前言

外部内部控制审计主要是民营企业委托会计师事务所等社会审计机构对企业内部控制制度缺陷进行分析，并识别企业内部控制内容、内部控制流程以及内控风险机制的有效性，从而指导民营企业整改内部控制制度、优化内部控制数据处理模式、扩大内部控制风险监控范围。

内部控制审计是民营企业搭建系统性的内部控制制度以及阶段性优化的必要机制，不仅关系到企业内控管理模式的转型升级，还关乎企业内控制度的有效性以及内控风险敞口的大小。

一、内控制度规划和运作体系的主要内容

架构设计、内控执行以及内控监督是一个闭环的体系，三者缺一不可。内控体系要求民营企业从内控架构出发，完善内部控制执行链条，并通过内部控制监督机制来实现一体化的风险监控，从而优化民营企业的内控成效。

1.内部控制架构

内部控制制度规划和运作体系的核心内容在于顶层内部控制架构的设计和内部控制执行链条的完善，因此是一种战略规划和执行链条相统一的体系。民营企业在内部控制体系建设过程中需要基于所处的市场环境、政策环境、行业环境以及竞争环境等外部环境以及自身业务发展情况、组织架构情况、投融资情况以及财务资金控制情况等内部环境制定内部控制策略，从而最大化发挥内部控制战略的有效性。

内部控制策略需要和民营企业的业务发展模式、财务资金发展模式、供应链管理模式以及市场营销模式等保持一致，从而能够统筹企业的业财融合发展、缩小企业系统性经营风险。

在内部控制组织架构设计方面，内控体系要求民营企业成立独立的内部控制职能部门或者内部控制委员会，其中内部控制委员会应该由董事会成员以及各部门负责人组成。

内部控制的职能部门以及内部控制委员会应该统筹民营企业的内部控制工作，负责内部控制策略的制定以及内部控制制度的优化，并且对各个部门的内部控制执行情况进行全生命周期的监督管理。

2.内部控制执行管理

在内部控制执行层面，企业应该将业务层面和财务层面的内部控制工作适度分离，业务层面的内部控制内容包括供应链管理、市场营销管理、产品研发管理、采购管理、销售渠道管理、项目建设管理等，财务层面的内部控制内容包括预算管理、资金收支管理、成本控制、资产购进和维护、负债管理以及现金流管理等内容。

民营企业需要按照既定的内部控制方针执行内控策略，并将实际的内部控制执行情况、内部控制难点问题、内部控制风险问题上报内部控制委员会，由内部控制委员会根据企业发展情况优化内部控制模式以及健全内部控制制度。 

内部控制运作体系还要求民营企业应该对经营活动进行系统性的分析，整合业务经营、财务经营的具体数据，并通过ERP资源管理系统以及财务共享服务系统开展指标分析和风险预警工作。在整个民营企业经营的仪表盘数据分析里面，有三个关键点。

一是各种财务指标的分析，例如资产负债率、应收账款周转率、总资产周转率、净资产收益率、股本收益率、销售利润率等，如果短期内财务指标出现大幅度的超出预期的变动，则内部控制职能部门应该对风险进行预警，并进一步分析导致风险溢出的原因。 

二是是业务指标分析，例如铺货率、新增用户数、客户留存率、生产效率等，民营企业应该基于现有的业务发展模式、业务属性完善业务指标库，并评估业务指标是否满足既定的业务经营目标。

三是业务指标和财务指标的交叉分析，单一化的业务指标和财务指标往往仅能够片面地展示的业务经营情况，而不能够综合展示企业风险暴露的原因，因此企业应该开展交叉化的指标分析，例如将客户留存率、生产效率等业务指标和净资产收益率、销售利润率等财务指标进行对应分析。 

3.内部控制监督管理

内部控制监督管理是内控体系的最后一个环节，内控监督机制的有效性直接关乎民营企业内控制执行成效以及风险监控成果。

因此，内控体系要求民营企业基于业财风险属性、组织架构以及运作模式完善内部控制监督管理机制，并通过内部审计机制、绩效考核机制以及责任追究机制来实现生命周期的内控管理。

内部控制监督管理作为最后一道防线，起到了风险监控、合规运作的作用。其中内部控制体系要求民营企业利用战略审计、资金审计、经济责任审计等审计模块对内部控制的执行成效进行评估，并对业务发展规划、预算编制以及风险管理方案的执行情况进行审计监督。 

绩效考核机制作为辅助激励机制，是民营企业达成内部控制策略以及实现业财发展目标的核心机制。绩效考核机制不仅是一种人力资源配置的激励机制，但其本身其实也是一种控制手段，因为所有的绩效考评发挥的是指挥棒的作用，指挥员工前进的方向，对于企业实现整个的战略目标以及内控目标是非常重要组成部分。

民营企业在绩效考核的过程中应该将内部控制目标进行拆分，划分不同部门的内控职责内容，并制定岗位绩效指标、关键绩效指标以及重要事件绩效指标。

最后，责任追究机制主要指的是民营企业对内部控制主要负责人的管理成效进行评估，并对重大决策失误、执行失误以及监督失误等问题追究责任。 

民营企业在内控监督过程中需要对内控链条运作情况、内控组织架构运作情况、内部控制职能管理情况以及内部控制关键岗位运营情况进行综合评估，对不合规运作、流程冗杂以及监督失效等内控制度缺陷进行整改。

二、内部控制审计的主要目标和途径

内部控制审计是内控的衍生监控机制，其将审计监督和内控执行相融合，以分析民营企业内控策略、内控架构、内控流程、内控风险监控以及内控监督等环节的运作成效，最后推动民营企业开展内控改革以及解决内控执行问题。 

内部控制审计的主要目标是通过内控制度审查、内控链条评估、内控风险测试来识别企业内控制度的缺陷点以及风险暴露点，进而分析现有内控制度是否能够合规运作以及是否在控制民营企业业财风险上具有可信度。

民营企业在内控制度建设过程中往往存在内部控制架构和现有业务结构和财务资金架构不相符的问题，或者企业内部控制风险监控链条无法有效覆盖全面业务经营，从而导致民营企业的内部控制趋于失效，因此需要内部控制审计介入对企业的内控规章制度以及内控执行情况进行审计鉴证，以识别内控缺陷以及缺陷等级。 

民营企业通过内部控制审计不仅是对潜在的内部控制问题的识别和处理，还是对现有内部控制组织架构以及内部控制风险架构的再优化。内部控制审计将审计链条嵌入民营企业内控的全过程中，从而有效规避不合规经营风险并提高企业内部控制执行成效。

从实质上看，内部控制审计是内部控制监督管理机制的一部分，企业主要期望利用内部控制审计对特定周期内的内控策略、内控组织模式、内控链条进行系统性审查，以保障内控制度的有效性、缩小系统性经营风险。 

内部控制审计是内控制度的再控制和再监督，主要通过询问内部控制职能工作人员、观察企业内部控制组织管理情况、检查企业内部控制工作文件以及风险处理文件、模拟内控风险溢出、测试内控制度等途径和方法来综合审查企业内部控制制度的有效性。

在内控审计过程中，会计师事务所需要深入了解企业内控制度建设情况、内控执行力度、内控风险运作机制等信息，并对企业内部控制策略进行账面分析，评估内控制度的可行性。 

由于内部控制环境关乎民营企业内部控制的运作成效，因此进一步，会计师事务所需要对民营企业内部控制环境进行分析，涵盖的内容包括民营企业决策机制、职能分配、治理结构、部门设置、企业文化等。

同时会计师事务所还需要对民营企业内部控制信息沟通渠道以及信息处理模式进行评估，分析民营企业是否搭建业务和财务信息的双向沟通渠道，是否利用多元化的信息系统处理内部控制信息。会计师事务所还需要对企业内部控制监督机制的权责内容、监督周期、监督方法等进行审查，保障民营企业的内控监督机制稳定运作。

内控管理师（ICM）”着力解决企事业单位内部控制体系建设专业知识不足，内控管理专业人才匮乏的共性问题。