內部控制審計是指內部審計機構對組織內部控制設計和運行的有效性進行的審查和評價活動。內部控制是內部審計的核心內容之一，是受企業董事會、管理層和其他人員影響，為營運的效率效果、財務報告的 可靠性、相關法規的遵循性等目標的實現而提供合理保證的過程。內部 控制是組織提高經營管理水平和風險防范能力，實現可持續發展的基 礎。內部審計機構對組織內部控制進行審計監督，是優化內部控制自我 監督機制的一項重要制度安排，是健全有效的內部控制的重要組成部 分，也是內部審計更好地發揮其在風險管理和公司治理中的作用、實現 自身價值的需要。

內部控制審計的內容

組織層面內部審計

組織層面內部審計，通常也稱從整體層面的審計，應通過審查內部 環境、風險評估、控制活動、信息與溝通以及內部監督五個要素，對組 織層面內部控制的設計與運行情況進行審查和評價。

1.審查與評價內部環境

內部環境是內部控制的基礎，代表著組織治理層和高級管理層對內部控制的重視程度，影響著所有層級的員工對內部控制的認識和態度。 良好的控制環境是實施有效的內部控制的基礎，只有在良好的內部控制 環境下，組織才能建立完備的內部控制系統并有效地執行。

內部審計人員在開展內部控制環境要素的審計時，應關注組織架構、發展戰略、人力資源、組織文化、社會責任等，以進行審查和評 價。

(1) 組織架構

組織架構是指組織按照國家有關法律、法規、股東 (大) 會決議、 組織章程，結合本組織實際情況，明確董事會、監事會、經理層和組織 內部各層級機構設置、職責權限、人員編制、工作程序和相關要求的制 度安排。組織架構可以分為治理架構和內部機構。

內部審計人員應當關注組織架構在設計與運行中的各項風險，并在審查和評價時重點關注：組織架構的設計是否符合國家有關法律法規的 規定；組織架構是否形成了重大決策、重大事項、重要人事任免及大額 資金支付業務等的集體決策或聯簽制度；組織架構是否合理設置了內部 職能機構，并明確職責體現了不相容職務相互分離的要求；組織架構中 是否對其治理結構和內部機構設置進行了梳理，保證其運行的合理性和 有效性；組織架構中是否建立了科學的投資管控制度；組織是否定期對 組織架構設計及運行的效率和效果進行了評估，對存在的缺陷進行了優 化調整。

(2) 發展戰略

發展戰略是指組織在對現實狀況和未來趨勢進行綜合分析和科學預測的基礎上，制定并實施的長遠發展目標與戰略規劃。

內部審計人員應當關注組織在制定與實施發展戰略中的各項風險，并在審查和評價時重點關注：組織是否在制定發展目標時進行了充分的 調查研究、科學分析預測和廣泛征求意見；是否依據發展目標制定戰略 規劃；董事會是否下設戰略委員會或指定相關機構負責發展戰略管理工 作，其職責和議事原則是否明確；是否根據發展戰略制定年度工作計 劃，編制全面預算；是否對發展戰略的實施情況進行監控和定期分析。

(3) 人力資源

人力資源是指組織組織生產經營活動而錄 (任) 用的各種人員，包 括董事、監事、高級管理人員和全體員工。

內部審計人員應當關注人力資源管理領域的各項風險，并在審查和評價時重點關注：組織是否結合生產經營的實際需要，制定了需求計劃 并完善引進制度；人力資源選聘程序是否符合職位要求、公開、公平； 是否依法與員工簽訂勞動合同；是否建立了培訓等人才培養的長效機 制；是否建立了人力資源的激勵約束機制和績效考核制度；是否制定了 定期輪崗制度；是否建立健全了員工的退出機制。

(4) 組織文化

組織文化是指組織在生產經營實踐中逐步形成的、為整體團隊所認 同并遵守的價值觀、經營理念和組織精神，以及在此基礎上形成的行為 規范。

內部審計人員應當關注組織在加強組織文化建設中的各項風險，并在審查和評價時重點關注：組織是否根據其發展戰略和實際情況培育了 具有自身特色的組織文化；董事、監事、經理和其他高級管理人員是否 發揮了主導和模范作用；組織文化是否滲透到組織的生產經營全過程， 并使得全員參與其中；是否定期對組織文化進行評估，并對發現的問題 采取相應的措施。

(5) 社會責任

社會責任是指組織在經營發展過程中應當履行的社會職責和義務，主要包括安全生產、產品質量 (含服務，下同) 、環境保護、資源節 約、促進就業、員工權益保護等。

內部審計人員應當關注組織在履行社會責任反面的各項風險，并在審查和評價時重點關注：是否建立了嚴格的安全生產管理體系、操作規 范和應急預案，強化安全生產責任追究制度；安全生產措施是否到位、 責任是否落實；是否建立了嚴格的產品質量控制、檢驗制度及售后服務 制度；組織是否建立并執行了環境保護和資源節約制度；是否依法保護 員工的合法權益。

2.審查與評價風險評估

每個組織都會在經營活動中面臨來自內部和外部的不同風險。組織 的管理層應當確定組織可以承受的風險水平，識別可能面臨的風險、評 估其嚴重程度并采取相應的措施。

(1) 組織戰略和目標的溝通

制定目標是風險評估的先決條件，只有確立了既定的戰略和目標， 才能實施有效的控制。組織的風險評估就是對組織戰略目標實現過程中 出現的風險進行評估，而組織戰略和目標的溝通保證了風險評估在組織 內部的貫徹。

內部審計人員在審查和評價組織戰略和目標的溝通時應當重點關

注：組織目標是否恰當，是否與組織的戰略、環境相適應，總目標能否 傳達到相關層次；具體策略和業務流程層面的目標與整體目標是否相互 協調；是否明確影響整體戰略實施的關鍵因素；各級管理人員是否能夠 參與目標制定，并明確相關責任。

(2) 風險評估過程

風險評估過程是組織對風險進行評估的實施過程，包括風險識別、對風險重大性的評估、對風險發生可能性的評估以及應對措施的確定。

內部審計人員在審查和評價風險評估過程時應當重點關注：組織是否建立了完備的風險識別機制；是否建立了有效的評估風險方法；是否 通過正式的分析程序來進行風險分析。

(3) 對風險的管理

內部審計人員在審查和評價風險評估過程時應當重點關注：是否建立了某種機制，識別和應對可能對企業產生重大且普遍影響的變化；企 業風險管理部門是否建立了某種流程，以識別經營環境發生的重大變 化；企業財務部門是否建立了流程，以適應會計準則的重大變化，當企 業業務操作發生變化并影響交易記錄流程時是否及時通知財務部門。

3.審查與評價控制活動

控制活動是組織通過政策和程序所采取的行動的總稱，包括授權審 批控制、不相容職務分離控制、會計系統控制、財產保護控制、預算控 制、運營分析控制、績效考評控制以及合同管理控制等。

4.審查與評價信息和溝通

在高速發展的信息時代，準確的信息和及時的溝通對組織運營具有 至關重要的影響。在不斷變化的環境中，良好的信息與溝通系統可以讓 組織應對運營中遇到的各類風險。

對信息與溝通要素進行審查和評價時，內部審計人員應當分別考慮 信息與溝通兩個方面的內容。信息分為內部信息和外部信息。內部信息 包括管理層建立的記錄及報告經營業務與事項，維護資產、負債和所有 者權益的辦法與記錄；外部信息包括市場占有率、法律法規和顧客反饋 等信息。溝通應當使員工了解其職責，并能保持其對財務報告的控制。 它包括使員工了解其在會計系統中的工作，如何與他人聯系，如何向上 級報告例外情況。溝通的方式主要有組織規章制度、財務制度、備查簿 以及口頭交流和管理示例等。

內部審計人員應根據各項指引中有關內部信息傳遞、信息系統、財務報告等規定為依據，對信息處理和傳遞的及時性、反舞弊機制的健全 性、財務報告的真實性、信息系統的安全性以及利用信息系統實施內部控制的有效性進行審查和評價。

(1) 內部信息傳遞

在審查和評價內部信息傳遞時應當重點關注：內部報告系統是否功 能健全、內容完整；向適當人員提供的信息是否充分、具體和及時，使 之能夠有效履行其職責；是否明確內部信息傳遞的內容、保密要求及密 級分類、傳遞方式、傳遞范圍以及各管理層級的職責權限等；對不恰當 事項和行為是否建立了溝通渠道。

(2) 財務報告

在審查和評價財務報告時應當重點關注：組織是否按照國家統一的 會計準則制度規定進行會計記錄和財務報告的編制；財務報告是否內容 完整、數字真實、計算準確、沒有漏報；是否定期進行收入、費用、成 本、資產、負債、現金流量等的財務分析，并傳達給有關的管理層。

(3) 信息系統

在審查和評價信息系統時應重點關注：信息系統的開發及變更是否 與企業戰略計劃相適應；管理層是否提供適當的人力和財力以開發必需 的信息系統；是否建立了嚴格的用戶管理制度；是否建立了系統數據定 期備份制度；是否對信息系統進行了安全策略的保護。

5.審查與評價內部監督

監督是對內部控制運行質量不斷進行評估的過程，是在內部控制實 施過程中必不可少的環節。通過定期地評估，對內部控制進行監督，可 以及時發現內部控制過程中存在的問題，并進行改正，以確保內部控制 系統可以持續有效地進行。

內部審計人員在審查和評價組織的內部監督時應當重點關注：組織對經營業績是否進行持續的監督；組織是否對內部控制進行定期的評 價；組織管理層是否會采納監督人員的建議，及時糾正控制運行中的偏 差；組織是否建立協助管理層進行監督的機構 (如監事會、審計委員會 和內部審計機構等) 。

業務層面內部審計

企業內部控制的政策和程序，更多、更具體地體現在其日常經營的 業務活動中。要想做到對內部控制設計的合理健全性和運行的有效性進 行全面的測試和評價，還應對業務層面內部控制的設計和運行情況進行 審查和評價。內部審計人員應當根據管理需求和業務活動的特點，針對 采購業務、資產管理、銷售業務、研究與開發、工程項目、擔保業務、 業務外包、財務報告、全面預算、合同管理、信息系統等方面進行審查 和評價。

(1)資金活動至少應關注以下方面風險的控制：籌資決策不當，引發資本結構不合理或無效融資，可能導致企業籌資成本過高或債務危 機；投資決策失誤，引發盲目擴張或喪失發展機遇，可能導致資金鏈斷 裂或資金使用效益低下；資金調度不合理、營運不暢，可能導致企業陷 入財務困境或資金冗余；資金活動管控不嚴，可能導致資金被挪用、侵 占、抽逃或遭受欺詐。

(2)采購至少應關注以下方面風險的控制：采購計劃安排不合 理，市場變化趨勢預測不準，造成庫存短缺或積壓，可能導致企業生產 停滯或資源浪費；供應商選擇不當，采購方式不合理，招投標或定價機 制不科學，授權審批不規范，可能導致采購物資質次價高，出現舞弊或 遭受欺詐；采購驗收不規范，付款審核不嚴，可能導致采購物資、資金 損失或信用受損。

(3)資產管理至少應關注以下方面風險的控制：存貨積壓或短 缺，可能導致流動資金占用過量、存貨價值貶損或生產中斷；固定資產 更新改造不夠，使用效能低下、維護不當、產能過剩，可能導致企業缺 乏競爭力、資產價值貶損、安全事故頻發或資源浪費；無形資產缺乏核心技術、權屬不清、技術落后、存在重大技術安全隱患，可能導致企業 法律糾紛、缺乏可持續發展能力。

(4) 銷售業務至少應關注以下方面風險的控制：銷售政策和策略不當、市場預測不準確、銷售渠道管理不當等，可能導致銷售不暢、庫 存積壓、經營難以為繼；客戶信用管理不到位、結算方式選擇不當、賬 款回收不力等，可能導致銷售款項不能回收或遭受欺詐；銷售過程存在 舞弊行為，可能導致企業利益受損。

(5) 研究與開發至少應關注以下幾方面風險的控制：研究項目未經科學論證或論證不充分，可能導致創新不足或資源浪費；研發人員配 備不合理或研發過程管理不善，可能導致研發成本過高、舞弊或研發失 敗；研究成果轉化應用不足、保護措施不力，可能導致企業利益受損。

(6) 工程項目至少應關注以下方面風險的控制：立項缺乏可行性研究或者可行性研究流于形式，決策不當，盲目上馬，可能導致難以實 現預期效益或項目失敗；項目招標暗箱操作，存在商業賄賂，可能導致 中標人實質上難以承擔工程項目、中標價格失實及相關人員涉案；工程 造價信息不對稱，技術方案不落實，概預算脫離實際，可能導致項目投 資失控；工程物資質次價高，工程監理不到位，項目資金不落實，可能 導致工程質量低下，進度延遲或中斷；竣工驗收不規范，最終把關不 嚴，可能導致工程交付使用后存在重大隱患。

(7) 擔保業務至少應關注以下方面風險的控制：對擔保申請人的資信狀況調查不深，審批不嚴或越權審批，可能導致企業擔保決策失誤 或遭受欺詐；對被擔保人出現財務困難或經營陷入困境等狀況監控不 力，應對措施不當，可能導致企業承擔法律責任；擔保過程中存在舞弊 行為，可能導致經辦審批等相關人員涉案或企業利益受損。

(8) 業務外包至少應關注以下方面風險的控制：外包范圍和價格確定不合理，承包方選擇不當，可能導致企業遭受損失；業務外包監控 不嚴、服務質量低下，可能導致企業難以發揮外包的優勢；業務外包存在商業賄賂等舞弊行為，可能導致企業相關人員涉案。

內部控制審計的方法

訪談法

訪談法是內部審計人員在審計過程中為了獲取有關信息，與組織中 的職員直接進行的面對面口頭交流，是一種重要的審計數據收集技術。 審計訪談按照訪談過程的控制程度劃分為結構性訪談和非結構性訪談。 結構性訪談需要事先設計、精心策劃，有調查表或問題清單等書面資 料，內部審計人員對訪談過程實施有力的控制，常用于完成調查表或流 程圖。非結構性訪談無須事先策劃，過程自由，沒有過多控制，常用于 審計初步調查。

審計訪談按照參加人數劃分為個別訪談和會議訪談。個別訪談是內 部審計人員和被訪者一對一的面談；會議訪談是內部審計師和被訪者的 一方或雙方有多人參加的訪談。

訪談法在獲取審計證據中的應用如下。

1.審計首次會議時的訪談

首次會議的訪談是指審計項目組和客戶管理層進行的第一次面對面 交談，其目的在于說明審計目的、審計范圍和要求客戶協助的事項，并 期望客戶介紹情況以便審計人員對審計對象有進一步了解。內部審計人 員最好在訪談開始前事先發放內部審計宣傳手冊，并結合已經致送客戶 的審計通知書進行談話，便于客戶理解及會后閱讀。

首次會議的訪談實際上還不是嚴格意義上的審計工作訪談，更多的 是一種建立關系的接觸和象征性的溝通。當客戶的最高主管參加會議時，審計執行主管也應參加，這樣有利于雙方建立起融洽的關系。

2.審計初步調查時的訪談

審計初步調查時的訪談是為了了解審計項目的總體情況，因此，可 能并沒有經過正式的準備，而是隨時就關心的情況做簡短的會談，會談 的場地也可能臨時選擇在調查地點，如庫房、財務辦公室等。但是，這時的訪談也要引起內部審計人員的足夠重視，事先應充分做好調查事項 相關資料的準備工作并謹慎行事，避免產生不良印象，從而建立起客戶 對內部審計人員的信任。

3.實地調查階段的訪談

由于此時進入了主要的審計數據收集階段，訪談的應用會更多。此時訪談的目的有兩個：

一是獲取審計信息，尤其是希望獲取關于重要問 題的信息，或者希望印證其他來源的信息；

二是就審計建議同客戶進行 交流，這在雙方存在不同意見時尤為必要。

4.審計終止會議時的訪談

在審計報告發表以前，重大的審計結果應通過口頭或書面形式提交 給客戶管理層，并召開審計終止會議加以討論。會議前可以提交審計報 告草稿，如果來不及擬出審計報告草稿，可以提交審計結果匯總表等相 關材料作為會議的討論基礎。

5.涉及舞弊的訪談

雖然內部審計人員不是專職調查舞弊的專家，但是很多組織會要求 內部審計師進行舞弊調查。還有的組織為了預防職務犯罪及盡早發現舞 弊行為，規定所有職員定期參加訪談，而訪談工作的組織往往由內部審 計部門負責。顯然，與舞弊嫌疑人訪談或進行這樣的“預防”訪談是一件 很棘手的事情，需要特殊的訪談技巧。

穿行測試是指重新執行被審計單位的控制活動。企業有一些與內部 控制相關的活動，會產生相應的憑證和記錄。但是只檢查這些憑證和記 錄，尚不足以讓審計人員評價這些控制活動是否有效地得到了執行。例如，假定某員工負責核實銷售發票上的銷售價格與價格表是否相符，而 銷售發票又沒有留下任何痕跡表明該員工已經核實過銷售價格。在這種 情況下，審計人員通常采用的對策是，重新執行該控制活動，看看能否 得到恰當的結果。

測試人員根據有關的資料和業務處理程序，重復做一 遍已經完成的業務，并比較處理結果，從而判明內部控制的運行是否有效。如根據銷售發票的記賬聯，月終匯總編制“產成品發出匯總表”與原 來的匯總表核對，根據有關記錄重新編制“產品成本計算單”計算出產品 成本和期末在產品成本，并與原來的成本計算單進行比較等。如何處理 后的新結果與被審計單位的處理結果相同，則說明其內部控制運行已發 揮了功能。

實地調查法

實地調查法有兩種：現場觀察法和詢問法。

現場觀察法是調查人員憑借自己的眼睛或借助攝像器材，調查現場 直接記錄正在發生的市場行為或狀況的一種有效的收集資料的辦法。其 特點是被調查者是在不知曉的情況下接受調查的。

1.現場觀察法的類型

(1) 直接觀察法，就是在現場憑借自己的眼睛觀察市場行為的方法。

(2) 環境觀察法，就是以普通人的身份對調查對象的所有環境因素進行觀察以獲取調查資料的方法。

2.詢問法

詢問法，是指將所調查的事項，以當面電話或書面的形式向被調查 者提出疑問，以獲得所需的調查資料的調查方法。這是一種最常用的市 場實地調查方法，也可以說是一種特殊的人際關系或現代公共關系。正 因為如此，調查人員應該清楚地認識到，詢問調查不僅要收集到被調查 所期望的資料，而且還要在調查中給被調查對象留下良好的印象，樹立 公司的形象，可能時應該將被調查對象作為潛在用戶加以說服。

詢問法包括直接訪問法、電話訪問法、計算機輔助電話調查法 (CATI法) 、郵案方法、固定樣本調查法。

抽樣法

抽樣法是指企業針對具體的內部控制業務流程，按照業務發生頻率 及固有風險的高低，從確定的抽樣總體中抽取一定比例的業務樣本，對 業務樣本的符合性進行判斷，進而對業務流程運行的有效性做出評價的 方法。

有任何財稅、股權等相關問題可在評論區討論或問我哦！

▍ 聲明：

1、推送稿件及圖片均來自王圣平高級律師 民言法商。版權歸原作者所有。除非無法確認，我們都會標明作者及出處，如有侵權，請及時與后臺聯系處理，謝謝！

2、上述內容僅供大家參考和學習之用，不作為實際操作依據。

【轉載提示】轉載本號原創文章，請注明：本文轉載自公眾號:首席審計官，并標識作者信息。