内部控制审计的程序和方法.docxVIP

内部控制审计的程序和方法

内部控制审计作为现代企业治理的关键环节，旨在评估企业内部控制体系的设计有效性与运行有效性，从而合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。其程序和方法的专业性与严谨性，直接决定了审计工作的质量与成效。

一、审前准备与规划阶段

凡事预则立，不预则废。内部控制审计的准备与规划阶段是整个审计工作的基石，其充分与否直接影响后续审计程序的效率和效果。

首先，审计团队需对被审计单位进行深入的初步了解。这不仅包括其行业背景、业务性质、组织结构、经营规模、企业文化等宏观层面，还需关注其业务流程、关键岗位设置、授权审批体系等微观细节。通过查阅以前年度的审计报告、管理层声明书、企业内部管理制度文件，以及与被审计单位管理层、治理层及相关业务部门人员进行访谈，可以快速建立对企业的整体认知。此阶段的核心在于识别潜在的高风险领域，为后续审计重点的确定提供依据。

其次，明确审计目标与范围是规划阶段的核心任务。审计目标通常围绕内部控制的五大要素展开：控制环境、风险评估过程、信息系统与沟通、控制活动以及对控制的监督。审计范围则需要根据企业的规模、业务复杂性、以及审计资源的可获得性来综合确定，既要有足够的覆盖面以保证审计结论的可靠性，又要突出重点以避免资源的浪费。

最后，制定详细的审计计划。审计计划应包括审计的具体程序、时间安排、人员分工、重要性水平的确定以及审计风险的评估。重要性水平的设定需要结合企业实际情况，考虑定量与定性因素，以判断某项控制缺陷单独或组合起来是否可能导致重大错报风险。

二、内部控制的了解与初步评估

在明确了审计计划之后，审计人员需要对企业的内部控制进行全面而深入的了解。这并非简单地阅读制度文件，而是要理解各项控制政策和程序如何融入企业的业务流程，并在实际中发挥作用。

了解内部控制的方法多种多样，且往往需要结合使用。询问相关人员是最直接的方式，可以了解他们对岗位职责的理解、控制执行的情况以及遇到的问题。观察则是通过实地查看业务操作流程、员工执行控制的过程，来验证询问所获得信息的真实性。检查企业的规章制度、业务凭证、会议纪要、授权文件等，能够提供控制存在的书面证据。而穿行测试，即选取一笔或几笔具有代表性的交易，从头到尾追踪其在业务流程中的流转过程，检查在各个环节是否都执行了规定的控制措施，是理解控制设计和运行的有效手段，尤其有助于发现流程中的断点和控制缺失。

在充分了解的基础上，审计人员需要对内部控制的设计有效性进行初步评估。设计有效性是指内部控制的设计能够合理防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊。如果某项控制的设计本身就存在缺陷，无法实现其控制目标，那么就无需再对其运行有效性进行测试。初步评估的结果将决定后续审计程序的性质、时间安排和范围。

三、内部控制设计有效性评估

设计有效性评估的核心在于判断企业现有的内部控制制度和流程是否能够有效应对识别出的风险点。审计人员需要将了解到的控制措施与相关的风险进行匹配，分析控制措施是否能够有效降低风险至可接受水平。

例如，在采购付款循环中，对于“防止未经授权的采购”这一风险，企业是否设计了“采购申请需经适当层级审批”的控制措施？审批权限的设置是否合理？与请购部门、采购部门、财务部门是否实现了职责分离？这些都是评估设计有效性需要考虑的问题。

评估过程中，审计人员应关注控制的完整性、合理性和适当性。完整性指控制措施是否覆盖了所有重要的业务环节和风险点；合理性指控制措施的设计是否符合成本效益原则，是否过于繁琐或流于形式；适当性指控制措施的强度是否与风险水平相匹配。对于设计存在重大缺陷的内部控制，审计人员应及时与管理层沟通，并在审计报告中予以反映。

四、内部控制运行有效性测试

如果初步评估认为内部控制设计是有效的，审计人员接下来需要测试其运行的有效性。运行有效性是指内部控制在实际运行中得到了一贯执行，且执行人员具备必要的授权和能力。

运行有效性测试的方法同样包括询问、观察、检查和重新执行。询问可以了解员工是否按照规定执行控制；观察可以查看控制在特定时点的执行情况；检查则是通过审查支持性文件（如审批签字、记录凭证等）来验证控制的执行轨迹；重新执行是审计人员以独立身份，按照内部控制的规定，亲自执行某项控制程序，以判断其是否有效运行。例如，审计人员可以重新核对银行对账单与银行存款日记账的调节过程，以测试对账控制的有效性。

在测试过程中，样本量的选择至关重要，它需要基于对风险的评估和控制的重要性水平来确定，以确保样本的代表性。同时，审计人员还需关注控制执行的一贯性，不能仅依赖某一时点或某几笔交易的测试结果。

五、审计发现的汇总、评价与报告

在完成了对内部控制的了解、设计评估和运行测试后，审计人员需要汇总所有的审