以中石油公司为例看现代企业内部控制审计

　　现代内部控制理论认为企业内部控制是一个由多目标、多层次、多要素、多个子系统组成的有机整体。中石油公司建立了以《COSO内部控制整体框架》为理论基础的现代内部控制体系，为全面开展内部控制体系审计和评价提供了较好的环境基础，使内部审计能够以较宽的视野，对企业内部控制进行全面的、系统的分析和评价。

　　内部控制审计目标要以企业目标为出发点

　　对一个单位内部控制体系进行全面审计，首先要从分析企业目标着手，考虑监管环境等因素对企业目标的影响以及审计资源的限制等情况，根据重要性原则，对企业目标进行分类、排序，最终确定审计目标。审计目标尽可能与企业目标保持一致，以帮助和促进企业目标的实现。

　　中石油现行内控体系建设是按照境外上市地法律要求，以实现财务报告可靠性为主要目标。因此，中石油开展的企业内部控制审计，将财务报告内部控制有效性作为内部控制体系评价的首要目标。同时，考虑到企业内部控制是由多个目标组成，内部审计适当兼顾内控的效率、效果、法律遵循性等长期发展目标，体现为企业服务的职能。

　　按照“目标导向—风险分析—关键控制”的基本原则和总体思路，确定审计范围，突出对重点单位和关键控制的审计

　　中石油贯彻“目标导向—风险分析—关键控制”基本原则和思路，审计项目以企业目标为出发点，通过对公司层面和业务层面、信息层面控制风险的分析，确定关键控制，审计时将注意力集中在影响企业目标的重要风险和关键控制上。这种思路贯穿于审计项目的始终，体现在以下几个方面：

　　（1） 目标分析

　　从企业总体目标出发，细分不同的子目标，识别与目标对应的风险，剔除与企业目标实现无关的风险，确定公司层面控制风险。

　　（2）公司层面风险分析

　　在较大范围和较高的层面识别具有全局性的、统领性的重要风险，以确定影响公司目标实现的重要管理领域，再考虑与重要管理领域的关联性等风险因素，分析确定与重要领域相对应的重要业务单位（基层单位），确定审计范围。若重要管理领域不涉及基层单位的，人力资源政策等由公司层面直接管理和控制，则分析这些仅涉及公司层面的风险控制，确定公司层面关键控制。

　　（3）业务层面风险分析

　　对确定的重要业务单位中的重要业务流程，进一步进行风险分析，确定本业务流程中的重要风险，最终确定业务流程中的关键控制。

　　（4）信息层面风险分析

　　针对重要财务系统中容易出现财务风险的关键权限，以及关键岗位通过相应的手段进行审计，以确定其业务流程中的关键控制。

　　审计内容按照COSO内控五要素作为评价基础

　　审计项目前期，对被审计单位进行纵向分析，确定重要管理领域、重要业务单位、重点审计内容，即关键控制；审计过程中，则将关键控制在横向上落脚于COSO内控五要素，即通过对控制环境、风险评估、控制活动、信息与沟通以及监督等内容的审查和测试，确保内部控制审计全面覆盖企业内控体系。从内容上既包含了控制环境等软要素控制，又包含了具体业务流程的控制；从控制层面上，涉及企业战略层在内的所有控制层级，覆盖全部重要业务单位和重要业务活动。通过风险分析等理论的应用，体现了风险管理的实质，使内部控制审计在理论和实践上都站在一个较高的起点上，推进其向风险管理审计发展。

　　推行相对固定的审计程序和管理模式，全面规范内部控制审计操作

　　大中型企业的内控审计项目，经常要分成多个审计小组，负责不同的基层单位或不同的管理领域，并分阶段完成。中石油通过细化审计方案，采用相对固定的审计程序模式，使不同的审计人员和审计小组完成的审计工作能够统一规范。如审前调查阶段和现场审计的初期，集中审计组的骨干力量集中完成目标、风险、控制分析，提前制作各种调查问卷、调查表、评价、打分标准等，对于具体审计内容，事先编写出相对固定的审计工作表，详细列明审计内容、审计方式、方法和步骤，现场审计时，再根据具体情况进行适当修改，以后同类或类似的审计项目，均可以借鉴使用。

　　综合运用各种审计技术和方法

　　内部控制审计一般方法包括询问、观察、检查和再执行以及由这些方法演变的方法，实际工作中往往是多种方法综合使用。

　　（一）公司层面内部控制审计常用的方法

　　公司层面涉及高管基调、人力政策、权责分配、人员机构等软要素控制较多，审计时要与不同控制层面的人员进行访谈、发放调查问卷和调查表或知识技能考试等，了解公司的政策程序、管理基调和氛围，以便对控制基础环境做出趋势性判断，或为业务层面审计指出重点等。审计中按不同的控制层面和人员，区别使用以下方法（见表1）。

　　（二）业务层面内部控制审计常用方法

　　1.设计层面内控审计较实用的方法为“跟单测试法”。该方法是对一项业务由始至终进行穿行测试，可帮助审计人员尽快熟悉、理解业务流程，验证重要风险和设计的关键控制的完整性、合理性和有效性，查看业务流程中存在的重要风险是否被识别，相应的关键控制是否被确认并准确记录，是否制定了与控制实施相关制度以及控制是否被准确执行等。

　　2.执行层面内控审计常使用“抽样审计与详细审计结合”的方法。在基于内部控制与重要性水平评估的基础上进行抽样，在对关键控制进行抽样测试时，当发现例外事项，或是对某一样本产生怀疑时，再扩大样本的数量或对某一样本的业务流程进行详细审计，分析产生原因和造成的影响。

　　3.计算机辅助审计法。利用计算机技术对各种信息系统控制进行检查。如绕过计算机审计，即根据对输入与输出结果的检查，判断其处理过程的正确性，是否建立健全相应的控制；通过计算机审计，即对信息处理系统及程序进行检查，在此基础上进一步审查信息系统处理结果的方法；利用计算机审计，即以计算机为工具，辅助审计人员完成某些审计工作的方法。如SQL语句查询审计法等。

　　审计评价采取定性和定量评价相结合的方式

　　中石油在总部层面制定了基于财务报告可靠性的内部控制缺陷评价标准，其评价方法较为复杂。作为成本中心的地区公司及其下属单位，内控审计目标、评价指标都存在较大差别，不太适用上述标准。为使审计结论更客观，有据可依，也可以尝试采用一些简单实用的内控评价方法。

　　（一）公司层面控制较难使用量化的方法，一般采用定性判断，具备条件的可尝试标准分数法

　　公司层面控制缺陷通常不会直接导致信息错报，但会增加业务层面信息错报的可能性。因此公司层面控制缺陷评估基本上是采用定性判断，即逐项分析缺陷主题、缺陷性质等因素，判断缺陷可能导致错报的影响程度和错报发生可能性。如果可以聘请对被审计单位情况较为熟悉的内控专家，由专家给出标准分、审计人员经过测试给出实际得分。

　　（二）业务层面内部控制审计结果采用定量分析和定性判断结合的方法

　　业务层面内控审计评价采用标准分数法，将不同的定量或定性的问题统一折算成标准分值，使不同问题相互之间具有可比性，得出客观正确的评价。如经过风险分析列入业务层面审计范围的4个重要管理领域的总分值为100分，审计扣5分，业务活动部分实际得95分（见表2）。

　　在定性评价中，可以设定被审计单位可能违反规定的条件和扣分标准，如设定违反6项性质较为严重的问题及相应的违规金额数量，存在6项问题之一的单位，即使定量评价在60分以上，总体评价仍为“较差”等次；存在6项问题之一且违规金额超出规定2倍以上的，总体评价为“差”。

　　（三）对企业内部控制进行综合评价

　　针对所评价的内控体系，建立起整个体系与控制要素的对应关系，总分设为100分，由专家确定各要素的分数（权重），将各要素的打分结果除以100再乘其权重，得出最终分数。汇总全部控制要素得分，算出内控体系综合得分。根据总分值再定性划分为几个等次，如好（90分以上）、较好（80～90分）、一般（70～80分）、较差（60～70分）和差（60分以下）5个等次，以此进行最终评价（如表3）。

　　这种定量评价方法也可用于企业内部的自我评价，目的是求得企业内部单位之间的相对客观性。