前言

随着内部控制日益重要，不论是审计机关、内审机构，还是社会审计机构（会计师事务所），都越来越重视内部控制审计工作，并将其作为现代审计的一项重要内容。

内部控制审计实务到底包括哪些内容、如何审计，这是值得深入研究和探索的实践课题。经长期实践和研究，我们编写了本书。

对于内部控制审计，人们的认识很不一致。内部控制审计有制度基础审计、内部控制审核、内部控制测试、内部控制评价等多种称谓，也有多种定义。本书将内部控制审计简单定义为对特定基准日内部控制有效性独立进行的监督工作。

本书认为，内部控制审计不是制度基础审计，而是对内部控制这一对象进行的专项审计，属于专项审计的范畴。内部控制审计是对被审计单位内部控制有效性单独发表意见，与作为其他审计形式的一个环节来决定实质性测试的深度和广度的内部控制测试不同，它需要擅长经营管理的审计人员，采用必要的审计程序，专门就被审计单位内部控制的设计与运行的有效性进行审查和评价，编制内部控制审计工作底稿，取得充分的审计证据，依据审计结果，仅就内部控制设计与运行的有效性出具审计报告。

本书认为，内部控制审计不是内部控制评价，两者是相互独立、并行不悖的，既有联系，又有区别。组织实施内部控制评价和内部控制审计必须按照不同的规则独立完成，两者之间不能相互替代和免除。鉴证类内部控制审计是对内部控制评价报告进行审计并发表意见，是一种对结果的认定；而内部控制评价是一种循环往复的过程，组织通过这一过程不断完善内部管理。内部控制审计是由审计人员独立进行测试并得出结论的；而内部控制评价是由管理层对本组织的内部控制有效性进行测试并得出结论的。

本书认为，会计师事务所接受委托对管理层内部控制评价报告进行审计并发表意见，这属于鉴证性质。会计师事务所从事的鉴证性质的内部控制审计，应针对管理层内部控制评价报告进行审计并提出结论。审计人员对管理层内部控制评价报告进行审计，其责任在于确定管理层内部控制评价报告的恰当性，关注的重点是内部控制评价报告是否符合实际，内部控制是否有效只是审计人员判断内部控制评价报告是否恰当的基础。审计报告要明确提及管理层内部控制评价报告。如果被审计单位内部控制存在缺陷，但管理层在内部控制评价报告中已做充分披露，那么审计人员仍然可以出具无保留意见的审计报告。只有当被审计单位内部控制存在缺陷，而管理层未发现或未做适当披露时，审计人员才可能出具保留意见或否定意见的审计报告。

本书认为，审计机关、内审机构进行的内部控制审计是为了满足监督和管理需要，属于管理审计的范畴，不是鉴证性质的，应该直接对特定基准日内部控制设计与运行的有效性进行审计并出具报告。会计师事务所受托从事上述内部控制审计业务，也不是鉴证性质的，属于基于外部监管和内部管理需要的管理类审计。

在实际工作中，会计师事务所接受委托所从事的内部控制审计包括基于满足政府监管部门要求的鉴证类审计和基于内部管理需要的管理类审计。基于内部管理需要的管理类审计大多是由内部审计机构委托的，需要满足委托人的特殊要求。注册会计师在执业时区分这两类内部控制审计的要求很重要。

在审计实务中，不论是财务报表审计、经济责任审计，还是经济效益审计等审计类型，都把内部控制的健全、有效性作为一项重要审计内容，而不是把内部控制审计作为一种独立的审计类型。

如把内部控制审计作为独立的审计类型，内部控制审计应如何进行？具体可分为两种形式。一是独立审计形式。内部控制审计是对内部控制的有效性发表意见，对象是内部控制，应出具单独的审计报告。二是整合审计形式。整合审计形式就是将内部控制审计与财务报表审计整合进行的一种审计形式。这两种形式各有特点：独立审计有利于提高审计工作质量，但审计效率较低，也会增加审计成本；整合审计可以提高审计工作效率，但难以提高内部控制审计的工作质量。

审计机关、内审机构进行的内部控制审计和会计师事务所接受委托从事的非鉴证类的内部控制审计，应该采用独立审计形式。否则，就没有必要进行这类内部控制审计。

关于内部控制审计内容，现实的做法也不一致。一般把内部控制整体框架及其要素作为内部控制审计内容，即对控制环境、风险评估、控制活动、信息与沟通和内部监督五要素或内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息与沟通和内部监督八要素进行审查和评价。

本书认为，把内部控制整体框架及其要素作为内部控制审计内容是重要的，但这是基本的整体层面上的内部控制审计内容，还应把业务层面上的内部控制作为内部控制审计的重要内容。如不把业务层面的内部控制作为审计重点，内部控制审计工作将难以深入，容易走形式。

本书强调内部控制审计内容包括整体层面控制审计和业务层面控制审计两个方面，均应对其设计与运行的有效性独立进行审查和评价。内部控制的设计很重要，内部控制的运行更重要，其都是内部控制审计的重要内容。

内部控制审计程序划分为哪几个阶段，每个阶段又分为哪些步骤，这些因审计组织和审计范围的不同而不同。一般将内部控制审计程序划分为审计规划、评估风险、控制测试、分析结果、提出建议、编写报告、跟踪和监督等阶段。本书将内部控制审计程序划分为审计准备、审计实施、审计报告三个基本阶段，每个阶段又可细分为若干步骤。

内部控制审计到底包括哪些方法，理论界和实务界对此的认识是不同的，具体做法也不一样。本书认为，内部控制审计方法是多种多样的，审计人员需要综合运用审阅法、询问法、调查法、观察法、讨论法、穿行测试法、抽样法、比较分析法、文字说明法、控制矩阵法和流程图法等；在内部控制审计中，数据分析将越来越重要。

本书内容包括内部控制审计概述及案例，整体层面、资金活动、采购业务、资产管理、销售业务、工程项目、财务报告、全面预算、合同管理和信息系统等方面的内部控制审计实务及案例，基本涵盖了内部控制审计实务的主要方面。

本书按照基本概念、内容和要点、程序和方法、实务案例的体例编写，以实务案例为主，突出操作性、实用性。

本书虽力求具有操作性和实用性，但限于我们的认识水平和实践经验，不足之处在所难免，希望广大读者不吝指正，以便我们在今后的工作中先行纠正和完善，并在本书再版时进行修订。

李三喜
2023年10月 TeEcSrT/gzwRjflMkqpqO97EwBxQJsHMIclBMz5cTwpEfhRBuejVwMYwKk3dmZzi