浅议内部审计如何在企业开展内部控制评价.doc

浅议内部审计如何在企业开展内部控制评价内容摘要：企业内部控制基本规范的发布对推动我国企业内部控制体系建设，开展内部控制有效性监督与评价，全面实现内部审计转型与发展，具有里程碑意义。内部审计如何在企业开展内部控制评价，本文从评价的前提条件、具体内容、途径、程序等方面进行探讨。关键字：内部审计 内部控制评价为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，财政部与中国证监会等五部委联合发布了企业内部控制基本规范（以下简称基本规范）。基本规范为我国未来内部控制制度建设提供了基本框架，标志着我国企业内部控制体系建设走上了法制化、规范化的轨道，这对推动我国企业内部控制体系建设，开展内部控制有效性监督与评价，全面实现内部审计转型与发展，具有里程碑意义。一、内部审计与内部控制的关系内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。内部控制是一个实现内部控制目标的动态管理过程。内部审计，是指企业内部的一种独立客观的监督、评价和咨询活动，通过对经营活动及内部控制的适当性、合法性和有效性进行审查、评价和提出建议，促进改善企业运行的效率效果，实现企业发展目标。内部审计既是企业内部控制体系的一个组成部分，又是内部控制体系有效性的确认者。从内控组织来看，内部控制是总体控制，内部审计是内部控制的一个方面。从内部审计的作用来看，内部审计是对内部控制执行情况的一种监督，是对其他内部控制的再控制。参与企业内部控制体系建设，确保企业内部控制持续有效运行，既是企业内部审计的法定职责，也是企业内部审计的发展机会。二、内部审计开展内部控制评价的前提条件（一）必须建立内部审计的独立性 内审机构的设置应高于其他职能部门，内审部门应对董事会负责，在业务上接受监事会的指导，这种组织形式有利于内部审计作用的发挥，使得内审部门能够更加客观、公正、深入地开展内审工作，做出的审计意见也能够得到更加有效的贯彻执行。（二）内部审计人员的配备加强内审人员的配备及业务培训也是有效开展内部控制评价的前提条件。随着内审工作领域向管理经营方面的拓展，内审机构在人员的构成上也应是多元化的，不仅要懂财务，而且要配备精通企业各相关业务、有丰富经验的人员加入内审部门。同时加快业务更新与培训，以适应市场规则和不断变化的法律、法规的要求，更好地提高内部审计的工作质量和效率。三、内部审计开展内部控制评价的具体内容（一）内部控制评价的含义内部控制评价，包括对内部控制设计有效性和运行有效性的评价。内部控制设计是构建内部控制的前导性工作，内部控制设计的有效性直接决定内部控制运行的效果。内部控制设计有效性评价，即对实现控制目标所必需的内部控制要素是否都存在，设计是否恰当进行评价。内部控制运行有效性评价是指对现有内部控制是否按照规定程序得到了正确执行，是否达到了预期的控制效果进行评价。（二）内部控制评价的具体内容内部控制是由内部环境、风险评估、控制活动、信息与沟通、内部监督这五大要素构成的。内部审计在开展内部控制评价时就应该对应这五大构成要素进行全面系统、有针对性的评价。1、内部环境评价内部环境是企业实施内部控制的基础，任何企业的内部控制都是在特定的内部环境中实施的，内部环境不但直接影响内部控制的建立，还直接决定内部控制实施的效果。内部环境一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。内部审计在进行内部环境评价时重点关注治理结构是否形同虚设；机构设置是否重叠；权责分配是否明晰；人力资源政策和激励约束机制是否科学合理；企业文化是否促进员工勤勉尽责等。2、风险评估评价风险是指对企业达到自身经营目标和执行战略产生不利影响的威胁，通常由发生的可能性和产生影响的程度两个要素组成。企业面临风险会对其实现既定目标产生影响。风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。内部审计关注风险识别的充分性；风险分析的恰当性；风险应对策略的充分性有效性。3、控制活动评价控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。控制措施的实施就形成了内部控制制度，这是内部审计评价的重要内容。评价不相容职务分离控制的实施，内部审计应当系统分析业务流程中的控制点，关注企业内岗位职责的设定，是否存在相互制约的控制点被安排在同一岗位的职责中；评价授权审批控制的实施，内部审计对企业编制的常规授权权限指引进行审查，看企业的各项业务流程是否都合理安排授权、审批程序；对会计系统控制的评价一直就是内部审计的基本内容之一；内部审计通过对财产的记录、盘点资料、报表等定期或不定期的进行重点抽查，审查相关手续、记录是否完整，账务处理是否及时正确来评价企业财产保护措施实施情况；内部审计关注企业预算控制的有效性，一方面是预算编制的可行性、准确性，另一方面是可行准确的预算得到了切实的执行；内部审计评价营运情况分析制度的有效运行，关注其是否能合理分析企业获取的各类信息，改善企业运营状况，将风险控制在可承受度之内；人是内部控制制度的主体，各种控制措施都需要具有相应素质的人员来执行，如果人员素质不符合要求，控制措施就会失效，因此内部审计要关注企业是否建立科学有效的绩效考评制度，是否以考评结果为依据决定企业员工的岗位安排。4、信息与沟通评价信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。信息是企业的资源，是企业各种经营管理行为的依据，信息的质量对管理层能否作出恰当的经营管理决策具有重大影响。充分、及时的沟通有助于管理当局了解经营活动存在的问题，客观地评价各部门的工作。迅速采取有效的管理措施来保证企业经营活动的健康运行。信息与沟通评价主要包括企业获取及处理信息的能力。内部审计要对企业信息系统的健全性、有效性和安全性进行审查与评价，关注反舞弊机制的有效运行，举报投诉制度和举报人保护制度的建立健全。5、内部监督评价内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。内部控制是一个动态管理过程，随着时间的推移和环境的变化，曾经有效的内部控制可能会变得无效，因此，对内部控制的制定、执行及效果需要进行跟踪式的监督与评价，以便满足管理当局根据环境变化适时调整内部控制系统的需要，确保内部控制系统完整、有效。内部监督评价主要就是评价监督机制是否执行并有效。四、内部审计开展内部控制评价的途径 （一）参与企业内部控制设计，改变内部控制完全由业务部门来设计的传统做法，使内部控制在设计阶段就交由内部审计进行评价。内部审计站在企业内部控制全局的高度，统筹考虑并提出自己的建议，最大限度地克服内部控制建立时可能就有的设计缺陷。（二）在日常审计项目中，不仅通过内部控制评价，确定审计重点和审计风险，用以指导审计工作，而且还要对该项业务涉及到的内部控制的健全性、适当性、执行的有效性进行评价，评价其关键控制和程序能否保证内控目标的实现，能否有效抵御和控制企业各种风险，发现控制弱点和控制缺陷，及时报告管理层。此外，日常审计项目中发现的问题和企业发生的“非正常事件”，往往暴露出企业内部控制的薄弱环节，内部审计应及时对相关的内部控制进行更为详细的评价步骤，提出改进、完善内部控制的建议。（三）组织管理部门开展内部控制自评。内部控制自评是指由内部审计人员与被审部门管理人员组成审计小组，管理人员在内部审计人员的帮助下，对本部门内部控制的恰当性和有效性进行评估，提出报告。内部控制自评可以让管理部门更好地熟悉本部门内部控制情况，明确本部门对企业内部控制的责任，促进其更好地履行职责；同时，还可以从执行者的角度更好地反映当前内部控制中存在的问题。既降低了审计成本，减少了审计人员工作量，又使内部审计达到了更好的效果。（四）开展专门的内部控制审计进行内部控制评价。如上所述，内部审计机构在进行各种审计如财务审计、经营审计时，通常要进行内部控制评价程序来确定审计的重点和范围，这过程中通常会对内部控制的设计和执行情况提出意见，但是因为目标和方法所限，不能深入具体，且往往是片面的局部的，并不能获得彻底的了解，很难提出建设性的针对内部控制的审计意见，单独针对内部控制展开审计就很有必要。按照涉及内部控制的范围，内部控制审计大致可分为如下三类：1、业务循环内部控制审计，指对某个业务循环实施的控制进行审计，按照经济组织的业务纵向展开，专门审计业务循环内部控制。2、非独立部门内部控制审计，指针对某个非独立核算的部门或机构所涉及的内部控制进行审计。3、独立单位内部控制审计，指对企业所属的独立核算单位的内部控制进行审计。它们自己本身可能有一套内部控制，同时还要执行经济组织作为整体的内部控制。五、内部审计开展内部控制评价的程序（一）调查了解内部控制内部审计处于组织之中，在环境和信息上占有优势，但也不可能对组织中所有管理层面、设置机构的具体情况都了解掌握，因此了解被评价对象基本情况对于开展内部控制评价是十分必要的。1、通过收集查阅资料，了解被评价对象基本情况，包括内部控制所涉及单位的基本情况、内部控制文件和记录、业务流程等。2、实施问卷调查，了解记录内部控制设计及运行情况设计调查问卷用以记录组织机构在各业务流程控制的具体执行情况与评价过程。调查问卷通常包含：控制要求；实际操作描述；规章制度索引；负责部门；控制设计缺陷。编制调查问卷填写指引，以明确调查问卷每项内容的填写要求，规范各部门填写调查问卷，保证填写的质量。仔细阅读各部门的回答，判断其内容是否一致、逻辑性是否清晰，提出问卷描述中不够详尽的地方，要求问卷填写人补充。归纳相关部门所涉及的问题，并据此准备谈话提纲以及相应的内部控制制度清单。在谈话过程中，完整准确地记录内容，避免内容的偏差。谈话后，及时整理内容，修改问卷，进行归纳总结。通过上述方法，了解企业的各项业务流程，了解内部控制内容，把内控制度直接描述出来，初步评价内部控制健全性。（二）评估控制风险以企业的各项业务流程为主线，分析其中的控制点，评估控制风险，确定关键控制领域，检查在关键控制领域是否建立了内控制度，据此确定下一步是否进行符合性测试和实质性测试。（三）符合性测试阶段对关键控制领域建立的内控制度实施符合性测试，即进一步检查其在实际经济活动中是否得到贯彻执行，以及执行程度如何及其中的缺陷和薄弱环节。可以通过穿行测试、绘制流程图以及现场观察等方法进行符合性测试，并据此编制符合性测试工作表。（四）实质性测试阶段对风险评估中确定为关键控制领域却未建立内控制度或控制薄弱的业务系统或业务环节以及符合性测试认为不执行或执行不力的系统和环节，内部审计要实施实质