内部审计的目标和内容有哪些

第一节　内部控制与制度基础审计

一、内部控制含义与目标

内部控制是现代企业、事业单位以及其他有关的组织在其内部对经济活动和其他的管理活动所实施的控制。具体地说，它是指一个组织为了提高经营效率和充分地获取和使用各种资源，达到既定的管理目标，而在内部正式实施的各种制约和调节的组织、计划、方法和程序。它是有效执行组织策略的必备工具，是现代化企业重要的任务及管理方式与手段，是实现高效化、专业化、规范化和自动化的最基本条件。之所以要设置内部控制，一是在促使企业迈向获利目标的路上，达成其经营理念，并把意外损失减到最低程度；二是促使管理阶层有能力与日益变化经济相适应，转移顾客的需求，改变需求的优先顺序，并为未来的成长而改组；三是以利于提高效率，减少损失资产的风险，保证财务报表的可靠性，以及遵循法令。

美国职业会计师协会所属的审计程序委员会，1949年第一次提出了内部控制的概念：内部控制包括经济组织的计划及经济组织为保护其财产、检查其会计资料的准确性和可靠性、提高经营效率、保证既定的管理政策得以实施而采取的所有方法和措施。

《世界最高审计机关组织内部控制准则》中规定：内部控制是为达成管理目标，提供合理保证的管理工具。内部控制包括组织计划，以及为达成配合组织任务，保护资源，遵循法律、规章及各项管理作业规定，提供值得信赖的财务及管理资料而采取的管理的态度、方法、程序及评量措施。其控制目标，一是保护资源，以避免因浪费、舞弊、管理不当、错误、欺诈及其他违法事件而招致损失；二是配合组织任务，使各项作业均能有条不紊，且更经济有效地运行，并提高产品与服务的质量；三是遵循法律、规章及各项管理作业规定；四是提供值得信赖的财务及管理资料，并能适时恰当地揭露有关资料。内部控制主要包括组织计划，管理的态度、方法与程序，评量措施等。

1992年美国COSO报告中认为：内部控制是为达成某些特定目标而设计的过程。即内部控制是一种由企业董事会、管理层与其他人员执行，由管理层设计为达成营运的效果及效率，为财务报告的可靠性和相关性法令的遵循提供合理保证的过程。该定义反映出的基本观念是：内部控制是一种“过程”，内部控制是一种受“人”影响的过程，是由“人”执行，并非仅是政策手册与表格，而是来自组织内每一个阶层的人；内部控制只能为企业管理层与董事会提供“合理保证”，而非绝对保证；不同类别的内部控制相互配合，以一种、多种或重叠性的类别达成多项管理目标。

COSO报告认为：每一个企业均要确定其管理理念，选定其欲达成的目标，以及达成目标的策略。单位欲达成的目标，可以是单位的整体的目标，也可以是单位内某特定作业的目标。虽然有些目标是专门针对某特定单位而设，但是还是有些目标为大家所公认。如下面三个方面目标，即为大多数企业所公认的目标：

①营运目标——与企业有效率及有效果地使用资源有关的目标；

②财务报告目标——与编制可资信赖的对外财务报表有关的目标；

③遵循法定目标——与企业个体遵循相关法令有关的目标。

《国际审计准则6》第9条规定：内部控制只能为管理人员达到其目标提供合理的确信，因为内部控制有其固有的限制，例如：

①管理人员通常要求一项控制是有成本效果的，即一次控制程序的费用不应与因舞弊或错误所造成的可能损失不相称；

②事实上大多数的控制是借以指导会发生的那类经济业务，而不是针对非常的经济业务；

③由于粗心、精力分散、判断失误或误解指示而造成人为错误的可能性；

④可能会通过与单位的外部关系或本单位职员共谋而设法规避控制；

⑤某一运用控制的负责人可能会滥用职权，例如管理人员当中的某一成员会对控制置之不理；

⑥可能会由于情况变化而使控制变得不适当，并使控制程序的遵守可能发生改变。

内部控制存在成本限制、串通舞弊、人为错误、管理越权、跟不上变化等局限性，因此，对目标实现只能提供合理的保证，而非绝对保证。

将内部控制的内容和方法以文字或流程形式作出具体规定，并付诸实施，使其连续执行，且制度化，即是内部控制制度。内部控制制度的内容、种类、方式取决于内部控制。内部控制制度，是组织内部管理工作的重要组成部分，是为满足该单位的组织、业务和管理目标的需要而设计的。它应当包括与保护资产安全、确保各种信息资料的可靠、有利领导决策、促进管理方针的传达和贯彻、提高工作效率和经济效益有关的管理控制。它的主要任务是控制单位内部一切经济活动严格按照计划规定的预期目标进行，以保证计划任务的完成，以及经营效率的提高。内部控制制度只是内部控制的载体，它们的内涵是一致的，国外一些专家认为它们是一回事，不需作严格的界定。

二、内部控制结构与要素

美国执业会计师协会审计标准委员会在1988年颁布的《审计标准文告》第55号中，从财务报表审计考虑，认为内部控制结构由控制环境、会计制度和控制程序组成。根据美国COSO组织研究成果《内部控制——整体架构》，内部控制包括五个相互有关联的组成要素，它们源自管理层经营企业的方式，且与管理的过程相结合。

1．控制环境

控制环境是内部控制组成要素基础，是所有控制方式与方法赖以存在与运行的环境。它对于塑造企业文化、提供纪律约束机制和影响员工控制意识有重要作用。影响控制环境的因素有四个方面：企业人员的操守、价值观及能力；管理阶层的管理哲学与经营风格；管理阶层的授权方式及组织人事管理制度；最高管理当局及董事会对单位管理关注的焦点及指引的方向，如他们对内部控制是否持肯定和支持态度等。

2．风险评估

每个单位均应评估来自内部和外部的不同风险。风险评估系指辨认并分析影响目标达成的各种不确定因素。风险评估是决定风险应如何管理的基础。由于经济、业务、主管机关和营运环境不断变化，风险也因变化而来，因此，辨认并处理这些风险自然就有必要。

3．控制活动

控制活动是指确保管理阶层指令实现的各种政策和程序。它是指针对影响单位目标实现的各种风险而采取的各种措施和手段。单位各阶层和各种职能均渗透有不同的控制活动，如核准、授权、调节、审核营业绩效、保障资产安全以及职务分工等等。由于单位性质、规模、组织方式等不同，其控制活动也有所不同。

4．资讯与沟通

每个单位必须按照一定的方式和时间规定，辨识和取得适当的信息，并加以沟通，以便于员工更好地履行其职责。单位资讯系统能产生各种报告，包括与营运、财务及遵循法令有关的资料和信息，这些资讯反映了单位业务运行状况，便于管理者采取控制措施。资讯系统不仅处理单位内部所产生的资讯，同时也处理与外部事项、活动及环境等有关的资讯，这些资讯同样是单位制订决策及对外报告所必不可少的。有效沟通的含义，包括组织内部上下沟通及横向沟通，也包括与外界沟通。单位所有员工必须自最高管理阶层开始，清楚获取须谨慎承担控制责任的各种信息；必须了解自己在内部控制制度中所扮演的角色，以及个体的活动对他人工作的影响，单位必须有向上沟通重要资讯的方法，也应有向顾客、供应商、政府主管机关和股东等进行沟通的方式。

5．监督

监督是一种随着时间的推移而评估内部控制制度执行质量的过程。监督的方式有持续监督、个别评估及综合监督等。持续监督是指在营运过程中的监督，包括例行管理和监督活动，以及其职工为履行职务所采取的行为。个别评估的范围及频率，应根据评估风险的大小及持续监督程序的有效性而定。持续监督和个别评估一起进行，称之为综合监督。各种监督中发现的内部控制的缺失必须向上级呈报，严重者，则须向最高管理层及董事会呈报。

三、内部控制程序与方法

（一）内部控制程序

任何单位的内部控制工作，包括设计制度、执行制度、测试评价、改进制度。其主要程序包括以下方面。

1．确立标准

控制标准是控制的前提条件，没有标准就没有目标，也就无所谓控制。控制标准是指用来衡量实际绩效的预先确立的依据，标准包含了单位或某个部门的计划目标、规范制度等。每个单位在确立标准时，必须注意对关键的业务活动、关键的资源和关键的费用成本项目进行选择，作为关键的控制目标。

2．衡量结果

衡量结果是根据已确立的标准，衡量所指定任务的执行轨迹和实际完成情况，以控制将来为基础。要做好衡量结果工作，平时应做好记录计算工作，以确认制度实际执行情况；将实际完成情况与计划、定额比较，计算出差异。

3．分析差异

差异即是指控制目标与实际执行结果的差额或差距（或者说是执行结果偏离控制目标的现象）。分析时，主要是找出形成差异的各项因素，以及分析各项因素对差异的影响程度。

4．采取补救措施

通过造成差异的主、客观因素分析后，即应寻求纠正的办法。一是要根据存在问题的性质而采取适当的措施，二是要根据差异程度而决定采取措施的先后顺序，三是要充分考虑采取措施的成本问题。

5．检查与评价

检查与评估是指对内部控制过程进行全过程检查和评价，即包括适当性测试、符合性测试与综合评价等。

（二）内部控制方法

尽管各个单位的性质和经营特点有差异，但在建立内部控制制度时总是根据实际情况把各种控制方式、方法有机地组合起来，形成一个系统的控制以实现控制的目标。内部控制的方式、方法多种多样，但其基本的控制方式有目标控制、组织控制、人员控制、职务分离控制、授权批准控制、业务程序控制、措施控制与检查控制。有些内容在控制结构与要素中已作了介绍，在这里只阐述未介绍过的内容。

1．目标控制

目标控制是指一个单位的内部管理工作应该遵循其创建的目标，分期对生产、经营、销售、财务、成本等方面制订切实可行的计划，并对计划执行情况进行控制的方式。目标控制是一种事前控制方式，其主要过程包括确定目标、执行控制、测查执行成果与目标比较、进行测查结论反馈。

2．组织控制

组织控制是指对组织内部的组织机构设置的合理性和有效性所进行的控制。组织控制也是一种事前控制方式，其主要手段包括采用合理的组织方案，采用合理的组织结构和建立组织系统图等。

3．人员控制

人员控制是指采用一定的方法和手段对职工的思想品德、业务技能和工作能力的控制，以保证组织各级人员具有与他们所负责的工作相适应的素质，从而保证任务的完成。工作质量、人员素质控制应做到：根据各级人员政治素质委派工作，使各级人员能胜任自己的工作；进行上岗前业务培训并建立职工技术业务的考核制度；建立管理人员业绩考核制度，调离不胜任本职工作的管理人员；建立职业道德和业务技术轮训制度；建立激励、奖惩制度；建立职务轮换控制等。

4．职务分离控制

职务分离控制是指对于组织内部的不相容职务必须分工负责，不能由一个人同时兼任，以减少差错和舞弊的发生。任何单位应做到授权批准与执行分离，执行与审查稽核分离，执行与记录分离，保管与记录分离，保管与清查分离，总账记录与明细账或日记账记录分离等。出纳人员不得兼任稽核、会计档案保管和收入、支出、费用、债权、债务账目的登记工作。

5．授权批准控制

授权批准控制是指组织内部各级人员必须经过授权和批准才能对有关的经济业务进行处理，未经授权和批准，这些人员不允许接触和处理这些业务。这一控制方式使经济业务发生时就得到了有效的控制。

6．业务程序控制

业务程序控制是指对重复发生的业务采用规范化、标准化的手段对业务处理过程进行控制，因此也叫标准化控制。程序控制也是一种事前控制，主要规定凭证传递程序、记账程序、供产销及主要经济业务处理程序等。程序控制还包括了将业务处理过程的程序、要求、注意事项等编制成书面文件，便于有关人员执行。

7．措施控制

措施控制是指以特定的控制目标为其控制对象的控制措施，如方针政策控制、信息质量控制和财产安全控制等。方针政策控制实质上是一种纪律控制，主要以单位的方针、政策、计划、预算、标准、定额等作为控制的手段，以保证单位合法、合规地经营。

信息质量控制，即采取一系列的措施和方法，以保证会计信息的真实、及时、可靠和准确，保证会计信息能够满足组织内部和外部使用人的需要。信息质量控制的手段主要包括凭证审核、凭证连续编号、复核、核对、签章、传递与分析等。

财产安全控制是指为了确保财产物资的安全完整而采取的各项措施和方法。直接与财产安全有关的控制措施和方法有及时登记、限制接近、永续盘存制、财产清查制、出库入库手续、职务轮换制等。

8．检查控制

检查控制是指对内部控制制度的贯彻、执行情况所进行的监督检查，以保证控制功能的充分发挥。内部审计即是一种专业检查，是指组织通过建立内部审计部门对组织的各项业务进行审计检查的一种监督手段。

四、内部控制责任

组织中的每一个人对内部控制都负有一定的责任，单位最高负责人拥有内部控制制度的所有权，负责最终的责任。

（一）管理层的责任

管理层对单位的所有活动都直接负责，其中也包括对内部控制直接负责。单位中不同阶层的负责人所担负的内部控制的责任当然不同，而在不同单位中同一部门的负责人所担负的责任也有显著的差异。

1．单位主要负责人责任

单位主要负责人，连同一些资源的负责人，决定企业价值观及经营原则，制定重大经营政策，以形成单位内部控制的基础，如制定目标、制定政策、决定组织结构、决定沟通方式、决定规划与报告制度等。单位主要负责人应与重要职能的负责人沟通，复核他们责任的履行情况。由上可见，单位主要负责人在内部控制中应负领导和复核两大责任。

2．部门负责人责任

组织内部部门负责人对内部控制的责任，与其部门目标有关。一是负责制定和执行有利于部门目标实现的有关政策及程序，并确保部门目标与单位整体目标的一致性；二是对他人所负的责任还应负相关的责任。

由于单位财务（会计）主管及有关人员，在内部控制中处于至关重要的地位，所以除负有一般部门的责任外，其主管应经常参与单位预算及计划的制订；记录营运绩效，并从营运、遵循法令及财务的观点分析这些绩效；预防及监察不实财务报告。

（二）董事会的责任

企业董事会提供支配、引导及监督的功能。董事会经由选择管理层而说明它对操守、价值观的期望，并经由监督活动而确认其期望实现状况，董事会还通过保留某些关键决策及提供监督等，大幅度地涉入内部控制。许多企业董事会主要通过其所属委员会履行其责任。

1．监督委员会的责任

监督委员会的责任包括就财务报告的责任质疑最高管理层，确保最高管理阶层所采取的行动正确，辨识与纠正最高管理阶层逾越内部控制的行为。

2．薪给委员会的责任

检视薪给的约定是否有利于单位目标的实现，是否过分强调短期的绩效而伤及长期的绩效等。

3．财务委员会的责任

控制对资金的重大承诺，以及保证资本支出预算系与营运计划相一致。

4．提名委员会的责任

控制董事人选的选择，或许也控制最高管理阶层人选的选择。

5．福利委员会的责任

监督员工福利办法是否与企业的目标相一致，以及受托的责任是否已适当解除。

（三）内部审计人员的责任

内部审计人员对内部控制负有直接检查和提出建议的责任。内部审计的工作范围应检查与评价包括内部控制的适当性与有效性，也包括检查与评价员工在履行其指派责任的执行质量。其内容是：

（1）复核财务及业务资讯的可靠性及完整性；复核用以辨认、衡量、分类及报告这种资讯的方法。

（2）复核企业所制定的制度，决定企业是否遵循这些制度。

（3）复核保障资产安全的方法。

（4）评估资源使用的经济效益。

（5）复核营运执行状况，确定其结果与既定目标是否相一致。

（四）其他员工的责任

单位其他员工对内部控制均负有程度不同的责任。每位员工在促进内部控制产生效果方面，应负有提供相关资讯和采取正确行动的责任；当营运出现问题时，每位员工应对自己行为越轨或采取非法行为负责。

五、制度基础审计含义

审计人员的审计工作建立在对内部控制制度评价的基础上，即为制度基础审计方法，或叫系统基础审计方法。具体地说，审计人员通过内部控制制度实际存在的强点和弱点，来确定进一步实施实质性测试的范围、重点、方法与数量。制度基础审计是审计风险模式应用于审计过程而形成的一种审计程式，从20世纪80年代以来风行于世界各国。

随着股份有限公司的出现，股票上市，以财务报表为主要对象的信用审计应运而生。如果审计人员还按照账目基础审计，采用账目基础审计方法，已不能满足社会公众的需要。同时，由于现代管理的需要，股份公司普遍加强了内部控制工作，审计人员也没有必要采用原有错弊审计的方法。为此，审计人员在实施账目审查以前，首先检查内部控制制度（或系统）的完善程度，确定审计目标、审计技术和进程，借以取得足以支持审计意见的审计证据。由此产生了制度基础审计的方法。由于制度基础审计采用了科学的统计抽样方法，不仅有利于减少审计工作量，同时也有利于提高审计质量。制度基础审计的主要缺陷是使审计人员对内部控制制度过分依赖而忽视了审计风险产生的其他环节。

制度基础审计与账目基础审计相比较，在审计基础、审计程序、抽样技术、审计重点等方面均有不同之处。制度基础审计以内部控制制度调查、评价为基础；以适当性测试、符合性测试、有效性评价和实质性测试为其审计程序；重点采用统计抽样技术，并结合使用判断抽样技术；以内部控制系统各关键控制点薄弱环节为其审计的重点。制度基础审计方法的出现，使审计工作从单个数据的验证发展到对整个内部控制制度的系统评价，促进了系统审计思想的形成。制度基础审计能广泛地采用统计抽样技术，不仅有利于节约审计资源，也有利于提高审计效率；制度基础审计能发现业务处理程序上的错误和控制系统上不合理现象，不仅有利于避免重复差错的出现，而且有利于促进被审计单位不断完善内部控制机制，提高管理水平；制度基础审计能从薄弱环节入手，科学地掌握审计的重点和方向，既能保证审计工作质量，又能减少审计风险。制度基础审计能否普遍运用并能否取得良好的效果，一要看被审计单位是否具有良好的内部控制制度；二要看审计人员是否具有较高的业务素质，以及是否能运用内部控制的测试技术；同时还要充分考虑到内部控制制度本身的局限性。内部控制制度本身的局限性，制约着制度基础审计方法不是万能的。