谈谈如何在现有企业模式下开展内部控制审计

孙淑英

摘要：由于全球經济一体化格局的形成，组织结构的变异、经营理念的转换，对未来的公司治理提出了高难度的要求，因此内部审计也要随之改变，内部审计边界的需要进一步拓展，内部审计方式、内部审计许多理念也应随之变化。作为国有企业公司，经过几年的重组改制，已实现物资采购、营销管理集中核算。在现有企业模式下，如何开展内部控制审计是我们面临着的新挑战。下面就这一问题谈谈自己的观点，与大家一同分享。

关键词：内部控制；内部审计；内部控制审计

知识经济时代的到来，全球经济一体化格局的形成，无一不在深深地影响公司治理和内部审计，组织结构的变异、经营理念的转换，对未来的公司治理提出了高难度的要求，因此，内部审计也要随之改变，内部审计边界的需要进一步拓展，内部审计方式、内部审计许多理念也应随之变化。

一、内部控制和内部控制审计概念

（一）什么是内部控制？

内部控制是一个要靠组织的董事会成员、管理层和其他员工去实现的过程。实现这一过程是为了合理地保证：经营的效果和效率性；财务报告的可信性；对有关法律和规章制度的遵循性。

（二）什么是内部审计？

国际内部审计师协会（IIA）在2001年颁发的《内部审计实务标准》中对内部审计定义如下：内部审计是一种独立、客观的保证和咨询活动，其目的是增加组织的价值和改善组织的经营。它通过系统、规范的方法评价和改善组织的风险管理、控制和治理程序的有效性，帮助组织实现其目标。

（三）内部控制和内部控制审计的关系

COSO报告指出，内部控制主要是管理层的职责，但组织中的每一位成员都应共同来承担这一责任。内部审计的主要职责是监督组织的控制结构，并提醒管理层注意内部控制的各环节的强弱。

内部控制审计是建立在对受审制度和活动进行直接审核的基础上的。对制度或者活动直接审核的目的在于核实正在执行的制度和活动。通过直接审核，使审计人员能全面了解这些制度和活动，识别具体的内部控制。

二、如何开展内部控制审计

根据公司现状，结合COSO框架的五大控制要素，内部控制审计应以控制活动为中心进行审计，对控制环境、信息与沟通、监督将其基本思想融入在审计过程中。内部控制审计的工作程序和方法，概括起来通常可以分为以下步骤：

（一）调查内部控制，评价其健全性和合理性

1、内部控制评审的前提是对内部控制进行调查，以了解被审计单位内部控制的组成要素，观察它们的执行情况，并以有效的方式记录所取得的信息。内部控制调查的主要内容是COSO框架的五大控制要素。

为了实现调查内部控制的目的，可采用下列方法来确定内部控制的设计和执行情况：

（1）更新和利用审计人员以前对内部控制调查的信息。如果审计人员对被审计单位实施的是再次审计，那么在审计开始之前，就已经掌握了以前年度获得的有关被审计单位内部控制的大量信息。由于内部控制程序和措施通常不会频繁地发生变动，因此在更新之后可再次运用于本次审计。

（2）询问被审计单位的工作人员。通过与被审计单位有关人员交谈，获得更新以前年度审计信息或初次审计所需信息。

（3）审阅被审计单位的政策和制度手册。被审计单位为了设计、执行和维护其内部控制，必须有大量的文件记录，其中包括政策文件和制度文件。审计人员应当审阅这些信息，并与公司员工进行讨论，以保证它们都能得到恰当的解释。

（4）审查凭证和记录。内部控制的运用会产生大量的凭证和记录，其中有些已经一定程度地反映在政策和制度文件中。审查真实、完整的凭证和记录，审计人员可以更清楚地了解文件内容，并能更好地理解它们。

2、健全性评价是要分析内部控制中是否建立了强有力的关键控制点，是否存在薄弱环节；合理性是分析内部控制的布局是否合理，有无多余或不必要的控制，是否区别了一般控制点和关键控制点，是否划分了控制职能，人员分工和牵制是否恰当，整个内部控制的设置是否符合成本效益原则等。健全性和合理性是对内部控制的两不同方面的要求，健全性是要求内部控制尽量完整，必要的内部控制都应建立，而合理性要求所建立的内部控制应符合被审计单位的情况。

（二）内部控制测试

根据企业的业务流程图和相关控制制度进行风险识别，找出关键风险控制点进行测试。

控制点测试的方法通常有以下四种：

1、询问法：在控制点测试和评价中，为了了解被审计单位各项业务操作是否符合控制要求，而向有关人员询问业务执行情况的方法。

2、观察法：在控制点测试和评价中，审计人员身临被审计单位的工作现场，实地观察有关人员的实际工作情况，以确定既定控制措施是否得到严格执行的方法。

3、证据检查法：审计人员在控制点测试和评价中，抽取一定数量的账表、凭证等书面证据和其他有关证据，检查其是否存在控制措施线索，以判断内部控制是否得到有效贯彻执行的方法。一定数量的书面证据，即可证明被审计单位制定的内部控制措施是否在实际工作中得到了执行。

4、重复执行法：审计人员在控制点测试和评价中，就某项业务按照被审计单位规定的程序全部或部分重做一次，以验证既定的控制措施是否被贯彻执行的方法。发现问题，要多进行几次再执行测试。

以上四种控制点测试方法各有不同的测试重点，为了提高测试效果，审计人员应有选择地使用。

（三）内部控制的最终评价

内部控制测试完成后，对发现问题进行汇总，具体分析这些问题产生的原因和可能带来的后果，并进一步分析可采取的改进措施，然后将其反映给被审计单位和管理部门。

（四）编写审计报告，并与被审计单位交换审计报告意见。

三、开展内部控制审计应注意的问题

1、必须以通过调查内部控制和执行内部控制测试取得的证据，作为评价的依据。

2、在进行控制测试时应注意：缺少内部控制的重要业务领域；内部控制没有发挥作用的领域；内部控制设计不合理、控制目标不能实现的领域。

3、内部控制审计强调的是过程审计，审查关键风险控制点是否得到有效控制，从而检查相应风险制度建立健全情况及制度执行情况，而不是审查建立了多少制度。

4、现存内部控制制度也可能存在不完善的地方，在审计的过程中注重制度可操作性，判断和报告制度执行情况，矫正制度执行的偏差等方面。

5、注意内部控制各要素对某项特定财务报表认定的相互影响，从而确定哪些是例外事项、哪些是一般缺陷、哪些是重要缺陷和实质性漏洞。