风险导向内部控制审计的实施路径与体系构建_内部控制论文

风险导向内部控制审计实施路径与体系构建，本文主要内容关键词为：内部控制论文,导向论文,路径论文,体系论文,风险论文，此文献不代表本站观点，内容供学术参考，文章仅供参考阅读下载。

      近年来，随着内部控制体系理论的不断发展，企业内控建设的不断深入，如何保证内控建设成果的有效落地及内控体系的循环完善是摆在各企业面前的课题。内部控制审计作为保障企业内部控制体系有效落实的最后一道防线，在促进企业内控管理完善和提升的角度起着越来越重要的作用。

      二、风险导向内部控制审计理论基础

      （一）内部控制审计的理论与发展

      1.内部控制的概念及理论发展

      内部控制是由企业董事会、监事会、经理层和全体员工实施的旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

      内部控制理论经历了内部牵制阶段、内部控制阶段、内部控制结构阶段、内部控制一整合框架阶段（COSO），并最终发展为企业风险管理一整合框架（COSO—ERM）。

      《萨班斯一奥克斯利法案》404条款明确了管理层必须对企业内控运行情况进行有效性评估，通常由内部审计部代表管理层进行“管理层测试”，持续的内部控制测试将内部审计范围延伸到企业生产经营的各个方面，针对测试结果提出切实可行的管理建议，促进公司治理结构的有效、完善。

      （二）风险导向内部审计的特点

      1.以内部控制评审为基础

      评估与改善风险管理作为内部审计的基础，首先必须通过内部控制评审，查找并发现内部控制中存在的风险点。内部控制评审是风险导向内部审计进入公司战略和风险管理、评估改善组织风险的基础。

      2.以对风险的评估与改善为首要目标

      风险导向内部控制审计一切活动都要以风险管控作为出发点和落脚点。

      3.善于发现并重点关注企业的风险

      风险导向内部审计更加注重企业内外部显现与潜在的影响企业当前和未来发展的问题，风险导向内部审计强调关注公司治理框架中的风险发现与风险管理，关注管理者及其经营风险。

      三、内部控制审计实施路径与实践应用

      构建一套完善的内部控制审计实施路径是公司内部控制审计工作有效开展的基础，集团公司在开展内部控制审计的过程中，基于前沿的理论基础和具体的实践工作，研究搭建起了一套全流程闭环式的内部控制审计项目管理体系，包括内控审计方向确定、内控审计过程管理、内控审计工作执行、内控审计结果应用等四个环节，致力于在公司内部构建内部控制审计环境，促进内部控制文化的形成。

      （一）内控审计方向的确定

      在风险管理与内部控制管理不断提升发展的趋势下，内部控制审计正逐步由合规导向向风险导向和管理导向转变。

      风险导向内控审计工作方向是审计工作有效执行并取得成效的基础。审计工作方向和重点需基于风险评估的结果，针对重要风险点和重要控制环节设置审计策略，依据企业战略、经营计划和管理层需求等确定审计范围及重点。

      在审计计划和方向制定前，内控审计人员组织开展全面风险评估，了解公司战略和管理层重点关注的业务管控环节，进而确定审计重点。

      在开展年度内部控制审计的过程中，秉承“结合内控、深入基层、全面梳理”的风险评估原则，全面考虑内部控制的风险防范作用，识别潜在风险，评估风险发生的可能性及风险影响程度，确定风险得分与风险等级：风险得分=风险发生可能性X风险影响程度。

      在风险评估结果的基础上，内控审计人员依据公司资产总额量化指标，综合考虑公司管理层管理提升要求、重大决策事项、业务复杂程度、外部监管重点、专业管控要求等因素，确认纳入公司内部控制审计范围的主要单位和业务领域，确保不存在重大遗漏。

      审计计划和审计重点的有效确定，为后续审计工作的开展奠定了坚实的基础。

      （二）内控审计过程管理

      随着内部控制审计的不断发展、公司风险控制要求的不断提高、市场监管的不断增强，内部控制审计由事后审计向事前、事中、事后追踪审计转型变得尤为重要。

      事后审计更多关注于业务完成后的检查，以查漏补缺为主，但是开展审计时往往损失事件已经发生，无法起到防范风险的作用。更有效的内部控制审计需要将审计关口前移，从业务发生前端关注风险的防控，业务执行过程中关注规范业务的执行，业务完成后再追溯控制执行过程的合规性，通过三道关卡共同促进内部控制体系的有效执行。事前、事中审计可以有效避免事后审计的滞后性和间接性，及时发现业务管理薄弱点，增强审计的时效性。

      全过程审计是将内部控制审计工作与生产经营过程相结合，持续对风险进行预防和控制，以期起到对风险事前事中监控的作用。通过事前事中事后审计相结合的审计方法，确保了内部控制审计工作对于内控管理体系的有效促进。

      （三）内控审计工作执行

      在内部控制审计工作的具体开展过程中，内控审计人员需要运用有效的审计方法和审计工具，促进内部控制审计目标的实现和内部控制审计工作质量的提高。在开展内部控制审计业务实践的过程中，综合运用了询问法、书面文档检查法、实地观察法、穿行测试法等常规方法，并创新地运用了延伸审计法、PPS抽样法等审计方法，提高了样本的有效性和审计结果的真实性，有效保证了审计效果的实现。

      有效的审计工具对于内部控制审计工作的开展具有重要意义。在开展内部控制审计工作的实践中应用了全面风险管理与内部控制信息系统（以下简称“风控系统”）。风控系统涵盖了风险管理与内部控制的全业务流程，实现了风险评估与内控审计工作的全面上线。依托线上风险评估结果确定纳入评价范围的实体和流程，线上编制计划和项目并下达内控审计任务、收集佐证材料、编制工作底稿、形成内控审计报告，收集并派发整改任务，监督整改进程。

      （四）内控审计结果应用

      作为内部控制审计项目全过程管理的最后一个环节，审计结果的有效应用对于内部控制审计项目的完善具有重要作用。通过监督落实审计问题、及时更新完善内控体系、汇总审计结果作为后期审计重点、共享审计情况便于横向分析、将审计结果与考核挂钩等方式，保证了内控审计结果的有效应用。

      1.监督问题整改，验收整改结果以实现规范操作、控制风险的目的。

      内控审计人员就发现的问题及时与相关部门人员沟通，下发整改通知书，要求其及时落实整改。同时，内控审计人员负责对于各自发现的问题进行整改情况复核，直至确认其已经得到有效整改。例如，针对“电网基建工程合同审核不到位”的问题事项，在内控审计人员的监督管理下，公司加强合同管理制度宣贯工作，严格过程、系统管控，确保未经审核合同不予盖章，防范了合同审核不到位带来的法律和财务风险。

      2.依据审计结果，完善内控体系

      内控审计是对内部控制体系运行情况和运行效果的监督，随着市场和公司业务的不断发展，内部控制体系也需要不断进行调整。内控审计作为内部控制制度调整完善的助力和契机，在事前对于控制体系有效性进行审计、事中对业务执行进行追踪、事后对控制执行进行检查的过程中，均可依据实际情况发现内控设计中不再符合业务现状的元素，并及时对内控体系进行调整。

      例如，企业在开展内部控制审计时发现部门人员按制度内容、内控矩阵流程规定执行，但由于矩阵中未明确执行轨迹以何种方式体现，导致留痕格式不统一。程序执行过程中的留痕文件格式不统一，将导致记录的内容不一致，会影响后期对业务进行统计分析、工作经验的总结归纳，降低工作效率。故内控审计人员建议针对各专业组类似留痕问题，建议统一梳理并规范要求。

      3.分析审计成果，作为后期审计重点

      内控审计过程中发现的问题均可能是日常业务开展中容易出现问题的高风险环节，所以每次内控审计发现的问题对于确定后续审计的审计范围和重点具有很高的借鉴意义。在内部控制审计工作结束后，及时完整地对审计结果进行分析归档。同时，对于问题类型进行分类，确定出例如工程合同签订与履行、废旧物资管理等问题发生频率和影响程度较高，在今后的审计工作中将作为重点。

      4.共享审计结果，横向串联分析

      内部控制审计工作的最终目的是促进公司内部控制管理体系的不断完善、内控管理流程的不断规范，所以对于发现的问题应采取正确的态度，积极整改的同时总结经验教训。网省公司在内部控制审计工作开展结束后，将各流程审计中发现的问题在公司范围内进行了共享，供相关部门、相关流程互相了解借鉴，避免类似问题的发生。

      通过审计结果共享，促进了公司各部门制定措施，优化流程，完善制度，提升管理水平，同时也为公司决策提供有力参考依据，审计工作价值得以彰显。

      5.总结审计问题，挂钩考核结果

      完整的内部控制审计机制，需包括考核和激励的方法与制度，与考核结果挂钩，有效保障审计结果的推进落实。

      公司将内控执行情况纳入考核体系，以内部控制审计的结果作为考核依据。在审计工作完成后，相关管理人员需对问题情况进行总结和深入分析，研究问题产生原因，落实责任人，与考核结果相结合。

      （五）内部控制审计持续化

      通过持续深化开展内部控制审计工作，可以有效防范了主要经营风险、提升公司的经营效率。实现对工程建设风险、物资管理风险等重要风险的有效管控，同时通过内部控制审计工作进一步营造内部控制氛围，从而促进公司健康运行，保障管控体系常态运行。

      四、风险导向内部审计与内部控制评审的结合

      现代内部控制评审的功能是根据已经制定的公司目标识别、控制以及管理风险，为公司目标的实现提供合理保证；而风险导向内部审计的功能是以风险为出发点，为内部控制提供能动的反馈，将反馈控制向事中实时反映以及事前反馈延伸。两者的结合构建了以风险评估为导向，以内部控制审计为主线，以公司治理为目标的完整的内部控制体系，旨在增加价值和改善组织的运营，帮助组织实现其目标。图1是风险导向内部审计对内部控制的逻辑框架，风险导向内部审计以企业风险为出发点规划审计战略，是符合管理层需要的、紧密结合目标和风险的适当控制。风险导向内部审计和内部控制评审两个要素以风险作为共同的语言，相互协同作用，其目标都在于增加企业价值，使得审计机构的目标与业务部门的目标趋于一致，从而使整合后的系统发挥出“1+1＞2”的功效。

      

      五、风险导向内部控制审计体系构建

      风险导向内部控制审计流程设计结合现代风险导向内部审计理论与实践成果，得出现阶段风险导向内部审计与内部控制评审整合的审计流程如图2所示。

      内部控制评审与风险导向内部审计的结合使公司的风险管理与风险导向内部审计程序之间协调一致，产生协同增效的作用。内部审计部门要根据公司具体情况，分析、识别、评估公司经营管理的各项风险因素，按照风险因素制订审计工作计划，覆盖高风险领域，在计划实施过程中，还要不断监控风险的动态变化，不断调整工作计划实现审计关口前移。并将确认的内部控制环节的风险，及时反馈给风险管理部门和业务部门。风险导向内部审计的及时反馈功能使内部审计直接参与到公司风险管理的过程中，及时地通过风险审计报告和管理建议书等形式反馈风险评估和监督检查的结果，最大化体现内部审计的工作成果和价值。

      作为“免疫系统”的内部控制以及保证和提升“免疫系统”功能的内部控制审计针对不同企业机体必然存在较多的共性，这使得该体系对于各种类型企业开展内部控制审计工作具备借鉴意义。

      1.围绕“资金流”构建评价体系

      以资金流为核心，反映物流的变化，而信息流的重要任务之一便是反映资金流转的效率和效益水平。

      因此，围绕“资金流”确立风险导向内部控制审计的四大类关键业务：资金规划控制（预算管理）、资金流入控制、固定资产管理和资金流出控制（工程项目管理）至关重要。

      2.强化对行为的规范和引导

      合理的组织行为是组织目标实现的基础。内部控制制度本身提供了对控制行为的规范，同时，在公司《内部控制评价制度》中规定了应采用外部评价和自我评价相结合的评价方式。

      3.合理选择和设计评价指标

      不同企业的内部控制差别巨大，因地制宜的设计和选择指标对体系构建关系重大。

      

标签：内部控制论文;  内部审计论文;  内控体系建设论文;  内控管理论文;  审计计划论文;  审计方法论文;  风险内控论文;  审计质量论文;  结果导向论文;  审计流程论文;  审计目标论文;  风险管理论文;  风险评估论文;