基于风险管理下的企业内部控制审计

黄璐

（四川德文会计师事务所（特殊普通合伙），成都 610051）

1 引言

随着市场竞争的日益激烈，企业经营面临的风险越来越多，而内部控制是企业实施风险管理的必经环节，能够有效帮助企业进行风险管理，并且提高企业的经营效果。企业如果想要防范和化解重大经营风险，必须加强内部控制审计建设，提高企业的竞争力。鉴于此，企业可通过内部控制审计，对上述要素进行相应的审计分析，评估判断企业目前制定的内部控制体系是否有效，能否发挥企业内部控制的风险管理效果，从而促进企业的长远发展，因此研究企业内部控制审计具有重要意义。

2 理论概述

2.1 企业内部控制审计

企业的内部控制审计主要是企业直属于董事会或者监事会的审计委员会、独立董事对企业的内部控制制度进行相应的审查、分析测试以及评价，是一种现代常用的审计方法，用来评估企业内部控制的有效性，通过内部控制审计能查明企业现存内部控制制度存在的缺陷及形成缺陷的原因，并且有助于提出内部控制改善措施。内部控制审查的要素主要包括内部控制环境、风险评估、控制活动、内部控制信息和沟通以及内部监督制度。

2.2 企业内部控制审计流程

第一，了解企业的内部控制情况，并做出相应的记录。这是内部控制制度审计的第一步，其主要目的是通过一定手段，了解企业已经建立的内部控制制度及执行的情况，并做出记录、描述。

第二，初步评价内部控制的健全性。确认内部控制风险，确定内部控制是否可以依赖。在对控制环境、控制程序和会计系统进行调查了解，对企业内部控制有了一个初步的认识的基础上，应对内部控制风险和内部控制的可依赖程度作出初步评价。

第三，实施符合性测试程序，证实有关内部控制的设计和执行的效果。通过对内部控制进行初步评价，可基本掌握企业内部控制的强弱环节，为进行符合性测试确定一个前提。

第四，评价内部控制的强弱，评价控制风险，确定在内部控制薄弱的领域扩展审计程序，制定实质性审计方案。

3 企业内部控制审计现状及存在的问题

3.1 忽视企业经营风险审计

企业在内部控制审计工作时往往把审计重心放在企业内部控制制度的合规性上，例如，审查相关经营活动的资料是否齐全，相关资料是否按照企业要求归档以及相关工作人员的行为是否合规等，虽然也对企业的风险进行了审查，但是仅仅将合规性作为审计重心是不完整的，尤其是我国目前内部控制审计与企业经营业务的衔接度不高，甚至会忽视经营风险的审查，在进行审计工作时对风险审计较为笼统，不能精准地分析出企业在经营层面存在的问题和不足[1]。在进行内部控制审计时，往往会忽视相关风险评估和选择拟测试的内部控制的主要过程及结果。以企业经营的六要素为例，企业的经营要素主要包括6 个方面，即企业的产销规模、成熟度、多样性、经营目标、经营策略、生产经营循环。了解企业的生产经营情况，我们首先要了解企业的产销规模，只要知道了企业的生产、销售情况，我们才能摸清企业产品的市场份额以及企业的稳定程度。市场份额很大程度上反映了企业的竞争地位和盈利能力，也是企业筹资的重要考核指标，如果企业占有很高的市场份额，那么相对来说企业的经营压力和经营风险就比较小，在未来的几年内不会突然退出市场，如果在调查企业的财务报表时，发现企业的自由现金量比较大，利润表上显示有持续的经济收益，那就说明企业的经营状况较好，不论是运营还是管理都是有成效的，具有一定的盈利能力和市场竞争力，未来是很有发展前景的。反之，如果企业只有很小的市场份额，那么相对来说企业的风险性就较大，在竞争力强的企业面前，很有可能会被淘汰。当然，考察企业经营情况是多方面的，一个因素不足以给企业定性，如果小企业可以保证其公司的核心竞争力和特色，保证良好的运营及管理能力，集中人力、物力、财力发展核心技术，保证盈利状况，那么企业也是很有发展潜力的。因此，企业的经营风险审计对企业的长远发展有着极为重要的意义。

3.2 企业内部控制评价体系不健全

我国企业内部控制评价体系不健全，尤其是受审计人员的主观因素影响较大，主要体现在两个方面：

第一，审计结束后的评价工作容易被忽略，审计评价是内部控制审计工作的核心，忽视审计评价会导致内部控制审计工作难以达到预期目标。

第二，企业在管理过程中，管理层通常会重视审计部门的审计结果，因此，如果企业的审计结果存在过多主观性因素，不能做到客观和量化，未能从客观审计角度挖掘出企业内部控制存在的深层次问题，会导致企业在经营过程中，无法及时发现存在的风险问题，不能针对性地提出相关的改善措施，导致企业内部控制审计无法发挥该有的作用[2]。此外，企业在进行内部控制审计时常常忽视企业的信息与沟通，在开展内部控制审计工作时，要评估财务信息和其他重要信息的安全性以及可靠性。

3.3 忽视企业内部控制环境

上文提到内部控制存在五要素，而在实际工作中内部控制环境常常在审计工作中被忽略，我国目前企业的内部控制审计往往将目光集中于内部控制制度建设的本身，忽视了内部控制制度建设与内控环境之间的关联，造成对内控环境中的公司治理结构、人员权责分配制度、不相容人员职责等关注度过低。如果企业在经营过程中不能较好地将经营权和所有权相分离，在经营管理中出现一言堂的现象，将董事会、监事会的机构建设形同虚设，未有效落实权责分离和不相容岗位职责制度，也未落实法人治理机制，削弱了企业的监督管理职能。由于企业受传统因素影响，崇尚“销售为王”的理念，过于重视销售业务部门的地位，企业现有的股东和高级管理人员多数是由业务部门人员提拔上来的，甚至同时兼任高级管理人员，导致企业现有的内控管理形同虚设，认为内控管理和预算是浪费企业的资源，不能为企业带来相应的经济效益，内控管理属于费用支出，会增加企业的管理成本，在这种企业文化的熏染下，导致企业内控管理的环境较差，不利于内控管理制度的实施。

3.4 内部控制审计程序不规范

企业在进行内部控制审计时，一定要制定相应的审计流程，包括设计评价风险评估以及相应的测试，并最终根据分析结果提出相应的审计意见和建议，但受审计队伍能力和审计方法等因素的影响，目前我国企业进行的内部控制审计程序较为随意，并没有按照常规流程进行开展，任意删减审计工作流程，比如省略风险评估或符合性测试等审计任务，导致审计结果有失客观，难以保证审计质量。

4 企业内部控制审计的优化措施

4.1 完善企业内部控制评价体系

企业在开展内部审计工作时，应完善企业的内部控制及评价体系，应重点关注评价体系指标是否完善，可以从以下几点进行提升：

第一，不断完善内部审计评价体系的程度，提高评价指标的客观性，减少评价过程中受主观影响的可能性，为达到更好的内部控制评价效果尽可能地采取量化指标，例如，可以结合企业的业务量以及经营业务设定审计标准，尤其是要加强对主营业务的重点审计[3]。

第二，企业应定期地检查内部控制审计的评价体系，根据其实际发生情况进行调整和完善，保证内部控制评价体系的稳定性与有效性。例如，在进行风险管理评价时要对风险控制机制以及各种类型的风险数据进行分析，研究审查企业的风险控制机制是否适合企业发展，并针对风险高的事项制定风险策略，尽可能地降低企业的风险，尤其是企业在进行内部控制审计时，要保持审计的独立性，不能随意省略审计范围和流程，确保内部控制审计结果真实客观，发挥出内部控制审计的优势及效果。

第三，加强企业的授权审批制度的建立，确保企业所有业务活动的发生都必须经过批准才能执行。要规定好每一类业务活动审批程序，方便每个人按程序办理审批。要根据事件的重要、紧急情况及金额大小，确定不同的授权批准层次。避免各级分工不明确，防止出现问题互相推诿、违规越级审批的现象。各级管理层必须在授权范围内行使相应职权，经办人员也必须在授权范围内办理经济业务。

4.2 重视企业的经营风险和业务运营审计

企业在进行内部控制审计时，不仅要重视经营风险审计，还要加强对相关业务风险的评估，要不断扩大内部控制审计的工作范围及深度，做好内部控制审计工作的流程设计，并针对企业具体的风险做出相关的风险管控，在细致划分风险的基础上，有针对性地管控才能取得良好的预期效果，尤其是要将审计工作的重心放在经营风险以及相关风险划分是否合理，从而提升企业内部控制审计的有效性。以企业经营要素中的多样性作为企业经营风险的评价指标之一，了解企业生产经营的多样性能够及时迅速地判断企业的风险管理情况。如果企业生产的产品比较单一，仅仅销售一两种产品，则因产品过于单一，不能满足不同消费群体的需求，可能很快会被其他企业所取代，企业承担的风险自然就高。相反，如果企业生产、销售的品类丰富且齐全，那就可以满足不同消费群体的需求，通过多样性拓展业务，企业就能将经营风险降低很多。所以，在考察企业的经营风险时需注重对企业产品多样性的调查。此外，经营目标是企业发展的前提，战略是企业发展的导向。如果企业设立的经营目标和战略存在问题，那么在错误的目标和战略的指引下，企业最终可能面临被淘汰的风险。所以，在分析企业经营风险时，需衡量企业所设立的经营目标是否可行，如果企业的经营目标不具有可行性，则企业可能存在重大经营风险。

4.3 加强内部控制环境优化

内部控制环境是企业实施内部控制的重要因素之一，因此，在审计过程中要加强对内部控制环境的优化。一是要分析企业内部控制面临的具体环境，由于行业不同会导致企业面对的环境因素存在着较大差异，因此在进行内部控制环境建设时要做到具体问题具体分析。以新冠肺炎疫情的影响来说，疫情影响下，经济外部环境更趋严峻，外部环境是系统性风险，只能通过企业内部的快速协调、部门联动、建立有效的风险监管系统、把握好资金流动等来改变自身的经营模式，提高企业的抗风险能力。二是要加强横向与纵向对比，横向对比主要是与同行业标杆企业进行对比，纵向对比主要是与企业以往年度内部控制环境进行对比，找到企业自身在内部控制环境建设方面的薄弱环节，从而优化企业内部控制环境。在进行内部控制环境审计时，可以对法人治理结构、人力资源政策的执行以及企业管理层体系和企业文化等因素进行分析，从而建设比较完善的内部控制体系[4]。三是要加强对企业的治理和管理，控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。企业治理层、管理层及所有员工对内部控制制度的重视程度，对相关制度要求是流于形式还是严格遵守，将对内部控制环境产生重大影响。换言之，内部控制环境的核心是人，如果企业自上而下全员都能重视内部控制，则能做好企业的内部控制环境优化工作。目前在一些民营企业中，老板一言堂、裙带关系严重等客观事实妨碍了内控制度的有效运行，特别是实际控制人及其直系亲属直接干预正常的流程等会造成相关的制度形同虚设。所以，内控制度如果要有效运行，公司的治理层和管理层要从自身做起，起到良好的带头作用。

4.4 不断规范企业内部控制审计程序

内部控制审计程序是企业审计质量的基础，因此，企业在开展内部控制审计时，要严格按照审计流程设计相关的审计步骤，如进行审计设计评价体系、风险评估符合性测试，根据结果分析提出审计意见，不允许存在审计程序缺失或不完善的审计项目结项，同时也要加强企业内部控制审计队伍的建设，提高内部控制审计人员的专业能力以及业务能力，确保内部控制审计工作的有效开展。同时，要不断完善内部控制审计的方法和应用现代审计技术，例如，在审计准备阶段可以通过调查问卷方式了解企业管理层关于内部控制有效性的过程，并审查企业内部控制文件及相关资料，充分利用企业内部的财务数据平台，获取各个系统和环节的数据，并进行关联匹配，挖掘出企业的重要信息，确保审计结果的专业性和说服力[5]。

5 结论

企业在经营管理和发展中，风险管理和内部控制是无法避免的关键内容，尤其是企业的内部控制需要开展相关的内部控制审计进行保障，因此，基于风险管理的内部控制审计工作，成为当下企业进行风控管理和内控优化的重要措施。企业通过实施内部控制审计，规范完善审计程序，优化企业内部控制环境，同时关注相关的经营风险和业务风险，完善内部控制评价体系，加强内部控制审计人员队伍建设，根据企业发展的实际情况，促进企业的内部控制审计工作的开展，为企业弥补管理漏洞和规避风险，推动企业更高更远更快地发展。