。

（五）企业要不断地加强内部审计队伍的建设，强化对内部审计人员的后续教育工作，不断提升内部审计人员的业务素质，充分发挥内部审计机构和人员的作用，适时采用“请进来、走出去”的方式，加强对内部审计人员的思想与业务素质教育培养，强化内部审计人员的逻辑思维和综合分析能力，加大考核力度，通过持续不断地学习、培训和实践，提高内审工作的综合驾驭能力，建设一支精干高效战斗力强的内部审计队伍。

总之，内部控制是企业自我约束、自我调节、自我监督的一种管理控制体系，是现代企业管理的重要组成部分。内部审计通过对内部控制制度的审计评估，找到管理上存在的问题和内部控制的薄弱环节，从而促进企业健全完善内部控制制度，改进组织管理、经营管理，提高管理效率，为挖掘企业潜力、提高经济效益创造条件。

10.3969/j.issn.1001-8972.2010.12.100