首页资料文库正文

内控审计十篇

时间：2023-03-30 12:31:14

内控审计

内控审计篇1

医院内部审计机构设置不完善，审计人员配置不足，人员专业素质不高，难以适应内部控制审计工作量大、专业性强的需求。据调查统计，2016年重庆市二级以上公立医院设置了独立审计机构者仅占65．1％，配备有专职审计人员者占56．6％，审计人员有大专以上学历者占54．2％，认为审计人员数量能基本满足工作需求的医院仅占12．0％［2］。内部控制审计工作量大，占用审计资源多。医院内部控制审计涉及的部门、岗位人员和业务环节多，审计的范围广，时间长。从理论上讲，对控制有效性的测试涵盖的期间越长，提供的控制有效性的证据越多［2］。因此，审计人员实施内部控制审计需要涵盖较长的期间才能获取足够的证据。内部控制审计专业性强，对审计人员的综合素质要求高。审计人员除具备审计专业知识与技能外，还需了解与内部控制业务层面相关的国家法律、规章和制度等，要熟悉医院各部门的规章制度、职责权限和医院的信息管理软件等，同时，还需要具备管理、协调与沟通能力。医院内部审计机构开展内部控制审计者不足50．0％，且审计质量不高。据统计，2016年重庆市二级以上公立医院内部审计机构开展了内部控制审计的单位占43．0％［3］，主要存在以下困难：（1）缺乏内部控制审计实施指引。中国内部审计协会至今没有制定有关内部控制审计的实务指南，原卫生部规划财务司编印的《卫生系统内部审计操作指南》第3章只对内部控制的部分项目审计要点进行了阐述，却没有对审计方法和审计流程做出引导。（2）审计人员缺乏内部控制审计的实践经验。审计人员在开展内部控制审计时普遍存在审不明、审不深、审不服的情况［4］。表现为审计范围不全面，审计依据不充分，对内控缺陷认识不足，分不清设计缺陷与运行缺陷，审计结论只触及表面现象，缺乏对问题背后风险控制和内部管理等方面原因的分析与挖掘［5］。存在委托中介机构代替内部审计机构开展内部控制审计的误区。不少医院认为内部审计部门没有能力开展内部控制审计，就委托会计师事务所实施。但内部审计机构和中介机构对内部控制的审计职责是有区别的，相互不能替代。《企业内部控制审计指引》明确要求“注册会计师完成审计工作后，应当取得经企业签署的书面声明”。声明企业已对内部控制的有效性做出自我评价，并说明评价时采用的标准以及得出的结论；企业如果拒绝提供或以其他不当理由回避书面声明，注册会计师应当将其视为审计范围受到限制，解除业务约定或出具无法表示意见的内部控制审计报告［3］。因此，医院在委托中介开展内部控制审计前必须先由内部审计机构对内部控制的有效性进行审计。

2医院内部审计机构开展内部控制审计的必要性

内部控制审计是内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动（第2201号内部审计具体准则－内部控制审计）。医院内部审计机构开展内部控制审计是职责所在，同时，也是医院实施内部控制必不可少的控制要素。

2．1内部审计是内部控制的重要组成部分

内部审计既是内部控制环境要素的组成，也是内部控制的监督要素，开展内部控制审计是运用内部审计的方式来改善医院内部控制效果［6］。

2．2审计机构是独立于内部控制管理机构的监督机构

按照《审计署关于内部审计工作的规定》的要求，内部审计机构需对本单位及所属单位内部控制及风险管理情况进行审计。通过审计能对单位内部控制管理水平有着一个直观的认识。与此同时，审计信息在一定程度上能对单位不同项目的经济价值与管理形式进行反馈，管理人员通过信息可以对财务活动的专业性与合法性进行确认［7］。

2．3内部审计机构开展内部控制审计是促进单位内部控制建设的必要手段

（1）在内部控制体系的设计与建设过程中提出审计建议。内部审计对医院管理机制和经济活动有充分的了解，在医院内部控制体系建设的过程中能协助内控管理部门开展风险评估，完善医院内部控制的制度、岗位职责和流程的设计。（2）在内部控制体系运行过程中开展日常审计，及时发现控制缺陷，提出整改建议。医院的经济活动较复杂，特别是大型医院内部机构和人员岗位多，业务范围广，风险点多，控制难度大。内部审计人员能随时深入到各部门和各业务单元了解内部控制的执行情况。当医院控制环境和经济业务变动时或重要岗位人员对制度与职责疏于执行，内部审计机构能够通过定期测试，及时发现这些变动对内部控制体系的影响，提出整改建议。（3）内部审计能平衡医院的管理成本与效益的关系，提出切实可行的建议。在内部控制建设中的重要性原则是平衡管理成本与效益的原则。内部审计能深入了解医院的资源的配置与战略目标的关系，在审计过程中既要保障对组织效率具有促进作用，还要控制审计工作带来的组织资源的消耗［8］，可以提出与目标实施进程匹配，兼顾管理成本与效益的建议。

3医院内部审计机构开展内部控制审计的可行性

医院开展内部控制审计面临的最大的困难是内部审计资源匮乏。但通过科学合理的策划与布局，将内部审计机构具备的优势转化为有效的审计资源，实现与内部控制全过程、全领域、全时段的融合［9］，不仅能弥补审计资源不足的缺陷，还能使内部控制审计工作取得显著的成效。

3．1目标协同，相互支撑

医院审计工作的目标与内部控制的目标均是以医院的战略目标为基础的。开展内部控制审计时将审计目标与内部控制目标结合可形成相互支撑、相互促进的有机统一体，共同为医院完善治理、增加价值与实现目标服务。

3．2主动参与，把握先机

审计人员参与内部控制体系的设计与修订，能充分了解内部控制框架中相关制度、职责、内部控制流程图和内控信息化功能与权限设置，既可为开展内部控制审计获取相关信息，又能及时提出审计建议，取得事前审计的成效。

3．3部门协作，资源共享

内部审计在不违背独立性的前提下与其他部门协作开展工作，可充分了解其他部门的工作方式，共享专业人员的知识与技能、缩短工作时间。如开展设备效益审计时可与设备科、财务科共同拟定设备效益分析的方案，选定分析指标与评价标准，然后各司其职，为审计工作提供分析证据与分析结论；开展风险评估时审计部门可协同内部控制管理部门、各业务部门共同实施，通过交叉评价，能理深入地识别风险。

3．4动态检测，持续追踪

审计部门可常态化对被审计单位业务运营进行持续监测，定期进行风险评估和专项分析［10］，在内部控制运行过程中追踪控制的有效性，及时提出审计意见与建议，促进内部控制持续有效地发挥作用。

3．5点面结合，合理布局

内部控制审计可以实行日常的审计业务、专项调查与专项审计等业务的整合［11］。日常审计应突出重要性与时效性，通过监测内部控制重点环节的运行情况，及时发现控制缺陷，搜集审计证据；专项审计需全面覆盖，对内部控制各个层面进行系统的、全面的评价。利用日常审计与专项调查搜集的证据，可减少专项审计实施的工作量，既弥补了日常审计分散的缺陷，又实现了资源的合理利用。

4医院内部审计机构开展内部控制审计的实践经验

本院是一所市属三级专科医院，审计科只有2名专职审计人员。为有效利用审计资源，本院不断探索开展内部控制审计的方法与实施途径，借鉴行业内的先进经验，通过不断修改完善内部控制审计制度，调整审计方案，创新审计模式，实现了内部控制审计的规范化、系统化、常态化，提高了审计的质量与效率。

4．1明确审计目标，规范审计流程

内部控制审计的目标是对医院内部控制体系设计的合规性和运行的有效性进行评价。审计范围包括内部控制单位层面和业务层面所有的控制要素：（1）围绕内部控制审计的目标与范围，从审计计划的编制、审计项目方案的制定入手，明确年度工作总目标和阶段性工作的具体化，突出审计工作重点，增强计划的科学性［12］。（2）修改完善内部控制审计工作制度，规范内部控制审计的工作方式与工作流程。采取灵活多样的审计工作方式，如日常审计（事前或事中审计）、局部内部控制的专项审计（事中或事后审计）、全面的内部控制专项审计（事后审计）等。为确保审计工作质量，根据审计法规的要求，结合本单位的实际情况，针对不同的审计方式，制定了相应的工作流程与审计工作记录表单与审计意见反馈单。

4．2延展审计时间，扩大审计范围

针对内部控制运行的特点，采取日常审计与专项审计相结合的方式，于经济活动的事前、事中、事后合理布局内部控制审计工作，按重要性原则，分别确定日常审计与专项审计的重点，将审计工作深入到内部控制业务层面的重要控制环节，及时发现问题，提出审计建议，合理保证了医院内部控制有效运行。

4．2．1预算业务控制审计

预算控制包括预算的编制、审批下达、调整、执行、分析与考核、绩效评价等。日常审计的重点为参与预算编制与调整的审查，定期抽查预算的执行。专项审计的重点为预算编制与调整的依据与说明，预算批复与分解下达指标的执行情况、预算分析、预算考核与绩效评价等内容。

4．2．2收支业务控制审计

收支控制包括收入的记账、结算、缴款、欠费管理、收据管理，重大经济事项报批、支出授权审批流程、报销支付依据等；日常审计的重点为定期抽查收费人员缴款、收据稽核、应收账款的清理、重大经济事项的事前报批与支付审批流程；专项审计的重点为收入、支出等管理制度的执行情况，重大收支项目的执行过程与效果，收入与支出核算账目与核算依据等。

4．2．3合同控制审计

合同相关业务占到医院经济业务的80．0％以上，是内部控制审计的重点。合同控制包括对签约事项的立项审批、对合约方的确定方式（采购或指定等）、合同洽谈与审批、合同执行与归口管理等内容。日常审计的重点包括合约项目的立项审批、预算、采购、审核、合同条款的合法合规性等；专项审计的重点为合同的归口管理、合同签审流程、合同执行、变更、补充与纠纷处理、质保与后续服务等。

4．2．4政府采购业务审计

政府采购控制包含了采购预算、采购计划与实施过程等。日常审计重点包括各采购项目的预算与采购计划、采购文件、采购方式与采购过程等。专项审计重点为年度的采购预算与计划的制定与执行情况、采购制度的实施情况、采购档案的保管等内容。

4．2．5资产控制审计

资产控制包括资产的取得、使用、保管、处置等业务环节。日常审计的重点包括每季度抽查现金的收付与盘点、银行存款清理对账，抽查药品、材料物资的入库、领用、盘点与对账等工作的开展情况和信息系统的操作记录，检查应收账款的清理、对账等工作，监督资产处置流程；专项审计的重点包括资产管理制度与岗位人员职责的执行情况，资产的增减变动，贵重资产的取得与处置项目的论证、审批、实施过程，货币资金、固定资产与无形资产的使用效益与管理状况，应收账款的收回周期与坏账损失，固定资产的清查盘点等。

4．2．6建设项目审计

建设项目控制包括基本建设与维修的立项审批、概算、实施过程与竣工结算等。日常审计的重点包括项目的采购、合同签审与执行、设计变更、计价与结算、工程进度、跟踪审计与工程管理等；专项审计的重点包括对基建项目的立项审批、设计、概算、合同执行进度、付款进度、项目竣工决算、建设档案管理等。

4．3创新工作模式，提高审计效率

为有效利用审计资源，借鉴行业先进经验，结合医院的实际情况，设计了灵活多样的审计工作模式。

4．3．1多维度交叉审计

当审计对象涉及内部控制单位层面与业务层面的多个控制要素时采用多维度的综合测试，可获得多项控制业务中不同层面的审计证据，取得事半功倍的效果。如审计设备购置合同时涉及单位层面的要素包括决策机制、监督机制，涉及业务层面包括预算控制、采购控制、合同控制、资产控制等。

4．3．2业务链延伸审计

抽查某业务环节上的内部控制时对其上下业务链进行延伸审计，可获取多个业务环节的证据。如抽查库存物资时可延伸抽查采购申请、采购计划、采购方式、合同执行、验收入库、领用出库、库房盘点清查、库存积压、报废物品的处置等业务流程。

4．3．3点面结合审计

开展内部控制专项审计时根据审计目标，将审计对象按照审计作业面进行分类，然后梳理各个作业面的风险点及其内部控制要素，确定审计的重点与审计方法，进行取证确认；将日常审计和专项审计中分散的审计证据进行归类总结，提炼出与审计作业面相关的信息，形成审计要点的证据链，支撑审计作业层面的审计意见。

4．3．4风险导向审计

医疗卫生机构处于高技术、高风险、高难度的行业，任何活动均会带来相应的风险，且种类复杂、专业化程度较深［13］，按《行政事业单位内部控制规范（试行）》的规定，医院至少每年组织一次风险评估。本院审计科与内部控制管理办公室及相关职能科室协作开展风险评估。对内部控制单位层面和业务层面的风险进行识别，对风险的影响程度进行评估，形成风险评估报告。根据风险评估的结果确定内部控制审计的重点，识别风险控制的缺陷，提出改进建议。

内控审计篇2

现代意义上的内部控制发展是在20世纪以后。其概念和内涵是逐渐发展和完善的，内部控制发展是伴随着以内部牵制为主要标志的会计控制而发展起来的。

一、内部控制与内部会计控制的关系

1.两者的构成要素不同

内部控制构建了以内部环境为基础、以风险评估为环节、以控制措施为手段、以信息沟通为条件、以内部监督为保证的五要素框架。内部会计控制由控制环境、会计控制、控制评价3个要素构成。会计控制是核心，控制环境是会计控制的基础和前提条件，控制评价是会计控制达到预期目的、并适应环境不断变化的保证。内部会计控制不是对单位内部一切活动的控制，也不是只进行会计控制，而是以单位内部会计控制为主，兼顾与会计控制相关的环节都要实行控制的系统。

2.两者是包含和被包含关系

无论是会计部门还是非会计部门所实施的控制都可称为内部控制，而会计控制是指会计部门所实施的控制，会计控制是内部控制在会计职能部门的具体运用和体现。

从控制目标上看：内部会计控制的目标有3个：一是为了提高会计信息质量；二是保护资产的安全、完整；三是确保有关法律法规和规章制度的执行。内部控制的目标有5个：一是合理保证企业经营管理合法合规；二是合理保证资产安全；三是合理保证财务报告及相关信息真实完整；四是提高经营效率和效果；五是促进企业实现发展战略。企业内部控制目标概括起来，可以分为两个层次：一是可靠性，就是保证会计信息真实，确保资产安全完整；二是效益性，就是致力于追求企业经济效益，提高企业管理水平。内部会计控制的目标着重的是可靠性。

从控制方法上看：内部控制的一般方法包括：不相容职务分离控制、授权审批控制、会计系统控制、信息系统控制、预算控制、运营分析控制和绩效考评控制等。内部会计控制的方法主要包括：不相容职务分离控制、授权批准控制、会计系统控制、预算控制、风险控制、内部报告控制、电子信息技术控制等。从方法上看，内部控制方法包含内部会计控制的方法，但内部控制方法覆盖企业管理的全过程，比内部会计控制的方法层次更高，内容更丰富，例如“绩效考评控制”内部会计控制就做不到；就是看似相同的方法，两者的要求也不同，例如“不相容职务分离控制”这一方法，内部控制要求企业全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制，是从企业业务整体角度，要求计划、采购、生产、销售、监督等职能部门以及岗位之间要体现牵制原则。而内部会计控制要求单位按照不相容职务分离的原则，合理设置会计及相关工作岗位，明确职责权限，形成相互制衡机制，要求在会计职能范围内岗位之间体现牵制原则。

3.内部会计控制是内部控制的主体和核心

企业的经营管理活动，归根结底要通过财务报告来反映，抓住了财务报告内部控制这条主线，也就抓住了企业经营管理与内部控制的核心和主体。

经过多年发展，内部控制涉及的领域已非常广泛，覆盖公司层面、业务层面的几乎所有活动，远远突破会计控制的范围。目前，仍然有不少企业的管理人员对内部控制的认识存在一些误区，认为内部控制就是企业内部成本、内部资产控制等内部会计控制，甚至认为内部控制是会计部门为强化部门权力而增加的控制环节，是业务运行中的“拦路虎、绊脚石”。

二、内部控制与内部审计的关系

内部审计是一种独立、客观的保证与咨询活动，它的目的是为企业增加价值并提高企业的运作效率。它采取系统化、规范化的方法来对风险管理、控制及治理程序进行评价，提高它们的效率，从而帮助实现企业目标。这个描述将内部审计的视角直接对准了企业的内部控制、风险管理及治理程序。

内审人员不可能是企业生产经营管理各方面的专家，但是，运用内部控制这个工具，内审人员能打开通常只有技术专家才能打开的大门，解决大门背后的问题。内部控制是内部审计关注的重点，也是实现审计目标的桥梁。

内部审计是内部控制系统的重要组成部分，是对其余内部控制要素的再控制；而内部控制又是内部审计的直接对象，通过内部审计的检查、评价而不断的促进内部控制的健全完善。

内部审计与内部控制之间也是相互作用的，两者都是企业经营管理的重要组成部分。从系统论的角度分析，内部审计的有效实施将对内部控制的效率、效果产生积极影响，反之，将使内部控制的运行失去有效监督，产生消极影响；同时，内部审计作为内部控制系统的一部分也会受到整个系统的影响，一个健全、有效的内部控制系统将为内部审计提供良好的审计环境。

内控审计篇3

关键词：内部控制；内部审计

中图分类号：F239文献标识码：A

一、内部控制审计若干问题

（一）内部控制概述。内部控制是指从控制环境、风险评估、控制活动、信息沟通、监督评价五要素出发，制定并实施一系列具有控制职能的业务操作程序、管理方法与控制措施，以实现企业经营效益性、财务可靠性及合规性三大目标。

（二）内部控制与内部审计的关系。内部审计又称部门审计，是指本部门和本单位内部专职的审计机构和审计人员按照《审计法》的规定，对本部门和本单位进行的审计。它是企业进行管理控制、提高企业经营效率、实现企业目标的重要工具。

1、内部控制是内部审计的评审对象。内部审计在企业内部天然的监督作用使内部审计控制成为企业内部控制的一种形式，也是企业内部经济活动和管理制度是否合规有效的评价机构。内部审计与内部控制中的控制活动相比，内部审计最大的特点是不参与具体的经验管理活动，而是对内部控制进行有效控制。内部控制与内部审计相互依存、相互促进，进行内部审计，通过先了解被审单位的内部控制制度是否健全有效、企业的各项活动是否遵守内部控制制度，把失去控制和控制薄弱的业务系统和控制环节列入审计范围，把失控点和控制弱点以及与此相关的业务资料列入审计重点，有助于确定审计范围和审计重点、确定审计程序，从而提高审计的效率和效果。

2、内部审计促使内部控制系统更完善。审计人员通过对内部控制系统进行审计评价，找出其薄弱环节、可能存在的问题及带来的影响，并将这些信息、审计结论传递给企业管理层，帮助企业完善管理、克服弊端、消除隐患。同时，通过对问题严重或内部控制效率效果不佳的进行公布，可以对企业形成一定的压力，促使其完善企业内部控制。

（三）我国内部控制审计的发展。2002年2月，中国注册会计师协会《内部控制审核指导意见》，对注册会计师接受委托，就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核，并发表审核意见，制定规范，从而正式确立了我国的内部控制审计制度。2006年7月，财政部、国资委、证监会、审计署、银监会、保监会联合发起成立了企业内部控制标准委员会，许多监管部门、大型企业、行业组织、科研院所的领导和专家学者都积极参与，为构建我国企业内部控制标准体系提供了组织和机制保障。我国财政部会计司2000年开始调查研究，制定了一系列控制规范，包括《企业内部控制规范―基本规范》和17项具体规范。这也意味着对财务呈报内部控制有效性进行审计也将成为一种趋势，制定相关的审计准则有助于审计人员提高风险意识，保证财务报告的编报质量。

（四）我国企业内部控制审计现状及问题。目前，我国很多企业尤其是中小型企业，并未意识到内部控制的重要性，甚至对内部控制的概念存在误解。使企业内部控制薄弱或没有内部控制，导致企业一方面经济业务多，而另一方面内部控制审计机制缺乏或有效性低。

从机构设置上看，有些中小型企业没有独立的内部审计部门，而设有内部审计部门的企业，很大一部分其内部审计部门与其他职能部门是平行的，无法保证内部审计工作的独立、客观、真实性。没有准确的审计结果就无法保证内部控制制度的有效性，无法真正达到内部控制的目的，久而久之，内部审计部门就变成了可有可无的部门。

从审计方式看，大部分企业采用的都是事后审计，事后审计只能对发生的问题进行审计，无法做到预防问题的发生。只有综合使用事前评价、事中评价及事后评价才能对企业内部控制进行全过程、全方位的监督和评价。

从审计内容上看，审计人员还是很传统的，主要审计会计报表、账本、凭证等财务相关资料，这导致了管理和经营领域没有得到或没有充分得到审计。

从审计人员看，我国企业的审计人员大多是财务出身，对经营管理相关知识比较欠缺，无法做到对企业内部控制进行全面的审计。

二、内部控制审计的程序和方法

审计的重点是对制度内各个控制环节进行审查，从而找出制度中控制的薄弱环节。审计程序是审计活动赖以有序高效运行的基础，而审计方法则是审计结论准确的保障。只有依赖于合理规范的审计程序，选择合适的审计方法，才能真正做到对企业内部控制进行快速、准确的审计。

（一）内部控制审计的程序。内部控制审计主要是对被审计单位的内部控制制度进行检查和测试，找出制度中的薄弱环节，而对内部控制制度的检查、测试又可细分为：责任控制制度、内部牵制制度、会计控制制度、经营方面各个循环系统的控制制度、财产及凭单管理制度五大方面。

内部控制审计的程序分为：了解并记录企业的内部控制现状、初步评价内部控制的健全性、对内部控制的设计及执行的效果进行符合性测试、评价内部控制的强弱及控制风险以确定内部控制薄弱的领域、制订实质性审计方案五大步骤。审计流程如图1所示。（图1）

1、了解企业内部控制现状。了解企业的内部控制现状是整个审计活动的基础，只有充分了解被审计单位的内部控制制度及执行情况，才能对后续的工作提供依据或借鉴。了解企业内部控制现状后需要及时并准确的做出记录、描述。内部控制现状包括控制环境现状、控制程序现状和会计系统现状。

2、初步评价内部控制的健全性。内部控制的健全性是下一步进行符合性测试的前提，它是指企业的内部控制是否完善、是否能对企业的风险进行控制、是否能达到企业进行内部控制的目标。在第一步了解企业内部控制现状，即对被审计单位内部控制有了一个初步的认识的基础上，对内部控制风险和内部控制的可依赖程度做出初步评价。评价内部控制的健全性包括评价企业的控制环境、控制程序和会计系统。初步评价实际上就是评价企业会计与内部控制在防止或发现和纠正错弊中的有效性的过程。

在初步评价过程中若发现企业内部控制失效或者难以对内部控制的有效性做出评价，则应将重要账户或交易类别的某些或全部认定的控制风险评估为高水平，并不拟进行下一步符合性测试；若发现相关内部控制可能防止或发现和纠正重大错弊，则不应评价其控制风险处于高水平并拟进行下一步符合性测试。

3、对内部控制的设计及执行效果进行符合性测试。符合性测试是为了确定内部控制制度的设计和执行是否有效。其基本对象包括内部控制设计测试和内部控制执行测试。设计测试是测试被审计单位控制政策和程序是否合理，是否能防止或发现和纠正特定会计报表认定的重大错报或漏报。执行测试是测试被审计单位的控制政策是否发挥了作用。设计和执行同等重要，没有好的设计，执行将不起作用、甚至起到相反的作用，设计再好，没有认真执行，则设计也无法真正发挥作用。

通过初步评价内部控制的健全性就可以基本确定被审计单位内部控制的强弱环节，为进行符合性测试确定一个前提。审计人员并非对所有的内部控制进行符合性测试，只对那些准备信赖的内部控制执行符合性测试，并且只有当信赖内部控制而减少的实质性测试的工作量大于符合性测试的工作量时，符合性测试才是必要的且经济的。

4、评价内部控制的强弱及控制风险，确定内部控制薄弱的环节。只有完成了内部控制符合性测试，审计人员才会发现被审计单位内部控制制度是否建立、健全，哪些内部控制制度得到了有效执行，哪些内部控制虽然建立但没有执行或执行不力，哪些内部控制是有效的，哪些内部控制是无效，哪些是内部控制的薄弱环节。同时，利用专业判断来调整和综合评价被审计单位的内部控制估计风险的水平。审计人员对在审计中发现的内部控制问题进行汇总、整理，分析问题产生的原因和可能带来的后果，提出有效的改进措施，以管理建议书的方式，反映给被审计单位管理部门。

5、制订实质性审计方案。利用上一步的综合评价结果可制订出实质性的审计方案。实质性审计方案的实施为完善企业内部控制提供了依据及标准。

（二）内部控制审计方法。在内部控制的审计流程中，各步骤都有相应的审计方法。在进行审计时，审计人员应充分考虑被审计单位的经营规模、业务复杂程度、数据处理系统类型、审计重要性、相关内部控制类型、相关内部控制记录方式、固有风险的评估结果等因素。主要审计方法：

1、分析以往的审计报告、审计工作底稿、企业的内部控制相关文件及资料、内部控制生成的文件和记录。

2、对被审计单位相关人员进行问卷调查或访谈，以了解内部控制现状、企业各项业务操作是否符合控制要求、业务执行情况等。

3、观察被审计单位的业务活动和内部控制的运行情况。审计人员可亲临现场，实地观察相关人员的工作情况，以确定既定控制程序是否得到严格执行。

4、对具有代表性的交易和事项进行“穿行测试”。通过查阅复核以前的审计情况，可以了解以前审计时所发现的问题产生的原因以及是否已得到纠正和改进。

5、对账表、凭证等书面证据等进行抽检以判断是否存在内部控制制度，制度是否得到有效贯彻执行。

6、重复执行法。审计人员就某项内部控制制度按照被审计单位的业务程序全部或部分重做一次，以验证既定的控制措施是否被贯彻执行。

7、综合评价。进行综合评价时，若内部控制有效实施了，则评价控制风险为低，仅对各项账户余额和交易进行有限的实质性测试。重新调整内部控制的可依赖程度，制订出实质性审计方案；若审计人员在经过内部控制测试后，发现部分内部控制没有得到有效执行，就应对内部控制风险估计水平和可靠性重新进行调整。适当扩大实质性审计的范围；针对内部控制的缺陷，确定实质性测试的时间、范围和程序。通过符合性测试，审计人员根据所掌握的具体缺陷和不足，制订下一步实质性审计方案，其范围应涵盖在初步评价和符合性测试中发现的存在缺陷的内部控制内容；然后，就内部控制缺陷，向被审计单位管理当局提出改进建议。

（作者单位：中国矿业大学（北京）管理学院）

主要参考文献：

[1]张世体.审计基础与实务.立信会计出版社，2006.

[2]关鉴航.内部控制与现代审计.税务与经济，2010.1.

内控审计篇4

内容摘要:随着内部控制配套指引的出台,内部控制审计越来越被关注,内部报表审计与内部控制评价、财务报表审计内部控制评审之间的关系容易被混淆,论文重点分析以上几项之间的联系与区别,以便深入了解内部控制审计。

中图分类号:F270 文献标识码:A

内部控制在防范财务信息失真,预防重大的会计舞弊方面发挥着重要的作用。但是,任何一个好的制度都需要强有力的监督才能发挥积极有效的作用,才能对由此产生的财务信息的质量进行合理保证。所以利用注册会计师,对企业内部控制进行外部审计,出具合理保证的审计报告,已经成为全世界的共识。随着美国SOX法案(《萨班斯—奥克斯利法案》)的颁布,绝大部分国家都意识到了内部控制审计的重要性。我国在2008年5月由财政部、证监会、审计署、银监会、保监会联合《企业内部控制基本规范》,2010年4月,上述5部门又颁布了《企业内部控制审计指引》。

《企业内部控制审计指引》指出,内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。注册会计师在执行内部控制审计工作中,应当获取充分、适当的证据,为发表内部控制审计意见提供合理保证。对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

内部控制审计与内部控制评价、财务报表审计中的内部控制评审等工作既有密切联系,又有本质区别。弄清它们之间的关系,对于充分认识内部控制审计的独特作用,切实推进内部控制审计工作的开展,具有重要意义。

内部控制审计与内部控制评价之间的关系

内部控制评价是指由企业董事会或类似权利机构对企业内部控制有效性进行评价,形成评价结论,出具评价报告的过程。董事会或类似权利机构通常指定内部审计部门为内部控制评价部门,围绕控制环境、风险评估、控制活动、信息与沟通、内部监督等控制要素的设计与运行情况进行全面评价,并指出控制缺陷包括设计缺陷和运行缺陷,形成内部控制自我评价报告。

企业董事会对内部控制自我评价报告的真实性和合法性负责,内部控制自我评估报告的真实性,是指内部控制自我评估报告是否如实反映了企业内部控制设计和执行的有效性;内部控制自我评估报告的合法性,是指内部控制自我评估报告的编制是否符合国家有关法律、规章的要求(吴秋生,2010)。

(一)内部控制审计与内部控制评价的区别

1.范围不同。内部控制审计以财务报告内部控制为主。内部控制审计的范围,直接决定着审计的质量、成本和责任,决定着审计的可行性。为了遏制内部控制的各种可能的缺陷滋生,为财务报表使用者提供尽可能多的相关信息,促进被审计单位全面加强内部控制建设,内部控制审计应当以整个内部控制为审计范围。但是,以整个内部控制作为内部控制审计的范围,既不明确,也不好把握,容易产生审计风险,审计的可行性会有问题。所以,目前内部控制审计只能突出重点,重点解决内部控制弱化可能产生输出虚假财务信息的问题,内部控制审计范围应当限于与财务报告有关的内部控制(杨瑞平,2010)。

按照《企业内部控制评价指引》,内部控制评价围绕控制环境、风险评估、控制活动、信息与沟通、内部监督等控制要素确定内部控制评价的具体内容,建立内部控制评价的核心指标体系,对内部控制设计与运行情况进行全面评价。

2.性质不同。内部控制审计是企业外部对企业的内部控制审计,是会计师事务所对企业内部控制的有效性进行的审计,是一种独立的鉴证业务。内部控制评价是企业内部管理层对企业的内部控制评价,通常情况,授权内部审计机构对企业内部控制进行评价,是一种相对独立的服务业务。

3.目的不同。内部控制审计目标是对被审计单位内部控制自我评估报告的真实性和合法性发表审计意见,为内部控制自评报告的真实性和合法性提供合理保证。内部控制评价是管理层通过内部控制自我评估报告对企业内部控制进行的一种自我评价,一方面,在评价的过程中可以发现企业内部控制缺陷,及时改善企业内部控制情况,进而提高企业经济效益;另一方面,投资者、社会公众等企业利益相关者根据内部控制评价报告可以了解企业内部控制水平,评估企业抗风险能力和持续经营能力,从而为投资决策和正确行使相关权利提供资料依据。

4.责任主体不同。《企业内部控制审计指引》规定建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。按照该指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。企业内部控制责任是由企业承担的,而内部控制审计责任是由注册会计师承担的。两种责任的分离决定了企业和注册会计师在分别实施内控自评和内控审计时必须按照不同的规则独立完成,两者之间不能够相互替代和免除(金灵,2011)。

5.评价依据不同。内部审计评价依据《企业内部控制评价指引》进行评价,而内部控制审计依据《企业内部控制审计指引》进行审计。

(二)内部控制审计与内部控制评价的联系

1.评价对象相同。内部控制评价与内部控制审计都是对企业内部控制的有效性进行评价,只不过两者对于内部控制的范围各自有所侧重。这两种评价必然存在内在的关联性,所以往往也依赖同样的证据,遵循类似的测试方法并使用同一基准日。

2.内部控制评价滋生了内部控制审计工作。对于执行内部控制基本规范的上市公司或其他中小企业,按照《内部控制基本规范》及配套指引的要求,企业内部控制必须委托会计师事务所开展内部控制审计,内部控制评价报告与内部控制审计报告同时对外披露或报送。由此,内部控制自我评价报告催生了内部控制审计的产生。

3.内控审计的实施过程中可以适当利用企业内控自评工作。内部控制审计执行审计工作时,注册会计师应当对企业内部控制自我评价工作进行评估,判断是否利用企业内部控制评价相关的工作以及可利用的程度,相应减少可能本应由注册会计师执行的工作。

综上所述,内部控制审计和内部控制评价既有本质的区别又有相应的联系。需要强调的是,注册会计师虽然可以利用企业内部控制评价所形成的结论,但需对其本身发表的审计意见独立承担责任,该责任不因企业内部控制评价人员和其他相关人员的工作而减轻(王晓丽,2011)。

内部控制审计与财务报表审计中的内部控制评审之间的关系

财务报表审计中的内部控制评审,是指为编制审计计划能够准确确定审计重点和抽样规模提供可靠依据,进而进一步确定实施实质性程序的范围、性质,注册会计师在进行财务报表审计时应当首先了解审计单位内部控制,且出现下列两种情况时注册会计师应当对内部控制实施控制测试:

在评估认定层次重大错报风险时,预期控制的运行是有效的;仅实施实质性程序不足以提供认定层次充分、适当的审计证据。

(一)内部控制审计与财务报表审计中的内部控制评审的区别

1.直接目的不同。内部控制审计是出于管理方面的需求,从公司层面对企业整个内部控制系统尤其是财务报告内部控制进行全面的评价,以促进企业经营管理措施的实施及目标的实现,表现形式为对被审计单位内部控制自我评估报告的真实性和合法性发表审计意见。而财务报表审计中的内部控制评审是为了满足审计方面的需要,评价那些可能对财务报表可靠性有重要影响的内部控制,判断其可依赖程度,从而合理确定审计程序,保证审计质量,提高审计效率。

2.性质不同。内部控制审计是一项独立的鉴证业务。而财务报表审计中的内部控制评审是财务报表审计工作中的一部分,一个重要的环节,而非单独的一项业务。

(二)内部控制审计与财务报表审计中的内部控制评审的联系

1.审计对象相同。内部控制审计与财务报表审计中的内部控制评审都要对与财务报告相关的内部控制进行审查,审查财务报告相关的内部控制设计的合理性,执行的有效性。

2.审计方法相似。针对相同的审计对象,内部控制审计与财务报表审计中的内部控制评审在审计方法上相似,都需要运用检查书面文件和记录、询问有关人员、穿行测试等方法。

正因为两者的相似点,现阶段内部控制审计与财务报表审计就内部控制的有效性的评价可以开展整合审计,即由同一会计师事务所的不同项目组执行同一委托单位的内部控制审计和财务报表审计,整合有利于注册会计师之间的沟通,方便协调各自的工作进度,互相借助对方的工作成果,可以大大加速审计时间,节约审计费用,降低审计成本,有利于促进内部控制审计顺利开展。当然在整合审计过程中,应同时实现如下的目标:获取充分、适当的证据,支持其在内部控制审计中对内部控制有效性发表的意见;获取充分、适当的证据,支持其在财务报表审计中对控制风险的评估结果。

一方面,注册会计师在进行财务报表审计中的内部控制评审时可以直接利用内部控制审计报告中对内部控制有效性的结论作为对控制风险的评估,最终确定实质性程序的性质、时间和范围。因为在财务报告内部控制审计中,注册会计师要对财务报告内部控制的有效性发表意见并承担法律责任,关于内部控制审计报告的结论是较为精确和可靠的,因此在财务报表审计中可以利用财务报告的内部控制审计结果来评价控制风险。

另一方面,注册会计师提出内部控制有效性审计结论时,应考虑财务报表审计控制测试的结果,若财务报表审计的结果表明相关认定中存在重大错报,而内部控制不能防止或发现并纠正重大错报,则通常表明内部控制存在重大缺陷。注册会计师要充分利用财务报表审计中的内部控制评审结论,再进行补充和扩大内部控制测试范围,以收集更充分的有关财务报告内部控制有效性方面的证据,最终对财务报告内部控制的有效性作出合理评价。

结论

综上所述,无论是内部控制审计还是内部控制评价及财务报表审计的内部控制评审,均是针对企业内部控制所做的评价。按照评价主体的不同,可以分为外部评价和内部评价。内部控制审计与财务报表审计的内部控制评审是外部审计,通常由企业以外的注册会计师完成;内部控制评价是是典型的内部审计,一般由企业内部审计人员对内部控制做具体评价,管理层审批生成内部控制自我评估。虽然不同主体对内部控制的评价在目标、范围、内容和程序等方面存在差异,但是他们有一个共同性,评价对象是企业的内部控制。

由此看来,内部控制对于企业而言是非常重要的,它直接影响企业生存的质量、长久生存的耐力及扩张力,合理设计并有效运行内部控制是现代企业的生存之道。由此,自然滋生出对内部控制设计是否合理、有无执行及执行是否有效内部控制评价系统。其中内部控制审计作为外部监督系统,对企业内部控制执行的合法性和有效性发表审计意见,提供合理的鉴证,对于企业外部信息使用者作出合理的判断和决策起到了非常重要的作用。

参考文献:

1.谢晓燕,张龙平,李晓红.我国上市公司整合审计研究[J].会计研究,2009(9)

2.杨志国.关于《企业内部控制审计指引》制定和实施中的几个问题[J].财务与会计,2010(10)

3.吴葳.内部控制审计研究[D].南京大学,2011

4.李锦.财务报告内部控制审计[D].浙江工商大学,2010

内控审计篇5

关键词：注册会计师；内部控制；审计风险

中图分类号：F239.4 文献标识码：A 文章编号：1003-3890（2011）10-0067-03

内部控制是基于公司管理的需要而产生的。建立内部控制制度的目的是为了保证会计记录的可靠性，因为内部控制制度可以约束管理层或职员随机错报的可能性，进而对财务报告内容的真实性提供合理保证，成为确保财务报告可靠性的另一项重要制度安排。然而，由于内部控制的局限性以及公司管理层面临的压力、机会和借口，管理层披露的内部控制自我评估报告的可信性仍然不够高，因此需要注册会计师对管理层披露的内部控制自我评估报告进行审计，以增强公司内部控制信息的可信度，内部控制审计业务应运而生，随之而来的内部控制审计风险也就产生了。

一、内部控制审计业务的产生

内部控制审计业务源于20世纪70至80年代的美国，起因是上市公司出现的舞弊财务报告、公司管理层和破产倒闭等事件。1987年美国Treadway委员会提交的报告指出，大约一半的欺诈性财务舞弊案例是因为内部控制失效而产生的。随后Treadway委员会发表研究报告，建议所有上市公司应当在年度财务报告中附列有管理层签名的内部控制报告，切实履行最高管理层建立并维持适当内部控制的承诺。但这一建议并不具有强制性。1992年的COSO框架确定了内部控制的五个核心要素：控制环境，风险评估，控制活动，信息与沟通，监控。1994年美国注册会计师协会主席建议，公司管理层应当对内部控制的有效性发表报告，且注册会计师对管理层报告提供评估。2004年，COSO框架又增加了三个要素，即目标设定、事项识别和风险应对，以强化该框架的风险管理部分。从此内部控制审计业务开始走上规范化的轨道。

中国上市公司内部控制审计制度始于2002年。2002年2月，中国注册会计师协会《内部控制审核指导意见》，该意见规定，注册会计师接受委托，就被审计单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核，并发表审核意见，从而正式确立了中国的内部控制审计制度。

二、内部控制审计业务的性质

从国内外内部控制审计业务的产生来看，内部控制审计业务属于一种鉴证业务，是由注册会计师接受委托进行的鉴证业务。在中国，从《内部控制审核指导意见》（2002）到《企业内部控制鉴证指引（征求意见稿）》（2008），再到《企业内部控制审计指引》（2010），内部控制审计业务的性质始终围绕鉴证业务来定性。

2002年3月，中国注册会计师协会制定了《内部控制审核指导意见》，该意见明确规定了内部控制审核的定义，内部控制审核是指注册会计师接受委托，就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核并发表审核意见。该意见还规定按照国家有关法规的要求，建立健全内部控制并保持其有效性，是被审核单位管理当局的责任；注册会计师的责任是了解、测试和评价内部控制，出具审核报告。从此，中国的内部控制鉴证业务开始走上规范化的道路。

2006年以后，中国上市公司内部控制审计制度发生了很大的变化，监管部门通过上市公司年度财务报表披露等途径，鼓励上市公司自愿披露内部控制鉴证报告。2008年7月1日，由中国注册会计师协会并施行企业内部控制鉴证指引（征求意见稿）》明确规定了企业内部控制鉴证的含义：会计师事务所接受委托，对企业与财务报告相关的内部控制的有效性进行鉴证，并发表鉴证意见。还明确规定注册会计师的责任是在实施鉴证工作的基础上，对内部控制有效性发表鉴证意见；在对内部控制有效性形成意见后，注册会计师应当评价管理层按照有关政府部门和监管机构的要求在企业年度报告中对内部控制的披露是否适当。

为了更加有效地促进上市公司建立、实施和评价内部控制，进一步深化内部控制鉴证业务，规范会计师事务所内部控制审计行为，2010年4月26日，中国财政部会同证监会、审计署、银监会、保监会联合制定并了《企业内部控制评价指引》和《企业内部控制审计指引》。其中，《企业内部控制审计指引》规定，内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。即注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。这一制度的施行对防范企业风险、规范企业管理、指导注册会计师进行内部控制审计业务具有重大的历史意义。

三、中国内部控制审计业务发展中存在的问题

（一）内部控制审计业务的相关规范缺乏强制性

在2006年以前，中国相关监管部门对内部控制审计缺乏强制性的规定，这就导致部分上市公司管理层不愿意主动对外披露内部控制信息。例如，为了规范上市公司内部控制的建立、运行和信息披露，中国深圳证券交易所（简称：深交所）于2006年9月了《深圳证券交易所上市公司内部控制指引》（简称：《深交所指引》），《深交所指引》规定，注册会计师应当直接对公司内部控制的有效性进行评价，并出具鉴证报告；《深交所指引》的颁布，旨在通过提高上市公司内部控制建立和运行的透明度以及内部控制信息披露的充分性，来改善上市公司内部控制的运行效果。证监会公告[2008]48号《关于做好上市公司2008年度报告相关工作安排的公告》规定：上市公司应当在2008年年报中全面披露公司内部控制机制建立健全的情况。从上述规定我们看到，相关规范只是引导上市公司应当出具鉴证报告，并没有强制要求必须出具鉴证报告，这就直接导致绝大多数上市公司不愿意披露自身存在的内部控制缺陷，也不愿意聘请会计师事务所鉴证其内部控制。相关研究成果也证实了这一点。杨有红、汪薇（2008）通过描述性统计对2006年沪市年报内部控制信息披露的现状进行了分析，认为2006年沪市公司内部控制信息披露存在内部控制信息披露的强制规定未得到有效执行、内部控制信息自愿性披露动机不足、内部控制自我评估和会计师事务所的核实评价缺少统一的标准等问题。杨德明、王春丽、王兵（2009）利用A股上市公司2007年度相关数据进行的实证检验分析发现：上市公司内部控制环境越好，越容易收到清洁的审计意见；上市公司在披露内部控制鉴证意见时，明显存在"报喜不报忧"的披露管理行为。

（二）内部控制审计主体单一

从《内部控制审核指导意见》（2002）到《企业内部控制鉴证指引（征求意见稿）》（2008），再到《企业内部控制审计指引》（2010），这三项法规规定的内部控制审计主体都是注册会计师所在的会计师事务所。最新法规《企业内部控制审计指引》规定：会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。而这个“特定基准日”在《企业内部控制评价指引》（2010）中规定为12月31日，并且要求企业内部控制评价报告应于基准日后4个月内报出。这个时间刚好与财务报告审计报告报出的时间重合。在审计时间有限、具有上市公司审计资格的会计师事务所数量有限、会计师事务所从业人员知识结构不太合理、企业内部控制不够健全且执行不够有效等情况下，作为内部控制审计主体的注册会计师则感觉到心有余而力不足。

（三）对内部控制审计风险的研究较少

在中国注册会计师审计准则中，内部控制测试结果一直是注册会计师确定实质性程序的重要依据。因为注册会计师在执行财务报告审计程序时，已经对同一被审计单位的内部控制风险进行了测试。然而，随着企业经营环境的变化，企业的经营业务日趋复杂，企业的内部控制难以做到健全。而且，企业内部控制审计业务在中国还尚属新业务，这一新业务的开展还处于探索阶段；加之，中国注册会计师审计职业还比较年轻，现有执业人员中，能够胜任内部控制审计业务的人才占较少的比例。

另外，从内部控制审计业务的性质分析中我们也看到，内部控制审计业务的内容在发生变化，审计范围在扩大。《内部控制审核指导意见》中规定的内部控制审计内容是被审核单位管理当局对特定日期与会计报表相关的内部控制有效性；《企业内部控制鉴证指引（征求意见稿）》中规定的内部控制审计内容是被鉴证企业与财务报告相关的内部控制的有效性；《企业内部控制审计指引》中规定的内部控制审计内容是被审计单位特定基准日内部控制设计与运行的有效性。这一细微的变化，不仅增加了注册会计师的审计成本，而且也增加了注册会计师的审计风险。

四、内部控制审计风险的控制路径

作为内部控制审计主体的注册会计师，如何在有限的时间内，对企业特定基准日内部控制设计与运行的有效性获取充分、适当的审计证据，合理控制内部控制审计风险，已经成为注册会计师必须要面对的现实问题。笔者认为，在当前企业经营环境比较复杂、内部控制信息披露不充分、不主动等情况下，注册会计师可以先从严格律己开始做起，首先培养内部控制审计复合型人才，其次是加强与企业内部审计部门的联系，第三是有效整合内部控制审计业务与财务报告审计业务。

（一）尽快培养内部控制审计复合型人才

内部控制审计是否能够帮助企业防范风险，归根到底还得依赖内部控制审计人员高水平的业务素质。《企业内部控制审计指引》第六条规定，注册会计师应当恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，但并没有对内部控制审计人员应当具备哪些具体方面的专业胜任能力作出具体规定。企业经营环境的多变性，经济业务的复杂性，审计时间的局限性，都在一定程度上影响着内部控制审计风险。笔者认为，内部控制审计人员至少应当具有敏锐的观察能力、缜密的思维能力、过硬的专业知识、合理的知识结构等能力，只有拥有一批高素质的内部控制审计从业人员，才能胜任内部控制审计工作；而建立内部控制从业人员后续教育体制是培养高素质的内部控制审计人才的制度保证。

（二）切实加强与企业内部审计部门的联系

在企业全面风险管理框架的指导下，企业内部审计部门的工作重点是协助企业建设内部控制。在现代企业管理过程中，内部审计作为企业内部控制的一个重要组成部分，具有监督内部控制其他环节的职责。内部审计应有的作用不仅在于监督企业的内部控制是否被执行，还应该帮助企业进行控制环境的营造，成为内部控制过程设计的顾问，在帮助管理层更有效地达到预期控制目标的过程中，发挥着较大的作用。因此，内部审计人员在了解、评估内部控制的风险水平方面，较会计师事务所的注册会计师更加深入与恰当。《企业内部控制审计指引》第九条明确规定，注册会计师利用企业内部审计人员的工作，可以相应减少可能本应注册会计师执行的工作。在内部控制审计时间有限、审计经验不足、审计业务复杂等情况下，只有加强与企业内部审计部门的联系，较为深入地了解内部控制，谨慎而合理地评估内部控制风险水平，才能合理控制内部控制审计风险。

（三）有效整合内部控制审计业务与财务报告审计业务

由于中国企业的内部控制报告都包含在企业财务报告之中，因此审计主体主要还是由注册会计师在对企业的财务报告进行审计的同时，整体地对报告中相应的内容进行评价，因此，实施内部控制审计的主体与实施财务报告审计的主体是一致的。当前主流的财务报告审计方法是风险导向审计，要求注册会计师在实施进一步审计程序之前，应当首先了解被审计单位及其环境（包括内部控制），并评估内部控制的风险水平，然后再根据内部控制的风险水平决定下一步的审计程序。既然对内部控制的了解和评估是企业财务报告审计的必要环节，我们不如把内部控制审计与财务报告审计整合进行。一方面可以避免重复审计，减少被审计单位的检查负担，节约审计成本；另一方面还有利于注册会计师统筹控制审计风险水平。因此笔者认为，同一家客户的内部控制审计与财务报告审计应当由同一家会计师事务所执行。

参考文献：

［1］Weili Ge， Sarah Mcvay. The Disclosure of Material Weaknesses in Internal Control after the Sarbanes-Oxley Act［J］. Accounting Horizon， 2005，（Sep）：137-158.

［2］Andrew J.， Leone. Factors Related to Internal Control Disclosure［J］. Journal of Accounting and Economics， 2007，（Sep）：224-237.

［3］Ogneva M.， Raghunandan K.， Subramanyam K. R.. Internal Control Weakness and Cost of Equity : Evidence From SOX Section 404 Disclosures［J］. The Accounting Review， 2007，（82）：1255-1297.

［4］Patterson E.R.， Smith J.R.. The Effects of Sarbanes-Oxley Act on Auditing and Internal Control Strength［J］. The Accounting Review， 2007，（82）：427-455.

［5］饶盛华. 加强企业内部控制是当务之急――ST郑百文的警示［J］.中国注册会计师，2001，（6）：52-54.

［6］张立民，钱华，李敏仪.内部控制信息披露的现状与改进――来自我国ST上市公司的数据分析［J］.审计研究，2003，（5）：10-15.

［7］陈关亭，张少华.论上市公司内部控制的披露及其审核［J］.审计研究，2003，（6）：34-38.

［8］张刚，周云鹏.内部控制审核报告分析［J］.广东经济管理学院学报，2004，（6）：67-69.

［9］杨有红，汪薇.2006年沪市公司内部控制信息披露研究［J］.会计研究，2008，（3）：35-42.

［10］杨德明，王春丽，王兵.内部控制、审计鉴证与审计意见［J］.财经理论与实践，2009，（3）：60-66.

［11］邓美洁，吴国萍.美国内部控制审计制度及其对我国的启示［J］.税务与经济，2011，（4）：69-72.

内控审计篇6

关键词企业内部审计控制

一、审计控制概述

1、审计控制内涵。审计控制是指根据预定的审计目标和既定的环境条件，按照一定的依据审查、监督被审计单位的经济运行状态，并调整偏差，排除干扰，使被审计单位的经济活动运行在预定范围内且朝着期望的方向发展，以达到提高经济效益的目的。

2、特点。（1）审计控制的目标是合规性和效益性，通过审计控制使组织中纳入审计控制范围的业务活动提高合规性和效益性水平。（2）审计控制的内容是组织的业务活动，而不仅仅是财务活动；只要这些活动利用组织的资源，而不仅仅是资金、资产。（3）审计控制的方式是过程式的，包括事前事中事后；而不是仅仅是结果式的、事后的。（4）审计控制的范围不仅仅是业务活动的结果，更主要的是结果产生的机制。（5）审计控制的性质是一种重点控制，而不是全面控制。纳入审计控制范围的是组织的重大项目、大额资金、重要资产、资源。审计控制遵循重要性原则。

二、企业内部审计控制存在问题

1、企业内部控制意识薄弱，缺乏科学、统一、有效的审计控制规范。目前，无论是国有企业对内部控制的意识都不够强，据有关方面调查显示不少企业的领导或负责人还不知道什么是内部控制。另外，自20世纪90年代起，我国政府开始加大对企业内部审计控制的推行。但从整体上讲，我国内部审计控制规范建设正处在起步阶段，发展的还很不完善。

2、企业制定了一系列内部控制制度，但执行力度不够。这种情况集中体现在一些处于发展中的民营企业和国有企业身上。民营企业发展到一定阶段，往往会考虑上市，这个时候就需要一套制度来使企业正规化，制定一些内部控制制度，然而很难实施或者很难持续实施。

3、缺乏必要的监督机制。由于内部控制制度缺乏必要的监督机制，企业职能部门、员工甚至企业的高层管理者经常逾越既定的内部控制制度开展业务活动和管理活动，但也没有受到制裁，这就使内部控制丧失了应有的权威性和有效性，导致内部控制的失控。

4、人员素质不高。很多企业对审计岗位不重视，有些审计人员专业知识不扎实，在业务操作的过程中，再加上审计人员自身道德的问题，导致审计信息严重失实。

5、控制基础智能设施建设不够。企业内部审计控制制度的建设应努力适应信息化的要求，但是，控制基础智能设施建设在企业中做的很不够。

6、企业内部审计不到位。内部审计作为内部控制的组成部分之一，它是企业改善经营管理、提高经济效益的自我需要。但是纵观我国企业内部审计的情况，不难发现，企业的内部审计并没能真正履行其应有的职

三、对策

1、提高企业领导对内部审计控制管理的重视程度，并加强规范性。（1）要强化企业领导的审计法规意识，使之自觉遵守法律规定；要建立内部审计控制管理领导责任制，将企业内部审计控制管理的好坏与主要领导的政绩业绩考核结合起来，一级抓一级，层层负责，将内部审计控制管理工作落到实处。（2）加强内部审计控制，需要统一的审计控制规范。统一的审计控制规范既是推动企业内部审计控制建设的法律保障，同时也是为企业加强内部审计控制建设及进行内部审计控制评价提供可资参考的标准，为企业内部审计控制制度建设及评价提供指引。

2、应将完善内部控制规范与企业目标结合起来。企业所有的管理活动都应该围绕着企业目标的实现来进行。建立内部控制制度是企业加强管理的重要措施，其目的同样是实现企业目标，不能离开企业目标来谈建立和完善内部控制制度的问题。目标定位决定着内部控制关键点和控制手段的选择。有些企业内部控制制度的缺陷从表面上看是具体控制措施不健全，但从根本上看是缺乏明确的目标导向。例如，某一企业在销售和收款内部控制制度的构建中，如果只将保障销货款的安全作为内部控制的目标，则内部控制措施的选择就是现款销售；如果将扩大销售也纳入内部控制的目标，则企业就会将客户信用调查作为内部控制的措施。所以从内部审计控制系统来讲，目标的确立能够为内部控制框架的构件提供明确的导向，是评估风险、制定控制措施的依据。

3、建立一套完整的监督体系。（1）加强和改进财务内部监督，实行审计委派制。（2）加强审计监督。重点加强对年度财务报表、任期经济责任和干部离任的审计。（3）加强民主监督。企业财务部门要定期向职工通报财务工作报告，听取意见，征询意见和建议。建立财会人员年度考核，健全民主测评、民主评议和组织生活制度，自觉接受监督。（4）强化公众监督。全面深入推行财务公开，把公开透明化贯穿于各项制度建设和各种权力运行过程，增强决策透明度，落实员工的知情权、参与权、监督权，实行“阳光作业”，建立内部监督。

4、提高审计人员的业务水平和素质。企业的审计人员都必须取得审计从业资格证书，对企业的审计人员应定期进行继续教育，特别要重视对那些业务能力差的审计人员进行基础业务知识培训，提高工作能力，减少审计业务处理的技术性错误。否则，即使内部审计控制本身是完善的，也可能因为执行人员的粗心大意，判断失误而导致失败。对审计人员还应进行职业道德教育，从正反两方面加强对审计人员的自我约束能力，使之自觉执行各项法律法规，遵守财经纪律，奉公守法、廉洁自律。

内控审计篇7

追溯内部审计的发展轨迹，对内部控制的关注在80年代曾是内部审计的重要内容之一，从90年代初开始，随着公司兼并、重组步伐的加快，企业面临的风险亦随之加大。企业开始注重对于风险的管理。内部审计的重点曾一度转向风险导向审计。内部控制是受企业董事会、管理部门和其他职员的影响，为取得经营效果和效率、财务报告的可靠性、遵循适当的法规等目标而提供合理保证的一种过程。它包含五个要素，即控制环境、风险评估、控制活动、信息沟通、监控。法案规定，公司要建立非常细化的内部控制机制，同时对重大缺陷要予以披露，并明确要求公司的年报应包括内部控制的评价部分。内部审计对内部控制的再次介入。通过对内部控制的评价，使内部审计人员更加重视对企业经营过程的控制，重视研究业务流程，从而发现可能存在的问题。内部审计的主要工作从事后发现内部控制薄弱环节向事前防范转变，内部审计的职能由消极的发现和评价向积极的防范和咨询转变，内部审计机构将成为公司有效的管控工具，内部审计人员也将成为公司改革有力的推动者。

二、内部审计的转型是我国内部审计发展的必然趋势

随着经济全球化趋势加快以及企业改革的深入，完善公司治理结构，健全内部控制机制，规范控制流程，加强风险管理，增强企业核心竞争力，已成为企业管理层的主要关注内容。开创性地建立以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的内部控制实施机制，要求企业实行内部控制自我评价制度，并将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系。有关监管部门有权对企业建立并实施内部控制的情况进行监督检查。同时，明确企业可以依法委托会计师事务所对本企业内部控制的有效性进行审计。政府越来越意识到内部控制的重要作用。而内部审计作为一种重要控制机制，对企业内部控制的审计已成为企业强化监督、规范经营、防范风险的重要手段和有效措施。内部审计的职能逐步向内部控制和风险管理审计转变，对于促进企业建立内部控制体系、完善内部控制机制将发挥积极的作用。

三、如何开展内部控制审计

我国内部控制审计的开展尚处于起步和探索阶段，既无统一标准，亦无统一定式。同时，因各被审企业在控制环境、经营模式等方面的情况千差万别以及内部审计机构人手不足等因素的影响，使得内部控制审计的开展存在一定难度。那么，如何开展内部控制审计呢？在审前准备阶段，应该对单位的控制环境、企业主要管理制度以及主要业务环节的管控情况等背景资料充分了解的基础上，制定周密的审计工作方案，这是顺利开展内控审计的前提；在审计过程中，通过查阅相关业务及财务资料，通过对采购与付款、存货管理、销售与收款、投资及融资活动等主要业务循环进行穿行性测试，发现被审计单位在内部控制方面存在的问题，并给予揭示；审计报告阶段，就审计中所发现的问题与被审单位进行充分沟通，以期对相关问题达成共识，并借此传递先进的管理理念；审计落实阶段，对审计报告所提建议的落实情况进行跟踪、检查，确保审计工作效果。

（一）完善公司治理结构，使内部审计保持超然独立的地位在公司治理中存在诸多无法适应现代企业制度的现象，主要表现为部分企业所有权和经营权尚未完全分离；企业内部组织结构、管理模式以及管理层的管理理念并未从根本上得以转变；董事会、监事会、审计委员会、经营管理层职责划分不清，职能履行不强等等。因此，完善公司治理结构对于发挥内部审计的独立性有着至关重要的作用。在一个健康的法人治理结构下，公司内部审计部门应成为法人治理结构的有机组成部分。实践证明，内审机构在企业中处于较高层次，内部审计地位保持独立、超然，审计人员才能发表更为专业、客观、公正的审计意见，这对于内部控制审计的开展具有重要的意义。

内控审计篇8

一、内部控制审计的现状及存在问题

我国由于实行市场经济时间不长，企业刚刚认识到内部控制审计的重要性，对内部控制审计的研究和实践正处于摸索阶段，内控审计思想散见于各部门、各组织的相关文件中，呈现出比较混乱的局面。

（一）企业内部控制审计机构建立模式不合理。九十年代之后，企业为了加强自身管理的需要，其内部控制审计机构在隶属领导层次上，一种模式是受董事会或监事会领导；另一种模式是受总经理领导，从而增强了内部控制审计机构的独立性和权威性。前者使内部控制审计以相对独立的身份受董事会或监事会之托对经营者的业绩进行监督，造成经营者对内部控制审计的误解，从而不同程度引发审计风险；后者作为总经理参谋和助手，为单位实现经营目标服务。因此，在审计过程中，不可避免地受本单位利益的限制，涉足企业经营活动有关的风险。特别是当面对领导参与或法人违纪时，内部控制审计往往无能为力，从而引发审计风险。

（二）内部控制审计法规体系及管理制度不健全。内审法律法规体系不健全，依法治审不力。国家审计和社会审计分别有《审计法》和《注册会计师法》作为法律依据，而目前内部控制审计只有1995年7月的《审计署关于内部控制审计工作的规定》，法律级次明显偏低，可操作性不足。显然，内部控制审计法律依据不充分、不健全或出现空白，使得内审人员在进行审计时，只有依据经验和知识进行分析判断，在某种程度上影响了审计结论的权威性和正确性。

内部审计管理制度建设及执行情况是内部控制审计的前提和基础。健全有效的内部管理制度能及时发现和控制企业经营活动中发生的各种差错和舞弊。反之，就会增加差错和舞弊的可能性，使得审计人员难以发现经济活动中存在的差错和舞弊而形成审计风险。如企业内部某个部门私设“小金库”，搞真假两套账，内外串通，如果没有线索，审计人员就有不能查清事实真相的风险。

（三）内部控制审计对象的复杂和审计内容的拓展。随着社会主义市场经济的建立和完善，企业的改制、重组成为国有企业改革的重要方面，使内部控制审计的对象和内容也日益复杂。内部控制审计对象逐步发展为企业集团、股份公司和连锁经营店。企业内部机构层次增加，所进行的交易日趋复杂，被审单位与其某些企业的关系是母子公司关系或联营公司关系，同时，由于企业的资产重组，必然涉及到兼并和收购、改制和改组、联合和剥离及分拆问题，为内部控制审计对象开拓了新领域。内部控制审计事项一般与企业生产经营活动联系较为密切，涉及到企业生产经营的方方面面，一些敏感事项涉及人事关系复杂，舞弊手段隐蔽，内审人员取证难度较大。另一方面，内部控制审计的内容不仅从传统的财务审计发展为效益、管理、经济责任审计、经营决策审计、经营风险审计、投资审计等，还要新形势下的兼并、联合、分拆以后的偿债能力和赢利能力，评价企业是否有效益，提出是否可行的意见书供领导决策参考。这对内部控制审计人员提出更高的需求，审计人员作出正确结论的难度也就越大，审计风险也就不可避免的存在。

（四）审计方法落后且经营管理者对审计的认识不足。目前的内部审计方法是制度基础审计，这种审计方法的弊端日渐突出，已不能适应当今复杂的经营环境。因为它过分依赖被审计单位内部控制制度的测试，本身就蕴藏着巨大的风险。由于被审计单位的实际情况各不相同，审计目的不同，采用哪些审计程序和选用哪些审计方法才恰当并不容易确定。如果审计程序和方法选择不当，会造成审计时间延长，成本增加；也可能会遗漏一些重要的审计内容，未能觉察重大的错弊所为，未能收集到充分可靠的审计证据，使审计结论与实际不符，导致审计风险。又由于受长期计划经济的影响，部分企业领导人片面地认为内部控制审计就是检查内部经济问题，会影响到企业职工的团结和稳定，分散管理人员的精力，有的认为内部审计限制了自己的经营自，削弱了自己的权威，有的将内部审计机构形同虚设，使内审人员无职无权。内审机构不健全，设置不合理，影响审计工作的正常开展。有的企业将审计机构和监察合并，有的在财会部门内设审计人员，有的干脆不设审计机构和人员。且审计部门与其他部门平行的地位，致使许多内审流于形式，缺乏自身应有的地位和威信，根本无法保证内部控制审计的独立性和权威性。

二、内部控制审计应采取的手段和方法

内部控制审计作为一个独立的审计种类，具有完整的审计程序。它可以通过对内部控制的检查、评价，找出内部控制系统中的薄弱环节并加以改进，促进企业健全内部控制，改善管理，减少损失浪费，提高经济效益。内部控制审计的范围是极为广泛的，其手段也是多种多样的，但内部控制审计一般包括内部控制的方法和评价两方面，大体上可以分成三个步骤：

（一）了解和描述内部控制。这一步骤的主要目的是通过一定的手段，了解被审单位已经建立的内部控制制度及执行的情况，并对其进行描述。这一步骤可以通过查阅有关规章制度、方针及政策等文件，查看组织机构系统图，询问有关人员进行实地观察、查阅前期审计报告或审计工作底稿等手段来实现，它为描述企业内部控制制度奠定了基础。描述反映企业内部的制度的方法主要有书面说明法、调查表法、流程图法等三种方法。它们之间并非孤立应用，相互排斥，在描述某一单位内部制度时，可对不同业务环节使用不同的方法，三者结合使用，往往比采用一种方法效果更好。

（二）评价内部控制。这一步骤的主要目的是在了解和描述内部控制缺席的基础上，应就内部控制本身的完善程度进行评价，评价内部控制是否健全完善，初步形成意见和建议。一般根据控制对象、控制程序、组织机构、执行人员、规章制度、信息资料、成本效益等几个方面准进行评价。

内控审计篇9

内部会计控制是指单位为了提高会计信息质量,保护资产的安全、完整,确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。

控制与管理的关系非常密切,二者日益融合。现代内部控制已逐渐渗透到管理活动的各个方面,与管理活动的各项职能交织融合在一起,内部控制概念的历史演进充分表明了这个发展趋势。

内部控制概念的演进可以分为以下几个阶段:

第一,内部牵制阶段。内部控制思想的萌芽在五千年前就出现了。漫长的几千年来,内部控制一直以最原始的内部牵制形式出现在各种组织的管理过程中。

第二,内部控制制度阶段。20世纪,审计理论界及实务界开始关注内部牵制对审计人员的重要性,进而对其进行研究,扩大了对内部控制的认识。内部控制制度包括企业内部采用的机构计划和所有有关的调整方法和措施,其目的在于保护企业的财产,检查其会计资料是否正确可靠,以及提高业务效率,促进经营方针、组织计划的贯彻和企业内部所有调查方法的实施。这个定义涵盖的范围已经超越了与财务和会计职能有直接关系的内容,而涉及经营管理等多方面。

第三,内部控制制度两分法阶段。内部管理控制制度包括,但不仅仅限于组织结构的计划,以及关于管理部门对事项核准的决策步骤上的程序与记录,目的在于提高经营效率、促使有关人员遵守既定的管理方针。

二、中小企业内部审计的含义

(一)内部审计的概念

内部审计是一种独立,客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的,规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。内部审计作为中小企业企业管理体系的重要组成部分,在实际工作中,应该对企业经营、管理的合法性、合理性、有效性进行审核和评价,注重审查企业的内部控制状况,为建立、健全企业的各种政策和规章制度,完善企业经营管理提供服务。中小企业作为国民经济的重要组成部分,有其自身的特殊性。深入研究中小企业内部审计的相关问题具有极其重要的意义。

(二)中小企业内部审计的独立性

中小企业内部审计机构和人员必须保持应有的相对独立性,独立性是内部审计人员提出公正的鉴定或评价的保证,是顺利开展审计工作的前提。就内部审计组织结构而言,内部审计部门应该对该企业中的一个具有足够权利的负责人负责外,企业还应设立有关制度,确保审计部门经理和该负责人之间能直接交流信息。就内部审计人员而言,内部审计人员必须是专职的,而不能由其他业务部门,特别是会计部门的人员兼任。就内部审计业务的独立性而言,内部审计不能负责内部审计工作以外的计划,不编制会计报表,不直接参与企业各部门的生产经营活动,以保证其独立性。

(三)中小企业内部审计的对象和范围

中小企业内部审计的主要职责是帮助企业改善经营管理,提高企业的经济效益。因此,其审计的对象和范围是非常广泛的,可以涵盖企业的一切行为和所有方面,而不仅仅限于其内部按行政职能划分的部门或单位。在确定审计对象时,内审人员关键是要确定可审计的活动。

三、企业内部控制制度——现代风险导向内部审计与内部控制

内部审计作为内部控制的组成内容,发挥着对内部控制执行情况进行监督和评价的作用,是对内部控制的再控制。内部审计是内部控制的控制环境、监督等要素的重要组成部分,是对中小企业日常经营活动控制的再控制。尽管中小企业可以通过外聘中介机构和专业人士评价,行政主管部门监督检查等外部的监督检查,以及包括会计监督在内的部门的日常控制,但对这些日常活动控制的全方位的不间断的再控制,则只有内部审计才能做到,因此,内部审计对于完善内部控制具有不可替代的作用。内部审计控制是内部控制的基本方法之一。在内部控制系统中,董事会、各级管理层甚至一般员工,都是内部控制的主体。在这一过程中,内部审计负责对有关业务流程内部控制的充分性、有效性进行认定、评价,提出纠正问题和改进控制的建议。

内部审计作为对中小企业内部控制监控的专门机构,通过对内部控制适时持续的监测、评价,保证了内部控制按预期进行,并根据实际情况的变化而进行合理的调整,为内部控制机制的有效运行提供了保障、维护的作用。

通过采用询问、问卷调查,观察,审阅各种文档资料,测试等审计方法对内部控制进行评价,可以有效地监督内部控制制度的实施。

内部控制制度审计是内部审计人员通过对被审计内部控制制度的审查,分析测试、评价,确定其可信程度,从而对产生的结果做出鉴定的一种现代审计方法。随着经济改革的发展和企业管理的不断深入,围绕财务收支和会计资料,以查错纠弊为主导的审计方法,不仅效率低下,而且也难以适应复杂多变的企业内外环境对风险防范的需求。现代企业制度下的内部审计更着重关注内部控制制度下审计,变革审计方法,提高审计效率,以促进内部控制体系日益完善,这是规避企业经营风险,改善经营管理,提高经济效益的有效途径。内部控制制度审计的主要作用有:

一是促进国家方针、政策及财经法规和企业内部经营决策和规章制度的正确实施和对内各部门和流转环节进行有效控制;促进企业建立良好的内部控制环境,促进会计信息的真实性、正确性和财务活动的有效性、合法性;促进财产物资的安全性和完整性。

二是提高审计工作效率和质量。目前企业对内部审计的要求越来越高,审计工作量越来越大,而内部控制审计的评价可有效的确定审计重点、减少审计样查,节约时间和人力成本,提高审计效率和质量,达到有效履行审计职责,强化审计监督的目的。

三是突出审计重点。通过对单位内部控制制度的可信赖程度进行鉴定和评价,针对内部控制制度的薄弱环节分析,明确审计重点和内容,保证了审计重点和方向,提高审计质量。

四、结语

适当的组织目标和合理的评价标准是管理和内部审计工作走向规范的标志。没有合理的评价标准,就等于没有实质意义的管理,缺少有效的内部控制,中小企业内部审计工作展开也就无法真正发挥其作用,以风险评估为基础的现代风险导向审计属于开放式的模型,这不仅体现在具体项目及与部门的相互沟通方面,而且还反映在宏观上审计目标的不断演变。由此可见,中小企业内部审计人员根据风险评估的思路开展对内部控制的评价,以组织目标为起点和核心,能够更加有效地发挥建设性作用,完成由监督控制到风险基础,为组织做好服务。

参考文献

[1]张孝兰,肖章大.内部审计的风险与防范对策[J].乐山师范学院学报,2007,(8).

[2]赵菁.降低内部审计风险的途径[J].西安建筑科技大学学报(社会科学版),2008,(2).

[3]范太艳,王彬彬.浅议内部审计的咨询服务职能[J].网络财富,2008,(6).

内控审计篇10

关键词：企业;内部审计;内部控制;评审

近年来，国内相关机构和企事业单位顺应企业管理的内在需要，逐步引入了内部控制及内部控制评审的理论，并组织开展了一系列理论研究和实务探索，取得了一定成果。本文以此为出发点从内部审计的角度对企业内部控制评审的内容、方法、评价标准等进行初步探讨。

一、内部控制、内部控制评审的定义

1.内部控制的定义

内部控制一词，最早出现在1936年美国会计师协会的《注册会计师对财务报表的审查》文告中。随着内部控制理论以及认识的不断发展，内部控制理论由最初的“内部牵制理论”，发展为“内部会计控制与内部管理控制”。

1992年，美国反欺诈性财务报告委员会的主办机构委员会（coso委员会）了《内部控制—整体框架》报告，即著名的coso报告，报告对内部控制的定义为“内部控制是由企业董事会、经理当局以及其他员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程”。coso报告同时认为内部控制包括内部控制环境、风险识别与评估、内部控制活动、监督评价与纠正、信息交流与反馈等五个相互联系的要素，这五大要素服务于上述三大目标。这是目前比较成熟的内部控制理论，受到各国理论界和实务界的广泛关注和普遍认可。

2.内部控制评审的定义

coso报告认为，在内部控制系统中，所有部门、岗位都在其中充当着角色，内部审计也是如此。内部审计既是企业内部控制的重要组成部分，又是监督与评价内部控制的主要部门和主要手段。2002年以来，国际内部审计重新介入内部控制这一领域，在原先以内审部门实施内部控制评价的基础上，加强了与业务管理部门自我评估的结合，注重相关业务部门技术人员的参与，要求内部审计人员与业务管理人员、专家合作评价内控的健全性、合理性和有效性。

从内部审计的角度看：内部控制评审是指由企业董事会下设的审计委员会组织开展的，以内部审计人员为主，吸收相关专业技术人员和专家参加的，对企业内部控制系统建设、实施情况进行的调查、分析、评价等系统性活动，主要测评企业内部控制系统是否健全、合理，以及执行是否有效。

二、内部控制评审的内容

企业内部控制系统的设计基本是围绕内部控制环境、风险识别与评估、内部控制活动、监督评价与纠正、信息交流与反馈这五大要素进行的，因此内部控制评审的内容就是评审内部控制系统五大要素的内容是否健全、合理以及执行是否有效。

1.内部控制环境评审

内部控制环境是内部控制的基础，它是影响和制约其他控制要素发挥作用的重要因素。内部控制环境评审就是指对企业内部控制系统所依存的软硬环境的各项因素运作状况的健全性、合理性和有效性所进行的评审。评审的内容主要有：公司治理组织架构的建立、规范运作和分权制衡；内部控制系统中董事会的建立和完善责任，监事会的监督责任，高级管理层的执行和完善责任；人力资源政策和程序、人力资源日常管理情况等。

2.风险识别与评估评审

风险识别与评估是指识别和分析那些妨碍企业实现经营管理目标的各项因素的活动，它包括风险识别和风险分析评估两部分。风险识别与评估的评审是指对来自企业内外部对生产经营、财务报告、经营管理目标有影响的各种风险的识别与评估情况所进行的评审。评审的内容是企业风险识别与评估机制及其运行是否健全、合理、有效,主要包括在经营管理活动中风险的识别和评估是否充分、合理；企业识别和获取适用法律法规要求的程序建立和执行的情况；与风险识别和评估相对应的内部控制措施方案的内容及执行情况等。

3.内部控制活动评审

内部控制活动是指为了确保经营管理目标的实现，指导员工实施管理指令，管理和化解风险而采取的政策和程序。内部控制活动的评审是指对企业为进行企业管理和化解风险而采取的控制活动情况所进行的评审。评审的内容是企业内部控制活动的健全性、合理性、有效性，主要包括企业所采取的控制措施和程序的健全、合理、有效程度；计算机系统环境下，为确保信息的完整、安全和可用性而采取措施的健全、合理和有效程度；应急预案的建立和执行、应急设备和设施的定期检查情况等。

4.监督评价与纠正评审

监督评价与纠正是指由企业特定人员对一定时期的内部控制运行状况进行评估和实施纠正的情况, 可采取持续监督和个别评估分别进行或两者结合进行的方式。监督评价与纠正的评审是指对企业内部控制监督评价与纠正机制及其运行情况是否健全、合理、有效所进行的评审,主要包括内部控制绩效监测程序建立和执行;内部控制系统监督评价书面程序的建立和执行；企业对内部控制进行不断完善的情况等内容。

5.信息交流与反馈评审

信息交流与反馈是指企业在其经营过程中，按某种形式辨识、取得确切的信息，并进行沟通，以便员工能够履行其责任。信息交流与反馈的评审是指对企业辨识、取得、沟通合理信息的方式和过程的健全性、合理性、有效性所进行的评审。主要包括企业信息交流和沟通程序的建立和执行；内部控制系统文件的建立和保持；形成记录控制程序的建立和执行等内容。

三、内部控制评审方法

内部控制评审方法主要包括评审的切入方法和评审的具体技术方法两大方面。评审的切入方法是根据评审要求和为达到评审目的进行组织和实施评审的工作形式和工作思路，是制定评审实施方案的前提；评审的具体技术方法则是在具体评审时根据被评审企业的实际情况，为达到评审目的和要求所采用的具体审计技术方法。

1.内部控制评审的切入方法

内部控制评审的切入方法基本可以归纳为要素法、流程法和制度法三类。

(1)要素法。要素法是直接从评审内部控制的五大要素内容入手，运用内部控制评审的技术方法获取评审证据，从而评价内部控制要素各项内容的健全性、合理性和有效性，进而对企业内部控制做出综合评价。其适用范围主要是生产经营方式相对简单、业务流程比较单一、且已建立完整的内部控制系统的企业。

(2)流程法。流程法是建立在要素法的基础上，从测试业务流程和具体业务入手，采用内部控制评审技术方法获取评审证据，来评价内部控制各项要素内容的健全性、合理性和有效性的一种方法。其适用范围是生产经营过程比较复杂，业务流程比较繁多，且已建立完整的内部控制系统的企业。

(3)制度法。制度法是指从被检查企业内部控制制度入手，采用内部控制评审技术方法获取评审证据，来评价企业内部控制的健全性、合理性和有效性。其适用范围是尚未建立完整的内部控制系统的企业，或者是还停留在靠内部规章制度进行控制的企业。

2.内部控制评审的技术方法

内部控制评审的技术方法经常采用的技术方法主要有：

(1)抽样法。通过抽取一定数量且具有代表性的样本进行调查和测试，根据样本来推断总体状况的一种评审方法。这是审计工作普遍采用的方法，，应当采取科学抽样的方法来完成对企业已经发生的所有经济业务进行审计和评审，只要按照合理的允许的误差科学地抽取了样本，通过对样本的评审是能够满足对企业整个经济活动的评审需要的。

(2)穿行测试法。穿行测试也称全程测试，通常用于对业务流程或具体业务的测试与评价。这是内部审计经常运用的一种简便易行的技术方法，特别适用于对内部控制的评审中，通过对一笔或若干具体业务的穿行测试，可以比较直观有效的反映一个或若干业务流程的内部控制情况。

(3)证据检查法。证据检查法是内控评审工作最重要的检查方法之一。评审人员在运用抽样、穿行测试等评审方法时，要求被评审企业在限定的时间内，提供被评审业务主要控制点对应的相关资料。通过对这些书面证据的检查，验证各项控制措施在实际业务操作中是否得到了有效的贯彻执行。

(4)压力测试法。即测试被评审企业关键业务处理程序和控制措施能够承受的压力程度以及在承受相应压力时所发挥的作用。

(5)流程图法。流程图法主要用于内部控制系统的健全性和合理性测试，流程图法可以使评审人员清晰地看出被评审企业内部控制系统如何运行，业务的风险控制点和控制措施，有助于发现各内部控制系统的缺陷和评审重点。

四、内部控制评价标准和综合评价结果

现场评审结束后，应依据内部控制评价标准，对被评审企业进行综合评价并出具评审报告。综合评价应坚持定性分析与定量分析相结合的原则，做到量化合理、定性准确。

1.内部控制评价标准

在对各项评审内容严格审查、测试和初步评价的基础上，应对企业整个内部控制系统的健全性、合理性以及执行的有效性做出全面评价。

(1)内部控制的健全性。内部控制的健全性是指企业根据生产经营管理的自身需要，应设置的内部控制系统的内容都比较完备，而且所设置的内部控制系统对企业的生产经营管理活动的全过程能进行自始自终的控制。健全性评价可依据评分分为优、良、基本健全、不健全四个级次。

(2)内部控制的合理性。内部控制的合理性主要是指内部控制设计和执行时的适用性、合规性、经济性，它是在健全性的基础上对企业内部控制更深一层次的要求。合理性评价同样可依据评分分为优秀、良好、基本合理、不合理四个级次。

(3)内部控制的有效性。有效性是内部控制的精髓，应根据对评审内容的测试结果，对各项业务目标是否能够实现，各项业务风险的评估与规避情况如何，内部控制所起到的作用与效果如何等等做出评价。有效性的评价同样可依据评分分为优秀、良好、基本有效、无效四个级次。

2.评审内容的计分和综合评价

为了科学、合理地对企业内部控制进行评价，评审组应依据内部控制评价标准评审内部控制各项内容，按照“健全性、合理性、有效性”三个标准进行汇总、分类、评分和评价。

(1)评审组根据在现场评审中所发现的问题，先依据评审实施方案中的“评审内容明细表”所确定的每项具体评审内容进行汇总，再按照“健全性、合理性、有效性”三个评审标准进行分类。经评审组统一研究、讨论得出每项评审内容的综合评审意见，根据评审意见给该项内容评分。

(2)在得出以上评分后，评审组还应结合评审中所揭示的企业内部控制系统存在的具体问题，依据“健全性、合理性、有效性”的评价等级，分别对被评审企业内部控制系统的健全程度、合理程度以及执行情况做出准确、严谨、中肯的定性评价。

3.内部控制评审报告

综合评审报告的内容，主要包括以下三方面。

(1)评审的基本情况。分为两部分，一是说明评审目的、范围、人员组成等，二是简述一下被评审企业的基本情况及其内部控制现状。

(2)存在的问题及危害性。将评审中发现的问题分类进行列述，并准确界定被评审企业的财务、经营风险档次，尤其是对于内部控制中存在的重大缺陷和薄弱环节，应指出风险隐患，说明其危害性。

(3)综合评价及处理建议。说明被评审企业的得分情况，按照综合评价标准对被评审企业的内部控制总体评审情况进行描述，并根据评审情况向审计委员会提出处理建议。处理建议要切合被评审企业的实际，要有科学性、针对性和可行性。

总之，内部控制作为企业管理的一部分，它是一个动态的管理过程，是在不断发展变化的。内部控制评审在我国尚处于初级阶段，需在实践中积极借鉴国外先进或成功的经验与做法，但不能照搬照套，应紧密结合本企业未来发展变化的情况，不断地加以总结、改进和提高，以制定出较为健全有效的内部控制评审规范体系，并逐步走上制度化、规范化的道路。

参考文献：

[1]中国注册会计师协会《内部控制审核指导意见》.

[2]高雅青李三喜编著:《内部控制与审计风险案例分析》.中国时代经济出版社. 2002 年5月.