内部控制制度审计实践中的几点做法

蒋中明

【摘 要】随着审计理论和实践的发展，内部审计机构开展了大量的内部控制制度审计项目，本文总结了企业内部控制制度审计实践中审计组织方式、审计内容及方法、审计文书编写等方面的一些具体的创新做法。

【关键词】企业内部审计；内部控制制度；审计实务

随着审计理论和实践的发展，内部控制制度审计越来越被重视，笔者近年负责了几个内部控制制度审计项目审计，对内部控制制度审计的组织方式、检查内容及方法、文书编写进行大胆创新，项目审计质量得到了领导和同行的肯定和认可。现整理一些原创性的有特色的做法与大家分享。

一、审计立项及工作组织

审计项目立项选择是内部控制制度审计项目成功的基础和前提。内部控制制度审计立项应贯彻风险导向原则，一般选择基础管理薄弱的单位进行立项，尤其优先选择新成立的企业、经营管理及廉政风险较大行业企业以及近年被各级各类检查机构查出问题较多的单位进行立项。贯彻风险导向原则选择被审计单位可以以内部控制制度角度审视、解析被审计企业存在的问题，为企业完善内部控制制度建立、加强内部控制制度执行、提高经营管理水平指出努力方向。

内部控制制度审计根据是否立项可以分为内部控制制度审计项目和内部控制制度审计问题。内部控制制度审计项目一般单独立项，对被审计单位内部控制制度建立和执行情况进行全面而深入的审计。内部控制制度审计问题一般对被审计单位内部控制制度建立和执行存在比较严重的缺陷作为其他审计项目审计报告中的一个问题进行披露。本文主要讨论内部控制制度审计项目。内部控制制度审计项目可以采取单独立项审计组织方式，也可以结合经营业绩、经济责任、基本建设、其它专项审计项目采取捆绑式审计组织方式。

内部控制制度审计是对被审计单位内部控制制度建立和执行情况及其存在的风险进行检查评价，这就需要审计人员掌握大量的信息并结合实际情况做深入细致的研究分析。为防止信息片碎化，影响研究分析的结果，除审计人员在审计实施过程中需加强沟通外，审计组人员不能太多，岗位分工检查范围不能太窄不能相互交叉也是提高内部控制制度审计质量的重要保证。审计组原则上一般由三人组成，设综合、资产管理、专项费用等检查岗位。

内部控制制度审计一般包含制度环境检查、符合性检查、实质性测试等检查程序，各检查程序具有很强的关联性、顺序性，审计人员应首先进行制度环境检查，其次实施符合性检查，最后实施实质性测试。审计组原则上应纵向分工，不能横向分工，即按业务属性分工检查，审计人员对分工负责的业务完整实施制度环境检查、符合性检查、实质性测试等检查程序。不能反过来按检查程序分工，即对同一业务由不同的审计人员实施制度环境检查、符合性检查、实质性测试等检查程序。

在内部控制制度审计项目实施过程中，审计人员构成及分工应保持一贯性，原则上不能中途改变人员构成及调整人员分工，尤其在业务实质测试阶段，人员分工上应与制度环境检查、符合性检查分工保持一致，不能跨业务属性调整符合性检查、业务实质测试人员分工，否则可能严重影响审计工作质量。因为信息传递规律告诉我们，信息传递在传递过程中都会发生衰减，再好的沟通都不如审计人员自身亲历亲为获得的信息全面有效。

二、审计内容及方法

1.检查制度环境。被审计单位内部控制制度按来源可分为上级制度和内生制度两种，按制度内容分为实质性制度和流程性制度。

（1）制度检查。基层单位一般是其上级单位制度的执行单位，其内部控制制度主要来源于上级单位颁发的各种规章制度，上级单位颁发的规章制度收集整理归档以及传阅知晓的部门和岗位是内部控制制度的重要环节。在审计时应首先检查被审计单位文件管理部门各种规章制度收集整理情况，检查是否分类归档，是否存在重要文件缺失；文件传阅部门和岗位是否符合规定，是否完整，应转发的是否转发，相关执行部门和岗位是否留存复印文本或电子资料。其次检查被审计单位是否根据上级单位文件制订适合本单位实际情况的实施办法，检查评价被审计单位实施办法的合规性、合理性及可操作性。对于经常性事项上级单位没有的规章制度的，是否建立本单位的规章制度。对于偶发性事项上级单位没有的规章制度的，是否有请示报告制度。

（2）流程梳理。控制环节一般设置在业务处理流程中，可以说离开业务流程内部控制制度无从谈起，因此，对被审计单位业务流程的梳理对内部控制制度审计至关重要。被审计单位业务流程可能以文本制度形式表现，也可能没有具体的文本制度，而是存在于单位业务处理习惯或自然过程中。审计人员应熟悉被审计单位业务流程，通过对业务、会计资料进行梳理分析，组织资产、资金的现场抽查，核对业务、会计处理流程执行情况，确定相关业务、会计内部控制的关键点、控制点，以确定符合性检查和实质性测试检查重点。

2.进行符合性检查。在实施制度环境检查后，审计组应对审计单位内部控制制度实施符合性检查。在实行符合性检查前，应根据内控制度检查和业务流程梳理情况对被审计单位经营管理活动进行分类。被审计单位经营管理活动一般可以分为宏观层面活动和业务层面活动。宏观层面经营管理活动包括组织架构、经营战略、决策机制、风险管控、信息传递、内部监督等活动，业务层面活动包括资金管理、采购业务、资产管理、销售业务、税务管理、科研开发、担保业务、工程项目、业务外包、产权管理、财务报告、全面预算、合同管理、成本费用等。

在业务层面活动中，资金管理、采购业务、资产管理、销售业务、税务管理、科研开发、担保业务、工程项目、业务外包、成本费用等有明确的账户对应查证，而产权管理、财务报告、全面预算、合同管理等一般没有明确账户对应查证，必须依赖企业其他文件资料查证。

企业经营管理活动按宏观层面活动和业务层面活动分类后均应实施以下基本环节检查，一是检查内部控制制度建立情况，二是检查内部控制制度执行情况，三是分析研判内部控制制度建立和执行存在的缺陷和薄弱环节。内部控制制度缺陷按其成因可分为制度建立缺陷和执行缺陷。内部控制制度缺陷按其性质和影响程度分为重大缺陷、重要缺陷和一般缺陷。四是思考针对认定的内部控制制度建立和执行存在的缺陷和薄弱环节可行的改进措施。除实施以上基本环节检查外，审计人员还可以根据具体业务属性及单位的特点，细化更具体的检查内容，使内部控制制度审计更具有针对性和可操作性。

3.进行实质性测试。在进行制度环境检查和符合性检查后，审计人员应选择被审计单位部分重要文件和业务进行实质性测试，实质性测试一般包括制度环境测试和经济业务测试二项检查内容。

在进行制度环境测试时，审计人员应选择3～5份被审计单位颁发正在执行的重要文件实施测试检查。制度环境测试检查：一是要进行条文分析。分析正在执行的文件是否存在与其上级文件相关规定不一致的条文，文件条文之间是否相互矛盾，是否存在无法执行条款。二是要进行表格表单分析。表格表单是内部控制制度的有效载体，审计人员应检查表格表单结构是否合理，填报项目是否必须、有效，是否存在重大遗漏项目，是否具有操作性。三是要检查文件执行情况。按照文件有关内容、职责、流程及表格表单填制的规定，到文件执行部门和岗位，实地对照检查文件执行情况。企业宏观层面经营管理活动更多表现为制度性，因此宏观层面经营管理活动实质性测试应结合制度环境测试进行。

在进行业务层面活动测试时，审计人员应在每一类型业务中选择不多于3笔，至少1笔主要经济业务从业务发生到结束全过程实施测试检查。实施测试检查时应注意以下几点：一是经济业务选择应注意业务的代表性和多样性，通常应先对被审计单位经济业务进行分类，在同类业务中按重要性排序，然后在每类经济业务中按排序选择不少于1笔，至多3笔业务进行测试，如对基层单位实行备用金管理的单位，应至少选择1笔基层单位报销业务进行测试；对存在项目支出业务单位，应至少选择1笔项目支出业务进行测试。二是为提高实质性测试工作效率，为防止检查内容遗漏，审计人员可结合检查内容设计测试工作表格。测试工作表格应具体列明测试检查内容及判断标准。测试工作表格可以由被审计单位根据实际情况填写，审计人员逐项核对，也可以由审计人员根据现场检查情况记录填写。三是审计人员实施实质性测试过程中可以采用访谈、问卷调查、专题讨论、检查、穿行测试、实地查验、抽样和比较分析、重新执行等方法，但检查和重新执行是基本工作方法，其他方法一般穿插在检查和重做方法中。

审计人员通过制度环境检查和符合性检查及实质性测试，充分收集企业内部控制建立和执行是否存在缺陷和薄弱环节的证据，及时做好审计取证记录，编制单项审计底稿，最终形成内部控制审计报告。

三、审计文书编写

内部控制制度审计是对被审计单位经营管理活动进行审计检查和评价，传统审计项目一般对被审计单位经济业务的合规性进行审计检查和评价，合规性问题可以用对和错来描述，管理问题难能以用对错来判断，这就要求审计人员根据内部控制制度审计特点编制审计取证记录、审计单项底稿和审计报告等审计文书。笔者在编制内部控制制度审计文书时，即保留了通用审计文书的格式，更注重突出内部控制制度审计特色。

1.审计取证记录。审计人员在实施制度环境、符合性检查、实质性测试过程中，如果发现被审计单位内部控制制度建立及执行中存在缺陷及薄弱环节应复印相关证据资料，做好审计取证记录。编写审计取证记录应以描述客观事实为主，不发表倾向性意见，尽量不做判断、不下结论、不提处理意见。取证记录是审计人员实施审计检查发现问题的现场记录，取证记录的签认是内部控制制度存在缺陷及薄弱环节认定的起点，为降低取证记录签认难度，避免取证记录与审计单项底稿所描述的同一事项需要被审计单位领导二次签认，取证记录可以不要求被审计单位领导签字盖章，只需被审计单位现场工作人员签字确认即可。如果原始资料难以取得，取证记录可以没有原始资料。

2.审计单项底稿。单项底稿应在综合整理分析审计取证记录的基础上编写，编写好的单项底稿应交被审计单位签认。编写单项底稿应注意以下几点：一是被审计单位内部控制制度建立及执行存在的缺陷和薄弱环节一般是零碎的，存在的问题可能很多，很琐碎，难以按照“一事一稿”的原则编制单项底稿，为减少单项底稿的数量，在内部控制制度审计实践中原则上要求一个项目只编写一个单项底稿。二是对问题事项的描述不要太具体，语言要简洁，问题尽可能采用词条形式表述，一般不要求具体的单位、时间、地点、金额等细节性内容。三是单项底稿原则上不要求引规，主要原因是底稿反映的问题太多，难以一一引用相关规定，而且有些问题可能仅是一种风险提示，没有对应的规定，但这种风险提示有助于被审计单位加强和改善管理，如果拘泥于规章制度，审计人员的主观能动性难以发挥。四是单项底稿原则上不提处理建议，如提处理建议应主要针对被审计单位急需整改的具体问题，对不急需整改的制度性问题一般不在单项底稿中提出处理意见，更不能提出管理性的建议，这样可以避免单项底稿签认时产生争议，为与被审计单位沟通留出足够的时间，为在审计报告中提出更全面的、更有针对性的管理建议留出空间。

3.审计报告。内部控制制度审计报告撰写应注意以下几点：一是审计报告要对被审计单位内部控制制度建立及执行情况进行判断及评价，判断及评价应根据制度环境、符合性检查及实质性测试结果做出，真正做到有审才能评。二是存在的缺陷和薄弱环节应按制度建立、制度执行分类描述。制度建立、制度执行存在的问题分类应尽可能准确，难以准确归类的原则上作为制度执行问题描述处理。三是审计报告除提出单项底稿已提出的处理意见外，还要对被审计单位内部控制制度存在的问题及薄弱环节提出综合性的改进建议。综合性的改进建议应以提原则性意见为主，不宜提具体的措施和方法。提具体的措施和方法可能给审计人员带来风险，使审计人员处于说教者的尴尬地位。此外，改进建议还要注意语气措词，语言不能生硬。四是审计机关原则上不要根据审计报告向被审计单位下达审计决定，最好下达审计意见书，要求被审计单位根据审计意见书结合本单位的实际情况进行整改。这样一方面有利于被审计单位管理创新、制度创新，另一方面可以改善审计机关、审计人员形象，有利于创造和谐审计新局面。

········参考文献·····················

[1]韩丽荣，郑丽，周晓菲.我国企业内部控制审计目标的理论分析及现实选择[J].吉林大学社会科学学报，2011，（5）.

[2]孔敏.内部控制审计“合理保证”实现的探讨[J].商业会计，2011，（27）.

[3]马海群.评价学的开创与奠基之作——评《评价学：理论、方法、实践》[J].图书情报知识，2011，（4）.

[4]邱高松.企业内部控制审计评价体系构建与应用——基于模糊综合评判模型的研究[J].财会通讯，2011，（19）.

（作者单位：南昌铁路局）