淺析企業(yè)內(nèi)部控制審計

廖光元 國網(wǎng)四川岷江供電有限責任公司

一、引言

2008年，財政部聯(lián)合五部委發(fā)布了《內(nèi)部控制基本規(guī)范》，要求上市公司按照內(nèi)控五要素開始建立和實施內(nèi)部控制，2012年，國資委發(fā)布了《加快構建中央企業(yè)內(nèi)部控制體系有關事項的通知》，要求中央企業(yè)強化管理基礎主動構建內(nèi)控體系，企業(yè)內(nèi)控管理工作也從1.0搭內(nèi)控步入2.0建體系階段。隨著資本市場改革的深化和不斷加強，全球商業(yè)戰(zhàn)略定位逐漸形成，跨國經(jīng)營已成為企業(yè)發(fā)展的趨勢，2019年，國資委發(fā)布《加強中央企業(yè)內(nèi)部控制體系建設與監(jiān)督工作的實施意見》，提出企業(yè)內(nèi)控體系管控將作用于深化企業(yè)改革、強基固本、授權經(jīng)營監(jiān)管等方面，也對企業(yè)在新時期內(nèi)控優(yōu)化工作提出了建設方向，企業(yè)內(nèi)控管理工作也從2.0建體系步入到內(nèi)控、風險、合規(guī)整合，輔助企業(yè)改革、進一步強化監(jiān)管的內(nèi)控3.0新階段。系列文件要求的發(fā)布，促成了國有企業(yè)內(nèi)部控制體系在建設、運行、評價等維度實現(xiàn)了從無到有、豐富完善、全面提升的遞進，為國有企業(yè)現(xiàn)代治理體系的規(guī)范完善、質效提升奠定了堅實基礎。

二、內(nèi)部控制發(fā)展歷程

(一)內(nèi)部控制牽制的產(chǎn)生

在我國古代的“三省六部”制度，就是將國家的行政權力、監(jiān)察職能以及執(zhí)行權力進行拆分與相互制約；在17世紀，意大利的商人開始將會計賬目與會計崗位分離，實現(xiàn)了最早的內(nèi)部控制。

(二)內(nèi)部控制理論的發(fā)展

二戰(zhàn)結束后，美國注冊會計師協(xié)會發(fā)表了協(xié)同的系統(tǒng)要素對管理層和會計師的重要性，首次從會計核算的角度給出了內(nèi)部控制的定義；隨著企業(yè)管理模式的發(fā)展，內(nèi)部控制逐漸由會計控制延伸到企業(yè)所有的日常經(jīng)營與決策控制，大大減少了企業(yè)的經(jīng)營風險，舞弊行為也得到了控制；1992年，美國COSO委員會公布《內(nèi)部控制整合框架》，該框架成為了全球范圍內(nèi)企業(yè)內(nèi)部控制的綱領性文件。

(三)內(nèi)部控制在我國的運用

2008年，我國正式引進并推廣企業(yè)內(nèi)部控制，根據(jù)COSO框架建立了符合我國市場經(jīng)濟特點的《企業(yè)內(nèi)部控制規(guī)范》，并在十余年的時間里不斷完善與補充；近年來，中央企業(yè)嚴格按照國資委對內(nèi)部控制體系建設管理的要求，不斷加強內(nèi)控建設，強化內(nèi)控執(zhí)行，進一步規(guī)范和夯實基礎管理，逐步實現(xiàn)“強內(nèi)控、防風險、促合規(guī)”的管控目標。

三、內(nèi)部控制現(xiàn)狀分析

(一)內(nèi)部控制管理認識片面

當前不少企業(yè)管理人員認為內(nèi)部控制就是企業(yè)財務控制和審計控制，沒有把內(nèi)控和自身工作有效結合，內(nèi)控管理中存在相互推諉扯皮和應付現(xiàn)象。

(二)內(nèi)部控制制度不完善

有些企業(yè)內(nèi)控制度覆蓋面較窄，僅覆蓋人力資源、銷售管理、采購管理、成本管理、財務收支等業(yè)務領域，沒有滲透到企業(yè)全業(yè)務過程管控，管理流程界面不清、工作秩序混亂。

(三)內(nèi)部控制執(zhí)行不到位

有些企業(yè)雖然制定了規(guī)章制度和相應的業(yè)務流程，但沒有落實剛性執(zhí)行，常出現(xiàn)有令不行、有禁不止或出現(xiàn)執(zhí)行偏差，規(guī)章制度成為應付檢查的“擺設”，不能落地實施。

(四)缺乏有效的監(jiān)督機制

有些企業(yè)內(nèi)部審計部門職能弱化，不能有效發(fā)揮審計監(jiān)督職責，企業(yè)法律、審計、紀檢等監(jiān)督部門“各自為政”，沒有形成監(jiān)督合力，業(yè)務經(jīng)辦人利用監(jiān)督漏洞侵吞企業(yè)資產(chǎn)或頻繁出現(xiàn)違規(guī)違紀事件。

四、內(nèi)部控制審計概念

內(nèi)部控制審計是以企業(yè)內(nèi)部控制為審計對象，通過應用系統(tǒng)規(guī)范的方法，確認和評價內(nèi)部控制缺陷，提出改進內(nèi)部控制的建議。內(nèi)部控制測評是日常審計的一個環(huán)節(jié)，其目的是測試企業(yè)內(nèi)部控制是否健全有效，而內(nèi)部控制審計則有一個完整的審計程序，包括了解內(nèi)部控制情況、評價內(nèi)部控制風險、實施符合性測試和實質性測試等程序。

五、內(nèi)部控制審計內(nèi)容

內(nèi)部控制審計內(nèi)容主要包括企業(yè)內(nèi)部控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)督五要素的審查與評價。

(一)內(nèi)部控制環(huán)境審查與評價

控制環(huán)境是組織員工從事經(jīng)營活動、履行控制職責的一種氛圍，對其他控制要素起著保護和控制作用，對組織的控制程序有效性產(chǎn)生重大影響?？刂骗h(huán)境的優(yōu)劣直接決定著企業(yè)的各項控制措施能否執(zhí)行及執(zhí)行的效果。

控制環(huán)境重點審查企業(yè)戰(zhàn)略定位的精準度，組織結構的健全性，人力資源政策和實務的操作性，權限集中度及責任分配的合理性，治理層參與治理和監(jiān)督的有效性，管理層控制風險的意識和態(tài)度，主要管理人員的道德價值觀和行為、各層級人員的知識、技能和勝任能力，組織成員對企業(yè)文化的理解和認同等。

(二)風險評估的審查與評價

企業(yè)風險評估是以COSO 企業(yè)風險管理模型及我國《企業(yè)內(nèi)部控制基本規(guī)范》為基礎，在整個企業(yè)范圍內(nèi)實施的，針對企業(yè)的戰(zhàn)略目標、經(jīng)營目標、財務報告目標、合規(guī)目標而進行的風險評估活動。

風險評估重點審查企業(yè)對風險的識別、分析及應對策略，重大風險、重要風險及一般風險的認定標準；是否定期對生產(chǎn)或信息系統(tǒng)安全等中高風險項目開展災害性事故防范演練，是否建立風險預警和應對機制，是否具備抗風險的能力。

(三)控制活動的審查與評價

所謂控制活動，是企業(yè)建立和執(zhí)行相應的政策和程序，有效形成管理制度化、制度流程化，以確保將風險控制在組織設定的可接受范圍之內(nèi)，企業(yè)所有人員都要參加控制活動，主要包括授權審批控制、資產(chǎn)安全控制、預算控制、經(jīng)營指標控制、績效考核控制，不相容職務分離控制等活動。

控制活動重點審查組織層面的控制能否確保組織目標的實現(xiàn)，如組織方針政策、治理控制和內(nèi)部環(huán)境控制；流程層面的控制能否確保流程風險得以解決，過程得以完成，如賬戶核對、資產(chǎn)安全控制、業(yè)績評價與考核；交易層面控制以確保特定交易事項得以實現(xiàn)，如合同的履行，信息系統(tǒng)應用控制。

(四)信息與溝通的審查與評價

信息不僅包含企業(yè)內(nèi)部生產(chǎn)經(jīng)營信息，還包括與企業(yè)經(jīng)營管理相關的外部環(huán)境和條件，信息傳遞存在于組織信息溝通的整個過程中。企業(yè)需建立一套信息溝通系統(tǒng)，如會計系統(tǒng)、信息系統(tǒng)和傳導機制等，實現(xiàn)管理層和員工之間傳遞信息的途徑，同時與外部利益相關方構建有效的溝通渠道。

溝通重點審查企業(yè)收集處理生產(chǎn)運行和經(jīng)營管理信息的能力；信息系統(tǒng)運營是否安全可靠；治理層與管理層之間的溝通是否暢通；員工是否清楚其在控制活動中如何與他人工作的關聯(lián)，以及向內(nèi)部適當?shù)母呒墑e人員報告例外情況的方法；是否同政府部門、監(jiān)管機構等建立外部溝通渠道。

(五)監(jiān)督的審查與評價

所謂監(jiān)督，就是對內(nèi)部控制系統(tǒng)進行監(jiān)控，對控制系統(tǒng)的運行質量進行評估的過程。加強審計、巡視巡察等內(nèi)部監(jiān)督工作的協(xié)同配合，充分發(fā)揮監(jiān)督合力，有效防范經(jīng)營風險和廉潔從業(yè)風險。

監(jiān)督重點審查是否定期開展內(nèi)控有效性評價，對關鍵領域和重要業(yè)務是否進行風險管控，內(nèi)控缺陷整改是否閉環(huán)、違規(guī)經(jīng)營責任追究是否落實等。

六、內(nèi)部控制審計程序與方法

(一)了解企業(yè)內(nèi)部控制情況

在內(nèi)部控制審計中，需要在被審單位整體層面對內(nèi)部控制的各組成部分及其相關要素進行了解，旨在協(xié)助識別重大錯報風險，并確定這些組成部分對審計策略的影響。審計人員對內(nèi)部控制的五個組成部分都應了解，但對不同組成部分的了解程度是不同的：對于控制環(huán)境和管理層的監(jiān)督活動應當注重了解各該組成部分中的各項要素；對于風險評估和溝通應當了解其過程；對于信息和控制活動則通過對重大交易類別的了解，獲取控制有效性證據(jù)。

主要方法包括：查閱企業(yè)方針政策及治理文件，詢問管理層和員工，了解控制環(huán)境要素及其之間的相互關系；查閱內(nèi)部控制文件，檢查前期審計報告及整改情況，了解企業(yè)對風險的評估及采取的控制措施；觀察運行中的流程和控制，選擇重大或特殊交易事項進行“穿行測試”，了解控制程序是否有效執(zhí)行、風險是否得到管控等。

(二)初步評價內(nèi)部控制風險

在對被審計單位內(nèi)部環(huán)境、規(guī)章制度、業(yè)務流程、信息系統(tǒng)等進行調查了解的基礎上，應對內(nèi)部控制的健全性和有效性作出評價。即評價應有的控制環(huán)節(jié)是否設置齊全，布局是否合理，執(zhí)行是否有力，能否有效防止、發(fā)現(xiàn)以及糾正錯誤和舞弊。

通常出現(xiàn)企業(yè)控制環(huán)境中缺少某些要素或某些要素沒有被有效設計并恰當執(zhí)行，單獨或匯總控制的消極因素不支持內(nèi)部控制的有效運行，不準備進行符合性測試三種條件之一時，應將重要賬戶或列報相關認定的控制風險評估為高水平；如果同時出現(xiàn)內(nèi)部控制可能防止、發(fā)現(xiàn)和糾正重大錯弊，準備開展符合性測試的情況，則不應將控制風險評估為高水平。

(三)實施符合性測試程序

審計人員在了解企業(yè)內(nèi)部控制制度的基礎上，對哪些信賴的控制系統(tǒng)設計和執(zhí)行的有效性實施的測試，包括內(nèi)控設計測試和內(nèi)控執(zhí)行測試。內(nèi)控設計測試是測試被審單位的方針政策、規(guī)章制度和控制流程設計是否合理有效；內(nèi)控執(zhí)行測試是測試被審單位的制度和流程是否剛性執(zhí)行、是否實際發(fā)揮作用。

內(nèi)部控制符合性測試方法主要有：1.詢問，向企業(yè)內(nèi)外部的知情人員詢問控制的相關信息，例如，詢問管理層針對異常報告中的發(fā)現(xiàn)跟進程序或糾正措施；2.觀察，觀察企業(yè)員工所執(zhí)行的過程或程序，例如，觀察企業(yè)的員工進行存貨盤點；3.檢查，包括對內(nèi)部或外部書面形式、電子形式的記錄、文檔進行檢驗，例如，檢查文檔以確定資產(chǎn)是否存在，并檢查該文檔是否經(jīng)過授權批準；4.重新執(zhí)行，以人工方式或通過計算機輔助審計技術，重新獨立執(zhí)行作為企業(yè)內(nèi)部控制組成部分的相關控制程序，例如，將采購發(fā)票與收貨單進行匹配；5.數(shù)據(jù)分析，在某些情況下，可以使用數(shù)據(jù)分析技術獲取關于控制運行有效性的證據(jù)，例如，在會計報表決算過程測試中使用數(shù)據(jù)分析，測試記賬分錄產(chǎn)生及批準的適當性。

(四)實施實質性測試程序

通過初步評價和符合性測試，審計會發(fā)現(xiàn)被審單位內(nèi)控體系是否健全有效，哪些環(huán)節(jié)設計薄弱，存在規(guī)章制度或管理流程不完善，哪些環(huán)節(jié)雖然建立了內(nèi)控制度和流程，但沒有有效執(zhí)行。審計人員根據(jù)掌握的信息，運用專業(yè)判斷評價內(nèi)部控制有效性并采取相應措施，如內(nèi)部控制設計和運行有效，則僅對交易賬戶進行有限的實質性測試；如內(nèi)部控制設計和運行無效或低效，就應擴大實質性測試，調整實質性測試的性質、時間和范圍。

實質性測試主要結合被審單位財務報表和各類交易賬戶中存在與發(fā)生、完整性、計價與分攤、分類、截至的認定開展測試，通過分析性復核、函證、觀察、查詢等手段確認財務報告重大錯報或漏報。

實施審計程序后，根據(jù)審計工作記錄和審計底稿對在審計過程中發(fā)現(xiàn)的內(nèi)部控制缺陷進行整理，分析缺陷產(chǎn)生的原因和可能帶來的后果，認定缺陷等級，提出有效的改進建議，向被審計單位出具內(nèi)部控制審計報告或管理建議書。

七、內(nèi)部控制缺陷整改

對內(nèi)部控制評價和審計發(fā)現(xiàn)的內(nèi)部控制缺陷(下稱缺陷)要落實整改，形成審計閉環(huán)管理。整改要落實“三不放過”原則，即制度未完善的不放過、資金未追回的不放過、責任未落實的不放過。業(yè)務部門負責涉及缺陷的專業(yè)整改，在深入分析可能導致缺陷產(chǎn)生原因的基礎上，認真進行歸納總結，審計部門組織并督促審計整改，區(qū)分不同情景制定缺陷整改完成的認定標準。

(一)缺陷原因分析

主要從管理流程是否順暢、管理制度是否健全、執(zhí)行是否嚴格、審核把關是否到位等管理因素，主觀故意、偏差失誤、認識局限等人為因素，以及其他客觀因素等方面進行分析。

(二)缺陷整改認定

對已經(jīng)形成的缺陷或風險點，是否采取相應的措施進行整改或有效控制；若可直接整改糾正是否采取措施進行整改，如權證補辦、賬務調整、收回資金等；若已成事實無法直接糾正只能著眼后續(xù)規(guī)范管理的，是否采取措施強化后續(xù)管理、建立長效機制；若因自身管理不到位、制度缺失造成的，是否健全完善相應制度等；若涉及到性質嚴重、造成重大損失的，是否按有關規(guī)定追究相關人員責任等。

(三)整改材料支撐

列示表明缺陷已整改完成或因客觀原因無法整改等所需的各類紙質、電子版證明性材料，如相關合同協(xié)議、賬務處理憑證、決策資料、文件制度、系統(tǒng)截圖等。

整改工作要就事論事，完成缺陷具體事項整改并對相關責任人進行追責，同時開展舉一反三，對同類缺陷進行自查自糾，通過制度宣貫培訓、加大考核力度等措施強化后期管理，促進相關人員履職盡責；梳理、完善管理制度和業(yè)務流程，建立整改長效機制。

八、結語

隨著信息技術革命以及社會經(jīng)濟的快速發(fā)展，商業(yè)全球化和企業(yè)跨國化助推企業(yè)并購和集團化管控成為未來發(fā)展趨勢，不確定性帶來風險復雜多變，企業(yè)進行全面風險管理和內(nèi)部控制成為企業(yè)治理的重要手段，內(nèi)部控制審計在保持獨立性和客觀性的前提下，通過專業(yè)的確認和咨詢服務，評價并改善風險管理、控制和治理過程的效果，幫助企業(yè)實現(xiàn)其戰(zhàn)略目標。