内部控制审计范文第1篇

公司治理和内部控制发展史上的三大报告

历史上看，英国内部控制的发展离不开公司治理研究的推动。20世纪80-90年代，英国的公司治理像今天的美国一样，面临着巨大的信任危机。面对创造性会计(creativeaccounting)的泛滥、公司经营的失败和连续不断的丑闻、董事薪酬激增以及企业短期行为主义猖獗等一系列公司治理问题，社会公众、监管机构的不满情绪日益升温。这一阶段也就成为英国公司治理问题研究的一个高峰期，各种专门委员会纷纷成立，并了各自的研究报告，其中比较著名的有卡德伯利报告(CadburyReport，1992)、拉特曼报告(RuttermanReport，1994)、格林伯利报告(CreenburyReport，1995)和哈姆佩尔报告(HampelReport，1998)。在吸收这些研究成果的基础上，1998年最终形成了公司治理委员会综合准则(CombinedCodeofthecommitteeonCorporateGovernance)。综合准则很快就被伦敦证券交易所认可，成为交易所上市规则的补充，要求所有英国上市公司强制性遵守。这些研究成果从理论和实践两个方面，极大地推动了英国公司治理和内部控制的发展，尤其是卡德伯利报告、哈姆佩尔报告，以及作为综合准则指南的特恩布尔报告(TurnbullReport，1999)，堪称英国公司治理和内部控制研究历史上的三大里程牌。

一、卡德伯利报告

卡德伯利报告从财务角度研究公司治理，同时将内部控制置于公司治理的框架之下。其实，1985年“公司法”S.221条款就规定，董事对公司保持充分的会计记录负责，为满足上述要求，在现实中董事必须建立公司财务管理方面的内部控制制度，包括设计程序使舞弊风险最小化。也就是说，1985年的“公司法”已经对董事确保适当的内部控制制度提出了含蓄的要求。

卡德伯利报告进一步认为，有效的内部控制是公司有效管理的一个重要方面。因此建议董事们应发表一个声明，对公司内部控制的有效性进行详细描述，外部审计师对其声明进行复核(review)和报告，同时规定在董事会认可声明之前，审计委员会应对公司的内部控制声明进行复核。该报告还认为，内部审计有助于确保内部控制的有效性，内部审计的日常监督是内部控制的整体组成部分，会计师职业应在以下方面起到领导作用:(1)开发用以评估有效性的一整套标准;(2)开发董事会报告形式的具体指南;(3)开发审计师用以相关审计程序和报告格式的具体指南。

卡德伯利报告在许多方面开创了英国公司治理历史的先河，它明确要求建立审计委员会、实行独立董事制度，同时将内部控制作为公司治理的组成部分。尽管报告尚存在许多局限性，但它所确认的公司治理的许多原则一直沿用至今。

二、哈姆佩尔报告

哈姆佩尔报告将内部控制的目的定位于保护资产的安全、保持正确的财务会计记录、保证公司内部使用和向外部提供的财务信息的可靠性，同时鼓励董事对内部控制的各个方面进行复核，包括确保高效经营、遵守法律法规方面的控制。哈姆佩尔报告认为，很难将财务控制与其他控制区分开来，并坚信董事及管理人员对控制的各个方面进行复核具有重要意义，内部控制不应仅局限于公司治理的财务方面。该报告全面赞同卡德伯利报告将内部控制视为有效管理的重要方面的观点，并认为董事会应该对内部控制进行复核以强调相关控制目标，这些目标包括对企业风险评估和反映、财务管理、遵守法律法规、保护资产安全以及使舞弊风险最小化等方面。

尽管哈姆佩尔报告所提出的准则，将公司治理向前推进了一步，但并未满足普遍的要求，其主要的批评意见集中于该报告的内容缺乏新意、委员会主要由既得利益者组成、有关原则难以付诸实施、责任不够明确等。当时贸易与工业部的负责人玛格丽特·贝凯特就认为，报告在受托责任与透明度方面仍有不足。

三、特恩布尔报告

卡德伯利报告和哈姆佩尔报告都程度不同地对公司内部控制提出了要求，作为集大成者的综合准则在“最佳实务准则(BestPracticeCode)”中对内部控制提出了综合性和原则性的规定。尽管综合准则要求公司董事会应建立健全内部控制，但是该准则并未就如何构建“健全的内部控制”提供详细的指南。因此，英格兰和威尔士特许会计师协会(ICAEW)与伦敦证券交易所达成一致，为上市公司执行准则中与内部控制相关的要求提供具体指南。1999年ICAEW组成的以尼格尔·特恩布尔(NigelTurnbull)为主席的十人工作小组公布了《内部控制：综合准则董事指南》，即特恩布尔报告。作为指导企业构建内部控制的指南，该报告的意义在于，它为公司及董事会提供了具体的、颇具可行性的内部控制指引。其主要内容是：

董事会对公司的内部控制负责，应制定正确的内部控制政策，并寻求日常的保证，使内部控制系统有效发挥作用，还应进一步确认内部控制在风险管理方面是有效的。在决定内部控制政策，并在此基础上评估特定环境下内部控制的构成时，董事会应对以下问题进行深入思考：(1)公司面临风险的性质和程度；(2)公司可承受风险的程度和类型；(3)风险发生的可能性；(4)公司减少事故的能力及对已发生风险的影响；(5)实施特殊风险控制的成本，以及从相关风险管理中获取的利益。

执行风险控制政策是管理层的职责，在履行其职责的过程中，管理层应确认、评价公司所面临的风险，并执行董事会所设计、运行的内部控制政策。公司员工有义务将内部控制作为实现其责任目标的组成部分，他们应集体具备必要的知识、技能、信息和授权，以建立、运行和监督公司内部控制系统。这要求对公司及其目标，所处的产业和市场以及面临的风险有深入的理解。

合理的内部控制要素包括政策、程序、任务、行为以及公司的其他方面，这些要素结合在一起，对影响公司目标实现的重大的商业性、业务性、财务性和遵循性风险做出正确反应，以提高公司经营的效率和效果。其中包括避免资产的不当使用、损失或舞弊，并保证已对负债进行了确认和管理。

公司的内部控制应反映组织结构在内的控制环境，包括：(1)控制活动；(2)信息和沟通程序；(3)持续性监督程序。特恩布尔报告指出了健全的内部控制所应具备的基本特征：(1)它根植于公司的经营之中，形成公司文化的一部分。换言之，它不仅仅是为了取悦监管者而进行的年度例行检查;(2)针对公司面临的不断变化的风险，具有快速反应的能力;(3)具有对管理中存在的缺陷或失败进行快速报告的能力，并且能及时地采取纠正措施。

对内部控制有效性进行复核是董事会职责的必备部分。董事会应在谨慎、仔细地了解信息的基础上形成对内部控制是否有效的正确判断。董事会应限定对内部控制复核的过程，包括一年中复核的范围、收到报告的频率以及年度评估的程序等，这也将为公司年报和记录中的内部控制声明提供适当的支持。

内部控制发展的若干趋势

一、对内部控制有效性进行报告的要求日趋减弱

内部控制审计范文第2篇

一、内部控制评价与内部控制审计

内部控制评价是对企业内部控制工作所做出的评价。《企业内部控制评价指引》将内部控制评价定义为“企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程”，并且规定“企业董事会应当对内部控制评价报告的真实性负责”。显然，该指引所称企业内部控制评价是特指企业董事会或者类似权力机构做出的自我评价，笔者称之为狭义的内部控制评价。实际上，就字面意思而言，“企业内部控制评价”并未限定谁对企业内部控制进行评价，除了《企业内部控制评价指引》规定的自我评价，企业主管部门和利益相关者、其他独立主体也可以对该企业内部控制做出评价，这些评价构成“广义的”内部控制评价。

从广义的角度看待内部控制评价，自然而然离不开“内部控制审计”。《企业内部控制审计指引》第二条规定，“本指引所称内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运用的有效性进行审计”。这个规定说明，会计师事务所作为独立主体，接受委托对企业内部控制有效性进行的“审计”，即“按照本指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见”，就是审计指引定义的内部控制审计。不可否认，对内部控制的有效性发表审计意见，本质上就是对内部控制做出的评价，属于“广义的”内部控制评价的范畴。

由于企业对自身内部控制有效性的评价与会计师事务所对企业内部控制有效性的评价从实施主体、目的、评价程序与方式方法都有不同，所以这两个“评价”工作由内部控制规范体系中《企业内部控制评价指引》、《企业内部控制审计指引》两个文件做出规范。内部控制评价作为自我评价，由企业自己完成，董事会对内控有效性所做评价负责；内部控制审计作为特定的外部评价形式，由会计师事务所完成，注册会计师对内控有效性发表的意见承担责任。笔者认为，在内部控制规范体系实施时间较短的情况下，如果从字面意思理解，把企业对自身内部控制的自我评价与会计师事务所对企业内部控制的审计混为一谈，很容易将内部控制评价和内部控制审计混淆。

二、内部控制评价与内部监督

开展内部控制评价需要“对内部控制的有效性进行全面评价”，而《企业内部控制基本规范》要求，企业建立与实施有效的内部控制，应当包括内部环境、风险评估、控制活动、信息与沟通和内部监督五大要素。其中，内部监督“是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进”。所以，进行内部控制评价，必然要熟悉“内部监督”。比较内部控制评价与内部监督的概念，发现两者的核心内容都是“评价内部控制的有效性”，如何理解二者之间的关系、有没有重复劳动？

笔者认为，企业家们的困惑一部分来自“企业内部控制评价”、“内部监督”两个概念客观存在的模糊性。第一，两者都是自我评价，两个定义没有强调彼此差异；第二，在企业实施内部控制过程中，内部监督是贯穿始终的一个要素，基本规范第六章还详细列出了日常监督、专项监督等内容，可以说是企业内部控制工作的一部分。但所谓内部控制评价又不存在日常评价与专项评价之说，而且，内部控制评价的内容还包括对“内部监督”的评价，如果套用内部监督的概念，内部控制评价是对“评价内部控制的有效性”的评价，这个表达确实不好理解。第三，在基本规范中，内部控制自我评价报告的内容出现在第五章“内部监督”部分，又让人感觉内部控制评价是内部监督的一个部分；但是内部控制评价指引要求“开展内部监督评价”、“对内部监督机制的有效性进行认定和评价”，明确表达了对包括内部监督在内的五个要素进行评价的思想，似乎不宜将内部控制评价视为内部监督的一部分。

虽然内部控制规范体系对内部监督和内部控制评价的规定，无论是条文安排方面还是概念的逻辑关系方面，都有可进一步探讨之处，但是规范体系对企业做的事情表述得很清楚：企业实施内部控制过程中，必须设置内部监督机构、健全内部监督机制、对内部控制情况进行有效监督；同时，还要根据基本规范和评价指引的要求，对包括内部监督在内的五要素进行自我评价。

三、内部监督与内部审计

内部审计是企业家们实施内部控制无法回避的有一个概念。中国内部审计协会的《中国内部审计准则第1101号―内部审计基本准则》将内部审计定义为“一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标”。给人的感觉是，内部审计的一部分内容是“审查和评价内部控制的有效性”，与内部控制基本规范对“内部监督”的定义“企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性”基本一致。内部审计定义中还涉及“审查和评价组织的业务活动”和“风险管理”，而内部监督同样也包括业务活动控制、风险评估和管理等。在专业机构给出的定义里，内部监督、内部审计就像一对双胞胎，难怪企业家们会惊呼“分不清内部审计和内部监督的区别”。

另外，内部控制基本规范规定，企业应“制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求”。显然，内部控制基本规范认为企业内部监督的主体主要就是内部审计机构（或经授权的其他监督机构）。也就是说，在实务工作中，内部监督主要也是由内部审计机构完成。考虑到内部监督和内部审计两个定义的高度近似、实务工作的密不可分，因此有的人干脆把两者合二为一、不分彼此，统称“内部审计监督”。

但是，两者合二为一并不能解决问题。《内部审计基本准则》第二章第六条规定，“内部审计机构和内部审计人员应当保持独立性和客观性，不得负责被审计单位的业务活动、内部控制和风险管理的决策与执行。”这一规定明确表明，内部审计机构和人员不得负责该单位内部控制的决策与执行，是独立于内部控制系统之外的一项审查评价活动。因此，内部审计当然也独立于内部监督之外，完全不是一回事更加不能相互替代。企业家们的困惑由此产生：内部控制规范体系要求企业建立与实施内部控制，而《审计基本准则》第二章第四条也要求“组织应当设置与其目标、性质、规模、治理结构等相适应的内部审计机构，并配备具有相应资格的内部审计人员”，而且，后者规定两个系统必须相对独立，未必企业必须、且确有必要同时搞两套功能近似的内部管理系统？

笔者认为，内部审计、内部控制（包括内部监督）都属于企业内部管理的范畴，整体上属于企业内部事务，由企业自主决定如何开展相关工作。对于一些涉及公众利益的单位，国家可能通过法规（规章和规范性文件）对单位的内部事务进行干预。内部控制和内部审计等所具有的外部性特征为国家干预提供了理论依据。从我国现实情况看，《中国内部审计准则》由民间机构中国内部审计协会，不具有法律约束力；企业内部控制规范由国家五部委联合，对相关企业具有强制力。因此，某一企业是否应该设置专门机构、如何开展内部审计和内部控制工作，应视行业管理部门和企业主管机关的要求而定；如果没有这方面的要求，企业可以根据内部管理的需要，自主决定开展或者不开展内部审计和内部控制工作。

四、分属内部审计和外部审计的“内部控制审计”

企业家们的困惑还来自扑朔迷离的两个“内部控制审计”。一是如前所述，企业内部控制规范体系的《企业内部控制审计指引》提出了“内部控制审计”的概念，指的是会计师事务所依照有关法规制度和审计指引的要求，对企业内部控制进行的审计；另一个是《中国内部审计准则第2201号内部审计具体准则―内部控制审计》第二条提出的，“本准则所称内部控制审计，是指内部审计机构对组织内部控制设计和运行的有效性进行的审查和评价活动。”虽然两个都叫内部控制审计，但是两者的差别还是比较明显：前者是企业内部控制规范体系的要求，本质上是内部控制的外部审计评价；后者是企业内部审计工作的一部分，本质上是企业自身对内部控制进行的内部审计评价。为便于表达，笔者将前者称为企业内部控制的外部审计，将后者称为企业内部控制的内部审计。

企业家们由此产生的又一个问题：内部控制评价、内部控制内部审计同为企业对自身内部控制进行的自我评价，应如何看待两者关系并组织实施？笔者认为，从制度规范的角度来看，内部控制评价和内部控制内部审计之间的关系，实际上就是内部控制与内部审计的关系。企业根据具体情况协调组织安排内部控制工作和内部审计工作，然后根据内部控制规范和内部审计准则的要求分别做出评价即可。不过，由于两者都是企业对内部控制进行的自我评价，评价主体、对象、采用的方法、评价的用途大同小异，在技术上可以相互借鉴。

五、内部控制、内部审计的组织实施

内部审计、内部监督、内部控制审计与内部控制评价等几项工作的组织实施，归根结底是内部控制和内部审计的实施。如何看待并处理好内部控制、内部审计的组织工作，既是企业面临的现实问题，也是无法回避的理论问题。

文献对于内部控制与内部审计的关系有不同看法：第一种观点是，认为两者是相互交织、相辅相成共同构成的一个系统，而且不存在谁主谁次、谁包含谁的问题。如，田彦霞在《对内部控制与内部审计关系的探讨》中提出，内部审计是内部控制的重要组成部分，内部审计又是对内部控制的控制，二者相辅相成，缺一不可。张先治、孙文刚在《论内部审计与管理控制的协调》中提出，内部审计与管理控制通过相互的推动作用已经耦合在一起。第二种观点是，内部审计是内部控制的一部分。如，胡以亮在《构建以内部审计为核心的内部控制框架体系》中，用北京市燃气集团构建的以内部审计为核心的内部控制框架为例，论证了应该将内部审计作为内部控制的核心观点。陈文铭在《企业的内部控制与内部审计相关问题探讨》中，将整个内部控制体系划分为三个相对独立的控制层次，第一个层次是经济业务发生部门严格按照企业内部设计的程序，相互牵制开展业务活动；第二个层次是财务部门在事后建立起第二道监控防线；第三个层次是内部审计部门要建立起以查为主的监督防线，也是监督要素中的最高层次。第三种观点是，内部控制是内部审计的一部分对象和内容。唐兆珍、何旭平在《内部审计和内部控制关系探微》中提出，内部控制是内部审计的主要产品和对象，主要依据是，国际内部审计师协会、中国内部审计协会都是将对内部控制的审计作为内部审计的一部分工作内容。第四种观点是，内部控制和内部审计是具有内在联系的两个独立体系。如，王华在《试论内部审计与内部控制体系的关系》中提出，两者之间既相互联系、又相互区别，既相互作用、又各自独立存在。

笔者认为，上述四种观点都有其合理性，实际工作中也都存在这四种做法。但是，应该注意到，内部控制、内部审计都是一个动态的、发展的、开放的概念；内部控制和内部审计的发展历史表明，两者无论是理论和实践中，还是内容和形式上，都经历了由简到繁、由单一到完善的发展过程。按照目前主流的表述，两者都将促进企业（组织）目标的实现作为自己的目标（或者目标之一），对于组织而言，这就是终极目标和最高追求；两者采用的方法并不存在绝对的边界和特殊范畴，而是都处于不断借鉴、吸纳、丰富和完善过程中。因此，从目前的情况看，企业在内部控制和内部审计的过程中，工作组织非常接近，两者发挥的作用也基本同质，如果已经实施了内部审计，也许稍加改造就能符合内部控制规范的要求；反之，如果有效实施了内部控制规范，很可能只要略微调整，也就达到内部审计工作的效果。

在实际工作中，企业可以在已经开展的内部监督、审计或者其他控制活动的基础上，根据有关方面或者自身需要做出适当完善，就能较好地实施内部控制或者内部审计。如果企业认为有必要同时组建内部审计和内部控制两套系统，也能够承受相关成本，那么也可以设置两个相互独立的机构，分别开展内部审计和内部控制。换一个粗浅的说法，如果实施有效，内部控制和内部审计无需改头换面就能做到对方能做的事。

内部控制审计范文第3篇

1.内部控制审计风险模型的需求。相对于财务报表审计而言，内部控制审计具有相当大的不同之处。在进行内部控制审计的时候主要是针对评价过程进行审计，而财务报表审计的主要是针对评价结果进行审计。要是只是进行内部控制审计，审计师就无必要针对交易类别以及账户进行实质性的测试；而如果要是进行内部控制审计，通常将财务报表认定的测试作为实质性的测试内容，而并不是针对内部控制的有效性进行测试。控制测试在内部控制审计当中是审计师选择的主要程序，能够对审计师将控制和实质性测试的程度起到确定作用的就是财务报表审计风险模型，其中自然包括在将实质性测试确定下来时所必须的保证水平，在内部控制测试当中不能够直接运用这一审计风险模型。

2.内部控制审计风险模型的目标。关于内部控制有效性的意见的形成是审计师检查内部控制的主要目标，一旦企业的内部控制中具有一个或者多个严重的缺点，那么其就属于无效。所以要想将一个表达意见的基础形成，审计师就必须要针对检查进行计划和执行，从而能够收集到科学合理的证据，并且要认真的分析是否有严重的弱点存在于管理层认定表述的特定日期当中，就算没有严重错误存在于报表当中，内部控制的严重弱点仍然可能存在。所以，在内部控制审计当中审计师的主要目标就是要将没有及时发现的内部控制设计获得，最终能够保证内部控制的有效性。

3.内部控制审计风险模型的风险。在审计内部控制的过程当中，将是否有严重弱点存在于企业的内部控制系统当中确定下来是审计师的主要目标，审计师如果认为仍然存在没有下降到最低点的未被发现严重弱点的风险，那么审计师就不能将无保留意见在内部控制当中发表，所以在内部控制风险当中最为主要的风险就是有严重的弱点存在于企业内部控制当中然而设计师却没有发现的风险。

4.内部控制审计风险模型的内涵。

（1）固有风险：财务报表在假设没有控制的情况下出现的重大错报的风险就是所谓的固有风险，固有风险不仅包括与整个报表相适应的总体风险因素，同时也包括与单个账户余额特定认定相适应的固有风险。如果具有较低的固有风险，就算是存在无效的控制，那么也会具有较低的严重缺弱点的风险。这主要是因为在对某个是否构成严重弱点的缺陷进行判断的时候，需要针对不能够通过内部控制阻止或者发现的重大错报的程度和可能性进行整体判断。

（2）控制运作有效性风险：审计师需要以对控制设计与执行风险、固有风险以及总的内部控制审计风险的判断为根据，最终将控制运作有效性风险的高低确定下来，并且将控制测试的程度确定下来。

（3）控制设计和执行风险：审计师在对内部控制的设计和执行进行分析的时候需要以固有风险的情况为根据针对控制设计和执行的充分性进行判断，这种情况指的是审计师在对控制的充分性进行判断的时候，必须要对可能有哪些差错会在没有内控的情况下出现进行考虑。如果具有较高的固有风险，企业要想针对差错进行及时的改正就必须要加强自己的内控措施，如果固有风险不断的降低。那么就会具有越来越弱的对控制的需求。

二、如何在整合审计以及内部控制审计当中针对这一模型进行运用

在相关的规定当中，审计师在针对内部控制进行审计的时候可以单独来进行，同时也可以整合财务报表审计及内部控制审计一起进行。想对这一规定具有清晰的理解，就必须要清楚以下两点内容：首先，财务报表审计以及内部控制审计作为两种审计业务具有不同的目标；其次是可以有效地整合财务报表审计及内部控制审计一起进行。审计师在进行单独的内部控制审计当中能够对内部控制审计风险模型进行直接的运用。而如果审计师要想整合财务报表审计以及内部控制审计而同时进行，那么在整合审计的具体过程当中审计师应该要对两个风险模型进行相互使用。首先，审计师的决策框架必须要是内部控制审计风险模型，其能够对控制测试的程度起到决定性的作用；其次，在针对实质性测试的程度进行判断的时候，审计师的决策框架应该是是财务报表审计风险模型。在将内部控制审计测试执行完之后，如果审计师将具有较低的未发现严重弱点的风险的结论得出来，这时候就会具有较低的财务报表重大错报风险。导致这种情况发生的主要原因是有效的内部控制能够对固有风险产生很好的克服作用，其能够对重大的错报起到有效的预防以及更正的作用。如果审计师在整合审计的过程中没有发现具有较低的严重弱点的风险，这时候通常会对较低的重大错报风险进行假设，然后开展实质性测试。审计师如果以自身对内控设计以及执行的理解为根据开展整合审计，同时认为并非具有较低的重大错报风险，会有严重的弱点存在于预期当中，那么审计师判断的概念框架就是内部控制审计风险模型，这样就能够对足够的证据进行搜集，从而将内部控制的有效性鉴证意见发表出来。如果审计师在整合审计的过程中认为设计和执行内部控制具有较大的有效性，那么审计师就应该针对内部控制运作的有效性进行充分的测试。在将该测试完成之后，审计师如果认为控制运作仍然有效，那么通常也就会认为具有较低的未发现严重弱点的风险，所以设计师就完全可以将内部控制的有效性发表审计意见发表出来，同时针对财务报表审计的实质性程序进行进一步的计划。在改进内部控制审计准则的时候应该注意以下几点：首先要将只是在财务报表审计当中适用的财务报表审计的风险模型说明；其次在对准则进行制定的时候需要将讨论的风险种类具体说明；最后需要将对内部控制审计风险模型以及财务报表审计风险模型进行使用的说明提供出来。

三、结语

内部控制审计范文第4篇

【关键词】内部控制审计，程序，方法

一、引言

2001 年，美国能源巨头安然公司爆发财务舞弊丑闻，紧接着又爆出了世界通信、施乐等虚假信息披露案件。这些丑闻使得社会公众丧失了对上市公司、迁至整个资本市场的信心。2002 年美国要求注册会计师对内部控制进行审计。2008年6月我国财政部等五部委联合《企业内部控制基本规范》。这对我国来说仅仅是一个开始。2010年4月我国财政部等五部委联合的《企业内部控制配套指引》表明我国内部控制审计的发展走向正规。这意味着内部控制的有效性审计在我国作为新的制度安排应运而生。

二、内部控制审计程序及方法的综述

2.1国外程序及方法的综述

在SOX法案颁布之前，国外对内部控制审计程序的研究文献相对较少，比较具有代表性的理论成果来自一些职业团体的理论框架和监管要求（如COSO报告、Turnbull报告等）。对审计程序中的内部控制研究中，哈斯金斯和德史密斯（Haskins&Dirsmith，1993）通过对外部审计人员的问卷调查，认为固有风险和控制风险是相互依赖的，审计人员应将大部分控制环境因素用于固有风险与控制风险的评估。马蒂诺夫和罗巴克（Martinov&Roebuck，1998）通过六大会计师事务所的审计手册，研究审计师在审计计划阶段是如何评估内部控制的重要性水平和固有风险，并将两者结合起来，发现事务所运用的风险导向审计模式，将重要性水平与固有风险评估与审计程序、方法、内容联系了起来。

SOX 颁布后，众多专家学者及专业机构都对如何审计财务报告内部控制提出了各自的方法。例如Michael Ramos推出了如何遵循404条款的著作；McGladrey & Pullen（2003）了关于管理层评估财务报告内部控制的报告，普华永道于 2004 年 7 月了类似报告；PCAOB于2004年了AS2并于2006 年了AS5替代AS2。

2.2 国内程序及方法的综述

我国学者对于在具体实施内部控制审计时用的程序尚没有较系统的研究，关于内部控制审计程序的研究还较少。有关内部控制审计程序，评价流程，审核实施等方面的综述如下：李荣（2007）指出在财务呈报内部控制审计实施时，实施内部控制审计应有的程序为审计计划，选择控制点，控制测试，评价控制缺陷，审计工作汇总，财务呈报内部控制审计报告。戴伟娟（2009）就注册会计师内部控制评价的实施，从实务的角度详细介绍了内部控制评价的全过程，分为三个阶段：审核计划阶段、审核实施阶段和审核报告阶段，对注册会计师进行内部控制审核业务提出了最新指引。谢伟（2011）认为内部控制审计分为审计准备阶段、审计实施阶段和审计报告形成阶段。

现代审计方法是风险导向的审计方法，对于新的审计业务―内部控制审计，我国学者对这方面的研究如下：谢盛纹（2007）认为执行内部控制审计应该有一个审计方法，提出在内部控制审计中应实施自上而下的方法，并重视风险评估的作用。张龙平，陈作习（2009）深入研究了风险导向自上而下审计法。这个方法促使审计人员关注那些对财务报表和相关披露可能产生重大错报的会计账户、披露和相关认定，将主要精力集中于风险最大的领域。谢伟（2011）认为审计师在进行内部控制审计时，应该应用通用的外业和报告准则，具备足够的胜任能力，保持应有的职业谨慎。普秀玲（2011）研究认为上市公司内部控制审计的主要方法是调查问卷法、绘制流程图法、描述法、穿行测试以及符合性测试。

三、内部控制审计综述小结

通过上述对国内外相关文献的归纳，关于内部控制审计的研究成果相对比较丰富。总体来看，国外对内部控制及内部控制审计的研究主要是从审计领域关注内部控制开始的，并且其研究大多是基于严格的理论和实证研究的基础上的，具有很强的逻辑性和可验证性，研究比较丰富，涉及领域也比较全面，对于理解和完善内部控制理论、更有效地评价内部控制以及进行内部控制审计都具有很重要的意义。但是，对内部控制审计理论体系的研究和内部控制审计目标实现的机制方面的研究不多见。

中国内部审计协会组织的科讨会（2010）中最新的成果认为，企业风险管理与内部控制的关系、企业风险管理与内部审计的关系和从风险管理框架的角度讨论内部控制的设计、构建以风险为导向的内部控制评估体系等方面将是未来内部控制审计的研究方向。还涉及到的一些新领域包括：企业风险管理与内部控制的关系、内部控制审计与报告、平衡计分卡在内部审计中的应用、内部审计风险防范、企业采购的内部控制与审计及内部控制与盈余管理相关性研究等。

参考文献：

[1]Ssessing the effectiveness of internal control over financial reportingin accordance with section 404 of the Sarbanes-Oxley Act of2002，McGladrey&Pullen certified public accountants，Mar 2003

[2]谢盛纹.《萨班斯法案》下的内部控制审计内容与方法[J].财政监督，2007（03）：68-69.

[3]张龙平，陈作习. 财务报告内部控制审计方法研究[J].审计月刊，2009（03）：101-103.

内部控制审计范文第5篇

关键词：内控审计；企业发展；研究

1企业内部控制审计存在的问题

1．1内部控制审计队伍专业胜任能力不足

因内部控制涉及企业治理及各类业务管控，对开展内部控制的审计人员组成要求知识多元化，但目前多数企业的内部控制审计人员多数只精通财务知识，知识结构单一，对企业运营的相关业务知识缺乏，对风险管理及企业治理方面的知识懂得更少，难以胜任企业内部控制审计工作。

1．2内部控制审计程序不规范

正常的内部控制审计程序一般要经过设计评价和风险评估、进行符合性测试、结果分析与评价、提出审计意见与建议等步骤。但目前多数企业的内部控制审计程序较为随意，没有一个详细的计划及流程，存在不按常规工作程序开展工作，任意删减工作任务的情况，如省略风险评估和符合性测试相关审计工作任务，导致内部控制审计评价有失客观、全面，审计质量难以保证。

1．3内部控制审计方法不够科学

部分企业在开展内部控制审计时所采用的审计方法不科学，不合理，如不以风险为导向，一味追求审计业务全覆盖，或全部采用抽样法实施审计，又或是将审计工作的重心放在对财务数据的核实验证上等，上述方法均不能保证内部控制审计的质量及效果，存在相应的局限性及弊端，均不可取。

1．4内部控制审计技术落实

目前的企业内部控制审计主要采用传统审计方法开展，如人工审计计算，借助常规财务软件及相应业务软件等，未建立起审计的信息收集平台，这为审计证据的搜集增加了难度，大大降低了审计的效率及质量，导致内部控制审计的作用受到质疑。

1．5内部控制审计较依赖于内部控制自我评价

在实施内部控制审计时，因内部控制审计与评价的对象一致，范围基本相同，很多内部控制审计主体基于现实的选择及成本效益的考虑，对企业内部控制自我评价的结果及可利用程度未加以认真分析及评估，采取拿来主义，审计过程中任意缩减审计范围及内容，对企业内部控制的客观情况把握不充分，未能从审计角度挖掘出内控自我评价中未能发现的深层次问题，导致得出的内部控制审计结论与内部控制自我评价大相径庭，失去了内部控制审计应发挥的作用。

2企业内部控制审计的内容

2．1审查与评价控制环境

审查与评价的控制环境主要包括经济性质和经营类型、法人治理结构、人力资源政策和执行、管理层的经营理念和组织文化、各项职责工作人员的工作情况，控制环境的好坏直接决定了企业内部控制的实施效果，好的控制环境可以建立比较完备的内部控制体系。

2．2审查和评价信息与沟通

审查和评价信息与沟通首先要确保信息的真实性，保证信息能够及时的进行传递，使企业能够及时的应对突变情况，保证有效的控制。信息与沟通的内容主要包括能够及时准确的记录下所有的信息、保证管理信息的系统能够正常有序的运行、保证信息沟通的渠道便捷等，在开展内部控制审计工作时，能够获得相关的财务信息及其他重要信息，并确保这些信息的安全可靠，便于对信息进行管理和评价。

2．3审查与评价风险管理

企业在运行和发展的过程中或多或少均存在一定的风险，因此内部控制审计需要进行风险的控制，保障企业运营的安全及稳定。审查和评价风险管理的主要内容包括构建完善的风险控制机制、收集各类风险的数据信息进行分析研究、对高风险的事项进行提前预防和控制等，在内部控制审计实施风险控制工作时，可以利用完善的风险控制机制，找到风险存在的根源，对一些风险高的事项进行事故预防和应对演练，将企业运营中的风险降到最低。

2．4审查与评价控制活动

审查与评价控制活动是内部控制审计中最为关键的工作，他直接决定了内部控制审计在企业中作用的发挥。为此，必须严格的进行控制活动的审计工作，使内部控制审计的监督作用得到有效发挥。审查控制活动的主要内容包括对各项业务的执行情况进行审核、复核记录和凭证的真实性、评价经营活动的授权是否恰当、充分。在开展企业内部控制活动的审计工作时，要对控制活动的有效性和适当性进行分析评判，检验控制活动是否有效的规避了风险，实现了控制活动的目标。

3提升企业内部控制审计的有效措施

3．1优化审计队伍结构，提高整体素养

首先要着眼于内部控制审计的现实需要，积极吸收熟悉本企业生产、销售、运营等业务并具备一定风险管理及企业治理经验知识的业务人员，充实到内部控制审计队伍中来，不断改善企业内部审计队伍知识结构单一的不利局面。另外，要进一步加强对现有内部控制审计人员的业务培训，拓宽他们的知识面，使其业务能力及专业技能不断提升，确保符合开展内部控制审计工作的需要。

3．2进一步规范内部控制审计程序

规范的内部控制审计程序是审计质量得以保证的基础，为此，在开展内部控制审计时，须严格按照设计评价和风险评估、符合性测试、结果分析与评价、提出审计意见与建议几个步骤开展工作，要对审计质量进行严格复核，对审计程序缺失或不按要求实施审计、审计证据不充分不完整的审计项目，不允许结项。

3．3优化及创新内部控制审计方法

在开展企业内部控制审计前，内部控制审计人员应对受审企业的基本情况及内部控制机制体制建设情况进行摸底，并结合企业自身实际制定与之相适应的审计方法及策略，如在审计准备阶段，通过问卷调查法了解受审企业管理层关于内控有效性评估的过程，通过审阅法对受审企业内控文件及相关资料进行审查，又如在审计过程中，通过调查表及流程图开展穿行测试等。另外，要根据企业的行业特点及不同的业务情况，创新内部控制审计方法，如可结合业务量、业务属性等细化指标采用判断抽样法合理确定具体的样本量范围，或者在对需要重点审计的业务流程进行审计时，可结合业务总量设定上限值或百分比，采取可变样本抽样法进行抽样，又或针对一般及选择性的内控审计业务，可按照固定样本抽样法进行抽样。通过内部控制审计方法的不断优化及发展创新，能有效提升内部审计结果的可靠性，进一步提高内部控制审计质量及效果。

3．4加快审计信息技术的应用

随着我国大数据、5G等信息化建设步伐的不断推进，为实现审计技术的信息化建设及应用提供了有力支撑，审计人员可充分利用云计算与存储等先进技术获取各个系统、环节的数据，在进行关联和匹配后做出综合分析，发掘重要信息，进而得出有价值的结论，确保审计结果更具有专业性和说服力。

3．5强化内部控制审计的独立性

在开展企业内部控制审计过程中虽可借鉴内部控制自我评价的相关成果，但要对其进行认真分析研判，做到去伪存真，同时要坚持审计的独立性，运用规范的内部控制审计程序开展工作，该履行的审计程序应严格履行，不能随意省略，既定的审计范围及内容应做到全面覆盖，规定的样本量应尽可能抽足，决不能因内部控制自我评价时开展过相关工作而任意缩减既定任务，确保内部控制审计结果真实、客观、可靠，充分发挥出内部控制审计的独特优势及成效。