内部控制审计评价要怎样做?

在当今复杂多变的商业环境中，企业面临着来自市场竞争、法律法规监管以及内部管理等诸多方面的挑战。内部控制作为企业管理的重要组成部分，对于保障企业资产安全、确保财务报告的可靠性以及提高企业运营效率等都有着至关重要的作用。而内部控制审计评价则是对企业内部控制有效性进行检验的关键环节，它能够帮助企业识别内部控制缺陷，及时加以改进，从而提升企业的整体管理水平和风险应对能力。因此，深入研究如何开展有效的内部控制审计评价具有重要的现实意义。

二、内部控制审计评价概述

（一）内部控制的定义与要素

内部控制是由企业董事会、管理层以及全体员工共同实施的，旨在实现企业控制目标的一系列政策和程序。根据 COSO（Committee of Sponsoring Organizations of the Treadway Commission）内部控制框架，内部控制由以下五个要素构成：

• 控制环境：这是内部控制的基础，包括企业的治理结构、管理层的经营理念与风格、企业文化以及员工的诚信意识等。良好的控制环境能够营造一种积极向上的氛围，促使员工自觉遵守企业规章制度，为内部控制的有效实施提供有力保障。

• 风险评估：企业需要识别和分析可能影响目标实现的各种风险，包括外部环境变化带来的风险和内部运营过程中产生的风险。通过风险评估，企业可以确定风险的性质和程度，从而有针对性地设计相应的控制措施来应对风险。

• 控制活动：控制活动是指企业为了确保管理层的指令得以执行而采取的一系列行动，如授权审批、职责分离、实物控制、绩效评价等。这些活动贯穿于企业各项业务流程之中，是实现内部控制目标的具体手段。

• 信息与沟通：有效的信息与沟通机制能够确保企业内部各部门之间以及企业与外部利益相关者之间及时、准确地传递信息。这不仅有助于企业做出正确的决策，还能及时发现和纠正内部控制过程中存在的问题。

• 内部监督：内部监督是指企业对内部控制的建立与实施情况进行持续的监督和定期的自我评估，以确保内部控制的有效运行。内部监督可以通过日常管理活动、内部审计等方式来实现。

（二）内部控制审计评价的定义与目标

内部控制审计评价是指审计人员依据一定的标准和方法，对被审计单位内部控制的设计和运行有效性进行审查和评价的过程。其主要目标包括：

• 评价内部控制设计的有效性：即评估企业所建立的内部控制制度是否能够合理地保障企业目标的实现，是否符合相关法律法规和行业规范的要求。这需要审计人员对企业的内部控制制度进行全面审查，检查各项控制措施是否健全、合理，是否存在设计缺陷。

• 评价内部控制运行的有效性：不仅要关注内部控制制度的设计，还要考察其在实际运行过程中的执行情况。通过测试控制活动的执行频率、执行效果等，判断内部控制是否能够按照设计要求有效运行，是否能够及时发现和纠正偏差。

• 识别内部控制缺陷：在审计评价过程中，审计人员需要敏锐地发现企业内部控制存在的缺陷，如控制环境不佳、风险评估不充分、控制活动执行不到位、信息沟通不畅等。对于发现的缺陷，要分析其性质和严重程度，并提出相应的改进建议。

• 促进企业内部控制改进：内部控制审计评价的最终目的是帮助企业完善内部控制体系，提高企业的管理水平和风险防范能力。因此，审计人员需要将审计评价结果及时反馈给企业管理层，并协助企业制定切实可行的改进措施，推动企业内部控制的持续优化。

三、内部控制审计评价的程序

（一）审计准备阶段

• 了解被审计单位基本情况

• 在开展内部控制审计评价之前，审计人员首先要对被审计单位的基本情况进行全面了解。这包括企业的组织架构、业务流程、财务状况、经营成果以及所处的行业环境等。通过查阅企业的财务报表、年度报告、公司章程等资料，与企业管理层和相关部门负责人进行沟通交流，实地考察企业的生产经营场所等方式，获取相关信息。

• 了解企业组织架构有助于明确各部门的职责分工和权力制衡机制；熟悉业务流程能够使审计人员确定内部控制的关键环节和重点审计领域；分析财务状况和经营成果可以让审计人员对企业的财务风险和经营风险有一个初步的判断；而行业环境的了解则可以帮助审计人员识别企业面临的外部风险，从而更好地评估企业内部控制的有效性。

• 确定审计范围和重点

• 根据对被审计单位基本情况的了解，审计人员需要确定内部控制审计评价的范围和重点。一般来说，审计范围应涵盖企业的主要业务流程和关键控制点，如资金管理、采购与付款、销售与收款、存货管理、固定资产、财务报告等。对于不同行业和规模的企业，审计重点可能会有所不同。例如，对于制造业企业，存货管理和生产成本控制可能是审计重点；而对于金融企业，资金安全和风险控制则更为关键。

• 确定审计重点时，还需要考虑企业的风险状况和管理层的关注点。如果企业近期发生了重大财务舞弊事件或面临较大的经营风险，那么与之相关的内部控制环节应作为重点审计对象。同时，管理层在制定企业战略和经营目标时所关注的关键领域，也可能涉及到重要的内部控制问题，需要审计人员加以重点关注。

• 组建审计团队

• 内部控制审计评价是一项专业性较强的工作，需要具备不同专业背景和技能的人员共同参与。审计团队通常应包括财务审计人员、内部控制专家、行业分析师等。财务审计人员熟悉企业的财务制度和会计核算方法，能够对财务报告相关的内部控制进行有效评价；内部控制专家则对内部控制理论和实践有深入的研究，能够从整体上把握企业内部控制的设计和运行情况；行业分析师可以凭借其对行业特点和市场动态的了解，为企业内部控制审计评价提供宏观层面的参考。

• 在组建审计团队时，还需要考虑团队成员的经验和能力水平。经验丰富的审计人员能够更准确地识别内部控制缺陷，提出合理的改进建议；而年轻有潜力的审计人员则可以带来新的思路和方法，为审计团队注入活力。同时，要明确团队成员的职责分工，确保审计工作的顺利开展。

• 制定审计计划

• 制定审计计划是审计准备阶段的重要环节。审计计划应包括审计目标、审计范围、审计重点、审计方法、审计时间安排以及审计人员的分工等内容。审计目标要明确具体，能够指导整个审计工作的开展；审计范围和重点则根据前期的了解和分析确定；审计方法应根据不同的审计对象和审计目标选择合适的程序和技术，如观察、询问、检查文件记录、穿行测试、抽样测试等；审计时间安排要合理，既要保证审计工作的质量，又要考虑企业的正常运营；审计人员分工要明确，避免出现职责不清或重复劳动的情况。

• 审计计划制定完成后，应提交给审计机构负责人或企业管理层进行审批。在审计过程中，如果发现实际情况与审计计划有较大出入，应及时对审计计划进行调整，以确保审计工作的顺利进行。

（二）审计实施阶段

• 初步了解内部控制设计情况

• 在审计实施阶段的初期，审计人员需要通过查阅企业的内部控制制度文件、流程图、风险评估报告等资料，初步了解企业内部控制的设计情况。这些文件能够反映企业内部控制的目标、原则、控制措施以及各部门之间的职责分工等信息。

• 审计人员可以结合企业的业务流程，对内部控制制度进行梳理，分析各项控制措施是否能够覆盖企业的主要业务活动，是否存在控制空白或重复控制的情况。同时，要关注内部控制制度是否符合相关法律法规和行业规范的要求，是否与企业的战略目标相一致。例如，企业在采购业务中是否建立了严格的供应商选择和评估制度，是否对采购合同的签订、审批、执行等环节进行了明确规定，这些都能从内部控制制度文件中得到体现。

• 执行内部控制测试

• 初步了解内部控制设计情况后，审计人员需要进一步执行内部控制测试，以验证内部控制在实际运行过程中的有效性。内部控制测试通常包括两类：一是控制设计测试，二是控制运行有效性测试。

• 控制设计测试主要是通过观察、询问、检查文件记录等方式，验证企业所设计的内部控制措施是否能够合理地保障企业目标的实现。例如，审计人员可以通过观察企业的财务信息系统是否具备权限设置功能，询问财务人员关于授权审批流程的执行情况，检查财务凭证上是否有相应的审批签字等，来判断企业财务报告相关的内部控制设计是否有效。

• 控制运行有效性测试则侧重于检查内部控制措施在实际运行中的执行情况。审计人员可以通过穿行测试和抽样测试等方法来进行测试。穿行测试是指审计人员选取一笔或多笔交易，沿着交易的整个流程进行追踪，检查在各个环节是否执行了相应的控制措施。例如，在销售与收款业务中，审计人员可以选取一笔销售订单，从订单的生成、发货、开具发票、收款等环节进行追踪，检查在每个环节是否按照内部控制要求进行了审批、记录和核对等操作。抽样测试则是从大量的交易样本中抽取一部分进行测试，以推断整个样本总体的控制运行情况。抽样测试的样本量应根据企业的业务规模、风险水平以及控制措施的复杂程度等因素来确定，同时要确保样本的代表性。

• 在执行内部控制测试时，审计人员需要记录测试的过程和结果，包括测试的样本选取情况、测试发现的问题以及控制措施的执行情况等