论内控建设中内控审计的价值

目前有相当多的企业缺乏有效的内部控制审计机制。这缘于对企业内部控制必要性的理解还存在许多盲区，尚未真正意识到企业内部控制的必要性和重要性。这些企业的内部审计，还是依照进行了多年的传统方式进行，主要是围绕企业信息的完整性和可靠性，程序、计划的实施情况，资产、资本的安全可靠，经营目标责任的完成情况，相关法律、政策的遵循状况等方面来进行的。内部审计从当前企业的机构设置、审计方式、审计内容、工作重心和规范管理等方面，远远无法适应现代企业建立、健全内部控制制度的要求。主要表现为：首先，从机构设置看，目前相当多的企业审计机构及审计人员往往受相关人际关系影响及利益因素制约，很难完全公正、客观、独立、真实、深入地开展审计工作，提出的审计处理意见因为某些管理体制制约得不到有效的贯彻落实，因而渐渐失去了内部审计的权威性、主动性，审计部门成为很多企业可有可无的摆设，难以在内部控制监督、管理评价中取得令人满意的社会效果。其次，从审计内容上看，很多企业的审计人员将主要审计精力用于企业财务数据的合法性、真实性的查证，用于企业生产经营管理的监督上，其审计的主要功能是查出错误，而非针对企业经营管理作出有价值的评判，及时相应的管理意见和建议，审计对象紧盯在账本、凭证及会计报表等相关资料上，审查工作主要集中于企业财务领域而没有积极延伸到企业的经营和管理领域。第三，从当前一般企业的审计方式来看，企业内部审计大多为事后审计,企业内部控制评价只是作为审计的一种运用手段，远远不能形成相对独立的审计内容。因此，这种审计基本不能做到对企业内部控制进行全方位的有效评价和监督，真正实现事前预防，事中控制，把企业的经营风险降到最低程度。最后，从审计人员构成看,很多企业审计机构的人员多为财务部门出身，全面了解、掌握企业各相关业务知识的专门人才相对缺乏。而当前内部审计正由财务领域向经营、管理领域的拓展，审计人员的业务知识的缺失，严重制约了内部审计在企业内部控制制度中发挥更积极的作用。

当我们厘清了企业内部控制的难点和问题之后，对于企业内部控制审计的作用就有了针对性地认识，使内部控制审计成为监管部门的必然选择。首先，《企业内部控制基本规范》的出台为内部控制审计提供了较为规范的制度标准，使内部控制审计有规可循，有法可依。其次，内部控制审计是有效的低成本的监管手段。财务报告审计本身就需要对被审计企业的内部控制进行评估，因而审计人员对内部控制和财务报告的审计可同时进行，可有效降低企业的审计成本。再者，内部控制审计强调企业内部控制的自我评价，使内部评价与外部评价进行有机结合，这样更利于将内部控制细化到管理流程之中。根据《企业内部控制基本规范》，内部控制审计是建立在内部控制自我评价基础上的审计，是对管理人员作出的内部控制有效性评估报告进行全面鉴证。最后，内部控制审计要求对内部控制的有效性提供合理保证,较高程度的保证意见将加重审计人员工作的责任,从而较好避免审计流于形式，促进内部控制的完善。

因此，通过科学、高效的内部控制审计，积极促进企业内部控制建设。而内部控制审计应该重点在以下几方面：

首先，企业内部控制环境的评价与审查。企业控制环境大体包含以下内容:企业的类型及经济性质；企业法人治理结构；企业管理层的经营策略；提倡的企业组织文化；企业人力资源的政策及其执行方式；企业管理职责分工及相应人员能否胜任等等。因此，企业内部控制审计的重点是审查企业错综复杂的经营活动；企业法人治理结构是否有效和健全；企业管理行为准则是否健全和行之有效；企业组织文化的相关内涵及相关成员对组织文化的理解程度；企业管理层对违反控制程序的认识态度；企业职责划分和组织结构是否合理；企业重要岗位的权力和责任的相称程度及其相关成员的胜任能力；企业管理者拥有权限的集中程度；聘用企业职工的程序及相关的培训制度；企业职工业的绩效考核、激励机制及淘汰机制等。

其次是企业风险管理的评价与审查。我们应该充分认识到，在现代市场经济复杂的环境中，企业的风险控制机制是企业不能忽视的重要管理程序。企业风险控制管理的主要内容大概为：建立企业有效的风险管理体系，对企业面临的各类风险进行深入分析；全面研判影响企业组织目标实现的各种现实和潜在的风险。因此，企业内部控制审计应该着力于审查被审企业是否按照相关程序配备专业人员，对企业资金流通环节、高风险项目和重要管理岗位等可能出现的问题进行，应对演练和有效防范；考评企业的抗风险能力；审查企业是否建立起相对可靠的风险应对机制。

第三，企业控制活动的评价与审查。控制活动是决定企业内部控制成败之关键，如果缺乏系统的控制活动,企业内部控制的风险意识再强，环境再好，内部控制也不能起到应有的作用。企业控制活动主要内容是：企业不兼容职务必须尽早分离；企业所有经营活动均应进行相应授权；企业有效控制记录和凭证的真实性；企业所有资产和记录的完整性；企业独立的业务审核程序。因此，企业内部控制审计主要重点应该是审查企业控制活动对企业组织目标实现的具体作用；在企业建立控制活动是否具有可操作性；控制活动在企业能否有效的顺畅执行；控制活动对企业是否能完全做到有效的规避和识别风险。

最后就是企业信息与沟通的评价与审查。其主要目的是保障企业信息的真实性与沟通的时效性。企业信息与沟通主要包含如下内容：充分保障企业管理信息系统的正常、有序运行；准确、及时、完整地记录下企业所有相关信息；企业管理核心信息系统得到充分的安全保障。因此，企业内部控制审计的重点是审查企业获取财务信息以及非财务信息的相关能力；企业传递信息的渠道是否畅通、便捷；企业对信息的处理是否准确和及时；企业的管理信息系统是否有安全保障。

我们可以看出，通过严格科学的内部控制审计，能让企业的内部控制建设更规范和系统，更有利于企事业内部控制建设不断上台阶。而我们更应该清楚，企业内部控制审计也需要与时俱进，跟上时代的发展，不断探索新思路，新方法。首先，企业内部审计对企业内部控制评价的范围，不能仅仅局限于企业内部会计控制。大家知道，很长时间以来，人们对企业内部控制评价的理解，一直体现在企业制度基础的审计上，大量集中于企业会计控制。我国很多大中型国有企业，会计制度建设比较充分和健全，但因为控制环境问题受到长期忽略，使企业管理环节普遍存在某些缺陷，这就容易导致企业会计控制失灵并出现很多问题。因此，内部控制理论的学习对审计人员日益紧迫。我们应该对企业内部控制的评价，拓展到企业内部控制的每个层面，触及到每一个重要的控制系统，特别是对控制环境中企业文化建设和企业法人治理结构等过去被审计忽略的方面，给予足够的建议和关注，这样才能有效地促进企业内部控制的建设。其次，企业内部控制审计运用风险导向内部控制评价模式。风险导向内部控制评价模式，在企业内部审计领域的充分运用，审计人员需要在审计方法上进行切实改变，把传统评价模式，即只对企业内部控制系统的历史运营情况提出意见和建议，改变为把审计重点着力于评判企业未来经营发展所面临的潜在风险，审查企业为降低和消除这些风险所进行的管理活动上来。充分结合企业制定的经营管理目标，内部控制评价的重点，以风险评估的结果为评判基础，根据其影响程度、风险性质和企业可承受能力，去系统地评判内部控制的有效性和可行性。对企业是否将其存在的风险能够降低到企业可以承受的水平，作出控制措施的客观评价，企业根据自身风险管理的需求提出并决定管理、控制风险的方法和具体建议，寻找降低风险的有效途径，将审计结果直接与企业经营目标和风险控制紧密联系在一起，对企业经营认真把脉，为企业创造更多的价值。

总之，企业内部控制审计是内部控制的必要手段，是加强和规范内部控制的重要措施。

本文作者：陈崇嘉 单位：成都铁路局多元经营集团公司审计部