企业内部控制审计的内容与方法

作者：***

来源：《环球市场信息导报》2016年第02期

        研究背景

        从我国的现状来看，很多企业都存在内部管理的混乱、控制的薄弱以及严重的潜在风险，导致了财产的损失，甚至出现管理层的违法乱纪这样严重的后果。近几年各大上市公司的财务造假揭露了我国企业在治理公司和内部控制上面存在严重的缺陷。而这些缺陷出现的核心便是内部控制的薄弱。作为治理公司的关键环节，内部控制及其重要，对于防止出现财务舞弊、会计造假的发生都有非常重要的作用。建立健全企业的内部控制制度能够有效地控制企业各类风险，内部控制审计始终致力于对财务报告和相关信息真实性的增强，满足了对于高质高量财务信息的要求。鉴于此，进行企业内部控制审计成为企业领导者至全体员工的一项重要任务，是一项迫切的需要，能够促进我国审计的进一步向前发展，对注册会计师有指导借鉴意义和重要的研究意义。

        企业内部控制审计的内容

        内部控制审计的定义。内部控制审计定义是不断地发展和延展的内部审计与外部审计相对应，在中国外部审计是指审计与社会审计。国际上认为内部审计是一项的、客观的咨询确认的活动，为了增加价值并改善组织运营。通过系统、规范的方法来评价和改善风险的控制、管理、以及治理的过程，进而帮助组织团体实现目标。

        本文认为企业的内部审计是一项的、客观的活动。是内部审计人员运用各种科学的、系统的、规范的方式方法评价被审计单位管理活动、内部控制以及风险管理的合理陛、合法性，目的是为了改善企业运行的效果、增加企业的价值。

        内部控制审计的对象。在内部审计的过程中，审计的对象是信息的资料与文件，即被审计单位内部控制审计过程中的一切信息资料。包括控制信息资料与控制文件，控制信息资料是在执行中产生的各种记录资料，如账簿报表、物资采购单、出库单等，控制文件产生于设计过程中，如预算制度、审批制度、岗位分离制度等。

        审计对象其本质是被审计的公司内部控制的健全性有效性以及合理性。如若被审计的企业控制系统外部存在很重要的业务，这就说明其内部控制设计出现问题，需要及时的完善补充设计，进而保证有效性。

        内部控制审计的内容。内部控制审计就是各审计部门对被审计单位内部控制的健全、有效、合理进行客观且的评价与检查活动。其内容包括内部的环境、风险的评估、活动的控制、信息和沟通以及内部的监督这五个要素。

        控制环境：这是一个公司内部控制实施的基础，它是影响和制约企业内部控制机制建立和执行的总称。反映了企业中成员尤其是管理人员对于内部控制这一问题的态度。主要审查企业有没有建立一个正确的职业道德规范与行为规范，并对其进行一系列的监督与考核；是不是建立了风险管理的机制，强化了风险管理的理念还有意识；是不是健全规章制度与基础的管理工作；对于供应商和客户等与利益相关的交易是不是诚信等。

        风险评估：是企业的经营者为了达到预定的目标从而进行的确认与分析风险，并且对于风险作出评估的过程。它更是及时的谀别、分析、评估各种不明因素对公司目标实现的影响并来制定与之相对应的策略的一个过程。一个企业对于风险的评估与控制应该始终都贯穿于管理层与作业层，贯穿于战略层与战术层，贯穿于决策层与执行层，这是涉及到整个公司的全过程、全要素、全层次的一种风险控制。首先对风险进行识别，找出公司中各项业务、各种活动流程中存在的风险。检查公司的管理机制能不能准确的对内外部的风险进行识别以及识别的程序、方法等是不是科学、有效等。识别风险后要进行分析，分析风险出现可能性的高低以及发生的条件，保证分析结果的有效利用。

        控制活动：是企业的经营者为了达到预定的目标从而对风险采取的一系列具体和控制行为。它根据公司风险评估的结果再应用与之相对的控制与措施，从而将风险控制与可以承受的范围内。内部控制是一个有机的系统，它是由诸多的要素构成的，因为内部控制的有机整体性其功能才起到相应的作用。这个有机的控制系统由下面的各个有机子系统来构成，他们之间的相互配合与补充对于提高整个内部控制系统的效率极其有利。内部控制还要保证其有效性，包括内部控制的设计是否得当，风险和控制是不是对应适当，能不能及时发现并且防范各种风险；控制执行是不是有效并且完全的执行：根据内部与外部环境的变化能不能适时的调整各种控制措施。

        信息和沟通：是企业通过建立信息系统来处理和加工各种经济数据，从而实现信息间的传递和沟通，为公司的管理提供有效信息。信息的沟通包括外部沟通与内部沟通。检查一个企业是否拥有畅通的、透明的、开放的、健全的沟通渠道与反馈机制，是不是按照恰当的方式和授权来对外发布各种信息等。

        内部监督：这是对内部控制的实施情、倪作出的监督审计，企业的管理层对于内部控制的设计、运营、改进活动的具体评价。包括审批式监督、记录式监督、内控检查评价以及审计评审。

        企业内部控制审计的方法

        确定标准和依据。内部控制要以公司制定的各项规章制度为主要依据，用公司的业务流程为标准。主要的标准是要体现公司对于其主要、高风险的业务与重大事项与风险的控制，并使控制与风险相对应。

        内控环境检查办法。内控环境之间是相互依存和影响的，并不孤立。公司内部治理的健全有效，管理层和决策层发挥良好的作用会起到积极主动的作用。通过各种会议与宣传等了解公司倡导的精神价值，组织机构设置和职能的适当性，公司各项考核和激励是否有利于发挥员工的主观能动性；通过座谈了解公司业务的操作流程以及企业文化交流，通过观察了解管理层对于各种违反行为的处理守则；通过询问了解历年国家和社会的审计情况。

        内控业务流程检查方法。主要包括调查表法、内控矩阵法、文字叙述法等。根据近几年的实践经验，内控矩阵是最常用的并且易于操作的一种方法。

        审计信息系统的运用。审计信息系统的运用可以查询后台的配置以及修改的情况，判断各项控制活动有没有按照规则来运行。AIS代码的运行，重新执行任务，发现失控的样本。

        审计与内控评审的融合。内控环境的缺陷能够导致系统性的风险，这也是审计面临最大的风险。通过对控制点是否有效执行的分析与评价，确定最薄弱的业务环节，对控制点进行有效地执行，从而在整体方面判断主要的风险点。只要是审计发现了问题就可以确定流程中的控制点使之得到有效地执行，并进一步了解内控环境的缺陷。

        （作者系陕西华汇会计师事务所有限责任公司副总经理）