企业内部控制审计研究

提要本文通过对内部控制与内部审计的关系、我国企业内部审计现状等进行分析，研究我国内部控制审计的程序和方法。

关键词：内部控制；内部审计

中图分类号：F239文献标识码：A

一、内部控制审计若干问题

（一）内部控制概述。内部控制是指从控制环境、风险评估、控制活动、信息沟通、监督评价五要素出发，制定并实施一系列具有控制职能的业务操作程序、管理方法与控制措施，以实现企业经营效益性、财务可靠性及合规性三大目标。

（二）内部控制与内部审计的关系。内部审计又称部门审计，是指本部门和本单位内部专职的审计机构和审计人员按照《审计法》的规定，对本部门和本单位进行的审计。它是企业进行管理控制、提高企业经营效率、实现企业目标的重要工具。

1、内部控制是内部审计的评审对象。内部审计在企业内部天然的监督作用使内部审计控制成为企业内部控制的一种形式，也是企业内部经济活动和管理制度是否合规有效的评价机构。内部审计与内部控制中的控制活动相比，内部审计最大的特点是不参与具体的经验管理活动，而是对内部控制进行有效控制。内部控制与内部审计相互依存、相互促进，进行内部审计，通过先了解被审单位的内部控制制度是否健全有效、企业的各项活动是否遵守内部控制制度，把失去控制和控制薄弱的业务系统和控制环节列入审计范围，把失控点和控制弱点以及与此相关的业务资料列入审计重点，有助于确定审计范围和审计重点、确定审计程序，从而提高审计的效率和效果。

2、内部审计促使内部控制系统更完善。审计人员通过对内部控制系统进行审计评价，找出其薄弱环节、可能存在的问题及带来的影响，并将这些信息、审计结论传递给企业管理层，帮助企业完善管理、克服弊端、消除隐患。同时，通过对问题严重或内部控制效率效果不佳的进行公布，可以对企业形成一定的压力，促使其完善企业内部控制。

（三）我国内部控制审计的发展。2002年2月，中国注册会计师协会《内部控制审核指导意见》，对注册会计师接受委托，就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核，并发表审核意见，制定规范，从而正式确立了我国的内部控制审计制度。2006年7月，财政部、国资委、证监会、审计署、银监会、保监会联合发起成立了企业内部控制标准委员会，许多监管部门、大型企业、行业组织、科研院所的领导和专家学者都积极参与，为构建我国企业内部控制标准体系提供了组织和机制保障。我国财政部会计司2000年开始调查研究，制定了一系列控制规范，包括《企业内部控制规范―基本规范》和17项具体规范。这也意味着对财务呈报内部控制有效性进行审计也将成为一种趋势，制定相关的审计准则有助于审计人员提高风险意识，保证财务报告的编报质量。

（四）我国企业内部控制审计现状及问题。目前，我国很多企业尤其是中小型企业，并未意识到内部控制的重要性，甚至对内部控制的概念存在误解。使企业内部控制薄弱或没有内部控制，导致企业一方面经济业务多，而另一方面内部控制审计机制缺乏或有效性低。

从机构设置上看，有些中小型企业没有独立的内部审计部门，而设有内部审计部门的企业，很大一部分其内部审计部门与其他职能部门是平行的，无法保证内部审计工作的独立、客观、真实性。没有准确的审计结果就无法保证内部控制制度的有效性，无法真正达到内部控制的目的，久而久之，内部审计部门就变成了可有可无的部门。

从审计方式看，大部分企业采用的都是事后审计，事后审计只能对发生的问题进行审计，无法做到预防问题的发生。只有综合使用事前评价、事中评价及事后评价才能对企业内部控制进行全过程、全方位的监督和评价。

从审计内容上看，审计人员还是很传统的，主要审计会计报表、账本、凭证等财务相关资料，这导致了管理和经营领域没有得到或没有充分得到审计。

从审计人员看，我国企业的审计人员大多是财务出身，对经营管理相关知识比较欠缺，无法做到对企业内部控制进行全面的审计。

二、内部控制审计的程序和方法

审计的重点是对制度内各个控制环节进行审查，从而找出制度中控制的薄弱环节。审计程序是审计活动赖以有序高效运行的基础，而审计方法则是审计结论准确的保障。只有依赖于合理规范的审计程序，选择合适的审计方法，才能真正做到对企业内部控制进行快速、准确的审计。

（一）内部控制审计的程序。内部控制审计主要是对被审计单位的内部控制制度进行检查和测试，找出制度中的薄弱环节，而对内部控制制度的检查、测试又可细分为：责任控制制度、内部牵制制度、会计控制制度、经营方面各个循环系统的控制制度、财产及凭单管理制度五大方面。

内部控制审计的程序分为：了解并记录企业的内部控制现状、初步评价内部控制的健全性、对内部控制的设计及执行的效果进行符合性测试、评价内部控制的强弱及控制风险以确定内部控制薄弱的领域、制订实质性审计方案五大步骤。审计流程如图1所示。（图1）

1、了解企业内部控制现状。了解企业的内部控制现状是整个审计活动的基础，只有充分了解被审计单位的内部控制制度及执行情况，才能对后续的工作提供依据或借鉴。了解企业内部控制现状后需要及时并准确的做出记录、描述。内部控制现状包括控制环境现状、控制程序现状和会计系统现状。

2、初步评价内部控制的健全性。内部控制的健全性是下一步进行符合性测试的前提，它是指企业的内部控制是否完善、是否能对企业的风险进行控制、是否能达到企业进行内部控制的目标。在第一步了解企业内部控制现状，即对被审计单位内部控制有了一个初步的认识的基础上，对内部控制风险和内部控制的可依赖程度做出初步评价。评价内部控制的健全性包括评价企业的控制环境、控制程序和会计系统。初步评价实际上就是评价企业会计与内部控制在防止或发现和纠正错弊中的有效性的过程。

在初步评价过程中若发现企业内部控制失效或者难以对内部控制的有效性做出评价，则应将重要账户或交易类别的某些或全部认定的控制风险评估为高水平，并不拟进行下一步符合性测试；若发现相关内部控制可能防止或发现和纠正重大错弊，则不应评价其控制风险处于高水平并拟进行下一步符合性测试。

3、对内部控制的设计及执行效果进行符合性测试。符合性测试是为了确定内部控制制度的设计和执行是否有效。其基本对象包括内部控制设计测试和内部控制执行测试。设计测试是测试被审计单位控制政策和程序是否合理，是否能防止或发现和纠正特定会计报表认定的重大错报或漏报。执行测试是测试被审计单位的控制政策是否发挥了作用。设计和执行同等重要，没有好的设计，执行将不起作用、甚至起到相反的作用，设计再好，没有认真执行，则设计也无法真正发挥作用。

通过初步评价内部控制的健全性就可以基本确定被审计单位内部控制的强弱环节，为进行符合性测试确定一个前提。审计人员并非对所有的内部控制进行符合性测试，只对那些准备信赖的内部控制执行符合性测试，并且只有当信赖内部控制而减少的实质性测试的工作量大于符合性测试的工作量时，符合性测试才是必要的且经济的。

4、评价内部控制的强弱及控制风险，确定内部控制薄弱的环节。只有完成了内部控制符合性测试，审计人员才会发现被审计单位内部控制制度是否建立、健全，哪些内部控制制度得到了有效执行，哪些内部控制虽然建立但没有执行或执行不力，哪些内部控制是有效的，哪些内部控制是无效，哪些是内部控制的薄弱环节。同时，利用专业判断来调整和综合评价被审计单位的内部控制估计风险的水平。审计人员对在审计中发现的内部控制问题进行汇总、整理，分析问题产生的原因和可能带来的后果，提出有效的改进措施，以管理建议书的方式，反映给被审计单位管理部门。

5、制订实质性审计方案。利用上一步的综合评价结果可制订出实质性的审计方案。实质性审计方案的实施为完善企业内部控制提供了依据及标准。

（二）内部控制审计方法。在内部控制的审计流程中，各步骤都有相应的审计方法。在进行审计时，审计人员应充分考虑被审计单位的经营规模、业务复杂程度、数据处理系统类型、审计重要性、相关内部控制类型、相关内部控制记录方式、固有风险的评估结果等因素。主要审计方法：

1、分析以往的审计报告、审计工作底稿、企业的内部控制相关文件及资料、内部控制生成的文件和记录。

2、对被审计单位相关人员进行问卷调查或访谈，以了解内部控制现状、企业各项业务操作是否符合控制要求、业务执行情况等。

3、观察被审计单位的业务活动和内部控制的运行情况。审计人员可亲临现场，实地观察相关人员的工作情况，以确定既定控制程序是否得到严格执行。

4、对具有代表性的交易和事项进行“穿行测试”。通过查阅复核以前的审计情况，可以了解以前审计时所发现的问题产生的原因以及是否已得到纠正和改进。

5、对账表、凭证等书面证据等进行抽检以判断是否存在内部控制制度，制度是否得到有效贯彻执行。

6、重复执行法。审计人员就某项内部控制制度按照被审计单位的业务程序全部或部分重做一次，以验证既定的控制措施是否被贯彻执行。

7、综合评价。进行综合评价时，若内部控制有效实施了，则评价控制风险为低，仅对各项账户余额和交易进行有限的实质性测试。重新调整内部控制的可依赖程度，制订出实质性审计方案；若审计人员在经过内部控制测试后，发现部分内部控制没有得到有效执行，就应对内部控制风险估计水平和可靠性重新进行调整。适当扩大实质性审计的范围；针对内部控制的缺陷，确定实质性测试的时间、范围和程序。通过符合性测试，审计人员根据所掌握的具体缺陷和不足，制订下一步实质性审计方案，其范围应涵盖在初步评价和符合性测试中发现的存在缺陷的内部控制内容；然后，就内部控制缺陷，向被审计单位管理当局提出改进建议。

（作者单位：中国矿业大学（北京）管理学院）

主要参考文献：

[1]张世体.审计基础与实务.立信会计出版社，2006.

[2]关鉴航.内部控制与现代审计.税务与经济，2010.1.

[3]刘军.企业内部控制审计研究.北京交通大学，2008.

[4]周兆生.内部控制与风险管理.审计与经济研究，2004.4.