师 萍

随着内部控制建设进程的加快和现代企业制度的建立完善，传统的经济责任审计、报表审计已经不能满足管理层对内部控制审计的要求。企业将内部控制的监督、评价作为重要工作内容，寻找内部控制薄弱环节，对企业内部控制建设是否健全和抵御风险能力程度进行衡量，从而有效防范和化解企业各种经营风险和财务风险，不断强化内控建设措施，促进企业建立、实施和评价内部控制，确保企业健康发展。

一、当前企业内部控制审计存在的问题

（一）内部控制审计范围有待明确

内部控制审计的范围，直接决定着审计的质量、成本和责任，决定着审计的可行性。为了遏制内部控制的各种可能的外部性，为财务报表使用者提供尽可能多的附加信息，促进被审计单位全面加强内部控制建设，内部控制审计应当以整个内部控制为审计范围。但是，由于内部控制是一个内容广泛的概念，至今没有一个明确的边界。

（二）内部控制审计目标不是很明确

内部控制审计目标决定着审计的范围、审计程序的选择与运用、审计意见的表达、审计质量的衡量和审计责任的界定。为了确保审计质量，防范审计风险，避免注册会计师承担过高的审计责任，审计准则应当明确内部控制审计的目标。但遗憾的是，目前相关审计准则尚未对内部控制审计的目标做出明确规定。笔者认为内部控制审计应当对被审计单位内部控制自我评估报告的真实性和合法性发表审计意见，为内部控制自评报告的真实性和合法性提供合理保证。为了让注册会计师能够提供合理保证，审计准则应当明确审计范围和应当实施的审计程序。

（三）内部控制审计程序不明确

为了确保内部控制审计能够为内部控制自我评估报告的真实性和合法性提供合理保证，相关审计准则必须明确内部控制审计应当实施的审计程序，否则内部控制审计质量就无法保证。但是，由于内部控制审计实施时间不长，加之与财务报告相关的内部控制的概念尚未得到清晰的厘定，尽管国外内部控制审计已有一些实践经验，并从中总结出了一些行之有效的审计程序。但是这些审计程序依然是不系统的。国外的实践表明，从公司层面控制入手自上而下地进行审查，是比较切实有效的内部控制审计方式。据此笔者认为，系统有效的内部控制审计程序至少应当包括两个层次：企业总体层次的内部控制审计程序和业务类型或业务单元层次的内部控制审计程序。企业总体层次的内部控制审计程序是从企业内部控制整体框架五要素入手系统设计的，可以有效测试内部环境完善性的审计程序、风险评估有效性的审计程序、控制活动有效性的审计程序，信息与沟通有效性的审计程序和监督检查有效性的审计程序。业务类型或业务单元层次的内部控制审计程序，是从影响企业财务报告公允真实性的各类业务或业务单元入手系统设计的，可以有效测试各类业务或业务单元相关内部控制有效性的审计程序。在审计过程中，注册会计师应当先实施企业层次的内部控制测试程序，再根据企业层次内部控制测试的结果及各类业务或业务单元对财务报表公允真实性的影响程度，实施业务层次的内部控制测试。

（四）关于内部控制审计成本的控制问题

成本问题始终是影响内部控制审计实施的重要问题。我国要切实有效地推行内部控制审计，在制定的审计准则中也必须有防止审计成本过高的对策，在实施审计中也必须有控制审计成本过高的对策。解决审计成本过高的直接对策是降低成本。在实施审计中，可以实施能同时满足实质性测试和内部控制测试两个目标的审计程序，最大限度地利用档案资料和他人工作结果等等。解决审计成本过高的间接对策是通过突出重点提高成本投入的效益。在审计实施中，注意从公司层面控制入手，开展自上而下的审计工作，以风险为导向，选择控制测试的性质、时间和范围，尽可能选择那些能够同时达到多个审计目标的综合性审计程序，充分挖掘审计证据的作用等等。

二、加强企业内部控制审计的途径

（一）企业的一切活动都存在于内部控制之内，在审计项目工作中，不仅要对每项业务涉及到的内部控制的健全性和执行情况进行有效评价，而且还要通过内部控制评价，确定审计重点和审计风险更好指导审计工作

评价其能否能抵御和控制企业面临的各种风险，关键控制和程序能否保证内控目标的实现，要及时向管理层反映发现带有普遍性、倾向性的问题和控制薄弱环节，内控审计师对企业内部控制出现的薄弱环节要及时做出详细的评价步骤和报告，并提出改进建议。管理层要重视内部审计的制度化、规范化、程序化管理以及队伍建设，关注报告，采纳报告中提出具有科学合理、行之有效的审计建议，使企业的职能部门的管理职能进一步规范和完善。

（二）专门评价企业内部控制单独立项

企业把内部控制的监督、评价作为重要的工作内容，专门评价，单独立项。一些内部控制存在的问题只是在查账过程中发现，企业可以选择检查、监盘、观察、计算、查询及函证和分析性复核等方法全面有序的测试各部门、各环节。并依据审计部门的评价意见测试结果和编写的审计报告。相关部门改进管理，完善制度，防范和化解企业各种经营风险，提出强化内控建设措施。

（三）进行内部控制自评

可以在业务流程层面上或者是企业层面上实施企业对控制有效性的内部监督和自我评价，包括：与外部人士的沟通、对运行报告的复核和核对、将信息系统记录数据与实物资产进行核对以及对其他未参与控制执行人员的监控活动等。内部控制自评为企业提供了一个管理控制风险的工具，综合控制了企业各方面，使企业对内部控制有了更全面的了解。在内控审计人员的帮助下，管理人员评估本部门内部控制的有效性和恰当性，并提出报告。既明确本部门对企业内部控制的责任，又熟悉本部门的控制过程。保证企业内部人员良好而更有效地履行责任，降低了审计成本。

（四）改变传统的内部控制在制定阶段的方法

内部控制在建立之时就交由内控审计进行评价，不能只由相关业务部门来完成。作为内控审计师，要统筹考虑并提出自己的建议，将重点放在企业内部控制全局的高度上。由内控审计活动的“发现和评价”观点向“防范和解决方案”的观点转变。在审计前要编制审计计划，在审计过程中，要编著审计报告，为减少内部审计的不规范性和盲目性，要运用观察、审核、分析等复核方法，以获取充分可靠的证据。提出有针对性的建议，增强企业整个内部控制系统的效能。

三、结束语

如今，随着内部控制审计在企业管理中所发挥的作用越来越显得重要，企业对内部管理也在不断地提高重视程度。我们在审计实务中，应充分运用先进、科学的审计手段，以理论为指导，使内部控制审计工作向更为完善和健全的程序方面发展。