一文全面了解内部控制审计

内部控制审计是通过对被审计单位的内控制度的审查、分析测试、评价，确定其可信程度，从而对内部控制是否有效作出鉴定的一种现代审计方法。

内部控制审计就是确认、评价企业内部控制有效性的过程，包括确认和评价企业控制设计和控制运行缺陷和缺陷等级，分析缺陷形成原因，提出改进内部控制建议。

内部控制审计的目的

内部控制审计的目的是检查并评价内部控制的合法性、充分性、有效性及适宜性。内部控制的合法性、充分性、有效性及适宜性，具体表现为其能够保障资产、资金的安全，即保障资产、资金的存在、完整、为我所有、金额正确、处于增值状态。所以，我们可以将内部控制审计的具体目标概括为：检查并评价内部控制能否确保资产、资金的安全，即检查并评价内部控制能否保障资产、资金的存在、完整、为我所有、金额正确、处于增值状态。

内部控制审计与财务报表审计的区别

1、财务报表审计直接评价的是财务报表，或者说直接评价资产、资金本身的安全状态，其目标对象是资产、资产本身。

而内部控制审计直接评价的是内部控制能否保障资产、资金的安全，其目标对象是内部控制，而资产、资金只是作为中间的观察对象而存在。

2、财务报表审计主要评价财务报表所反映的存量资产、资金的“静的安全”，一般不评价资产、资金的“动的安全”，即不评价资产、资金在流转中的增值性。

而由于内部控制既要保障资产、资金静的安全，又要保障其动的安全，所以内部控制审计既检查资产、资金的“静的安全”，又检查资产、资金的“动的安全”。

内部控制审计的五大要素

第一，内部控制环境，即评价以公司治理结构、机构设置和权责分配、内部审计、人力资源政策、企业文化在内的内部控制环境对企业经营管理活动的影响。

第二，风险评估，即分析企业风险控制目的设置的合理性，评价开展风险评估范畴的全面性、风险评估结果的有效性和风险应对策略的科学性。

第三，控制活动，即评价企业根据风险评估结果设置的内部控制措施的科学性和控制效果的有效性。

第四，内部控制信息和沟通，即评价企业内部控制相关信息在收集、处理和传递程序的科学性，分析信息技术在内部控制信息和沟通中所发挥作用的情况，判断企业在反舞弊工作重点领域相关工作机制的有效性。

第五，内部监督制度，即分析企业内部审计机构和其他内部机构在内部监督中的职责权限情况，判断企业实施内部监督的程序、方法和目的要求的科学性，评价内部控制监督制度的有效性。

内部控制审计的主要内容

1、内部控制审计计划及重大修改情况;

2、相关风险评估和选择拟测试的内部控制的主要过程及结果;

3、测试内部控制设计与运行有效性的程序及结果;

4、对识别的控制缺陷的评价;

5、形成的审计结论和意见;

6、其他重要事项。

内部控制审计的程序步骤

1、了解企业的内部控制情况，并做出相应的记录。这是内部控制制度审计的第一步，其主要目的是通过一定手段，了解被审计单位已经建立的内部控制制度及执行的情况，并做出记录、描述。

2、初步评价内部控制的健全性。确认内部控制风险，确定内部控制是否可依赖。在对控制环境、控制程序和会计系统进行调查了解，对被审计单位内部控制有了一个初步的认识的基础上，应对内部控制风险和内部控制的可依赖程度做出初步评价。

3、实施符合性测试程序，证实有关内部控制的设计和执行的效果。通过对内部控制进行初步评价，可基本掌握被审计单位内部控制的强弱环节，为进行符合性测试确定一个前提。

4、评价内部控制的强弱，评价控制风险，确定在内部控制薄弱的领域扩展审计程序，制定实质性审计方案。

内部控制审计的形式

进行内部控制审计有两种形式，一是专项内部控制审计，二是辅助财务 审计的内部控制评价。两种方式既有联系又有区别。两者的理论范围、基本程序和方法都基本相通，两者的结论也可以互相利用。但两者有区别:

1、目的不同。前者的目的是对该单位的内部控制的合理性和有效性发表意见;后者的目的是在了解、测试与会计相关的内部控制的基础上，评估其控制风险，在根据控制风险评估结果修订审计计划和确定实质性测试的性质、时间和范围，进而对会计报表发表审计意见。

2、范围不同。前者的范围是企业所有的内部控制制度的设计和执行情况;后者的范围是与 有关的内部控制，范围要小。

3、对评价准确程度的要求不同。前者对内部控制的有效性直接发表意见，因而要求评价结论有较高程度的保证水平;后者评价意见仅仅作为实质性测试的依据，评价精度比前者要低。

随着内部控制重要性的提高，实践中人们已经越来越多将其作为独立的专项审计目标单独开展，尤其对于公司，专项内部审计已经成为其加强对下属子公司和分部门监督和管理的有效工具。

内控制度审计的作用主要包括

1、有利于确定合理的审计程序并提高审计工作效率；

2、有助于确定审计程序的实施程度以及突出审计工作的重点；

3、有助于完善内部控制制度；

4、有助于将审计重心由事后审计向事前审计进行转变。

内部控制审计基准日

内部控制审计基准日，是指注册会计师评价内部控制在某一时日是否有效所涉及的基准日，也是被审计单位评价基准日，即最近一个会计期间截止日。注册会计师对特定基准日内部控制的有效性发表意见，并不意味着注册会计师只测试基准日这一天的内部控制，而是需要考查足够长一段时间内部控制设计和运行的情况。

内部控制审计发现问题的方法

内部审计的宗旨是通过审查和评价经营活动及内部控制的适当性、合法性和有效性来促进组织目标的实现。[更多审计内容关注微信公众号内审兵工厂]要完成这个任务，去发现经营活动及内部控制中的问题并改善问题无疑是一种很好的办法。那么内部审计怎样才能发现问题呢?

一、问题潜伏在“能力不胜任与经验不丰富”中

能力不胜任与经验不丰富包括被审计单位的人员刚就职、人员刚轮岗、人员专业能力欠缺或经验不丰富等情况， 这容易都容易带来问题，造成工作效率低、技术落后、产生质量事故，甚至影响到整体。

内部审计人员在审计前期应该取得被审计单位的'人事信息，分析相关人员尤其是关键岗位人员的胜任能力，若存在“能力不胜任与经验不丰富”的情况，分析是管理上的问题、出于培养新人的考虑还是条件受限，进而检查是否有师带徒及完善的检查复核机制。

二、问题存在“准备不充分”中

准备不充分包括时间紧迫、盲目乐观、人财物匮乏或对 突发的外在影响考虑不足(停电、断网、极端天气、社会事件)，在准备不充分的情况下就开始生产经营活动，其风险是不言而喻的。

内部审计人员应该注意对被审计单位生产经营活动准备的充分性给予评估，关注相应的方案、应急预案和保障措施是否充分到位。

三、问题隐藏在“疲劳工作”中

人的精力总是有限的，注意力是容易分散的，在持续工作或疲劳工作的条件下是容易出差错的，造成工作结果——信息的不完整、不准确。

内部审计人员可以通过访谈或者审查信息系统中的时间信息来评估这种风险。

四、问题滋长在“自以为是”中

人总不自觉的有散漫的、有以自我为中心的倾向，客观地认识自己以及实现高度的自律是很有挑战的。如果公司下达一项任务，它有模糊的地方、有回旋的余地，执行者很容易以自己的理解、在尚不能够准确领会上司意图的情况下去操作，甚至在遇到困难时降低标准，最终导致生产经营计划执行不到位、完成的效果差或结果偏离目标。

如果这一过程中信息不能得到准确的传递与反馈，并缺少标准化、强制性的要求，那么内部审计人员就要提高警惕了。

五、问题植根在“贪婪与恐惧”中

贪婪与恐惧是人类与生俱来的缺点，更多时候人们不会表现得这么极端，而是介于这两种状态之间，却又很难是心态平和的。在“贪婪”时，生产决策与行为会倾向于激进，骄兵必败;而在恐惧时，又会显得畏首畏尾，丧失机会。“贪婪与恐惧”即不能客观理性地认识自己、把握外界，使得现实与理想总是差距很大，成为导致生产经营目标难以达成的重要原因。

企业为什么要开展内部控制审计

第一，内部控制环境，即评价以公司治理结构、机构设置和权责分配、内部审计、人力资源政策、企业文化在内的内部控制环境对企业经营管理活动的影响。

第二，风险评估，即分析企业风险控制目的设置的合理性，评价开展风险评估范畴的全面性、风险评估结果的有效性和风险应对策略的科学性。

第三，控制活动，即评价企业根据风险评估结果设置的内部控制措施的科学性和控制效果的有效性。

第四，内部控制信息和沟通，即评价企业内部控制相关信息在收集、处理和传递程序的科学性，分析信息技术在内部控制信息和沟通中所发挥作用的情况，判断企业在反舞弊工作重点领域相关工作机制的有效性。

第五，内部监督制度，即分析企业内部审计机构和其他内部机构在内部监督中的职责权限情况，判断企业实施内部监督的程序、方法、目的等要求的科学性，有效性。

来源：内审兵工厂