浅析企业内部控制审计

廖光元 国网四川岷江供电有限责任公司

一、引言

2008年，财政部联合五部委发布了《内部控制基本规范》，要求上市公司按照内控五要素开始建立和实施内部控制，2012年，国资委发布了《加快构建中央企业内部控制体系有关事项的通知》，要求中央企业强化管理基础主动构建内控体系，企业内控管理工作也从1.0搭内控步入2.0建体系阶段。随着资本市场改革的深化和不断加强，全球商业战略定位逐渐形成，跨国经营已成为企业发展的趋势，2019年，国资委发布《加强中央企业内部控制体系建设与监督工作的实施意见》，提出企业内控体系管控将作用于深化企业改革、强基固本、授权经营监管等方面，也对企业在新时期内控优化工作提出了建设方向，企业内控管理工作也从2.0建体系步入到内控、风险、合规整合，辅助企业改革、进一步强化监管的内控3.0新阶段。系列文件要求的发布，促成了国有企业内部控制体系在建设、运行、评价等维度实现了从无到有、丰富完善、全面提升的递进，为国有企业现代治理体系的规范完善、质效提升奠定了坚实基础。

二、内部控制发展历程

(一)内部控制牵制的产生

在我国古代的“三省六部”制度，就是将国家的行政权力、监察职能以及执行权力进行拆分与相互制约；在17世纪，意大利的商人开始将会计账目与会计岗位分离，实现了最早的内部控制。

(二)内部控制理论的发展

二战结束后，美国注册会计师协会发表了协同的系统要素对管理层和会计师的重要性，首次从会计核算的角度给出了内部控制的定义；随着企业管理模式的发展，内部控制逐渐由会计控制延伸到企业所有的日常经营与决策控制，大大减少了企业的经营风险，舞弊行为也得到了控制；1992年，美国COSO委员会公布《内部控制整合框架》，该框架成为了全球范围内企业内部控制的纲领性文件。

(三)内部控制在我国的运用

2008年，我国正式引进并推广企业内部控制，根据COSO框架建立了符合我国市场经济特点的《企业内部控制规范》，并在十余年的时间里不断完善与补充；近年来，中央企业严格按照国资委对内部控制体系建设管理的要求，不断加强内控建设，强化内控执行，进一步规范和夯实基础管理，逐步实现“强内控、防风险、促合规”的管控目标。

三、内部控制现状分析

(一)内部控制管理认识片面

当前不少企业管理人员认为内部控制就是企业财务控制和审计控制，没有把内控和自身工作有效结合，内控管理中存在相互推诿扯皮和应付现象。

(二)内部控制制度不完善

有些企业内控制度覆盖面较窄，仅覆盖人力资源、销售管理、采购管理、成本管理、财务收支等业务领域，没有渗透到企业全业务过程管控，管理流程界面不清、工作秩序混乱。

(三)内部控制执行不到位

有些企业虽然制定了规章制度和相应的业务流程，但没有落实刚性执行，常出现有令不行、有禁不止或出现执行偏差，规章制度成为应付检查的“摆设”，不能落地实施。

(四)缺乏有效的监督机制

有些企业内部审计部门职能弱化，不能有效发挥审计监督职责，企业法律、审计、纪检等监督部门“各自为政”，没有形成监督合力，业务经办人利用监督漏洞侵吞企业资产或频繁出现违规违纪事件。

四、内部控制审计概念

内部控制审计是以企业内部控制为审计对象，通过应用系统规范的方法，确认和评价内部控制缺陷，提出改进内部控制的建议。内部控制测评是日常审计的一个环节，其目的是测试企业内部控制是否健全有效，而内部控制审计则有一个完整的审计程序，包括了解内部控制情况、评价内部控制风险、实施符合性测试和实质性测试等程序。

五、内部控制审计内容

内部控制审计内容主要包括企业内部控制环境、风险评估、控制活动、信息与沟通、监督五要素的审查与评价。

(一)内部控制环境审查与评价

控制环境是组织员工从事经营活动、履行控制职责的一种氛围，对其他控制要素起着保护和控制作用，对组织的控制程序有效性产生重大影响。控制环境的优劣直接决定着企业的各项控制措施能否执行及执行的效果。

控制环境重点审查企业战略定位的精准度，组织结构的健全性，人力资源政策和实务的操作性，权限集中度及责任分配的合理性，治理层参与治理和监督的有效性，管理层控制风险的意识和态度，主要管理人员的道德价值观和行为、各层级人员的知识、技能和胜任能力，组织成员对企业文化的理解和认同等。

(二)风险评估的审查与评价

企业风险评估是以COSO 企业风险管理模型及我国《企业内部控制基本规范》为基础，在整个企业范围内实施的，针对企业的战略目标、经营目标、财务报告目标、合规目标而进行的风险评估活动。

风险评估重点审查企业对风险的识别、分析及应对策略，重大风险、重要风险及一般风险的认定标准；是否定期对生产或信息系统安全等中高风险项目开展灾害性事故防范演练，是否建立风险预警和应对机制，是否具备抗风险的能力。

(三)控制活动的审查与评价

所谓控制活动，是企业建立和执行相应的政策和程序，有效形成管理制度化、制度流程化，以确保将风险控制在组织设定的可接受范围之内，企业所有人员都要参加控制活动，主要包括授权审批控制、资产安全控制、预算控制、经营指标控制、绩效考核控制，不相容职务分离控制等活动。

控制活动重点审查组织层面的控制能否确保组织目标的实现，如组织方针政策、治理控制和内部环境控制；流程层面的控制能否确保流程风险得以解决，过程得以完成，如账户核对、资产安全控制、业绩评价与考核；交易层面控制以确保特定交易事项得以实现，如合同的履行，信息系统应用控制。

(四)信息与沟通的审查与评价

信息不仅包含企业内部生产经营信息，还包括与企业经营管理相关的外部环境和条件，信息传递存在于组织信息沟通的整个过程中。企业需建立一套信息沟通系统，如会计系统、信息系统和传导机制等，实现管理层和员工之间传递信息的途径，同时与外部利益相关方构建有效的沟通渠道。

沟通重点审查企业收集处理生产运行和经营管理信息的能力；信息系统运营是否安全可靠；治理层与管理层之间的沟通是否畅通；员工是否清楚其在控制活动中如何与他人工作的关联，以及向内部适当的高级别人员报告例外情况的方法；是否同政府部门、监管机构等建立外部沟通渠道。

(五)监督的审查与评价

所谓监督，就是对内部控制系统进行监控，对控制系统的运行质量进行评估的过程。加强审计、巡视巡察等内部监督工作的协同配合，充分发挥监督合力，有效防范经营风险和廉洁从业风险。

监督重点审查是否定期开展内控有效性评价，对关键领域和重要业务是否进行风险管控，内控缺陷整改是否闭环、违规经营责任追究是否落实等。

六、内部控制审计程序与方法

(一)了解企业内部控制情况

在内部控制审计中，需要在被审单位整体层面对内部控制的各组成部分及其相关要素进行了解，旨在协助识别重大错报风险，并确定这些组成部分对审计策略的影响。审计人员对内部控制的五个组成部分都应了解，但对不同组成部分的了解程度是不同的：对于控制环境和管理层的监督活动应当注重了解各该组成部分中的各项要素；对于风险评估和沟通应当了解其过程；对于信息和控制活动则通过对重大交易类别的了解，获取控制有效性证据。

主要方法包括：查阅企业方针政策及治理文件，询问管理层和员工，了解控制环境要素及其之间的相互关系；查阅内部控制文件，检查前期审计报告及整改情况，了解企业对风险的评估及采取的控制措施；观察运行中的流程和控制，选择重大或特殊交易事项进行“穿行测试”，了解控制程序是否有效执行、风险是否得到管控等。

(二)初步评价内部控制风险

在对被审计单位内部环境、规章制度、业务流程、信息系统等进行调查了解的基础上，应对内部控制的健全性和有效性作出评价。即评价应有的控制环节是否设置齐全，布局是否合理，执行是否有力，能否有效防止、发现以及纠正错误和舞弊。

通常出现企业控制环境中缺少某些要素或某些要素没有被有效设计并恰当执行，单独或汇总控制的消极因素不支持内部控制的有效运行，不准备进行符合性测试三种条件之一时，应将重要账户或列报相关认定的控制风险评估为高水平；如果同时出现内部控制可能防止、发现和纠正重大错弊，准备开展符合性测试的情况，则不应将控制风险评估为高水平。

(三)实施符合性测试程序

审计人员在了解企业内部控制制度的基础上，对哪些信赖的控制系统设计和执行的有效性实施的测试，包括内控设计测试和内控执行测试。内控设计测试是测试被审单位的方针政策、规章制度和控制流程设计是否合理有效；内控执行测试是测试被审单位的制度和流程是否刚性执行、是否实际发挥作用。

内部控制符合性测试方法主要有：1.询问，向企业内外部的知情人员询问控制的相关信息，例如，询问管理层针对异常报告中的发现跟进程序或纠正措施；2.观察，观察企业员工所执行的过程或程序，例如，观察企业的员工进行存货盘点；3.检查，包括对内部或外部书面形式、电子形式的记录、文档进行检验，例如，检查文档以确定资产是否存在，并检查该文档是否经过授权批准；4.重新执行，以人工方式或通过计算机辅助审计技术，重新独立执行作为企业内部控制组成部分的相关控制程序，例如，将采购发票与收货单进行匹配；5.数据分析，在某些情况下，可以使用数据分析技术获取关于控制运行有效性的证据，例如，在会计报表决算过程测试中使用数据分析，测试记账分录产生及批准的适当性。

(四)实施实质性测试程序

通过初步评价和符合性测试，审计会发现被审单位内控体系是否健全有效，哪些环节设计薄弱，存在规章制度或管理流程不完善，哪些环节虽然建立了内控制度和流程，但没有有效执行。审计人员根据掌握的信息，运用专业判断评价内部控制有效性并采取相应措施，如内部控制设计和运行有效，则仅对交易账户进行有限的实质性测试；如内部控制设计和运行无效或低效，就应扩大实质性测试，调整实质性测试的性质、时间和范围。

实质性测试主要结合被审单位财务报表和各类交易账户中存在与发生、完整性、计价与分摊、分类、截至的认定开展测试，通过分析性复核、函证、观察、查询等手段确认财务报告重大错报或漏报。

实施审计程序后，根据审计工作记录和审计底稿对在审计过程中发现的内部控制缺陷进行整理，分析缺陷产生的原因和可能带来的后果，认定缺陷等级，提出有效的改进建议，向被审计单位出具内部控制审计报告或管理建议书。

七、内部控制缺陷整改

对内部控制评价和审计发现的内部控制缺陷(下称缺陷)要落实整改，形成审计闭环管理。整改要落实“三不放过”原则，即制度未完善的不放过、资金未追回的不放过、责任未落实的不放过。业务部门负责涉及缺陷的专业整改，在深入分析可能导致缺陷产生原因的基础上，认真进行归纳总结，审计部门组织并督促审计整改，区分不同情景制定缺陷整改完成的认定标准。

(一)缺陷原因分析

主要从管理流程是否顺畅、管理制度是否健全、执行是否严格、审核把关是否到位等管理因素，主观故意、偏差失误、认识局限等人为因素，以及其他客观因素等方面进行分析。

(二)缺陷整改认定

对已经形成的缺陷或风险点，是否采取相应的措施进行整改或有效控制；若可直接整改纠正是否采取措施进行整改，如权证补办、账务调整、收回资金等；若已成事实无法直接纠正只能着眼后续规范管理的，是否采取措施强化后续管理、建立长效机制；若因自身管理不到位、制度缺失造成的，是否健全完善相应制度等；若涉及到性质严重、造成重大损失的，是否按有关规定追究相关人员责任等。

(三)整改材料支撑

列示表明缺陷已整改完成或因客观原因无法整改等所需的各类纸质、电子版证明性材料，如相关合同协议、账务处理凭证、决策资料、文件制度、系统截图等。

整改工作要就事论事，完成缺陷具体事项整改并对相关责任人进行追责，同时开展举一反三，对同类缺陷进行自查自纠，通过制度宣贯培训、加大考核力度等措施强化后期管理，促进相关人员履职尽责；梳理、完善管理制度和业务流程，建立整改长效机制。

八、结语

随着信息技术革命以及社会经济的快速发展，商业全球化和企业跨国化助推企业并购和集团化管控成为未来发展趋势，不确定性带来风险复杂多变，企业进行全面风险管理和内部控制成为企业治理的重要手段，内部控制审计在保持独立性和客观性的前提下，通过专业的确认和咨询服务，评价并改善风险管理、控制和治理过程的效果，帮助企业实现其战略目标。