浅谈内部控制审计

内部控制是实现现代企业管理的重要组成部分，也是企业生产经营活动赖以顺利进行的基础。内部控制审计的对象主要是控制环境、风险评估、控制活动、信息与沟通和监督等内部控制要素。在进行内部控制审计时，审计人员应当具备足够的胜任能力，保持应有的职业谨慎，遵循一定的程序，根据审计和评估的内容不同，分别采用适当的方法予以审计和评估，以确保内部控制审计报告的质量。

一、当前企业内部控制存在的问题

（一）信息系统失真，信息不流畅

企业存在着普遍的问题：企业的信息流通不畅，许多有关信息被管理当局控制，企业内部各个部门各自为政，部门与部门的信息沟通缺失，员工对企业信息了解微乎其微，往往局限于自身所处的部门。一个良好的信息与沟通系统应能确保组织中每个人均清楚地知道其所承担的特定职务和应该承担的责任，以及自己在企业中所扮演的角色。

（二）制度不完善，执行不力，控制环境薄弱

1、内部控制监督薄弱

企业内部控制是一个过程，由于管理体制和管理方式的问题，我国企业内部控制的监督很薄弱，管理控制的方法不够先进，内部审计机构没有起到应有的作用。

2、内部控制虚设，组织机构设置不合理、不完善

公司虽然设立了董事会、监事会，聘任了总经理班子，但是，在实际工作中，董事会的监控作用严重弱化，经常只有一个“虚职”，且缺少必要的常设机构。

3、缺乏适当的控制活动

控制活动是确保管理阶层的指令得以实现的政策和程序，旨在帮助企业保证其针对“使企业目标不能达成的风险”采取了必要行动，旨在帮助企业管理当局保证其控制目标的实现。而我国目前许多企业缺乏适当的控制活动，造成了大量的造假行为，致使会计信息严重失真，从而破坏了社会经济秩序的正常运转。领导层对内部控制重视不足，观念落后。

内控制度的企业大多也只是停留在“写在纸上、贴在墙上”的表面文章，制度的落实存在很大的问题。遇到具体问题的处理，通常以强调灵活性为由而不按规定程序办理，大事小事厂长经理说了算，无视会计法律法规的存在，有章不循、执法不严，造成内部控制严重失效。由于企业管理层对内部控制认识不足，故对内部控制在企业经营管理中起的作用不甚了解，尚未认识到内部控制的意义，故而对建立内部控制不重视。

（三）风险评估不足、意识薄弱

环境控制和风险评估，是提高企业内部控制效率和效果的关键。从我国企业现状来看，其风险意识并没有提到应有的高度，企业管理层人员的思想中缺乏风险概念，许多企业没有设置风险管理机制，因此抗风险能力低下。由于社会经济环境的变化，企业间竞争越来越激烈，企业的经营管理会面临来自各方面的经营风险，如筹资风险、投资风险、开拓市场的风险、担保风险、信用风险等。

（四）人员素质较低、诚信度不足

主要表现在管理人员素质较低，诚信度低，许多管理人员普遍未受过正规的专业教育，企业亦未对这些管理者进行管理培训。这样的管理者即使有全心全意为企业服务的意识，也因其能力所限而无法真正地管理好企业。由于企业常常把企业的盈利和管理人员的工作好坏进行紧密的挂钩，致使许多经营管理者出于自身利益的考虑，虚列成本、虚计收入、虚报盈余。有些企业对财会人员的业务素质提高不够重视，致使财务人员发生操作性、原理性错误的概率大增，如乱用会计科目、随意改变账户对应关系、会计确认及计量工作混乱等。

二、内部控制制度审计的主要内容

（一）内部控制审计的定义

内部控制审计既可以作为独立的审计项目组织实施，用以完善内部控制，也可以作为实施其他审计项目的一个程序或方法，以便确定对其依赖程度和进行内部审计的范围、重点及方法，有效提高审计工作效率和质量。内部控制审计就是对内部控制的健全性、符合性、合理性及有效性的测试和评价。

（二）内部控制审计的对象和内容

内部控制审计的对象主要是控制环境、风险评估、控制活动、信息与沟通和监督等内部控制要素。 内部控制审计的内容是对构成内部控制的各要素进行测试与评价，主要包括：内部控制的设计是否合理，是否得到有效执行。

（三）审计准备阶段

1、计划审计业务

审计人员应对内部控制审计进行适当的计划和协助，以保证在需要时，进行适当的监督。

2、评估管理层评估的流程

审计人员必须获得对管理层关于公司内部控制有效性评估的过程了解。主要包括：审计师决定应当对哪些控制实施测试，包括对财务报表中的所有重要会计科目和披露事项的相关认定控制；评估控制失败导致错报的可能性、错报的程度以及在其他控制有效实施的情形下，实现同样的控制目标的程度；评估控制设计的有效性；根据评估其实施有效性的程序是否充足，来评估控制实施的有效性；决定内部控制缺陷的程度和导致重要缺陷和实质性漏洞发生的可能性；对审计发现是否合理以及是否支持管理层的评估进行评价。

3、评估管理层的文档记录

主要包括对与财务报表重要会计科目和披露事项相关的所有认定进行控制的设计；关于重要交易是如何被初始、授权、记录、处理和报告的信息；关于交易流向的足够信息，包括识别可能发生错误或舞弊而导致重大错报的关键点；已设计的防止或发现舞弊的控制，包括谁实施控制以及相关的职责划分；对期末财务报告过程的控制；对资产保护的控制以及管理层进行测试和评估结果。

4、获得对内部控制的了解

主要通过询问合适的管理层、监督人员和员工，检查公司文件，观察专用控制的应用，通过信息系统追踪与财务报告相关的交易来了解公司内部控制的各个方面。

三、审计实施阶段

（一）实施穿行测试

审计人员实施的穿行测试应当涉及交易的初始、控制权、记录、处理和报告的整个过程，以及对每个重要流程所进行的控制，包括旨在发现风险和舞弊的控制。穿行测试可以提供如下证据：确保对于针对内部控制的五大方面所设计的控制进行识别和了解，包括与防止或发现舞弊相关的控制；确保对于整个流程有所了解，并且根据每个相关的财务报表认定，判断是否在容易发生错报的关键点被识别出来；评估控制设计的有效性。

（二）识别控制以进行测试

审计师应当对与财务报表的所有重要会计科目和披露事项的所有相关认定所进行的控制的有效性获得足够证据。

（三）测试和评估设计、运行效果

当预期所实施的控制将防止或发现会导致财务报表重大错报的错误或舞弊时，内部控制的设计是有效的。审计师应当通过如下标准判断公司是否实施了达到控制目标的控制：识别公司每一领域的控制目标；识别满足每一目标的控制；判断如果有效地实施了控制，是否可以防止或发现会导致对财务报表重大错报的错误或舞弊。审计师应当通过判断控制是否按计划实施和实施控制的人员是否获得了必要的授权和具备有效实施控制来评估控制实施的有效性。对实施有效性进行控制测试的方式包括询问适当的人员、检查相关记录、观察公司的运营和重新实施控制措施等方式的结合。

（四）形成关于内部控制是否有效的意见

在对内部控制发表意见时，审计师应当对获得的所有证据进行评估并发表意见，只有在没有发现实质性漏洞和审计师的工作没有受到限制的情况下，审计师才可以发表无保留意见。如果存在实质性漏洞，审计师应当对财务报告的内部控制发表否定意见，如果工作范围受到限制，审计师应当发表保留意见或无法表示意见，视受限制的范围所定。

（五）评估内部控制的缺陷

审计人员应当评估已发现的控制缺陷，这些缺陷单独或累加之后，是否构成重要缺陷或实质性漏洞。

四、审计报告形成

审计人员应当评价内部控制能否确保资产、资金的安全，即检查并评价内部控制能否保障资产、资金的存在、完整，为我所有，金额正确，处于增值状态。评估内部控制的合法性、充分性、有效性及适宜性。

（作者单位：三门峡市辉业税务师事务所）