内部控制——内控缺陷，要怎么理解？要如何审计？

ID：内审师修行与实战

1.审计问题的分类

依据小编的个人习惯，通常会将审计问题归为3类：内控缺陷、管理问题和舞弊行为。

完全是以个人的理解对其进行描述的，非严格定义，供大家参考：

内控缺陷：制度、流程、单据等内控措施在设计时就存在不足，会引起不良后果。

管理问题：不合规，违规或重复出现错误不改进，或决策错误等。

舞弊行为：主观上的，为牟取个人或某团队的小利益而牺牲组织利益。

管理问题和舞弊行为，对于大家来说都很熟悉，也是日常工作。

但是，对于内控缺陷这一块，虽然有涉及，但是很多内审新人可能还会迷糊，本文就简单唠唠这一块吧。

2.什么是内控缺陷？

实务中，大家对于各类说法和定义不用太过较真儿，它既可以叫内控缺陷，也可以叫管理缺陷，或者叫运营缺陷。

叫什么不重要！

重要的是没有规矩或规矩有问题，那执行起来肯定也会出问题。

就比如老夫妻急着抱孙子，就给儿子儿媳制定了一系列的规矩：怎么补身体，怎么培养感情，多长时间前戏，怎么做运动，什么时候休息等等。

但是，儿子却是痿哥！

他都举不起来，之前的那么多规矩有什么用？

这就是内控缺陷，他们没发现儿子不举，也不知道找医生把不举治好，只知道催生孙子！

3.内控缺陷包括什么？内控缺陷的认定！

理论上，一切没有定好的规矩或标准（制度、流程、操作手册、单据等）都是缺陷。

但是，我们所针对的仅仅是会带来不良后果的缺陷。

比如：想抱儿子的男人的包皮被割过，虽然影响他媳妇的视觉感受，但不会影响他们的造子大计啊，这类缺陷就不要多提了。

我们在认定控制缺陷时，可以按重要不重要分类，也可以按内部外部分类，分类也只是加深我们对它的理解而已。

我们关心的是，要对审计工作有用，主要有两种认定：

（1）设计缺陷和运行缺陷。

（2）单个缺陷和连动缺陷。

4.设计缺陷和运行缺陷的区别

（1）制度、流程在设计时都没有设计好，就是设计缺陷！

比如：招标业务，你们上亿元的采购全部走的都是直接采购方式，没有设计“供应商入围、和评标比价”等招标程序，怎么可能做到公平、公正、合理？

（2）内控措施的运行缺陷

内控措施有了，理论上也很完美，但是运行过程中却出现了问题，这就是运行缺陷。

主要有两种理解：

一种理解是：设计了，但设计粗略或只是原则性的，现实业务又复杂多变；

另一种理解是：仅针对审计内容的分类，比如：我们只看制度就能发现的制度问题，归类为设计缺陷，我们通过查看业务运营所得到的问题，是运营缺陷。

5.单个缺陷和连动缺陷

为什么要提出这个分类，就是因为现实业务中经常出现这种现象：所有的控制措施都没有出问题，但是总体目标却出了问题。

换作另一种方式更好理解：工作计划。

对于年度目标，我们细分出上百种小计划，每一种计划都按时按量地完成了，但是年度目标却没有达成。

或者说：各个部门的工作都做得十分到位，但是企业的整体业绩却不好！

内部控制讲的是一个整体概念，对于单个缺陷，审计很容易发现，但是连动式缺陷，却不好发现了！

千里之堤，毁于蚁穴！

很多细小的缺陷或不足组合在一起，它可能就是重大缺陷。

6.审计应注意什么？

对于内控缺陷的审计，对审计人员来说，本身就已经上升到企业整体运营层次了！

设计缺陷要求我们要理解企业的实质业务流程，理解设计目的和风险控制点；

运行缺陷要求我们必须理审计问题的本质是什么？而不是纠结于管理人员的问题；

单个缺陷要求我们具体问题具体分析；

连动缺陷要求我们要有全局观、整体观，以及系统性思维。

亲，多关注转发！