内部控制审计的对象，不仅是财务报表的防波堤，更是企业运行的底层逻辑

大家好，我是你们的老朋友，一个在注会行业摸爬滚打多年的“笔杆子”。

今天咱们来聊一个稍微有点“硬核”，但又至关重要的话题，说实话，很多刚入行的审计师，甚至是一些做了多年的财务经理，一听到“内部控制审计”，脑子里蹦出来的第一个念头往往是：“不就是翻翻凭证，看看审批流程齐不齐吗？”

如果你也这么想，那这篇文章你可得好好看看了，这不仅仅是关于合规的问题，更是关于如何看透一家企业“体质”的学问。很明确——内部控制审计的对象，这不仅仅是一个学术定义，它是我们在审计工作中必须要锁定的“靶心”，如果连靶心都找不准,后面所有的审计程序都只是在打空枪。

拨开迷雾：到底什么是我们要审计的“对象”？

咱们得把概念理清楚，根据中国注册会计师审计准则和相关指引，内部控制审计的对象，是“财务报告内部控制”。

请注意这里的限定词——“财务报告”,这可不是企业的所有内部控制。

很多企业有一套非常庞杂的管理体系，包括如何提高员工满意度、如何优化生产流程、如何提升客户服务体验等等，这些当然也是内部控制的一部分（属于企业整体管理的范畴），但它们不是我们注册会计师在进行内部控制审计时必须要发表意见的对象。

我的观点是： 这种界定既是保护审计师，也是尊重管理层的边界，我们不是管理咨询顾问，我们的核心职责是保证财务报表的真实性和公允性，我们要审计的对象，就是那些“为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由企业董事会、监事会、经理层和全体员工实施”的，且与财务报表编制相关的控制。

举个生活中的例子吧。

这就好比我们要去检查一辆车是否“安全上路”。

企业的整体管理就像这辆车的音响系统、真皮座椅的舒适度、空调的制冷效果，这些很重要，决定了乘客（客户和员工）开不开心，但如果不影响刹车和转向,车依然能开。
内部控制审计的对象则是这辆车的刹车系统、转向系统和灯光信号，为什么？因为只有这些系统正常工作，才能保证这辆车在路上行驶时（对外披露财务报表时），不会撞车（不会出现重大错报），不会闯红灯（不会违反会计准则）。

咱们审计师盯着的那点事儿，就是确保企业记录交易、汇总数据、编制报表这一整套“神经系统”没有短路。

拆解核心：COSO框架下的五大要素是审计的“抓手”

既然锁定了对象是“财务报告内部控制”，那具体怎么下手呢？咱们不能瞎猫碰死耗子，在实务中，我们依据的是著名的COSO框架（虽然咱们国内有配套规范，但核心逻辑是一致的），内部控制审计的对象具体落地为以下五个要素，这五个要素，缺一不可,就像人的五脏六腑。

控制环境：企业的“家风”

这是所有控制的基石，如果一家企业的控制环境烂透了,那你别指望具体的流程能起作用。

生活实例： 这就好比一个家庭的家风，如果父母天天在家里打麻将、满嘴脏话、不务正业（控制环境恶劣），你却指望孩子每天自觉读书、按时做作业、不打游戏（具体业务控制），这可能吗？几乎不可能。

在审计中，我们要看：诚信和道德价值观如何？董事会和审计委员会是不是只在那儿当“橡皮图章”？管理层是不是过度追求业绩而暗示下面人造假？权责分配清不清晰？

我曾在一家拟上市公司做审计，发现他们的老板一言堂，财务总监就是个只会点头哈腰的“出纳头子”，这种情况下，即便他们的销售流程文件写得再漂亮，我也必须在审计报告中对控制环境打个大大的问号，因为在这种“家风”下,任何控制都容易被凌驾。

风险评估：企业的“雷达”

企业得知道自己哪儿容易出错,才能对症下药。

生活实例： 这就好比你要出远门，如果你知道前方路段有暴雨、有泥石流（风险），你就会提前绕路或者准备越野车（控制活动），如果你对风险一无所知，开着跑车就往沟里冲,那出事是必然的。

在审计中，我们要关注：企业有没有识别出财务报表层次的风险？比如是不是有一大笔外币债务没做套期保值？有没有识别出认定层次的风险？比如收入确认是不是容易提前？

个人观点： 很多企业的问题不在于没有控制，而在于“盲目控制”，他们花大力气去控制那些无关紧要的琐事（比如办公用品的领用流程繁琐到让人想辞职），却对重大风险（比如大额关联方交易）视而不见，我们在审计时，必须指出这种“雷达失灵”的现象。

控制活动：企业的“肌肉”

这是最看得见最摸得着的部分，也是审计师花时间最多的地方，包括不相容职务分离、授权审批、会计系统控制、财产保护等。

生活实例： 咱们说说“不相容职务分离”,这就像咱们去银行存钱。

柜员A负责收钱（记账）。
柜员B负责点钱复核（稽核）。
金库管理员C负责管钱（资产保管）。

如果A既管钱又记账，他拿走一万块，账上只要不记，谁也不知道，这就是最经典的“舞弊机会”。

我在审计一家电商公司时发现，他们的系统管理员拥有超级权限，既可以录入订单，又可以修改后台数据，还能批准退款，这简直是给舞弊者铺了红地毯，这种控制活动的缺失，就是我们必须要揪出的“硬伤”。

信息与沟通：企业的“神经”

信息得在内部顺畅流动,还得能及时传达到位。

生活实例： 这就像人体的神经系统，手摸到了火（发生了交易），如果神经传导正常，大脑（财务系统）马上会感觉到“烫”，立刻缩手（记录和反应），如果神经断了，手烧焦了大脑还不知道,那就麻烦了。

在审计中，我们经常遇到“信息孤岛”，销售部门卖了一亿货，仓库系统里发货了，财务部门月底竟然还没单据入账，为什么？因为销售系统和财务系统没打通，信息传递全靠人肉送Excel表，这种沟通断层，直接导致财务报表截止性错误，这就是我们要审计的对象——信息系统的一般控制（ITGC）和应用控制。

监督：企业的“免疫系统”

控制不是一劳永逸的，得有人盯着,定期检查。

生活实例： 这就好比咱们每年都要体检，或者平时家里要定期大扫除，如果你从来不打扫，再好的房子也会积满灰尘,甚至长蟑螂。

企业要有内部审计机构，要有对控制的持续监控，如果一家企业的内审部门一年到头没发现任何问题，要么是这家企业真的是“世外桃源”，要么就是内审部门瞎了眼，我们在审计时，通常会利用内审的工作，但如果内审不独立或能力不行，我们一点不敢偷懒,必须自己重做一遍。

容易被忽视的“隐形对象”：IT一般控制

在数字化时代，我想特别强调一点，内部控制审计的对象中，IT一般控制（ITGC）的地位已经今非昔比。

以前咱们审计，看的是纸质的签字画押，现在呢？ERP系统、SAP、Oracle、各种自研的小程序，如果系统本身出了问题,上面的业务控制全是空中楼阁。

具体案例： 我曾经审计过一家大型制造企业，他们的ERP系统里，所有人都共享一个“超级用户”账号，平时大家干活都用这个账号登录，因为方便，结果有一次，因为操作失误，有人在这个账号下误删了当月的所有应付账款数据，而且因为日志记录混乱,根本查不出是谁干的。

这就是典型的IT一般控制失效，我们在审计“对象”时，不能只盯着业务层面的“审批流”,必须深入到系统底层的：

程序开发与变更：是不是有人随意修改代码来操纵利润？
程序访问：谁有权限改数据？
程序运行：系统会不会崩溃导致数据丢失？

个人观点： 现在的审计师，如果不懂IT一般控制，基本上就是半个“瞎子”，未来的内部控制审计，IT层面的比重只会越来越大,这是行业的大势所趋。

边界的艺术：我们审计什么，不审计什么？

这也是很多同行容易纠结的地方，既然是内部控制审计,是不是要把企业里里外外都翻个底朝天？

绝对不是,咱们得守住边界。

我们不审计的对象包括：

企业经营效率： 比如企业的采购成本是不是太高了？营销策略是不是失败了？这些是管理层的事，不是我们出具内控审计报告要发表意见的，除非，这些低效直接导致了财务报表的重大错报（比如存货减值准备计提不足）。
企业合规性（非财务相关）： 比如企业排污不达标，或者违反了劳动法没给加班费，这些当然有问题，但只要没有导致需要计提预计负债或在附注中披露,就不属于财务报告内部控制的范畴。

生活实例： 这就好比你是去检查这辆车能不能安全上路（财务报告内控）。你发现这辆车音响坏了（经营效率差），这不在你的检查范围内，你不用写进报告。你发现这辆车尾气排放超标（非财务合规），只要交警不扣车（不影响报表），你也不用管。如果你发现这辆车的刹车片磨损严重，导致刹车距离变长，可能会引发事故从而导致巨额赔偿（影响报表）,那这就必须管。

这种边界的划分，是为了让审计师聚焦核心，我们不是万能的上帝，我们是财务报表的“看门人”。