谈谈内部控制审计实务操作

依据财政部、证监会等五部委的相关规定，自2011年1月开始对相关公司分类实施内部控制审计，至今已近两年时间。笔者依据《企业内部控制基本规范》、《企业内部控制规范讲解》、《企业内部控制配套指引》和《企业内部控制审计指引》等相关文件的规定，整合审计中与会计报表认定相关的内部控制审计实务操作中的实际情况，谈谈本人的粗浅看法，与同仁探讨。

要管理好一个公司必须依靠其内控；财务报表真实且公允地反映某个公司的财务状况和经营成果也必须靠其内控。每次年报审计，审计人员在某个公司现场审计很短的时间（是年度时长的十二分之二，或十二分之一，或更短），且现场审计主要靠抽查等审计程序，很难完全发现被审计单位所有的重大财务事项（问题），因此，必须靠内控来管控实际与报表列示数（包括未审数和审计调整后数）之间可能存在的（较大）偏差，将其控制在公司管理层和治理层可接受的水平。

另一方面，因出具的是内部控制审计报告，不同于以往的内部控制鉴证报告，两者的保证程度和法律效力不同。同时，内部控制审计报告所形成的底稿应符合相关要求，并能接受外部监管机构的检查等。

一、审计计划阶段

除通常财务报表审计的审计计划阶段需注意的事项外，在制定内部控制审计的总体审计策略时需主要注意以下几点：

1 时间安排

与正常的财务报表审计相比，内部控制审计的时间安排有其特殊性。

按照《企业内部控制审计指引》的要求，注册会计师在确定测试的时间安排时，应当尽量在接近企业内部控制自我评价基准日实施测试，实施的测试需要涵盖足够长的时间。

首次进行内部控制审计时，企业和注册会计师应当在当期会计年度的上半年即开始准备该年度的内部控制审计工作，从而保证整改后的控制运行有足够长的时间。在接受或开展内部控制审计业务时，项目经理应当尽早与企业沟通内部控制审计计划，并合理安排内部控制测试的时间。

在连续进行内部控制审计的过程中，项目经理应当考虑以前年度执行内部控制审计时所了解的情况以及当年企业发生的相关变化，在此基础上确定适当的内部控制审计工作方案和时间安排。

虽然内部控制审计报告仅是对截止某年末的时点发表的审计意见，但实际上内控测试样本涵盖了当年的1月至12月。与会计报表认定相关的内部控制审计，大致可分为两个阶段：第一阶段，即每年的10月至11月（主要考虑给被审计单位留一至二个月的整改时间），主要是对当年1-9月（或1-10月）的内部控制进行审计；第二阶段，即次年的1月至3月，主要是对所审计年度（即上年）10～12月（或11-12月）的内部控制实施相应的“前推程序”等，同时，测试上次期中审计已发现的内部控制缺陷的整改情况。

2 总体上采用自上而下的方法

自上而下的方法是识别风险、选择拟测试控制的基本思路，其主要程序：（1）从财务报表层次初步了解内部控制整体风险，（2）识别企业层面控制；（3）识别重要账户、列报及其相关认定；（4）了解错报的可能来源；（5）选择拟测试的控制。

3 与被审计单位需作两次以上的沟通

一次是对当年1～9月（或1-10月）的内部控制审计后的沟通；另一次是上述第二阶段现场审计结束前的沟通。

4 内部控制审计的具体审计计划

应编制单独的内部控制审计的具体审计计划，主要包括内部控制审计的具体要求、审计思路（策略），人员的分工，各个分子公司的具体审计日程安排等事项。

5 重要性（水平）

在整合审计中，内部控制审计与财务报表审计确定的重要性（水平）相同。

二、审计现场实施阶段

内部控制审计的现场实施阶段主要分为以下两大部分：

（一）企业层面的内控了解、测试与评价

此项内容在日常财务报表审计的风险导向审计底稿中已涉及，此处不再赘述。

（二）各业务循环的内控了解、测试与评价

各业务循环的测试，主要包括以下步骤（程序）：

1 获取管理层内部控制自我评价报告及公司内部审计部门的相关底稿

外部审计人员进点时，应向被审计单位列出需提供资料的清单，其中应包括管理层有关公司内部控制自我评价报告和公司内部审计部门的有关内控自查（自测）和评价的所有电子底稿等。

收集了相关资料后，外部审计人员认为公司内部审计人员所编制的调查问卷和测试底稿等资料可利用的，应充分利用，减少不必要的重复工作，以提高现场审计工作效率。

2 初步了解沟通（调查问卷等）

通过调查问卷，可了解各个业务循环的主要概况，调查问卷可采用由审计人员当面与被调查者沟通询问的方法。这样，可观察被调查者的反映，看其是完全了解被问事项的相关情况，还是“不知调查者所云”，这样，调查者对询问事项就有一个大致的判断。

3 各业务循环流程层面内控了解和评价

各业务循环分为三大类：

（1）内部环境类：公司组织架构、发展战略、人力资源、社会责任、企业文化。此类与上述“企业层面的内控了解、测试与评价”内容有交叉。

（2）控制活动类：资金活动（包括筹资与投资、资金营运等活动），采购业务，资产管理（包括生产与仓储、固定资产等），销售业务，研究与开发，工程项目（土建），担保业务，业务外包，财务报告。

（3）控制手段类：全面预算，合同管理，内部信息传递，信息系统。

以上三大类基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。

需说明的是：每一次内控审计时，并不需要编制所有业务循环的底稿，而是按照“自上而下方法”的审计策略，测试与财务报表认定相关的“关键控制（点）”的业务循环。

各业务循环流程层面内控了解和评价主要运用以下表式（见表1）。

4 子流程

每个业务循环有很多子流程。如：销售与收款循环的主要子流程有销售计划管理、客户开发与信用管理、销售定价、订立销售合同（订单）、发货、开票、收款、客户服务、调整和账目维护和会计系统控制等。

内控审计人员需依据实际情况逐一判断哪些是关键子流程。

5 相应子流程中与财务报表认定相关的“关键控制（点）”

这一环节是整个内控审计的关键，需所有审计人员判断哪些是“关键控制点”。

所谓“关键控制（点）”是指能够为一个或多个重要账户或列报的一个或多个相关认定提供最有效力的证据且测试最有效率的控制。

判断“关键控制（点）”的理由如下：

（1）哪些控制是必不可少的；

（2）哪些控制直接针对相关认定；

（3）哪些控制可以应对重大错报风险；

（4）控制的运行是否足够精确。

“关键控制点”与“非关键控制点”需审计人员进行具体分析和判断。若被审计单位均（或90%以上）为现款销售，对客户的信用评价则为非关键控制点，反之，则为“关键控制点”。由此可见，“关键控制点”与“非关键控制点”依各企业的实际情况而不同。

另一方面，从企业自身考虑，针对“关键控制点”还需遵循“成本效益原则”，若某个企业对“关键控制点”实施控制花费的成本大于其带来的直接和间接收益等，必须作深入分析，在所得与所费间进行权衡，以决定对“关键控制点”的控制程度或投入的控制总成本。

同时，需注意的是内控审计人员无须测试那些即使有缺陷但合理预期不会导致财务报表重大错报的缺陷。

6 与财务报表认定相关的“关键控制（点）”测试

针对“关键控制”点，测试人工控制的最小样本量区间如表2。

对上表，需说明以下三点：

第一、假设：测试每日执行数次的控制，样本量为25个。若期中测试为1月至9月。

方法一：期中测试20个样本，期末对剩余期间测试5个样本。

方法二：期中测试25个样本，期末实施前推程序。

以上两种方法各有优缺点：

方法一：

优点：部分样本接近基准日，无需实施前推程序。

缺点：期中测试样本不足以支持控制有效的结论，且有相当的工作需在期末实施，工作压力较大；如果期末测试发现重大缺陷，将没有整改时间。

方法二：

优点：若发现有内控缺陷，可以有时间整改，并缓解期末测试的压力。

缺点：执行的程序更多，需实施“前推程序”。

第二、上表为预期偏差率为零时的样本量，如果预期偏差不为零，侧需扩大样本规模（若该偏差不是系统性偏差，所增加的样本规模至少为15个）。

第三、若确认为电脑“自动控制”，需注明，则需抽1个样本进行测试。因为电脑程序自动生成（此程序需由相关审计人员另行对“信息系统”进行控制测试，以验证其运行的有效性），无需用抽更多样本的方法而浪费现场审计时间。

在内控审计期间，在各个业务循环，内控审计人员若发现缺陷应及时与对口的业务部门进行沟通，对方有可能补充提供相关资料，以防止审计人员由于尚未收集到相关资料等原因，出现判断上的偏差。

由以上几个环节，可以整理出内控审计第一阶段现场审计的总体思路如下：

初步了解沟通对各循环流程内控了解和初步评价子流程相应子流程的“关键控制点”对“关键控制点”测试且作出相应评价。

7 汇总整理《内部控制缺陷汇总表》及其整改建议

各审计小组项目负责人，将组内所有人员发现的被审计单位的内部控制缺陷进行分类整理，形成《内部控制缺陷汇总表》，并提出相应的整改建议。

8 审计现场一次交换审计意见

进行疏理和汇总后，各审计（分）小组负责人应将《内部控制缺陷汇总表》和已关注到的非财务报告类内控缺陷（如：工程项目未按规定程序进行招投标等）与被审计单位（主要指其分子公司或股份公司总部）交换意见。

在上述基础上，将所有分子公司的《内部控制缺陷汇总表》和已关注到的非财务报告类内控缺陷进行整理汇总，项目总负责人向股份公司的内部审计部门等沟通汇报，由其统一下发“内部控制缺陷限期整改通知”。

9 实施相关的前推程序等

若期中控制测试结论为有效，且与控制相关的风险低，前推程序一般采用询问和观察即可。

如控制风险较高或期中测试后主要控制点的控制发生重大变化，需要实施包括检查和重新执行在内的测试程序。

10 整改后控制运行的跟踪测试

内控审计人员应跟踪上次期中测试发现的相关缺陷是否已得到整改。

依据相关规定，整改后控制运行的最短期间（或最少运行次数）和最少测试数量具体如表3。

11 审计现场二次交换审计意见

实施相应的前推程序后，对仍未整改（视情况，可另附期中内控审计时发现的且至年末已整改的重大缺陷汇总表等）的内部控制重大缺陷和重要缺陷形成《内部控制缺陷汇总表》和已关注到的非财务报告类内部控制的重大缺陷，分别不同情况，与股份公司的董事会、经理层或审计委员会进行沟通。

这里，需特别注意的是集团审计中判断内部控制是否存在重大缺陷，不应对各组成部分的项目组进行单独判断，应将各组成部分发现的所有内控缺陷全部汇总到集团层面分析后，再综合评价其是否存在重大缺陷。

三、出具审计报告阶段

内部控制审计报告分为以下两大类：

（1）标准的内部控制审计报告

（2）非标准的内部控制审计报告

①带强调事项段的非标准的内部控制审计报告。

②否定意见的内部控制审计报告。

③无法表示意见的内部控制审计报告。

④期后事项与非标准的内部控制审计报告。

当知悉对企业内部控制自我评价基准日内部控制有效性有重大负面影响的期后事项的，需对财务报告内部控制发表否定意见；当不能确定期后事项对内部控制有效性的影响程度的，需要出具无法表示意见的内部控制审计报告。

另外，需特别注意的是若发现“非财务报告内部控制的重大缺陷”，在内部控制审计报告中应作专段描述。

对于审计过程中注意到的非财务报告内部控制缺陷，如发现某项或某些控制对企业发展战略、法规遵循、经营的效率和效果等控制目标的实现有重大不利影响，确定该项非财务报告内部控制缺陷为重大缺陷的，应当以书面形式与公司董事会和经理层沟通，提醒公司加以改进-同时，在内部控制审计报告中增加非财务报告内部控制重大缺陷描述段，对重大缺陷的性质及其对实现相关控制目标的影响程度进行披露。

每年的1-4月，对上一会计年度的内控审计报告，应与财务报表审计报告同时对外披露，且两者的出具日（落款）应为同一天。四，审计底稿整理归档阶段

出具内控审计报告为单独的文号，因此，其底稿应整理后单独归档（若有共用底稿，可与财务报表审计底稿交叉索引），归档目录列表和索引号应注意以下相关事项：

BB——表示风险评价的相关底稿。

L——最后一位字母L表示对内控的了解和（初步）评价。

XSL——表示对销售与收款内控了解和（初步）评价的底稿

BC——表示控制测试的相关底稿。

C——最后一位字母C表示（控制）测试和（最终）评价。

XSC——表示对销售与收款内控测试和（最终）评价的底稿

另外，调查问卷及相关测试时若引用被审计单位的相关内部制度，可注明系该制度的第几条和第几款，不需打印附在相应的底稿后（可另存电子档，备查），否则，会有较多的底稿。

经过整理后，底稿归档应做到分门别类、层次清楚、索引齐全、（所附）附件恰当、归档及时。

五、亟待解决的事项

随着企业利用信息系统对生产经营实施管理的普及，生产经营的所有（或主要）数据通过网络传递，或通过电脑控制的程序自动生成，无纸化管理日益成为相关公司的普遍处理方式，信息系统控制成为公司内部控制的重要组成部分之一。

对信息系统的内部控制审计，目的之一即为验证其主要数据生成的结果与预期结果是否一致，以证实其电脑相关控制的有效性。

而事实上，至目前，国内的具有证券期货审计资格的会计师事务所精明的人员较少，甚至空缺这类人员。因此，相关会计师事务所，急需引入IT审计人员（信息系统审计师），对信息系统进行相关的审计。如：在对通信公司进行内控审计时，可组织精明的人员，对通信公司的计费系统进行相关计费测试和审计等。

另一方面，其自身对电脑软件等信息系统特别感兴趣且有“天份”的特殊好苗子，可到外资所等作特定培训半年左右，之后，直接作为信息系统审计人员。

六、相关思考

（1）从提高公司内控制度执行的效益与效率出发，对公司现有内控制度进行全面完善，使其更符合各自公司的现实状况。

在内控审计之前，相关公司已聘请国（内）外专业咨询公司设计了较系统的内控制度，但部分（或个别）环节与公司的现实经营情况不相称、不匹配，执行有难度。

究其原因主要是随着公司的经营规模扩大，或管理细化，原有的内控制度设计时并未能完全考虑该等因素（或细节），使原来的内控制度部分条款显得不适用；也有部分系当初设计制度时，过于理论化等方面的原因。凡此种种，均致使相关内控制度条款的设计需再次（不断）完善。

另一方面，需化繁就简，从制度设计的高效精干的角度出发，使其最终达到提高公司内控制度执行的效益与效率的目标。

（2）内控制度执行是一个系统工程，需公司内各部门协同配合，才能达到相关目标。

内控制度执行不仅仅是财务部门（或会计人员）的事，需要公司内人人执行内控，事事受内控的控制，公司的相关部门需上下统一协调，且从企业整体层面权衡，遵循“成本效益原则”，紧抓关键内控环节，才能取得实质性的效果。

七、结束语

总之，在整个内控审计过程中对参与的所有审计人员的业务能力提出了更高的要求，应具备公司法、证券法、企业（经济）管理、公司战略与风险管理、行业数据分析和当前宏观经济形势等方面的知识（或信息），并能做到灵活运用，综合分析和判断遇到的相关情况，界定被审计单位存在的一般缺陷、重要缺陷和重大缺陷（其界定标准，需与相关内审人员逐一商定），以提高被审计单位内部控制的总体水平。另一方面，需每位参与内控审计的人员，特别是项目负责人，应不断积累和摸索一套行之有效且切实可行的方法和措施，以解决可能遇到的相关情况，不断提高项目组内部控制审计工作的总体水平。