论内部控制系统审计

刘美娥

一、加强内部控制审计意义

1.有利于防范财务舞弊

企业内部控制审计制度的确立，改变了企业在上市或再融资时才委托注册会计师对内部控制进行审计的局面，使得企业内部控制审计与财务报告审计一样，成为一项经常性、周期性的业务，上市公司每年要与年报一同公布企业内部控制审计报告。实施企业内部控制审计，有利于注册会计师对企业内部控制有效性进行客观、独立的鉴证，对企业内部控制实施合理保证，而不再是有限保证的鉴证业务，这不仅能够监督、推动企业将内部控制规范落到实处，促进企业加强内部控制规范建设，而且有利于企业提升财务报告风险防范能力，同时也能够进一步提升企业信息披露的透明度，防范财务舞弊。

2.有利于保护投资者利益

对内部控制进行独立的审计，出具内部控制审计报告，可以使得投资者在财务报告审计意见的基础上，深入分析企业的内部控制情况、投资风险和投资价值，增强其对企业财务信息可靠性的信心。

3.有利于降低控制风险

实施内部控制审计程序，对被审计单位有一种震慑作用，其会加大对内部控制运行有效性的关注，提高内部控制运行的有效性，进而降低控制风险的水平。作为审计风险的重要组成部分，控制风险的降低也有利于降低审计风险，将审计风险降至可接受水平，进而实施审计程序。

二、审计人员应注意内部控制的薄弱环节

1.控制环境建设薄弱

企业负责人往往比较重视某些基本的内部控制操作，但是疏于内部控制制度建设；重视产供销环节的程序控制，忽视内部控制结构的整体协调；重视对实物的控制，忽视对行为者的控制。另外，组织机构设置不合理。当前大多数企业除了法人治理结构形备而实不至外，普遍存在机构臃肿、管理层次多、工作效率低的问题。而且在机构设置中，比较重视纵向间的权利和义务关系，而对横向间的协调缺乏足够重视，导致同级部门之间缺乏必要的交流，信息沟通不灵敏，协调性差。

2.企业经营行为失控

政府以国家经济管理者的身份，通过国有资产授权经营机构对国有企业选派董事长、总经理的形式，行使资产所有者权利，参与企业重大经营决策；企业经营者作为企业管理当局的主体，在接受政府委托管理企业中，缺乏有效的监督。这种情形的管理模式，势必会弱化内部控制。

3.对会计工作重视不够，会计岗位职责不明

有的领导不重视会计工作，认为会计工作不能创造效益，因而会计人员配备不强，有的甚至配不齐，责权关系不明确，不能相互制约。

三、内部控制审计的一般程序与方法

1.要充分了解被审计单位或部门的情况，做好准备工作

审计人员必须重点对被审计单位的基本情况、内部控制环境以及各类业务循环的内部控制进行全面了解，唯有充分了解，才能制订出可行的审计实施方案，设计好调查问卷。审计了解的内容不但包括被审计单位的基本情况和总体控制环境，还要了解单位经营业务以及业务流程中关键控制点。在了解的基础上，才能设计有针对性的调查问卷。在控制审计中使用调查问卷可起到两个方面的作用，一是测试集团公司是否建立健全有效的控制制度，一是了解员工对相关业务流程内部控制制度的熟悉和掌握情况。所以要根据行业的性质、经营的特点、该单位的具体情况来设计。

2.评审内部控制系统的关键因素

首先，应审计成本效益最大的那部分控制系统。成本包括审计人员的时间和相关的费用，比如差旅费。效益产生于业务经营控制方面的重大发现，尤其是发现存在的问题并避免可能的损失。在一般情况下，各种经营审计的相关成本没有太大的差别，所以内部审计资源分配需要考虑的最主要因素是一个或多个内部控制失败的风险。其次，决定何时审计，内部审计人员不能仅仅评估风险的类型，更重要的是要评估当前有多少风险，内部审计人员应检查整个组织评估与各种活动相关的风险，并且按照这些活动的风险水平顺序排列，然后检查高风险活动所在的控制系统。风险水平是当前潜在损失的数额以及损失实际发生的可能性有多大，是这两个因素的乘积。企业管理部门首先关心经济上获得潜在的报酬，其次是关心风险。风险因为和控制系统相联系，所以对内部审计人员是关键的，风险越大，对管理控制的需要就越大，通过对风险的评估选择所要审计的控制系统，最后对内部控制进行评价。

3.执行测试时以企业的战略目标及其业务流程为起点

传统的观念认为控制审计的起点是企业的财务资料和内部控制制度，对已经建立的控制体系进行测试，起点不高，不利于全面的评价和深入分析。内部控制制度是围绕着企业的战略目标和业务流程而建立，为实现战略和经营目标服务，是管理的手段之一。执行测试时以企业的战略系统及其业务流程为审计起点，综合评估经营控制风险，进而评价控制制度，这样分析的据点较高，可以根据战略目标和业务流程深入挖掘内部控制的薄弱环节，而且将审计的重心前移到风险评估，有利于充分识别和评估会计报表重大错报的风险。全面掌握被审计单位可能存在的风险，有利于节省审计成本，克服因缺乏全面性观点而导致的审计风险。

4.取证过程特别关注环境因素

此专项审计以风险评估为基础，不仅重视与内部控制系统直接相关的因素，而且重视与控制相关的环境因素。形成审计结论所依据的审计证据不仅包括实施控制测试获取的证据，还包括了解被审计单位及其环境获取的证据。所以，审计师在执行测试时，除了财务数据分析，还要对被审计单位的中长期发展目标、服务与市场、经营渠道、主要客户、使用材料以及竞争环境等进行研究。审计师不再只是翻翻报表和帐簿，还需要深入解读被审计单位的经营与战略。

5.恰当进行风险评估和综合评价

风险评估和综合评价是这项内部控制审计任务的点睛之笔。风险评估指识别对被审计单位生产经营目标和财务产生潜在影响因素，包括单位外部的因素和内部因素，进而分析风险发生的可能性以及程度。综合评价是指根据收集的证据，从控制环境、风险管理、控制活动、信息与沟通、监督等方面对被审计单位的内部控制进行综合评价，评价其健全和有效性。

[1]财政部CPA考试委员会.审计[M].经济科学出版社，2012.