淺析企業內部控制審計

廖光元 國網四川岷江供電有限責任公司

一、引言

2008年，財政部聯合五部委發布了《內部控制基本規范》，要求上市公司按照內控五要素開始建立和實施內部控制，2012年，國資委發布了《加快構建中央企業內部控制體系有關事項的通知》，要求中央企業強化管理基礎主動構建內控體系，企業內控管理工作也從1.0搭內控步入2.0建體系階段。隨著資本市場改革的深化和不斷加強，全球商業戰略定位逐漸形成，跨國經營已成為企業發展的趨勢，2019年，國資委發布《加強中央企業內部控制體系建設與監督工作的實施意見》，提出企業內控體系管控將作用于深化企業改革、強基固本、授權經營監管等方面，也對企業在新時期內控優化工作提出了建設方向，企業內控管理工作也從2.0建體系步入到內控、風險、合規整合，輔助企業改革、進一步強化監管的內控3.0新階段。系列文件要求的發布，促成了國有企業內部控制體系在建設、運行、評價等維度實現了從無到有、豐富完善、全面提升的遞進，為國有企業現代治理體系的規范完善、質效提升奠定了堅實基礎。

二、內部控制發展歷程

(一)內部控制牽制的產生

在我國古代的“三省六部”制度，就是將國家的行政權力、監察職能以及執行權力進行拆分與相互制約；在17世紀，意大利的商人開始將會計賬目與會計崗位分離，實現了最早的內部控制。

(二)內部控制理論的發展

二戰結束后，美國注冊會計師協會發表了協同的系統要素對管理層和會計師的重要性，首次從會計核算的角度給出了內部控制的定義；隨著企業管理模式的發展，內部控制逐漸由會計控制延伸到企業所有的日常經營與決策控制，大大減少了企業的經營風險，舞弊行為也得到了控制；1992年，美國COSO委員會公布《內部控制整合框架》，該框架成為了全球范圍內企業內部控制的綱領性文件。

(三)內部控制在我國的運用

2008年，我國正式引進并推廣企業內部控制，根據COSO框架建立了符合我國市場經濟特點的《企業內部控制規范》，并在十余年的時間里不斷完善與補充；近年來，中央企業嚴格按照國資委對內部控制體系建設管理的要求，不斷加強內控建設，強化內控執行，進一步規范和夯實基礎管理，逐步實現“強內控、防風險、促合規”的管控目標。

三、內部控制現狀分析

(一)內部控制管理認識片面

當前不少企業管理人員認為內部控制就是企業財務控制和審計控制，沒有把內控和自身工作有效結合，內控管理中存在相互推諉扯皮和應付現象。

(二)內部控制制度不完善

有些企業內控制度覆蓋面較窄，僅覆蓋人力資源、銷售管理、采購管理、成本管理、財務收支等業務領域，沒有滲透到企業全業務過程管控，管理流程界面不清、工作秩序混亂。

(三)內部控制執行不到位

有些企業雖然制定了規章制度和相應的業務流程，但沒有落實剛性執行，常出現有令不行、有禁不止或出現執行偏差，規章制度成為應付檢查的“擺設”，不能落地實施。

(四)缺乏有效的監督機制

有些企業內部審計部門職能弱化，不能有效發揮審計監督職責，企業法律、審計、紀檢等監督部門“各自為政”，沒有形成監督合力，業務經辦人利用監督漏洞侵吞企業資產或頻繁出現違規違紀事件。

四、內部控制審計概念

內部控制審計是以企業內部控制為審計對象，通過應用系統規范的方法，確認和評價內部控制缺陷，提出改進內部控制的建議。內部控制測評是日常審計的一個環節，其目的是測試企業內部控制是否健全有效，而內部控制審計則有一個完整的審計程序，包括了解內部控制情況、評價內部控制風險、實施符合性測試和實質性測試等程序。

五、內部控制審計內容

內部控制審計內容主要包括企業內部控制環境、風險評估、控制活動、信息與溝通、監督五要素的審查與評價。

(一)內部控制環境審查與評價

控制環境是組織員工從事經營活動、履行控制職責的一種氛圍，對其他控制要素起著保護和控制作用，對組織的控制程序有效性產生重大影響。控制環境的優劣直接決定著企業的各項控制措施能否執行及執行的效果。

控制環境重點審查企業戰略定位的精準度，組織結構的健全性，人力資源政策和實務的操作性，權限集中度及責任分配的合理性，治理層參與治理和監督的有效性，管理層控制風險的意識和態度，主要管理人員的道德價值觀和行為、各層級人員的知識、技能和勝任能力，組織成員對企業文化的理解和認同等。

(二)風險評估的審查與評價

企業風險評估是以COSO 企業風險管理模型及我國《企業內部控制基本規范》為基礎，在整個企業范圍內實施的，針對企業的戰略目標、經營目標、財務報告目標、合規目標而進行的風險評估活動。

風險評估重點審查企業對風險的識別、分析及應對策略，重大風險、重要風險及一般風險的認定標準；是否定期對生產或信息系統安全等中高風險項目開展災害性事故防范演練，是否建立風險預警和應對機制，是否具備抗風險的能力。

(三)控制活動的審查與評價

所謂控制活動，是企業建立和執行相應的政策和程序，有效形成管理制度化、制度流程化，以確保將風險控制在組織設定的可接受范圍之內，企業所有人員都要參加控制活動，主要包括授權審批控制、資產安全控制、預算控制、經營指標控制、績效考核控制，不相容職務分離控制等活動。

控制活動重點審查組織層面的控制能否確保組織目標的實現，如組織方針政策、治理控制和內部環境控制；流程層面的控制能否確保流程風險得以解決，過程得以完成，如賬戶核對、資產安全控制、業績評價與考核；交易層面控制以確保特定交易事項得以實現，如合同的履行，信息系統應用控制。

(四)信息與溝通的審查與評價

信息不僅包含企業內部生產經營信息，還包括與企業經營管理相關的外部環境和條件，信息傳遞存在于組織信息溝通的整個過程中。企業需建立一套信息溝通系統，如會計系統、信息系統和傳導機制等，實現管理層和員工之間傳遞信息的途徑，同時與外部利益相關方構建有效的溝通渠道。

溝通重點審查企業收集處理生產運行和經營管理信息的能力；信息系統運營是否安全可靠；治理層與管理層之間的溝通是否暢通；員工是否清楚其在控制活動中如何與他人工作的關聯，以及向內部適當的高級別人員報告例外情況的方法；是否同政府部門、監管機構等建立外部溝通渠道。

(五)監督的審查與評價

所謂監督，就是對內部控制系統進行監控，對控制系統的運行質量進行評估的過程。加強審計、巡視巡察等內部監督工作的協同配合，充分發揮監督合力，有效防范經營風險和廉潔從業風險。

監督重點審查是否定期開展內控有效性評價，對關鍵領域和重要業務是否進行風險管控，內控缺陷整改是否閉環、違規經營責任追究是否落實等。

六、內部控制審計程序與方法

(一)了解企業內部控制情況

在內部控制審計中，需要在被審單位整體層面對內部控制的各組成部分及其相關要素進行了解，旨在協助識別重大錯報風險，并確定這些組成部分對審計策略的影響。審計人員對內部控制的五個組成部分都應了解，但對不同組成部分的了解程度是不同的：對于控制環境和管理層的監督活動應當注重了解各該組成部分中的各項要素；對于風險評估和溝通應當了解其過程；對于信息和控制活動則通過對重大交易類別的了解，獲取控制有效性證據。

主要方法包括：查閱企業方針政策及治理文件，詢問管理層和員工，了解控制環境要素及其之間的相互關系；查閱內部控制文件，檢查前期審計報告及整改情況，了解企業對風險的評估及采取的控制措施；觀察運行中的流程和控制，選擇重大或特殊交易事項進行“穿行測試”，了解控制程序是否有效執行、風險是否得到管控等。

(二)初步評價內部控制風險

在對被審計單位內部環境、規章制度、業務流程、信息系統等進行調查了解的基礎上，應對內部控制的健全性和有效性作出評價。即評價應有的控制環節是否設置齊全，布局是否合理，執行是否有力，能否有效防止、發現以及糾正錯誤和舞弊。

通常出現企業控制環境中缺少某些要素或某些要素沒有被有效設計并恰當執行，單獨或匯總控制的消極因素不支持內部控制的有效運行，不準備進行符合性測試三種條件之一時，應將重要賬戶或列報相關認定的控制風險評估為高水平；如果同時出現內部控制可能防止、發現和糾正重大錯弊，準備開展符合性測試的情況，則不應將控制風險評估為高水平。

(三)實施符合性測試程序

審計人員在了解企業內部控制制度的基礎上，對哪些信賴的控制系統設計和執行的有效性實施的測試，包括內控設計測試和內控執行測試。內控設計測試是測試被審單位的方針政策、規章制度和控制流程設計是否合理有效；內控執行測試是測試被審單位的制度和流程是否剛性執行、是否實際發揮作用。

內部控制符合性測試方法主要有：1.詢問，向企業內外部的知情人員詢問控制的相關信息，例如，詢問管理層針對異常報告中的發現跟進程序或糾正措施；2.觀察，觀察企業員工所執行的過程或程序，例如，觀察企業的員工進行存貨盤點；3.檢查，包括對內部或外部書面形式、電子形式的記錄、文檔進行檢驗，例如，檢查文檔以確定資產是否存在，并檢查該文檔是否經過授權批準；4.重新執行，以人工方式或通過計算機輔助審計技術，重新獨立執行作為企業內部控制組成部分的相關控制程序，例如，將采購發票與收貨單進行匹配；5.數據分析，在某些情況下，可以使用數據分析技術獲取關于控制運行有效性的證據，例如，在會計報表決算過程測試中使用數據分析，測試記賬分錄產生及批準的適當性。

(四)實施實質性測試程序

通過初步評價和符合性測試，審計會發現被審單位內控體系是否健全有效，哪些環節設計薄弱，存在規章制度或管理流程不完善，哪些環節雖然建立了內控制度和流程，但沒有有效執行。審計人員根據掌握的信息，運用專業判斷評價內部控制有效性并采取相應措施，如內部控制設計和運行有效，則僅對交易賬戶進行有限的實質性測試；如內部控制設計和運行無效或低效，就應擴大實質性測試，調整實質性測試的性質、時間和范圍。

實質性測試主要結合被審單位財務報表和各類交易賬戶中存在與發生、完整性、計價與分攤、分類、截至的認定開展測試，通過分析性復核、函證、觀察、查詢等手段確認財務報告重大錯報或漏報。

實施審計程序后，根據審計工作記錄和審計底稿對在審計過程中發現的內部控制缺陷進行整理，分析缺陷產生的原因和可能帶來的后果，認定缺陷等級，提出有效的改進建議，向被審計單位出具內部控制審計報告或管理建議書。

七、內部控制缺陷整改

對內部控制評價和審計發現的內部控制缺陷(下稱缺陷)要落實整改，形成審計閉環管理。整改要落實“三不放過”原則，即制度未完善的不放過、資金未追回的不放過、責任未落實的不放過。業務部門負責涉及缺陷的專業整改，在深入分析可能導致缺陷產生原因的基礎上，認真進行歸納總結，審計部門組織并督促審計整改，區分不同情景制定缺陷整改完成的認定標準。

(一)缺陷原因分析

主要從管理流程是否順暢、管理制度是否健全、執行是否嚴格、審核把關是否到位等管理因素，主觀故意、偏差失誤、認識局限等人為因素，以及其他客觀因素等方面進行分析。

(二)缺陷整改認定

對已經形成的缺陷或風險點，是否采取相應的措施進行整改或有效控制；若可直接整改糾正是否采取措施進行整改，如權證補辦、賬務調整、收回資金等；若已成事實無法直接糾正只能著眼后續規范管理的，是否采取措施強化后續管理、建立長效機制；若因自身管理不到位、制度缺失造成的，是否健全完善相應制度等；若涉及到性質嚴重、造成重大損失的，是否按有關規定追究相關人員責任等。

(三)整改材料支撐

列示表明缺陷已整改完成或因客觀原因無法整改等所需的各類紙質、電子版證明性材料，如相關合同協議、賬務處理憑證、決策資料、文件制度、系統截圖等。

整改工作要就事論事，完成缺陷具體事項整改并對相關責任人進行追責，同時開展舉一反三，對同類缺陷進行自查自糾，通過制度宣貫培訓、加大考核力度等措施強化后期管理，促進相關人員履職盡責；梳理、完善管理制度和業務流程，建立整改長效機制。

八、結語

隨著信息技術革命以及社會經濟的快速發展，商業全球化和企業跨國化助推企業并購和集團化管控成為未來發展趨勢，不確定性帶來風險復雜多變，企業進行全面風險管理和內部控制成為企業治理的重要手段，內部控制審計在保持獨立性和客觀性的前提下，通過專業的確認和咨詢服務，評價并改善風險管理、控制和治理過程的效果，幫助企業實現其戰略目標。