内部控制在审计中的考虑

李可心

摘要：内部控制是被审计单位中一项重要的制度，本文从内部控制的含义、审计中对内部控制了解的广度与深度、内部控制的局限性以及内部控制五要素这四个方面对内部控制的内容进行简单阐释，以对内部控制在审计中的角色有一定了解。

关键词：内部控制;审计;经营风险

一、内部控制的含义

内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计与执行的政策及程序。

可以从以下几方面对内部控制的含义进行理解：（1）内部控制的目标是要进行合理保证而不是绝对保证。因为无论内部控制怎样有效，它都有固有局限性，这使得内部控制无法为被审计单位提供绝对保障。（2）设计和执行内部控制的主体是治理层、管理层和其他人员，但组织中的每个人都对内部控制的实施负有责任。（3）实施内部控制的手段是要设计和执行相应的政策与程序。

二、审计中对内部控制了解的广度与深度

从对内部控制了解的广度来看，注册会计师只需要了解和评价与财务报表审计相关的内部控制。虽然内部控制与被审计单位的目标相关，且内部控制适用于整个被审计单位的所有经营部门以及业务流程，但是并不是所有的控制都与审计相关，所以注册会计师在审计时要注意辨别，找出与自己工作相关的控制进行审计。

从对内部控制了解的深度来看，在了解阶段，注册会计师应当评价控制的设计，并确定其是否得到执行。但是，没有设计或者设计不当的控制可能表明内部控制存在重大缺陷，即表明控制风险高。如果控制首先就设计不当，便不需要再考虑控制是否得到执行。

注册会计师在获取有关控制设计和执行的审计证据时，可以运用询问、观察、检查以及穿行测试这几类风险评估程序。在了解内部控制时没有使用分析程序。而且在有书面记录时才可以使用穿行测试。

区分了解内部控制与测试控制运行有效性是很有必要的。控制测试是指对设计合理的内部控制（预期有效）是否得到一贯有效执行而专门实施的程序。控制测试相对于了解内部控制来说更进一步，需要更多的审计证据。但是在有些情况下，了解内部控制和控制测试可以合二为一，即当被审计单位应用自动化控制时，这两者合二为一，不需要再额外进行控制测试。因为当被审计单位在应用自动化控制时，由于信息技术处理流程的内在一贯性，能够做到一次执行，次次执行。但是，如果被审计单位采用人工控制，那就不能从一个时点的有效运行推导出审计期间各个时点都有效运行，这时还需要进行控制测试，来得出控制一贯运行有效的审计证据。

三、内部控制的局限性

从内部控制的定义中可以知道，内部控制只能为被审计单位目标的实现提供合理保证，而不是絕对保证，这是因为内部控制存在固有局限性。也就是说，内部控制在运行时会受到固有限制的影响，这些限制主要有以下几类：（1）人为错误。被审计单位中对内部控制负有责任的主体，可能在做出设计或者修改内部控制等决策时，因人为判断的失误，而使内部控制的运行效果大打折扣;还有一些制度的实施是通过人工来进行的，而不是采用自动化控制，这时，如果相应的人员没有采取正确适当的措施，也会使内部控制归于无效。（2）串通舞弊。被审计单位中的两个或者多个人可能串通勾结，规避内部控制;管理层可能会利用职权，凌驾于内部控制之上。例如，管理层私下与客户签订含有非标准合同条款和条件的协议，再如一些自动化控制的程序可能被管理层修改。（3）人员素质与岗位要求不匹配。（4）成本效益问题。当施行某项内部控制的成本大于取得的效果时，这项内部控制措施的设置就没有必要了。（5）新业务出现。当一些不常见和不能预计到的业务发生时，原有的内部控制便可能不产生作用。

四、内部控制五要素

（一）控制环境

首先，作为内部控制五要素之首，控制环境给被审计单位的整个内部控制奠定了基调。控制环境是一种基础制度，体现了一种氛围，是内部控制中的软件。控制环境包括：（1）诚信和道德价值观念。对诚信及道德价值观念的履行和遵守，对于被审计单位来说是至关重要的。治理层和管理层需要身体力行，起到带头模范作用。同时，管理层也要及时向员工传达有关的行为规范，使得员工都能遵守。相应地，对于违反诚信与道德行为规范的员工，也要制订惩罚措施。（2）胜任能力。被审计单位在选择员工时，尤其在任用管理人员时，应该注重考察相应人员的胜任能力。选择有能力的员工，对于被审计单位来说，免除了很多不必要的人为因素导致的错误和损失。（3）治理层的参与度。像董事会这样的治理层，以及内部的审计委员会和其他类似机构，他们的参与度在控制环境中起到很重要的作用。治理层主要负责对被审计单位活动的监督，它应该做到独立于管理层，还要对经营风险有足够的关注。（4）管理层的经营风格。管理层是经营活动中直接的参与者，他们的理念和经营风格，会直接影响到员工的工作。（5）组织结构及权责分配。被审计单位的组织结构，是经营活动管理的整体框架。在这个框架中，要注意责权的正确划分，做到不相容岗位相分离，使执行操作与进行管理的人员尽可能分离。（6）人力资源。被审计单位要在人员的管理方面严格把关，在培训、考核及晋升过程中选择既有责任心又有能力的员工，这对被审计单位的长远发展起到很大的作用。

（二）风险评估

被审计单位的风险评估过程包括识别风险、评估风险是否重大、估计风险发生的可能性以及确定针对这些风险需要采取的应对措施。被审计单位应当建立适当的流程或者机制，以便及时发现会计估计和操作等方面的重大变化，并可以及时做出应对。

（三）控制活动

控制活动是在被审计单位的业务层面进行的。控制活动包括：（1）管理层制定一般授权和特别授权政策。一般授权和特别授权分别适用于一般业务和特定业务，设置授权的目的是要保证交易在授权范围内进行。（2）业绩评价。评价实际业绩与预算之间的差异、内部数据与外部信息的差异、财务数据和非财务数据之间的关系等。（3）信息技术的一般控制和应用控制。二者分别适用于整体层面和应用层面。（4）对现金、有价证券和存货进行定期盘点。这一控制对于维护资产的安全起到重要作用。

（四）信息和沟通

信息系统用于对被审计单位的交易和事项进行记录和处理。信息系统生成的信息质量如果高，那么对于管理层做出正确恰当的决策起到重要作用。沟通机制的建立也是必不可少的。对于大额的赊销、坏账、对账、销售退回等，部门之间要做到及时沟通;治理层与管理层要及时沟通;被审计单位也要与外部的顾客、供应商和监管者及时沟通。

（五）监督

对内部控制的设计和执行情况的监督是十分重要的。一项内部控制措施如果没有得到有效运行，那么该项控制便失去了意义。管理层的重要职责之一就是监督内部控制，使之有效运行。在监督的过程中，通过内部审计人员的协助和与外部信息的沟通，有利于发现内部控制中存在的问题。

参考文献：

[1]  内部控制缺陷对财务报告审计意见的影响【J】.魏薇.山东纺织经济.2019（08）

[2]  对于企业内部控制本质与概念的理论探讨【J】.施蕊.财经界（学术版）.2019（23）

[3]  我国注册会计师审计制度发展与完善【J】.徐默.知识经济.2014（20）

（作者单位：河北大学）