規(guī)范企業(yè)內部控制評價審計程序

內部控制評價審計本就是內部控制的關鍵一環(huán)，如何促使其更加具有可操作性以及客觀性一直是企業(yè)面臨的重要問題?；诖?，本文以“規(guī)范企業(yè)內部控制評價審計程序”為研究對象，首先總結了企業(yè)內部控制評價審計的關鍵內容，然后提出了企業(yè)內部控制評價審計程序的選擇要點，然后談及企業(yè)內部控制評價審計程序的選擇，最后提及企業(yè)內部控制評價審計程序的規(guī)范保障措施，以期相關研究內容能夠為廣大工作人員帶去啟示、提供參考。

企業(yè)內部控制評價審計關鍵內容

對內部控制系統(tǒng)的分解 要想實現(xiàn)對企業(yè)內部控制評價工作的完善和優(yōu)化，需要率先對內部控制系統(tǒng)進行分解，具體劃分為組織、職能和流程、作業(yè)與工作三個層面。

從組織層面來說，內部控制系統(tǒng)主要包括環(huán)境控制以及戰(zhàn)略控制；從職能和流程的角度來說，內部控制系統(tǒng)集中在部門之間、部門內的各個崗位之間、不同流程之間以及流程內部的多個環(huán)節(jié)之間，這些要素銜接之處都是權責交界之地，界定不清的情況下，很容易導致出現(xiàn)管控薄弱的結果；如果從作業(yè)與工作的角度來說，內部控制更加關注的是實際從事作業(yè)的個人應該更好地完成工作的能力和統(tǒng)籌資源的本領。

分析確立內部控制的目標 針對已經形成的內部控制系統(tǒng)當中的各個分支，需要各自確定其內部控制的目標。要在確定總體目標的基礎上對其進行必要的分解，直到能夠設計出關鍵控制點并引導其發(fā)揮相應的作用才可。

對業(yè)務流程進行梳理 對業(yè)務流程進行梳理需要以內部控制目標為導向，這也是內部控制評價審計的主要環(huán)節(jié)之一。企業(yè)通過對業(yè)務流程進行梳理和分析，既可以理清現(xiàn)階段作業(yè)當中存在的不合理的環(huán)節(jié)，也可以針對各個環(huán)節(jié)所需要的信息和資源進行管控，明確不同環(huán)節(jié)銜接過程中的權責義務以及責任歸屬。

對關鍵控制點進行選擇 一是崗位牽制要素。其主要包括崗位分離和轉換。二是授權。其主要是指針對同一類業(yè)務，嚴格按照金額的大小以及重要性的高低，進行決策、審批權的分別授予。三是信息溝通。這不僅是業(yè)務能夠順利推進的基礎和前提，更是實施內部管理控制的關鍵性手段。四是檢查監(jiān)督。雖然通常情況下其都是事后進行的，但是其也會起到一定的威懾作用，影響到業(yè)務的整個執(zhí)行過程。五是記錄。其之所以重要，是因為能夠為所有的經濟活動發(fā)生留下證據。

生成具體的評價指標 評價指標的建立必須嚴格遵循可操作性以及合理性的原則，前者主要是指指標在實際操作的過程中可以得到相應的評估和考察，后者則是指指標在內部管理控制的過程中產生的約束作用，規(guī)避與企業(yè)實際業(yè)務不契合的指標納入其中。

除此之外，在設計評價指標的過程中需要注重對結果性指標和措施性指標的選擇，前者主要是指針對內部控制的實施效果制定相應的指標，如內部控制健全率、集體決策率等，前者主要是指借助各種控制手段所建立的指標，如審批記錄、檢查、崗位分離等?；谶@些原則，進一步確定業(yè)務評價指標的相關關鍵控制點，如“審核與確認控制”一項，因為法律中介機構或者企業(yè)的法務部沒有按照規(guī)定進行審核，就可以標注為灰色；如“記錄控制”是關于檔案記錄的關鍵控制點，如果沒有建立采購項目臺賬或者檔案借閱登記簿，就可以標志為灰色。如果其他關鍵控制點在對比審查的過程中沒有發(fā)現(xiàn)更進一步的問題，就要標注為白色。在完成首次評價后，需要針對不同顏色表示的評價結果，改進標志有顏色的關鍵控制點和業(yè)務環(huán)節(jié)。等到再度進行評價時，需要對這些內容進行重點關注，持續(xù)按照要求以及目標實施改進，如此循環(huán)，直到問題徹底解決、現(xiàn)象徹底消失為止。

報告撰寫 一是對內部控制的現(xiàn)狀進行評價。其主要包括對企業(yè)內部控制現(xiàn)狀究竟處于哪種水平，具體存在哪些優(yōu)勢和不足進行判斷。二是提出相應的改進措施。其主要是指需要針對內部控制現(xiàn)狀和評價過程中意識到的問題和不足，討論最終成效與前期制定的目標究竟有何差距、差距如何產生，如何能夠采取有力的措施控制差距，結合企業(yè)目前已有的內部管理控制水平，明確為了達成內部管理控制目標具體可以選擇的措施，各個部門、崗位究竟可以從哪些角度采取行動等，并且確定相應的操作步驟和實施計劃。

企業(yè)內部控制評價審計程序的選擇

了解企業(yè)內部控制結構，導入兩種不同的職責分離評價模型 企業(yè)內部控制審計的步驟之一就是了解內部控制，評估內部控制的完整性，以確定具體需要測試的項目并制定科學的測試計劃。結合內部控制要素的構成情況、可以利用的審計資源以及企業(yè)信息集成環(huán)境特征，內部控制體系可以被劃分為核心結構、基本結構以及自我評價結構三個部分。其緊密相連，以人工或者自動執(zhí)行的方式，在企業(yè)運營管理的多個階段實現(xiàn)交互。

核心結構對內部控制的態(tài)度直接決定了對企業(yè)的態(tài)度、行為以及最終實施效果，主要包括對企業(yè)戰(zhàn)略的貫徹落實、戰(zhàn)略方針的制定以及傳達；基本結構決定了企業(yè)內部業(yè)務循環(huán)的過程、實現(xiàn)方式以及詭計，主要是指通過對資源進行整合，達到對核心結構的有效支持；自我評價結構通過日常開展、持續(xù)進行的監(jiān)督管理活動，保證內部控制的實現(xiàn)效果，包括以審計職能為主要的評價和監(jiān)督控制系統(tǒng)。

針對企業(yè)的內部控制結構，具體可以導入兩種職能分離評價模型，即靜態(tài)職責分離模型和動態(tài)職責分離模型。

靜態(tài)職責分離模型主要是針對企業(yè)內部控制的核心結構以及自我評價結構進行工作，但是僅限于對高層崗位職能進行約束，如企業(yè)的流程上報、重大事項的審批決策、自我評估機制以及責任簽署流程等。審計主體需要依靠自身的力量，通過必要的調查和詢問，主導審計工作的開展；動態(tài)職責分離模型約束交易流程系統(tǒng)時系統(tǒng)會話可以激活的對象以及時序，評價對象主要是內部控制體系的基本結構，如各類單據輸入后對匹配的激活機制進行識別，合法執(zhí)行人的認定，對企業(yè)所有價格調整、折扣確立、退款以及費用調整等進行處理，采取有力的措施及時解決角色委派時存在的潛在性沖突。審計主體主要是評價企業(yè)自身的力量或者借助一定的信息技術優(yōu)勢，借助模型測試進行評價。進入到審計的這一環(huán)節(jié)，需要在深入了解信息技術的前提下，及時對內部控制的信息技術支撐系統(tǒng)運行發(fā)表建議。

根據內部控制系統(tǒng)的特點進行符合性測試 符合性測試是內部控制評價審計的第二步，目的在于收集足夠的證據，及時對某一認定中的風險要素進行評估。實務推進的過程中，往往會對業(yè)務循環(huán)所需要遵循的管理控制進行嚴格的符合性測試，尤其是在信息集成的環(huán)境下，內部控制工作往往會和流程管理緊密地銜接在一起，改進業(yè)務循環(huán)系統(tǒng)和預算管理部門、預算執(zhí)行部門之間缺乏聯(lián)系的情況。簡單的一次測試可以證明內部控制體系當中多個控制點的一貫應用，進而提高符合性測試的有效性。事實上，盡管測試樣本的選擇并非出于利益需要考量，但是必須圍繞系統(tǒng)特點進行測試作業(yè)。

從信息流轉源頭開始進行控制測試。以某企業(yè)為例，內部控制的源頭在于原料的選擇，相關部門需要嚴格遵守內部管理控制流程的具體要求，先是要在具體簽訂合同的過程中，同步簽訂合約期限并說明每一筆費用產生的記錄；后是從制度的角度著手，確保從業(yè)人員能夠嚴格錄入合同條款?；谶@一流程，測試樣本需要按照這樣的流程進行測試：對客戶的自信等級進行評價，評估催收以及預付款比例等的存在程度，對評價口令授權的控制體系的有效性進行評價。但是在非企業(yè)的集成環(huán)境當工作，因為會計信息和業(yè)務信息以及在處理、采集和傳輸信息的路徑上呈現(xiàn)出明顯的不同，為了評價其彼此之間互為遵守內容的完整度以及匹配性，需要同時選擇多個敏感的信息源進行測試，及時在賬務證明、實施證以及賬務之間進行程序核對。

隨著信息集成系統(tǒng)工作特性的變化，進行取證基本程序的調整。不可否認的是，信息集成系統(tǒng)內部本身就存在一定程度的稽核控制點，針對執(zhí)行順序，取證程序也需要進行調整和改變。比如當被審計對象的現(xiàn)金收支已經占據貨幣資金較高的比例時，如何確認銷售、成本以及采購的及時結轉，自然就會成為審計的重點與關鍵。

在對企業(yè)內部控制流程進行解讀的基礎上，實現(xiàn)對測試樣本的系統(tǒng)設計。凡是納入企業(yè)內部管理控制范圍內的活動，整體上表現(xiàn)為一個個具體可以進行控制的關鍵點，只要對其進行測試評價，就能夠對企業(yè)的內部控制整體情況進行評估。在具體的信息集成環(huán)境當中，針對某一活動的關鍵控制點并非拘泥于活動本身，而是需要將其進行適度的分解，然后關聯(lián)到其他方面，甚至比例較之活動的發(fā)生地點會更為明顯，在具體控制形態(tài)的呈現(xiàn)方面就會表現(xiàn)出傳遞以及繼承的現(xiàn)象，控制效果以及具體的累積形式自然而然就會體現(xiàn)在系統(tǒng)當中。而且因為各個子系統(tǒng)之間的聯(lián)動性進一步增強，為了避免數(shù)據被重復錄入，需要在系統(tǒng)進行初始化定義的階段，存貨科目直接在存貨系統(tǒng)當中進行定義，反之和存貨相關的其他信息，則需要在采購、銷售等系統(tǒng)當中另行進行定義。

企業(yè)內部控制評價審計程序的規(guī)范保障措施

對內部控制風險進行評估，對控制體系的自我評價結構進行整合利用 一方面，信息集成環(huán)境當中的內部控制環(huán)境變化，通常是由企業(yè)組織結構的變化、系統(tǒng)功能的擴展、經營戰(zhàn)略的變化所致，出現(xiàn)信息流轉方向以及信息覆蓋面的改變，如此一旦信息集成系統(tǒng)專業(yè)知識匱乏，必然會導致對控制風險評估的結果；另一方面，內部審計工作歸根到底是企業(yè)內部控制的一部分，更是對內部控制其他環(huán)節(jié)實施監(jiān)督的有力之舉，其能夠幫助企業(yè)信息系統(tǒng)在開發(fā)、保持以及實施等多個方面呈現(xiàn)連續(xù)的信息，了解到系統(tǒng)本身沒有提及的情況，從整體性出發(fā)，評估若干事項對企業(yè)造成的影響。但是要想實現(xiàn)這一目標，必須確保內控評價系統(tǒng)結構的獨立性。

切實提高審計人員的專業(yè)素養(yǎng) 一方面，企業(yè)內部需要對審計人員進行嚴格的培訓以及篩選，只有通過培訓和資格要求的審計人員才可以參與工作；另一方面，因為內部審計工作的進展十分煩瑣，為了確保審計對企業(yè)經濟效益的提升能夠起到輔助性的作用，審計人員需要不斷累積經驗、進行學習，在推進日常工作的過程中，需要積極尋找解決問題的辦法，通過和專業(yè)人士進行溝通，最終達成快速、正確、有效的事務解決方式。

（作者單位：陜西瑞科新材料股份有限公司）