加强内部控制评审提高内部审计质量和效率

周海亮

摘 要：随着内部控制制度在企业中逐步建立和实施，对企业的内部审计工作也提出了新的要求和挑战，本文通过企业开展内部控制评审的必要性和重要意义，指明了内部控制评审的内涵，并结合目前开展内部控制评审面临的困难和问题，就油田企业如何深入开展内部控制评审，提高内部审计的质量和效率，提出了几点建议和设想。

关键词：内控评审 发展现状 具体运用 建议 设想

一、企业内部控制评审概述

（一）开展内部控制评审的必要性

内部审计部门是企业内部控制体系的重要组成部分，具有对其它业务事项进行独立控制和评价的职能，在评估内部控制有效性中担当着重任，既要评价内部控制是否有效，提出完善内部控制制度的意见，又要检查内部控制执行情况，督促企业各部门、岗位及人员执行内部控制，及时纠正管理偏差，促进管理创新，使整个企业的内部控制系统能够有效的发挥作用。由此可以看出，企业内部控制评审的产生是市场经济和企业发展的产物，开展内部控制评审势在必行。

（二）内部控制和内部审计的关系

内部审计既是内部控制一个组成部分，又是内部控制的一种特殊形式。从内部控制组织上来看，内部控制是对财务会计活动和经营活动的总体控制，而内部审计是这种控制的一方面，所以内部控制包括内部审计。内部审计在内部控制中有着特殊的地位和作用，是服务于经营管理的、并以内部控制为中心的审计。内部控制评审就是由内部审计部门独立开展的，对企业内部控制的完整性、合理性、相互制约性、合规性、遵循性所进行的审计和评价活动。积极开展内部控制评审，是将内部审计工作重心前移，是企业发展的需要，也是内审自身方法革新的需要。

二、开展内部控制评审面临的困难和问题

（一）企业治理结构不规范，导致内部控制评审无从谈起

内部控制评审的建立及有效运行，有赖于内部良好的法人治理结构，现代企业所有权与经营权的分离，使管理范围增大，管理层次增多，管理职能分解，客观上需要一个规范的法人治理结构，加强内部控制，以保障所有者、债权人等的合法权益，同样也成为开展内部控制评审的前提。目前有些企业虽然形式上建立了法人治理结构，但远未达到内部权利制衡的效果，很多公司内部董事长、总经理由一人担任，有的国有企业的董事会成员由经理担任，董事会难以发挥监督经理人员的作用，导致相互制衡的法人治理结构无法建立， 直接影响了内部控制制度不能有效执行，严重阻碍了企业的发展，导致内部控制评审无从谈起。

（二）管理层对内部控制不重视， 导致内控制度评审流于形式

长期以来，由于受计划经济和传统管理思想、方法、手段的影响，大多数企业经营管理者对内部控制的理论学习不够，知识掌握不多，认识上存在差距，导致对内部控制的建立和实施不够重视，内部控制评审也随之成为“走流程”、”打分数”的过程，导致内部控制评审成为一种”走马观光”的形式。

（三）查证问题肤浅，不能揭示深层次问题

企业的内部控制随着内外部环境和条件的变化而不断变化，只有对企业的内控制度运行情况有深入的了解，才能抓住重点，准确把握各环节控制点的执行情况，而目前由于参审人员对内部控制评审工作的重视程度不够，加上理论知识欠缺和审前准备不充分等因素，一方面导致评审过程中无法抓住关键问题，解决不了主要问题，出现年复一年雷同的评审结论；另一方面对于较敏感或难以解决的问题从意识上避重就轻，报喜不报忧，致使对一些问题的认定和评价上存在偏差，影响了审计成效，加大了审计风险。

（四）整改措施难以落实，导致内部控制失效

内部控制评审的目的在于改进企业的内部控制，如果只重评，不重改，内部控制评审的目的就达不到，比如内部控制评审所列出的问题中有些因涉及体制、机制或职责等重大敏感问题，需要管理层进一步研究才能确定的整改措施，容易造成执行层由于责任不清，计划性不强，难以落实到位，造成内部控制评审失效，不能发挥完善和改进内部控制体系的作用，也对内部控制评审的继续开展产生不利影响。

三、内部控制评审在内部审计中的运用

从审计工作实际考虑，审计项目应按照不同审计目标确定内部控制评审的侧重点，具体可采用定性与定量相结合的方法对内部控制进行评审，主要有以下几个步骤：

（一）调查内部控制的建立情况

调查内部控制环境，可采取“书面说明法”或“调查表法”即利用预先设计好的问卷、调查表，对一个企业的内部控制环境进行调查。同时，还可审阅被审计单位的政策和制度手册以及文件和会议纪要等资料，必要时可查阅会计凭证和相关原始记录。内部控制环境调查按系统分类主要包括：

1.决策系统方面。重点了解企业经理层能否有效地对经营决策实施控制，通过哪些措施实施控制的。重大投资、资产购置、工程施工等是否签订经济合同或协议，是否经过适当控制人员的核准。高层管理人员是否能及时采纳外部、内部审计人员所提出的审计建议，企业领导层是否参与资金预算的编制和审核，是否对经营业务和财务管理中的失控情况及时采取应急措施，使之恢复正常。

2.信息系统方面。会计信息及相关经营业务信息的报告制度是否健全，经理层在控制、评估业务活动时是否使用会计、统计和其他业务资料。业务分工是否明确并坚持批准、执行和记录职能分开的内部牵制原则，会计人员离职或轮换是否办理交接手续。

3.运营系统方面。采用“调查表法”与“流程图法”相结合的方式，评价企业在重大生产经营方面的决策权限是否划分清楚，各部门所拥有的权力和应承担的责任是否有明确规定。企业内部是否制定了经济责任制并对完成情况进行考核，是否有资金预算管理制度、资金归口管理制度、资产定期盘点制度。原始凭证是否经稽核人员和有关领导审核，是否有企业财务收支审批制度，是否有会计核算业务手册等。

通过对上述内部控制环境信息的收集、整理和分析，评价该企业领导层、执行层和操作层对控制重要性的态度和意识程度。

（二）初步评价内部控制的健全性，确认内部控制风险，确定内部控制可依赖程度

在对控制环境和具体业务进行调查，对被审计单位内部控制有了一个初步的认识的基础上，应对内部控制的可依赖程度做出初步评价。

1.评价内部控制的健全性。健全性评价并不取决于被审计单位所建立的相关内部控制制度的数量多少，而是要分析内部控制中是否建立了与上述调查内容相符合的关键控制点。根据调查的内部控制情况，利用业务流程图将应设立的控制点标注出来，并同实际设立的控制点进行对比分析。

2.确认内部控制风险，确定内部控制可依赖程度。内部控制风险确定可采用“分值评定法”进行测评，即设立控制点得分制，每建立一个控制点得10分，没有建立控制点或控制点不适用的不得分。用控制点总得分与设计控制点总分相比判定其控制水平，根据管理学上的“二八”原则可分为以下几种：得分比例在80%以上的，可确认为控制风险估计水平“低”，内部控制可依赖程度“高”；得分比例在60%-80%之间的，可确认为控制风险估计水平“中”，内部控制可依赖程度“中”；得分比例在20%-60%之间的，可确认为控制风险估计水平“高”，内部控制可依赖程度“低”；得分比例在20%以下的，可确认为控制风险估计水平“最高”，内部控制不能依赖。

（三）进行内部控制符合性测试

通过内部控制的初步评价，可基本掌握被审计单位内部控制的强弱环节，为进行符合性测试提供了前提条件。内部控制的符合性测试是针对被审计单位内部控制强度，可依赖的部分才需要进行符合测试。

（四）内部控制的最终评价

在符合性测试中，审计人员会发现被审计单位的内部控制在建立、健全性、有效性等方面存在的问题，这就要对被审计单位的内部控制风险估计水平进行调整并做出综合评价，然后利用评价结果制定出实质性审计方案。

参考文献：

[1]陈慧《現行企业内部控制制度存在的问题及其对策》